Neue DSFAs zu Microsoft Office und Windows-Software: weiterhin Datenschutzrisiken (kurzer Blog)

Im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit hat Privacy Company die Datenschutzrisiken von Microsoft Windows 10 Enterprise, Office 365 ProPlus und Office Online zusätzlich zu den mobilen Office-Anwendungen untersucht. Mit Genehmigung des Ministeriums veröffentlichen wir zwei Blogbeiträge über unsere Ergebnisse, diesen kurzen und einen langen Blogbeitrag. Für Fragen zur Forschung wenden Sie sich bitte an SLM Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), das über den Pressesprecher des Justizministeriums unter +31 (0)70 370 73 45 erreicht werden kann.

Neue Datenschutzbestimmungen für die niederländische Zentralregierung

Anfang Mai 2019 hat SLM Rijk mit Microsoft neue Datenschutzbestimmungen für die 300.000 digitalen Arbeitsplätze der Zentralregierung vertraglich vereinbart. Dies sind die Enterprise-Versionen von Office und die Windows 10-Software, die von den Ministerien, der Steuer- und Zollverwaltung, der Polizei, der Justiz und unabhängigen Verwaltungsbehörden verwendet werden. Drei neue DSFAs (Datenschutz-Folgenabschätzungen, auf Englisch, mit Zusammenfassungen auf Niederländisch), die Privacy Company für die Zentralregierung durchgeführt hat, zeigen, dass Microsoft die acht zuvor identifizierten Datenschutzrisiken für Office 365 ProPlus durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen gelöst hat. Lesen Sie hier den vorherigen Blog über diese Risiken. In einem Schreiben (nur auf Niederländisch), was vor kurzem an das niederländische Parlament gerichtet wurde, sind die Ergebnisse der Verhandlungen, die SLM Rijk mit Microsoft geführt hat, aufgeführt: Microsoft fungiert nur als Auftragsverarbeiter für alle seine Online-Dienste, verarbeitet die personenbezogenen Daten für nur drei Zwecke, verarbeitet die Nutzerdaten nicht für Profiling, Datenanalyse, Marktuntersuchungen oder Werbung, und gewährt der Zentralregierung wirksame Auditrechte.

Ergriffene Maßnahmen für Microsoft Office 365 ProPlus

Darüber hinaus hat Microsoft in den letzten Monaten weltweit eine Vielzahl von technischen und organisatorischen Verbesserungen in Office 365 ProPlus umgesetzt. Seit Mai 2019 veröffentlicht Microsoft eine umfangreiche Dokumentation zu den diagnostischen Daten im Zusammenhang mit dem Einsatz von Office ProPlus. Microsoft hat sein bestehendes Data Viewer Tool für Windows 10 angepasst, um auch die Telemetriedaten von Office 365 ProPlus anzuzeigen. Auf diese Weise können die betroffenen Personen sich die Office ProPlus-Daten, die Microsoft von ihren Geräten einsammelt, anschauen.

Seit Mai 2019 bietet Microsoft eine Vielzahl häufig genutzter Connected Experiences wie die Rechtschreibprüfung, das Übersetzungsmodul und die Office-Hilfe als Auftragsverarbeiter und nicht mehr als Verantwortlicher an. Es gibt 14 Connected Experiences, für die Microsoft Verantwortlicher bleibt (die zusätzlichen Connected Experiences), aber Microsoft ermöglicht es Systemadministratoren von Office ProPlus, die Verwendung dieser Controller Connected Experiences zentral zu deaktivieren. Durch die zentrale Deaktivierung dieser Dienste wird das Risiko vermieden, dass Microsoft die Mitarbeiter als Endnutzer um ihre Einwilligung bittet, Daten über die Nutzung dieser Dienste sammeln zu dürfen, während die Einwilligung aber keine gültige rechtliche Grundlage für diese Verarbeitung darstellt.

Ab der Office 365 ProPlus Version 1904, die von Microsoft seit dem 29. April 2019 zur Verfügung gestellt wird, hat Microsoft auch eine Option für Systemadministratoren eingebaut, um das Telemetrie-Niveau zu minimieren. Microsoft bietet drei Optionen an: Required (erforderlich), Optional (optional) und Neither (weder noch).

Keine Verbesserungen für Windows 10 Enterprise, Office Online und die mobilen Apps

Microsoft hat diese Verbesserungen noch nicht in Office Online und den mobilen Office-Apps implementiert. Die neuen vertraglich festgelegten Datenschutzbestimmungen der niederländischen Regierung gelten (noch) nicht für die Verarbeitung über Windows 10 Enterprise oder für die mobilen Office-Apps. Es ist nicht möglich, den Datenverkehr in Office Online zu minimieren. Von mindestens drei der iOS Apps geht der Traffic über die Nutzung der Apps an eine US-Amerikanische Marketingfirma, die sich auf predictive profiling spezialisiert hat. Dies erfolgt ohne Angaben über den Zweck dieser Verarbeitung, und ohne die Möglichkeit für Benutzer oder Administratoren, diese Verarbeitung zu verhindern.

