Melden Sie sich zu unserem Newsletter an!
Lust auf interessante Themen und spannende Beiträge rund um IT und IT-Sicherheit? Abonnieren Sie unseren monatlichen Newsletter!
Jetzt anmelden!© Windows, Unsplash
Zuletzt aktualisiert am 13. November 2023
Microsoft pusht das neue Outlook. Zusätzlich hat es kürzlich eine Aktualisierung seiner Serviceverträge und seiner Datenschutzerklärung veröffentlicht – mit weitreichenden Auswirkungen für die private und geschäftliche Nutzung.
Kein Wunder, dass Datenschutzbedenken laut werden. Denn Microsoft räumt sich die Sammlung einer Vielzahl von Daten ein und erlässt Verhaltensregeln. Die sind allerdings sehr vage, Verstöße können aber ernstzunehmende Konsequenzen nach sich ziehen.
Doch was genau hat sich in dem neuen Outlook und der Aktualisierung der Dokumente von Microsoft geändert und welche Auswirkungen haben die Änderungen auf die Privatsphäre und Sicherheit der Nutzer:innen?
Wie Microsoft mit dem neuen Outlook Daten sammelt
Microsoft hat ein neues Outlook entwickelt und ermutigt Nutzer:innen nun dazu, auf die neue, kostenlose Version umzusteigen. Im Startmenü von Windows-11-Geräten taucht es inzwischen als empfohlene Mailing-App auf und bis 2024 soll es das Mail-Programm und den mitgelieferten Kalender in Windows ersetzen. Selbst der Outlook-Client bietet den Test der neuen Outlook-Version an. Für die vollständige Ablösung gibt es allerdings noch keinen klaren Zeitplan.
Warum pusht Microsoft das neue Outlook so stark und lobt es in höchsten Tönen? Es kann damit weitaus mehr Daten sammeln. Wer auf das neue Outlook umsteigt, riskiert damit, IMAP- und SMTP-Zugangsdaten zu Mailkonten sowie sämtliche Mails an Microsoft-Server zu übertragen. Damit könnte Microsoft also Mails mitlesen und auswerten.
Auch wenn Nutzer:innen im neuen Outlook ein Mail-Konto hinzufügen, das nicht von Microsoft gehostet wird, sondern beispielsweise auf Firmen-Servern liegt, werden Daten übertragen. In dem Fall werden E-Mails, Kalender und Kontakte zwischen dem Mail-Anbieter und Microsoft-Rechenzentren synchronisiert.
Kein Wunder also, dass auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Professor Ulrich Kelber, alarmiert ist. Er fordert einen Bericht von den irischen Datenschutzbeauftragten. Microsoft selbst äußert sich bisher nicht dazu.
Gerade für Organisationen, die personenbezogene und teils sensible Daten verarbeiten, ist es mehr als bedenklich, das neue Outlook einzusetzen, da Zugangsdaten und E-Mails mitgelesen werden. Hier sollten die Risiken sorgfältig abgewogen und Mitarbeitende entsprechend sensibilisiert werden.
Serviceverträge und Datenschutzerklärung: Das Update
Am 30. Juli 2023 hat Microsoft eine umfassende Aktualisierung seines Servicevertrags veröffentlicht, die am 30. September 2023 in Kraft getreten ist. Diese Aktualisierung ging Hand in Hand mit einer Überarbeitung der Datenschutzerklärung von Microsoft, die im August 2023 durchgeführt wurde. Die Datenschutzerklärung beschreibt, wie Microsoft die Inhalte der Nutzer:innen verwendet.
Folgendes fällt unter die erhobenen Daten:
- Kommunikation mit anderen Personen
- Beiträge über Microsoft-Dienste
- Dateien
- Fotos
- Dokumente
- Audio- und Videodateien
- Livestreams und digitale Werke
Damit greift Microsoft auf eine Vielzahl – teils personenbezogener – Daten zu und verarbeitet sie zu eigenen Zwecken:
- Bereitstellung von Produkten inklusive Aktualisierung, Sicherung, Problembehandlung und Support
- Entwickeln und Verbessern von Produkten
- Personalisieren von Produkten
- Unterbreiten von Werbeangeboten
Microsoft macht in seiner Datenschutzerklärung deutlich, dass sie nicht für die Inhalte verantwortlich sind, die andere Nutzer:innen über die Dienste hochladen. Sie empfehlen jedoch dringend das Erstellen von Sicherungskopien. Es wird auch klargestellt, dass die Inhalte, die erstellt, gespeichert oder übertragen werden, im Eigentum und in der Verantwortung des Nutzers verbleiben.
