Wie T-Online gestern berichtete, hat sich der Chefjurist von Microsoft Deutschland empört geäußert, weil der Datenschutzbeauftragte von Berlin in einem Vermerk angedeutet habe, dass Microsofts Videokonferenzsysteme womöglich nicht ganz sauber sind (Update: Der „Vermerk“ wurde am 18. Mai von der Berliner Behörde entfernt).
Recht hat er! Besser sind ein paar handfeste Belege, dass das nicht ganz sauber ist!
Beginnen wir mit der Datenschutzerklärung von Teams, auf die sich gerade viele Schulen und Unternehmen verlassen müssen.
Aber Moment mal, wo ist die denn?Es gibt keine. Nur die generische, allgemeine Datenschutzerklärung, die wenig brauchbar ist. Update: Wir haben eine gefunden! Dank für den Hinweis eines Lesers. Warum wird sie nicht an den passenden Orten angezeigt?
Die DSGVO erfordert, dass Daten in nachvollziehbarer Weise verarbeitet werden. Dies muss präzise dargestellt werden, eine generische Darstellung ist zu unklar: Man kann alles und nichts herauslesen, zum Beispiel dass Microsoft Videodaten mit KI analysiert und dann für Forschung verwendet. Hm?
Dazu stellt auch die Stiftung Warentest nüchtern fest: „Die Texte (…) lassen keine ernsthafte Befassung mit der europäischen Datenschutzgrundverordnung (DSGVO) erkennen.“
UPDATE zum folgenden Absatz (21.5.2020):
Microsoft hat die genannten Tracker in der Webanwendung offenbar entfernt. In der App sind sie weiterhin.
Bei Mitschnitt und Analyse der App-/Webdaten dann eine unschöne Überraschung: Microsoft sendet User-IDs (z.B. d_cid) in die Adobe Experience Cloud, an die Adobe-Tochter Marketo, an Google Ads und Scorecardresearch. Diese Daten sehen aus wie Remarketing-Tags:
Die erste Nutzung von App und Website wird also mit Cookies oder Parametern in diese Netzwerke gemeldet, wo sie mit anderen personenbezogenen Daten angereichert werden können. Der Zweck: Microsoft will damit evtl. seine Nutzer zielgerichtet auf anderen Plattformen bewerben. Wie ein Leser mit geschrieben hat, kann man davon ausgehen, dass diese Tracking seit August 2017 implementiert ist. Zu dieser Zeit wurden die Requests zu den Domains demdex.net und doubleclick.net in das Script jsll-4.js eingebaut, wie eine archivierte Version belegt.
Nicht nur der Team-Admin (Tenant), auch eingeladene Mitglieder werden in die Werbenetzwerke gemeldet. Falls die Geräte und Browser in diesen Netzwerken bereits bekannt sind, können die Daten bestehenden Profilen hinzugefügt werden. Sie sind dann evtl. nicht mehr pseudonym.
Ein Highlight: Google nimmt sich das Recht heraus, diese Daten auch für andere Werbekunden zu verwenden. Die Teilnehmer könnten also in Audience-Gruppen landen („interessiert sich für Videokonferenzen“) und plötzlich Zoom-Werbung auf anderen Plattformen bekommen. Nicht wundern – alles ganz normales Ad-Tech-Business 🤷♂️
Interessant: Microsoft schließt im deutschen DPA eine Verwendung von Kundendaten für Werbung aus. Wissen die nicht mehr, was ihre Software macht? Oder haben sie diese komische Zoom-Vorstellung von „Gerätedaten sind keine personenbezogenen Daten“?
An eine Rechtmäßigkeit von Microsoft Teams ist daher meiner Meinung zusammenfassend nicht zu denken:
- Keine gültige Datenschutzerklärung angeboten
- Man bräuchte eine informierte Einwilligung in die Werbenutzung von allen Teilnehmern (das setzt Google im Übrigen für Retargeting voraus!)
- Durch die Nutzung für eigene Zwecke ist Microsoft auch nicht mehr Auftragsverarbeiter. Der Konferenzveranstalter muss die Datenweitergabe anders legitimieren.
- Alle DSGVO-Pflichten (Auskunft, Löschung etc.) müssten für die Daten in den Werbenetzwerken sichergestellt sein. Wir wissen, dass es noch niemandem gelungen ist, seine aggregierten, externen Verhaltensdaten bei Google abzufragen.
Und zum Abschluss: Die Behauptung, dass „Teams“ auch für sensible Sitzungen geeignet ist, teile ich nicht. Manche Metadaten sind ungeschützt – die Tenant-ID wird bei der Registrierung über den Referer für die Werbenetzwerke sichtbar. Google und Adobe erfahren daher auch, welche IDs gemeinsam ein Team bilden.
