Ende 2016 war bekannt geworden, dass Microsoft bei Windows 10 in erheblichem Maße Ereignisdaten aus der Nutzung von Windows 10 an eigene Server weiterleitet. Sinn dieser Datenweitergabe ist die Weiterentwicklung von Windows durch Verfolgung von Fehler- und Problemsituationen in Echtzeit. Wir berichteten darüber. Man kann bei Windows 10 diese Datenübertragung zwar jetzt abschalten, hat dann aber Probleme mit Updates. Die datenschutzgerechte Nutzung ist auch bei Windows 10 noch nicht endgültig gelöst.
Nun wurde bekannt, dass Microsoft bei Office 16 und Office 365 noch viel mehr Daten auf seine Server ableitet. Waren es bei Windows 10 immerhin 2000 Ereignistypen, die an 10 Entwicklerteams zur Auswertung geschickt wurden, sind es bei Office 16/365 bedeutend mehr: 23.000 bis 25.000 Ereignistypen werden an 20 – 30 Entwicklerteams weitergeleitet. In bestimmten Fällen erhält Microsoft z.B. die Betreffzeilen von E-Mail-Adressen, einzelne Wörter, den Namen und die IP-Adresse des Benutzers. Es gibt bisher keine Möglichkeit, diese Weitergabe zu unterbinden, und kein Tool zum Sichtbarmachen dieser Telemetrie-Nachrichten. Da Microsoft seine Anwendungen laufend verbessert, können neue Nachrichtentypen jederzeit hinzugefügt werden, ohne eine Kontrollmöglichkeit des einzelnen Nutzers.
Studie im niederländischen Auftrag
Bekanntgeworden ist dieses Vorgehen durch eine Studie im Auftrag des niederländischen Ministeriums für Sicherheit und Justiz. Die Untersuchung wurde vom Unternehmen Privacy Company als Datenschutzfolgenabschätzung (englisch DPIA) durchgeführt und ist hier veröffentlicht. (In den Niederlanden benutzt der ganze Öffentliche Dienst mit 300.000 Nutzern Windows 16 bzw. 365.)
Auf die übermittelten Telemetrie-Daten von Office 365 könnten dem Bericht zufolge US-Behörden, wie Geheimdienste, im Rahmen ihrer Befugnisse der Rechtsdurchsetzung zugreifen (Seite 40).
Telemetriedaten sind personenbezogene Daten
Schon bei der Bewertung von Windows 10 waren europäische Datenschutzbehörden zu dem Ergebnis gekommen, dass Microsofts Telemetriedaten personenbezogene Daten im Sinne von Art. 4 DSGVO sind. Das gilt nach dem DPIA-Bericht auch für die Telemetriedaten von Office 365/16 (Seite 25). Der Bericht schlussfolgert, dass der Einsatz von Office 365 derzeit keine Auftragsverarbeitung nach Art. 28 DSGVO sein könne. Stattdessen sei Microsoft als Gemeinsam Verantwortlicher (Joint Controller) nach Art. 26 DSGVO einzustufen, da z.B. der Kunde von Microsoft die Speicherfristen der Diagnosedaten nicht kontrollieren könne, was aber nach Art. 28 DSGVO für einen Auftraggeber erforderlich sei (Seite 46 – 48 und 60/61). Im Teil zur rechtlichen Bewertung im DPIA wird ausführlich analysiert, dass die derzeitige Funktionalität von Office 365 nicht der DSGVO entspricht, unter anderem, weil das einsetzende Unternehmen bei diesen Diagnosedaten den Betroffenenrechten auf Auskunft, Löschung oder Berichtigung nicht Rechnung tragen kann (Seite 72 – 75).
Ausblick
Microsoft will mit den niederländischen Behörden zusammenarbeiten, um das Problem zeitnah zu lösen. Ähnlich zeitnah wie bei Windows 10, wo es nach zwei Jahren nicht ganz gelöst ist? Man darf gespannt sein.
4. Dezember 2018 @ 11:29
Der Inhalt von Dokumenten wird nicht weitergeleitet, sondern nur kleine Teile davon. Wichtig ist, dass die Verantwortlichen die Risiken kennen und auf dieser Grundlage entscheiden. Bisher gibt es keine Stellungnahme einer Aufsichtsbehörde, so dass das Risiko von aufsichtsbehördlichen Maßnahmen gering sein dürfte. Es kommt darauf an, ob die Weitergabe von einzelnen Wörtern, oder von Betreffzeilen von Emails, an Microsoft oder die NSA als Risiko eingeschätzt wird. (In dem Fall sollte man besser LibreOffice benutzen. ) Wenn kein Risiko vorliegt, ist die Weitergabe dieser Daten auch keine meldepflichtige Datenpanne im Sinne von Art. 33 DSGVO.
29. November 2018 @ 15:42
Was bedeutet dies nun für die Praxis? Muss z. B. der Landesdatenschutzbeauftragte informiert werden, wenn in einem Krankenhaus der Arztbrief mit Word geschrieben wurde und nun der Inhalt höchstwahrscheinlich in den USA gelandet ist?