DSGVO, Microsoft Office und die Datenschutzprobleme

Beim Einsatz von Microsoft Office (z.B. in der Abo-Variante 365) gibt es nach wie vor Datenschutzprobleme. Zwar hat Hessens Datenschützer die Verwendung in Schulen zugelassen – es gibt jedoch ein großes Aber. Auch in den Niederlande hegt man weiter Bedenken.


Anzeige

Die beiden Themen sind zwar nicht brandfrisch, sondern bereits einige Tage bekannt. Es kann aber nicht schaden, dass Ganze nochmals hochzuspülen – zumal Microsoft gerade beim Home Use Program die Leute auf Office 365 festnagelt (siehe Microsoft Office: Lizenzänderung beim Home Use-Programm).

Niederlande: Weiterhin Datenschutzprobleme mit Office

Letztes Jahr wollte das niederländische Ministerium für Sicherheit und Recht sichergehen, das die eingesetzte Software im Einklang mit der Datenschutzgrundverordnung und gesetzlichen Bestimmungen ist. Unter anderem kommt auch Microsoft Office in niederländischen Behörden zum Einsatz. Daher wurde die Privacy Company beauftragt, zu untersuchen, ob Produkte wie Microsoft die Privatsphärenvorgaben im Hinblick auf öffentliche oder gesetzliche Vorgaben erfüllt. Die Ergebnisse dieser Data Protection Impact Assessment (DPIA) sind alarmierend. Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche öffentliche Dokumentation.

Im Nachgang fanden Gespräche zwischen der niederländischen Regierung und Microsoft statt, um die Probleme möglichst auszuräumen. Jetzt hat die Privacy Company in diesem Blog-Beitrag allerdings nachgelegt. Neben den Windows-Anwendungen bietet Microsoft ja auch Office-Apps für iOS und Android sowie Office Online an. Und hier sieht es schlecht aus. 'Es ist nicht möglich, den Datenverkehr in Office Online zu minimieren', so die die Privacy Company. Zitat:

Von mindestens drei der iOS Apps geht der Traffic über die Nutzung der Apps an eine US-Amerikanische Marketingfirma, die sich auf predictive profiling spezialisiert hat.

Heise schreibt in diesem Artikel, dass es sich um die US-Marketing-Firma Braze handele. Die niederländische Regierung will weiterhin mit Microsoft verhandeln, um Windows und die mobilen Apps in den Anwendungsbereich der neuen Datenschutzbestimmungen zu bringen, und die gleichen technischen Verbesserungen für Office Online zu implementieren. Weitere Details sind im Blog-Beitrag hier sowie im heise-Artikel zu finden.

Office 365 an hessischen Schulen geduldet

Der hessische Datenschutzbeauftragte Ronellenfitsch hatte Mitte Juli 2019 den Einsatz von Office 365 an Schulen als unzulässig erklärt. Hintergrund war, dass der Einsatz von Microsoft Office 365 an Schulen datenschutzrechtlich unzulässig ist, falls Schulen personenbezogene Daten in der europäischen Cloud speichern. Ich hatte im Blog-Beitrag Office365 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen auf dieses Problem hingewiesen.

Nach intensiven Gesprächen mit Microsoft hat der hessische Datenschutzbeauftragte Ronellenfitsch Anfang August 2019 eine Zweite Stellungnahme zum Einsatz von Microsoft Office 365 in hessischen Schulen veröffentlicht. Nach den Gesprächen mit Microsoft hat sich der Hessische Beauftragte für Datenschutz und Informationsfreiheitdazu dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden.

Konkret konnten einige Bedenken durch Microsoft entkräftet werden. Im Sinne von 'Vertrauenserwägungen' duldet der Datenschutzbeauftragte nun vorerst die Nutzung der Cloud-Anwendung Office 365 in der Version ab 1904 (Office365 ProPlus, Office365 Online und Office365 Apps) durch Schulen, falls diese die Software bereits erworben haben.

Schulen, die den Erwerb von Office beabsichtigen, können sich ebenfalls auf die Duldung berufen. Diese Bildungseinrichtungen tragen aber das finanzielle Risiko, falls die weitere Überprüfung zur Unzulässigkeit des Einsatzes von Office 365 in hessischen Schulen führen sollte. Vertrauenserwägungen kommen hier nicht in Betracht.


