Der Chefjurist von @MicrosoftDE hat gestern gejammert, die Berliner Datenschutzbehörde habe "angedeutet", dass per "Teams" womöglich nicht ganz sauber sind.

Recht hat er! Besser sind ein paar handfeste Belege! (Thread) 👇

Beginnen wir mit der Datenschutzerklärung von Teams, auf die sich gerade viele Schulen und Unternehmen verlassen müssen.

Aber Moment mal, wo ist die denn? 🤔

Es gibt keine. Nur die generische, allgemeine Datenschutzerklärung, die wenig brauchbar ist:
privacy.microsoft.com/de-de/pr

Show thread

Die DSGVO erfordert, dass Daten in nachvollziehbarer Weise verarbeitet werden. Dies muss präzise dargestellt werden, die generische Darstellung ist zu unklar. Man kann alles und nichts herauslesen, zB dass MS Videodaten mit KI analysiert und für Forschung verwendet. Hm?❓❔

Show thread

Dazu stellt auch die Stiftung Warentest nüchtern fest:
"Die Texte (...) lassen keine ernst­hafte Befassung mit der europäischen Daten­schutz­grund­ver­ordnung (DSGVO) erkennen."
test.de/Videochat-Programme-im

Show thread

Bei Mitschnitt und Analyse der App-/Webdaten dann eine unschöne Überraschung: MS sendet User-IDs (z.B. d_cid) in die Adobe Experience Cloud, an die Adobe-Tochter Marketo, an Google Ads und Scorecardresearch. Diese Daten sehen aus wie Remarketing-Tags:

Show thread

Die erste Nutzung von App und Website wird also mit Cookies oder Parametern in diese Netzwerke gemeldet, wo sie mit anderen personenbezogenen Daten angereichert werden können. Der Zweck: Microsoft will damit evtl. seine Nutzer zielgerichtet auf anderen Plattformen bewerben.

Show thread

Nicht nur der Team-Admin (Tenant), auch eingeladene Mitglieder werden in die Werbenetzwerke gemeldet. Falls die Geräte und Browser in diesen Netzwerken bereits bekannt sind, können die Daten bestehenden Profilen hinzugefügt werden. Sie sind dann evtl. nicht mehr pseudonym.

Show thread

Highlight: Google nimmt sich das Recht heraus, die Daten auch für andere Kunden zu verwenden.
support.google.com/google-ads/

Die Teilnehmer könnten also in Audience-Gruppen landen ("interessiert sich für Videokonferenzen") und plötzlich Zoom-Werbung auf anderen Plattformen bekommen - wunderbare Ad-Tech-Welt.🤷‍♂️

Show thread

Interessant: Microsoft schließt im deutschen DPA eine Verwendung von Kundendaten für Werbung aus. Wissen die nicht mehr, was ihre Software macht? Oder haben sie diese komische Zoom-Vorstellung von "Gerätedaten sind keine personenbezogenen Daten"?
microsoftvolumelicensing.com/D

Show thread

An eine Rechtmäßigkeit von Microsoft Teams ist daher mMn nicht zu denken:
1. Keine gültige Datenschutzerklärung
2. Man bräuchte eine informierte Einwilligung in die Werbenutzung von allen Teilnehmern (das setzt Google für Retargeting voraus!)
support.google.com/dcm/answer/

3. Durch die Nutzung für eigene Zwecke ist Microsoft auch nicht mehr Auftragsverarbeiter. Der Konferenzveranstalter muss die Datenweitergabe anders legitimieren.

Show thread

4. Alle DSGVO-Pflichten (Auskunft, Löschung etc.) müssten für die Daten in den Werbenetzwerken sichergestellt sein.

Hinweise: Ich habe nur das kostenlose Microsoft Teams für Unternehmen getestet. Insbesondere Bildungs-Accounts sollten auch auf Tracking geprüft werden. Die von MS in der Stellungnahme primär angeführte Abhörsicherheit habe ich nicht untersucht.
news.microsoft.com/de-de/stell
Aber:

Show thread

Die Behauptung, dass "Teams" auch für sensible Sitzungen geeignet ist, teile ich nicht. Metadaten sind ungeschützt - die Tenant-ID wird bei der Registrierung über den Referrer für die Werbenetzwerke sichtbar. Google und Adobe erfahren daher auch, welche IDs ein Team bilden.

Show thread

@rufposten Dieses Referrer-Problem haben aber auch andere.
Bei einer normalen installation, ohne weitere Anpassungen, enthält der Referrer auch den Ordnernamen und evtl. sogar den Dateinamen.
Natürlich meldet das nicht an Werbenetzwerke. Es ermöglicht aber Analysen durch die nachfolgenden Seiten.

Follow

@nurinoas Ja, richtig, das kann auch ein Problem sein. Zum Glück ein aussterbendes Problem, denn es gibt mittlerweile "Directives", mit denen man in der Websites den Referrer unterdrücken kann. Nextcloud nutzt das auch und die meisten Browser unterstützen das.
developer.mozilla.org/en-US/do

@rufposten Danke. Das muss ich mir irgendwann mal genauer ansehen.
Falls du einen guten Artikel dazu kennst, freue ich mich über den Tipp.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!