Datenschutz-Folgenabschätzung offenbart erhebliche Datenschutzrisiken bei Einsatz von Microsoft Office ProPlus Enterprise

Niederländische Regierung veranlasst Datenschutz-Folgenabschätzung für Microsoft Office ProPlus

Nach der Einführung der EU-Datenschutzgrundverordnung (DSGVO) veranlasste die niederländische Regierung als Benutzerin von Microsoft Office Produkten die Durchführung einer Datenschutz-Folgenabschätzung. Eine solche ist nach der DSGVO durchzuführen bei der Verwendung neuer Technologien, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlichen Personen zur Folge haben (Art. 35 Abs. 1 DSGVO). Konkret verlangt die DSGVO insbesondere dann eine Datenschutz-Folgenabschätzung, wenn systematisch und umfassend personenbezogene Daten verarbeitet werden (Art. 35 Abs. 3 DSGVO). Die Datenschutz-Folgenabschätzung dient den Verantwortlichen dazu, frühzeitig ein umfassendes Bild über die Folgen von Datenverarbeitungen zu erhalten und nötigenfalls Massnahmen zum Schutz personenbezogener Daten zu treffen oder ganz von einer Datenverarbeitung abzusehen (vgl. zum Ganzen auch MLL-News vom 17.6.2018).

Die niederländische Regierung war sich der datenschutzrechtlichen Problematik bezüglich des Einsatzes von Microsoft Produkten seit längerem bewusst. Schon 2017 nahm sie eine datenschutzrechtliche Analyse des eingesetzten Betriebssystems Windows 10 vor. Bereits diese Prüfung brachte datenschutzrechtliche Risiken zum Vorschein. Da die meisten niederländischen Regierungsorganisationen in ihrer täglichen Arbeit Microsoft Office 2016- und Office 365-Produkte einsetzen (rund 300’000 Arbeitsplätze), beauftragte die niederländische Regierung ein Unternehmen mit der Durchführung einer Datenschutz-Folgenabschätzung, worauf hin die Resultate Ende 2018 publiziert wurden.

Datenschutz-Folgenabschätzung beschränkt sich auf Diagnosedaten von Microsoft Office ProPlus

Die Datenschutz-Folgenabschätzung bezog sich auf das Microsoft Produkt «Office ProPlus», welches hauptsächlich von der Verwaltung und Unternehmen eingesetzt wird. Microsoft Office ProPlus ist eine Software, welche lokal, d.h. direkt auf dem Endgerät des Nutzers installiert und in Kombination mit dem Online-Service Office 365 genutzt wird. In dieser Lösung sind die den meisten Nutzer bekannten und regelmässig genutzten Anwendungen Microsoft Office Word, Excel, PowerPoint oder Outlook enthalten.

Die Datenschutz-Folgenabschätzung beschränkte sich darauf, die Folgen der Erhebung und Übermittlung von sog. Diagnosedaten aus datenschutzrechtlicher Sicht zu analysieren. Diagnosedaten sind Metadaten, welche Microsoft für die Analyse der Nutzung der verschiedenen Anwendungen speichert. Microsoft erkennt und speichert in diesem Zusammenhang zahlreiche sog. Events, wie beispielsweise die wiederholte Benutzung der Backspace-Taste, was indiziert, dass der Benutzer nicht weiss, wie ein Wort korrekt geschrieben wird. Für Vorschläge zur Rechtschreibung speichert Microsoft die entsprechende Textstelle und übermittelt diese im Rahmen der Diagnosedatenübermittlung an eigene Server. Daneben werden aber auch andere Diagnosedaten erhoben, dazu zählen u.a. die Betreffzeile einer E-Mail oder aber die IP-Adresse des Users. Diese Daten qualifizieren meist als personenbezogene Daten im Sinne der DSGVO (Art. 4 Nr. 1 DSGVO). Sie werden in Event-Logs gespeichert und regelmässig im Hintergrund an Microsoft in die USA übermittelt.

