Es ist heftig, aber keine wirkliche Überraschung: Microsoft spioniert über seine Office Pro Plus-Module die Nutzer bezüglich der individuellen Verwendung aus. Und das Ganze dürfte nicht mit der Datenschutzgrundverordnung im Einklang stehen. Sagt eine niederländische Organisation, die den Einsatz von Office 2016 und Office 365 in niederländischen Regierungsstellen untersucht hat.
Anzeige
Worum geht es?
Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Heimlich, ohne die Leute zu informieren. Das ist die Kernbotschaft des Tweets des Tor-Projekts, die mich über Michael Horowitz (Sicherheitsforscher) schon gestern erreichte.
TL;DR – Microsoft Office spies on users. Considering Windows 10, should not come as a surprise. https://t.co/LguaZI4TF2
— Michael Horowitz (@defensivecomput) 15. November 2018
Nachdem wir mit Windows 10 so etwas erleben, ist das keine wirkliche Überraschung.
Der Hintergrund
Das niederländische Ministerium für Sicherheit und Recht wollte sichergehen, ob die eingesetzte Software im Einklang mit der Datenschutzgrundverordnung und gesetzlichen Bestimmungen ist. Unter anderem kommt auch Microsoft Office in niederländischen Behörden zum Einsatz.
Anzeige
Zum Hintergrund: Das SLM Rijk (Strategisch Leveranciersmanagement Microsoft Rijk) führt Verhandlungen mit Microsoft über rund 300.000 digitale Arbeitsplätze niederländischen Regierungsorganisationen. Die Unternehmensversion der Microsoft Office-Software wird von verschiedenen Regierungsorganisationen wie Ministerien, Justiz, Polizei und Finanzamt eingesetzt.
Beauftragt wurde die Privacy Company (siehe, wo die Dokumente in Niederländisch und Englisch abrufbar sind). Deren Spezialisten untersuchen im Auftrag von Organisationen Produkte, ob diese die Privatsphärenvorgaben im Hinblick auf öffentliche oder gesetzliche Vorgaben erfüllen. Im Dokument Impact assessment shows privacy risks Microsoft Office ProPlus Enterprise legt man die Ergebnisse der DPIA-Untersuchungen vor, die man im Auftrag des niederländischen Ministeriums für Sicherheit und Recht durchgeführt hat. Untersucht wurden Microsoft Office ProPlus (Office 2016 MSI und Office 365 CTR). Auf Wunsch des Ministeriums veröffentlichte die Privacy Company die Ergebnisse in obigem Blog-Beitrag.
Die Ergebnisse dieser Data Protection Impact Assessment (DPIA) sind alarmierend. Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche öffentliche Dokumentation. Der vom Ministerium veröffentlichte DPIA-Bericht (in englischer Sprache) ist hier verfügbar.
Ab sofort bietet das SLM Rijk mit Hilfe von Microsoft Administratoren von Regierungsorganisationen Unterstützung an, die Telemetriedaten von Office auf Null (ero exhaust settings) zu reduzieren. Während das DPIA-Dokument erstellt wurde, hat sich Microsoft verpflichtet, eine Reihe weiterer wichtiger Maßnahmen zu ergreifen, um die Datenschutzrisiken zu verringern.
Oder in Kurzfassung: Die Privacy Company hat Microsoft mal wieder voll mit dem Finger im Honigtopf erwischt und jetzt müssen Administratoren mühsam nachbessern – und Microsoft hat sich nur auf Druck der SLM Rijk bewegt.
Die Office-Spionagefunktionen
Der Bericht legt beunruhigendes für Office-Nutzer bzw. die Verantwortlichen in Firmen offen. Hier einige Punkte:
- Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die Möglichkeit, die Sammlung auszuschalten, oder die Möglichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschlüsselt ist.
- Ähnlich wie bei Windows 10 hat Microsoft in die Office-Software eine separate Software integriert, die regelmäßig Telemetriedaten an ihre eigenen Server in den USA sendet. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, wenn Sie die Rücktaste mehrmals hintereinander verwenden, was wahrscheinlich bedeutet, dass Sie die korrekte Schreibweise nicht kennen. Aber auch der Satz vor und nach einem Wort, den Sie im Online-Rechtschreibprüfung oder Übersetzungsdienst nachschlagen.
