Funktionalität geht über Privatsphäre
Die Uni hat Anfang Semester ihr Mailsystem auf Microsoft Outlook umgestellt. Mit welchem Preis für die Studierenden?
Im Oktober wurden die Studierenden der Universität Zürich darüber benachrichtigt, dass ihr E-Mail-Konto nun über Outlook laufe. Nach der nicht ganz unkomplizierten Installation konnte man sich an der bekannten Ästhetik eines weiteren Microsoft-Office-Programms erfreuen. Der Tech-Gigant Microsoft, der Entwickler von Outlook, ist jedoch bekannt für eine Reihe von Datenschutzverletzungen. Beispielsweise enthüllten 2013 laut der britischen Zeitung «The Guardian» die von Edward Snowden geleakten Dokumente eine enge Kooperation zwischen Microsoft und dem von der US-amerikanischen Sicherheitsbehörde NSA geleiteten und hoch kritisierten PRISM-Programm.
Als Teil der erhöhten Überwachungsmechanismen der US-amerikanischen Regierung in Reaktion auf den Terroranschlag am 11. September 2001 in New York, war es den Sicherheitsbehörden möglich, ohne die Einwilligung von Nutzer*innen auf deren privaten Daten zuzugreifen, welche bei einer Reihe von Tech-Konzernen wie Google, Facebook, Apple und Co. gespeichert waren. Zu diesen Konzernen gehörte auch Microsoft.
Fragliche Datenschutzbestimmungen
Die NSA erhielt durch dieses Programm unter anderem unbegrenzten Zugang auf angeblich verschlüsselte Outlook-Emails, mit dem Vorwand, gegen mutmassliche Terrorist*innen zu ermitteln, berichtete «The Guardian» in 2013.
Ausserdem ergab ein von der Privacy Company durchgeführtes Gutachten von 2019, das vom niederländischen Sicherheitsministerium in Auftrag gegeben wurde, dass bei Office 365 persönliche Daten nicht nur intern für die angebliche Verbesserung der Applikationen verwendet werden, sondern dass auch externe Drittunternehmen Zugriff darauf erhalten, um personalisierte Werbung zu kreieren. Das heisst, dass durch die gesammelten Daten wie Alter, Geschlecht und Standort, sowie häufige Sucheinträge ein Nutzer*innenprofil erstellt wird, welches ermöglicht, individuell angepasste Werbung zu schalten. Dass Studierende sich nun gezwungen sehen, zumindest eine dieser Dienstleistungen zu verwenden, ist problematisch.
Spezialabkommen mit Microsoft
Doch ist alles schlecht an der neuen Entwicklung? Urs Trachsel, Mitarbeiter der Zentralen Informatik der Universität Zürich und Co-Projektleiter der E-Mail- Migration, versucht die negativen Urteile zu relativieren. Er könne mit gutem Gewissen versichern, dass das neue System mit dem Datenschutzkonzept der Uni vereinbar sei. Denn die Zentrale Informatik der Universität habe eine Reihe an Spezialabkommen mit Microsoft, um die Privatsphäre der Nutzer*innen zu garantieren.
Beim Auswahlverfahren war laut Trachsel Microsoft 365 bei Weitem nicht der einzige Anbieter im Rennen. Die verschiedenen Dienstleistungsplattformen wurden vom Projektteam anhand einer Vielfalt von Kriterien wie Funktionalität, Informationssicherheit, Benutzer*innenfreundlichkeit und Datenschutz geprüft. Microsoft sei als klarer Gewinner hervorgegangen: Der Anbieter sei momentan die beste Lösung für die Weiterentwicklung der Kollaborationsplattformen der Universität.
