Polly und Datenschutz

Teams Apps laufen entweder auf einem Backend oder im Teams Client und es gibt einen Teams App Store zur Installation von 3rd Party Apps. Am Beispiel von Polly möchte ich Sie für das Thema Datenschutz insbesondere mit Apps anderer Hersteller sensibilisieren.

Umfragen in Teams Kanälen und Meetings sind eine wichtige Funktion. Da aber Zeit und Personal beschränkt ist, integriert auch Microsoft Code von anderen Firmen und Personen. Neben Open Source und Libraries gehören auch die ein oder andere Dienste dazu. Polly wurde schon sehr früh für Umfragen eingebunden aber irgendwann muss auch eine 3rd Party Firma anfangen Geld zu verdienen.

Polly im Teams Admin Center

Polly ist eine "klassische" Teams-App, die aber per Default in jedem Tenant freigeschaltet ist:

Damit kann jeder Benutzer die App direkt in seinem Kanal oder Meeting einbinden.

Polly addieren

Als Benutzer addiere ich dann einfach Polly als App.

Wenn Sie Polly addiert haben, können sie neue Umfragen starten. Wenn Sie genau hinschauen, dann sieht das Fenster mittlerweile etwas anders aus. Die Polly-App wurde aktualisiert und spätestens hier sehen Sie, dass es einen Counter (0/25 Responses) und einen "Upgrade"-Button gibt.

Polly ist keine Software von Microsoft sondern ein Addon, welches Team von der gleichnamigen Firma "polly.ai" einbindet. das war mit dem Start von Teams ein einfacher und schnelle Weg, solche Umfragen in das Produkt zu bringen ohne es selbst schreiben zu müssen. Teams hat auf den gleichen weg ja auch z.B. Giphys in Teams oder "Tenor" in Yammer eingebunden.

Im Prinzip nicht falsch aber so eine Einbindung birgt natürlich das Risiko, dass der Anbieter sein Geschäftsmodell ändert.

Vielleicht ist das auch der Grund, warum Microsoft am 23. 10.2020 eine neue Funktion "Teams Poll" mit Zieldatum Nov 2020 in die Roadmap aufgenommen hat. Siehe dazu auch Meeting Feedback

Umfrage erstellen

Technisch erstellen Sie dann eine Umfrage, die im Chatfenster des Meetings oder auch im normalen Kanal angezeigt wird

Auch hier sehen Sie wieder, dass diese Funktion nicht von Microsoft sondern einer anderen Firma eingebunden wird. Die beiden Links gehen auf die Seite von Polly.ai.

Fiddler

Wenn Sie dann aber mal mit Fiddler nachschauen, dann sehen sie noch weitere Interaktionen mit anderen Webseiten

Hier einmal ein Mitschnitt wenn ich einfach nur Polly starte um eine Umfrage zu erstellen:

Ich habe hier nun nicht alle Zeilen auseinander genommen aber nicht alle URLs laden einfach nur JavaScript und statische Bilder nach, sondern senden auch mehr oder weniger umfangreiche Daten, z.B.

  • Meldung, dass ich "Response Limitations Explained" angeklickt habe
  • Meldung an Hubspot
    Ebenfalls "Response Limitations Explained".

Das sind nur zwei exemplarische Requests, die an sich unkritisch erscheinen. Wenn ich per TraceRoute den Weg zu den Hosts nachlaufe, dann antworten diese meist nach 20-30ms, was eigentlich aussage, dass Sie in Europa stehen sollten. Allerdings lösen die Hosts auf "awsglobalaccelerator.com", "group3.sites.hscoscdn00.net" oder als letzer Router "cloudflare-ic-309178-ddf-b2.c.telia.net" auf. Das sind also durchweg Content-Delivery-Netzworks ohne Hinweis auf die finale Datenspeicherung. Über die offiziellen Webseiten dürfte das aber alles USA sein.

Forms statt Polly

Ich bin sicher, das früher es noch kein Limit von 25 Antworten/Monat/Referent gab und Microsoft vielleicht etwas verärgert über die Änderungen in Polly ist. Auch die Anzeige zur Erstellung einer Umfrage mit dem "Upgrade"-Button quasi mitten im Produkt wird nicht nur Freunde gefunden haben. Auf jeden Fall gab es im November-Updates eine Ankündigung und auf der Roadmap findet sich ein Eintrag, der erst am 27.10.2020 addiert und schon im November Released werden soll:

Das ist schon sehr schnell, auch wenn Teams agil entwickelt wird. Mit der Nutzung von Forms als Backend dürfte aber zumindest das Thema Datenschutz sich wieder zum Tenant bewegen.

Einschätzung

Jeden Tag nutzen Millionen Menschen Dienste wie Facebook Twitter, Tiktok u.a. ohne sich Gedanken über die Datenablage zu machen. Mitarbeiter von Firmen haben als Angestellte aber keine Wahl z.B. Teams nicht zu nutzen. Daher muss der Arbeitgeber sich sehr wohl Gedanken über die Datennutzung von externen Diensten machen. Mit Microsoft kann der Arbeitgeber zumindest eine Vertragsbeziehung nachweisen, in der bestimmte Dinge geregelt sind.

Zusatzdienste, die aber als App in Teams oder z.B. auch Outlook Web App und Outlook integriert werden können, erweitern nicht nur den Funktionsumfang sondern bedeutet auch Mehrarbeit bei der Datenschutzbewertung.

Polly ist aber ein "Bot", denn die Anwender beantworten die Frage, was einen "Postback" zu Polly.ai auslöst und Polly aktualisiert die Ergebnisse im Channel. Über den Weg dürfte Polly also sogar Zugriff auf die Konversationen im Channel haben und bekommt vermutlich auch zukünftige Nachrichten mit. Ich frage mich grade noch, wie ich die Interaktion zwischen Polly und Teams weiter untersuchen kann.

Wenn ihnen das alles zu heikel ist, dann deaktivieren Sie einfach Polly im Teams Admin Center

Leider habe ich noch keinen Weg gefunden, die Nutzung von Polly im Kanal, Teams oder Tenant-weit zu ermittlen und das Risiko einer solchen "Deaktivierung" abschätzen zu können.

Weitere Links