- Microsoft sammelt nicht nur Nutzungsdaten über den eingebauten Telemetrie-Client, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Benutzer beispielsweise über die Office-Software auf einen Connected Service wie den Übersetzungsdienst zugreifen, kann Microsoft die personenbezogenen Daten über diese Nutzung in sogenannten systemseitig generierten Ereignisprotokollen speichern.
Microsoft bietet zudem Dienste über das Internet an, die in Office 365 (und auch Office 2016 und 2019) prominent beworben und heraus gestellt werden. Aus technischer Sicht ist es aber unvermeidlich, dass Nutzer Microsoft Daten wie den Header ihrer E-Mail und ihre IP-Adresse zur Verfügung stellen müssen, um die Dienste nutzen zu können. Das alleine sind aber schon persönliche Informationen, die nach DSGVO ohne explizite Zustimmung des Benutzers nicht verarbeitet und gespeichert werden. Wer also Office 2016 in Firmen einsetzt, verstößt als DSGVO-Verantwortlicher gegen die DSGVO.
Die Forderung: Microsoft sollte diese transienten, funktionalen Daten jedoch nicht speichern, es sei denn, die Speicherung ist unbedingt erforderlich, z.B. für Sicherheitszwecke. Im DPIA-Bericht (Data Protection Impact Assessment Report) werden die von Microsoft über Office ProPlus erfassten Daten in drei Kategorien eingeteilt:
- Inhaltsdaten: der Inhalt von Dateien und Kommunikation, die Sie in Ihrem eigenen Rechenzentrum oder auf Cloud-Computern von Microsoft speichern.
- Funktionale Daten: Die Daten, die Sie über das Internet übertragen müssen, um sich mit den Internetdiensten von Microsoft verbinden zu können.
- Diagnosedaten: die Daten, die Microsoft zur Analyse der Nutzung der Dienste speichert.
Im DPIA-Bericht (Data Protection Impact Assessment Report) verwendet Privacy Company diese drei Datenkategorien in Analogie zur Aufteilung der Kommunikationsdaten im ePrivacy-Gesetz in Europa. Diese Gesetzgebung unterscheidet zwischen (i) Inhalten, (ii) Verkehrs-/Ortsdaten, die bei der Nutzung der Kommunikationsdienste entstehen, und (iii) Daten, die für die Übertragung der Kommunikation unbedingt erforderlich sind, aber unmittelbar danach gelöscht oder anonymisiert werden müssen.
Microsoft betont zwar, dass das Unternehmen diese Kategorien nicht verwendet. Microsoft verwendet unter anderem die Kategorien "Kundendaten" und "Persönliche Daten". Microsoft verwendet den Begriff Diagnosedaten nur für die spezifischen Telemetriedaten, die über den eingebauten Software-Client in der lokal installierten Office-Software gesammelt werden.
23.000 bis 25.000 Event-Typen
Microsoft bietet (noch) keine Möglichkeit, den Inhalt des Diagnosedatenstroms zu überprüfen. Microsoft hat erklärt, dass 23.000 bis 25.000 Arten von Ereignissen an die Server von Microsoft gesendet werden und dass 20 bis 30 Ingenieurteams mit diesen Daten arbeiten. Vor allem: Die Microsoft-Ingenieure können mit Office ProPlus von allen Computern aus dynamisch neue Ereignisse zum Datenstrom hinzufügen. Diese Datensammlung ist viel spezifischer als in der Windows 10 Telemetrie. Wenn die Telemetrie unter Windows 10 auf "voll" eingestellt ist, handelt es sich um tausend bis zu zwölfhundert Arten von Ereignissen. Und 10 Teams mit Ingenieuren.
Auch Windows 10 nicht konform
Die niederländische DPA führte 2017 eine Untersuchung der Verarbeitung von Telemetriedaten in der Verbraucher- und KMU-Version (KMU-Kleinunternehmer) von Windows 10 (Home und Pro) durch. Die niederländische DPA kam zu dem Schluss, dass Microsoft in vielerlei Hinsicht gegen das Datenschutzrecht verstößt, unter anderem durch mangelnde Transparenz und Zweckbindung sowie das Fehlen einer Rechtsgrundlage für die Verarbeitung.