Office-Anwendungen übermitteln bis zu 25’000 verschiedene Events an Microsoft

Gemäss der Datenschutz-Folgenabschätzung ist es nicht möglich, den Inhalt der verschiedenen Event-Logs einzusehen. Diese werden lediglich im Hintergrund an Microsoft übermittelt (sog. diagnostic data flow). Gemäss Microsoft selbst werden 23’000 bis 25’000 verschiedene Typen von Events aufgezeichnet und an Microsoft Server übermittelt. Diese Daten werden aber nicht nur passiv von Microsoft gespeichert, sondern von 20 bis 30 verschiedenen Software-Entwickler Teams ausgewertet. In diesem Zusammenhang besonders interessant ist, dass neue Events von Software-Entwicklern dynamisch hinzugefügt und an alle Endgeräte, die Microsoft Office ProPlus nutzen, verteilt werden können. Auch dies erfolgt ohne Information der Nutzer im Hintergrund und verstösst somit unter anderem gegen das Gebot der Zweckbindung (Art. 5 Abs 1 lit. b DSGVO).

Verarbeitung von Diagnosedaten bei Microsoft: Status quo

Microsoft stellte sich auf den Standpunkt, dass Diagnosedaten keine personenbezogenen Daten darstellen. Darum müsse Microsoft selbst nicht den zentralen Pflichten der DSGVO nachkommen. Aufgrund dieser Einschätzung besteht bezüglich den Diagnosedaten keine Dokumentation, keine Einstellungsmöglichkeiten und kein sog. Data Viewer Tool. Aufgrund der Datenschutz-Folgenabschätzung revidierte Microsoft ihre Meinung und kommt nun scheinbar auch zum (richtigen) Schluss, dass die (meisten) Diagnosedaten personenbezogene Daten im Sinne der DSGVO darstellen und dadurch gewisse Pflichten, insbesondere Informationspflichten und Einstellungsmöglichkeiten, zur Verfügung gestellt werden müssen. Selbstredend sind auch die anderen sich aus der DSGVO ergebenden Anforderungen, durch Microsoft umzusetzen.

Daneben nimmt Microsoft selbst an, dass sie meist Auftragsverarbeiterin im Sinne von Art. 28 DSGVO ist, insbesondere hinsichtlich der Diagnosedaten. Gemäss der DSGVO ist Auftragsverarbeiter, wer die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet, d.h. im Auftrag desjenigen welcher über die Zwecke und Mittel der in Frage stehenden Verarbeitung bestimmt.

In diesem Punkt zeigt die Datenschutz-Folgenabschätzung in überzeugender Weise auf, dass die Einschätzung von Microsoft falsch sei. Microsoft bestimme die Zwecke und Mittel der Verarbeitung nämlich selbst. Es handle sich, so zumindest die Datenschutz-Folgenabschätzung, um sieben Zwecke, welche von Microsoft selbst definiert und wofür die Diagnosedaten genutzt werden. Zu diesen Zwecken gehören u.a. die Sicherheit, Software-Updates, die Behebung von Fehlern, Langzeitanalysen der Nutzung und die Verwendung der Daten für sog. Machine Learning. Aus der DSGVO geht jedoch hervor, dass verantwortlich ist, wer über die Zwecke und Mittel der Verarbeitung bestimmt. Da Microsoft dies zumindest mehrheitlich selbst oder gemeinsam mit ihren Kunden tut, ist Microsoft (zusammen mit der niederländischen Regierung) als (gemeinsame) Verantwortliche zu qualifizieren.

