Datenschutzprobleme bei Office 365

Microsoft steht mit seinen Anwendungen Office ProPlus (Office 365, Office 2016 und Office 2019) seit längerem wegen übermäßiger Datennutzung in der Kritik. Die Einführung von Microsoft Office bei den öffentlichen Behörden in den Niederlanden nahm die dortige Aufsichtsbehörde zum Anlass, eine Datenschutzfolgenabschätzung (DSFA) von Office ProPlus vorzunehmen. Wir erklären Ihnen die wichtigsten Punkte des 91 Seiten starken Berichts und zeigen auf, wie Sie einer datenschutzkonformen Nutzung von Microsoft Office im Unternehmen am nächsten kommen.

Update Februar 2019: Inzwischen hat Microsoft mehrfach auf die hier dargestellte Kritik reagiert. Unsere Einschätzungen dazu finden Sie am Ende des Artikels.

Hintergrund der Datenschutzprüfung von MS Office

Hintergrund der Prüfung durch die Datenschutzaufsichtsbehörde sind Vertragsverhandlungen der niederländischen Regierung mit Microsoft. Aktuell nutzen etwa 300.000 Arbeitsplätze bei den niederländischen Behörden Microsoft-Office-Anwendungen. Derzeit werden in Office verarbeitete Daten noch lokal bei der jeweiligen Behörde auf deren Serversystemen gespeichert. Es ist jedoch geplant, in Zukunft auch die Microsoft Cloud mit SharePoint und OneDrive zu nutzen. Daher umfasst die Prüfung sowohl die lokale als auch die Cloud-Speicherung. Getestet wurde zudem die Web-Version von Office 365.

Nicht erst seit Windows 10 ist bekannt, dass Microsoft vermehrt Daten von Nutzern auch ohne deren Wissen oder Einwilligung sammelt. Aus diesem Grund entschied sich die niederländische Datenschutzbehörde eine Datenschutzfolgenabschätzung gemäß Datenschutz-Grundverordnung (DSGVO) vorzunehmen. Eine solche DSFA ist durchzuführen, wenn durch die Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Vereinfacht gesagt bewertet die Behörde dabei, ob die Verarbeitung noch den datenschutzrechtlichen Vorgaben entspricht. Da die Software in diversen Behörden genutzt werden soll (genannt werden im Bericht u. a. Ministerien, Justiz, Polizei und Steuerbehörden), geht es hier nicht nur um die personenbezogenen Daten der Mitarbeiter selbst sondern auch um die Informationen zu nahezu allen niederländischen Staatsbürgern.

Aufgrund des breiten Einsatzspektrums stellt der Bericht gleich eingangs klar, dass er keine abschließende Bewertung vornimmt. Dies ist dadurch bedingt, dass nicht in jedem Bereich gleich sensible Daten verarbeitet werden. Zudem ist der Bericht nur eine Momentaufnahme, da Microsoft noch mehr Informationen zur Verfügung stellen soll, so dass der Bericht von Zeit zu Zeit aktualisiert werden wird und neue Versionen veröffentlicht werden sollen.

Um welche Daten geht es bei der Office-Nutzung?

Aktuell ist nicht bekannt, welche Daten konkret an Microsoft übertragen werden, da hierüber keine Informationen existieren und die Datenübertragung zu Microsoft verschlüsselt erfolgt. Fest steht nur, dass Daten an Microsoft in die Vereinigten Staaten übertragen werden. Aufgrund des Einsatzbereichs geht es in der geprüften DSFA nicht nur um die Informationen der Nutzer (Beamte/Mitarbeiter) selbst, sondern auch um die Inhalte der Dokumente.

Ein Problem besteht bereits in der Definition der übertragenen Daten. Orientiert man sich an der Logik der europäischen ePrivacy-Richtlinie, so wird zwischen drei Kategorien von Daten unterschieden:

  1. Der Inhalt der Kommunikation mit Microsoft, also die Dokumente und Daten selbst,
  2. Diagnosedaten, welche das Verhalten des individuellen Nutzers in Event Logs speichert und
  3. Funktionsdaten, welche notwendig sind, um die Verbindung zu Microsoft herzustellen.