Newsletteranmeldung
Lust auf interessante Themen und spannende Beiträge rund um IT und IT-Sicherheit? Abonnieren Sie unseren monatlichen Newsletter!
Lizenz für geistiges Eigentum und Datenschutz
Microsoft erhält von den Nutzer:innen eine weltweite und gebührenfreie Lizenz für geistiges Eigentum für die Inhalte, die über ihre Dienste erstellt, gespeichert, übertragen, erstellt, generiert oder geteilt werden. Das ermöglicht Microsoft, Kopien der Inhalte zu erstellen, sie aufzubewahren, zu übertragen, umzuformatieren, zu verteilen und über die Dienste anzuzeigen.
Es ist wichtig zu beachten, dass Microsoft gemäß seiner Datenschutzrichtlinie keine Inhalte von Mails, Chats, Videoanrufen, Mailboxnachrichten, Dokumenten, Fotos oder anderen persönlichen Dateien für zielgerichtete Werbung verwendet.
Verhaltenskodex und Richtlinien
Der überarbeitete Servicevertrag enthält auch einen umfangreichen Verhaltenskodex und verschiedene Richtlinien, die die Nutzung der Dienste regeln. Microsoft betreibt ein Meldeportal, über das Verstöße gegen diese Richtlinien gemeldet werden können. Es werden sowohl manuelle als auch automatisierte Überprüfungen durchgeführt, um Verdachtsfälle von Spam, Betrug, Phishing, Malware, Jailbreaking und anderen unrechtmäßigen Inhalten oder Verhaltensweisen zu identifizieren.
Die Durchsetzung des Verhaltenskodex und der Richtlinien kann je nach Schwere des Verstoßes auf verschiedene Arten erfolgen, einschließlich der Verweigerung von Inhalten, dem Blockieren, Entfernen oder Nichtanzeigen von Inhalten, der Einschränkung des Kontos und sogar der Schließung des Kontos, was den Verlust des Abonnements und der Daten bedeutet.
Zusatzvereinbarungen und Datenschutz
Für bestimmte Produkte und Dienste gibt es Zusatzvereinbarungen, die auf Basis von Zusatzverträgen angepasst werden. Zu den betroffenen Produkten und Diensten gehören Microsoft 365 Business Pläne, Microsoft 365 Enterprise Pläne, Microsoft 365 Dynamics, Power Platform und Azure. Diese Zusatzvereinbarungen ermöglichen es Geschäftskund:innen, mehr Kontrolle über die in ihrer Organisation verarbeiteten Daten zu haben.
Microsoft gibt an, dass Daten, die aufgrund dieser Zusatzvereinbarungen verarbeitet werden, getrennt von den Daten gespeichert werden, die von privaten Endnutzer:innen verarbeitet werden. Dennoch ist es wichtig, die Datenschutzeinstellungen der Produkte richtig zu prüfen und einzustellen.
Kritik und Bedenken
Die Aktualisierung des Servicevertrags und der Datenschutzerklärung von Microsoft hat Bedenken hervorgerufen. Vor allem von privaten User:innen erhebt Microsoft eine Vielzahl an Daten, wenn diese die Erhebung nicht eingeschränkt und die Datenschutzeinstellungen angepasst haben. Auch ist nicht geregelt, dass die eigenen Daten in der EU gespeichert werden.
