MS Teams // user@domain365.onmicrosoft.com

vatolin · 28. Februar 2023 um 15:01

Ich bekam vor einiger Zeit gemeinsam mit einer Reihe weiterer Personen eine Einladung zu einem Team-Meeting. Im Anschluss an das Teams-Meeting fand ein reger E-Mail-Verkehr der Teilnehmer des Meetings statt. Nun sehe ich, dass der Organisator des Meetings für die Einladung zu dem Meeting nicht seine übliche E-Mail-Adresse user@domain.tld verwendete, sondern eine Adresse mit der im Betreff dargestellten Struktur.

Dazu drei Fragen:

Mutmaße ich richtig, dass es sich dabei um eine E-Mail-Adresse handelt, die auf einen MS365-Account verweist?
Mutmaße ich außerdem richtig, dass infolgedessen die Inhalte sämtlicher E-Mails, die an diese Adresse geschickt wurden, nun potenziell auf Servern außerhalb DSGVO-Europas liegen?
Habe ich - selbst für den Fall, dass meine zweite Mutmaßung nicht stimmt - richtig in Erinnerung, dass bei MS365-E-Mail-Accounts sowohl die Inhalte der E-Mails auch auch die Schlüssel zu diesen Inhalten auf Servern von Microsoft liegen, so dass - jedenfalls technisch gesehen - Microsoft sich jederzeit Kenntnis von den Inhalten der E-Mails verschaffen könnte? Ich meine, kürzlich mal gelesen zu haben, dass die E-Mail-Clients für MS365 datenschutztechnisch genau deshalb bedenklich seien.

Bit · 28. Februar 2023 um 16:05

Zu 1.:

Vermutlich.

Zu 2.:

Ja

whois

onmicrosoft.com
whois information

Registrant Contact Information:

Name                        Domain Administrator
Organization                Microsoft Corporation
Address                     One Microsoft Way,
City                        Redmond
State / Province            WA
Postal Code                 98052
Country                     US
Phone                       +1.4258828080
Fax                         +1.4259367329
Email                       domain@Microsoft.com


Administrative Contact Information:

Name                        Domain Administrator
Organization                Microsoft Corporation
Address                     One Microsoft Way,
City                        Redmond
State / Province            WA
Postal Code                 98052
Country                     US
Phone                       +1.4258828080
Fax                         +1.4259367329
Email                       domain@Microsoft.com


Technical Contact Information:

Name                        Domain Administrator
Organization                Microsoft Corporation
Address                     One Microsoft Way,
City                        Redmond
State / Province            WA
Postal Code                 98052
Country                     US
Phone                       +1.4258828080
Fax                         +1.4259367329
Email                       domain@Microsoft.com

Information Updated: 2023-02-27 03:17:40

Zu 3.:

Ja, bei allen Dateien, die Kunden an Microsoft übertragen.
Aus den Datenschutzbedingungen:

Auszug der Zusammenfassungen:

Inhalte. Der Inhalt Ihrer Dateien und Kommunikationen, die Sie eingeben, hochladen, erhalten, erstellen und steuern. Wenn Sie beispielsweise eine Datei über Skype an einen anderen Skype-Benutzer übertragen, müssen wir den Inhalt dieser Datei für Sie und den anderen Benutzer sammeln. Wenn Sie eine E-Mail mithilfe von Outlook.com erhalten, müssen wir den Inhalt dieser E-Mail erheben, um Sie in Ihrem Posteingang auszuliefern, Ihnen diese anzuzeigen, Ihnen die Möglichkeit zu geben, darauf zu antworten, und sie solange zu speichern, bis Sie entscheiden, sie zu löschen. Zu anderen Inhalten, die wir erfassen, wenn wir Ihnen Produkte zur Verfügung stellen, gehören:

Kommunikation, einschließlich Audio, Video, Text (eingetippt, diktiert oder anderweitig), in einer Nachricht, einer E-Mail, einem Anruf, einer Besprechungsanfrage oder einem Chat.

Fotos, Bilder, Lieder, Filme, Software und andere Medien oder Dokumente, die Sie mit unserer Cloud speichern, abrufen oder anderweitig verarbeiten.

