Datenschützer fordert: Microsoft muss die Windows 10 Datenübertragung abschalten

[English]Brisante Entwicklung für Microsoft und deren Windows 10? Vom baden-württembergischen Landesdatenschutzbeauftragte kommt die Forderung, die Datenübertragung in Windows 10 abzuschalten und schleunigst nachzubessern.


Anzeige

Kontroverses Thema in der Vergangenheit

Die Erfassung und Übertragung von Daten an Microsoft durch Windows 10 stand ja seit jeher im Fokus der Datenschützer. Ich hatte ja im Beitrag Windows 10 und das Datenschutzproblem in Firmen auf einige Problem hingewiesen. Microsoft hat inzwischen reagiert und die Zustimmung zum Datenschutz mehrfach überarbeitet. Das schlug sich hier im Blog in diversen Artikeln nieder. Im Artikel Windows 10: Microsoft legt gesammelte Daten offen hatte ich vor einem Jahr über die die Neuerungen von Windows 10 V1703 in Bezug auf den Datenschutz berichtet.

Beim Upgrade auf das Windows 10 Creators Update sollen die Voreinstellungen erhalten bleiben. In Dialogfeldern (siehe oben) zeigt ein Assistent die betreffenden Einstellungen an und ermöglicht das komfortable Anpassen. Bei einer Neuinstallation werden diese Voreinstellungen logischerweise nicht übernommen. Dann erhält der Nutzer eine separate Auswahlseite angezeigt, um die Datenschutzeinstellungen anzupassen.

Damit schien auch die Widerstand der Datenschutzaktivisten zusammen zu brechen. Sowohl die Aktivisten von der US EFF (siehe hier) als auch die Schweizer Datenschützer lobten das Ganze (siehe Schweizer Datenschützer akzeptieren Windows 10-Anpassung), französischen Datenschützer von CNIL beendeten ihre Untersuchungen gegen Microsoft (siehe Windows 10: Datenschutz-Infosplitter … und die bayrische Datenschutzbehörde bescheinigte Windows 10 Enterprise sogar datenschutzkonform zu sein (siehe meinen Artikel hier und den Beitrag von heise.de).


Anzeige

Zudem gibt es ja Windows 10 Enterprise, was für Firmen und Behörden vorgesehen ist und 'einstellbare Telemetriedatenerfassung' verspricht. Also alles in Butter?

Administratoren in der Klemme

Gerade der letzte Punkt bringt Administratoren aber in ganz andere Probleme. Ich hatte im Blog bereits vor längerer Zeit den Beitrag Windows 10: Telemetrie für Update-Steuerung zwingend? mit dem Problembär – wer Updates will, braucht die Telemetrie. Und im Beitrag Windows 10 Enterprise: Updates und die Telemetriefalle wies sich vor ein paar Tagen auf die Implikationen hin.

Anpassungen per Gruppenrichtlinie erforderlich

Gruppenrichtlinien-Experte MVP Mark Heitbrink hatte vor einiger Zeit einige (kostenpflichtige) Pakete mit Gruppenrichtlinien geschnürt, mit denen sich bestimmte Datenschutzeinstellungen anpassen lassen sollten. Ich hatte ich Beitrag Windows 10: Datenschutz aktivieren, Telemetriedaten stoppen berichtet. Und vor einigen Tagen hat Mark mich per Mail auf darauf aufmerksam gemacht, dass auf seiner Seite www.gp-pack.com überarbeitete Varianten des gp-pack PaT – Privay and Telemetry erschienen ist. Der Beitrag gp-pack LDA – Windows 10 Investigation Report geht darauf ein, mit welchen Gruppenrichtlinien ein Windows 10 Enterprise Client in der Version 14393 (1607, Anniversary Update) und 15063 (1703, Creators Update) datenschutzkonform konfiguriert werden kann.

Datenschützer grätscht ein

Seltsam mutete nur die in meinem die im Artikel Open Source, Windows 10, der Bundesclient und Europas fatale Abhängigkeit von Microsoft … kurz angerissene Thematik an, dass ein Bundesclient auf Windows 10-Basis entwickelt werden soll. Die Datenschleudern Windows 10 und Office 365 sollen nun in deutschen Behörden flächendeckend eingesetzt werden, und das trotz erheblicher Datenschutz- und Sicherheitsbedenken.

Die spätestens Ende Mai 2018 verbindliche Datenschutzgrundverordnung (DSGVO) wird die Thematik noch zusätzlich anheizen. Wenn verschlüsselte Telemetriedaten an Microsoft gehen, und keiner weiß, was drin enthalten ist, kann diese nicht konform mit der DSGVO sein.

