Niederlande: Sammlung von Microsoft-Office-Telemetriedaten verstößt gegen DSGVO

Die Sammlung von Telemetriedaten der Microsoft-Office-Anwendungen soll die europäische Datenschutzgrundverordnung verletzen. Zu dem Ergebnis kommen niederländische Behörden in einem Anfang der Woche vorgelegten Bericht. Insgesamt acht Verstöße stellten die Datenschützer bei einer Untersuchung eines ProPlus-Abonnements von Office 2016 und Office 365 fest. Es sollen aber auch die webbasierten Versionen von Office 365 betroffen sein.

Die Übermittlung von Telemetriedaten wird in dem Bericht als „großangelegte und verdeckte Sammlung von persönlichen Daten“ eingestuft. Die Datensammlung erfolge verdeckt, weil Microsoft seine Nutzer nicht ausreichend darüber informiere.

Microsoft soll weder offiziell dokumentieren, welche Daten die Office-Anwendungen sammeln, noch wie man die Office-Telemetrie abschaltet. Die Datenschützer räumten allerdings auch ein, dass die Erfassung bestimmter Funktions- und Diagnosedaten eine Standardvorgehensweise bei Softwareentwicklern sei. Sobald die Übersetzungstools oder die Rechtschreibkontrolle aktiv seien, würden aber auch Textausschnitte oder Betreffzeilen von E-Mails übermittelt.

Darüber hinaus kritisierten die Datenschützer, dass Microsoft zwar die Dokumente von niederländischen Office-Nutzern auf Servern in der EU ablege, die Telemetriedaten würden jedoch in die USA verschickt. Das mache die Daten unter Umständen US-Strafverfolgungsbehörden zugänglich.

Bedenken bestehen nun bei der niederländischen Regierung auch bezüglich des Einsatzes von Microsoft Office auf mehr als 300.000 Behördenrechnern. Möglicherweise seien im Rahmen der Telemetriedatensammlung auch vertrauliche Informationen von Behörden erfasst und in die USA übertragen worden.

Ein weiterer Vorwurf lautet, dass Microsoft deutlich mehr Telemetriedaten von Office-Nutzern aufzeichnet als von Windows 10. Bei Office seien es bis zu 25.000 Ereignistypen, zu denen Daten erfasst und mit 30 Entwicklerteams bei Microsoft geteilt würden. Bei Windows 10 seien es nur bis zu 1200 unterschiedliche Ereignistypen und 10 Entwicklerteams.

Die niederländischen Behörden haben Microsoft bereits über ihre Erkenntnisse informiert. Das Unternehmen soll auch schon erste Gegenmaßnahmen ergriffen haben, darunter eine Option, die Telemetriedatensammlung abzuschalten. Zur Behebung der verbliebenen Kritikpunkte sei Microsoft mit den Behörden in Kontakt. Unter anderem sei geplant, Nutzer genauer über die aufgezeichneten Daten zu informieren und ihnen Optionen zu bieten, die Sammlung einzuschränken. Auch ein Tool, das die Telemetriedaten anzeigt – ähnlich wie unter Windows 10 – sei geplant.