Als Reaktion auf diese Untersuchung nahm Microsoft im Frühjahr 2018 einige Anpassungen an Windows 10 vor (ich berichtete darüber). Die niederländische DPA kam zu dem Schluss (vor der eigentlichen Veröffentlichung der Software, Pressemitteilung nur auf Niederländisch), dass der von Microsoft vorgelegte Verbesserungsplan alle Verstöße beenden würde. Die niederländische DPA hat seinerzeit die Datenverarbeitung über die Office-Software nicht untersucht.
Microsoft ist Controller und kein Datenverarbeiter
Microsoft bestimmt den Zweck der Verarbeitung der Diagnosedaten in der Office-Software und die Aufbewahrungsfrist der Daten (30 Tage bis zu 18 Monate, wenn Microsoft es für notwendig hält, sogar länger). Der DPIA-Bericht zeigt, dass Microsoft die Diagnosedaten für 7 Zwecke verarbeitet und für alle anderen Zwecke, die Microsoft für mit diesen Zwecken vereinbar hält. Da Microsoft die Zwecke und Mittel (der Aufbewahrungsfrist) bestimmt, fungiert Microsoft als Controller und nicht als Datenverarbeiter.
Hohe Datenschutzrisiken
Der Bericht sieht hohe Datenschutzrisiken für die betroffenen Personen (Office-Nutzer). Der DPIA-Bericht enthält eine ausführliche Beschreibung von 8 hohen Datenschutzrisiken für die betroffenen Personen. Die Regierungsorganisationen, die Office nutzen, sollten jedoch selbst bestimmen, was die spezifischen Risiken sind – basierend auf den spezifischen personenbezogenen Daten, die sie verarbeiten.
Administratoren in Unternehmen müssen reagieren
Administratoren der Enterprise-Version von Office ProPlus können bereits eine Reihe von spezifischen Maßnahmen ergreifen, um das Datenschutzrisiko für Mitarbeiter und andere Personen in den Niederlanden zu senken. Der Bericht nennt folgendes.
- Verwenden Sie die neuen Null-Daten-Übertragungseinstellungen (zero-exhaust settings)
- Zentrales Verbot der Nutzung von Connected Services
- Zentrale Untersagung der Möglichkeit für Benutzer, personenbezogene Daten an Microsoft zu senden, um "Office zu verbessern".
- Kein SharePoint Oneline / OneDrive verwenden bzw. blockieren.
- Die Verwendung der reine Web-Version von Office 365 sperren.
- Löschen Sie regelmäßig das Active Directory-Konto einiger VIP-Benutzer und erstellen Sie neue Konten für sie, um sicherzustellen, dass Microsoft die historischen Diagnosedaten löscht.
- Erwägen Sie die Verwendung einer eigenständigen Bereitstellung ohne Microsoft-Konto für vertrauliche/sensible Daten.
Und zum Schluss kommt die Empfehlung: Erwägen Sie die Durchführung eines Piloten mit alternativer Software, nachdem Sie einen DPIA zu dieser spezifischen Verarbeitung durchgeführt haben. Dies könnte ein Pilot mit alternativer Open-Source-Produktivitätssoftware sein. Dies würde im Einklang mit der Politik der niederländischen Regierung stehen, offene Standards und Open-Source-Software zu fördern.
Der Bericht schreibt, dass diese Maßnahmen sind nicht in allen Fällen realistisch oder machbar. Es ist nicht möglich, dass die (Enterprise-)Kunden von Office alle Probleme lösen. Was die Verträge und die Übermittlung personenbezogener Daten an die USA betrifft, so muss eine europäische Lösung gefunden werden.
Fazit und Implikationen
Im Grunde ist der obige Bericht eine riesige Klatsche für die IT-Administration von Behörden, die auf Microsoft Office setzen – und quasi der Todesstoß für Microsoft Office 365. Denn das Produkt setzt nach dem Willen Microsofts auf Cloud und läuft DSGVO-mäßig voll neben der Spur.
Für Administratoren in deutschen Unternehmen und die DSGVO-Verantwortlichen kommt jetzt die Nagelprobe. Es wird spannend sein, wie die IT-Verantwortlichen in München (LiMux) und in der niedersächsischen Finanzverwaltung das Ganze bewältigen wollen – die haben erkennbar mit Zitronen gehandelt.
