Microsoft verspricht Datenschutzverbesserungen bei Windows 10 und Office 365

Aktuell hat Microsoft mit mehreren Problemen bei der Telemetriedatenerfassung und Cloud-Diensten zu kämpfen. Die Computerfachzeitschrift iX, das Magazin für professionelle Informationstechnik, hatte in einem umfassenden Artikel die Office-Cloud von Microsoft ausführlich unter die Lupe genommen und dabei unter anderem die massive Telemetriedatenerfassung scharf kritisiert. Große Mengen auch persönlicher Daten werden übertragen, die betriebssystemseitigen Vorgaben zur Erfassung selbiger werden dabei komplett ignoriert.

Sicherheitstechnisch wurden ebenfalls eklatante Mängel attestiert, darunter im Klartext übermittelte Kennwörter, ein Wildcard-Zertifikat für 14 Domains, nicht gegen Man-in-the-Middle-Angriffe per Proxy-Server gesicherte DLLs (dynamische Programmbibliothek, Dynamic Link Library) und mehr.

Die iX fasste zusammen, dass ein sicherer und zugleich datenschutzkonformer Betrieb von Office 365 gemäß Datenschutzgrundverordnung (DSGVO) nicht möglich sei.

Microsoft verspricht abermals, mehr Transparenz zu schaffen und die Privatsphäre der Nutzer zu schützen. Das Unternehmen sollte und muss handeln, denn der Druck steigt. Insbesondere in Europa untersuchen Verbraucher- und Datenschützer die Vorgänge. Das niederländische Justizministerium hatte zudem eine Untersuchung in Auftrag gegeben, diese schlussfolgerte, dass die genutzte Enterprise-Edition von Office 2016 Pro Plus im großen Umfang gegen die Datenschutzgrundverordnung verstoße. Die Ergebnisse und damit verbundenen Bedenken haben zur Folge, dass die EU-Datenschutzbehörde EDPS jetzt prüft, ob die Verträge der EU-Dienststellen mit Microsoft der seit Ende 2018 geltenden Datenschutzgrundverordnung (DSGVO) entsprechen. Das teilte die Behörde, die für die Überwachung und Durchsetzung des Datenschutzes in der Europäischen Union zuständig ist, unlängst mit.

Die erfassten Telemetriedaten sollen in Zukunft in „erforderlich“ und „optional“ unterteilt werden können. Die erforderlichen Daten schätzt Microsoft als unverzichtbar ein, darunter unter anderem "Begriffe einer Suchanfrage", die IP-Adresse sowie der Typ und die Version des jeweiligen Gerätes. Nur so können wesentliche Funktionsausfälle erkannt und die Verbindungen zu Microsofts Cloud-Diensten und Sicherheitsupdates gewährleistet werden, heißt es. Soll die Erfassung optionaler Telemetriedaten deaktiviert werden, kann das die Funktionalität der Applikation beeinflussen – etwa bei der Dokumentenablage und der Zusammenarbeit in der Cloud. In den Privatsphäreeinstellungen von Office 365 weist Microsoft auf Neuerungen hin. Microsoft weist auf die allgemeine Datenschutz-Informationsseite und das Enterprise Trust Center für Cloud-Sicherheit hin – hier sollen Dokumentationen über gesammelte Daten öffentlich zugänglich sein. Ergänzend dazu plant Microsoft eine halbjährliche Veröffentlichung eines Transparenzberichts auf der allgemeinen Informationsseite. Es bleibt mit Spannung zu erwarten, wie sich die Zukunft des Cloud-Office gestalten wird und ob die Cloud-Fokussierung vermehrt dazu führt, dass Microsoft gegen gesetzliche Auflagen bzw. die europäische Datenschutzgrundverordnung verstößt. Auch die Reaktion der europäischen Verbraucher- und Datenschützer auf Microsofts Verbesserungsversuche bleibt abzuwarten – zufriedenstellend und 100%ig DSGVO-konform dürften die momentanen Lösungsansätze jedoch keineswegs sein.