Datenschützer: Windows-10-Nutzer bei Telemetrie nicht aus dem Schneider

Die Datenschutzkonferenz hat anerkannt, dass in der Enterprise-Edition von Windows 10 der Transfer von Telemetriedaten unterbunden werden kann.

In Pocket speichern vorlesen Druckansicht 84 Kommentare lesen

Windows 10 ist auf verschiedenartigen Geräten vertreten.

(Bild: Microsoft)

Lesezeit: 3 Min.

Unternehmen und Behörden können in der Enterprise-Edition von Windows 10 verhindern, dass personenbezogene Telemetriedaten weitergegeben werden, wenn sie die Stufe "Security" nutzen. Entsprechende Erkenntnisse einer Unterarbeitsgruppe hat die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) jetzt offiziell anerkannt. Die damit verbundene Rechtssicherheit hält sich aber in Grenzen, da noch einige Fragen offen seien.

Die DSK hatte vor über einem Jahr ein Prüfschema zum datenschutzkonformen Einsatz von Windows 10 verabschiedet. Experten des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), der Bundesdatenschutzbehörde sowie der Aufsichtsämter von Mecklenburg-Vorpommern und Niedersachsen machten sich im Anschluss an die Arbeit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das dazu selbst bereits eine insgesamt 1,37 Millionen Euro teure Studie unternommen hatte, war als "Gast" beteiligt.

Erste Ergebnisse hatte das BayLDA bereits Anfang des Jahres bekannt gegeben. Die DSK hat diese nach weiteren Untersuchungen vorige Woche auf ihrer 100. Sitzung in einem Beschluss bestätigt und auf Konsequenzen für Anwender hingewiesen. Laut Tests im IT-Labor der niedersächsischen Datenschutzbeauftragten Barbara Thiel zeigte sich demnach, dass unter der Einstellung "Windows Restricted Traffic Limited Functionality Baseline" und Telemetriestufe "Security" keine Telemetriedaten an Microsoft übermittelt wurden.

Die Prüfer untersuchten Windows 10 Enterprise dabei in der Version 1909 in drei Testszenarien. Sie stellten auch fest, dass auf der Telemetriestufe "Basic" Nutzungsdaten übertragen werden. Ohne den erwähnten eingeschränkten Windowsmodus "Restricted Baseline" wurde auch unter "Security" noch eine Verbindung zum Endpunkt settings-win.data.microsoft.com aufgerufen. Diesem werde laut Microsoft von mehreren Windows-10-Systemkomponenten einschließlich der Telemetriefunktion angesteuert.

Microsoft habe zwar versichert, dass in der Security-Stufe auch hier kein Datentransfer stattfinde, schreibt die DSK. Der Endpunkt werde "möglicherweise aufgrund eines Softwarefehlers" aufgerufen. Die Datenschützer halten dies trotzdem nach wie vor für klärungsbedürftig, da auch das BSI diese Konstellation mit den darüber durch Microsoft durchführbaren Konfigurationsänderungen als bedenklich eingestuft habe.

Die Untersuchung stelle zudem nur eine Momentaufnahme dar, weil die Software laufend fortentwickelt werde, schreibt die DSK. Verantwortliche könnten daher "nicht abschließend von ihrer Prüf- und Nachweispflicht für den datenschutzkonformen Einsatz von Windows 10 entlastet werden". Sie müssten sicherstellen, dass nachweislich keine Telemetriedaten an Microsoft übermittelt werden. In Frage komme etwa "eine Filterung der Internetzugriffe" des Betriebssystems.

Die Auflagen gelten der DSK zufolge "erst Recht" für den Einsatz der Pro- und Home-Editionen von Windows 10, "in denen die Telemetriestufe derzeit nicht auf Security gesetzt werden kann". In diesem Fällen gelte es ohnehin, zusätzlich "andere Maßnahmen zur Unterbindung etwaiger Übermittlungen personenbezogener Telemetriedaten zu prüfen" oder nachzuweisen, dass solche Transfers rechtmäßig sind.

Die DSK fordert, dass Windows 10 in allen angebotenen Editionen die Möglichkeit bieten sollte, "die Telemetrie-Datenverarbeitung durch Konfiguration zu deaktivieren". Um das zu erreichen, suchen die Datenschützer nach eigenen Angaben weiter das Gespräch mit Microsoft. Dies gelte auch für Microsoft Office 365, dessen Einsatz sie für rechtswidrig halten.

Bei beiden Programmpaketen will die DSK besonderen Wert darauf legen, dass das "Schrems-II-Urteil" des Europäischen Gerichtshofs zum Transfer persönlicher Daten in "unsichere Drittstaaten" wie die USA berücksichtigt wird. Mit Microsofts erneuten Zusicherungen wollen sie sich offenbar nicht zufriedengeben. Thiel betonte, insgesamt habe die DSK "einen wichtigen Schritt gemacht, damit Verantwortliche Windows 10 datenschutzkonform einsetzen können".

(anw)