So verwenden wir personenbezogene Daten

Microsoft verwendet die Daten, die wir erfassen, um Ihnen umfangreiche, interaktive Benutzererfahrungen zu ermöglichen. Insbesondere verwenden wir Daten für Folgendes:

Bereitstellung unserer Produkte, einschließlich Aktualisierung, Sicherung, Problembehandlung und Support. Dies umfasst auch das Freigeben von Daten, wenn erforderlich, um den Dienst bereitzustellen oder die Transaktionen auszuführen, die Sie angefordert haben.

Entwickeln und Verbessern von Produkten.

Personalisieren unserer Produkte und Bereitstellen von Empfehlungen.

Unterbreiten von Werbeangeboten an Sie. Dazu gehören der Versand von Werbekommunikation, gezielte Werbung und die Präsentation relevanter Angebote.

Wir verwenden die Daten ebenfalls für unser Unternehmen, inklusive der Analyse und Leistung, der Einhaltung unserer gesetzlichen Verpflichtung, für unsere Belegschaft sowie zur Entwicklung.

Wir kombinieren die erfassten Daten aus verschiedenen Kontexten (z. B. aus der Verwendung von zwei Microsoft-Produkten) oder von Drittanbietern, damit wir Ihnen eine nahtlose, konsistente und personalisierte Erfahrung bieten können, um fundierte Entscheidungen zu treffen oder diese zu anderen legitimen Zwecken zu verwenden.

Die Verarbeitung personenbezogener Daten für diese Zwecke umfasst sowohl automatisierte als auch manuelle (menschliche) Verarbeitungsmethoden. Unsere automatisierten Methoden stehen häufig im Zusammenhang mit unseren manuellen Methoden und werden von diesen unterstützt. Zu unseren automatisierten Methoden gehört beispielsweise die künstliche Intelligenz (KI), die wir als Technologie betrachten, die es Computern ermöglicht, Zusammenhänge zu erkennen, zu lernen, Begründungen zu liefern und bei der Entscheidungsfindung zu helfen, damit Computer Probleme auf ähnliche Weise lösen können wie Menschen. Um die Genauigkeit unserer automatisierten Verarbeitungsmethoden (einschließlich KI) zu trainieren und zu verbessern, überprüfen wir manuell einige der Vorhersagen und Schlussfolgerungen, die mit den automatisierten Methoden erstellt wurden. Dies erfolgt anhand der zugrunde liegenden Daten, aus denen die Vorhersagen und Schlussfolgerungen erstellt wurden. Beispielsweise überprüfen wir manuell kurze Ausschnitte aus Sprachdaten, die wir anonymisiert haben, um unsere Spracherkennungstechnologien zu verbessern. Diese manuelle Überprüfung kann durch Microsoft-Mitarbeiter oder Lieferanten durchgeführt werden, die im Auftrag von Microsoft handeln.
Wenn wir personenbezogene Daten über Sie verarbeiten, tun wir dies mit Ihrer Zustimmung und/oder nach Bedarf, um die von Ihnen verwendeten Produkte bereitzustellen, unser Geschäft zu betreiben, unsere vertraglichen und rechtlichen Verpflichtungen zu erfüllen, die Sicherheit unserer Systeme und unserer Kunden zu schützen oder andere berechtigte Interessen von Microsoft zu erfüllen, wie in diesem Abschnitt und im Abschnitt „Gründe, warum wir personenbezogene Daten teilen“ dieser Datenschutzerklärung beschrieben. Wenn wir personenbezogene Daten aus dem Europäischen Wirtschaftsraum übertragen, erfolgt dies auf der Grundlage einer Vielzahl von rechtlichen Mechanismen, wie im Abschnitt „Wo wir personenbezogene Daten speichern und verarbeiten“ dieser Datenschutzerklärung beschrieben.

Schließlich werden wir personenbezogene Daten, einschließlich Ihrer Inhalte (z. B. den Inhalt Ihrer E-Mails in Outlook.com oder Dateien in privaten Ordnern auf OneDrive) sichern, lesen, übertragen oder offenlegen, wenn wir davon überzeugt sind, dass dies aus folgenden Gründen notwendig ist:

Wir sind dazu nach geltendem Recht gezwungen oder müssen auf gültige rechtliche Anforderungen reagieren, z. B. von Strafverfolgungs- oder anderen Regierungsbehörden.

Wir müssen unsere Kunden schützen, beispielsweise vor Spam und Betrugsversuchen oder um den Verlust von Menschenleben oder ernsthafte Verletzungen zu verhindern.

