1. August 2019
Bei Untersuchungen im Auftrag des niederländischen Justizministeriums wurden letztes Jahr massive Datenschutzverstöße bei Microsoft festgestellt. Das Ergebnis einer Nachuntersuchung zeigt, dass trotz vieler Nachbesserungen Office Online, die mobilen Apps und Windows 10 Enterprise immer noch nicht datenschutzkonform sind.
Als Nachbesserungsmaßnahmen wurden z.B. neue Datenschutzbestimmungen für die Nutzung von Enterprise-Versionen von Office und Windows 10-Software für die rund 300.000 digitalen Arbeitsplätze in den Ministerien und anderen Behörden vereinbart. Die acht vorher identifizierten Mängel bei Office 365 ProPlus wurden ebenfalls behoben.
Diese Nachbesserungen wurden aber noch nicht für Office Online und den mobilen Office-Apps umgesetzt. So kann man den Datenverkehr in Office nicht minimieren und bei den iOS App (Word, Excel und PowerPoint) werden Daten an eine US-amerikansiches Marketing-Unternehmen weitergeleitet, das sich auf Profiling spezialisiert hat. Die Nutzer werden nicht über den Zweck dieser Verarbeitung informiert und können sie auch nicht abstellen.
2. Juli 2011
Gordon Frazer, Managing Director bei Microsoft UK, räumte zum Start des Online-Office-Dienstes Office 365 ein, dass US-Behörden auch dann Zugriff auf Daten gewährt werden müsste, wenn diese physikalisch auf europäischen Servern gespeichert sind.
Auf Grundlage des USA Patriot Acts ist ein solcher Zugriff dann nicht auszuschließen, wenn eine Firma ihren Hauptsitz in den USA hat oder alle Anteile von einer US-Mutterfirma gehalten werden. Neben Microsoft sind auch sonstige Internetgrößen wie Amazon, Apple und Google betroffen. Dies wird auch durch die Aussage Frazers, dass weder Microsoft noch andere Firmen die Garantie geben könnten (, dass den US-Behörden kein Zugriff auf die Daten gewährt wird), deutlich.
Nach Möglichkeit würden die Kunden aber von einem solchen Zugriff unterrichtet. Die Einschränkung “nach Möglichkeit” ist notwendig, da bestimmte US-Behörden wie das FBI einen National Security Letter erlassen können, welcher es den betroffenen Stellen verbietet, Informationen über die Anfrage weiterzugeben (sogenannte Gag order).
Insgesamt wurde damit zum ersten Mal eine solche Zugriffsmöglichkeit explizit bestätigt. Unternehmen, die den rechtlichen Anforderungen des Datenschutzes beim Cloud-Computing Genüge tun wollen, kann somit vorerst nur geraten werden, ihre Daten einem europäischen Anbieter anzuvertrauen. (se)