Als Beispiel für Funktionsdaten wird etwa die Datenverarbeitung eines E-Mail-Servers genannt, der gewisse Daten benötigt, um einen Nutzer zu authentifizieren oder die Gültigkeit von dessen Lizenz zu überprüfen. Ebenso fällt hierunter der Übersetzungsservice, der nicht nur den zu übersetzenden Text überträgt, sondern ebenfalls den vorhergehenden und nachfolgenden Satz, um ein besseres Übersetzungsergebnis zu erlangen.

Der Unterschied zwischen Diagnose- und Funktionsdaten ist, dass letztere nur kurzzeitig verarbeitet und sofort gelöscht oder anonymisiert werden müssen. Solange Microsoft diese Daten also nicht längerfristig speichert oder ausreichend anonymisiert speichert, handelt es sich nicht um Diagnosedaten und die Verarbeitung ist datenschutzrechtlich unproblematisch.

Hier zeigt sich jedoch das angesprochene Problem: Microsoft nimmt eine andere Datenklassifizierung als nach der Logik der die ePrivacy-Richtlinie vor. Diagnosedaten umfassen für Microsoft lediglich die von Office über das Verhalten der Nutzer gesammelten Telemetriedaten. Ansonsten existiert keine Kategorie für Metadaten, die sonstige Telemetriedaten oder andere Metadaten erfasst und in Server Logs speichert. Microsoft nutzt hingegen den Begriff Nutzerdaten für alle vom Benutzer zur Verfügung gestellten Daten bei der Nutzung der Software.

Parallelen von Office zu Windows 10

Microsoft sammelt also Diagnosedaten auf verschiedene Arten, etwa systemgenerierte Event Logs oder über die Office-Telemetriedaten. Bereits unter Windows 10 gab es das Problem, dass Microsoft heimlich und verschlüsselte Daten abgegriffen und verschlüsselt an die eigenen Server in den USA übermittelt hat. Man konnte damals lediglich einen Datenstrom zu Microsoft nachvollziehen, hatte jedoch keine Informationen darüber, welche Daten und in welcher Menge diese übertragen wurden.

Die niederländische Aufsichtsbehörde stellte damals fest, dass Microsoft gegen geltendes Datenschutzrecht verstößt. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) äußerte sich in dieser Sache kritisch. Microsoft gab im Anschluss an die Untersuchungen durch diverse europäische Datenschutzbehörden Auskunft über die Datennutzung und stellte ein Analysetool zur Überprüfung der übertragenen Daten zur Verfügung. Es stellte sich heraus, dass Telemetriedaten von bis zu 1.200 verschiedenen Ereignissen an Microsoft übertragen und diese von zehn Teams ausgewertet wurden.

Diese Grenze wird bei den Office-Anwendungen um ein Vielfaches überschritten. Es werden zwischen 23.000 und 25.000 verschiedene Ereignisse an Microsoft übermittelt. In diesem Bereich ist die Aufklärung noch nicht beendet, da nicht einmal Microsoft selbst weiß, welche Arten von Daten hierbei genau übertragen werden. Diese Daten werden von 20 bis 30 Teams ausgewertet. Es zeigt sich also, dass die Datensammelwut von Office-Anwendungen weitaus höher ist als die unter Windows 10.

Ein Analysetool, um den Datenfluss einfach und vollständig zu überprüfen, existiert aktuell noch nicht. Vor dem Bericht ging Microsoft nicht einmal davon aus, dass Telemetriedaten überhaupt personenbezogene Daten enthalten. Diese Ansicht änderte sich, nachdem Administratoren der Behörden die Übertragung von Dateinamen, Dateipfade und E-Mail-Betreffe in Logs nachweisen konnten.