An dieser Stelle noch zwei Fundsplitter. In Israel hat es gerade ebenfalls zwischen der Regierung und Microsoft wegen Softwarelizenzen geknallt (siehe diese Reuters-Meldung). Und nach diesem The Register-Artikel sind in den USA immer mehr Politiker offen, eine ähnliche Vereinbarung wie die Europäische Datenschutzgrundverordnung (GDPR) für die USA zu etablieren. Grund sind die fetten Datenschutzskandale, die die USA seit 2 Jahren schütteln.
Aktuell sitze ich ungläubig vor meinem Monitor, denn viele Befürchtungen und Vorbehalte meinerseits sind noch schlimmer umgesetzt worden, als gedacht. Microsoft läuft auch hier erkennbar neben der Spur – obwohl man ja lauthals verkündete, dass man mit seinen Produkten und Cloud-Diensten DSGVO-konform werden möchte. Als Blogger muss ich natürlich die Meinung meiner Leser, die das 'alles nicht so schlimm finden' zur Kenntnis nehmen und stehen lassen. Aber ich bin an der einen oder anderen Stelle schon gelegentlich fassungslos. Und ich möchte nicht in der Haut eines DSGVO-Verantwortlichen in Unternehmen stecken. Die könnte man demnächst an den Hammelbeinen kriegen. Und nun könnt ihr eure Meinung kund tun.
Anzeige
"Im Grunde ist der obige Bericht eine riesige Klatsche für die IT-Administration von Behörden, die auf Microsoft Office setzen."
So schaut es aus. Ein Unding, dass öffentliche Einrichtungen diese Oberspionagesoftware namens Microsoft nutzen.
Im Grunde sollte es Ämtern/Behörden, Anwälten, usw. klipp und klar untersagt sein, Software von Microsoft, Google und evt. sogar Apple zu nutzen. Es ist einfach nicht akzeptabel, das solche sensiblen Daten gesammelt und versendet werden (könnten), nicht abschaltbar, wohl kaum 100% verhinderbar, nur sehr schwer nachvollziehbar auch.
In gewisser Art und Weise bin ich Microsoft ja dankbar für die Motivation durch Windows 10 und deren Verhalten, endlich zu Alternativen zu migrieren. Lange habe ich mich davor gesträubt, inzwischen ist eigentlich nur noch dieser Spielerechner übrig, von dem ich gerade auch schreibe.
Lang ist's her, wo ich Microsoft Produkten noch vertraut hatte…
Der richtige Ansatz ist dafür zu sorgen, dass sich Unternehmen wie Microsoft an rechtliche Vorgaben halten. Das gilt für alle. Wer wird denn ansonsten noch alles verboten? Werden andere dann nur nicht verboten weil sie kleiner sind und man dort noch nicht ausreichend nachgeschnüffelt hat? Wo ist außerdem die lange Liste toller Produkte anderer Hersteller die es nachweislich besser machen die man auf die Anwender in Unternehmen los lassen kann? Da wird es schnell dünn. Und jetzt bitte nicht die Sprüche von wegen OpenSource. Da muss ich nur an Heartbleed denken. Na klar ist es auch ein Stück weit Bequemlichkeit auf Lösungen von Microsoft zu setzen aber es ist auch nicht nur Faulheit den Wechsel nicht zu vollziehen. Würde ich hier Microsoft, Google und Apple aus dem Unternehmen verbannen, würde mich das definitiv mehrere Jahre kosten. Wahrscheinlich sogar eine signifikante Aufstockung von Personal deren Kompetenz bei den tollen Alternativen liegt und da hören die Problem noch lange nicht auf. Erstmal adäquaten Ersatz für alles zu finden ist zweifelhaft. Viel Software die im Unternehmen eingesetzt wird, läuft nur auf Windows oder mit Office. Da müssten auch Alternativen her. Im Grunde könnte man dann fast alles in die Tonne klopfen und bei null anfangen. Sorry aber solche realitätsfernen Marktschreiersprüche sind unnütz.
