Neue DSFAs zu Microsoft Office- und Windows-Software: weiterhin Datenschutzrisiken (langer Blog)

Im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit hat Privacy Company die Datenschutzrisiken von Microsoft Windows 10 Enterprise, Office 365 ProPlus und Office Online zusätzlich zu den mobilen Office-Anwendungen untersucht. Mit Genehmigung des Ministeriums veröffentlichen wir zwei Blogbeiträge über unsere Ergebnisse, diesen langen und einen kurzen Blogbeitrag. Für Fragen zur Forschung wenden Sie sich bitte an SLM Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), das über den Pressesprecher des Justizministeriums unter +31 (0)70 370 73 45 erreicht werden kann.

Ergebnisse der Verhandlungen zwischen der niederländischen Zentralregierung und Microsoft

Anfang Mai 2019 hat SLM Rijk mit Microsoft neue Datenschutzbestimmungen für die 300.000 digitalen Arbeitsplätze der Zentralregierung vertraglich vereinbart. Dies sind die Enterprise-Versionen von Office und die Windows 10-Software, die von den Ministerien, der Steuer- und Zollverwaltung, der Polizei, der Justiz und unabhängigen Verwaltungsbehörden verwendet werden. Drei neue DSFAs (Datenschutz-Folgenabschätzungen, auf Englisch, mit Zusammenfassungen auf Niederländisch), die Privacy Company für die Zentralregierung durchgeführt hat, zeigen, dass Microsoft die acht zuvor identifizierten Datenschutzrisiken für Office 365 ProPlus durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen gelöst hat. Lesen Sie hier den vorherigen Blog über diese Risiken. In einem Schreiben (nur auf Niederländisch), was vor kurzem an das niederländische Parlament gerichtet wurde, sind die Ergebnisse der Verhandlungen, die SLM Rijk mit Microsoft geführt hat, aufgeführt: Microsoft fungiert nur als Auftragsverarbeiter für alle seine Online-Dienste, verarbeitet die personenbezogenen Daten für nur drei Zwecke, verarbeitet die Nutzerdaten nicht für Profiling, Datenanalyse, Marktuntersuchungen oder Werbung, und gewährt der Zentralregierung wirksame Auditrechte.

Die neuen vertraglich festgelegten Datenschutzbestimmungen für die niederländische Zentralregierung gelten jedoch noch nicht für die Verarbeitung über Windows 10 Enterprise oder für die mobilen Office-Apps. Darüber hinaus sind bestimmte technische Verbesserungen, die Microsoft in Office 365 ProPlus implementiert hat, in Office Online (noch) nicht verfügbar. Von mindestens drei der iOS Apps geht der Traffic über die Nutzung der Apps an eine US-Amerikanische Marketingfirma, die sich auf predictive profiling spezialisiert hat. Die Regierung wird jedoch weiterhin mit Microsoft verhandeln, um Windows und die mobilen Apps in den Anwendungsbereich der neuen Datenschutzbestimmungen zu bringen, und die gleichen technischen Verbesserungen für Office Online zu implementieren.

SLM Rijk rät daher staatlichen Institutionen, Office Online und die mobilen Office-Apps vorerst nicht zu nutzen und sich für eine möglichst geringe Datenerfassung unter Windows 10 zu entscheiden, nämlich: Security (Sicherheit).

Unternehmen und Organisationen außerhalb der niederländischen Zentralregierung können selbst eine Reihe von Maßnahmen ergreifen (siehe die Liste unten in diesem Blog), aber nur Microsoft ist in der Lage, die hohen Datenschutzrisiken zu beseitigen. Aus diesem Grund sollten diese Organisationen über Datenschutzgarantien verhandeln, die denen der niederländischen Regierung ähnlich sind, vorzugsweise über einen Dachverband oder eine Gewerkschaft. Es würde nicht schaden, auf die laufende Untersuchung des Europäischen Datenschutzbeauftragten über die Vertragsbedingungen, die Microsoft den europäischen Institutionen anbietet, hinzuweisen. Darüber hinaus können Unternehmen auch ihre eigene DSFA auf der Grundlage der Berichte der niederländischen Regierung durchführen und die Restrisiken der Datenschutz Aufsichtsbehörde gemäß Artikel 36 DSGVO melden.