Die Rolle von Microsoft

Eine weiteres von der Behörde aufgedecktes Problem ist die Rolle von Microsoft im Rahmen der Datenverarbeitung. Microsoft selbst sieht sich lediglich als Auftragsverarbeiter, mit Ausnahme der nicht notwendigen Connected Services. Bei letzteren sieht sich Microsoft selbst als Verantwortlicher und gibt zwölf sehr weit gefasste Verarbeitungszwecke an. Eine Übersicht dieser Connected Services findet sich in Annex 1 (Seite 88) des Berichts. Sofern in der dritten Spalte Microsoft als „Controller“ identifiziert ist, handelt es sich um nicht notwendige Connected Services.

Hingegen dürfte Microsoft bei allen anderen Anwendungen als Auftragsverarbeiter lediglich Daten auf dokumentierte Weisung des Auftraggebers hin verarbeiten. Dies widerspricht allerdings den Zwecken, für die Microsoft von Office erhobene Diagnosedaten verarbeiten möchte:

  • Sicherheit,
  • Aktualität,
  • Funktionalität,
  • Produktentwicklung,
  • Produktneuerungen,
  • Ergebnisse aus Langzeitanalysen zur Unterstützung von maschinellem Lernen,
  • Zur gezielten Anzeige von Empfehlungen für den Nutzer sowie
  • Zwecke, die Microsoft für vereinbar mit diesen sieben Punkten hält.

Es zeigt sich, dass Microsoft die erhaltenen Daten für eigene Zwecke verwendet und auch die Mittel zur Verarbeitung festlegt. Microsoft regelt ebenfalls die Speicherdauer, welche mit 30 Tage bis 18 Monate angegeben wird, wenn notwendig, sogar noch länger. Es ist auch nicht möglich diese Daten einzeln zu löschen, außer durch die Löschung des gesamten Accounts. Aus diesem Grund ist davon auszugehen, dass Microsoft nicht als Auftragsverarbeiter, sondern als Verantwortlicher agiert. Da jedoch nicht nur Microsoft die Zwecke und Mittel zur Verarbeitung festlegt, sondern ebenso die Behörden, liegt eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO vor.

Betrachtet man Art. 6 DSGVO als Rechtsgrundlage für die Datenverarbeitung, so lässt sich lediglich eine Rechtmäßigkeit für die ersten drei Zwecke begründen. Für alle anderen Verarbeitungen besitzen weder Microsoft noch die jeweiligen Behörden die erforderliche Berechtigung.

Datenschutzrisiken und deren Minimierung

Wie bereits erwähnt, ist es nicht einmal Microsoft möglich, eine aufschlussreiche Auskunft über die verarbeiteten Telemetriedaten zu liefern; lediglich eingeschränkte Informationen zu den Log-Dateien liegen vor. Es wäre nach jetzigem Stand sogar möglich, zusätzliche Ereignisse zu erfassen, solange diese von den oben angegebenen Zwecken erfasst sind. Ebenso ist es selbst Microsoft unklar, welche Arten von personenbezogenen Daten in den Diagnosedaten enthalten sind. Die Untersuchungen zeigen lediglich, dass sowohl Informationen zum Verhalten der Nutzer als auch der Inhalt der Dateien enthalten sind.

Aus dem bisher Gesagten hat die Aufsichtsbehörde daher folgende acht Risiken für den Datenschutz identifiziert:

  1. keine Übersicht über die spezifischen Risiken für die einzelnen Organisationen mangels Transparenz (kein Analysetool und keine öffentliche Dokumentation),
  2. keine Möglichkeit, die Sammlung von Diagnosedaten zu beschränken oder zu beenden (mangels Einstellungsmöglichkeiten für Telemetriedaten),
  3. die unrechtmäßige Speicherung sensibler, geheimer oder spezieller Kategorien von Daten sowohl in Metadaten als auch von Dateiinhalten (bspw. die Betreffzeile von E-Mails),
  4. die Einstufung als Auftragsverarbeiter und nicht als gemeinsamer Verantwortlicher,
  5. keine ausreichende Kontrolle über Subdienstleiter und die faktische Verarbeitung,
  6. das Fehlen einer Zweckbeschränkung sowohl für bereits gesammelten Diagnosedaten, als auch die Möglichkeit des Hinzufügens von neuen Ereignissen,
  7. der Datentransfer in Drittländer auf Grundlage des EU-U.S. Privacy Shields, dessen Gültigkeit aktuell in einem Verfahren vor dem EuGH (Europäischer Gerichtshof) geprüft wird,
  8. die zeitlich unbegrenzte Speicherung von Diagnosedaten und das Fehlen einer Löschungsmöglichkeit.

