Microsoft will Office Pro Plus DSGVO-konform nachbessern

[English]Wenn die Berichte stimmen, bewegt sich Microsoft auf äußeren Druck doch. Bis April 2019, so die Hinweise, will Microsoft die Pro Plus-Version seines Office-Pakets so nachbessern, dass es die DSGVO-Anforderungen erfüllt. Hier einige Informationen.

Office und die Kollision mit der DSGVO

Zuerst ein kurzer Rückblick: Im November 2018 hatte ich im Beitrag Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO über ein Problem berichtet, welches jeder professionelle Office-Nutzer in Europa hat. Microsoft spioniert über seine Office Pro Plus-Module die Nutzer bezüglich der individuellen Verwendung aus. Das ist aber nicht mit der Datenschutzgrundverordnung konform – ergo darf Microsoft Office in Firmen faktisch nicht eingesetzt werden.

Das sage nicht ich, sondern das ist das Ergebnis einer Analyse, die das niederländische Ministerium für Sicherheit und Recht angestoßen hatte. In niederländischen Behörden kommt auch Microsoft Office zum Einsatz. Das Ministerium wollte sichergehen, dass die eingesetzte Software im Einklang mit der Datenschutzgrundverordnung (DSGVO) und gesetzlichen Bestimmungen ist.

Das Ergebnis, offen gelegt im Dokument Impact assessment shows privacy risks Microsoft Office ProPlus Enterprise war erschreckend. Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche öffentliche Dokumentation. Der vom Ministerium veröffentlichte Data Protection Impact Assessment (DPIA) Bericht (in englischer Sprache) ist hier verfügbar. Untersucht wurden Office 2016 und Office 365, die Details sind in meinem Blog-Beitrag Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO nachlesbar.

Microsoft will Office Pro Plus nachbessern

Der Bericht der niederländischen Behörde hat Microsoft wohl zum Handeln gezwungen. Mary Foley weist in einem Tweet auf eine kolportierte Änderung hin.

Basis ihrer Meldung ist der Politico-Artikel Microsoft to update Office Pro Plus after Dutch ministry questions privacy. Laut diesem Artikel plant Microsoft seine Office Pro Plus-Produkte bis Ende April 2019 zu aktualisieren. Damit soll einer Reihe von Datenschutzbedenken Rechnung getragen werden, die in dem vom niederländischen Justizministerium in Auftrag gegebenen Audit aufgeworfen wurden.

Laut Politico hat hat Microsoft das Update bestätigt. Dieses Update soll Bedenken im Zusammenhang auf die DSGVO-Konformität beim Einsatz von Office Pro Plus in Unternehmensumgebungen ausräumen. Ziel ist es, die bisherige Unsicherheit, dass die Diagnosedaten ohne angemessene Dokumentation und Benutzerkontrolle über das, was gesendet wurde, von Europa in die Vereinigten Staaten übertragen werden.

Microsoft und das niederländische Justizministerium hatten sich auf die Änderungen im Rahmen eines „Verbesserungsplans“ mit einer Frist bis April 2019 geeinigt. Ein Sprecher des Ministeriums sagte gegenüber POLITICO, dass das Ministerium, wenn sich die Antworten bzw. Verbesserungen von Microsoft als „unbefriedigend“ erweisen sollten, weitere „Durchsetzungsmaßnahmen“ vorbehält. 

In einer Erklärung betonte Microsofts Datenschutz- und Regulierungsberaterin Julie Brill, dass das niederländische Ministerium das Audit als Kunde von Microsoft in Auftrag gegeben und keine Regulierungsmaßnahmen gegen das Unternehmen eingeleitet habe. Laut Brill arbeitet man mit den Mitarbeitern des Ministeriums zusammen, um zusätzliche Informationen auszutauschen und bei der Lösung seiner Fragen zu helfen. Sie ist überzeugt, dass Office Pro Plus ‘mit dem niederländischen Recht und der GDPR (DSGVO) in Einklang steht’.

„Wir fühlen uns gut dabei, was wir tun, um unseren Kunden Transparenz und Wahlmöglichkeiten bei den Diagnosedaten zu geben, die sie mit uns teilen, aber wir wollen mehr tun“, sagte Brill. „In den kommenden Wochen werden wir weitere Schritte unternehmen, um es den Kunden zu erleichtern, zu verstehen, welche Daten an Microsoft gehen müssen, um unsere Dienste zu betreiben, und warum und wo der Datenaustausch optional ist.“ Sofern Microsoft ein Update ausrollt, steht dies natürlich für alle Office Pro Plus-Anwender zur Verfügung.