Übrigens: Die Telemetrie, für die Microsoft bekannt ist, findet auch bei Teams statt. Beispielsweise wird jede Rückkehr von einem beliebigen Fenster ins Team-Fenster mit Zeitstempel an Microsoft gemeldet. Juristisch wohl korrekt, aber für mich unerträglich, beim Arbeiten so analysiert zu werden.
Hinweise/Updates: Ich habe nur das kostenlose Microsoft Teams für Unternehmen getestet. Insbesondere Schul-Accounts sollten auch auf diesen Vorgang geprüft werden. Mittlerweile konnte ich auch die Registrierung an einem Edu-Account einer Uni testen. Auch dort wird die Registrierung an Google und Adobe gemeldet. Auch in der „Business Premium“-Variante werden die Nutzer bei der Registrierung an Adobe und Google gemeldet. Das hatte ich zunächst anders berichtet, weil die Prüfung versehentlich in einem Privatmodus-Fenster stattgefunden hatte.
Registrierung bei Office 365, Skype Web, Teams Premium Business und Microsoft Sharepoint-Freigaben sind offenbar nicht betroffen. Oder nicht mehr. Da es aber offenbar eine recht große Vielfalt gibt, sollten Betreiber das selbst prüfen oder mit Microsoft klären: In Firefox/Chrome Strg-Shift-E, dann sieht man die Netzwerkverbindungen. Einladung an neue E-Mail senden, dann mit gelöschten Cookies Neu-Registrierung durchführen. Dann in den angezeigten Verbindungen nach Doubleclick und Demdex suchen.
Die von Microsoft in der Stellungnahme primär angeführte Abhörsicherheit habe ich nicht untersucht.
Dieser Beitrag erschien zeitgleich auch im Kuketz-Blog als Gastkommentar.
Deshalb empfehle ich Wire (wire[.]com). Der Hauptsitz der Firma ist in der Schweiz, die Entwicklungsabteilung in Berlin, der Quellcode „Open Source“ und die Datensicherheit sichergestellt.
Dieses: https://www.kuketz-blog.de/wire-messenger-zu-100-von-einer-us-holding-uebernommen/ ?
Hallo Matthias, danke für deinen Bericht!
Ich würde dir gern einen Demo-Tenant zur Verfügung stellen. Mich würde das Ergebnis bei einem Enterprise Tenant sehr interessieren!
Danke! Hat sich erledigt, ich habe die wichtigsten Versionen durchprobiert. Aber du kannst sehr leicht selbst testen: In Firefox/Chrome Strg-Shift-E, dann sieht man die Netzwerkverbindungen. Einladung an neue E-Mail, dann mit gelöschten Cookies Neu-Registrierung durchführen. Dann in den angezeigten Verbindungen nach Doubleclick und Demdex suchen.
Super Beitrag. Vielen Dank!
Gern geschehen, danke für das Feedback 🙂
Hallo Herr Eberl,
interessanter Artikel…..Frage, das mit dem „dann mit den gelöschten Cookies Neu-Registrierung durchführen“ kapier ich nicht. Wird das mit dem Forwarding zu Google nicht gleich angezeigt sobald der „Guest“ der Gruppe hizugefügt wurde?
Hier nochmal detaillierter, wie ich vorgehen würde: Man fügt den Gast/das Mitglied der Gruppe hinzu, indem man dessen E-Mail bei Teams angibt. Dann schließt man den Browser und löscht die Cookies, damit man nicht mehr als Admin eingeloggt ist und für Microsoft gänzlich unbekannt ist. Dann liest man die E-Mail von dem neuen Mitglied, öffnet die Netzwerkanalyse und klickt dann auf dessen Registrierungslink. Nun führt man die Registrierung durch. Nach den Angaben zu Geburtstag etc. kommt diese Seite. Dort taucht Demdex und Doubleclick auf – oder eben nicht.
In dem Zusammenhang (Adobe Cloud usw.) darf man sich auch gern mal die SPON Vorschaltseite ansehen, da wird munter getrackt auch wenn man noch rein gar nichts akzeptiert hat.
Cache leeren, SPON laden, sehen und wundern, bzw. nicht wundern, denn DSGVO geht allen „grossen“ so ziemlich komplett am sog. Wasauchimmer vorbei.
Gemeint ist diese Seite hier hXXps://www.spiegel.de/consent-a-?targetUrl=https%3A%2F%2Fwww.spiegel.de%2F
Danke für Deine Tweets!
Ja, das wollte ich mir auch schon länger mal genauer anschauen. Das Adobe-Tracking setzt sich nämlich auch im Bezahlaccount fort.
Cache leeren = natürlich auch Cookies und Local & Session Storage leeren usw., das nur für Mitleser am Rande.
