Schlagwort: Microsoft

Nur wenige Nachbesserungen bei Microsoft-Anwendungen

1. August 2019

Bei Untersuchungen im Auftrag des niederländischen Justizministeriums wurden letztes Jahr massive Datenschutzverstöße bei Microsoft festgestellt. Das Ergebnis einer Nachuntersuchung zeigt, dass trotz vieler Nachbesserungen Office Online, die mobilen Apps und Windows 10 Enterprise immer noch nicht datenschutzkonform sind.

Als Nachbesserungsmaßnahmen wurden z.B. neue Datenschutzbestimmungen für die Nutzung von Enterprise-Versionen von Office und Windows 10-Software für die rund 300.000 digitalen Arbeitsplätze in den Ministerien und anderen Behörden vereinbart. Die acht vorher identifizierten Mängel bei Office 365 ProPlus wurden ebenfalls behoben.

Diese Nachbesserungen wurden aber noch nicht für Office Online und den mobilen Office-Apps umgesetzt. So kann man den Datenverkehr in Office nicht minimieren und bei den iOS App (Word, Excel und PowerPoint) werden Daten an eine US-amerikansiches Marketing-Unternehmen weitergeleitet, das sich auf Profiling spezialisiert hat. Die Nutzer werden nicht über den Zweck dieser Verarbeitung informiert und können sie auch nicht abstellen.

Microsoft verspricht mehr Kontrolle über Nutzerdaten

8. Mai 2019

Der Software-Konzern reagiert auf die Kritik am Umgang mit Benutzerdaten (wir berichteten) in seinen Produkten, die in Europa in den vergangenen Monaten lauter geworden ist.

Als Reaktion darauf möchte Microsoft über drei Zugänge seinen Kunden mehr Transparenz und Kontrolle über ihre Daten geben. Das wurde nun auf einem Blogbeitrag veröffentlicht.

Zunächst sollen die gesammelten Daten in zwei Gruppen eingeteilt werden: Notwendige (required) und optionale. Notwendige Informationen braucht Microsoft, damit Produkte wie das Betriebssystem oder Office-Software richtig funktionieren. Darunter fallen etwa Begriffe bei Suchanfragen, aber auch Geräte-IP und -typ.

Optionale Daten sollen zur Produktverbesserung genutzt werden. Die genutzten Microsoft-Produkte werden jedoch umfänglich funktionieren – unabhängig davon, ob Kunden der Sammlung von optionalen Daten zustimmen.

Das transparentere Vorgehen soll dem Nutzer die Entscheidung, welche Daten er teilen möchte, erleichtern. In verständlicher Sprache will Microsoft dann erklären, wofür es die Daten überhaupt sammelt und warum sie einer der beiden Kategorien zugeordnet wurden.

Letzlich will Microsoft auch halbjährlich Reports veröffentlichen. So soll zum einen veröffentlicht werden, wenn neue notwendige Daten gesammelt werden. Zum anderen sollen Kunden aber auch darüber informiert werden, wenn Microsoft aufhört, bestimmte Arten von notwendigen Daten zu sammeln. Der IT-Konzern will in den Reports auch darauf eingehen, wie er auf neue Datenschutzbestimmungen reagiert.

Die Maßnahmen sollen in den folgenden Monaten umgesetzt werden. Zunächst für die Produkte Windows 10 und Office 365 ProPlus, anschließend für die Plattformen Xbox und Dynamics 365.

EU-Verträge mit Microsoft werden datenschutzrechtlich untersucht

11. April 2019

Zu Beginn der Woche teilte die EU-Datenschutzbehörde EDPS mit, dass nunmehr die Verträge der EU-Dienststellen mit Microsoft dahingehend untersucht werden, ob diese mit der DSGVO in Einklang zu bringen sind.

Auch die verschiedenen Institutionen der EU nutzen Microsofts Produkte und Dienstleistungen. Infolgedessen werden große Mengen an persönlichen Daten verarbeitet. Die EU-Datenschutzbehörde möchte deshalb in einem ersten Schritt alle eingesetzten Produkte und Dienstleistungen von Microsoft erfassen, um dann in einem nächsten Schritt die einzelnen vertraglichen Regelungen an den Maßstäben der DSGVO zu messen.

Nach der DSGVO sind Dienstleister selbst für den Datenschutz verantwortlich. “Allerdings bleiben die EU-Institutionen für Datenverarbeitungen in ihrem Namen verantwortlich, wenn sie auf Dienstleister zurückgreifen”, erklärte der stellvertretende EU-Datenschutzbeauftragte Wojciech Wiewiórowski. “Sie sind darüber hinaus verpflichtet sicherzustellen, dass die vertraglichen Abmachungen den Regeln entsprechen.”