Datenschutz-Folgenabschätzung zeigt acht datenschutzrechtliche Risiken bei der Verwendung von Microsoft Office ProPlus auf

Die Datenschutz-Folgenabschätzung hält fest, dass für die betroffenen Personen, d.h. die Endnutzer von Microsoft Office ProPlus, ein hohes Risiko der Verletzung ihrer Rechte und Freiheiten besteht. Zusammenfassend bestehen bei der Verwendung von Microsoft Office ProPlus Anwendungen die folgenden acht datenschutzrechtlichen Risiken:

1. Fehlende Transparenz über die Verarbeitung der personenbezogenen Daten und somit die Verletzung des Transparenzgrundsatzes und der Informationspflicht (Art. 5 DSGVO und Art. 13 DSGVO). 
2. Keine Möglichkeiten die Verarbeitung der Diagnosedaten zu beeinflussen oder gar zu verhindern und somit die Verletzung der Grundsätze des Privacy by Design und Privacy by Default (Art. 25 DSGVO) sowie der Betroffenenrechte (Art. 15 ff. DSGVO). 
3. Die unzulässige Speicherung von sensitiven, klassifizierten und ggf. besonders schützenwerten personenbezogenen Daten durch die Metadaten wie beispielsweise die Inhalte der Betreffzeile von E-Mails und somit die Verletzung des Grundsatzes der Rechtmässigkeit der Verarbeitung mangels Erlaubnistatbestand (Art. 6 DSGVO). 
4. Die falsche Qualifikation durch Microsoft selbst als Auftragsverarbeiterin und somit das Fehlen einer umfassenden Verantwortlichkeit (zumindest gemeinsam mit der niederländischen Regierung im Sinne von Art. 26 DSGVO). 
5. Fehlende Kontrolle der Nutzer über die Verarbeitung und ggf. die Unterverarbeitung. 
6. Die Nichteinhaltung des Grundsatzes der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) durch die historische Verarbeitung von Diagnosedaten und die willkürliche sowie jederzeitige Möglichkeit der Software-Entwickler weitere Events zu erstellen. 
7. Die Übermittlung der Daten ausserhalb des Europäischen Wirtschaftsraums an die USA gestützt auf das EU-US-Privacy Shield, welches durch ein beim EuGH hängiges Verfahren zumindest als Grundlage unsicher ist (vgl. Art. 44 ff. DSGVO). 
8. Die nicht definierte Aufbewahrungsdauer der Diagnosedaten und das Fehlen eines Tools zur Löschung dieser Daten. Dadurch wird der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) sowie die Betroffenenrechte (Art. 15 ff. DGSVO) verletzt.

Die Datenschutz-Folgenabschätzung enthält zu jedem der identifizierten Risiken ausführliche Beschreibungen, insbesondere mit Blick auf die Verletzung der Rechte und Freiheiten der betroffenen Personen.

Microsoft verspricht Anpassungen

Interessanterweise hat Microsoft bereits während der Erstellung der Datenschutz-Folgenabschätzung Besserung gelobt und gegenüber der holländischen Regierung zugesichert, dass die Office-Anwendungen angepasst werden, um die aufgezeigten Risiken zu minimieren. In Bezug auf die identifizierten datenschutzrechtlichen Risiken wurde Microsoft bereits aktiv. Zum einen hat Microsoft sog. «zero-exhaust» Einstellungen entwickelt. Dabei handelt es sich eine Einstellung mit der die Übertragung der Diagnosedaten «auf Null» gesetzt werden könne. Zum anderen will Microsoft in Zukunft umfassend über die Datenverarbeitung der Diagnosedaten informieren und ein Data Viewer Tool zur Verfügung stellen. Durch dieses Tool könne das gewünschte Level bezüglich der Übertragung der Diagnosedaten durch die Administratoren granular eingestellt werden.

Gemeinsam mit der niederländischen Regierung arbeite Microsoft daran, selbst die richtige Qualifikation bezüglich der eigenen Rolle als Verantwortliche bzw. für gewisse Bearbeitungen auch als Auftragsdatenverarbeiterin zu definieren. Konkrete Massnahmen diesbezüglich sind aber, soweit ersichtlich, noch ausstehend.

Welche Auswirkungen hat die Datenschutz-Folgenabschätzung für Unternehmen die Microsoft Office ProPlus einsetzen?