Nun kippt der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink Öl ins Feuer. Laut diesem heise.de-Bericht fordert Brink Microsoft, mit 'Blick auf die bekannt gewordenen Sicherheitslücken' (was ich momentan nicht einordnen kann), zur Nachbesserung auf. Microsoft sollte schleunigst nachbessern und sich spätestens ab Ende Mai an die Datenschutz-Grundverordnung halten.

Das gilt in meinen Augen nicht nur für Windows 10, sondern auch für Office 365 und andere Microsoft-Produkte. Bei heise liest sich das dann so, dass Systemadministratoren der betroffenen Systeme bis dahin "durch entsprechende Grundeinstellungen dafür sorgen sollen, dass möglichst wenig übertragen wird" – womit wir wieder bei den in den vorherigen Abschnitten angerissenen Problemen angelangt wären.

Zudem weist er darauf hin, dass eingesetzte Hard- und Software kontinuierlich geprüft und bewertet werden müsse. Er führt aus, dass er "jedoch keine generelle Freigabe von Produkten mit verbindlicher Wirkung für die Verwaltung insgesamt" erteile. Das fand ich schon mal spannend, denn wenn ich hier gegen das Konzept Windows as a service rante und schreibe, dass die 'Zertifizierungen' durch dieses Konzept für die Katz seien (siehe meine Anmerkung in diesem Artikel), wird das gerne als 'ewig gestriger' einsortiert. 

Landesdatenschutzbeauftragte Stefan Brink stellt laut heise die rechtlichen Anforderungen an die öffentliche Beschaffung klar. Er wird so wiedergegeben, dass er den Einsatz problematischer Produkte beanstanden und damit deren fortgesetzte Nutzung entgegentreten könne – "ab Mai 2018 sogar mit verbindlicher Wirkung". Das betrifft Windows 10 (und auch Office 365). Zitat: "Ein Dienstleister, der diesen Anforderungen nicht genügen kann oder will, scheidet künftig aus dem Kreis derjenigen aus, mit denen ein datenschutzrechtlich Verantwortlicher kooperieren kann."

Der Datenschützer führt gegenüber heise online aus, dass "jeder Nutzer von Windows 10, wie auch anderen Betriebssystemen und Anwendungen, die volle Kontrolle über seine Daten haben muss. Es müsse volle Transparenz bezüglich der übertragenen Daten herrschen und der Anwender muss jede Übertragung deaktivieren können". Warme Worte, muss der Datenschützer doch einräumen, dass die Handlungsspielräume äußerst gering seien, gerade wenn es um stabile und sichere Kommunikation in Behördennetzen geht.

Laut heise-Artikel liegt noch keine Stellungnahmen der relevanten Arbeitsgruppen (z.B. BSI) zur Datenschutzkonformität von Windows 10 vor. Brink erwartet, dass 'noch vor Mittel 2018' eine Äußerung der Datenschutzkonferenz, ob der Einsatz von Windows 10 rechtmäßig ist, erfolgt.

Ich würde mal sagen: Hallo Microsoft, wir haben ein Problem. Spannend wird es sein, zu verfolgen, wie sich das Thema entwickelt. Aktuell befasse ich mich mit dem Thema DGSVO im Hinblick auf meinen Blog. Wenn ich sehe, was da alles als greift und was ich dokumentieren muss, kann man nur sagen: Das wird noch spannend. Ich plane die Tage noch einen Artikel oder mehrere zum Thema DGSVO.

Zumindest sind IT-Verantwortliche und Administratoren in keiner komfortablen Situation. Der Chef will, dass der Laden läuft, der Datenschutzbeauftragte pocht auf DGSVO-Konformität und die IT-Leute sollen das mit unzulänglichen Tools sicherstellen.  Da kommt doch Freude auf – oder wie seht ihr das so? Ist das Thema Windows 10 und Office 365 in trockenen Tüchern? Wird das hier im Artikel angerissene aufgebauscht? Eure Meinung und Erfahrungen sowie Einschätzungen sind gefragt.

