Datensammlung en masse: Microsofts Datenpolitik unter der Lupe

Am 30. Juli 2023 hat Microsoft eine umfassende Aktualisierung seines Servicevertrags veröffentlicht, die am 30. September 2023 in Kraft getreten ist. Diese Aktualisierung ging Hand in Hand mit einer Überarbeitung der Datenschutzerklärung von Microsoft, die im August 2023 durchgeführt wurde. Die Datenschutzerklärung beschreibt, wie Microsoft die Inhalte der Nutzer:innen verwendet.

Folgendes fällt unter die erhobenen Daten: 

• Kommunikation mit anderen Personen
• Beiträge über Microsoft-Dienste
• Dateien
• Fotos
• Dokumente
• Audio- und Videodateien
• Livestreams und digitale Werke 

Damit greift Microsoft auf eine Vielzahl – teils personenbezogener – Daten zu und verarbeitet sie zu eigenen Zwecken:

• Bereitstellung von Produkten inklusive Aktualisierung, Sicherung, Problembehandlung und Support
• Entwickeln und Verbessern von Produkten
• Personalisieren von Produkten
• Unterbreiten von Werbeangeboten  

Microsoft macht in seiner Datenschutzerklärung deutlich, dass sie nicht für die Inhalte verantwortlich sind, die andere Nutzer:innen über die Dienste hochladen. Sie empfehlen jedoch dringend das Erstellen von Sicherungskopien. Es wird auch klargestellt, dass die Inhalte, die erstellt, gespeichert oder übertragen werden, im Eigentum und in der Verantwortung des Nutzers verbleiben.

Microsoft erhält von den Nutzer:innen eine weltweite und gebührenfreie Lizenz für geistiges Eigentum für die Inhalte, die über ihre Dienste erstellt, gespeichert, übertragen, erstellt, generiert oder geteilt werden. Das ermöglicht Microsoft, Kopien der Inhalte zu erstellen, sie aufzubewahren, zu übertragen, umzuformatieren, zu verteilen und über die Dienste anzuzeigen.

Es ist wichtig zu beachten, dass Microsoft gemäß seiner Datenschutzrichtlinie keine Inhalte von Mails, Chats, Videoanrufen, Mailboxnachrichten, Dokumenten, Fotos oder anderen persönlichen Dateien für zielgerichtete Werbung verwendet.     

Der überarbeitete Servicevertrag enthält auch einen umfangreichen Verhaltenskodex und verschiedene Richtlinien, die die Nutzung der Dienste regeln. Microsoft betreibt ein Meldeportal, über das Verstöße gegen diese Richtlinien gemeldet werden können. Es werden sowohl manuelle als auch automatisierte Überprüfungen durchgeführt, um Verdachtsfälle von Spam, Betrug, Phishing, Malware, Jailbreaking und anderen unrechtmäßigen Inhalten oder Verhaltensweisen zu identifizieren.

Die Durchsetzung des Verhaltenskodex und der Richtlinien kann je nach Schwere des Verstoßes auf verschiedene Arten erfolgen, einschließlich der Verweigerung von Inhalten, dem Blockieren, Entfernen oder Nichtanzeigen von Inhalten, der Einschränkung des Kontos und sogar der Schließung des Kontos, was den Verlust des Abonnements und der Daten bedeutet. 

Für bestimmte Produkte und Dienste gibt es Zusatzvereinbarungen, die auf Basis von Zusatzverträgen angepasst werden. Zu den betroffenen Produkten und Diensten gehören Microsoft 365 Business Pläne, Microsoft 365 Enterprise Pläne, Microsoft 365 Dynamics, Power Platform und Azure. Diese Zusatzvereinbarungen ermöglichen es Geschäftskund:innen, mehr Kontrolle über die in ihrer Organisation verarbeiteten Daten zu haben.

Microsoft gibt an, dass Daten, die aufgrund dieser Zusatzvereinbarungen verarbeitet werden, getrennt von den Daten gespeichert werden, die von privaten Endnutzer:innen verarbeitet werden. Dennoch ist es wichtig, die Datenschutzeinstellungen der Produkte richtig zu prüfen und einzustellen. 