Gleichzeitig wurden bereits einige Maßnahmen ergriffen, um die Datenschutzrisiken zu minimieren. Zunächst hat Microsoft bei der Implementierung von Einstellungen unterstützt, die die Übermittlung von Telemetriedaten begrenzen. Des Weiteren entwickelt Microsoft gerade eine Analysetool, um den Datenfluss besser kontrollieren zu können, wobei die Fertigstellung noch offen ist. Die Effektivität dieser Maßnahmen muss zudem erst noch geprüft werden und wird in einer Folgeversion der DSFA erläutert.

Zufriedenstellend minimiert werden damit jedoch nur die ersten zwei Risiken, die übrigen bleiben bestehen. Ferner hat Microsoft bisher noch keine Zusicherung gegeben, Maßnahmen zur Minimierung der verbleibenden Risiken (Nr. 3 bis 8) zu implementieren. Microsoft steht jedoch weiterhin in Verhandlungen mit den niederländischen Behörden, weswegen weitere Informationen in kommenden Versionen der DSFA zu erwarten sind.

Datenschutzrechtliche Handlungsempfehlung für Microsoft Office

Für Unternehmen stellt sich nun die Frage, ob und wie sie Office (möglichst) datenschutzkonform einsetzen können. Auch wenn es im konkreten Fall um die niederländischen Behörden geht, so dürfte sich dieses Ergebnis auch auf privatwirtschaftliche Unternehmen in anderen europäischen Ländern übertragen lassen.

Wer auf der ganz sicheren Seite sein will, der sollte nun jegliche Datenverarbeitung mit Microsoft Office einstellen. Da dies für die meisten Unternehmen allerdings keine Option darstellen dürfte, gibt die Behörde diverse Möglichkeiten zur Risikominimierung an die Hand. Die ersten vier Punkte sollten laut dem Bericht durchgeführt werden, bis Microsoft ausreichende Informationen zu den Zwecken der Verarbeitung und zu den personenbezogenen Daten selbst gibt:

  • Nicht notwendige Connected Services sollten nicht mehr genutzt werden.
  • Die Option, personenbezogene Daten der Nutzer zur „Verbesserung von Office“ an Microsoft zu senden, sollte deaktiviert werden.
  • SharePoint/OneDrive sollte nicht verwendet werden.
  • Man sollte auf die Nutzung der Web-Version von Office 365 verzichten.
  • VIP-Nutzeraccounts sollten regelmäßig gelöscht und Neue erstellt werden, damit Microsoft die damit verbundenen Diagnosedaten löscht.
  • Für vertrauliche oder sensible Daten sollte eine Version von Office genutzt werden, die lokal und ohne Microsoft-Account betrieben wird.
  • Das Testen einer alternativen Software, nachdem für diese eine positive DSFA durchgeführt wurde.

Jedoch ist es nicht für alle Unternehmen möglich, diese Maßnahmen vollständig umzusetzen. Ist etwa SharePoint großflächig im Einsatz, so würde eine Abschaltung die Produktivität merklich beeinflussen. In diesem Fall sollten dann nach Möglichkeit die anderen Maßnahmen umgesetzt werden.

Die weitere Entwicklung sollte jedenfalls genau beobachtet werden. Microsoft zeigt sich gesprächsbereit und plant weitere Änderungen beim Datenabgriff vorzunehmen. Eine andere Option dürfte auch kaum bleiben, da sich sonst der gesamte europäische Markt für Microsoft schließt. Es ist zudem nicht zumutbar, dass Unternehmen die Konsequenzen für die Versäumnisse von Microsoft tragen müssen.

