Neues Outlook: Zugangsdatenabfluss alarmiert weitere DatenschĂĽtzer
Thüringens Landesdatenschutzbeauftragter rät zum Verzicht aufgrund des Abflusses von Zugangsdaten an Microsoft im neuen Outlook.
Microsofts "neues" Outlook für Windows krallt sich Zugangsdaten und speichert sie in Microsofts Cloud, kam vor rund anderthalb Wochen heraus. Der Bundesdatenschützer Ulrich Kelber zeigte sich daraufhin besorgt. Nun melden sich weitere Datenschutz-Experten und -Beauftragte zu Wort. Darunter der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Lutz Hasse, der zum Verzicht auf den Einsatz der neuen Outlook-Version rät.
Dr. Lutz Hasse hat eine Mitteilung dazu verfasst (sie ist hier als PDF einsehbar). Etwa zu Microsofts Stellungnahme gegenüber heise online und c't, der zufolge Nutzer, die ihre Konten nicht mit der Microsoft Cloud nutzen wollen, beim Wechsel den Vorgang abbrechen und zum klassischen Outlook zurückwechseln können, schreibt er: "Mit anderen Worten kann man das neue Outlook entweder so nutzen, wie von Microsoft vorgesehen (mit Datenübernahme) oder gar nicht … Ein Schelm, wer Arges dabei denkt :)"
Thüringer Datenschutzbeauftragter rät zum Verzicht
Die Mitteilung schließt mit dem Hinweis: "Momentan rät der TLfDI daher dringend dazu, sich die Genehmigung für diesen tiefgreifenden Eingriff in die Privatsphäre durch die App "Neues Outlook" bestens zu überlegen und die richtigen Schlüsse aus den zuvor genannten Informationen zu ziehen. Nehmen Sie das von Microsoft selbst ins Spiel gebrachte Wahlrecht war (sic) und verzichten Sie auf die neue Outlook-Version!"
Der ehemalige Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Stefan Brink, der von 2017 bis 2022 die Position innehatte, hat ebenfalls auf unsere Anfrage reagiert und Einschätzungen geliefert.
Ehemaliger DatenschĂĽtzer von Baden-WĂĽrttemberg
Brink schreibt dazu: "Das Vorgehen von Microsoft ist zumindest intransparent. Den Nutzern der Outlook-App für Windows bzw. MacOS wird nicht immer klar sein, was es bedeutet, den Abruf von Mails aus anderen Mail-Konten zuzulassen. Dass damit die Zugangsdaten für diese Mailkonten von der App genutzt werden, ist nachvollziehbar – aber wenn die Zugangsdaten von Microsoft anschließend auch dazu genutzt werden, ein MS-Cloud-Konto anzulegen und dort die Daten aus anderen Mail Accounts zu speichern, dann ist das nicht nur überraschend (jedenfalls für alle, die gar kein Microsoft-Konto haben), sondern auch ein zusätzliches Risiko, denn nicht jeder möchte seine Mails in der Cloud stehen haben".
Brink wird noch deutlicher: "Das kann sogar ein Rechtsverstoß des Nutzers sein, etwa wenn er als Mitarbeiter des öffentlichen Dienstes oder Träger von Geschäftsgeheimnissen seines Unternehmens bestimmten Geheimhaltungsvorschriften unterliegt, die eine Speicherung sensibler Daten in der Cloud verbieten. Zudem gibt der Nutzer damit Microsoft Zugriff auf die Inhalte der Mails – und das darf er in aller Regel nicht."
"Als besonders ärgerlich stufe ich dieses Vorgehen von Microsoft deswegen ein, weil wir das Thema schon bei den Outlook-Apps für Smartphones hatten - dort hat Microsoft sein Vorgehen korrigiert, macht jetzt aber denselben Fehler", ergänzt Brink.
Bezüglich einer Einordnung bezüglich der Datenschutzgrundverordnung (DSGVO) führt Brink aus: "Die DSGVO erlegt dem Anbieter solcher Dienstleistungen als Verantwortlichem umfangreiche Pflichten in Sachen Transparenz auf; dass personenbezogene Daten in einer "für die betroffene Person nachvollziehbare Weise" verarbeitet werden, gehört zu den Grundsätzen der DSGVO (Art. 5 Abs. 1 DSGVO). Dass die hier gezeigte Vorgehensweise von Microsoft dem gerecht wird, kann man mit Fug und Recht bezweifeln".
"Die Verlagerung von Mails in ein zusätzliches Cloud-Konto wirft zudem erhebliche Fragen in Sachen Data Protection by Design (Art. 25 DSGVO) sowie der allgemeinen Datensicherheit (Art. 32 DSGVO) auf, weil eine Doppelung von Speicherorten immer mit einer Vergrößerung von Sicherheitsrisiken verbunden ist", legt Brink nach. Er erwarte, dass sich die Datenschutz-Aufsichtsbehörden hier einschalten und zumindest von ihren Möglichkeiten der Warnung beziehungsweise Verwarnung Gebrauch machen. Also das, womit der Thüringer Datenschützer nun vorgelegt hat.
Aktuelle Informationen vom BundesdatenschĂĽtzer
Auf Nachfrage von c't hat der Sprecher für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Kelber jetzt außerdem erläutert, dass dieser "im Rahmen des Europäischen Datenschutzausschusses die irischen Kolleginnen und Kollegen gebeten" habe, "so schnell wie möglich eine Einschätzung abzugeben". Er habe sie auch über die Debatte in Deutschland informiert und schriftliche Informationen übersandt, die wir zu der öffentlichen Debatte hatten. "Da wir bisher keine Informationen der federführenden irischen Datenschutzaufsichtsbehörde DPC erhalten haben, können wir auch keine datenschutzrechtliche Bewertung vornehmen", schließt Kelbers Sprecher die Antwort ab.
Kelber hatte vorvergangene Woche bereits früh auf die Berichte zum ungefragten Datenabfluss auf Mastodon reagiert und die Anfrage bei der für Microsoft zuständigen irischen Datenschutzbehörde für das Treffen der euopäischen Datenschutzaufsichtsbehörden am Dienstag vergangener Woche angekündigt.
Es bleibt spannend, wie sich der Fall weiter entwickelt. Microsoft hat schon einmal bei den mobilen Outlook-Apps einen gleichgelagerten Fehler korrigiert. Das Unternehmen hat das neue Outlook noch nicht als finale Fassung markiert, von daher sollten auch hier Korrekturen noch leicht möglich sein.
(dmk)