Der Chefjurist von @MicrosoftDE hat gestern gejammert, die Berliner Datenschutzbehörde habe "angedeutet", dass per "Teams" womöglich nicht ganz sauber sind.

Recht hat er! Besser sind ein paar handfeste Belege! (Thread) 👇

Follow

Beginnen wir mit der Datenschutzerklärung von Teams, auf die sich gerade viele Schulen und Unternehmen verlassen müssen.

Aber Moment mal, wo ist die denn? 🤔

Es gibt keine. Nur die generische, allgemeine Datenschutzerklärung, die wenig brauchbar ist:
privacy.microsoft.com/de-de/pr

Die DSGVO erfordert, dass Daten in nachvollziehbarer Weise verarbeitet werden. Dies muss präzise dargestellt werden, die generische Darstellung ist zu unklar. Man kann alles und nichts herauslesen, zB dass MS Videodaten mit KI analysiert und für Forschung verwendet. Hm?❓❔

Show thread

Dazu stellt auch die Stiftung Warentest nüchtern fest:
"Die Texte (...) lassen keine ernst­hafte Befassung mit der europäischen Daten­schutz­grund­ver­ordnung (DSGVO) erkennen."
test.de/Videochat-Programme-im

Show thread

Bei Mitschnitt und Analyse der App-/Webdaten dann eine unschöne Überraschung: MS sendet User-IDs (z.B. d_cid) in die Adobe Experience Cloud, an die Adobe-Tochter Marketo, an Google Ads und Scorecardresearch. Diese Daten sehen aus wie Remarketing-Tags:

Show thread

Die erste Nutzung von App und Website wird also mit Cookies oder Parametern in diese Netzwerke gemeldet, wo sie mit anderen personenbezogenen Daten angereichert werden können. Der Zweck: Microsoft will damit evtl. seine Nutzer zielgerichtet auf anderen Plattformen bewerben.

Show thread

Nicht nur der Team-Admin (Tenant), auch eingeladene Mitglieder werden in die Werbenetzwerke gemeldet. Falls die Geräte und Browser in diesen Netzwerken bereits bekannt sind, können die Daten bestehenden Profilen hinzugefügt werden. Sie sind dann evtl. nicht mehr pseudonym.

Show thread

Highlight: Google nimmt sich das Recht heraus, die Daten auch für andere Kunden zu verwenden.
support.google.com/google-ads/

Die Teilnehmer könnten also in Audience-Gruppen landen ("interessiert sich für Videokonferenzen") und plötzlich Zoom-Werbung auf anderen Plattformen bekommen - wunderbare Ad-Tech-Welt.🤷‍♂️

Show thread

Interessant: Microsoft schließt im deutschen DPA eine Verwendung von Kundendaten für Werbung aus. Wissen die nicht mehr, was ihre Software macht? Oder haben sie diese komische Zoom-Vorstellung von "Gerätedaten sind keine personenbezogenen Daten"?
microsoftvolumelicensing.com/D

Show thread

An eine Rechtmäßigkeit von Microsoft Teams ist daher mMn nicht zu denken:
1. Keine gültige Datenschutzerklärung
2. Man bräuchte eine informierte Einwilligung in die Werbenutzung von allen Teilnehmern (das setzt Google für Retargeting voraus!)
support.google.com/dcm/answer/

3. Durch die Nutzung für eigene Zwecke ist Microsoft auch nicht mehr Auftragsverarbeiter. Der Konferenzveranstalter muss die Datenweitergabe anders legitimieren.

Show thread

4. Alle DSGVO-Pflichten (Auskunft, Löschung etc.) müssten für die Daten in den Werbenetzwerken sichergestellt sein.

Hinweise: Ich habe nur das kostenlose Microsoft Teams für Unternehmen getestet. Insbesondere Bildungs-Accounts sollten auch auf Tracking geprüft werden. Die von MS in der Stellungnahme primär angeführte Abhörsicherheit habe ich nicht untersucht.
news.microsoft.com/de-de/stell
Aber:

Show thread

Die Behauptung, dass "Teams" auch für sensible Sitzungen geeignet ist, teile ich nicht. Metadaten sind ungeschützt - die Tenant-ID wird bei der Registrierung über den Referrer für die Werbenetzwerke sichtbar. Google und Adobe erfahren daher auch, welche IDs ein Team bilden.

Show thread

Konnte über noch den Bildungsaccount einer Uni testen. Sowohl bei direkter Konferenzeinladung per Link als auch Registrierung als Gast gingen die oben beschriebenen Verbindungen an Adobe und Google Ads raus 😕
@JoNehlsen

Show thread

Weitere Dienste getestet: Skype Web, Microsoft Sharepoint-Freigabe und Teams Premium Business sind offenbar nicht betroffen. Oder nicht mehr.

Show thread

Auch bei Office 365 Edu-Registrierung nichts gesehen. Aber es scheint wohl viele Cloud-Varianten zu geben, also selbst testen: In Firefox/Chrome Strg-Shift-E, dann sieht man die Netzwerkverbindungen. Einladung/Neu-Registrierung durchführen.Dann nach Doubleclick und Demdex suchen.

