Bei der Installation vieler Softwareprogramme oder Apps erscheint die Frage, ob Nutzerdaten an den Anbieter übertragen werden dürfen. Zwei Ziele liegen dieser Frage zugrunde: 1) Das vorhandene Angebot optimieren. 2) Die bestehenden Fehler erkennen und korrigieren. Der Fachbegriff für diese Rückmeldung an den Hersteller lautet Telemetrie. Die Zustimmung zu dieser Datenübertragung ist im Privatleben eine individuelle Entscheidung. In Unternehmen beschäftigt diese Frage die Datenschutzfachleute schon länger und hat eine nicht geringe Tragweite. „Schließlich kann es um Daten des gesamten Unternehmens gehen, ob die wirklich nötig sind, um das verwendete Softwareprogramm zu verbessern, ist doch in erheblichem Maße fragwürdig“, erklärt der erfahrene Datenschutz-Experte Dr. Jörn Voßbein.
Tatsächlich ist der datenschutzkonforme Einsatz von Windows 10 seit einiger Zeit Thema bei der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). 2019 wurde ein Prüfschema veröffentlicht, dass Windows 10-Nutzern die Einhaltung der datenschutzrechtlichen Vorgaben erleichtern soll. Im Anschluss hat eine Arbeitsgruppe die Untersuchung von Windows 10, insbesondere im Hinblick auf das Thema Telemetrie, fortgesetzt. Hierbei sollte herausgefunden werden, ob die Übertragung von Telemetriedaten durch eine entsprechende Konfiguration von Windows 10 unterbunden werden kann.
Insgesamt wurden drei Testszenarien untersucht, bei denen Konfigurationsmöglichkeiten der Enterprise-Edition von Windows 10 im Fokus standen, also der Variante, die sich an Unternehmen richtet. Ende November hat die DSK nun Ergebnisse in einem Beschluss bekanntgegeben: Lediglich unter der Einstellung "Windows Restricted Traffic Limited Functionality Baseline" und Telemetriestufe "Security" wurden keine Telemetriedaten an Microsoft übermittelt.
Aber auch in der Telemetriestufe "Security" wurde noch eine Verbindung zum Endpunkt settings-win.data.microsoft.com aufgebaut, wenn die Konfiguration „Windows Restricted Traffic Limited Functionality Baseline“ nicht genutzt wird. Microsoft hat laut DSK angegeben, dass es sich hierbei möglicherweise um einen Softwarefehler handelt und keine Telemetriedaten übertragen werden. Die Datenschützer halten diese Verbindung aber dennoch für bedenklich und klärungsbedürftig.
Grundsätzlich müssen Unternehmen, so die DSK, entweder einen Nachweis für die Rechtmäßigkeit der Übermittlung von Telemetriedaten an Microsoft erbringen oder die Übermittlung unterbinden. Da die im Testszenario genutzten Konfigurationsmöglichkeiten nur in der Enterprise-Edition vorhanden sind, müssen vor allem die Nutzer der Pro- und Home-Edition andere Maßnahmen ergreifen. Denkbar ist hier beispielsweise die Filterung der Internetzugriffe von Windows 10-Systemen um die Datenübertragung an Microsoft zu unterbinden.
Der langjährige Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein erläutert – auch mit Hinweis auf die Gesetzesforderung „Privacy by default“ (also der Datenschutzkonformität von Programmen im Auslieferungszustand): „Microsoft sollte die Konfigurationsmöglichkeiten in allen Windows 10 Editionen zur Verfügung stellen, das sehe ich genauso wie die DSK. Solange dies nicht der Fall ist, müssen andere Lösungen in der IT genutzt werden.“ Unternehmen, die Windows 10 verwenden, rät Dr. Voßbein sich in jedem Fall fachlich beraten zu lassen und ein eigenes Datenschutzkonzept zu entwickelt und konsequent umzusetzen.
Tatsächlich ist der datenschutzkonforme Einsatz von Windows 10 seit einiger Zeit Thema bei der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). 2019 wurde ein Prüfschema veröffentlicht, dass Windows 10-Nutzern die Einhaltung der datenschutzrechtlichen Vorgaben erleichtern soll. Im Anschluss hat eine Arbeitsgruppe die Untersuchung von Windows 10, insbesondere im Hinblick auf das Thema Telemetrie, fortgesetzt. Hierbei sollte herausgefunden werden, ob die Übertragung von Telemetriedaten durch eine entsprechende Konfiguration von Windows 10 unterbunden werden kann.
Insgesamt wurden drei Testszenarien untersucht, bei denen Konfigurationsmöglichkeiten der Enterprise-Edition von Windows 10 im Fokus standen, also der Variante, die sich an Unternehmen richtet. Ende November hat die DSK nun Ergebnisse in einem Beschluss bekanntgegeben: Lediglich unter der Einstellung "Windows Restricted Traffic Limited Functionality Baseline" und Telemetriestufe "Security" wurden keine Telemetriedaten an Microsoft übermittelt.
Aber auch in der Telemetriestufe "Security" wurde noch eine Verbindung zum Endpunkt settings-win.data.microsoft.com aufgebaut, wenn die Konfiguration „Windows Restricted Traffic Limited Functionality Baseline“ nicht genutzt wird. Microsoft hat laut DSK angegeben, dass es sich hierbei möglicherweise um einen Softwarefehler handelt und keine Telemetriedaten übertragen werden. Die Datenschützer halten diese Verbindung aber dennoch für bedenklich und klärungsbedürftig.
Grundsätzlich müssen Unternehmen, so die DSK, entweder einen Nachweis für die Rechtmäßigkeit der Übermittlung von Telemetriedaten an Microsoft erbringen oder die Übermittlung unterbinden. Da die im Testszenario genutzten Konfigurationsmöglichkeiten nur in der Enterprise-Edition vorhanden sind, müssen vor allem die Nutzer der Pro- und Home-Edition andere Maßnahmen ergreifen. Denkbar ist hier beispielsweise die Filterung der Internetzugriffe von Windows 10-Systemen um die Datenübertragung an Microsoft zu unterbinden.
Der langjährige Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein erläutert – auch mit Hinweis auf die Gesetzesforderung „Privacy by default“ (also der Datenschutzkonformität von Programmen im Auslieferungszustand): „Microsoft sollte die Konfigurationsmöglichkeiten in allen Windows 10 Editionen zur Verfügung stellen, das sehe ich genauso wie die DSK. Solange dies nicht der Fall ist, müssen andere Lösungen in der IT genutzt werden.“ Unternehmen, die Windows 10 verwenden, rät Dr. Voßbein sich in jedem Fall fachlich beraten zu lassen und ein eigenes Datenschutzkonzept zu entwickelt und konsequent umzusetzen.