Die EU-Datenschutzbehörde nimmt Bezug auf die Untersuchung des niederländischen Justizministeriums im November 2018. Dabei sind beim Einsatz der Enterprise-Version von Microsoft Office in Behörden zahlreiche Verstöße gegen die DSGVO festgestellt worden. (wir berichteten)

Niederländische Datenschützer erheben Vorwürfe gegen Microsoft

20. November 2018

Nach einem Bericht der britischen Zeitung “The Telegraph”, erheben Datenschutzexperten der niederländischen Firma “Privacy Company” Vorwürfe gegen Microsoft, da sie auf Hinweise gestoßen seien, dass Microsoft mit Hilfe der Office-Anwendungen eine erhebliche Menge an personenbezogenen Daten abgefragt habe ohne dabei weder die Informationspflichten der DSGVO einzuhalten noch die Nutzer anderweitig über die Erhebung der Daten in Kenntnis zu setzen. Unter anderem seien Betreffzeilen aus E-Mails sowie inhaltliche Ausschnitte aus den betroffenen Mails erfasst worden. Das Ganze soll dabei automatisch abgelaufen sein, sobald der Nutzer die Rechtsschreibprüfungsfunktion benutzte. Microsoft behauptet derweil, die Datenerhebung erfolge zum Zwecke der Sicherheit und der Funktionsweise der Office-Anwendungen.

Tätig wurde die niederländische Firma im Auftrag des niederländischen Justizministeriums. Der Bericht über die Überprüfung wurde auf dem Blog der Firma veröffentlicht. Microsoft komme dem Bericht des Telegraph zufolge allerdings noch mit einer milden Strafe davon, da der us-amerikanische Konzern – so das niederländische Justizministerium – bereits im Oktober eingewilligt habe, die Office-Software datenschutzrechtlich zu überarbeiten. Die Änderungen sollen bis spätestens Mitte 2019 implementiert und abgeschlossen sein. Wie die Änderungen dann letztlich aussehen, bleibt daher vorher abzusehen.

 

US-Regierung beantragt Microsoft-Fall zu den Akten zu legen

4. April 2018

In den USA ist vor wenigen Tagen der “Cloud Act” (Clarifying Lawful Overseas Use of Data Act) durch die Unterschrift des Präsidenten Trump in Kraft getreten. Der Cloud Act regelt, dass US-Ermittler Zugriff auf Daten bekommen sollen, die auf Servern außerhalb der USA liegen. Dafür können bilaterale Abkommen geschlossen werden, die die Ermittler ermächtigen, direkt den Cloud-Anbieter zu kontaktieren.

Im Zuge dessen hat das US-Justizministerium beim US Supreme Court beantragt den dort anhängigen Fall, United States of America vs. Microsoft Corporation (New York Search Warrant Case) für erledigt zu erklären. Der Fall stammt aus dem Jahr 2013 und ist seit dem hoch umstritten.

Es geht um die Frage, ob Microsoft personenbezogene Daten, die außerhalb der USA, hier auf Servern in Irland, gespeichert sind, an US-Behörden herausgeben muss. Grundlage dafür war ein Durchsuchungsbeschluss eines Bundesbezirksgerichts in New York, der Microsoft zur Herausgabe verpflichten sollte. Dagegen klagte der Unternehmensriese. Ein Urteil war eigentlich für Juni diesen Jahres erwartet worden, jetzt könnte die Sache allerdings vor einer Entscheidung zu den Akten gelegt werden.

Der oberste Prozessvertreter der US-Regierung, Noel J. Francisco beantragte beim Supreme Court, unter Verweis auf den Cloud Act, dass die Auseinandersetzung zwischen Microsoft und den USA hinfällig ist und nicht mehr weiter verhandelt werden muss. Ein neuerlicher Durchsuchungsbeschluss, gestützt auf den Cloud Act, wurde Microsoft bereits übersandt.

Niederländische Datenschutzbehörde bewertet Windows 10 als nicht datenschutzkonform

27. Oktober 2017

Nach einem Bericht der niederländischen Datenschutzbehörde ist das Betriebssystem Windows 10 Home und Windows 10 Pro nicht datenschutzkonform. Damit kommt sie zu einem gegensätzlichen Ergebnis als das Bayerische Landesamt für Datenschutzaufsicht im September (wir berichteten).

Laut Behörde werde vor allem nicht klar genug informiert, welche Daten für welche Zwecke erfasst und ausgewertet werden, sodass die Datenverwendung für Nutzer nicht abschätzbar sei. Vor allem kann auch nicht dadurch auf eine wirksame Einwilligung geschlossen werden, dass eine Opt-Out-Funktion in den Datenschutz-Einstellungen angeboten (aber nicht genutzt wird) bzw. die Voreinstellungen nicht aktiv geändert werden.

