Datenschützer: Unternehmen können Windows 10 Enterprise datenschutzkonform einsetzen
In Unternehmen kann die Enterprise-Version von Microsofts Betriebssystem datenschutzkonform eingesetzt werden. Zu diesem Schluss kommt eine Untersuchung des Bayerischen Landesamts für Datenschutzaufsicht, das aber auch kritikwürdiges gefunden hat.
Windows 10 Enterprise ist für Unternehmen okay, sagen die Datenschützer.
(Bild: dpa, Andrea Warnecke)
Der Einsatz von Windows 10 in Unternehmen ist nach Auffassung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) grundsätzlich datenschutzkonform möglich. Bei einem Test stellten die Datenschützer fest, dass sich die meisten Datenübertragungen kontrollieren lassen. Datenschutzrechtlich unklare und kritische Datenübertragungen könnten mit wenigen Einstellungen in den Gruppenrichtlinien rechtskonform konfiguriert werden. Ihre Ergebnisse haben die Datenschützer in einem 19-seitigen Prüfbericht veröffentlicht.
Mehr Einstellungsmöglichkeiten
Die BayLDA-Prüfer haben die Datenströme bei der Nutzung von Windows 10 Enterprise (Builds 14393 und 15063) untersucht. Die Unternehmensversion von Windows 10 unterscheidet sich von Windows 10 Home oder Pro darin, dass deutlich mehr Einstellungsmöglichkeiten vorhanden sind, etwa um mehrere Arbeitsplätze betreuen zu können. Die Datenschützer haben untersucht, welche Folgen Änderungen der Einstellungen in den Grundrichtlinien sowie die Deaktivierung verschiedener Features haben.
Zu den Übertragungsdaten gehören die Telemetrie-Daten, die Microsoft im Hintergrund über die Art der Nutzung informieren. Dazu gehören beispielsweise Absturzberichte, installierte Anwendungen und Details zur Nutzung oder auch Typ der verwendeten Hardware. Auch Features wie die Sprachassistenz „Cortana“ funktionieren nur mit einer Anbindung an Microsoft-Server.
Edge und ZIP
Datenübertragungen konnten die Datenschützer zum Beispiel bei dem voreingestellten SmartScreen-Filter in Microsoft Edge sowie beim Unzippen eines Zip-Files im Windows File Explorer feststellen. Durch das Deaktivieren des SmartScreen-Filters konnten die Datenübertragungen im Hintergrund nicht vollständig gestoppt werden. Das BayLDA will dies im Dialog mit Microsoft noch klären.
Der Präsident des BayLDA, Thomas Kranig, kommt zu dem Schluss, dass die "Datenübertragungen von den Nutzern mittlerweile weitestgehend gesteuert werden können" – auch wenn dies mit etwas Aufwand verbunden ist. Dennoch kritisiert die Aufsichtsbehörde in ihrem Bericht, dass Microsoft Anwendern in Unternehmen keine ausführliche Anleitungen zur Verfügung stellt, wie sie Windows 10 datenschutzkonform einsetzen können.
Neue Builds, neuer Test
Bis Mai 2018 sind zwei neue Updates des Betriebssystems zu erwarten. Andreas Sachs, Leiter des Prüflabors, sagte heise online: "Wir werden dann die Voreinstellungen überprüfen und möglicherweise zu einer neuen Bewertung kommen."
Die Vorgaben der europäischen Datenschutzgrundverordnung, die unter anderem Einstellungen nach dem Prinzip "Privacy by Default" verlangt, wurden nicht bewertet. Die "Privacy by Default"-Einstellungen seien vor allem für Privatpersonen wichtig, sagte Sachs, während bei Unternehmen zu erwarten sei, dass diese das Know-How für Konfigurationsänderungen mitbringen.
Die Prüfung des BayLDA fand in Abstimmung mit anderen europäischen Datenschutzaufsichtsbehörden statt, die verschiedene Aspekte von Windows 10 untersuchen. Die französische Datenschutzaufsicht CNIL hat ihre Bewertung nach zahlreichen Nachbesserungen durch Microsoft bereits vorgelegt, die Niederländer wollen im Herbst mit ihrem Bericht über Windows 10 Home und Pro fertig sein. Die Behörden in Großbritannien, Slowenien, Spanien und Ungarn prüfen weitere Aspekte wie die Nutzung seitens Privatpersonen, die Frage der Werbe-Cookies und Tracking-IDs.
Office 365 an Schulen
Nicht abgeschlossen ist auch die Prüfung des Einsatzes von Office 365. Hessens Datenschutzbeauftragter Michael Ronellenfitsch hält den Einsatz der in der "Deutschland Cloud" gehosteten Software an Schulen unter bestimmten Bedingungen für möglich. Die Schulen müssten zusätzlich technische und organisatorische Maßnahmen treffen und hierfür einen schulischen Datenschutzbeauftragten beteiligen. Wenn die europäische Datenschutzgrundverordnung ab Mai 2018 umgesetzt werden muss, hält Ronellenfitsch überdies die Durchführung einer Datenschutz-Folgenabschätzung für möglich, die weitere Vorgaben nach sich ziehen kann.
Zu Sicherheitsmaßnahmen bei Windows 10 siehe auch das Titelthema von c't 20/2017:
- Windows einfach absichern
(vbr)