Updates: Reaktionen von Microsoft

Inzwischen hat sich Microsoft auf Rückfrage von interessierten Kunden zu der Thematik geäußert. Es handelt sich dabei wohl um eine vorgefertigte Antwort, die an alle Anfragenden verschickt wurde. Die schön formulierte E-Mail enthält einige interessante Punkte, die hier im Detail beleuchtet werden sollen:

Nach einer freundlichen Einleitung wird im zweiten Absatz direkt zugegeben, dass Diagnosedaten ausgewertet werden. Angeblich geschieht dies jedoch „einzig und allein, um die Sicherheit und Funktionsfähigkeit seiner Produkte und Dienste zu gewährleisten“.

Diese Aussage ist so nicht korrekt. Wie in der DSFA beschrieben, möchte Microsoft die Informationen ebenso für Produktentwicklung, Produktneuerungen, gezielte Anzeige von Empfehlungen, etc. einsetzen. Diese Punkte betreffen weder die Sicherheit noch die Funktionsfähigkeit der Software. Ein Link führt dann zu einer Website, die lückenhaft beschreibt, was mit Diagnosedaten geschehen soll. Vergleicht man den Inhalt der Website mit der DSFA, wird schnell klar, dass hier keine vollständige Information über die Nutzung der Diagnosedaten gegeben werden soll. Es ist keinesfalls möglich, „sich ein eigenes Bild von Art und Umfang der erhobenen Daten zu machen“. Genau das wird jedoch in der E-Mail zugesichert.

Folgend wird auf die DSFA im Kontext zu nicht notwendigen Connected Services eingegangen. Microsoft sagt hierzu schlicht, dass die Nutzung ja freiwillig erfolge. Was fehlt, ist ein Hinweis darauf, dass die Nutzung – wie oben beschrieben – datenschutzrechtswidrig ist. Man wird auch nicht müde zu betonen, dass diese Services einen Mehrwert für den Nutzer bringen.

Im nächsten Absatz versucht Microsoft den Unterschied zwischen Diagnose- und Funktionsdaten zu erklären. Dies ist insofern bemerkenswert, als dass Microsoft bisher nicht zwischen Diagnose- und Funktionsdaten unterschieden hat. Leider geht Microsofts Definition auch hier nicht mit der Logik der europäischen ePrivacy-Richtlinie einher. Es wird beschrieben, dass Diagnosedaten lediglich dazu verwendet werden, damit „Produkte sicher und funktionstüchtig bleiben“. Nutzt man hingegen die zusätzlichen Services von Microsoft, dann werden Funktionsdaten benötigt, um den Dienst zur Verfügung zu stellen. Das ist korrekt, allerdings ist davon auszugehen, dass hierbei personenbezogene Daten enthalten sind, die nicht nur kurzzeitig verarbeitet und anschließend sofort gelöscht werden. Genau das wäre aber notwendig, um sich als Funktionsdaten zu qualifizieren.

Die nächsten Zeilen zeugen davon, dass Microsoft sich keines Datenschutzverstoßes bewusst ist. Es wird zunächst mitgeteilt, dass die Gründe für den Datentransfer und die Art der Daten variieren können und damit auch die Schritte, um DSGVO-Konformität zu erreichen. Das ist schlicht falsch.

Es geht im Kern nicht darum, welche Daten aus welchem Grund übertragen werden. Es geht darum, dass Microsoft unberechtigterweise personenbezogene Daten abgreift, ohne ausreichend darauf hinzuweisen oder die Möglichkeit zu bieten die Übertragung abzustellen.

Die Aussage von Microsoft, dass man den Dienst ja nicht nutzen müsse, ist mit der DSGVO nicht zu vereinbaren. Es besteht schließlich ein sog. Verbot mit Erlaubnisvorbehalt, was bedeutet, dass personenbezogene Daten nur dann verarbeitet werden dürfe, wenn hierfür eine Rechtsgrundlage besteht.