Gesammelt und gespeichert werden URL von den besuchten Internetseiten, die Nutzung von Apps, aber auch Telemetrie-Daten wie Absturzberichte oder Nutzungsdauer von Eingabegeräten (wie Maus und Touchscreen). Wenn Opt-Out nicht gewählt worden ist, wird so personalisierte Werbung auf Windows, Edge und Apps angezeigt. Nach der Niederländischen Behörde macht Microsoft nicht deutlich genug, dass beim Surfen Daten gesammelt werden.

Laut der bayerischen Datenschutzaufsicht hingegen würde es ausreichen, dass die Datenflüsse kontrollierbar seien. Dennoch hatte auch das BayLDA festgehalten, dass durchaus noch Handlungsbedarf besteht, einer Nutzung von Windows 10 aber im Unternehmen mit Microsoft Gruppenrichtlinien und den richtigen Einstellungen nichts entgegensteht. Die europäischen Datenschutzbehörden beurteilten diese Einschätzung als verfrüht, vor allem da die Gruppenrichtlinien noch nicht vorgelegt worden sind.

Auf den Bericht der niederländischen Datenschutzbehörde hin, hat Microsoft angedeutet, dass alle rechtswidrigen Funktionen beseitigt werden sollen.

Kategorien: Allgemein
Schlagwörter: ,

Microsoft plant, Klage gegen US-Justizministerium fallen zu lassen

25. Oktober 2017

Microsoft beabsichtigt, nach einer Änderung von Richtlinien seitens des US-Justizministeriums, eine Klage gegen die Behörde zurückzuziehen. Microsoft hatte Anfang 2016 Klage eingereicht, da es die Regelungen des Justizministeriums, zu Ermittlungszwecken auf Kundendaten zugreifen zu können, ohne dass diese hierüber zeitnah bzw. überhaupt informiert werden, für verfassungswidrig hielt.

Die US-Behörden können über sogenannte „National Security Letter“ (NSL) die Herausgabe von Kundendaten verlangen. Da die betroffenen Unternehmen im Rahmen eines solchen Herausgabeverlangens zu absolutem Stillschweigen verpflichtet werden, besteht für sie weder die Möglichkeit, ihre Kunden über die Weitergabe ihrer Daten zu informieren, noch die Möglichkeit, gegen die NSL vorgehen zu können. Microsoft sieht hierin einen Verstoß gegen das Recht eines Jeden, zu erfahren, wenn gegen ihn behördlich ermittelt wird.

Nun hat jedoch das Justizministerium die Richtlinien dahingehend angepasst, dass geheime Zugriffe auf Kundendaten nur noch unter strengen Bedingungen und in Ausnahmefällen zulässig sein sollen. In den anderen Fällen dürfen die Kunden zukünftig in absehbarer Zeit über die Weitergabe der Daten informiert werden.

Ziel der Klage von Microsoft war es, gegen die unbeschränkte Geheimhaltungsverpflichtung vorzugehen, weshalb sich das Unternehmen dazu entschlossen hat, die Klage zurückzuziehen. Jetzt bleibt abzuwarten, wie schnell das Parlament eine entsprechende gesetzliche Grundlage schafft, ein Gesetzentwurf soll bereits vorliegen.

Kategorien: Allgemein
Schlagwörter: , ,

US Supreme Court entscheidet über US-Zugriff auf EU-Daten

17. Oktober 2017

Ende 2013 hatte ein Bundesbezirksgericht in New York einen Durchsuchungsbeschluss erlassen, in dem der Unternehmensriese Microsoft verpflichtet wurde, E-Mails eines Kunden herauszugeben. Hinsichtlich der Nachrichten des Nutzers, die auf us-amerikanischen Servern des Unternehmens gespeichert waren, tat dies Microsoft auch, verweigerte allerdings die Herausgabe der Mails, die auf Servern in Irland gespeichert waren. Dabei berief sich Microsoft darauf, dass hierfür die irischen Gerichte zuständig seien und zog vor das Bundesberufungsgericht für den 2. Bundesgerichtsbezirk (2nd Circuit). Die Richter des 2nd Circuit entschieden gegen das Begehren der US-Regierung zu Gunsten von Microsoft, da das zugrundeliegende US-amerikanische Gesetz “Stored Communications Act” nur im Inland gelte. Auf das Urteil des Gerichts hin beantragte die US-Regierung eine erneute Anhörung vor einer erweiterten Richterbank des selben Gerichts. Nur vier von acht Richtern des 2nd Circuit stimmten allerdings für eine neuerliche Anhörung. Der Antrag der US-Regierung wurde daher abgelehnt.

