In Zeiten von Corona und der damit verbundenen Verlagerung aufs Home Office werden entsprechende Kooperations-Tools immer wichtiger, gelangen aber auch stärker ins Visier von Datenschützern. Nun gibt es einen Streit um den Datenschutz in Microsoft Teams.
Anfang des Monats hatte Microsoft Deutschland die Datenschutzbehörde des Landes Berlin abgemahnt, weil in einer veröffentlichten Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen vor beliebten Programmen wie Skype, Zoom und eben Microsoft Teams gewarnt wurde.
Der Chefjurist von Microsoft Deutschland reagierte empört und forderte die Behörde auf „unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen“. Der Software-Riese sieht seinen Ruf zu unrecht beschädigt und befürchtet etwaige kommerzielle Schäden. Finanzielle Forderungen enthielt die Abmahnung allerdings nicht.
Erst kürzlich landeten Microsoft Teams und Skype noch auf Platz 1 und 2 bei Stiftung Warentest. Die Datensicherheit wurde dabei mit „gut“ bewertet, während an der Formulierung der Datenschutzerklärungen erhebliche Mängel angemahnt wurden.
Microsoft Teams sammelt personenbezogene Daten
Der Fach-Blog Kuketz IT Security hat sich die Sachlage näher angeschaut und tatsächlich eine bedenkliche Datenschutzlücke in Microsoft Teams entdeckt:
Microsoft sendet User-IDs (z.B. d_cid) in die Adobe Experience Cloud, an die Adobe-Tochter Marketo, an Google Ads und Scorecardresearch. Diese Daten sehen aus wie Remarketing-Tags.
Die erste Nutzung von App und Website wird also mit Cookies oder Parametern in diese Netzwerke gemeldet, wo sie mit anderen personenbezogenen Daten angereichert werden können. Der Zweck: Microsoft will damit evtl. seine Nutzer zielgerichtet auf anderen Plattformen bewerben.
Und das obwohl in der deutschen Nutzungsvereinbarung (DPA) eine Verwendung von Kundendaten für Werbung explizit ausgeschlossen wird.
Es geht wohlgemerkt nicht darum, dass sensible Kommunikationsinhalte ausspioniert werden (Microsoft bezeichnet Teams als „abhörsicher“). Matthias Eberl für den Kuketz-Blog kommt allerdings zu dem Schluss, dass das Tracking kaum rechtmäßig sein kann. Aus ungeschützten Meta-Daten ließe sich zudem rekonstruieren, welche Nutzer gemeinsam ein Team bilden. Für „sensible Sitzungen“ sei die Plattform deshalb nicht geeignet.
Auch andere Datenschutzbehörden warnen
Mittlerweile hat mich die Warnung vor Teams auch in meinem beruflichen Alltag erreicht, unter anderem mit einer Aussage des Datenschutzbeauftragen des Landes Bayern:
Der Einstieg zu Microsoft Teams hat einen Code implantiert, der zu einer Übermittlung personenbezogener Daten ohne Information oder Unterauftragsverhältnis den Anbietern von DoubleClick und Adservice (beides Google) und Demdex (Adobe) offenlegte. Betroffen waren nur Sitzungen, bei denen der Aufruf über die Web-URL des Kanals erfolgt ist. Aktivitäten im Teams-Klienten selbst waren nicht betroffen. Auch Nutzer die Trackingschutz im Browser aktiv haben, sind nicht betroffen.
Das Problem wird als durchaus ernst betrachtet. Etwas entschärfend heißt es hier aber immerhin, dass nur die Web-Version von Teams, nicht jedoch die Client-Apps betroffen seien. Zudem werden „Do Not Track“ Einstellungen im Browser offenbar respektiert (im Gegensatz etwa zu Google Seiten).
Meine erste Reaktion war gelassen (und das nicht nur, weil ich Microsoft Teams aktuell gar nicht verwende). Ich habe mich praktisch damit abgefunden, dass man sich als normaler Nutzer kaum noch im Internet bewegen kann ohne irgendwelche Datenspuren zu hinterlassen, die für Werbung ausgenutzt werden. Diese defätistische Einstellung ist aber falsch.