Anzeige

Die Schulen müssen vorläufig die Übermittlung jedweder Art von Diagnosedaten unterbinden. Zudem wird der hessische Datenschutzbeauftragte Ronellenfitsch im Verlauf der nächsten Monate weitere Prüfungen vornehmen und sich mit den Gremien der Datenschutzaufsichtsbehörden eng abstimmen, um zu einer datenschutzrechtlichen Einschätzung für den schulischen Bereich kommen zu können.

Mit anderen Worten: Microsoft hat mit Office  einige ganz gewaltige Hypotheken im Portfolio, wo noch gänzlich unklar ist, was am Ende des Tages im Hinblick auf die DSGVO-konforme Verwendung dabei herauskommt. Die europäischen Microsoft-Ableger versuchen zwar, in Punkto DSGVO nachzubessern. Aber in den USA programmiert die Office-Gruppe fröhlich an ihrem Office 365 as a service-Modell weiter. Dass dieses immer heftiger mit der DSGVO kollidiert, wird dort nicht wahrgenommen. Bleibt interessant, wie das weiter geht. Ich denke aber, das Thema wird uns erhalten bleiben.

Ähnliche Artikel:
BGH-Urteil zu Microsoft Office: Unzulässige Office-Downloads
Microsoft Office: Lizenzänderung beim Home Use-Programm
Office: Bevorzugtes Angriffsziel, und Microsoft bessert wegen DSGVO nach
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu DSGVO, Microsoft Office und die Datenschutzprobleme

  1. Uwe Bieser sagt:

    Über kurz oder lang werden sich Microsoft und Adobe mit ihrer Zwangscloudisierung das Genick brechen.

    Software, die von Arbeitnehmern genutzt werden muss, ist Datenschutzrechtlich ziemlich problematisch, wenn die Aktivierung der Software nur mit einem persönlichen Konto realisiert werden kann.

    Als weiteres Problem sehe ich, dass viele Nutzer aus Unwissenheit den Cloudspeicher für persönliches nutzen, auf den andere Nutzer der Firma ebenfalls Zugriff haben.

    • nuub-verwirr sagt:

      zu befürchten ist allerdings, dass nein und nein bei rauskommen!
      Die meisten fressen mehr oder weniger das, was hingeworfen wird. Wenn, gibts mal ein murren, mehr aber meist nicht. Damit können die "Verursacher" allerbestens leben.
      Und der Bezug zu persönlichem und privacy ist den meisten offensichtlich eh fremd bzw. egal – ansonsten würde reine Spionagetechnik wie smartfones nicht derart kritiklos, dafür begeistert "benutzt" – hauptsache macht KnipsBildchens und sieht nett aus…

  2. Ben sagt:

    Und diese Unwissenheit/Naivität/Sorglosigkeit kann ich nicht verstehen.
    Anscheinend sind die Snowden-Enthüllungen schon zu lange her…

    • Uwe Bieser sagt:

      Mit Naivität hat das nicht ausschließlich zu tun. Manche Anwender sind sich gar nicht bewusst, dass sie nicht lokal abspeichern. Ein Arbeitgeber kann sich aber nicht einfach darauf zurückziehen, dass sie selbst schuld sind. In meinen Augen hat er die Pflicht die AN darüber aufzuklären.

      Deshalb bin ich überzeugt, dass die cloudisierung via Datenschutzrichtlinien letzten Endes zum Sargnagel wird.

  3. Potrimpo sagt:

    Informatorische Frage:

    "Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche öffentliche Dokumentation."

    Da die übermittelten Daten doch verschlüsselt sind, wurde die Verschlüsselung während der Prüfung ausgeschaltet oder geknackt? Wurden die Daten von Microsoft offengelegt? Oder vermutet man einfach, dass das "personenbezogene Daten über das Verhalten einzelner Mitarbeiter" sind und stellt das als Fakt dar?

    • Günter Born sagt:

      Wenn eine vom niederländischen Justizministerium beauftragte Privacy Company untersucht, ob Produkte wie Microsoft die Privatsphärenvorgaben im Hinblick auf öffentliche oder gesetzliche Vorgaben erfüllt und ein Data Protection Impact Assessment (DPIA) vorlegt, gehe ich mal davon aus, dass das nicht auf 'Vermutungen' basiert, sondern evidenzbasiert ist. Sonst würde Microsoft das sofort zerrupfen. Man kann sich auch das ansehen, was Microsoft selbst zum Thema in den Datenschutzrichtlinien schreibt. Mag mich aber täuschen und alles ist ganz anders.

