Es ist passiert und es kann jederzeit wieder passieren: Mit Microsoft hat laut eines Berichts der niederländischen Regierung der erste IT-Megakonzern gegen die Datenschutzbestimmungen der EU verstoßen. Das Unternehmen speicherte demnach in großem Stil private Daten von Office-Nutzern – auch auf US-amerikanischen Servern und ohne die User zu informieren oder gar ihr Einverständnis einzuholen.
Der Report “DIAGNOSTIC DATA IN MICROSOFT OFFICE PROPLUS” wies dem Unternehmen nach, dass Informationen von rund 300.000 Regierungsmitarbeitern von der Office ProPlus-Suite von Microsoft verarbeitet wurden. Die Software wird auf PCs installiert und synchronisiert sich ständig mit den Office-365-Servern.
Die Autoren fanden heraus, dass die Software vor allem sogenannte Telemetriedaten aus den Office-Anwendungen sammelte. Dazu gehören unter anderem E-Mail-Inhalte, in denen Übersetzungen oder Rechtschreibprüfungen durchgeführt wurden. Auch die Anwendungen Word, Excel und Powerpoint übermittelten diese Daten. Wenn etwa ein User die Backspace-Taste mehrmals drückt, um ein Wort zu korrigieren, erfasst die Anwendung sowohl den Satz vor als auch nach diesem Wort. Dies waren die typischen Daten, die dann an Microsoft übermittelt wurden.
„Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Und das heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die Möglichkeit, die Sammlung auszuschalten, oder die Möglichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschlüsselt ist.“, konstatierte das Institut, das die Studie durchführte, in einem Blogpost.
„Microsoft bietet Dienste über das Internet an. Aus technischer Sicht ist es unvermeidlich, dass Sie Microsoft Daten wie den Header Ihrer E-Mail und Ihre IP-Adresse zur Verfügung stellen müssen, um die Dienste nutzen zu können. Microsoft darf diese transienten, funktionalen Daten jedoch nicht speichern, es sei denn, die Speicherung ist unbedingt erforderlich, z.B. für Sicherheitszwecke.”
Der Vorfall alleine reicht im Grunde schon, um die Datensammelpraxis des Unternehmens als rechtswidrig einzustufen. Besonders heikel wird das Ganze aber durch die Tatsache, dass teilweise auch Daten „heimlich” in die USA übermittelt, auf dortigen Servern gespeichert und von einem Team aus 30 Mitarbeitern analysiert wurden. Daten, die auf US-Servern liegen, fallen natürlich auch automatisch unter US-Jurisdiktion – und damit dem Zugriff von US-Sicherheitsbehörden auf Basis des Cloud Act. Ein Vorgang, den die Reporter des britischen „Register” völlig zurecht als „No-No” einstufen.
Laut Report liegt damit ein deutlicher Verstoß gegen die GDPR vor, der zu hohen Strafen für das Unternehmen führen kann. Die niederländischen Behörden arbeiten demnach bereits mit Microsoft zusammen, um die Situation zu klären.
Geschützter Quellcode als Grundproblem
Der jüngsten Datenschutzverletzung liegt vor allem in einem wesentlichen Umstand begründet: Die Tatsache, dass Microsoft grundsätzlich nicht offenlegt, welche Informationen über Benutzer tatsächlich gesammelt werden. User sind dazu gezwungen, dem Unternehmen zu vertrauen und können nur mutmaßen, welche ihrer Daten an welchem Ort gespeichert werden. Durch den proprietären Quellcode haben sie keine Möglichkeit, die von der eigenen Office-Software an das Unternehmen gesendeten Daten zu überprüfen – oder gar zu entscheiden, welche Daten überhaupt übermittelt werden sollen. Der Schutz von persönlichen Daten bleibt damit für die User eine reine Vertrauenssache.
Nach dem Aus von Microsofts Deutschland-Cloud, die über ein Treuhandmodell garantieren sollte, dass das Unternehmen – und damit die US-Sicherheitsbehörden auf Basis von Patriot Act und Cloud Act – keinen Zugriff auf die Daten der Nutzer erhielt, zeigt dieser Vorfall einmal mehr: Datensicherheit, der man wirklich vertrauen kann gibt es nur mit Open Source. Das Datenschutzniveau lässt sich mit offener Software beliebig an die eigenen Bedürfnisse anpassen. Anwender haben jederzeit vollständige Transparenz darüber, was mit ihren Daten geschieht und können individuell entscheiden, welche Informationen auf eigenen Servern, in selbst gewählten Rechenzentren, oder bei großen Anbietern liegen sollen. Lösungen wie ownCloud unterstützen sie darin, keine Kompromisse eingehen zu müssen, indem sie all diese Daten über ein zentrales Interface verwalten und zusammenführen können.
