Datenschutz: Studien, Analysen und Einschätzungen zu Microsoft-Produkten

Allein schon US-Gesetze wie der CLOUD Act oder FISA, die US-Behörden übertriebene Zugriffsmöglichkeiten ermöglichen und die Grundrechte der europäischen Bürger außer Kraft setzen, sollten genügen, um die Abhängigkeit von amerikanischen IT-Riesen wie Microsoft zu reduzieren. Nimmt man dann noch die rechtlichen Leitplanken hinzu, die uns unter anderem die DSGVO vorgibt, kann ein Verantwortlicher in der EU/Deutschland eigentlich nur noch hilflos wimmern. Wie viele Versuche wurden bisher eigentlich unternommen, Microsoft in das Korsett der DSVGO zu pressen? Augenscheinlich hat Microsoft wenig Interesse dort reinzupassen bzw. anders formuliert: sich anzupassen. Das haben zahlreiche Studien, Analysen und Einschätzungen unterschiedlicher Institutionen bereits mehrfach gezeigt. Das allgemeine Fazit lässt sich in meinen Augen wie folgt zusammenfassen:

Microsoft-Produkte lassen sich nicht oder nur unter unverhältnismäßig hohem Aufwand (und speziellen Versionen) datenschutzkonform nutzen.

Die nachfolgende Link-Sammlung fasst Studien, Analysen und Einschätzungen unterschiedlicher Institutionen zusammen, in denen das Datensenderverhalten diverser Microsoft-Produkte bzw. Dienste untersucht und (datenschutzrechtlich) bewertet wurde. Wer weitere seriöse Quellen kennt, der kann mir diese gerne zukommen lassen.

Einschätzungen Landesdatenschutzbeauftragte

[1] Nutzung von MS 365 an Schulen (Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg, abgerufen Mai 2022)

Ab dem kommenden Schuljahr ist die Nutzung von MS 365 an Schulen zu beenden oder deren datenschutzkonformer Betrieb ist von den verantwortlichen Schulen eindeutig nachzuweisen

[2] Hinweise des LfDI zur Nutzung von Microsoft 365 durch Schulen (Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg, abgerufen Mai 2022)

[…] Der mehrmonatige und intensive Praxistest hat gezeigt, dass dieser Versuch der Erstellung einer datenschutzkonformen Konfiguration nicht erfolgreich war, Annahmen sich als nicht zutreffend erwiesen haben und dass der Einsatz von MS 365 im schulischen Kontext zahlreiche datenschutzrechtliche Verstöße mit sich bringt. […]

[3] FAQs zu Microsoft Office 365 (Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Rheinland-Pfalz, abgerufen Mai 2022)

[…] Bei den Diagnose- oder dienstgenerierten Daten handelt es sich in den meisten Fällen um technische Informationen, die für sich genommen keinen direkten Personenbezug haben. Allerdings können diese einer eindeutigen, zur Nutzerin bzw. dem Nutzer gehörenden UserID zugeordnet werden bzw. stellen eindeutige Identifikatoren dar. Untersuchungen haben gezeigt, dass aufgrund der Vielzahl der Informationen auch bei der Nutzung pseudonymer Benutzerkonten eine Re-Identifizierung möglich ist.

[4] Datenschutzkonformer Einsatz von Windows 10 (Die Landesbeauftragte für den Datenschutz Niedersachsen, Juni 2021)

[…] Dabei zeigte sich, dass unter bestimmten Voraussetzungen (Anwendung des „Windows Restricted Traffic Limited Functionality Baseline“, Telemetriestufe „Security“) keine Telemetriedaten an Microsoft übermittelt wurden. […]

[…] Dies gilt besonders für den Einsatz der Pro- und Home-Editionen, in denen die Telemetriestufe derzeit nicht auf Security gesetzt werden kann. […]

Datenschutzkonformer Betrieb

Ein datenschutzkonformer Betrieb von Windows 10 ist aktuell nur mit der Enterprise-Version erreichbar. Alle anderen Versionen des Betriebssystems (Home, Pro) sind nicht datenschutzkonform einsetzbar.

Studien & Bewertungen

[1] Bewertung des LfDI BaWü bzgl. des Pilotprojekts des Kultusministeriums für den Einsatz einer speziell datensparsam konfigurierten Version von Microsoft 365 (Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg, durchgeführt April 2021)

Im Ergebnis empfiehlt der LfDI, von der Nutzung der erprobten MS-Produkte im Schulbereich abzusehen. […]

[2] Data Protection Impact Assessment (DPIA): Diagnostic data processing in Microsoft Office365 for the Web and mobile Office apps (niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, durchgeführt Juni 2020)

Despite these improvements, this DPIA shows that the use of Office for the Web andthe mobile Office apps in combination with the Connected Experiences and theConnected Cloud Services still leads to six high and three low data protection risks fordata subjects. […]

[3] Data Protection Impact Assessment (DPIA): Diagnostic Data processing in MicrosoftTeams, OneDrive, SharePoint and Azure AD (niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, durchgeführt Februar 2022)

Both Microsoft and the government organisations / universities can use the collectedDiagnostic Data about the user to create a profile of the user. Microsoft has access tomore personal data about the use of the Azure AD and the use of Teams, OneDr iveand SharePoint through Telemetry Data and raw data logs generated on its cloudservers Data than admins can see and export from the available reports and logs.This leads to a risk that data subjects cannot exercise their fundamental right toaccess these personal data.

[4] SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10 (Bundesamt für Sicherheit in der Informationstechnik, aktualisiert Februar 2021)

Medienberichte

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