Datenerfassung über die Software und auf Microsofts eigene Server

Microsoft Office kann auf drei Arten genutzt werden: installiert auf den Computern und Laptops der Benutzer (Office 365 ProPlus), installiert auf Smartphones und Tablets (mobile Office-Apps für iOS und Android) und in Form von Online-Apps, die im Browser ausgeführt werden (Office Online). Von allen drei Arten von Office aus haben die Benutzer Zugriff auf Online-Mikroservices wie die Rechtschreibprüfung, das Übersetzungsmodul oder die Möglichkeit, Bilder aus dem Internet einzufügen. Dies sind die sogenannten Connected Experiences.

Fast alle niederländischen Regierungsorganisationen nutzen die Office-Software in Kombination mit Windows 10 als Betriebssystem. Viele Regierungsorganisationen nutzen auch die Cloud-Services von Microsoft: SharePoint Online und OneDrive for Business, und manchmal auch den Online Mailserver Exchange Online. Die Verwendung des Azure Active Directory-Dienstes ist obligatorisch (für die Authentifizierung der beruflichen Nutzerkonten).

Microsoft erhebt und speichert über seine Software und sein Betriebssystem in großem Umfang personenbezogene Daten über das Verhalten der Nutzer, sogenannte diagnostische Daten. Microsoft sammelt diese Daten auf verschiedene Weise: über systemseitig generierte Ereignisprotokolle auf eigenen Servern, und über den sogenannten Telemetrie-Client in Windows 10, in Office 365 ProPlus und in den mobilen Office-Apps. Diese Telemetrie-Clients sammeln systematisch diagnostische Daten auf dem Gerät des Benutzers, und senden diese Informationen regelmäßig Microsofts Server in den Vereinigten Staaten.

Die DSFAs befassen sich mit den Risiken für die betroffenen Personen bei der Verarbeitung dieser diagnostischen Daten, und somit nicht mit den Inhaltsdaten, die die Nutzer von Microsoft verarbeitet werden lassen, wie Texte, Fotos und Videos. Auch die diagnostischen Daten unterscheiden sich von den Funktionsdaten, die Microsoft (vorübergehend) verarbeiten muss, damit die Nutzer die Online-Dienste von Microsoft über das Internet nutzen können.

Neue Datenschutzbestimmungen für die niederländische Zentralregierung

SLM Rijk hat mit Microsoft vertragliche Datenschutzgarantien für alle Online Services und für Office 365 ProPlus ausgehandelt. In der neuen Vereinbarung mit der niederländischen Zentralregierung ist festgelegt, dass Microsoft nur als Auftragsverarbeiter für die Daten, die es über die Nutzung von Office 365 ProPlus, die meisten Connected Experiences und die Cloud-Dienste erhält, fungieren darf, und dass es sich bei diesen Daten um personenbezogene Daten handelt. Microsoft darf die Daten nur für drei legitime Zwecke und auch nur dann verarbeiten, wenn dies verhältnismäßig ist. Dies sind die folgenden Ziele: (1) die Bereitstellung und technische Verbesserung des Dienstes, (2) die Aktualisierung des Dienstes und (3) Sicherheit. Bisher hat Microsoft die Daten für acht Zwecke verarbeitet, und zusätzlich für alle Zwecke, die es für kompatibel mit den übrigen Zwecken hielt.

Diese strenge Zweckbindung gilt sowohl für die Inhaltsdaten (Kundendaten) als auch für alle Arten von diagnostischen Daten, einschließlich der vom System generierten Ereignisprotokolle auf den eigenen Servern von Microsoft. Microsoft hat auch zugesichert, dass es niemals eine der beiden Arten von Daten für Profiling, Datenanalyse, Marktforschung oder Werbung verwenden wird, es sei denn, der Kunde wünscht dies ausdrücklich. Dazu gehört insbesondere ein Verbot in der Vereinbarung über die Verwendung von diagnostischen Daten zur Darstellung von "Empfehlungen" zu Microsoft-Produkten, die der Kunde nicht gekauft oder verwendet hat.

Die niederländische Regierung hat wirksame Prüfungsrechte ausgehandelt und sich auch verpflichtet, jährlich ein unabhängiges Audit durchführen zu lassen, um die Einhaltung dieser Maßnahmen und Vereinbarungen zu überprüfen. SLM Rijk wird hierzu eine Zusammenfassung der Ergebnisse veröffentlichen.

Ergriffene Maßnahmen Microsoft Office 365 ProPlus

Nach der Veröffentlichung der ersten DSFA zu Office 365 ProPlus hat Microsoft in den letzten sechs Monaten eine Vielzahl technischer und organisatorischer Maßnahmen ergriffen, um die für Office 365 ProPlus identifizierten Datenschutzrisiken weltweit zu reduzieren.

