Datenschutz-Folgenabschätzung zeigt hohe Risiken bei Microsoft Office ProPlus Enterprise

Im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit führte Privacy Company eine Datenschutz-Folgenabschätzung für Microsoft Office ProPlus (Office 2016 MSI und Office 365 CTR) durch. Mit Zustimmung des Ministeriums veröffentlichen wir diesen Blog über die Ergebnisse. Für Fragen zur Recherche können Sie sich an SLM Rijk (Strategic Vendor Management for Microsoft Office innerhalb des Justizministeriums) wenden, erreichbar über die Pressestelle des Justizministeriums, +31 070 370 73 45.

Das SLM Rijk führt Verhandlungen mit Microsoft über rund 300.000 digitale Arbeitsplätze der niederländischen Regierung. Die Unternehmensversion der Office-Software wird von verschiedenen Regierungsorganisationen wie Ministerien, Justiz, Polizei und Finanzämtern eingesetzt.

Die Ergebnisse unserer Datenschutz-Folgenabschätzung (DSFA) sind alarmierend. Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Personen in großem Umfang ohne jegliche öffentliche Dokumentation. Der vom Ministerium veröffentlichte DSFA-Bericht (in englischer Sprache) ist hier verfügbar.

Seit letzter Woche stellt SLM Rijk mit Hilfe von Microsoft ein Paket von Institutionen für Administratoren bei staatlichen Institutionen zur Verfügung, um die Emission von personenbezogenen Daten zu reduzieren (Zero Exhaust Settings). Microsoft hat sich bei der Umsetzung dieser DSFA verpflichtet, weitere wichtige Maßnahmen zur Risikominderung zu ergreifen.

Office 2016 und Office 365

Die meisten Regierungsorganisationen in den Niederlanden verwenden Versionen von Office 2016 und Office 365 (oder noch ältere Versionen), die auf den Computern der Regierungsmitarbeiter installiert sind. Die Organisationen speichern die Inhaltsdaten lokal in ihren eigenen Rechenzentren (vor Ort). Aber das wird sich ändern. SLM Rijk führt einen Pilotprojekt mit Datenspeicherung in der Microsoft Cloud, in SharePoint und in OneDrive durch. Es gibt auch einen Test mit der reinen Web-Version von Office 365, bei dem die Software nicht mehr auf den Endgeräten installiert ist. Auch in den aktuellen Einstellungen sammelt Microsoft Daten über die individuelle Nutzung der Software.

Groß angelegte und verdeckte Erhebung personenbezogener Daten

Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Und das heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die Möglichkeit, die Sammlung auszuschalten, oder die Möglichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschlüsselt ist. Ähnlich wie bei Windows 10 hat Microsoft in die Office-Software eine separate Software integriert, die regelmäßig Telemetriedaten an ihre eigenen Server in den USA sendet. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, wenn Sie die Rücktaste mehrmals hintereinander verwenden, was wahrscheinlich bedeutet, dass Sie die korrekte Schreibweise nicht kennen. Aber auch der Satz vor und nach einem Wort, den Sie im Online-Rechtschreibprüfung oder Übersetzungsdienst nachschlagen. Microsoft sammelt nicht nur Nutzungsdaten über den eingebauten Telemetrie-Klienten, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Benutzer beispielsweise über die Office-Software auf einen Connected Service wie den Übersetzungsdienst zugreifen, kann Microsoft die personenbezogenen Daten über diese Nutzung in sogenannten systemseitig generierten Ereignisprotokollen speichern.

Unterschied zwischen Inhalts-, Diagnose- und Funktionsdaten

Microsoft bietet Dienste über das Internet an. Aus technischer Sicht ist es unvermeidlich, dass Sie Microsoft Daten wie die Betreffzeile Ihrer E-Mail und Ihre IP-Adresse zur Verfügung stellen müssen, um die Dienste nutzen zu können. Microsoft sollte diese transienten, funktionalen Daten jedoch nicht speichern, es sei denn, die Speicherung ist unbedingt erforderlich, z.B. für Sicherheitszwecke.
In diesem DSFA-Bericht werden die von Microsoft über Office ProPlus erfassten Daten in drei Kategorien eingeteilt:

  1. Inhaltsdaten: der Inhalt von Dateien und Kommunikation, die Sie in Ihrem eigenen Rechenzentrum oder auf Cloud-Computern von Microsoft speichern.
  2. Funktionale Daten: Die Daten, die Sie über das Internet übertragen müssen, um sich mit den Internetdiensten von Microsoft verbinden zu können.
  3. Diagnosedaten: die Daten, die Microsoft zur Analyse der Nutzung der Dienste speichert.



In dem Bericht verwendet Privacy Company diese drei Datenkategorien in Analogie zur Aufteilung der Kommunikationsdaten im ePrivacy-Gesetz in Europa. Diese Gesetzgebung unterscheidet zwischen (i) Inhalten, (ii) Verkehrs-/Ortsdaten, die bei der Nutzung der Kommunikationsdienste entstehen, und (iii) Daten, die für die Übertragung der Kommunikation unbedingt erforderlich sind, aber unmittelbar danach gelöscht oder anonymisiert werden müssen.

