Der Chefjurist von @MicrosoftDE hat gestern gejammert, die Berliner Datenschutzbehörde habe "angedeutet", dass #Videokonferenzen per "Teams" womöglich nicht ganz sauber sind.

Recht hat er! Besser sind ein paar handfeste Belege! (Thread) 👇

Beginnen wir mit der Datenschutzerklärung von Teams, auf die sich gerade viele Schulen und Unternehmen verlassen müssen.

Aber Moment mal, wo ist die denn? 🤔

Es gibt keine. Nur die generische, allgemeine Datenschutzerklärung, die wenig brauchbar ist:
privacy.microsoft.com/de-de/pr

Zeige Konversation

Die DSGVO erfordert, dass Daten in nachvollziehbarer Weise verarbeitet werden. Dies muss präzise dargestellt werden, die generische Darstellung ist zu unklar. Man kann alles und nichts herauslesen, zB dass MS Videodaten mit KI analysiert und für Forschung verwendet. Hm?❓❔

Zeige Konversation

Dazu stellt auch die Stiftung Warentest nüchtern fest:
"Die Texte (...) lassen keine ernst­hafte Befassung mit der europäischen Daten­schutz­grund­ver­ordnung (DSGVO) erkennen."
test.de/Videochat-Programme-im

Zeige Konversation

Bei Mitschnitt und Analyse der App-/Webdaten dann eine unschöne Überraschung: MS sendet User-IDs (z.B. d_cid) in die Adobe Experience Cloud, an die Adobe-Tochter Marketo, an Google Ads und Scorecardresearch. Diese Daten sehen aus wie Remarketing-Tags:

Zeige Konversation

Die erste Nutzung von App und Website wird also mit Cookies oder Parametern in diese Netzwerke gemeldet, wo sie mit anderen personenbezogenen Daten angereichert werden können. Der Zweck: Microsoft will damit evtl. seine Nutzer zielgerichtet auf anderen Plattformen bewerben.

Zeige Konversation

Nicht nur der Team-Admin (Tenant), auch eingeladene Mitglieder werden in die Werbenetzwerke gemeldet. Falls die Geräte und Browser in diesen Netzwerken bereits bekannt sind, können die Daten bestehenden Profilen hinzugefügt werden. Sie sind dann evtl. nicht mehr pseudonym.

Zeige Konversation

Highlight: Google nimmt sich das Recht heraus, die Daten auch für andere Kunden zu verwenden.
support.google.com/google-ads/

Die Teilnehmer könnten also in Audience-Gruppen landen ("interessiert sich für Videokonferenzen") und plötzlich Zoom-Werbung auf anderen Plattformen bekommen - wunderbare Ad-Tech-Welt.🤷‍♂️

Zeige Konversation

Interessant: Microsoft schließt im deutschen DPA eine Verwendung von Kundendaten für Werbung aus. Wissen die nicht mehr, was ihre Software macht? Oder haben sie diese komische Zoom-Vorstellung von "Gerätedaten sind keine personenbezogenen Daten"?
microsoftvolumelicensing.com/D

Zeige Konversation

An eine Rechtmäßigkeit von Microsoft Teams ist daher mMn nicht zu denken:
1. Keine gültige Datenschutzerklärung
2. Man bräuchte eine informierte Einwilligung in die Werbenutzung von allen Teilnehmern (das setzt Google für Retargeting voraus!)
support.google.com/dcm/answer/

3. Durch die Nutzung für eigene Zwecke ist Microsoft auch nicht mehr Auftragsverarbeiter. Der Konferenzveranstalter muss die Datenweitergabe anders legitimieren.

Zeige Konversation

4. Alle DSGVO-Pflichten (Auskunft, Löschung etc.) müssten für die Daten in den Werbenetzwerken sichergestellt sein.

Hinweise: Ich habe nur das kostenlose Microsoft Teams für Unternehmen getestet. Insbesondere Bildungs-Accounts sollten auch auf Tracking geprüft werden. Die von MS in der Stellungnahme primär angeführte Abhörsicherheit habe ich nicht untersucht.
news.microsoft.com/de-de/stell
Aber:

Zeige Konversation

Die Behauptung, dass "Teams" auch für sensible Sitzungen geeignet ist, teile ich nicht. Metadaten sind ungeschützt - die Tenant-ID wird bei der Registrierung über den Referrer für die Werbenetzwerke sichtbar. Google und Adobe erfahren daher auch, welche IDs ein Team bilden.

Zeige Konversation

Konnte über #teamdatenschutz noch den Bildungsaccount einer Uni testen. Sowohl bei direkter Konferenzeinladung per Link als auch Registrierung als Gast gingen die oben beschriebenen Verbindungen an Adobe und Google Ads raus 😕
@JoNehlsen

Zeige Konversation

Weitere Dienste getestet: Skype Web, Microsoft Sharepoint-Freigabe und Teams Premium Business sind offenbar nicht betroffen. Oder nicht mehr.

Zeige Konversation

Auch bei Office 365 Edu-Registrierung nichts gesehen. Aber es scheint wohl viele Cloud-Varianten zu geben, also selbst testen: In Firefox/Chrome Strg-Shift-E, dann sieht man die Netzwerkverbindungen. Einladung/Neu-Registrierung durchführen.Dann nach Doubleclick und Demdex suchen.

Zeige Konversation
Folgen

@rufposten
Vielleicht hilft auch das Browser Plugin . Das gibt es sowohl für als auch für und und es zeigt/blockierte jedes Script der Website, die man besucht.

@SebastianGallehr @rufposten das ändert jedoch nicht an der Tatsache, dass sie [Unternehmen wie Microsoft] es eben weiterhin machen und (aus)nutzen. Hier muss proaktiv entgegen gewirkt werden. Nicht jeder ist sich dem [Datenschleuder] bewusst, vor allem nicht, wenn du "nichts zu verbergen" hast

Melde dich an, um an der Konversation teilzuhaben
troet.cafe  - Mastodon

Hallo im troet.cafe. Dies ist eine deutschsprachige Mastodon Instanz zum tröten, neue Leute kennenlernen, sich auszutauschen und Spass zu haben. +++ Bitte beachtet, dass derzeitig keine Neuregistrierungen mit gmail.com Adressen angenommen werden. +++