Seit Mai 2019 veröffentlicht Microsoft umfassende Dokumentation zu den diagnostischen Daten im Zusammenhang mit dem Einsatz von Office ProPlus. Microsoft hat sein bestehendes Data Viewer Tool für Windows 10 angepasst, um auch die Telemetrie-Daten von Office 365 ProPlus anzuzeigen. Auf diese Weise können die betroffenen Personen die Office ProPlus-Daten anzeigen, die Microsoft von ihrem Gerät sammelt.

Seit Mai 2019 bietet Microsoft eine Vielzahl von häufig genutzten und unverzichtbaren Connected Experiences wie die Rechtschreibprüfung, das Übersetzungsmodul und die Office-Hilfe als Auftragsverarbeiter und nicht mehr als Verantwortlicher an. Es gibt 14 Connected Experiences, für die Microsoft Verantwortlicher bleibt (die zusätzlichen Connected Experiences), aber Microsoft ermöglicht es Systemadministratoren von Office ProPlus, die Nutzung dieser Controller Connected Experiences zentral auszuschalten. Durch die zentrale Deaktivierung dieser Dienste wird das Risiko vermieden, dass Microsoft die Mitarbeiter als Endnutzer um ihre Einwilligung bittet, Daten über die Nutzung dieser Dienste sammeln zu dürfen, während die Einwilligung aber keine gültige rechtliche Grundlage für diese Verarbeitung darstellt.

Seit Office 365 ProPlus Version 1904, die von Microsoft seit dem 29. April 2019 zur Verfügung gestellt wird, hat Microsoft auch eine Option für Systemadministratoren eingebaut, um das Telemetrie-Niveau zu minimieren. Microsoft bietet drei Optionen an: Required (erforderlich), Optional (optional) und Neither (weder noch).

Die technischen Untersuchungen für diese DSFA, die sich auf die Niveaus ‘Required‘ und ‘Neither‘ beschränkt, zeigt, dass Microsoft eine begrenzte Anzahl von Telemetrie-Meldungen über die Verwendung der (neuen Versionen von) Office ProPlus-Software sammelt. Sowohl auf dem Niveau ‘Required‘ als auch auf dem Niveau ‘Neither‘ enthalten die Daten keinen Inhalt aus Dateien, E-Mails oder Konversationen, und keine direkt identifizierenden Informationen wie Benutzernamen oder E-Mail-Adressen. Die Nachrichten, die sich auf die Processor (Auftragsverarbeiter) Connected Experiences wie die Rechtschreibprüfung und das Übersetzungsmodul beziehen, enthalten ebenfalls keine Fragmente des Inhalts.

Einige Nachrichten auf dem ‘Required‘-Niveau enthalten sensiblere Informationen, wie z.B. die genaue Anzahl der Seiten, Absätze, Zeilen, Wörter, Zeichen, Leerzeichen, Bilder und Anführungszeichen in einer Word-Datei.

Es scheint kaum einen Unterschied zwischen den beiden Telemetrie-Niveaus zu geben, trotz der Erklärung von Microsoft, dass, wenn keine der beiden gewählt wird, keine Diagnosedaten über die Verwendung der installierten Software an Microsoft gesendet werden.

Als Reaktion auf die Ergebnisse wies Microsoft darauf hin, dass es neben der Telemetrie-Wahl immer zwei weitere Arten von diagnostischen Daten über Office ProPlus sammelt, nämlich Daten über die Nutzung der Connected Experiences und Daten über das, was Microsoft Essential Services nennt (wie Authentifizierung und Lizenzverifizierung). Es fehlt an Informationen über diese Verarbeitungen.

Der Bericht kommt zu dem Schluss: wenn die Systemadministratoren der niederländischen Regierungsorganisationen den Empfehlungen dieser DSFA folgen, dann gibt es dank der technischen und vertraglichen Maßnahmen keine bekannten hohen Datenschutzrisiken für die betroffenen Personen bei der Erhebung von Daten über die Nutzung von Microsoft Office 365 ProPlus mehr.

Ergebnisse der DSFA zu Office Online und die mobilen Office Apps

Microsoft hat diese Verbesserungen in Office Online und den mobilen Office-Apps noch nicht umgesetzt, und die Maßnahmen gelten (noch) nicht für die mobilen Office-Apps.

Microsoft hat noch keine technische Opt-Out-Möglichkeit geschaffen, um die Nutzung der Controller Connected Experiences in Office Online und der Mobile Office Apps zu verbieten. Microsoft hat auch keine Informationen über die diagnostischen Daten aus den mobilen Office-Apps oder Office Online veröffentlicht, und bietet den Administratoren in diesen Softwareversionen keine Möglichkeit, den Datenfluss zu minimieren.