OpenSource wäre sicherlich eine Alternative und im Gegensatz zu Microsoft & Co wird dort nicht vorsätzlich rumgeschnüffelt und Fehler normalerweise relativ Zeitnah beseitigt, sobald bekannt. Da sieht es gerade bei Microsoft schon ganz anders aus, wo es ständig irgendwelche Heartbleeds gibt und vor allem Microsoft sich oft Monate- und Jahrelang Zeit lässt, um bekannte Probleme endlich anzugehen. Bei Android ist es noch viel schlimmer, wenn man quasi alle 2 Jahre dazu genötigt wird, ein neues Gerät zu kaufen, um überhaupt weiterhin mit Sicherheitsupdates versorgt zu werden. Rumschnüffelei inklusive.
Und ja, es wird aber eben auch einfach endlich mal Zeit, an Lösungen zu Arbeiten, die von Microsoft & Co unabhängig machen. Solange aber Leute wie Sie so argumentieren, alles hinnehmen und andere Meinungen als "realitätsferne Marktschreiersprüche" bezeichnen, wird es da wohl kaum Fortschritte geben.
Es ist Ihre persönliche Sache, ob Sie all das für sich selber hinnehmen wollen oder nicht. Wenn es aber um Kunden und deren Daten geht und Sie durch den Einsatz von u.a. Microsoft- und Google-Produkten deren Datensicherheit oder gar die Einhaltung von Gesetzen nicht absolut gewährleisten können, sieht das Ganze schon anders aus. Für die Kunden, aber auch für Unternehmen, die Datensicherheit zu gewährleisten haben. Oder glauben Sie ernsthaft (!) noch, das jegliche Informationen stimmen, die Microsoft & Co von sich geben, was Datenschutz angeht, was gesammelt und an wen weitergegeben wird? Gerade Microsoft ist da schon so einige Male negativ aufgefallen und überführt worden.
Wir haben es jedenfalls nicht bereut, uns privat (bis auf den Spielerechner) von Microsoft zu verabschieden. Und als Unternehmen wurde dieser Schritt schon vor längerer Zeit vollzogen. Erfolgreich übrigens und die Kosten waren nicht wirklich höher, als sie es bei Windows basierender Infrastruktur waren. Trotz notwendiger spezieller Hard- und Software.
Und höhere Personalkosten haben wir auch nicht, da unser Admin sein Handwerk versteht und viel an Software sich mittlerweile so sehr ähnelt, das es kaum Probleme gab.
OpenSource ist sicherlich eine Alternative. Alles ist eine Alternative aber das muss evaluiert werden. Nur weil die Möglichkeit besteht das jeder den Code prüfen kann, heißt es nicht das er geprüft ist. Auf jeden Fall kann jeder mit genug Energie die Lücken im Code finden und sich zu nutze machen. Das soll nicht heißen das OpenSource per se schlecht ist aber es ist auch nicht per se die Lösung. Es müsste auch mal sichergestellt werden das geprüft wird.
Nehmen wir Firefox. Der sollte schon in seinen Anfängen viel besser und sicherer sein. Er wurde populärer und schon wurden die Lücke ins selber Frequenz bekannt wie bei jedem anderen Browser auch.
Ja gut, Firefox funkt (vielleicht) nicht nach Hause. Dafür gibt es dort genauso kein sinnvolles Geschäftsmodell was dazu führt, dass Mozilla alle Nase lang eine neue Idee hat Werbung einzubauen. Was dann? Opera? Vivaldi? Basiert im Endeffekt auch alles auf Chromium. Was ist mit GPOs? Nützt mir nix wenn Lösungen im privaten Umfeld gut funktionieren. Selbst für Chrome gibt es GPOs. Aber die sind ja evil. Ist ja aber auch wurscht weil GPOs brauche ich ja nur weil ich Windows habe. Kann ich ja alle MA an Linux setzen. Ist mir klar, dass das nicht viel kostet. Aber der Schulungsaufwand. Hier sind nicht mal eben eine Hand voll MA die ich mal eben beiseite nehme und nach einem Tag bissl erklären ist alles wie immer.
Wo ist das tolle Smartphone abseits von Android, Microsoft und Apple? Was Android angeht stimme ich Ihnen natürlich vollkommen zu. Deswegen gibt es das hier im Unternehmen nicht mehr.
Sie haben jetzt mal pauschal entschieden das sich Microsoft, Google und Apple nicht an Gesetze halten. Wer gibt Ihnen die Sicherheit das es nicht woanders ebenfalls größere Problem gibt? Was ist da z.B. mit Cisco?
