{"id":37975,"date":"2018-11-21T15:43:55","date_gmt":"2018-11-21T14:43:55","guid":{"rendered":"https:\/\/owncloud.com\/?p=37975"},"modified":"2022-06-03T13:23:11","modified_gmt":"2022-06-03T13:23:11","slug":"closed-source-information-microsoft-eu-dsgvo-torpediert","status":"publish","type":"post","link":"https:\/\/owncloud.com\/de\/blogs\/closed-source-information-microsoft-eu-dsgvo-torpediert\/","title":{"rendered":"Closed Source, closed Information"},"content":{"rendered":"

Es ist passiert und es kann jederzeit wieder passieren: Mit Microsoft hat laut eines Berichts der niederl\u00e4ndischen Regierung der erste IT-Megakonzern gegen die Datenschutzbestimmungen der EU versto\u00dfen. Das Unternehmen speicherte demnach in gro\u00dfem Stil private Daten von Office-Nutzern \u2013 auch auf US-amerikanischen Servern und ohne die User zu informieren oder gar ihr Einverst\u00e4ndnis einzuholen.<\/span><\/p>\n

Der Report <\/span>\u201cDIAGNOSTIC DATA IN MICROSOFT OFFICE PROPLUS\u201d<\/span><\/a> wies dem Unternehmen nach, dass Informationen von rund 300.000 Regierungsmitarbeitern von der Office ProPlus-Suite von Microsoft verarbeitet wurden. Die Software wird auf PCs installiert und synchronisiert sich st\u00e4ndig mit den Office-365-Servern.<\/span><\/p>\n

Die Autoren fanden heraus, dass die Software vor allem sogenannte Telemetriedaten aus den Office-Anwendungen sammelte. Dazu geh\u00f6ren unter anderem E-Mail-Inhalte, in denen \u00dcbersetzungen oder Rechtschreibpr\u00fcfungen durchgef\u00fchrt wurden. Auch die Anwendungen Word, Excel und Powerpoint \u00fcbermittelten diese Daten. Wenn etwa ein User die Backspace-Taste mehrmals dr\u00fcckt, um ein Wort zu korrigieren, erfasst die Anwendung sowohl den Satz vor als auch nach diesem Wort. Dies waren die typischen Daten, die dann an Microsoft \u00fcbermittelt wurden.<\/span><\/p>\n

„Microsoft sammelt systematisch und in gro\u00dfem Umfang Daten \u00fcber die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Und das heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die M\u00f6glichkeit, die Sammlung auszuschalten, oder die M\u00f6glichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschl\u00fcsselt ist.“, konstatierte das Institut, das die Studie durchf\u00fchrte, <\/span>in einem Blogpost<\/span><\/a>.<\/span>
\n<\/span>
\n<\/span>„Microsoft bietet Dienste \u00fcber das Internet an. Aus technischer Sicht ist es unvermeidlich, dass Sie Microsoft Daten wie den Header Ihrer E-Mail und Ihre IP-Adresse zur Verf\u00fcgung stellen m\u00fcssen, um die Dienste nutzen zu k\u00f6nnen. Microsoft darf diese transienten, funktionalen Daten jedoch nicht speichern, es sei denn, die Speicherung ist unbedingt erforderlich, z.B. f\u00fcr Sicherheitszwecke.\u201d<\/span><\/p>\n

Der Vorfall alleine reicht im Grunde schon, um die Datensammelpraxis des Unternehmens als rechtswidrig einzustufen. Besonders heikel wird das Ganze aber durch die Tatsache, dass teilweise auch Daten \u201eheimlich\u201d in die USA \u00fcbermittelt, auf dortigen Servern gespeichert und von einem Team aus 30 Mitarbeitern analysiert wurden. Daten, die auf US-Servern liegen, fallen nat\u00fcrlich auch automatisch unter US-Jurisdiktion \u2013 <\/span>und damit dem Zugriff von US-Sicherheitsbeh\u00f6rden auf Basis des Cloud Act<\/span><\/a>. \u00a0Ein Vorgang, den die Reporter des britischen \u201eRegister\u201d v\u00f6llig zurecht als \u201eNo-No\u201d einstufen.<\/span><\/p>\n

Laut Report liegt damit ein deutlicher Versto\u00df gegen die GDPR vor, der zu hohen Strafen f\u00fcr das Unternehmen f\u00fchren kann. Die niederl\u00e4ndischen Beh\u00f6rden arbeiten demnach bereits mit Microsoft zusammen, um die Situation zu kl\u00e4ren.<\/span><\/p>\n

Gesch\u00fctzter Quellcode als Grundproblem<\/b><\/h2>\n

Der j\u00fcngsten Datenschutzverletzung liegt vor allem in einem wesentlichen Umstand begr\u00fcndet: Die Tatsache, dass Microsoft grunds\u00e4tzlich nicht offenlegt, welche Informationen \u00fcber Benutzer tats\u00e4chlich gesammelt werden. User sind dazu gezwungen, dem Unternehmen zu vertrauen und k\u00f6nnen nur mutma\u00dfen, welche ihrer Daten an welchem Ort gespeichert werden. Durch den propriet\u00e4ren Quellcode haben sie keine M\u00f6glichkeit, die von der eigenen Office-Software an das Unternehmen gesendeten Daten zu \u00fcberpr\u00fcfen \u2013 oder gar zu entscheiden, welche Daten \u00fcberhaupt \u00fcbermittelt werden sollen. Der Schutz von pers\u00f6nlichen Daten bleibt damit f\u00fcr die User eine reine Vertrauenssache.<\/span><\/p>\n

Nach dem <\/span>Aus von Microsofts Deutschland-Cloud<\/span><\/a>, die \u00fcber ein Treuhandmodell garantieren sollte, dass das Unternehmen \u2013 und damit die US-Sicherheitsbeh\u00f6rden auf Basis von Patriot Act und Cloud Act \u2013 keinen Zugriff auf die Daten der Nutzer erhielt, zeigt dieser Vorfall einmal mehr: Datensicherheit, der man wirklich vertrauen kann gibt es nur mit Open Source. Das Datenschutzniveau l\u00e4sst sich mit offener Software beliebig an die eigenen Bed\u00fcrfnisse anpassen. Anwender haben jederzeit vollst\u00e4ndige Transparenz dar\u00fcber, was mit ihren Daten geschieht und k\u00f6nnen individuell entscheiden, welche Informationen auf eigenen Servern, in selbst gew\u00e4hlten Rechenzentren, oder bei gro\u00dfen Anbietern liegen sollen. L\u00f6sungen wie ownCloud unterst\u00fctzen sie darin, keine Kompromisse eingehen zu m\u00fcssen, indem sie all diese Daten \u00fcber ein zentrales Interface verwalten und zusammenf\u00fchren k\u00f6nnen.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Wie das Microsoft-Gesch\u00e4ftsmodell die EU-DSGVO torpediert.<\/p>\n","protected":false},"author":15,"featured_media":37971,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","inline_featured_image":false,"footnotes":""},"categories":[43],"tags":[],"class_list":["post-37975","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"acf":[],"_links":{"self":[{"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/posts\/37975","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/comments?post=37975"}],"version-history":[{"count":1,"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/posts\/37975\/revisions"}],"predecessor-version":[{"id":67989,"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/posts\/37975\/revisions\/67989"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/media\/37971"}],"wp:attachment":[{"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/media?parent=37975"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/categories?post=37975"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/owncloud.com\/de\/wp-json\/wp\/v2\/tags?post=37975"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}