Falls die Maßnahmen Microsofts nicht ausreichen, um die niederländischen Behörden zufrieden zu stellen, können diese einen Schritt weiter gehen. Gemäß den EU-Datenschutzgesetzen ist die irische Datenschutzkommission die „leitende Aufsichtsbehörde“, die dafür verantwortlich ist, dass Microsoft die Vorschriften einhält. Sollten die Niederlande sich dafür entscheiden, dass ihre Bedenken nicht ausgeräumt sind, könnten sie einen Antrag mit den betreffenden Fragen an die irische Regulierungsbehörde weiterleiten. In der Zwischenzeit werden alle Fragen vom Europäischen Datenschutzrat, dem alle EU-Datenschutzbehörden angehören, und vom Europäischen Datenschutzbeauftragten, der wiederum eigene Untersuchungen einleiten kann, die zu Durchsetzungsmaßnahmen führen könnten, aufmerksam verfolgt.

Ein Sprecher der irischen Datenschutzbehörde (DPC) sagte, dass sie sich dieser Angelegenheit und ihrer Bedeutung für Unternehmen, die das betreffende Microsoft-Produkt verwenden, bewusst sei. Nach Bekanntwerden hat der DPC unverzüglich mit Microsoft Kontakt aufgenommen, um weitere Informationen über die Verarbeitung von Telemetriedaten zu erhalten. Laut DPC hat Microsoft detaillierte Antworten geliefert. Es bleibt spannend, abzuwarten, wie dieser Fall ausgeht.

Ähnliche Artikel:
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Microsoft rät von Office 2019 ab und empfiehlt Office 365
Microsoft Office 2019: Preise zum 1.10.2018 angehoben
Office 2019 Allgemein freigegeben (2. Oktober 2018)
Ist Microsoft mit Office 2019/365 Pro Plus auf dem richtigen Weg?

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Microsoft will Office Pro Plus DSGVO-konform nachbessern

  1. Christian sagt:

    Warum lese ich hier nur was von der Version Pro Plus?
    DSGVO Konform ist kein Feature sondern eine Pflicht in allen Versionen.

    Auch Office Standard ist als Volumenlizenz für Unternehmen verfügbar und wenn man es genau nimmt, muss selbst die Home & Business DSGVO Konform werden da auch diese Version in Firmen genutzt werden darf.

    Gruß

    • 1ST1 sagt:

      Genau so ist es. Außer den 2016 und 2019er Versionen natüclich auch alle weiteren noch unterstzten Versionen, 2013 und 2010.

    • Günter Born sagt:

      Die Antwort ist schlicht und ergreifend: Von der niederländischen Behörde wurden Office 2016 Pro Plus (und Office 365) einem Audit unterzogen. Und genau da bessert Microsoft nach..

      Was wir hier ‚meinen‘, interessiert im großen MS-Kosmos nicht die Bohne ;-) Wenn das Tracking in allen Versionen einstellbar wird (was ich nicht glaube), um so besser.

  2. Al CiD sagt:

    Und wann werden alle anderen Produkte aus dem Hause MS (aber nicht nur) DSGVO-konform?
    Besonders Windows 10…

  3. 1ST1 sagt:

    Ich hoffe, die irische Datenschutzbehörde hat mehr Power, also folgender Link suggeriert. https://www.bahnmops.de/366-einfach-nur-geil-ich-musste-es-wieder-hervorkramen

  4. Trillian sagt:

    Moin @ All!

    Zumindest für Office 2007, 2010, 2013, 2016 lässt sich mit Hilfe „Administrativer Vorlagen“ diesem Telemetriegeraffel Einheit gebieten. Diese Vorlagen sind kostenlos im Downloadcenter bei Microsoft erhältlich und auch für jederman zugänglich. Nach Download und Einbinden der Vorlagen auf einem lokalen Computer oder Server erfolgen dann die Einstellungen via Gruppenrichtlinieneditor „gpedit.msc“.

    Office 2007: https://www.microsoft.com/de-de/download/details.aspx?id=22666

    Office 2010: https://www.microsoft.com/en-us/download/details.aspx?id=18968

    Office 2013: https://www.microsoft.com/en-us/download/details.aspx?id=35554

    Office 2016: https://www.microsoft.com/en-us/download/details.aspx?id=49030

    • Anonymous sagt:

      und dann ?

      • Trillian sagt:

        Für Office 2010:

        gpedit.msc -> Benutzerkonfiguration -> Administrative Vorlagen -> Microsoft Office 2010 -> Datenschutz -> Sicherheitscenter

        * Automatisches Empfangen kleiner Updates zur Verbesserung der Zuverlässigkeit -> Status auf „Deaktiviert“ stellen

        * Bestätigungs-Assistenten bei der ersten Ausführung deaktivieren -> Status auf „Aktiviert“ stellen

        * Programm zur Verbesserung der Benutzerfreundlichkeit aktivieren -> Status auf „Deaktiviert“ stellen

        Für Office 2013/2016:

        gpedict.msc -> Benutzerkonfiguration -> Administrative Vorlagen -> Microsoft Office 2016 -> Datenschutz -> Trust Center

        * Automatisches Empfangen kleiner Updates zur Verbesserung der Zuverlässigkeit -> Status auf „Deaktiviert“ stellen

        * Bestätigungs-Assistenten bei der ersten Ausführung deaktivieren -> Status auf „Aktiviert“ stellen

