Telemetriedaten in Microsoft 365
Im Oktober 2018 wurde durch eine Untersuchung im Auftrag des niederländischen Ministeriums für Sicherheit und Justiz festgestellt, dass Microsoft in erheblichem Umfang Daten über die Verwendung der Office-365-Produkte sammelt und an Server von Microsoft in den USA übermittelt. Es handelte sich dabei um einen klaren Verstoß gegen die DSGVO, weil die Benutzer nicht informiert waren, weil sie sich nicht dagegen schützen konnten, weil die Zwecke nicht dokumentiert waren und es keine Rechtsgrundlage für diese Verarbeitung personenbezogener Daten gibt – vom Export in die USA, also nach Außerhalb des Geltungsbereichs der DSGVO ganz abgesehen.
Es handelte sich dabei um ca. 23.000 bis 25.000 unterschiedliche Typen von Ereignissen, und es wurden auch Daten über Inhalte (z. B. Betreffzeilen, Inhalte von Dokumenten und anderes) zusammen mit den Daten über die jeweiligen Benutzer verarbeitet und in die USA übermittelt.
Microsoft hat beteuert, dass diese Daten ausschließlich dazu genutzt werden sollten, mögliche Fehler und Sicherheitsprobleme in O365 zu erkennen und die Produkte zu verbessern. Das ändert aber nichts daran, dass Microsoft massiv gegen Bestimmungen der DSGVO verstoßen hat.
Mittlerweile hat Microsoft nachgebessert und einige Maßnahmen durchgeführt, die das Problem zumindest mindern, wenn auch noch nicht ganz beseitigen.
Administratoren können inzwischen über sog. „Gruppenrichtlinien“ einstellen, ob und in welchem Umfang Diagnosedaten erfasst und an Microsoft übermittelt werden. Außerdem sichert Microsoft zu, dass die Daten nicht bestimmten Personen zugeordnet werden können, sondern nur über eine ID zusammengefasst werden, die aber keinen Hinweis auf den jeweiligen Benutzer zulässig. Hoffen wir, dass das stimmt, denn das Vertrauen in Microsoft wird durch die vorangegangene undokumentierte Verarbeitung der Telemetriedaten nicht gerade gestärkt.
Microsoft bietet drei Stufen an:
- „Erforderliche Daten“: Gesendet werden nur die (lt. Microsoft) „erforderlichen Daten“, um Office sicher, aktuell und auf dem jeweiligen Gerät fehlerfrei am Laufen zu halten.
- „Optionale Daten“: Zusätzliche Informationen, die der Produktverbesserung nützen, und die beim Entdecken, Diagnostizieren und Beseitigen von Problemen helfen.
- Keine von beiden: Es werden keinerlei Diagnosedaten am Endgerät gesammelt und an Microsoft gesandt.
Zusätzlich können Administratoren detailliert bestimmen, welche Daten zu welchen Programmen gesammelt werden und einiges mehr. Hier gibt Microsoft bekannt, welche Telemetriedaten von verschiedenen Office-Versionen gesammelt und übermittelt werden können.
In einer Betriebsvereinbarung zu Office 365 sollte die Frage der Telemetriedaten unbedingt geregelt werden, z. B. so:
Microsoft 365 übermittelt sog. „Telemetriedaten“ („Diagnosedaten“) über Systemzustände an Microsoft. Es ist sicherzustellen, dass diese Daten nicht geeignet sind, Aussagen über identifizierbare Personen zu treffen, insbesondere dass keine Benutzer-IDs, Betreffzeilen, Inhaltsdaten etc. in den Telemetriedaten enthalten sind. Der Arbeitgeber stellt sicher, dass die Übermittlung datenschutzkonform erfolgt.
Der Arbeitgeber hat sicherzustellen, dass die Auskunftspflichten gegenüber den Betroffenen hinsichtlich personenbezogener Telemetriedaten erfüllt werden.
Es gibt eine Windows-App „Diagnosedatenanzeige“ die über den App-Store von Windows 10/11 installiert werden kann. In ihr wird angezeigt, welche Diagnosedaten Office (und Windows) erhebt und übermittelt. Es wäre vermutlich nicht verkehrt, wenn Betriebsratsmitglieder diese App installieren könnten, um zu prüfen, welche Diagnosedaten gesammelt werden. In Office-Programmen kann über den Befehl „Datei – Konto – Kontodatenschutz – Einstellungen verwalten“ der Status der Einstellungen angezeigt werden.
In den Web-Apps und in den mobilen Apps kann die Erzeugung und Übermittlung von Diagnosedaten inzwischen auch eingeschränkt werden.
Erfahren Sie mehr!
Die passenden Seminare zu diesem Thema:
Microsoft 365®/Office 365® in der Cloud