Abgesehen von der rechtlichen Situation — die ich nicht einzuschätzen vermag — muss man sich gerade bei einem Anbieter wie Microsoft und einem professionellen Tool wie Teams darauf verlassen können, dass Nutzungsvereinbarungen und Datenschutzstandards auch eingehalten werden. Unternehmen oder öffentliche Einrichtungen, die eine kostenpflichtige Lizenz nutzen, müssen erst Recht kein Verständnis dafür haben, dass noch personenbezogene Daten zu potentiellen Werbezwecken gesammelt und an Dritte weitergegeben werden.
Man muss Microsoft nicht einmal Absicht unterstellen. Auch wenn es sich bei dem Tracking um einen Fehler handelt, sollte das Unternehmen diesen schnellstmöglich beheben anstatt in den Angriffsmodus zu schalten. Es geht hier zum einen um Datenschutz und zum anderen um das Nutzervertrauen. Beides sollte für Microsoft höchste Priorität haben.
Was ist eure Meinung zu dem Datenschutz-Streit? Diskutiert mit in den Kommentaren.
Das mag ja alles sein wie du es hier beschreibst. Das Problem hierbei, aus Sicht von Microsoft ist jenes gewesen, dass die Datenschutzbehörde zwar Datenschutzprobleme (nicht nur bei MS) kritisiert hat, diese aber nicht konkretisiert hat. MS hat zurecht den Stein ins rollen gebracht, denn man kann nicht von Seiten der Datenschutzbehörde was kritisieren und gleichzeitig keine Details an den Kritikpunkten beantworten können. Wenn die Datenschutzbehörde sich an einigen Punkten stört, dann wird MS das mit Sicherheit ausräumen. Dazu muss MS aber wissen, was die Datenschutzbehörde konkret meint. Übrigens, der Punkt betrifft auch alle anderen Kommunikationstools, die ebenfalls im Detail… Weiterlesen »
superuser123: Warum sollte die Datenschutzbehörde die Hausaufgaben für Microsoft machen? Kennt Microsoft seine eigenen, selbstverfassten Nutzungsbedingungen nicht, worin explizit versprochen wird, dass Daten nicht an Dritte für Werbezwecke weitergereicht werden?
Will der Chef von Microsoft Deutschland das Unschuldslamm schauspielen, soll er zu VW wechseln.
Die Unternehmen wissen dies doch ganz genau.
Jedes Unternehmen hat sein Kommunikationstool selbst entwickelt und jedes funktioniert etwas anders. Es ist immer ein Spagat, zwischen einsammeln von Daten, um das Produkt zu verbessern und dabei den Datenschutz nicht zu gefährden. Dies wissen auch die Datenschutzbehörden, deshalb müssen diese auch den IT-Unternehmen eine faire Chance geben, ihr jeweiliges Produkt zu verbessern. Ich kann auch nicht wissen, was irgend jemanden an dem Quellcode nicht gefällt. Sollen die es sagen, dann wird es verbessert. Erst wenn nach einem konkretem genannten Punkt keine Verbesserung erfolgt, dann kann man das Produkt negativ bewerten. Aber bitte nicht umgekehrt, das ist unfair!
Und die Polzei soll nicht gleich meinen Fahrstil bestrafen, sondern mir erst genau sagen, wo genau ich zu schnell oder bei Rot über die Ampel gefahren bin. Und mir die Chance geben, mich zu Verbessern, statt Punkte in Flensburg einzutragen. Tsss,
Mich würde noch interessieren ob das auch beim neuen Edge der Fall ist oder nur bei „Fremd“-Browsern? Wurde das näher beleuchtet? Von Chrome wurde vor einer Weile ja bekannt das dieser trotz Ablehnung weiter Daten nach Hause sendet…
Microsoft wird auch das Surface-Android-Phone in Bezug auf Datenschutz als „sicher“ verkaufen wollen. Dabei ist bei Microsoft schon längst beschlossen, dass selbst eigene Outlookkonten künftig so behandelt werden müssen, wie Gmailkonten. Google braucht nun mal Daten als Gegenleistung, wenn Microsoft als Partner mit Google zusammen arbeitet. Das ist doch das ganze und eigentliche Geschäftsmodell von Google. Anders würde Google kein SurfacePhone in den GoogleAppStore lassen. Es gibt bei Google nichts für umsonst.
Ist doch logisch.
nee, so eine Erpressung kann sich Google nicht mehr leisten.
Komischerweise sehe ich diese angeblichen cookies nicht und auch ein tracking wie genannt, kann ich nicht erkennen. Evtl. hatte die Datenschutzbehörde irgendwelche Add-ins im Browser installiert.