Microsoft und Privacy
Auch TrustE, der Datenschutz-TÜV, ist in Mitleidenschaft gezogen
Microsoft räumte widerwillig ein, nachdem zufällig bekannt wurde, daß der Konzern bei der Registrierung auf der Website eine ID-Nummer vergibt, daß man tatsächlich persönliche Daten gesammelt habe. Das geschah ohne Wissen derjenigen, die sich registrieren ließen - und Microsoft tut gerade so, nachdem von außen Stück für Stück der Praktiken entdeckt werden, als wäre dies ein bedauerlicher Unfall oder Bug gewesen, von dem man eigentlich nichts gewußt habe - und als wäre man selbst erstaunt über das, was im eigenen Haus so alles geschieht.
Microsoft verhält sich wie ein Kind, das man ertappt hat. Anstatt klar und deutlich die Kunden ein für alle Mal zu informieren, warum diese Funktion eingebaut wurde, räumt man nur immer gerade das ein, was einem nachgewiesen werden kann. Ansonsten ist man weiterhin unschuldig, war immer besten Willens, steht nichts höher als der Schutz der persönlichen Daten und weiß man auch nicht so genau, wie das alles so kommen konnte. Die ID-Nummer oder GUID habe man lediglich intern verwendet, um dem Kunden bei seinen Problemen helfen zu können, beteuert man bei Microsoft. Natürlich habe man die ID-Nummer und die in der Datenbank gesammelten Daten für keine anderen Zwecke verwendet, also keineswegs den Benutzer auf der Website von Microsoft verfolgen oder sie gar für Marketing-Zwecke gebrauchen wollen. Unklar bleibt weiterhin, ob nun die Daten wirklich gesammelt wurden oder diese, wie auch aus dem Hause verlautet, gar nicht in die Datenbank aufgenommen wurden (siehe: Microsofts heimliche ID-Nummern - angeblich eine Panne in ct).
Aber wenn alles so harmlos ist, warum hat man die ID-Nummer heimlich verteilt und sie auch als einen digitalen Fingerabdruck für Dokumente verwendet, die mit Microsoft-Programmen erzeugt wurden? Wenn dem Konzern der Schutz persönlicher Daten wirklich so nahe am Herzen liegt, wie er jetzt behauptet und in seiner Privacy Policy beteuert, dann hätte man doch gleich das Verfahren wählen können, das man jetzt eingeführt hat: Der Benutzer gibt ein Passwort ein und wird bei der nächsten Anfrage wieder danach gefragt, wodurch eine automatische Erkennung verhindert und das explizite Einverständnis des Benutzers gefordert wird. Eine Hardware-ID wird nicht mehr vergeben. Anbieten will man auch ein Programm, um die durch die Registrierung erhaltene ID-Nummer wieder zu entfernen. Und man will auch sicherstellen, daß alle etwaig gesammelten Daten aus der Datenbank gelöscht werden. Das muß man halt glauben, aber wer wird noch so naiv sein und jetzt nicht den Verdacht hegen, daß Microsoft neue Ideen ausbrüten könnte, um zu den angeblich gar nicht begehrten Daten der Benutzer zu gelangen.
Dachte man im Konzern, daß es den Menschen egal sein wird, wenn die offizielle Datenschutzpolitik und die reale Praxis um Welten auseinanderklaffen? Glaubte man einfach, daß dies schon niemand merken wird, weil man ja Mitglied bei TrustE ist. Dort verleiht man offenbar das Siegel des ausreichenden Datenschutzes, ohne nachzuprüfen, was die Firma wirklich macht. Das zeugt jedenfalls nicht von der Verantwortlichkeit der Privatwirtschaft, die so gerne verhindern würde, daß der Staat den Schutz persönlicher Daten gesetzlich regelt, und den europäischen Ansatz deswegen rundheraus ablehnt. Man wird sich auch fragen können, was die neuerliche Untersuchung über die Situation ergeben wird, die die Federal Trade Commission gerade durchführt, um zu beurteilen, ob die Unternehmen tatsächlich in der Lage sind, ohne gesetzlichen Zwang selber einen ausreichenden Schutz der Privatheit bei der Erhebung, Sammlung und Verwertung persönlicher Daten zustande zu bringen.
Mit der Praxis von Microsoft ist schließlich auch TrustE in Mißkredit gebracht worden, also gewissermaßen der TÜV für Privatheit, der entweder Probleme übersieht oder nicht genau genug prüft. Vielleicht reicht es ja auch, die übliche Bekanntgabe über den vertraulichen Umgang mit persönlichen Daten auf der Website zu veröffentlichen, um das Siegel zu erhalten. Was wirklich geschieht, wird dann schon irgendwann an den Tag kommen.
Daß man angeblich nichts davon wußte, daß bei der Registrierung eine ID-Nummer vergeben und an Microsoft zurückgesendet wurde, ist schwer zu glauben. Und wenn dies zutreffen würde, spräche auch dies nicht gerade für den Konzern und die Kontrolle seiner Produkte.
Noch schöner aber ist eine weitere Meldung. Better Business Bureau OnLine gab unlängst bekannt, daß man zusammen mit Microsoft einen sogenannten Microsoft Passport entwickeln werde, um Registrierungs- und Zahlungsvorgänge abzuwickeln. Schutz der Privatheit, Sicherheit und Personalisierung seien damit möglich, alles aus der Hand von Microsoft. In der Presseerklärung liest man: "In Übereinstimmung mit den Microsoft Prinzipien zum Schutz persönlicher Daten wird Passport den Kunden die völlige Kontrolle über ihre Information überlassen. Microsoft Passport wird nur für die Websites zugelassen werden, die mit diesen Prinzipien übereinstimmen und deren Privacy Policies sie für ein Siegel von einer anerkannten Instanz qualifizieren." Microsoft selbst und TrustE sollten dies jedenfalls nicht sein, sollte man meinen.