Closed Source, Closed Information: Wie das Microsoft-Geschäftsmodell die EU-DSGVO torpediert

Veröffentlicht von ownCloud GmbH – 21. November 2018

Es ist passiert und es kann jederzeit wieder passieren: Mit Microsoft hat laut eines Berichts der niederländischen Regierung der erste IT-Megakonzern gegen die Datenschutzbestimmungen der EU verstoßen. Das Unternehmen speicherte demnach in großem Stil private Daten von Office-Nutzern – auch auf US-amerikanischen Servern und ohne die User zu informieren oder gar ihr Einverständnis einzuholen.

Der Report “DIAGNOSTIC DATA IN MICROSOFT OFFICE PROPLUS” wies dem Unternehmen nach, dass Informationen von rund 300.000 Regierungsmitarbeitern von der Office ProPlus-Suite von Microsoft verarbeitet wurden. Die Software wird auf PCs installiert und synchronisiert sich ständig mit den Office-365-Servern.

Die Autoren fanden heraus, dass die Software vor allem sogenannte Telemetriedaten aus den Office-Anwendungen sammelte. Dazu gehören unter anderem E-Mail-Inhalte, in denen Übersetzungen oder Rechtschreibprüfungen durchgeführt wurden. Auch die Anwendungen Word, Excel und Powerpoint übermittelten diese Daten. Wenn etwa ein User die Backspace-Taste mehrmals drückt, um ein Wort zu korrigieren, erfasst die Anwendung sowohl den Satz vor als auch nach diesem Wort. Dies waren die typischen Daten, die dann an Microsoft übermittelt wurden.

„Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Und das heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die Möglichkeit, die Sammlung auszuschalten, oder die Möglichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschlüsselt ist.“, konstatierte das Institut, das die Studie durchführte, in einem Blogpost.

„Microsoft bietet Dienste über das Internet an. Aus technischer Sicht ist es unvermeidlich, dass Sie Microsoft Daten wie den Header Ihrer E-Mail und Ihre IP-Adresse zur Verfügung stellen müssen, um die Dienste nutzen zu können. Microsoft darf diese transienten, funktionalen Daten jedoch nicht speichern, es sei denn, die Speicherung ist unbedingt erforderlich, z.B. für Sicherheitszwecke.”

Der Vorfall alleine reicht im Grunde schon, um die Datensammelpraxis des Unternehmens als rechtswidrig einzustufen. Besonders heikel wird das Ganze aber durch die Tatsache, dass teilweise auch Daten „heimlich” in die USA übermittelt, auf dortigen Servern gespeichert und von einem Team aus 30 Mitarbeitern analysiert wurden. Daten, die auf US-Servern liegen, fallen natürlich auch automatisch unter US-Jurisdiktion – und damit dem Zugriff von US-Sicherheitsbehörden auf Basis des Cloud Act.  Ein Vorgang, den die Reporter des britischen „Register” völlig zurecht als „No-No” einstufen.

Laut Report liegt damit ein deutlicher Verstoß gegen die GDPR vor, der zu hohen Strafen für das Unternehmen führen kann. Die niederländischen Behörden arbeiten demnach bereits mit Microsoft zusammen, um die Situation zu klären.

Geschützter Quellcode als Grundproblem

Der jüngsten Datenschutzverletzung liegt vor allem in einem wesentlichen Umstand begründet: Die Tatsache, dass Microsoft grundsätzlich nicht offenlegt, welche Informationen über Benutzer tatsächlich gesammelt werden. User sind dazu gezwungen, dem Unternehmen zu vertrauen und können nur mutmaßen, welche ihrer Daten an welchem Ort gespeichert werden. Durch den proprietären Quellcode haben sie keine Möglichkeit, die von der eigenen Office-Software an das Unternehmen gesendeten Daten zu überprüfen – oder gar zu entscheiden, welche Daten überhaupt übermittelt werden sollen. Der Schutz von persönlichen Daten bleibt damit für die User eine reine Vertrauenssache.

Nach dem Aus von Microsofts Deutschland-Cloud, die über ein Treuhandmodell garantieren sollte, dass das Unternehmen – und damit die US-Sicherheitsbehörden auf Basis von Patriot Act und Cloud Act – keinen Zugriff auf die Daten der Nutzer erhielt, zeigt dieser Vorfall einmal mehr: Datensicherheit, der man wirklich vertrauen kann gibt es nur mit Open Source. Das Datenschutzniveau lässt sich mit offener Software beliebig an die eigenen Bedürfnisse anpassen. Anwender haben jederzeit vollständige Transparenz darüber, was mit ihren Daten geschieht und können individuell entscheiden, welche Informationen auf eigenen Servern, in selbst gewählten Rechenzentren, oder bei großen Anbietern liegen sollen. Lösungen wie ownCloud unterstützen sie darin, keine Kompromisse eingehen zu müssen, indem sie all diese Daten über ein zentrales Interface verwalten und zusammenführen können.

Über ownCloud

Mit 200.000 Installationen und über 25 Mio. Nutzern ist ownCloud das größte Open Source-Filesharing-Projekt weltweit. Die offene Plattform für sicheres Enterprise Filesharing verbindet die Vorteile einer nutzerfreundlichen Public Cloud mit maximaler Datensicherheit. Sie ermöglicht den bequemen Zugriff auf Dateien unabhängig von deren Speicherort oder dem verwendeten Gerät und eine einfache Zusammenarbeit mittels kollaborativer Funktionen. Gleichzeitig bietet ownCloud volle Kontrolle und Transparenz bei der Verwaltung sensibler Daten. Auf diese Weise werden die Produktivität sowie die Datensicherheit gleichermaßen erhöht. Weitere Informationen finden Sie unter http://www.owncloud.com/de

Bitte füllen Sie das Formular aus um Ihren Download zu erhalten.


Bitte deaktivieren Sie Ihren Scriptblocker oder verwenden Sie einen anderen Browser um das Formular anzuzeigen.

Durch Abschicken dieses Formulars stimmen Sie zu, dass Sie durch die ownCloud GmbH kontaktiert werden dürfen. Sie können diese Zustimmung jederzeit widerrufen, in dem Sie auf den Unsubscribe-Link im unteren Teil einer jeden E-Mail klicken oder in dem Sie eine E-Mail an info@owncloud.com schreiben