Die Übertragung der personenbezogenen Daten zur Produktentwicklung, Langzeitanalyse, etc. ist für die Funktion der Software nicht erforderlich. Dementsprechend bedarf es der Rechtsgrundlage einer Einwilligung gem. Art. 6 Abs. 1 lit. a, Art. 7 DSGVO – welche nicht gegeben ist – oder eines berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO. Für Letzteres bestünde ein Widerspruchsrecht, welches gegenüber Microsoft jedoch nicht ausgeübt werden kann. Grund ist, dass der Betroffene weder weiß, an wen er sich wenden soll, noch welche Daten überhaupt verarbeitet werden. Beides sollte laut Art. 13 DSGVO durch die Informationspflichten mitgeteilt werden, welche von Microsoft allerdings nicht eingehalten werden.

Es ist keineswegs so, als wäre die DSGVO so undurchsichtig wie Microsoft sie darstellt. Vielmehr hat Microsoft noch keinen Weg gefunden, den Rechtsverstoß auf andere Weise zu legitimieren.

Microsoft wiederum ist der Auffassung, dass die Office Pro/Plus Produkte in Übereinstimmung mit geltenden Gesetzen inkl. der DSGVO stehen. Es wird darüber philosophiert, wie neu diese Regelung für Microsoft und die Datenschutzbehörden ist und daher noch viel zu interpretieren und zu klären ist.(Hier muss eingeworfen werden, dass die DSGVO bereits 2016 in Kraft getreten und seit 2018 verbindlich anzuwenden ist. Sie ist also keineswegs so neu, wie Microsoft glauben machen will.) Man wolle jedoch die bestmögliche Einhaltung der Vorschriften sicherstellen. Letztendlich sagt Microsoft damit, dass die Behörde bei ihrer DSFA falsch lag und man nur noch nicht die richtigen Schlupflöcher gefunden hat, um das eigentlich widerrechtliche Abgreifen der Nutzerdaten zu legitimieren.

Zum Schluss gibt sich Microsoft versöhnlich. Man wolle Privatsphäre und Daten der Kunden schützen und die Gesetze erfüllen. Hierfür sind natürlich die Anliegen, Rückmeldungen und Vorschläge der Kunden sehr wichtig, gerade wenn Bedenken von Kunden oder Aufsichtsbehörden geäußert werden.

Im Ergebnis erhält man also eine schön formulierte E-Mail, mit welcher sich viele Betroffene bei schnellem Durchlesen zufriedengeben dürften. Bei genauerer Lektüre stellt man fest, dass neue Informationen kaum enthalten sind. Interessant ist lediglich, dass Microsoft versucht eine Unterscheidung nach Diagnose- und Funktionsdaten durchzuführen.

Letztendlich wirkt es allerdings so, als wäre sich Microsoft keiner Schuld bewusst und wolle auch die Behörde noch davon überzeugen, dass die Ergebnisse der DSFA nicht korrekt sind. Interessant wird sein, wie sich ein solches Verhalten beim Kunden auswirkt und ob die Behörde bei ihren Forderungen bleibt. Microsoft würde aus datenschutzrechtlicher Sicht gut daran tun, den Fehler einzugestehen und die rechtswidrige Datennutzung zu beenden. Die Wahrscheinlichkeit hierfür ist jedoch eher als sehr gering zu bezeichnen.

Microsoft war nach Veröffentlichung der DSFA nicht untätig und stellt nun Werkzeuge zur Verfügung, die bei der Einhaltung der DSGVO helfen sollen. Ausgangspunkt ist das sog. Microsoft 365 Compliance Center. Dieses soll es Nutzern ermöglichen, Dokumente zu klassifizieren und in die Gesamtdatenstruktur zu integrieren. Gleichzeitig soll dadurch aus den gesammelten Informationen eine Punktzahl errechnet werden, welche dann die Übereinstimmung mit gesetzlichen Standards wie der DSGVO angibt.

Während dieses Konzept von mehr Datenschutz zu begrüßen ist, bleibt weiterhin unklar, ob hierdurch auch Microsoft selbst den Datenabgriff einschränkt. Nach den Ergebnissen der DSFA wäre dieser Schritt wünschenswert. Jedoch finden sich von Seiten Microsofts keinerlei Informationen, ob der eigene Zugriff auf bspw. als „geheim“ klassifizierte Dokumente beschränkt wird.

Dieser aktualisierte Artikel erschien zuerst am 3. Januar 2019.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.