Das Niederländische Justizministerium hatte die Datenschutz-Firma Privacy Company damit beauftragt Microsoft Office Pro Plus daraufhin zu untersuchen, wie die von rund 300.000 Regierungsmitarbeitern genutzte Software mit den Benutzerinformationen umgeht. Diese Software ist auf den Rechnern der Beamten installiert um diese mit den Servern von Office 365 und Office 2016 zu verbinden. Diese beiden Microsoft-Office-Versionen beziehungsweise deren Vorgängerversionen verwenden die Niederländischen Regierungsmitarbeiter. Anlass für die Untersuchung war, dass Microsoft weder sagt, welche Daten es sammelt noch eine Möglichkeit bietet, um das Sammeln von Diagnose und Telemetriedaten zu unterbinden.
Die Privacy Company stellte laut The Register bei ihrer Untersuchung fest, dass Microsoft Telemetriedaten und andere Daten mit der Office-Anwendung sammelt. Darunter Mail-Betreffzeilen und Sätze, die in Office übersetzt oder einer Rechtschreibprüfung unterzogen wurden. Diese Daten überträgt Office auf Microsoft-Server in den USA. Ohne davon die Benutzer in Kenntnis zu setzen. Das verstoße ganz klar gegen die europäische Datenschutzgrundversordnung DSGVO, wie Privacy Company feststellt. Durch den Verstoß gegen die DSGVO drohen Microsoft empfindliche Geldstrafen, die Rede ist von mehreren 10 Millionen Euro.
Die Forscher stellten in ihrem Bericht fest, dass die Masse der gesammelten Daten zu Diagnosezwecken dienen würde. Microsoft habe zwar versucht Office in Einklang mit der DSGVO zu bringen, indem es dafür sorgte, dass die mit Office erstellten Dokumente auf Servern in der EU gespeichert werden. Doch die Diagnose- und Telemetriedaten mit durchaus persönlichen Informationen über die Nutzer schickt Office eben auf Server in den USA. Aus diesen Daten lassen sich Schlüsse über die individuelle Benutzung von Word, Excel, Powerpoint und Outlook ziehen. Und zwar ohne die Office-Benutzer darüber zu informieren. Laut Privacy Company sammelt Microsoft um die 25.000 unterschiedliche „Event-Typen“ und rund 20 bis 30 Techniker würden diese Daten auswerten.
Derzeit würde die Niederländische Regierung mit Microsoft an einer Lösung des Problems arbeiten. Microsoft habe bereits einen „Verbesserungsplan“ vorgelegt, der die genannten Datenschutzverstöße künftig verhindern solle. Im April 2019 wolle Microsoft laut The Register diese Änderungen zur Prüfung vorlegen. Dazu habe sich Microsoft verpflichtet.
Microsoft habe zudem eine Office-Version erstellt, die keinerlei Diagnose- und Telemetriedaten mehr sammeln würde. Privacy Company rät außerdem dazu, nicht die Webversionen von Office 365 oder Sharepoint Online zu verwenden. Obendrein rät Privacy Company dazu, den Einsatz alternativer Software in Erwägung zu ziehen. Dazu muss man wissen, dass die Niederlande quelloffene Software im öffentlichen Dienst ohnehin unterstützen. Die Stadt München macht übrigens gerade das Gegenteil und wechselt von quelloffener Software zurück zu Microsoft-Produkten. Der Bund der Steuerzahler wirft der Stadt München deshalb Verschwendung von Steuergeldern vor. Microsoft hat vor einigen Jahren den Sitz seiner Deutschlandzentrale nach München verlegt.
Ein Microsoftsprecher bestätigte gegenüber The Register, dass Microsoft mit dem Niederländischen Justizministerium über das Problem spräche.