        * Einschließen eines Screenshots in das Office-Feedback zulassen -> Status auf „Deaktiviert“ stellen

        * Office-Feedback senden -> Status auf „Deaktiviert“ stellen

        * Programm zur Verbesserung der Benutzerfreundlichkeit aktivieren -> Status auf „Deaktiviert“ stellen

        gpedict.msc -> Benutzerkonfiguration -> Administrative Vorlagen -> Microsft Office 2016 -> Telemetriedashboard

        * Datenschutzeinstellungen im Office-Telemetrie-Agent aktivieren -> Status auf „Aktiviert“ stellen

        * Hochladen von Daten für den Office-Telemetrie-Agent aktivieren -> Status auf „Deaktiviert“ stellen

        * Telemetrie-Datensammlung aktivieren -> Status auf „Deaktiviert“ stellen

        Cave: Keine Garantie auf Vollständigkeit und Anwendung wie immer auf eigene Gefahr… ^^

    • oli sagt:

      Da du es erwähnst. Die Office 2016 Templates sind ja auch für MS Office 2019 und da kann ich direkt mal anmerken, dass die Telemetrie-Einstellungen über diese Templates NICHT funktionieren. Der C2R-Service sendet alle paar Minuten fleißig seine Telemetriedaten. Also Obacht.

  5. Das ist ein eigener RegKey, der nicht in den ADMx Templates enthalten ist. Kann man aber bauen oder … achegal, heute keine Werbung :-)

    CLASS USER

    CATEGORY !!PaT
    CATEGORY !!O16
    POLICY !!Otele
    EXPLAIN !!OteleExp
    KEYNAME „Software\Policies\Microsoft\Office\Common\ClientTelemetry“
    VALUENAME „DisableTelemetry“
    END POLICY
    END CATEGORY
    END CATEGORY

    [STRINGS]
    PaT=“gp-Pack: Privacy and Telemetry“
    O16=“Office 2016/2019 und 365″
    Otele=“Telemetrie Sammeldienst deaktivieren“
    OteleExp=“Office sammelt Daten unterhalb von %LocalAppData%\Microsoft\Office\OTele\n\nDiese werden an MS versendet oder können auch OnPremise ausgewertet werden\n\n\nDas Verhalten zeigt Performance Probleme, sobald die Dateien größer 10MB werden\n\nähnlich der alten Journaling Funktion“

    • Trillian sagt:

      Thx für die Info!

    • oli sagt:

      Hab folgenden Reg-Eintrag in einer GPO gesetzt:

      HKEY_CURRENT_USER\Software\Microsoft\Office\Common\ClientTelemetry

      Wertname: DisableTelemetry
      Wertdaten: 0x27100

      Unter Wertdaten hatte ich auch schon einige andere ausprobiert. Das machte bei mir aber bei der Gesprächigkeit von MS Office 2019 keinen Unterschied. Im Proxy sieht man trotzdem jede Menge Verbindungen zu „config.edge.skype.com“ (wir haben Skype nichtmal installiert),“nexusrules.officeapps.live.com“ und “ nexus.officeapps.live.com“.

  6. grubi sagt:

    Ich habe gerade ein Office 2016 Standard (MSI) unter der Lupe.

    Meine Frage/Hypothese lautet: Sind die GP-Einstellungen bezüglich Telemetrie in den ADMX Files von Microsoft Placebos? Ich habe sämtliche Einstellungen zu Datenkommunikation in den Vorlagen entsprechend eingestellt und trotzdem passiert folgendes:

    Man starte mehrere Office-Anwendungen nacheinander und beende diese dann im Anschluss nach ca. 10 Sekunden.

    Jetzt kann man beobachten, dass im Verzeichnis „%LOCALAPPDATA%\Microsoft\Office\OTele“ jeweils beim beenden 3 Dateien in diesem Verzeichnis erzeugt werden.

    Nun startet man eine Office-Anwendung (z.B. Word oder Excel) und beobachtet den Inhalt dieses Ordners. Man kann jetzt beobachten, dass nach ca. 1 bis 2 Minuten die Dateien im diesem Ordner nacheinander verschwinden.

    Gleichzeitig sieht man, dass zwei Verbindungen über HTTPS mit den IPs 52.109.12.22 und 52.109.88.36 aufgebaut und wieder beendet werden, sobald alle Dateien verschwunden sind. Die IPs antworten weder auf einen „ICMP Echo Request“ noch haben sie einen Reverse Lookup im DNS. Laut WhoIs gehören sie zu Microsoft.

    Ein Mitschnitt der DNS Kommunikation zeigt, dass die Office-Anwendung offensichtlich zwei DNS Requests zu den Einträgen „nexus.officeapps.live.com“ und „nexusrules.officeapps.live.com“ absetzt, zu denen dann (verfolgt man die CNAMEs in der Antwort) die besagten IP-Adressen gehören.

    Mich würde interessieren ob andere mit den GPs mehr Erfolg hatten und wenn ja wie. So wie es jetzt ist hat das mit DSGVO-Konformität wohl nicht all zu viel zu tun.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert