Datenschutzverstöße von Microsofts Copilot-App: "Erstmal gegen Gesetze verstoßen und abwarten"
Im letzten Monat hat Microsoft seinen Copilot auch als App veröffentlicht. Viele Nutzer freut das, haben sie doch so eine kostenlose Alternative zu ChatGPT 4. Wer allerdings auf eine datenschutzfreundliche Alternative gehofft hat, wird wohl eher enttäuscht.
Denn der Sicherheitsforscher Mike Kuketz hat die App näher beleuchtet und auf seinem Blog die Ergebnisse seiner Untersuchungen veröffentlicht. Dabei stellte sich heraus, dass die App auch ungefragt und ohne Einverständnis bereits „nach Hause telefoniert“.
„Wie bei Microsoft üblich, stellt sich nicht die Frage, ob Datenschutzverstöße vorliegen, sondern in welchem Umfang.“, leitet Kuketz die Vorstellung seiner Ergebnisse ein. Denn bereits beim Öffnen der App und noch vor der Beantwortung des Consent Banners nimmt die App schon Kontakt mit diversen Servern auf und beliefert insgesamt 15 Domains mit Daten oder lädt daraus etwas nach.
Zwar könnte man argumentieren, dass natürlich gewisse Serververbindungen zur Funktion des KI-Assistenten notwendig sind, aber Domains wie www.bing.com, location.microsoft.com oder self.events.data.microsoft.com, um nur einige davon zu nennen, dürften für die Funktionsweise des AI-Assistant weniger notwendig sein und eher dem Tracking des Nutzers dienen. Wohlgemerkt wurden alle diese Domains angesteuert noch bevor irgendeine Nutzerinteraktion vorlag.
Danach wurde folgender „Consent“-Banner gezeigt (siehe rechts). Dieser dürfte ebenso wenig DSGVO-konform sein, schließlich gibt es hier keine Wahl, geschweige denn eine Opt-Out-Option, der Nutzer hat lediglich die Wahl alles zu akzeptieren um fortfahren zu dürfen. Aber schon bevor Nutzer auf „Weiter“ drücken werden laut Kuketz weitere Verbindungen aufgebaut:
Beispielsweise zur Adjust GmbH (app.adjust.com), einem US-Unternehmen, das sich auf Tracking und der Nutzeranalyse spezialisiert hat. Bei dieser Verbindung werden auch ohne die Einwilligung des Nutzers diverse Nutzerdaten an Adjust übertragen, darunter Daten über das verwendete Gerät (Modell, Hersteller, Auflösung, CPU) sowie die Google-Advertising-ID. Das ist laut DSGVO beziehungsweise Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) unzulässig.
Und so geht es munter weiter, wir sind bislang noch immer an einem Punkt, an dem die App geöffnet wurde, aber noch keinerlei Nutzerinteraktion stattfand, auch das Consentbanner wurde noch nicht akzeptiert. Nach dem Datentransfer zu Adjust wird natürlich noch Microsoft selbst mit Daten versorgt, darunter sogar der ungefähre Standort des Nutzers sowie weitere Telemetriedaten und wiederum auch die Google-Advertising-ID. Wer sich den vollständigen Report anschauen mag, kann auf die Blog-Seite gehen, der Artikel ist hier verlinkt.