Immer wieder steht Microsoft in der Kritik nicht datenschutzkonform mit den Daten seiner Nutzer umzugehen. Somit ist es nichts neues, dass auch das neue Update für das Microsoft E-Mailprogramm Outlook in der Kritik steht, gegen die aktuell geltenden Datenschutzvorschriften zu verstoßen. Insbesondere erhält Microsoft durch das Update nun über Outlook einen umfassenden Zugriff auf dort erhobene Nutzerdaten. Die Landesbeauftragte für Datenschutz (LDI) NRW hat deshalb die Empfehlung ausgesprochen, „die neue Version vor der Nutzung genau zu prüfen. Bleiben die Bedenken bestehen, sollte das Update – sofern möglich – nicht durchgeführt werden.“ Auch der Bundesbeauftragte für Datenschutz und Informationssicherheit sprach in seiner Empfehlung im Dezember 2023 den Hinweis aus, dass eine datenschutzkonforme Nutzung aktuell nicht möglich sei.
Dieser Blogbeitrag soll einen kurzen Überblick über die, aus datenschutzrechtlicher Sicht, kritischen Punkte über das Outlook Update geben.
Überblick über die neuen Funktionen des Outlook-Updates:
Das Update ist bereits im Microsoft Store verfügbar und wird mit dem Funktionsupdate 23H2 von Windows 11 vorinstalliert. Microsoft bewirbt, dass mit jenem Update unter anderem eine besonders benutzerfreundliche Anwendung des Programms gewährleistet wäre. Insgesamt soll die neue Version von Outlook – laut Aussage von Microsoft – als eine Arbeitserleichterung angesehen werden. Insbesondere soll künftig die Verwaltung des E-Mailpostfaches durch automatische Priorisierung der E-Mails für den Nutzer verbessert und vereinfacht werden.
Tatsächlich können die neuen Funktionen von Outlook eine Erleichterung des Arbeitsalltages mit sich bringen. Dennoch sollten die damit verbundenen datenschutzrechtlichen Risiken nicht außer Acht gelassen werden. Denn jedes neue Feature kann seinen (datenschutzrechtlichen) Preis haben.
Unzureichende datenschutzrechtliche Informationen an die Nutzer seitens Microsoft
Der Nutzer wird nicht vollständig über die Verarbeitung seiner Daten durch Microsoft aufgeklärt, obwohl durch das neue Update alle Nutzer-Accounts (inklusive dazugehöriger Passwörter), E-Mails sowie deren Anhänge analysiert und innerhalb der Microsoft Cloud gespeichert werden. Dies stellt einen Verstoß gegen den Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO dar. Denn demnach muss die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten umfassend und in einer für die betroffene Person nachvollziehbaren Weise aufgeklärt werden. Seitens Microsoft erhält der Nutzer bei der Installation des neuen Updates jedoch lediglich die Mitteilung, dass E-Mails künftig mit der Microsoft Cloud synchronisiert werden:
„Die Synchronisierung Ihres Kontos mit der Microsoft Cloud bedeutet, dass eine Kopie Ihrer E-Mails, Kalender und Kontakte zwischen Ihrem E-Mail-Anbieter und Microsoft-Rechenzentren synchronisiert wird. Wenn Sie Ihre Postfachdaten in der Microsoft Cloud haben, können Sie die neuen Features des Outlook-Clients (Neues Outlook für Windows, Outlook für iOS, Outlook für Android, Outlook.com oder Outlook für Mac) genau wie bei Ihren Microsoft-Konten mit Ihrem Nicht-Microsoft-Konto verwenden. Ihre Erfahrung in Ihrem nativen Konto und in allen Apps dieses Anbieters bleibt unverändert.“
Wie und zu welchen konkreten Zwecken die einzelnen Daten an die Cloud übermittelt werden, teilt Microsoft nicht t mit. Des Weiteren wird der Nutzer nicht darüber informiert, dass weitere Daten (wie bspw. seine Zugangsdaten) auch in der Microsoft-Cloud gespeichert werden. Genau diese Intransparenz der Datenverarbeitung stellt aus datenschutzrechtlicher Sicht ein großes Problem dar. Denn der Nutzer muss über jede Datenverarbeitung entsprechend informiert werden (vgl. Art. 5 Abs. 1 lit. a, Art. 13, Art. 14 DSGVO).
Dass Microsoft sehr sparsam mit Informationen über die Verarbeitung der Nutzerdaten sowie deren Verarbeitungszwecke ist, ist keine bahnbrechende Neuigkeit. Zum Thema Microsoft und Datenschutzkonformität – insbesondere zum Thema fehlende Transparenz der Datenverarbeitung seitens Microsoft – hat sich bereits die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder geäußert. Es ist somit wenig überraschend, dass auch im Falle des neuen Outlook -Updates die seitens Microsoft bereitgestellten Informationen über die Verarbeitung der Nutzerdaten nicht ausreichend und konsequent intransparent sind.