Show thread

Update: Ein Leser hat eine gefunden, die sieht ganz gut aus. Die Tracking-Einbindungen erwähnt sie zwar nicht, aber sonst ok. Warum wird die nicht überall verlinkt, wenn man sie schon hat?
docs.microsoft.com/de-de/micro

Show thread

Übrigens: Die Telemetrie, für die Microsoft bekannt ist, findet auch bei Teams statt. Zb wird jede Rückkehr von einem beliebigen Fenster ins Team-Fenster mit Zeitstempel an MS gemeldet. Juristisch wohl korrekt, aber für mich unerträglich, beim Arbeiten so analysiert zu werden.

Show thread

Gestern hat sich im Chaos ein Fehler eingeschlichen: Ich habe MS Teams in der "Business Premium Variante" in einem Privatmodus-Fenster getestet. Heute die Prüfung wiederholt: Auch dort werden die Nutzer bei Registrierung an Google und Adobe gemeldet.

Show thread

Nach meinen Erkenntnissen hat Microsoft die Tracker nun entfernt. Wenn man dazu noch die bisher in der Doku versteckte Datenschutz-Erklärung von Teams verlinken würde, entfallen zumindest die von mir angeprangerten rechtlichen Hürden.

Show thread

@rufposten Dieses Referrer-Problem haben aber auch andere.
Bei einer normalen installation, ohne weitere Anpassungen, enthält der Referrer auch den Ordnernamen und evtl. sogar den Dateinamen.
Natürlich meldet das nicht an Werbenetzwerke. Es ermöglicht aber Analysen durch die nachfolgenden Seiten.

@nurinoas Ja, richtig, das kann auch ein Problem sein. Zum Glück ein aussterbendes Problem, denn es gibt mittlerweile "Directives", mit denen man in der Websites den Referrer unterdrücken kann. Nextcloud nutzt das auch und die meisten Browser unterstützen das.
developer.mozilla.org/en-US/do

@rufposten Danke. Das muss ich mir irgendwann mal genauer ansehen.
Falls du einen guten Artikel dazu kennst, freue ich mich über den Tipp.

@rufposten @JoNehlsen könntest du den Artikel bitte noch mit diesen Erkenntnissen ergänzen? cc @kuketzblog

@rufposten wirst du Beschwerde bei der zuständigen Behörde einlegen?

@bithive Nein, das geht auch als Journalist nicht. Stell dir vor ich befrage Microsoft zu dem Fall und mache dann eine Beschwerde.

Manchmal reiche ich privat Beschwerden ein, aber dann berichte ich nicht (selbst) darüber.

Aber ich würde jedem Betroffenen empfehlen, dieses Recht zu nutzen.

@rufposten
Vielleicht hilft auch das Browser Plugin #umatrix. Das gibt es sowohl für #firefox als auch für #chromium und #chrome und es zeigt/blockierte jedes Script der Website, die man besucht.

@SebastianGallehr @rufposten das ändert jedoch nicht an der Tatsache, dass sie [Unternehmen wie Microsoft] es eben weiterhin machen und (aus)nutzen. Hier muss proaktiv entgegen gewirkt werden. Nicht jeder ist sich dem [Datenschleuder] bewusst, vor allem nicht, wenn du "nichts zu verbergen" hast

@rufposten
@rufposten
Verstehe ich diesen Kommentar richtig, dass Skype "datenschutzfreundlicher" wie Teams ist.
Wobei ich eher vermuten würde, dass bei Skype andere Datenschutz-Katastrophen existieren?

@rufposten

Hast du Handlungsempfehlungen oder Erfahrungen, wie Abhängige (z.B. Schüler*innen, Angestellte, Schulungs-Teilnehmern*innen...) damit umgehen sollen, wenn ihnen ms Teams vorgegeben wird?

@rufposten

Wie schätzt du Anweisungen wie folgende ein: "wir bieten euch teams an, achtet aber bitte darauf, dass ihr damit keine dsgvo-relevanten Daten verarbeitet! (= wir ahnen schon irgendwie, dass das nicht ganz sauber ist!)"

@rufposten
Gut, das zu wissen. Also noch ein Grund mehr, das nicht für Vorstellungsgespräche per Videokonferenz zu nutzen!

@rufposten Trotzdem fand die Stiftung Warentest, MS Teams habe den ersten Platz verdient. Das versteh, wer will.

@rufposten
Schraeg, dass es dann überhaupt Verwendung finden darf - Gadgets auch China ohne CE gehen auch wieder zurueck.

@rufposten vielleicht wurde sie ja erst kürzlich aus dem Boden gestampft? :think_bread:

@rufposten Was spricht den dagegen den Endpoint das even einfach sekündlich zu schicken? Bist halt ein sehr aktiver Mitarbeiter.