SLM Rijk rät daher Regierungsbehörden, Office Online und die mobilen Office-Apps vorerst nicht zu verwenden und eine möglichst geringe Datenerfassung unter Windows 10, unter der Option Security, zu wählen. Wenn die Systemadministratoren der staatlichen Institutionen auch den anderen Empfehlungen in den Berichten folgen, sind keine hohen Datenschutzrisiken für die staatlichen Institutionen mehr bekannt.

SLM Rijk wird jedoch weiterhin mit Microsoft verhandeln, um Windows und die mobilen Apps in den Anwendungsbereich der neuen Datenschutzbestimmungen zu bringen und die gleichen technischen Verbesserungen für Office Online umzusetzen.

Was können Organisationen, die nicht zu der niederländischen Zentralregierung gehören, tun?

Unternehmen und Organisationen außerhalb der niederländischen Zentralregierung müssen bei der Nutzung von Office 365 ProPlus, Office Online, den mobilen Office-Apps und Windows 10 Enterprise hohe Datenschutzrisiken berücksichtigen. Sie können selbst eine Reihe von Maßnahmen ergreifen, aber um die hohen Risiken wirklich zu beseitigen, sollten sie sich – vorzugsweise über einen Dachverband oder Gewerkschaft – an Microsoft wenden, um ähnliche Datenschutzgarantien wie die der nationalen Regierung auszuhandeln. Es würde nicht schaden, auf die laufende Untersuchung des Europäischen Datenschutzbeauftragten über die Vertragsbedingungen, die Microsoft den europäischen Institutionen anbietet, hinzuweisen. Darüber hinaus könnten Unternehmen auch ihre eigene DSFA auf der Grundlage der Berichte der niederländischen Regierung durchführen, und die Restrisiken den Datenschutzbehörden melden, wie in Artikel 36 DSGVO festgelegt.

Die Maßnahmen, die von den Organisationen selbst ergriffen werden können, sind folgende:

  • Aktualisieren Sie auf Version 1905 oder höher von Office 365 ProPlus und stellen Sie die Telemetrie auf das Niveau "Neither" (weder noch) ein.
  • Nutzen Sie die technische Möglichkeit, die Nutzung der Controller Connected Experiences in Office 365 ProPlus zu verbieten (zusätzliche Connected Experiences deaktivieren).
  • Deaktivieren Sie das Customer Experience Improvement Program (CEIP) in Office ProPlus.
  • Deaktivieren Sie die LinkedIn-Integration für Microsoft-Mitarbeiterkonten in Office ProPlus.
  • Erstellen Sie interne Richtlinien, um die Mitarbeiter vor der Verwendung der mobilen Office-Apps und der Controller Connected Experiences in Office Online zu warnen, bis die fünf verbleibenden hohen Risiken gemildert sind.
  • Wählen Sie so schnell wie möglich die niedrigste und minimalste Stufe der Erfassung von diagnostischen Daten in Office Online und den mobilen Apps.
  • Aktualisieren Sie die interne Datenschutzrichtlinie für den Umgang mit personenbezogenen Daten der Mitarbeiter mit spezifischen Informationen für welche Zwecke und unter welchen Umständen das Unternehmen verschiedene Arten von diagnostischen Daten aus den verschiedenen Diensten und Produkten von Microsoft anschauen kann.
  • Führen Sie DSFAs durch, bevor Sie Workplace Analytics und Activity Reports im Microsoft 365 Admin Center verwenden und bevor Mitarbeiter MyAnalytics und Delve nutzen können.
  • Erwägen Sie die Verwendung von Customer Lockbox und Customer Key, abhängig von der Empfindlichkeit der Inhaltsdaten.
  • Aktualisieren Sie auf die Version 1903 von Windows 10 Enterprise, um Intune mit Security Telemetrie zu verwenden.
  • Stellen Sie das Telemetrie-Niveau in Windows 10 Enterprise auf Security oder blockieren Sie den Telemetrieverkehr und erlauben Sie es Benutzern nicht, ihre Aktivitäten über die Timeline-Funktionalität zu synchronisieren;
  • Berücksichtigen Sie mögliche Änderungen für die Validität von Datentransfermechanismen (wie das EU-US Privacy Shield) aufgrund der künftigen Rechtsprechung des Europäischen Gerichtshofs. Es liegt an dem Europäischen Gerichtshof, die Risiken der massenhaften Überwachung in den Vereinigten Staaten zu bewerten, und an dem europäischen Gesetzgeber, die verbleibenden Risiken der Übermittlung von diagnostischen Daten aus der EU in die USA zu verringern.

Das Wie und Warum dieser Empfehlungen wird in den drei separaten DSFAs für SLM Rijk erläutert. Siehe auch die ausführlichen niederländischen Zusammenfassungen der Berichte zu Office 365 ProPlus, Office Online und den mobilen Apps, und Windows 10 Enterprise.

Privacy Company veröffentlicht auch einen langen Blog mit den Highlights dieser drei Berichte.

Author image
Sjoera Nas