Es ist ein bisschen vermessen sich einfach hinzustellen und zu sagen ich nehme das einfach mal so hin. Sie kennen meine Umgebung doch überhaupt nicht. Wenn das bei Ihnen so einfach war, herzlichen Glückwunsch. Es soll auch Umgebungen geben mit weniger Abhängigkeiten zu dritten (damit meine ich nicht Microsoft).
Man muss nur wollen ist für mich nach wie vor nicht zielführend.
Man sollte nicht immer von sich auf andere schließen. Der Spruch mit dem Admin bestätigt das. Ich weiß auch was ich tue aber es wäre hier mit allen Auswirkungen nicht ohne weiteres Personal zu stemmen (wenn überhaupt).
Es ist schlicht und ergreifend nicht so einfach wie manche das gerne darstellen. Einfach mal so wechseln. Einfach mal so deklarieren der ist evil und der nicht. Der nimmt das einfach so hin. Das ist alles ein bisschen billig.
Vielleicht blöde Frage: Wo gibt es die "neuen zero-exhaust settings"? In Office (nutze 2016 Pro-Plus) oder Windows 10 (nutze noch Windows 7, Win10 nur zum Test in einer VM)? Eine Google-Suche nach dem Begriff führt immer nur zu obigem Beitrag oder vergleichbaren, in dem diese Punkte aufgezählt werden.
Man muss sich schon den Report von rijksoverheid.nl (91 Seiten PDF) und die verlinkten Artikel ansehen. Auf Seite 19 finden sich z.B. Links zu Microsoft-Dokumenten, die sich mit solchen Sachen wie GDPR-Compliance beschäftigen. Zitat:
9 Guidance is available at https://docs.microsoft.com/en-us/office365/securitycompliance/search-theaudit-log-in-security-and-compliance
10 Microsoft, Turn Office 365 audit log search on or off, URL: https://docs.microsoft.com/enus/office365/securitycompliance/turn-audit-log-search-on-or-off
11 Microsoft, Search the audit log, URL: https://docs.microsoft.com/enus/office365/securitycompliance/search-the-audit-log-in-security-and-compliance
12 A typical example of such a scenario is:
• Start Microsoft Word
• Select 'empty document' template
• Add text
• Add a local image
• Store the document locally
• Close Microsoft Word 13 Privacy Company has replaced the directly identifying data by X-s or generic words such as 'hostname'.
Auf Seite 30, 32 etc. geht es dann weiter – die relevanten Infos finden sich in Fußnoten. Aber als Blogger muss ich ja nicht die Arbeit von euch Admins und DSGVO-Verantwortlichen machen. Die Info, dass die Hütte brennt, liegt euch nun vor – und damit ist der Ball im Spielfeld der Verantwortlichen ;-).
Ergänzung: Bei heise.de hat jemand in diesem Kommentar einige Maßnahmen beschrieben, mit denen er Office die Geschwätzigkeit ausgetrieben haben will.
…" Aber als Blogger muss ich ja nicht die Arbeit von euch Admins und DSGVO-Verantwortlichen machen. Die Info, dass die Hütte brennt, liegt euch nun vor – und damit ist der Ball im Spielfeld der Verantwortlichen ;-)."
Made my Day! :)
Servus,
und das Blöde an dieser Thematik ist auch, dass viele Fachanbieter von Kommunalsoftware keine Open-Source-Lösungen für Office unterstützen und aktuell auch nicht vorhaben, dies zu ändern.
Gruß
Das bedeutet aber laut meiner letzten DSGVO Schulung, das man in Firmen nicht MS-Office 2016/365 nutzen darf.
Man würde sich strafbar machen. Huhaaaa Ich höre schon den Knall.
Ich muss an dieser Stelle vorsichtig sein, da ich nicht weiß, ob die DSGVO-Verantwortlichen da das sauber definiert haben. Man kann, ausweislich des obigen Berichts, das Zeugs ja irgendwie halbwegs hinbiegen. Bedeutet aber die entsprechenden Einverständniserklärungen einzuholen und die Grundlagen zu definieren, auf denen diese Daten erhoben werden. Der niederländische Bericht besagt ganz klar: Kein SharePoint, keine Webdienste, keine Connectoren usw. Wenn ich positiv gestimmt bin, ist die Argumentation ' Der DSGVO-Verantwortlichen weiß das, und hat das sauber definiert sowie diese Restriktionen berücksichtigt. Wenn ich meinen Bauch befrage, sagt der etwas anderes …
Wenn ich Windows 10 installiere und muß bei der Installation aber auch alle Datenschutz-Einstellungen umschalten, weiß ich, dass Windows 10 nicht "Privacy-by-default" und damit nicht DSGVO-konform ist.