@rufposten
WTF? Und damals(tm) hatte man im Osten Angst vor der Stasi... Heute sitzt der Spitzel auf deiner Schulter und schaut unbehelligt zu was du so treibst. Rechtlich einwandfrei natürlich.

@horstworst Ja, aber natürlich nur, wenn die Telemetrie der SICHERHEIT dient 😉

datenschutzbeauftragter-info.d

Seh schon den Marketing-Chef von Microsoft, wie er auf den Netzwerkordner mit den SICHERHEITS-Telemetrie-Analysen starrt und sich denkt "Echt doof, dass ich mir das jetzt nicht ansehen darf!"

@rufposten
Grau...zone....Grau...zone... So nennt sich das, wenn man einen Haufen Juristen hinter seinen Anus herzieht... ;-)

@rufposten Das müsste man mal allen Microsoft-Begeisterten zeigen. Alter Schwede...

@datenschutzratgeber @rufposten Meinst du,es gibt immernoch Leute,die das nicht wissen?Das ist doch inzwischen so weit verbreitet.Die meisten Leute interessierts leider einfach nicht,solange es irgendwie mit der DSGVO vereinbar ist.

@nipos @rufposten Ich denke eher, dass zwar jeder davon schon gehört hat, es aber nicht ganz ernst nimmt. Nach dem Motto „Sind doch nur Verschwörungsspinner, ist doch sicher nicht so schlimm, ich habe ja nichts zu verbergen, was sollten die von mir wissen wollen“ Ich finde, man sollte halt mal ganz konkret zeigen, was da alles abgegriffen wird. „Schau mal: Hier sagt gerade ein Skript Microsoft bescheid, dass du die App aufgerufen hast“

@datenschutzratgeber @rufposten Und selbst das koennte man sich noch schoenreden,indem man irgendeine vermeintliche technische Notwendigkeit dafuer erfindet...

@nipos @datenschutzratgeber @rufposten ^Ja wie soll Teams den sonst Wissen welchen Button du klicken willst 😂​

@datenschutzratgeber @nipos @rufposten
Bei den jüngeren Leuten könnte das die Schule ja übernehmen und denen ggf. sogar was beibringen. Blöd nur wenn die Schule das halt selbst nutzt...

@upgradetofreedom @rufposten @datenschutzratgeber Schule und Datenschutz?Der war gut 😆 Bei uns wird zur Zeit regelmaessig die Schul Email Adresse beworben,die jeder automatisch zugeteilt bekommt und die natuerlich bei Micro$chrott liegt.So viel Fail bei so wenigen Tagen,die ich nur noch in der Schule bin.Bitte kein Datenschutzunterricht,sonst fangen die Schueler auch noch an zu glauben,M$ wuerde sich an Gesetze halten oder Facebook wuerde Daten schuetzen 🙄

@nipos @rufposten @datenschutzratgeber
Meine Schule setzt auch Google Analytics auf der Webseite ein und schreibt in der Datenschutzerklärung das tun sie aus ihrem wirtschaftlichen Interesse heraus 😂

@upgradetofreedom @datenschutzratgeber @rufposten Ist das eine Privatschule?Oder warum hat die ein wirtschaftliches Interesse? 🤦 Bei meiner ist die Webseite glaub ich sauber,wenn ich das richtig in Erinnerung hab.Kann das aber gerade nicht pruefen,laed nicht.

@nipos @datenschutzratgeber @rufposten
Nein staatlich. Da war ein Experte am Start... Naja die Schule macht in dem Gebiet quasi alles falsch. Es gibt auch Microsoft-Office Kurse...

@upgradetofreedom @rufposten @datenschutzratgeber Bei uns haben die meisten Klassen inzwischen auch unter Micro$oft Teams zu leiden.Nur die Berufsschulklassen sind noch weitestgehend davon verschont.Vorher im Berufskolleg war ich glaub ich in der letzten Klasse ohne iPads.Gerade nochmal Glueck gehabt.

@upgradetofreedom @nipos @rufposten

Ach du scheiße! Deine SCHULE setzt AUS WIRTSCHAFTLICHEN GRÜNDEN GOOGLE ANALYTICS ein? Wo gibt's denn sowas? Ich kann mir nicht vorstellen, dass das erlaubt ist – selbst wenn die Schule eine einwandfreie Datenschutzerklärung hat. Das musst du schnellstmöglich deinem Landesdatenschutzbeauftragten mitteilen, falls nicht schon geschehen. Sicher hat der auch ein Online-Beschwerdeformular.

@datenschutzratgeber @rufposten @upgradetofreedom Da so ungefaehr 90% aller Webseiten Google Analytics haben und man die Webseite auch nicht jeden Tag braucht und es problemlos blocken kann,wuerde ich das jetzt nichtmal ganz so kritisch bewerten 🤔 Klar ist es scheisse,aber wenn Schueler zur Nutzung von M$ Teams und aehnlichem gezwungen werden,find ich das nochmal einige Stufen schlimmer.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!