Ende 2016 war bekannt geworden, dass Microsoft bei Windows 10 in erheblichem Maße Ereignisdaten aus der Nutzung von Windows 10 an eigene Server weiterleitet. Sinn dieser Datenweitergabe ist die Weiterentwicklung von Windows durch Verfolgung von Fehler- und Problemsituationen in Echtzeit. Wir berichteten darüber. Man kann bei Windows 10 diese Datenübertragung zwar jetzt abschalten, hat dann aber Probleme mit Updates. Die datenschutzgerechte Nutzung ist auch bei Windows 10 noch nicht endgültig gelöst.

Nun wurde bekannt, dass Microsoft bei Office 16 und Office 365 noch viel mehr Daten auf seine Server ableitet. Waren es bei Windows 10 immerhin 2000 Ereignistypen, die an 10 Entwicklerteams zur Auswertung geschickt wurden, sind es bei Office 16/365 bedeutend mehr: 23.000 bis 25.000 Ereignistypen werden an 20 – 30 Entwicklerteams weitergeleitet. In bestimmten Fällen erhält Microsoft z.B. die Betreffzeilen von E-Mail-Adressen, einzelne Wörter, den Namen und die IP-Adresse des Benutzers. Es gibt bisher keine Möglichkeit, diese Weitergabe zu unterbinden, und kein Tool zum Sichtbarmachen dieser Telemetrie-Nachrichten. Da Microsoft seine Anwendungen laufend verbessert, können neue Nachrichtentypen jederzeit hinzugefügt werden, ohne eine Kontrollmöglichkeit des einzelnen Nutzers.

Studie im niederländischen Auftrag

Bekanntgeworden ist dieses Vorgehen durch eine Studie im Auftrag des niederländischen Ministeriums für Sicherheit und Justiz. Die Untersuchung wurde vom Unternehmen Privacy Company als Datenschutzfolgenabschätzung (englisch DPIA)  durchgeführt und ist hier veröffentlicht. (In den Niederlanden benutzt der ganze Öffentliche Dienst mit 300.000 Nutzern Windows 16 bzw. 365.)

Auf die übermittelten Telemetrie-Daten von Office 365 könnten dem Bericht zufolge US-Behörden, wie Geheimdienste, im Rahmen ihrer Befugnisse der Rechtsdurchsetzung zugreifen (Seite 40).

Telemetriedaten sind personenbezogene Daten

Schon bei der Bewertung von Windows 10 waren europäische Datenschutzbehörden zu dem Ergebnis gekommen, dass Microsofts Telemetriedaten personenbezogene Daten im Sinne von Art. 4 DSGVO sind. Das gilt nach dem DPIA-Bericht auch für die Telemetriedaten von Office 365/16 (Seite 25). Der Bericht schlussfolgert, dass der Einsatz von Office 365 derzeit keine Auftragsverarbeitung nach Art. 28 DSGVO sein könne. Stattdessen sei Microsoft als Gemeinsam Verantwortlicher (Joint Controller) nach Art. 26 DSGVO einzustufen, da z.B. der Kunde von Microsoft die Speicherfristen der Diagnosedaten nicht kontrollieren könne, was aber nach Art. 28 DSGVO für einen Auftraggeber erforderlich sei (Seite 46 – 48 und 60/61). Im Teil zur rechtlichen Bewertung im DPIA wird ausführlich analysiert, dass die derzeitige Funktionalität von Office 365 nicht der DSGVO entspricht, unter anderem, weil das einsetzende Unternehmen bei diesen Diagnosedaten den Betroffenenrechten auf Auskunft, Löschung oder Berichtigung nicht Rechnung tragen kann (Seite 72 – 75).

Ausblick

Microsoft will mit den niederländischen Behörden zusammenarbeiten, um das Problem zeitnah zu lösen. Ähnlich zeitnah wie bei Windows 10, wo es nach zwei Jahren nicht ganz gelöst ist? Man darf gespannt sein.