Am 1. April hat Microsoft seinen Servicevertrag für Dienste überarbeitet und veröffentlicht. Diese sollen kommenden Monat am 15. Juni 2021 inkrafttreten. Hier einige “Kröten” zum Schlucken für jene, die bislang keine Berührungspunkte mit Informationssicherheit, Daten- oder Geheimnisschutz hatten. Das alles ist kein verspäteter Aprilscherz, ich verweise auf die in den Fußnoten referenzierten Quellen. Disclaimer vorab: Ich bin kein Jurist und dieser Blogbeitrag stellt keine Rechtsauskunft dar.
Keine Nutzung von Cortana
Die in jedem Windows mit Ausnahme der Windows Enterprise LTSC Versionen enthaltene Cortana-Assistenzwanze ist ausschließlich nur für die “persönliche, nicht kommerzielle Nutzung” bestimmt und lizenziert. Die Nutzung von Cortana auf vom Arbeitgeber gestellten Geräten stellt einen Lizenzverstoß dar mit den entsprechenden Konsequenzen für Haftung und Folgekosten.1
Keine Musik, Filme, Apps, Bücher oder Spiele
Das Gleiche gilt auch für die in Windows enthaltenen Stores für Musik, Apps, Bücher oder Spiele, zusammengefasst unter “Digitale Waren”. Interessant wird diese Formulierung bei Benutzung von Apps aus dem Windows-Store im gewerblichen Kontext, z.B. zum Bearbeiten von PDFs. Eine Nutzung ist nur für den nicht kommerziellen Unterhaltungsgebrauch bestimmt.2
Digitalen Waren sind nur für Ihren persönlichen, nicht kommerziellen Unterhaltungsgebrauch bestimmt. Sie verpflichten sich, keine Kopien der Digitalen Waren weiterzuverbreiten, auszustrahlen, öffentlich aufzuführen, öffentlich zu zeigen oder zu übertragen.
Nutzung von Microsoft Office
Vorsicht gilt es bei Nutzung von Microsoft Office. Kleine Unternehmen, freiberuflich tätige oder Solo-Selbständige nutzen oft Microsoft 365 Home, Microsoft 365 Personal, OneNote.com und andere Microsoft 365-Abonnements. Nach Microsoft-Lizenzbedingung ist auch hier eine kommerzielle Nutzung ausgeschlossen. Diese wird erst mit gesonderten Vereinbarungen und Verträgen möglich (Microsoft 365 Business).3
Kleinunternehmen und gemeinnützige Organisationen
Besonders pikant ist Punkt 15 unter Azure: “Verzicht auf die Bestimmungen zum Verbraucherschutz für Endbenutzer”:4
Wenn Sie ein Kleinstunternehmen, ein Kleinunternehmen oder eine gemeinnützige Organisation sind, erklären Sie sich damit einverstanden, auf alle Ansprüche zu verzichten, die Sie sonst gemäß dem Europäischen Kodex für elektronische Kommunikation (Richtlinie 2018/1972) Artikel 102 Absätze 1, 3 und 5; Artikel 105 Absatz 1 und Artikel 107 Absätze 1 und 3 hätten.
Kauf garantiert keine Verfügbarkeit
Der Kauf einer Microsoft App oder eines Dienstes garantiert keine Verfügbarkeit. Wie jeder Dienstanbieter nimmt sich Microsoft das Recht jederzeit auch ohne Ankündigung Dienste zu ändern. Es ist sogar möglich, dass ein Produkt oder eine Dienstleistung erneut gekauft werden muss:
Wenn Sie den mit Ihrem Microsoft-Konto verknüpften Standort ändern, müssen Sie möglicherweise die Produkte erneut erwerben, die für Sie in der vorherigen Region verfügbar waren und von Ihnen bezahlt wurden.
Wie Microsoft die Begriffe “Region” definiert, was genau ein “Standort” ist, das bleibt Auslegungssache in dieser einseitigen Vertragsgestaltung.
Die Häufigkeit dieses Szenarios lässt sich aus den zahlreichen Foreneinträge und Erfahrungsberichte ableiten, wo Betroffene von Ihrem privaten und beruflichen Leben unerwartet und urplötzlich ausgesperrt wurden. Tagelanger Stress und Ärger mit Hotlines sind die Folge5.
Existenzbedrohende Abhängigkeit
Diese einseitige Abhängigkeit wird bei einer gewerblichen Nutzung existenzbedrohend. Der Lockout des ganzen Unternehmens droht. Was es dazu bedarf? Nicht viel: Ein Auslandsurlaub eines Mitarbeiters in einem von der USA unerwünschten Land reicht aus. Eine Münchener Software-Firma war im Januar 2021 eine Woche von Ihrem Microsoft GitHub-Account ausgesperrt, weil einer der Mitarbeiter sein Notebook im “falschen” Land aufklappte.6
Fazit
Aus der Sicht der Informationssicherheit sind solche Produkte und Dienstleistungen zurückzuweisen. Bestandteil der VdS 10000 oder auch der relativ neuen VdS 10005 für kleine und mittelständische Unternehmen sind die Empfehlungen, IT-Dienstleister und IT-Lieferanten zur Erfüllung von Leistungen zu verpflichten und “greifbarer” zu machen.
Aus rein technischer Sicht kann ich nicht erkennen, wie ein Anwender bei den eng in einem Windows integrierten Diensten zwischen privater und gewerblicher Nutzung trennen kann. Aus einem mir nicht nachvollziehbaren Grund sind zum Beispiel die XBox-Dienste Bestandteil aktueller Windows Enterprise-Versionen. Die typischen Windows-Administratoren und IT-Systemhäuser deaktivieren diese Dienste bzw, härten Ihre Installationen in der Regel nicht zum Beispiel nach den SiSyPHuS-Empfehlungen des BSI.7.
Sehe ich Entscheider oder Geschäftsführer in KMU, die wider besseren Wissens und Empfehlung z.B. von vergammelten Exchange 2010 auf vermeintlich weniger vergammelte 2016 oder 2019 migrieren, so denke ich mir: Digitalisierung nicht verstanden, Chance verpasst.
Manche lernen nur durch Schmerzen. Die Frage ist nicht ob, sondern wann.
In diesem Sinne,
Tomas Jakobs
Abs. g) https://www.microsoft.com/de-de/servicesagreement/upcoming.aspx ↩︎
Abs. j) https://www.microsoft.com/de-de/servicesagreement/upcoming.aspx ↩︎
Abs. h) https://www.microsoft.com/de-de/servicesagreement/upcoming.aspx ↩︎
Abs. 15. https://www.microsoft.com/de-de/servicesagreement/upcoming.aspx ↩︎
https://www.reddit.com/r/microsoft/comments/ay6qs4/locked_out_of_microsoft_account_for_absolutely_no/ ↩︎
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/SiSyPHuS_node.html ↩︎