Hauptsächlich zeigt die Datenschutz-Folgenabschätzung für Microsoft Office ProPlus auf, dass die Verwendung dieser Software-Lösung aus datenschutzrechtlicher Sicht mit erheblichen Risiken verbunden ist. Über den vorliegenden Fall hinaus wird veranschaulicht, dass die datenschutzrechtliche Evaluation, insbesondere beim Einsatz von Drittanbieter Software, in Zukunft von zentraler Bedeutung sein wird. Gerade auch für die Anbieter von Drittsoftware, inklusive Unternehmen mit Sitz in den USA, muss der Datenschutz zum zentralen Compliance Thema werden, sodass ein Umdenken diesbezüglich unumgänglich sein wird. Dieser Prozess wurde bei Microsoft scheinbar angestossen und erste Massnahmen zur Eindämmung der in der Datenschutz-Folgenabschätzung aufgezeigten Risiken wurden bereits umgesetzt.

Damit die Risiken bei den Unternehmen, welche Microsoft Office ProPlus einsetzen ebenfalls minimiert werden können, ist den Administratoren zu empfehlen, die nachfolgenden Massnahmen zu treffen:

• Gebrauch der «zero-exhaust» Einstellungen;
• Zentrales Verbot oder Unterbinden der Option, dass die Benutzer personenbezogene Daten an Microsoft über die Funktion «Verbesserung von Office» («improve Office») übermitteln;
• Zurzeit keine Nutzung von Microsoft Online-Angeboten wie SharePoint und OneDrive;
• Keine Verwendung der web-only Versionen von Microsoft 365;
• Periodische Löschung der Active Directory Konten von gewissen Usern und Erstellen von neuen Konten für diese User, um sicherzustellen, dass Microsoft historische Diagnosedaten löscht;
• Evaluation von stand-alone Lösungen ohne Microsoft Account für die Verarbeitung von vertraulichen oder besonders schützenswerten personenbezogenen Daten; und
• Prüfen von alternativen Software-Lösungen und ggf. Einsatz solcher Lösungen, nach dem für diese Lösungen eine Datenschutz-Folgenabschätzung durchgeführt wurde.

Es liegt auf der Hand, dass nicht all diese Massnahmen aus praktischen Gründen von allen Unternehmen vollumfänglich umgesetzt werden können. Die Massnahmen sind jeweils im Einzelfall zu überprüfen und auf das betroffene Unternehmen zu adaptieren. Klar ist aber auch, dass die datenschutzrechtlichen Risiken beim Einsatz von Microsoft Office Anwendungen nicht alleine durch die einsetzenden Unternehmen gelöst werden können, sondern auch Microsoft selbst entsprechende Massnahmen umsetzen muss.

… und in der Schweiz?

In der Schweiz stellen sich beim Einsatz von Microsoft Office Anwendungen die gleichen Fragen. Zwar sind Unternehmen nach dem geltenden Schweizer Datenschutzgesetz nicht verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, jedoch wird die Pflicht zur Durchführung solcher Analysen im revidierten Datenschutzgesetz eingefügt werden (vgl. auch MLL-News vom 21. September 2017 und MLL-News vom 14. Februar 2017). Insofern ist auch aus Sicht schweizerischer Unternehmen wichtig, dass Microsoft einen datenschutz-konformen Einsatz von Office-Produkten ermöglicht. Kann ein solcher Einsatz nicht zeitnah gewährleistet werden, müssten sich Schweizer Unternehmen schon bald auf die Suche nach datenschutzrechtlich sicheren alternativ Lösungen machen.

Weitere Informationen:

• Datenschutz-Folgenabschätzung zu Microsoft Office 2016
• MLL-News vom 21. September 2017: «Totalrevision DSG: Bundesrat veröffentlicht Gesetzesentwurf und Botschaft»
• MLL-News vom 30. Juli 2017: «Jetzt handeln: EU-DSGVO-Umsetzungsfrist läuft am 25. Mai 2018 ab»
• MLL-News vom 14. Februar 2017: «Totalrevision DSG: wichtigste Eckpunkte des Vernehmlassungsentwurfes für ein neues Schweizer Datenschutzgesetz»
• MLL-News vom 14. Januar 2016: «EU-Datenschutzgrundverordnung (DSGVO): Alles Neue zur Datenschutzreform»