Niederländische Regierung gegen Microsoft: Eine GDPR-Geschichte zu Diagnosedaten.

Im vergangenen Jahr hat die niederländische Regierung eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) bei einem Unternehmen mit dem Namen Privacy Company in Auftrag gegeben, die Diagnosedaten zur Verwendung von Microsoft Office ProPlus, einschließlich Standalone-Office 2016 und Office 365, enthält. Anfang November 2018 erschien der Bericht Die Ergebnisse wurden detailliert veröffentlicht, und sie waren (nicht überraschend) erstaunlich und enthüllten die Sammlung personenbezogener Daten.

Credits: imgflip.com

Insgesamt wird geschätzt, dass Microsoft rund 25.000 Arten von Ereignissen über die Verwendung der Software sammelt. Diese werden an die Anbieter-Server gesendet und "als wesentliche Sicherheitsmaßnahme verschlüsselt Microsoft den ausgehenden Datenverkehr". Privacy Company gibt an, dass diese Erfassung im Vergleich zu den Windows 10-Telemetriedaten, bei denen etwas mehr als 1000 Ereignistypen erfasst werden, in einem viel größeren Umfang erfolgt.

Derart umfangreiche Datenerhebungen führen laut DPIA zu acht wesentlichen Datenschutzrisiken:

1. Keine Übersicht über die spezifischen Risiken für einzelne Organisationen aufgrund mangelnder Transparenz (kein Datenbetrachter-Tool, keine öffentliche Dokumentation);
2. Keine Möglichkeit, die Erfassung von Diagnosedaten zu beeinflussen oder zu beenden (keine Einstellungen für Telemetriestufen);
3. Die rechtswidrige Speicherung sensibler / klassifizierter / spezieller Datenkategorien sowohl in Metadaten als auch in Inhalten, wie zum Beispiel Betreffzeilen von E-Mails;
4. Die falsche Qualifikation von Microsoft als Datenverarbeiter anstelle eines gemeinsamen Verantwortlichen im Sinne von Artikel 26 der DSGVO.
5. Nicht genügend Kontrolle über Subprozessoren und sachliche Verarbeitung;
6. das Fehlen einer Zweckbeschränkung sowohl für die Verarbeitung von historisch gesammelten Diagnosedaten als auch für die Möglichkeit, neue Ereignisse dynamisch hinzuzufügen;
7. Die Übermittlung (aller Arten von) Diagnosedaten außerhalb des EWR, während die derzeitige Rechtsgrundlage der Datenschutzschild ist und die Gültigkeit dieser Vereinbarung Gegenstand eines Verfahrens beim Europäischen Gerichtshof ist;
8. Die unbefristete Aufbewahrungsfrist für Diagnosedaten und das Fehlen eines Tools zum Löschen historischer Diagnosedaten.

Aus dem DPIA-Bericht geht hervor, dass es zwar kein Tool zum Anzeigen der erfassten Daten gibt, dass jedoch der Schluss gezogen werden konnte, dass Diagnosedaten möglicherweise persönliche und sensible Daten enthalten. Einige Beispiele sind E-Mail-Betreffs und Sätze, die eine Rechtschreib- und Grammatikprüfung durchlaufen.

Beispiel für Diagnosedaten im Bericht

Das wahrscheinlich größte Ergebnis dieses DPIA-Berichts und des „Kampfes“ zwischen der niederländischen Regierung und Microsoft ist, dass der Anbieter die Annahme überprüft hat, dass es sich bei Diagnosedaten nicht um personenbezogene Daten handelt. Microsoft hat erkannt, dass "viele Diagnosedaten über die Verwendung der Office-Software und der verbundenen Dienste, einschließlich der Telemetriedaten, personenbezogene Daten enthalten". Ausgehend von dieser Position sieht es so aus, als ob der Anbieter bereit ist, eine ordnungsgemäße Dokumentation und ein Datenbetrachtungstool bereitzustellen, mit denen Kunden genau sehen können, welche Daten Microsoft erfasst hat.

Ich glaube, dieser Bericht ist ein wichtiger Schritt in Richtung Datenschutz und Schutz personenbezogener Daten, der von riesigen Spielern oft übersehen wird. Für Informationssicherheitsexperten ist dies auch ein Aufruf zur Aufmerksamkeit, wenn sie Risikobewertungen durchführen oder DPIAs im Zusammenhang mit Microsoft Office schreiben, insbesondere wenn sie Projekte in Betracht ziehen, bei denen Office 365 eingeführt wird.