Microsoft qualifiziert sich als Verantwortlicher für die mobilen Office-Apps. Dies bedeutet, dass die vertraglichen Verbesserungen, die SLM Rijk mit Microsoft ausgehandelt hat, nicht gelten, obwohl Microsoft versichert hat, dass alle Datenschutzbestimmungen effektiv für alle Daten gelten, die es über Benutzer, die mit ihrem Azure Active Directory-Konto angemeldet sind, verarbeitet.

Obwohl die technische Analyse des Datenverkehrs von Office Online und den mobilen Apps zeigt, dass Microsoft nicht viele diagnostische Daten und keine aussagekräftigen Daten aus dem Inhalt von Dateien, E-Mails oder Chats sammelt, sendet Microsoft diagnostische Daten über mindestens drei der iOS-Apps (Word, Excel und PowerPoint) an ein Marketingunternehmen in den USA. Diese Verarbeitung erfolgt ohne das Wissen der Benutzer, und ohne Informationen über das Vorhandensein oder den Zweck dieser Verarbeitung. Obwohl die Daten, die zeigen, dass ein Mitarbeiter zu einem bestimmten Zeitpunkt mit einer bestimmten App gearbeitet hat, nicht an sich selbst sensibel sind, werden sie an ein Unternehmen in den Vereinigten Staaten übertragen, das nicht an die mit Microsofts verhandelten Datenschutzbestimmungen gebunden ist. Das Unternehmen spezialisiert sich auf predictive profiling von Einzelpersonen für kommerzielle Zwecke.

Der Bericht kommt zu dem Schluss: Derzeit birgt die Verarbeitung von diagnostischen Daten über die Nutzung der mobilen Office-Apps und der Controller Connected Experiences fünf hohe Datenschutzrisiken. Nur Microsoft kann diese Risiken effektiv beseitigen. SLM Rijk empfiehlt den niederländischen Regierungsorganisationen, interne Richtlinien für Mitarbeiter auszuarbeiten, die Office Online und die mobilen Office-Anwendungen vorübergehend nicht zu nutzen. SLM Rijk wird seine Verhandlungen mit Microsoft fortsetzen, um sicherzustellen, dass Microsoft die ausgehandelten Verbesserungen für alle in dem Office 365-Lizenz enthaltenen Dienste weiter umsetzt.

Ergebnisse der DSFA zu Windows 10 Enterprise

Microsoft stuft sich (wie bei den mobilen Office-Apps) als (unabhängiger) Verantwortlicher für die Verarbeitung über Windows 10 Enterprise ein. Infolgedessen fällt die Verarbeitung von diagnostischen Daten über die Nutzung des Betriebssystems nicht unter die neuen Datenschutzgarantien für die niederländische Regierung.

Microsoft erwähnt in seiner technischen Dokumentation spezifische Zwecke für die Verarbeitung von diagnostischen Daten über die individuelle Nutzung der Windows 10-Software. Diese Informationen sind jedoch nicht rechtsverbindlich. Im Rahmen der Vereinbarung mit den Kunden kann Microsoft die Diagnosedaten für fast alle, sehr breit definierten, Zwecke verarbeiten, die in seinen allgemeinen Datenschutzbestimmungen festgelegt sind. Zu den 16 relevanten Zwecken gehört die Verwendung personenbezogener Daten für personalisierte Werbung in Windows 10 und in Apps, für kommerzielle Angebote und die Nutzung von Kontaktinformationen von Kunden für Rekrutierungszwecke, per E-Mail, SMS, Post und Telefon.

Die Verarbeitung von diagnostischen Daten für so viele weit gefasste und undefinierte Zwecke steht im Widerspruch zum Prinzip der Zweckbindung aus der DSGVO. Darüber hinaus gibt es in den meisten Fällen keine rechtliche Grundlage für die Verarbeitung der diagnostischen Daten für diese Zwecke. Als (einzelner oder gemeinsamer) Verantwortlicher kann Microsoft sich nicht erfolgreich auf die Einwilligung der Mitarbeiter stützen, da diese aufgrund der abhängigen Stellung im Beschäftigungsverhältnis keine freiwillige Zustimmung geben können. Gleichzeitig ist nach §11.7a niederländisches Telekommunikationsgesetz eine Einwilligung erforderlich, um Daten über das Internet via einer eingebauten Software einzusammeln, wenn eine solche Verarbeitung nicht unbedingt notwendig ist.