Appell an die Eigenverantwortung
Der Wechsel zu Microsoft betrifft das EMail- Programm und die dazugehörigen Server sowie den integrierten Kalender und das Adressbuch. Die Abkehr vom bisherigen Anbieter namens HCL-Notes sei tatsächlich einer von mehreren Schritten in Richtung langfristige Homogenisierung der Kollaborations-Services unter dem Namen UZH 365, sagt Trachsel. Noch sei unklar, was die nächsten Schritte dieser Vereinheitlichung sein könnten und in welchem Zeitrahmen künftige Veränderungen zu erwarten sind.
Als Reaktion auf die Frage, was er von den fragwürdigen Datenschutzbestimmungen von Microsoft halte, stellt Trachsel klar: «Uns liegt die Privatsphäre der Studierenden sehr am Herzen. Jedoch sind sie im Endeffekt bis zu einem gewissen Grad auch selber für den Schutz ihrer Privatsphäre verantwortlich. Selbst die strengsten Datenschutzbestimmungen können das Urteil des gesunden Menschenverstandes darüber, was vertraulich beziehungsweise schützenswert ist, nicht ersetzen.» Wenn man jedoch das Konzept der Eigenverantwortung beispielsweise
«Die Studierenden sind auch selber für den Schutz ihrer Privatsphäre verantwortlich.»
auf den Umgang mit dem privaten Tagebuch überträgt, weist es bedeutende Schwächen auf. Würde dies beuten, dass der «gesunde Menschenverstand» die eigenen Gedanken zuerst zensieren müsste, bevor sie verschriftlicht werden? Dabei wissen wir doch alle, dass Tagebücher nicht für fremde Augen gedacht sind. Funktionalität versus Privatsphäre Sollte mehr Funktionalität einen Verlust von Privatsphäre mit sich bringen? Durch unsere Abhängigkeit von den verschiedensten Dienstleistungen und die scheinbare Alternativlosigkeit, sehen sich Menschen oftmals gezwungen, Angebote von fragwürdigen Grossanbietern zu nutzen. Diese verlangen von ihren Nutzer*innen immer mehr Vertrauen in ihre «guten Absichten». So kündigt Microsoft in den Datenschutzerklärungen an: «Wir werden auf personenbezogene Daten, einschliesslich Ihrer Inhalte, zugreifen, sie offenlegen und aufbewahren, wenn wir in gutem Glauben davon ausgehen, dass dies notwendig ist, um Kunden zu schützen oder die Bedingungen für die Nutzung unserer Dienste durchzusetzen.»
Nun stellt sich jedoch die Frage: Gibt es überhaupt Alternativen zu Grosskonzernen wie Microsoft, welche höhere Datenschutzstandards aufweisen, aber trotzdem die Anforderungen einer Institution mit Tausenden von Nutzer*innen wie die der Universität Zürich erfüllen? Auf die Frage, welche anderen Anbieter zur Auswahl standen, wollte die Projektleitung keine Auskunft geben. Jedoch handelt es sich hier klar um einen weiteren Musterfall: Wer erhöhten Datenschutz fordert, büsst dafür bei der Funktionalität ein und umgekehrt.
Legale Grauzone
Der Entscheid der Uni ist in diesem Fall also bis zu einem gewissen Grad nachvollziehbar, da sie sich bei solch hohen Leistungsanforderungen keine Einbussen bei der Funktionalität erlauben kann. Es handelt sich hier viel mehr um ein systemisches Problem. Sicherheitsbehörden bewegen sich zunehmend in der legalen Grauzone der persönlichen Datenschutzrechte, unter dem Vorwand, die Gesellschaft vor potentiellen Gefährder*innen zu schützen. Jedoch ist auch hier der kollektive Druck von Einzelplayern wie der Universität Zürich oder anderen Grosskund*innen, den Status quo zu verbessern, nicht zu vernachlässigen.
Es ist deshalb umso wichtiger, dass das Bewusstsein der Nutzer*innen um ihre Informationssicherheit gefördert wird. Denn unser Leben findet immer mehr im digitalen Raum statt und das Potential der Überwachung auf dieser Ebene steigt exponentiell.