Ähnliche Artikel:
Windows 10 und das Datenschutzproblem in Firmen
Windows 10: Telemetrie für Update-Steuerung zwingend?
Windows 10 Enterprise: Updates und die Telemetriefalle

Microsoft reagiert auf Windows 10 Datensammelvorwürfe
Windows 10: Datenschutz-Infosplitter …
Privacy Dashboard und neue Windows 10-Privatsphären-Einstellungen
Kritik: EU-Datenschützer weiter unzufrieden mit Windows 10
Windows 10: Datenschutz aktivieren, Telemetriedaten stoppen
Auch EFF lobt Microsoft für die geänderten Windows 10-Datenschutzeinstellungen
Windows 10: Neues von der Datenschutzfront
Windows 10: Diagnostic Data Viewer kommt
Windows 10: Microsoft legt gesammelte Daten offen
Windows 10: Datenschutz von Organisation verwaltet
Microsoft Datenschutz-Dashboard, was weiß MS über mich?
Open Source, Windows 10, der Bundesclient und Europas fatale Abhängigkeit von Microsoft …


Anzeige

Dieser Beitrag wurde unter Update, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Datenschützer fordert: Microsoft muss die Windows 10 Datenübertragung abschalten

  1. Herr IngoW sagt:

    Wer fragt eigendlich wann sich Android/Google an den Datenschutz hält.
    Hier sind die Verhältnisse eher garnicht geklärt. An welcher Stelle gibt es die Möglichkeit die Datensammelei bei Android/Google abzustellen.
    Bei Apple weis wohl gar keiner was gespielt wird.
    Um über den einen zu sprechen sollte man auch wissen was die anderen in diesem Bereich tun, darüber liest man eher weniger bis garnichts.

  2. Christian sagt:

    Irgend ein Datenschützer fordert:
    "MICROSOFT, stellt sofort die Datenübertragung für WINDOWS10 ab!"

    (…mittlerweile riesiges Gelächter und Gegröle drüben in Redmont…)

    Antwort MICROSOFT:
    "Ah sorry, da ist uns anscheinend ein Fehler passiert, selbstverständlich
    werden wir die Datenübertragung bei WINDOWS10 umgehend einstellen."

    Der Datenschützer:
    "Besten Dank!"

    MICROSOFT:
    "Gern geschehen, übrigens kommt nächten Monat WINDOWS11 heraus…"

    Gruss, Christian

  3. ExMicrosoftie sagt:

    Wenn Sie einen Beitrag zur DSGVO schreiben, wäre es schön, wenn Sie einmal die Rolle der Mobilen-Nicht-Windows-Geräte näher beleuchten könnten.
    Was auch gut wäre, welche Grundregeln beim Einsatz welcher Programme zu berücksichtigen wären. Z.B. Office 365 for Business statt Office 365 Personal. Umgang mit Onlineangeboten wie Adobe (Speichern von pdfs).
    Noch zu Mobilgeräten, ein paar Fragen, die sich mir stellen:
    Ist es dann prinzipiell erlaubt, ein Firmen-E-Mailkonto auf einem Google/Androidhandy mit Beantwortung der Mail bspw. über gmail überhaupt einzurichten?
    Oder Business-/Kundenkontakte auf einem Handy mit WhatsApp zu speichern?
    Welche Messengeralternativen wären dann DSGVO-konform?

    • Günter Born sagt:

      Falsche Vorstellungen. Die Datenschutzgrundverordnung ist nicht Geräte-
      oder Software-bezogen, sondern gibt vor, was ich als Erfasser persönlicher Daten von Dritten zu tun habe. Und genau das ist das, was ich zu thematisieren gedenke. Was muss ich als kleiner Betrieb, Blogger, Handwerker, Arzt, Shopbetreibern, Verein etc. ggf. wissen.

      Und zur Frage des Google GMail-Kontos auf einem Firmenhandy – wenn die Firma eine Vereinbarung mit Google im Hinblick auf die DSGVO schließt, ginge das nach meinem Verständnis. Google Irland ist da sehr weit (muss da auch noch was per Post wegschicken).

  4. wufuc_MaD sagt:

    Ist aus meiner Sicht eine prompte gesalzene Antwort auf den Bruch der Unterlassungserklärung bezügl. Zwangsupgrades durch Microsoft (getroffen mit dem Bund!).

    Da ich mich schonmal virtuell auf die 1803 vorbereite (die virtuellen Netzwerkkarten werden sonderlich geschützt..), wenn ich mir die neuen Dienste anschaue: Zahlungen, Remotesupport – sicher bezahlte Dienste, das, das sind wohl die besagten "Features"..
    – Payments..NFC/SE Manager – DevicePicker_UUID – ganze 5 Defenderdienste
    – Windows Perception Service (uhh) UND – Windows Update Medic Service (Acces is denied) & nun ganze 5 XBox Dienste (Access nooo) – unzählige neue Remotedienste
    .. das MS bezahlte Remotesessions für die Behebung selbst geschaffener Probleme anbietet hatte ich erst für eine der "skip ahead" builds erwartet ;-)

    auf in den Kampf gegen den End-Boss-Gegner (USA/NSA)

    das wird nicht leicht, Geld gibs vom amerikanischen Michel über die NSA, um Einnahmen über MS-Produkte gehts seit einem Jahr nicht mehr, behaupte ich. Möge jeder weiterhin frei denken, doch wegen meiner Behauptungen, und ich habe all das kommen sehen, lacht heute niemand mehr.