Unternehmen können das Risiko einer rechtswidrigen Verarbeitung ausschließen, indem sie das Security Telemetrie-Niveau wählen. Die technische Analyse des Telemetrie-Datenverkehrs zeigt, dass Microsoft sehr wenig personenbezogene Daten verarbeitet, wenn die Telemetrie auf diesem niedrigsten Niveau eingestellt ist, und es keine sensiblen personenbezogenen Daten verarbeitet. Der Bericht kommt zu dem Schluss, dass, wenn die Telemetrie auf Security eingestellt ist (oder der Telemetrie-Verkehr blockiert ist), und wenn die Administratoren die Verwendung der Cloud-Synchronisierungsfunktionalität über die Windows-Timeline zentral verbieten, keine hohen Datenschutzrisiken bestehen.

SLM Rijk liefert Microsoft einen wesentlichen Input für die Entwicklung einer Strukturellen Lösung für Windows 10 Enterprise-Kunden ab Version 1809. Microsoft weist darauf hin, dass diese Lösung es Regierungsorganisationen ermöglichen wird, die DSGVO einfacher einzuhalten, wenn sie grundlegende und höhere Telemetrie-Niveaus verwenden. An dieser Lösung wird derzeit gearbeitet. Microsoft erwartet, diese noch in diesem Jahr zu veröffentlichen.

Selbst Maßnahmen zur Verbesserung des Datenschutzes ergreifen

Alle Administratoren der Office- und Windows-Software können eine Reihe konkreter Maßnahmen ergreifen, um die Datenschutzrisiken für Mitarbeiter und andere Interessengruppen zu reduzieren:

  • Aktualisieren Sie auf Version 1905 oder höher von Office 365 ProPlus und stellen Sie die Telemetrie auf das Niveau "Neither" ein.
  • Nutzen Sie die technische Möglichkeit, die Nutzung der Controller Connected Experiences in Office 365 ProPlus zu verbieten (zusätzliche Connected Experiences deaktivieren).
  • Deaktivieren Sie das Customer Experience Improvement Program (CEIP) in Office ProPlus.
  • Deaktivieren Sie die LinkedIn-Integration für Microsoft-Mitarbeiterkonten in Office ProPlus.
  • Richten Sie Richtlinien ein, um die Mitarbeiter vor der Verwendung der mobilen Office-Apps und der Controller Connected Experiences in Office Online zu warnen, bis die fünf hohen Risiken gemildert sind.
  • Wählen Sie so schnell wie möglich die niedrigste und minimalste Stufe der Erfassung von diagnostischen Daten in Office Online und den mobilen Apps.
  • Aktualisieren Sie Ihre interne Datenschutzrichtlinie für den Umgang mit personenbezogenen Daten der Mitarbeiter mit spezifischen Informationen für welche Zwecke und unter welchen Umständen das Unternehmen verschiedene Arten von diagnostischen Daten aus den verschiedenen Diensten und Produkten von Microsoft anschauen kann.
  • Führen Sie DSFAs durch, bevor Sie Workplace Analytics und Activity Reports im Microsoft 365 Admin Center verwenden und bevor Mitarbeiter MyAnalytics und Delve nutzen können.
  • Erwägen Sie die Verwendung von Customer Lockbox und Customer Key, abhängig von der Empfindlichkeit der Inhaltsdaten.
  • Aktualisieren Sie auf die Version 1903 von Windows 10 Enterprise, um Intune mit Security-Telemetrie zu verwenden.
  • Stellen Sie das Telemetrie-Niveau in Windows 10 Enterprise auf Security oder blockieren Sie den Telemetrieverkehr und erlauben Sie es Benutzern nicht, ihre Aktivitäten über die Timeline-Funktionalität zu synchronisieren.
  • Berücksichtigen Sie mögliche Änderungen für die Validität von Datentransfermechanismen (wie das EU-US Privacy Shield) aufgrund der künftigen Rechtsprechung des Europäischen Gerichtshofs. Es liegt an dem Europäischen Gerichtshof, die Risiken der massenhaften Überwachung in den Vereinigten Staaten zu bewerten, und an dem europäischen Gesetzgeber, die verbleibenden Risiken der Übermittlung von diagnostischen Daten aus der EU in die USA zu verringern.

Das Wie und Warum dieser Empfehlungen wird in den drei separaten DSFAs für SLM Rijk erläutert. Siehe auch die ausführlichen niederländischen Zusammenfassungen der Berichte zu Office 365 ProPlus, Office Online und den mobilen Apps, und Windows 10 Enterprise.

Privacy Company veröffentlicht auch einen kurzen Blog mit den Highlights dieser drei Berichte.

Author image
Sjoera Nas