Gerade auf einer Vorschaltseite gibt es meiner Meinung nach keinerlei berechtigtes Interesse und auch keine technische Notwendigkeit, gleichwelches Tracking einzusetzen (da ist ja nicht nur was von Adobe) und ebensowenig z.B. auf der Seite mit der Datenschutzerklärung.
Wer beim SPON als „Facebot“ ankommt, sieht hingegegen aus technischer Notwendigkeit heraus keine Vorschaltseite, denn sonst würde das Sharing, also das Auslesen der OpenGraph Daten ja nicht funktionieren. Das nur für/gegen die Argumentation, dass der Website sonst irgendwie nicht funktionieren würde oder ähnliche Neusprechhülsen.
kleiner Hinweis:
in der Pressemitteilung https://news.microsoft.com/de-de/stellungnahme-zum-vermerk-berliner-datenschutzbeauftragte-zur-durchfuehrung-von-videokonferenzen-waehrend-der-kontaktbeschraenkungen/ gibt MS folgendes an:
Über Microsoft Teams und Skype for Business Online durchgeführte Videokonferenzen und Videotelefonate erfolgen in der dem Internetstandard entsprechenden Transport Layer Security (TLS) und Mutual TLS (MTLS) Verschlüsselung.
Mit der Angabe mTLS ist eine Man in the Middle aus dem Protokoll heraus vorgesehen … für mich ein Zeichen, das da was schief läuft
Datenschutz ist wichtig, aber man muss aus meiner Sicht auch die Kirche im Dorf lassen.
Was nützt mir irgendein Tool, das niemand nutzt und keine Marktakzeptanz hat. Damit kann ich aus unternehmerischer Sicht nichts anfangen. An Komfort und auch Leistungsfähigkeit möchte ich auf Microsoft Teams nicht mehr verzichten. Für mein Unternehmen teile ich die vorgetragenen Bedenken nicht und ich denke, Microsoft macht hier einen guten Job.
Alle hier beanstandeten Anfragen stammen aus dem Skript https://az725175.vo.msecnd.net/scripts/jsll-4.js. Das Skript verantwortet ein OpenSoure-Projekt. Es ist das webhint linting tool.
Es ist ein Opensource-Projekt und da der Quellcode offenliegt, kann in der Tat sich jeder davon überzeugen, dass Google-Adware angwählt wird.
Wenn ich meinen Edge Browser in der von Microsoft empfohlenen Tracking-Schutzstufe einsetze, werden alle Anforderungen aus dem OpenSource-Skript wieder sauber blockiert.
Wenn also Microsoft mit dem eigenen Browser in der Standardkonfiguration die Anforderung aus dem Opensource-Projekt von Hause aus blockiert, dann verstehe ich jetzt nicht die Aufergung.
Wer ließt sich bitte als Anwender den gesamten Quellcode bei einem Opensource-Projekt durch. Auch dort bin ich nicht vor Überraschungen geschützt.
1. Die Tracking-Einbettungen kommen in dem genannten Open-Source-Projekt nicht vor
2. Es kann sich auch sonst jeder auf jeder Seite überzeugen, was gemacht wird, weil Websites immer quelloffen sind. Das ist aber nicht Sinn von Datenschutz, weil nicht jeder den Code versteht. Schreibst du ja selber.
3. Tracking-Schutz ist eine Option für manche Nutzer, aber sollte keine rechtmäßige Webseite ersetzen. Sonst verschiebt man die Verantwortung vom Betreiber auf den Nutzer.
4. Für das Tracking könnte man eine Einwilligungslösung nutzen, dann kannst du und alle Mitarbeiter in deinem Unternehmen einwilligen und alle sind happy, also wo ist dein Problem?
Also, es gibt eine umfangreiche „Handreichung zur Nutzung von Office 365 an Schulen“, unter diesem Begriff zu finden.
Wird nicht ohnehin alles an MS weitergeleitet, wenn ich Win10 (selbst mit restriktiver Einstellung) als Betriebssystem nutze?
Microsoft ist als US Firma seit 2018 an den CLOUD-Act gebunden
https://en.wikipedia.org/wiki/CLOUD_Act
und muss deshalb auf Verlangen die Kommunikationsdaten herausgeben. Schon deshalb ist die DGSVO verletzt und der Datenschutzbeauftragte hat recht.