Wir müssen die Sicherheit unserer Produkte gewährleisten oder einen Angriff auf unsere Computersysteme oder Netzwerke verhindern oder stoppen.

Wir müssen die Rechte oder das Eigentum von Microsoft oder die Voraussetzungen zur Nutzung der Dienste schützen. Wenn wir jedoch Informationen erhalten, dass jemand unsere Dienstleistungen für den Handel mit gestohlenem geistigem oder physischem Eigentum von Microsoft benutzt, werden wir Privatinhalte eines Kunden nicht selbst inspizieren, sondern die Angelegenheit an die Strafverfolgungsbehörden weiterleiten.

Microsoft 365 (frühere Versionen wurden als Office 365 bezeichnet) ist eine Sammlung von Produktivitäts-Abonnementdiensten und Anwendungen wie Word, Excel, PowerPoint und Outlook. Office ist die Einmaliger-Kauf-Version dieser Anwendungen, die auf PC oder Mac verfügbar ist. Sowohl Microsoft 365 als auch Office umfassen Client-Softwareanwendungen und verbundene Onlinedienste (oder Web-Apps im Falle von Microsoft 365 für das Web) für mehrere Plattformen mit zahlreichen ineinandergreifenden Anwendungen. Weitere Details zu Outlook finden Sie im Abschnitt zu Outlook in dieser Datenschutzerklärung.

Die verschiedenen cloudbasierten Microsoft 365-Dienste bieten Ihnen die Möglichkeit, Ihre Dateiinhalte für Designs und Empfehlungen zu verwenden, gemeinsam mit anderen Benutzern an Dokumenten zu arbeiten und die Funktionen anderer Microsoft-Produkte, wie z. B. Bing und Cortana, oder verbundene Produkte von Drittanbietern zu nutzen. Wenn Sie in einem Unternehmen arbeiten, kann Ihr Administrator diese verbundenen Dienste aktivieren oder deaktivieren. Sie können auf die Datenschutzkontrollen in Ihren Microsoft 365- und Office-Apps zugreifen.

In Übereinstimmung mit der EU-Verordnung 2021/1232 berufen wir uns auf eine durch diese Verordnung gestattete Ausnahme von den Artikeln 5(1) und 6(1) der EU-Direktive 2002/58/EC. Wir verwenden Scanning-Technologien, um digitale Signaturen (auch als „Hashes“ bezeichnet) bestimmter Bilder und Videoinhalte auf unseren Systemen zu erstellen. Diese Technologien vergleichen in einem Vorgang, der als „Hash Matching“ bekannt ist, die so erstellten Hashes mit Hashes von Bildmaterial, das vorab als kindesmissbräuchlich eingestuft wurde (dieses wird als „Hash Set“ bezeichnet). Microsoft bezieht Hash Sets von Organisationen, die im öffentlichen Interesse Kindesmissbrauch bekämpfen. Dadurch kann ein Informationsaustausch mit dem National Center for Missing and Exploited Children (NCMEC) und Strafverfolgungsbehörden stattfinden.

spr · 1. März 2023 um 18:03

Zu 1: JA - das ist die interne Domain im 365

Zu 2: Kommt drauf an - Microsoft verspricht „DSGVO-konforme und nachweislich sichere Datenspeicherung in deutschen Rechenzentren“ für deutsche Kunden (Business)

Zu 3: so wie bei eigentlich jedem anderen E-Mail-Server-Anbieter auch – außer Verschlüsselung außerhalb von dem Betreiber

Niqab · 4. März 2023 um 08:39

zwei drei Ergänzungen:
Jeder Business Kunde hat grundsätzlich eine .onmicrosoft.com domain. Die meisten ändern diese auf ihre eigene Domain ab, manche vergessen das dann aber an wirklich allen Stellen zu konfigurieren (Ist in M365 teils Mist, weil zu viele Stellen zum Eisntellen). Dann passiert es, dass Mails über onmicrosoft.com rausgehen.

zu 2: Das mit der Speicherung ist seit 2018 so.

Edit: Die Speicherung in DE ändert natürlich leider nichts an der grundsätzlichen Praxis, dass es ein US KOnzern ist und Microsoft somit verpflichtet ist, im Zweifel US Behörden Zugriff zu gewähren. Ein Bekannter arbeitet bei MS, hier kriege ich mit, dass die sich wohl juristisch tatsächlich wehren, aber bei einer gag order (ich glaub so heisst das) gibts dann halt keinen Ausweg