Neue Datenschutzbeschwerde gegen Microsofts Passport

13 US-amerikanische Datenschutz-Organisationen haben erneut eine Beschwerde bei der Federal Trade Commision (FTC) wegen Microsofts Passport-System eingereicht. Sie halten Microsofts Antwort auf die erste Beschwerde von Ende Juli für völlig unzureichend.

Um datenschutzrechtliche Bedenken auszuräumen, hatte der Redmonder Software-Gigant angekündigt, den neuen Privacy-Standard P3P für alle Sites, die Microsofts Authentifizierungsdienst Passport anbieten, verpflichtend zu machen. Außerdem würden Passport-Nutzer bald nur noch ihre E-Mail-Adresse und ein dazugehöriges Passwort bei dem Service ablegen müssen, um den Dienst nutzen zu können, hatte Brian Arbogast von Microsoft auf die Beschwerde hin versichert.

Diese Ankündigungen taten Sprecher der federführenden Privacy-Organisationen gestern als Beschwichtigungsversuche ab. Sie erweiterten in der neuen Beschwerde sogar ihre Kritik. P3P etwa sei absolut unzureichend für den Schutz der Privatsphäre, solange Software-Hersteller wie Microsoft in den Default-Einstellungen ihrer Browser beispielsweise das Setzen von Cookies zum Zwecke des Usertracking nicht unterbinde.

Die größte Befürchtung jedoch hegen die Datenschützer bezüglich der Menge an Informationen, die jeder Passport-Nutzer meist unbewusst an Microsofts Server liefert. Wer etwa per "express purchase" im Web einkauft, muss dem Passport-System zuvor jede Menge persönlicher Daten sowie seine Kreditkartennummer übermitteln, die dieses dann dauerhaft speichert. Jeder express-Einkauf wird danach über Microsofts System abgewickelt, sodass in Redmond zumindest theoretisch ein umfangreiches Kundenprofil erstellt werden könnte.

Microsoft wird dagegen nicht müde zu versichern, dass diese Daten nicht an Dritte zu Marketingzwecken weitergegeben würden. "Passport ist nur ein Authentifizierungs-Mechanismus", betonte Arbogast. "Niemand braucht Bedenken wegen seiner Daten haben, die im Passport-System gespeichert sind." Im nächsten Jahr soll im Rahmen des Hailstorm-Projekts der Authentifizierungs-Service vollständig vom Billing-System getrennt werden – damit sollen dann die Datenbanken auch keine Verbindung mehr untereinander haben.

Jason Catlett von Junkbusters mag nicht recht an den guten Willen aus Redmond glauben. "Wir haben nicht die Möglichkeit, ihre Datensammelpraktiken komplett aufzudecken. Deshalb wollen wir, dass die FTC diesbezüglich ihre Ermittlungen aufnimmt", erklärte er den Anlass der zweiten Beschwerde. "Vielleicht gibt es noch wesentlich mehr Probleme, die wir nur noch nicht entdeckt haben." (hob)