  4. Martin Feuerstein sagt:

    "Die Schulen müssen vorläufig die Übermittlung jedweder Art von Diagnosedaten unterbinden."

    Da bin ich ja mal gespannt, wie das jede einzelne Schule (deren Schulleitung und Lehrkräfte) sicherstellen will.

    • oli sagt:

      Geht schon, ist aber ein Haufen Arbeit. Seitenlange Datenschutz-GPOs für MS Office/Windows 10, Einsatz eines Win10-Custom-Images u./o. der LTSC-Edition, Umstellung auf WSUS/Office Deplayment Tool für eine netzwerklokale Aktualisierung der Clients und die restlichen Verbindungen werden per Zwangsproxy-Firewall und Filterregeln blockiert. Es funktionieren dann natürlich ne Menge Sachen nicht mehr: Online-Hilfe, Online-Vorlagen, MS-Konto-Anmeldung etc. aber wenn man die Man-Power/Geld hat, kann man sone Win10/MS Office Kiste datenschutzfreundlich bekommen.

      Fragt sich nur, warum man in Schulen unbedingt mit propritärer Software arbeiten muss, wo es doch durchaus Alternativen gibt.

      • Martin Feuerstein sagt:

        Du vergisst, dass den Lehrkräften "Gratis"-O365 hinterhergeworfen wird (z. B. wenn die Schule einen FWU-Vertrag hat). Spätestens bei der Nutzung zuhause fällt das auf die Füße – allerspätestens dann, wenn die Lehrkräfte ihre Zeugnisse mit einem solchen Office schreiben oder z. B. ein "digitales Klassenbuch" führen (zusätzlich zum regulären Klassenbuch, für diesen Zwecks gibts aber auch Apps für Mobilgeräte). Per Erlaubnis der Schulleitung ist die Nutzung privater Endgeräte für Lehrkräfte möglich, sofern die Daten auf verschlüsselten Datenträgern gespeichert werden (je nach Schulgesetz der Länder) und so grundlegendes Zeug wie aktueller Virenscanner und Firewall eingehalten wird.

        • Günter Born sagt:

          Das interessiert doch keinen Lehrer! Andernfalls wären WhatsApp-Gruppen zwischen Eltern, wo Lehrer mit eingebunden werden, passé.

          • Martin Feuerstein sagt:

            In S-H dürften Datenschutzverstöße den Schulleiter bis zu ein Einfamilienhaus kosten. Huch, warte… für 250.000 € gibt es ja doch nur eine Hundehütte.

            PS: Mein Frauchen achtet schon darauf, dass Eltern ihre Handynummer nicht bekommen. Sonst wär hier ja nie Ruhe.

        • oli sagt:

          Ja gut, das ist dann natürlich Aufgabe der Schule, dann den Lehrern eben keine O365-Lizenz "hinterherzuwerfen", wenn nicht sichergestellt werden kann, dass z.B. die Zeugnisse der Schüler nicht automatisch in die MS-Cloud wandern. Wenn der Lehrer dann eigenständig eine O365-Version einsetzt und es zu Datenschutzverstößen kommt, ist die Schule zumindest ausm Schneider.

          Aber viel wichtiger als irgendwelche Programme vorzuschreiben, wäre, offene Formate vorzuschreiben. Dann ist es am Ende egal, ob es MS Office, Open Office, Libre Office oder Softmaker Office ist, womit man die Zeugnisse schreibt. Hinzu kommen die sowieso geltenden Anforderungen an Sicherheit und Datenschutz und schon wird das ein oder andere Programm automatisch rausfallen oder muss vom Hersteller angepasst werden.

          So einfach wäre das, wenn man nur wollte.

  5. ThBock sagt:

    "Von mindestens drei der iOS Apps geht der Traffic über die Nutzung der Apps an eine US-Amerikanische Marketingfirma, die sich auf predictive profiling spezialisiert hat."

    Neeeiiin!
    Die braven Microsofties brauchen die Daten nur um ihr System zu "verbessern"!
    Weiss doch jeder…

  6. DiWÜ sagt:

    PS
    bei mir sind heute 3 Sicherheitsupdates für MS-Office 2010 eingegangen

Schreibe einen Kommentar zu DiWÜ Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.