Und bei Office 2016 dürfte das ähnlich liegen.
Ich verstehe nicht, wie diese Organisation das alles herausgefunden hat:
>Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die Möglichkeit, die Sammlung auszuschalten, oder die Möglichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschlüsselt ist.>
Oder hat die Organisation den Schlüssel erhalten?
Dann muss ich sowas nicht schreiben.
Zitat: Technically, Microsoft Corporation collects diagnostic data in different ways, via systemgenerated event logs and via the Office telemetry client. Similar to the telemetry client in Windows 10, Microsoft has programmed the Office software to collect telemetry data on the device, and regularly send these to Microsoft. After an investigation by several European DPAs in
2016-17, Microsoft has published extensive documentation about the Windows telemetry data.
Microsoft has also made a data viewer tool available within Windows that allows users to see the telemetry data Microsoft collects. Microsoft has explained that it collects Office telemetry data on a much larger scale (up to 25.00o event types, compared to the max 1.200 event types in Windows 10 telemetry). Within Microsoft, the Office telemetry data are added and analysed by a higher number of engineering teams (20 to 30 teams, compared with the 10 teams that work on Windows telemetry).
Hans: Man kann auch die 91 Seiten PDF des Berichts durchgehen.
Frage – Kann es sein, dass es auch für Office 2013 pro mit den klick-ton-run-Versionen gilt?
Habe leichten Verdacht.
Den Forenbeitrag würde ich so interpretieren, dass dort auch telemetriert wird.
Danke.
Das wird noch lustig. Da ich das beruflich nutze und viele auch, so ist man nun unaufgefordert am spionieren mit beteiligt, jedoch wir sind die Geschädigten. Das ist eine Desaster.
Danke Herr Born, dass Sie diese Themen anpacken und so gut informieren. Ich war mal eine kurze Zeit im Forum DrW, da war solch Kritik der Anlass zum sofortigen Rausschmiss.
Ich selbst rechne allerdings bei MS mit noch viel Schlimmeren! Das kommt nur alles erst langsam ans Licht.
Selbst denke ich auch nicht, dass ein etabliertes IT Unternehmen, nur wegen einem unfähigen CEO auf einmal anfängt solch Zeug zu programmieren. Hier stecken wohl Behörden dahinter …
Weiter so Herr Born! Ich hoffe auf den Tag, wo MS weltweit geklatscht wird. Und ich war mal MS Fan, ab W8 ging es damit abwärts und ab W10 hoffe ich auf den Tag, wo weltweit Sammelklagen auf MS eindreschen. Uwe
Mark Heitbrink kann hier helfen – zumindest den Adminstratoren unter Euch.
siehe gp-Pack-Artikel
https://www.gruppenrichtlinien.de/alle-artikel/
oder sein –> https://www.gp-pack.com/
für WIN 10
https://www.gp-pack.com/gp-pack-pat-privacy-and-telemetry/
für MS Office
https://www.gp-pack.com/gp-pack-o/
Ich als Privatnutzer sehe es für mich als zu kompliziert an. Wegen der dazu fehlenden Hintergrundkenntnisse.
Das gilt vermutlich auch für die Mac-Version von MS-Office?
Ich blättere mal nach, ob da was zu finden ist.
bei all diesen infos habe ich keine antwort darauf gefunden, wie bzw. ob man diesen datensammelwahnsinn von microsoft abstellen/deaktivieren kann ohhe überhaupt auf diese mircosaft-software zu verzichten. es müsste doch möglich sein, diesen (sag nichtwas ich mir denke) diese sammelleidenschaft zu verbieten bzw. zu unterbinden.
wenn es dies emöglichkeit gibt, bitte im rasche info damit ich denen 'auf die finger klopfen' kann. die sind die letzten denen ich meinen tätigkeiten zurverfügug stellen möchte, danke, euer merlin