    Wegen der kommenden Verordnung (was fürn Zufall) fangen wir Schritt für Schritt an. Neue Hardware (deren Firmware nicht durch NSA u.s.w. komprommitiert ist) ist Punkt 1.

  5. Cmd.Data sagt:

    Über die DSGVO lacht der öffentliche Dienst. Denen kann keiner was.

    Doch der kleine Mann, der Handwerker, der kleine IT-Dienstleister, denen werden demnächst findige Anwälte das Leben schwer machen, unter Umständen bis in den Ruin.

    Die DSGVO dient dazu, die kleinen Betriebe zu zerstören. Die Grossen, wie Microsoft oder Behörden oder Banken, können weiterhin tun, was sie wollen.

    So sieht die IT 4.0 aus. Leider. :-(

    • riedenthied sagt:

      Und wie kommst du zu solchen hanebüchenen Aussagen? Selbstverständlich ist das auch in den pösen Behörden ein großes Thema. Nirgendwo werden mehr personenbezogene Daten verarbeitet.

      • Dekre sagt:

        weil es so ist. Noch nichts von fazebuk und Consorten gehört?

        Solange die öffentliche Hand und der öffentliche Rundfunk (dito), der öffentliche Nahverkehr, auch halbstaatliche Unternehmen bewusst und zielgerichtet gerade und ausschließlich Angebote mit fazbuck und Consorten machen, so ist es so.

        Die neue DSGV führt zu ein sichtliches Bedrohungspotential für kleine und Kleinst- Unternehmen. Das was eigentlich kostenlos zur Verfügung als Hilfe gestellt werden soll wird mit horrenden Seminarpreisen an die Unternehmen gesendet.

        Das Motto bleibt – Mach ein neues Gesetz und es lebt eine neue Beraterbranche und Vortragsbranche auf.

        • Dekre sagt:

          Ergänzung hier der DAV (Deutsche Anwaltsverein)- die sind gut und bieten vieles kostenlos an und das für Jeden!

          https://anwaltverein.de/de/praxis/datenschutz

          Da stehen die andere Berufsverbände mit heruntergelassenen Hosen da. Vor allem aber die Verantwortlichen in Deutschland (Ministerien etc. nd die untergeordneten Behörden …) und vor allem Bitkom mit ihren nichtssagenden und bunten PDF-Dateien.

        • riedenthied sagt:

          Was auch immer du mir sagen willst… Es hat offenbar nichts mit dem Thema "der öffentliche Dienst lacht und kann machen was er will" zu tun.

  6. Al CiD sagt:

    Wie Frau Bailey sagte: "In Deutschland wird jede Frittenbude besser kontrolliert als die IT-Unternehmen" … oder so ähnlich.

    In der jetzigen Form und auch mit Blick auf den öffentlich gewordenen Datenskandal bei Facebook&Co. (es dürften da noch einige mehr Skandale kommen…) kann ich nur immer wieder betonen, dass der beste Schutz der persönlichen Daten der ist, den andere erst gar nicht haben.

    Somit kann ich von Windows 10 nur abraten, sowie auch von Facebook (da erfolgt sowieso mMn. kein Mehrwert für den Verbraucher) und Whatsapp, etc. und auch bei Gebrauch von Google sollte man Vorsicht walten lassen…

    Bei Google bekommt man aber wenigstens noch etwas für seine Daten, auch wenn es dafür gute Alternativen gibt: Maps, Mail, Drive, Suchfunktion, Android AOSP, Chromium, etc….

    Natürlich sollte man trotzdem auch bei Google vorsichtig sein, ich stelle alles mögliche auf so wenig Datenübertragung wie nötig aus, mache aber auch nix bis wenig über Android… Stellschrauben, die mir MS vorenthält.

    Bin mal gespannt auf die Zeit nach Mai… DSGVO…

  7. Franz Lustig sagt:

    Update verhindert ohne Zustimmung der Übermittlung von Daten das man Windows 10 nutzen kann!?
    Das ist bestimmt nicht der Richtige weg!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.