Die Aktualisierung des Servicevertrags und der Datenschutzerklärung von Microsoft hat Bedenken hervorgerufen. Vor allem von privaten User:innen erhebt Microsoft eine Vielzahl an Daten, wenn diese die Erhebung nicht eingeschränkt und die Datenschutzeinstellungen angepasst haben. Auch ist nicht geregelt, dass die eigenen Daten in der EU gespeichert werden.

Geschäftskund:innen haben aufgrund der entsprechenden Zusatzvereinbarungen für verschiedenste Produkte und Dienste mehr Kontrolle über die Daten, die in der Organisation verarbeitet werden. Es sei denn, es werden keine Unternehmens-, sondern private Lizenzen gekauft. Dann ergeben sich – neben Fehllizenzierungen und mangelnden Auftragsverarbeitungsverträgen – auch für Geschäftskund:innen zusätzlich erhebliche Risiken im Datenschutz bis hin zum Kontrollverlust über die Daten.

Hinzu kommt aber, dass die Verhaltensregeln in vielen Fällen sehr vage gehalten sind, genauso wie die Möglichkeiten, bei Microsoft dagegen vorzugehen. Das ermöglicht eine gewisse Willkür, die für die Endnutzer:innen allerdings reale Folgen haben kann.

Es wird auch darauf hingewiesen, dass eine enge Zusammenarbeit zwischen Microsoft und Strafverfolgungsbehörden wahrscheinlich ist, was die Möglichkeit eröffnet, Konten auf Anfrage bestimmter Behörden zu sperren. 

Die Aktualisierung des Servicevertrags und der Datenschutzerklärung von Microsoft wirft wichtige Fragen im Hinblick auf Datenschutz und Privatsphäre auf. Nutzer:innen sollten sich bewusst sein, dass die Nutzung von Microsoft-Diensten dazu führen kann, dass ihre Daten von Microsoft verwendet und überwacht werden. Gleiches gilt für die Nutzung des neuen Outlooks. Auch hier sammelt Microsoft massiv Daten.

Es ist entscheidend, die Datenschutzrichtlinien und Einstellungen zu überprüfen und sicherzustellen, dass sie mit den eigenen Erwartungen und Anforderungen in Einklang stehen. Für einige Nutzer:innen mag dies ein Anreiz sein, alternative Lösungen in Betracht zu ziehen, die mehr Kontrolle über ihre Daten bieten. 

Sie sind sich unsicher, ob Sie Microsoft-Produkte weiterhin datenschutzkonform einsetzen können? Sie haben Fragen rund um die Risikoanalyse oder mögliche technische und organisatorische Maßnahmen?

Wir unterstützen Sie! Gemeinsam mit Ihnen führen wir eine umfassende Risikoanalyse durch und leiten Handlungsempfehlungen und umzusetzende Maßnahmen ab. 

Knop, Dirk (2023): „Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook“, heise online, 09. November 2023, https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vorm-neuen-Outlook-9357691.html, letzter Zugriff am 13. November 2023.

Knop, Dirk (2023): „Outlook-Datenumleitung: Bundesdatenschützer zeigt sich besorgt“, heise online, 10. November 2023, https://www.heise.de/news/Microsofts-Outlook-Datenumleitung-BfDI-will-Bericht-von-EU-Datenschuetzer-9358371.html, letzter Zugriff am 13. November 2023. 

Microsoft (2023): „Datenschutzerklärung von Microsoft“, Oktober 2023, https://privacy.microsoft.com/de-de/privacystatement, letzter Zugriff am 06. November 2023.

Microsoft (2023): „Microsoft Products and Services Data Protection Addendum (DPA)”, Januar 2023, https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA?lang=14, letzter Zugriff am 06. November 2023.

Microsoft (2023): „Microsoft-Servicevertrag”, 30. Juli 2023, https://www.microsoft.com/de-de/servicesagreement, letzter Zugriff am 06. November 2023.

Sobiraj, Lars (2023): „Microsofts neuer Servicevertrag erlaubt Totalüberwachung aller Nutzer”, tarnkappe.info, 22. September 2023, https://tarnkappe.info/artikel/netzpolitik/microsofts-neuer-servicevertrag-erlaubt-totalueberwachung-aller-nutzer-280856.html, letzter Zugriff am 06. November 2023.