Als neuerlichen Versuch, den Durchsuchungsbefehl auch hinsichtlich der EU-Daten durchzusetzen, wandte sich die US-Regierung mit der Unterstützung von 33 US-Staaten an den US Supreme Court. Der US Supreme Court beschäftigt sich mit Rechtsfragen, die von Bundesberufungsgerichten uneinheitlich beantwortet wurden. In den meisten anderen Fällen wird ein Begehren allerdings abgelehnt. Im vorliegenden Fall hat sich der US Supreme Court jedoch dazu entschieden, die Frage der Anwendbarkeit des Gesetzes und der Zulässigkeit der Datenübermittlung von EU-Daten in die USA zu klären und den Fall daher angenommen. Dies untermauert die Brisanz, die diese Rechtsfrage beinhaltet.

Einen Termin für die mündliche Anhörung des Falls, der offiziell “In the Matter of a Warrant to Search a Certain E-Mail-Account Controlled and Maintained by Microsoft Corporation, United States of America v. Microsoft Corporation” heißt, gibt es noch nicht. Die Entscheidung des Falls ist daher ungewiss und mit Spannung zu verfolgen. Sollte der US Supreme Court geurteilt haben, werden wir erneut darüber berichten.

Worldwide Data Protection News on our privacy-ticker.com

5. Juli 2016

Data protection should not know any borders, this is why we started to publish international news on privacy and data protection in an own blog. Please subscribe it using www.privacy-ticker.com/newsletter or just visit www.privacy-ticker.com.

Some of last months’ topics were:
Agreement by EU and U.S. negotiators on final changes on the Privacy Shield
The future of privacy rules after UK´s referendum to leave the EU
French DPA launches public consultation on GDPR
Belgian DPA against Facebook for tracking of non-users
Customer passwords from Deutsche Telekom are for sale on the dark web
German courts ruled: WhatsApp has violated the Telemedia Act
Verizon publishes Data Breach Investigations Report 2016: Phishing attacks trend upwards
Microsoft acquires LinkedIn: privacy issues arise
Accountability initiative by the EDPS: achieving compliance with the GDPR
The role of the DPO´s under the new GDPR: the German reference

Thank you.

Datenschutz Made in Germany

25. Mai 2016

Deutsche Datenschutzbestimmungen zählen zu den strengsten weltweit. Nicht selten werden die Reglementierungen besonders aus Wirtschaftskreisen als zu unflexibel bezeichnet. Stimmen aus den USA, woher die meisten Internetgiganten stammen, sprechen oft von der „German Angst“. Wie groß die globalen Diskrepanzen beim Verständnis zum Thema Datenschutz sind, zeigte unlängst das richtungsweisende Safe-Harbor-Urteil des Europäischen Gerichtshofs, wonach die USA kein sicheres Datenschutzniveau nach europäischem Verständnis aufweisen. Das europäische Verständnis von Datenschutz wiederum orientiert sich stark an dem deutschen Verständnis, das während der Erarbeitung der EU-Datenschutz-Grundverordnung (EU-DSGVO) immer wieder als Maßstab herangezogen wurde. Nicht ohne Grund leitete das Bundesverfassungsgericht in seinem berühmten Volkszählungsurteil bereits 1983 den Datenschutz aus den Artikeln eins und zwei des Grundgesetzes ab und manifestierte auf diese Weise das Grundrecht zur informationellen Selbstbestimmung. Der Schutz persönlicher Daten ist somit Ausprägung des Schutzes der eigenen Persönlichkeit.

US-Amerikanische Internetfirmen, für die der europäische Markt besonders bedeutend ist, passen sich zunehmend dem Verständnis europäischer Kunden nach hiesigen Datenschutzerfordernissen an, indem sie ihr liberal geprägtes Datenschutzniveau für den europäischen Markt freiwillig anpassen. Marktführer aus den USA wie Google, Microsoft, Amazon und viele weitere investieren große Summen, um künftig Rechenzentren in Europa und vermehrt in Deutschland betreiben zu können. Dies bedeutet deutlich größeren Datenschutz für Nutzer und Kunden, denn mit einem Rechencenter in Deutschland gilt auch das strenge deutsche Datenschutzrecht für diese unternehmen.

Wie heise online aktuell mitteilt, wird demnächst auch der Online-Speicherdienst Dropbox Datenschutz made in Germany anbieten und seinen Kunden (zunächst nur Geschäftskunden) die Möglichkeit der Datenspeicherung auf in Deutschland stationierten Servern anbieten. Das Unternehmen bestätigte, dass die Nachfrage nach lokaler Datenspeicherung zunimmt. Dies hängt natürlich mit der steigenden Sensibilisierung für den Datenschutz, also unserem Verständnis und der hohen Gewichtung für den Datenschutz hierzulande zusammen. Nicht ganz unbegründet kann Datenschutz made in Germany daher als eine Art Gütesiegel betrachtet werden.