Ausführlicher zu DGSVO und CLOUD Act:
https://www.lexology.com/library/detail.aspx?g=a57d463a-9013-4e7e-a160-9dd2dd0be2bd
Allerdings hat auch schon lange vor dem CLOUD-Act hat Microsoft großzügig Skypezugänge weitergegeben:
https://www.sueddeutsche.de/digital/snowden-enthuellungen-wie-microsoft-der-nsa-zugang-zu-outlook-com-und-skype-ermoeglicht-1.1719887-2
MS Teams ist auf Skype aufgebaut (unter Linux erscheint bei Teams sogar das Skypelogo im Taskmanager). Schon lange warnt der CCC:
https://www.futurezone.de/netzpolitik/article214396429/Chaos-Computer-Club-warnt-vor-Microsoft-Word-und-Skype.html
Zu Skype gibt es auch hier eine gute auch wenn nicht aktuelle Zusammenfassung:
http://techrights.org/wiki/index.php/Skype_is_Spy_Campaign
Inklusive diesem interessanten Detail:
https://windowsreport.com/recognize-sign-in-details-skype-windows-10/
Skype/Teams liest also die Seriennummer der Festplatte bei jedem Loginforgang aus, und falls das schiefgeht, ist die Lösung anscheinend: „To fix this problem, you need to change your hard drive serial number. “
Es bleibt zu hoffen, dass der Datenschutzbeauftragte von Berlin nicht einknickt.
Lieber Herr Eberl,
vielen Dank für die sehr aufschlussreiche Analyse!
Ich möchte hinzufügen, dass der Chat von Teams protokolliert, wann jemand zuletzt online war. Als Lehrer kann ich damit sehen, welche meiner Schülerinnen und Schüler zu spät ins Bett gegangen sind. Auch die Arbeitszeiten meiner Kolleginnen und Kollegen können so grob nachvollzogen werden. Ohne Einwilligung ist das ein klarer Rechtsbruch!
Für mich als Datenschutzbeauftragter meiner Schule ist das ein wahrer Albtraum! Oder sehe ich da irgendetwas falsch?
Herzliche Grüße
Arno Katz
Hallo Herr Katz,
zunächst einmal sehe ich hier, dass sie am Sonntag um 21:21 noch digital unterwegs sind. Ich hoffe, Sie haben dem zugestimmt?
Man kann in MS Office 365 Schule A1 beim > Profil die Einstellung > Status auf „Beschäftigt“ oder z. B. „Abwesend“ einstellen, Dann sind keine ChatZeiten mehr zu erkennen.♂️
Gemeint ist natürlich MS Teams ,
und manche Emojis werden hier im Chat als Geschlechtszeichen dargestellt:)
Hehe, da wusste ich auch noch nicht 🙂
Das ist doch echt wieder Haarspalterei. Nur weil vielleicht mal eine Werbung für Videokonferenz Tools geschaltet werden könnte, werden an Schulen gut funktionierende Tools abgelehnt und auf Open Source Lösungen mit dem Charme der 70er verwiesen. Wer Angst hat seine Daten könnten für Werbung mißbraucht werden, soll halt offline bleiben. Die ganze Diskussion über Office365 an Schulen ist so deplatziert. Als Elternteil hab ich 0,0 Verständnis dafür das Schulen keine funktionierenden Systeme für Videokonferenz haben, obwohl es mit Teams ein gut funktionierendes gibt. Dann soll der Datenschutz doch mal was vergleichbares Vorschlagen. (Gleich mal zum Hinweis – eigen gehostete Lösungen scheiden aus) Die DSGVO ist ein Alptraum und zwar nicht für die Firmen sondern die Nutzer.
Die DSGVO verursacht hier gar kein Problem, weil immer die Einwilligung bleibt. Auch Werbung stellt nach DSGVO gar kein Problem dar, sondern nur die Datensammlung für die spezielle verhaltensbasierte Werbung. Ich finde es nicht zu viel verlangt, dass Microsoft und die Schulen vorher informieren und fragen, wenn sie die Daten der Nutzer oder sogar der Schüler in die Werbenetzwerke senden wollen.
Gibt es die Tracker immer noch? Hier ein Twitter-Beitrag eines MS-nahen Lehrers – Offenbar ist das eine Antwort von Microsoft:
https://twitter.com/kurtsoeser/status/1263814272745947137
In der Web-Anwendung habe ich die Tracker nicht mehr gefunden (sie Update im Artikel). Ein Adobe-Plugin hatten ich und andere die das getestet haben nicht. Der Screenshot ist evtl. von einem in dieser Sache sehr engagierten Nutzer, der mir auch geschrieben hat, dass er dachte, dass er den Code für die Aufrufe gefunden hat, dann aber festellte, dass die Aufrufe von seinem Adobe-Plugin kommen. Das hat aber nichts mit meiner Recherche zu tun.
Meine Aufrufe an Demdex und Doubleclick kamen nachweislich von diesem Script, das auch immer noch auf der Registrierungsseite eingebunden ist: https://az725175.vo.msecnd.net/scripts/jsll-4.js
Aber jetzt ist dieser Teil des Codes offenbar nicht mehr aktiv. Die App ist inzwischen auch geupdated, aber ich habe sie seit dem nicht mehr getestet.
Naja, wenn man bei Microsoft sein Geld verdient, ist es ja kein Wunder, wenn man alles toll findet, was die machen: https://wasjetzt.net/kurt-soeser-der-mathe-youtuber/