Microsoft betont, dass das Unternehmen diese Kategorien nicht verwendet. Microsoft verwendet unter anderem die Kategorien "Kundendaten" und "Persönliche Daten". Microsoft verwendet den Begriff "Diagnosedaten" nur für die spezifischen Telemetriedaten, die über den eingebauten Software-Client in der lokal installierten Office-Software gesammelt werden.

23.000 bis 25.000 Arten von Ereignissen

Microsoft bietet (noch) keine Möglichkeit, den Inhalt des Diagnosedatenstroms zu überprüfen. Microsoft hat erklärt, dass 23.000 bis 25.000 Arten von Ereignissen an die Server von Microsoft gesendet werden und dass 20 bis 30 Ingenieurteams mit diesen Daten arbeiten. Die Ingenieure können mit Office ProPlus von allen Computern aus dynamisch neue Ereignisse zum Datenstrom hinzufügen. Diese Datensammlung ist viel spezifischer als die in der Windows 10 Telemetrie. Wenn die Telemetrie unter Windows 10 auf "voll" eingestellt ist, handelt es sich um 1.000 bis zu 1.200 Arten von Ereignissen - und 10 Ingenieurteams. Die niederländische Datenschutzbehörde führte 2017 eine Untersuchung der Verarbeitung von Telemetriedaten in der Verbraucher- und Kleinunternehmerversion von Windows 10 (Home und Pro) durch.

Die niederländische Datenschutzbehörde kam zu dem Schluss, dass Microsoft in vielerlei Hinsicht gegen das Datenschutzrecht verstößt, unter anderem durch mangelnde Transparenz und Zweckbindung sowie das Fehlen einer Rechtsgrundlage für die Verarbeitung.

Als Reaktion auf diese Untersuchung nahm Microsoft im Frühjahr 2018 einige Anpassungen an der Software vor. Die niederländische Datenschutzbehörde kam zu dem Schluss (vor der eigentlichen Veröffentlichung der Software, Pressemitteilung nur auf Niederländisch), dass der von Microsoft vorgelegte Verbesserungsplan alle Verstöße beenden würde. Die niederländische Datenschutzbehörde hat die Datenverarbeitung über die Office-Software nicht untersucht.

Microsoft als (gemeinsamer) Controller und nicht als Auftragsverarbeiter

Microsoft bestimmt den Zweck der Verarbeitung der Diagnosedaten in der Office-Software und die Aufbewahrungsfrist der Daten (30 Tage bis zu 18 Monate, wenn Microsoft es für notwendig hält, sogar länger). Der DSFA-Bericht zeigt, dass Microsoft die Diagnosedaten für 7 Zwecke verarbeitet - sowie für alle anderen Zwecke, die Microsoft für mit diesen Zwecken vereinbar hält. Da Microsoft die Zwecke und Mittel (der Aufbewahrungsfrist) bestimmt, fungiert Microsoft als Controller und nicht als Auftragsverarbeiter.

Die 7 Ziele sind:

  1. Sicherheit (Identifizierung und Minimierung von Sicherheitsbedrohungen und -risiken so schnell wie möglich durch Updates von Office ProPlus-Anwendungen und Korrektur von verbundenen Diensten)
  2. Aktualität (Bereitstellung und Installation der neuesten Updates für die Office ProPlus-Anwendungen ohne Beeinträchtigung der Benutzerfreundlichkeit)
  3. Richtigkeit (Identifizierung und Minimierung von Anomalien, "Bugs" und anderen Produktproblemen so schnell wie möglich durch Updates der Office ProPlus-Anwendungen und Korrektur von verbundenen Diensten).
  4. Produktentwicklung (neue Funktionen hinzuzufügen)
  5. Produktinnovation (Business Intelligence, Entwicklung neuer Dienstleistungen)
  6. Allgemeine Schlussfolgerungen aus der Langzeitanalyse, Unterstützung des maschinellen Lernens
  7. Gezielte Empfehlungen auf dem Bildschirm für den Benutzer anzeigen
  8. Ziele, die Microsoft für kompatibel mit diesen 7 Zielen hält.

Die Office ProPlus Software umfasst eine Reihe von Internetdiensten. Microsoft bietet aber auch so genannte "freiwillige" Connected Services an, wie z.B. die Online-Rechtschreibprüfung und den Übersetzungsdienst. Microsoft versteht sich als Datenverantwortlicher bei der Nutzung dieser verbundenen Dienste und verarbeitet die personenbezogenen Daten über die Nutzung dieser Dienste für alle 12 Verarbeitungszwecke, die in seiner allgemeinen Datenschutzerklärung zu finden sind.