Warum Microsoft eine so umfassende Datenverarbeitung vornimmt, wird nicht aufgeklärt. Auch die LDI NRW bemängelt dies in ihrer Stellungnahme vom 20.12.2023. Mit folgendem Satz wurde hierzu Stellung bezogen: „Es bleibt unklar, zu welchen konkreten Zwecken die Verarbeitung dieser Daten erfolgt.“
Fehlende Rechtsgrundlage der Datenverarbeitung
Eine datenschutzkonforme Verarbeitung der Nutzerdaten bedarf stets einer Rechtsgrundlage aus der DSGVO oder einem Spezialgesetz. Der umfangreichen Datenverarbeitung durch Microsoft mit Hilfe des neuen Outlook-Updates fehlt es jedoch an einer Rechtsgrundlage.
Im vorliegenden Fall basiert die umfassende Verarbeitung der Nutzerdaten weder auf dem berechtigten Interesse von Microsoft nach Art. 6 Abs. 1 S. 1 lit. f DSGVO, noch auf dem Zweck der Vertragserfüllung gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO. Folglich kommt damit als Rechtsgrundlage nur eine explizite Einwilligung seitens des Nutzers in die jeweiligen Datenverarbeitungen (Nutzeraccounts, Passwörter, etc.) nach Art. 6 Abs. 1 S. 1 lit. a DSGVO in Betracht. Eine solche wird aber von Microsoft bisher nicht eingeholt. Die Informationen, die von Microsoft dem Nutzer bereitgesellt werden, sind – auch nach Ansicht des Bundesbeauftragten für Datenschutz – nicht ausreichend.
Fazit:
Der Einsatz von Microsoft Produkten oder Apps ist aus datenschutzrechtlicher Sicht weiterhin bedenklich. Dies zeigt sich auch wieder anhand des neuen Updates von Outlook. Obwohl das neue Update den (Arbeits-) Alltag vereinfachen kann, indem bspw. Mails priorisiert werden, sollte man sich dennoch der umfassenden Datenverarbeitung durch Microsoft bewusst sein. Denn jedes neue Feature hat bei Microsoft auch seinen Preis. Ob man bereit ist für den neuen Komfort eine umfassende Datenverarbeitung zu zulassen, muss jeder für sich selbst entscheiden. Viele Landesbeauftragen für Datenschutz sowie der Bundesbeauftragte für Datenschutz raten von einem weiteren Einsatz von Microsoft Outlook nach der Installation des neuen Updates ab.
Jan P.
26. April 2024 @ 11:38
Ich gehe davon aus, das der Artikel hier das „Outlook for Windows“ (https://t1p.de/tod90) betrifft, richtig? Der Titel sollte dann vielleicht angepasst werden. Oder betrifft die Problematik auch die in Office-Angeboten (MSO 365…) inkludierten Versionen von „Microsoft Outlook“ (https://t1p.de/9nya2)?
Zumindest zukünftig dürften die Aussagen jedenfalls auch das „klassische Outlook“ betreffen (Artikel von Heise https://t1p.de/yklt7).
anonymous
23. April 2024 @ 12:25
Gut, dass die DSGVO nur in Europa und praktisch nicht/kaum für US-Unternehmen gilt (*Ironie aus*).
Übrigens: Kann ich denn gegen einen x-beliebigen Dritten (z.B. Handwerker, sonstiger Unternehmer) einfach eine DSGVO-Auskunft explizit auch zu den in der MS-Cloud gespeicherten Daten und entsprechende Garantien verlangen? Hmm .. (*schelmisches Lächeln an*)
anonymous
7. Mai 2024 @ 11:30
klar, compliance DSGVO Anfrage im 365 Compliance Admin Center erstellen
Stephan Bürger
18. April 2024 @ 11:34
Was ich nicht verstehe, ist das „wischi waschi“ der sogenannten Datenschützer.
Warum nicht einfach sagen. Wir verbieten dieses Produkt, da es gehen EU Gesetze verstößt.
Nein. Immer wird die Verantwortung an die Unternehmen weitergegeben.
Und darum kann Microsoft so arbeiten. Verbietet die Produkte (auch den Vertrieb an oder in die EU). Mal sehen, was MS dann macht.
W. Schneider
18. April 2024 @ 8:34
Es wäre reichlich blauäugig von den Aufsichtsbehörden, anzunehmen, dass Unternehmen von Outlook zu anderen Mailprogrammen migrieren würden. Es wird auf einen Argumente-Ping-Pong zwischen Aufsichtsbehörden und Microsoft hinauslaufen. Ebenfalls nichts ungewöhnliches…
D.
15. April 2024 @ 9:14
Microsoft könnte sich hinter dem Schleier der Verantwortung verstecken. Dass diese lustige neue Funktion nicht durch sie zu verantworten wäre, sondern durch die nutzenden Kunden. Denen fällt wahrscheinlich auch keine Rechtsgrundlage ein, das ist aber nicht schlimm. Wie bei den anderen Punkten auch.
D., der sich für dieses weitere faule Ei nur bedanken kann.