Microsoft saugt heimlich Daten auch von Business-Kunden ab

16. November 2018, 11:26
  • security
  • microsoft
  • dsgvo
  • datenschutz
image

Welche Daten nach Redmond fliessen und was man dagegen (nicht) tun kann.

Welche Daten nach Redmond fliessen und was man dagegen (nicht) tun kann.
Der Datenschutz-Spezialist Privacy Company hat Microsofts Business-Lösungen untersucht und schlägt Alarm. Der Konzern habe systematisch und in grossem Umfang Nutzerdaten von Business-Anwendern gesammelt, ohne diese zu informieren.
Es gehe dabei um Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Und es habe bislang keine Möglichkeit gegeben, diese Datensammlung abzuschalten oder Einsicht in den Vorgang zu erhalten, schreibt Privacy Company in einem ausführlichen Blog-Beitrag. Die Userdaten würden schliesslich regelmässig an Server in den USA gesendet.
Microsoft nutzt die Daten offenbar für sieben Zwecke: Security, Updates, Performance, Produkteentwicklung, Produkteinnovation, allgemeine Schlussfolgerungen für Machine Learning sowie gezielte Empfehlungen für User.
Microsoft gelobt Besserung
Damit könnte Microsoft Probleme mit der Datenschutzgrundverordnung (DSGVO) bekommen, weil sensible Daten wohl rechtswidrig und auf unbestimmte Zeit gespeichert werden. Zum anderen könnte es problematisch sein, dass die Daten an die USA übermittelt werden, während gerade das Privacy-Shield-Abkommen am Europäischen Gerichtshof (EuGH) verhandelt wird.
"Wir verpflichten uns, die Privatsphäre unserer Kunden zu schützen, indem wir ihnen die Kontrolle über ihre Daten geben und sicherstellen, dass Office Pro Plus und andere Produkte und Dienstleistungen von Microsoft mit der DSGVO und anderen geltenden Gesetzen übereinstimmen", sagte ein Microsoft-Sprecher gegenüber dem Tech-Portal 'The Next Web'.
Anscheinend hat der Konzern im letzten Herbst-Update bereits Änderungen vorgenommen. Man können nun die Telemetriedaten auf null reduzieren (zero exhaust setting), so Privacy Company. Und Microsoft habe versprochen, eine Reihe weiterer Massnahmen zu ergreifen, um die Risiken im Datenschutz zu verringern. So etwa ein Anzeige-Tool für die Telemetriedaten sowie eine Möglichkeit, deren Umfang selbst zu bestimmen. Die niederländische Datenschutzbehörde (DPA) gibt sich laut einer Mitteilung zumindest damit zufrieden.
Was tun als Admin?
Privacy Company geht aber von verbleibenden Risiken aus und hat Empfehlungen an Administratoren von Enterprise-Versionen von Office ProPlus veröffentlicht:
- Übernehmen sie die "Zero-Exhaust"-Einstellung, um die Telemetriedaten auf Null zu setzen.
- Untersagen sie zentral die Nutzung von Connected Services.
- Untersagen sie zentral die Übermittlung von personenbezogenen Daten für "Verbesserungen von Office".
- Verwenden sie nicht die reine Web-Version von Office 365.
- Verwenden sie nicht SharePoint Online und OneDrive.
- Löschen sie regelmässig das Active-Directory-Konto von VIP-Usern und erstellen sie diese neu, damit Microsoft die historischen Diagnosedaten löscht.
- Stellen sie vertrauliche und sensible Daten ausserhalb des Microsoft-Kontos bereit.
Diese Massnahmen seien nicht in allen Fällen realistisch und machbar. Es sei derzeit nicht möglich, dass die Enterprise-Kunden von Office alle Probleme lösen, schliesst der Blogbeitrag von Privacy Company.
Die Untersuchung (PDF), ein sogenanntes Data Protection Impact Assessment (DPIA), von Microsofts Enterprise Lösungen, wurde von der niederländischen Regierung in Auftrag gegeben. (ts)

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023