Hohe Datenschutzrisiken für die betroffenen Personen

Der DSFA-Bericht enthält eine ausführliche Beschreibung von 8 hohen Datenschutzrisiken für die betroffenen Personen. Die Regierungsorganisationen, die Office nutzen, sollten jedoch selbst bestimmen, was die spezifischen Risiken sind, basierend auf den spezifischen personenbezogenen Daten, die sie verarbeiten. Dieser DSFA-Bericht soll dabei unterstützen, kann diese Analyse jedoch nicht ersetzen.

Während der Erstellung dieses DSFA-Berichts hat Microsoft gegenüber SLM Rijk bereits Zusagen gemacht, wichtige Anpassungen vorzunehmen, um die Risiken zu senken. Microsoft hat Zero-Exhaust-Einstellungen entwickelt. Microsoft beabsichtigt auch, angemessene Informationen bereitzustellen, ein Datenanzeigetool für die Telemetriedaten von Office einzubinden und den Administratoren eine Option zur Verfügung zu stellen, um den gewünschten Grad der Telemetrie zu bestimmen. Darüber hinaus werden SLM Rijk und Microsoft Office gemeinsam an der richtigen Einstufung von Microsoft als (gemeinsamer) Controller oder Auftragsverarbeiter arbeiten.

Einige Restrisiken können gemildert werden, wenn die Regierungsorganisationen die neu entwickelten Einstellungen nutzen, um die Verarbeitung von Telemetriedaten zu minimieren. Es verbleiben jedoch 6 hohe Risiken für die betroffenen Personen:

  1. Die rechtswidrige Speicherung sensibler, klassifizierter oder spezieller Datenkategorien, sowohl in Metadaten als auch z.B. in Betreffzeilen von E-Mails.
  2. Die falsche Qualifikation von Microsoft als Auftragsverarbeiter und nicht als Mitverantwortlicher im Sinne von Artikel 26 der DSGVO.
  3. Unzureichende Kontrolle über untergeordnete Auftragsverarbeiter und faktische Auftragsverarbeitung.
  4. Die fehlende Zweckbindung, sowohl für die Verarbeitung historisch gesammelter Diagnosedaten als auch für die Möglichkeit, neue Arten von Ereignissen dynamisch hinzuzufügen.
  5. Die Übermittlung von (allen Arten von) Diagnosedaten außerhalb des Europäischen Wirtschaftsraums, während die aktuelle Rechtsgrundlage für Office ProPlus das Privacy Shield ist und die Gültigkeit dieser Vereinbarung Gegenstand eines Verfahrens vor dem Europäischen Gerichtshof ist.
  6. Die unbestimmte Aufbewahrungsdauer von Diagnosedaten und das Fehlen eines Tools zum Löschen historischer Diagnosedaten.

Was können Admins jetzt tun, um die Risiken zu senken?

Administratoren der Enterprise-Version von Office ProPlus können bereits eine Reihe von spezifischen Maßnahmen ergreifen, um das Datenschutzrisiko für Mitarbeiter und andere Personen in den Niederlanden zu senken.

  • Übernehmen Sie die neuen Zero-Exhaust-Einstellungen.
  • Untersagen Sie zentral die Nutzung von Connected Services.
  • Untersagen Sie zentral die Möglichkeit für Benutzer, personenbezogene Daten an Microsoft zu senden, um "Office zu verbessern".
  • Verwenden Sie SharePoint Online / OneDrive nicht.
  • Verwenden Sie nicht die reine Web-Version von Office 365.
  • Löschen Sie regelmäßig das Active Directory-Konto einiger VIP-Benutzer und erstellen Sie neue Konten für diese, um sicherzustellen, dass Microsoft die historischen Diagnosedaten löscht.
  • Erwägen Sie die Verwendung lokaler Konten (ohne Microsoft-Konto), um mit vertraulichen/sensiblen persönlichen Daten zu arbeiten.
  • Erwägen Sie, einen Pilotprojekt mit alternativer Software für bestimmte Funktionen durchzuführen, nachdem Sie eine DSFA hierfür durchgeführt haben. Dies würde im Einklang mit der Richtlinie der niederländischen Regierung stehen, offene Standards und Open-Source-Software zu fördern.

Diese Maßnahmen sind nicht in allen Fällen realistisch oder machbar. Es ist nicht möglich, dass die (Enterprise-)Kunden von Office alle Probleme selbst lösen. Was die Verträge und die Übermittlung personenbezogener Daten an die USA betrifft, so muss eine europäische Lösung gefunden werden. SLM Rijk und Microsoft werden sich in den kommenden Monaten weiterhin eng abstimmen. In der Zwischenzeit führt Privacy Company eine weitere Untersuchung des Inhalts der Telemetriedaten durch.

Benötigen auch Sie eine Datenschutz-Folgenabschätzung (DSFA) zu von Ihnen genutzten Diensten oder Anbietern, oder brauchen Sie generelle Beratung zum Thema DSGVO-Implementierung in Ihrem Unternehmen? Sprechen Sie uns an!

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company