Geschäftskund:innen haben aufgrund der entsprechenden Zusatzvereinbarungen für verschiedenste Produkte und Dienste mehr Kontrolle über die Daten, die in der Organisation verarbeitet werden. Es sei denn, es werden keine Unternehmens-, sondern private Lizenzen gekauft. Dann ergeben sich – neben Fehllizenzierungen und mangelnden Auftragsverarbeitungsverträgen – auch für Geschäftskund:innen zusätzlich erhebliche Risiken im Datenschutz bis hin zum Kontrollverlust über die Daten.
Hinzu kommt aber, dass die Verhaltensregeln in vielen Fällen sehr vage gehalten sind, genauso wie die Möglichkeiten, bei Microsoft dagegen vorzugehen. Das ermöglicht eine gewisse Willkür, die für die Endnutzer:innen allerdings reale Folgen haben kann.
Es wird auch darauf hingewiesen, dass eine enge Zusammenarbeit zwischen Microsoft und Strafverfolgungsbehörden wahrscheinlich ist, was die Möglichkeit eröffnet, Konten auf Anfrage bestimmter Behörden zu sperren.
Fazit
Die Aktualisierung des Servicevertrags und der Datenschutzerklärung von Microsoft wirft wichtige Fragen im Hinblick auf Datenschutz und Privatsphäre auf. Nutzer:innen sollten sich bewusst sein, dass die Nutzung von Microsoft-Diensten dazu führen kann, dass ihre Daten von Microsoft verwendet und überwacht werden. Gleiches gilt für die Nutzung des neuen Outlooks. Auch hier sammelt Microsoft massiv Daten.
Es ist entscheidend, die Datenschutzrichtlinien und Einstellungen zu überprüfen und sicherzustellen, dass sie mit den eigenen Erwartungen und Anforderungen in Einklang stehen. Für einige Nutzer:innen mag dies ein Anreiz sein, alternative Lösungen in Betracht zu ziehen, die mehr Kontrolle über ihre Daten bieten.
Wir unterstützen Sie!
Sie suchen eine Alternative zu Microsoft Exchange? Sie möchten zu KerioConnect wechseln? Von der Migration und Administration bis hin zum Support – wir kümmern uns um einen reibungslosen Wechsel. Dabei hosten und supporten wir Ihre KerioConnect Mailing-Lösung regional bei uns in der münsterland.cloud. Bei Bedarf können Sie zusätzlich eine GoBD-konforme E-Mail-Archivierung integrieren – alles aus einer Hand.
Unser Schwesterunternehmen, die Sachverständigenbüro Mülot GmbH, kann Sie zusätzlich im Datenschutz unterstützen: Können Sie Microsoft-Produkte weiterhin datenschutzkonform einsetzen? Sie haben Fragen rund um die Risikoanalyse oder mögliche technische und organisatorische Maßnahmen?
Quellen
Knop, Dirk (2023): „Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook“, heise online, 09. November 2023, https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vorm-neuen-Outlook-9357691.html, letzter Zugriff am 13. November 2023.
Knop, Dirk (2023): „Outlook-Datenumleitung: Bundesdatenschützer zeigt sich besorgt“, heise online, 10. November 2023, https://www.heise.de/news/Microsofts-Outlook-Datenumleitung-BfDI-will-Bericht-von-EU-Datenschuetzer-9358371.html, letzter Zugriff am 13. November 2023.
Microsoft (2023): „Datenschutzerklärung von Microsoft“, Oktober 2023, https://privacy.microsoft.com/de-de/privacystatement, letzter Zugriff am 06. November 2023.
Microsoft (2023): „Microsoft Products and Services Data Protection Addendum (DPA)”, Januar 2023, https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA?lang=14, letzter Zugriff am 06. November 2023.
Microsoft (2023): „Microsoft-Servicevertrag”, 30. Juli 2023, https://www.microsoft.com/de-de/servicesagreement, letzter Zugriff am 06. November 2023.
Sobiraj, Lars (2023): „Microsofts neuer Servicevertrag erlaubt Totalüberwachung aller Nutzer”, tarnkappe.info, 22. September 2023, https://tarnkappe.info/artikel/netzpolitik/microsofts-neuer-servicevertrag-erlaubt-totalueberwachung-aller-nutzer-280856.html, letzter Zugriff am 06. November 2023.