[English]Brisante Entwicklung für Microsoft und deren Windows 10? Vom baden-württembergischen Landesdatenschutzbeauftragte kommt die Forderung, die Datenübertragung in Windows 10 abzuschalten und schleunigst nachzubessern.
Anzeige
Kontroverses Thema in der Vergangenheit
Die Erfassung und Übertragung von Daten an Microsoft durch Windows 10 stand ja seit jeher im Fokus der Datenschützer. Ich hatte ja im Beitrag Windows 10 und das Datenschutzproblem in Firmen auf einige Problem hingewiesen. Microsoft hat inzwischen reagiert und die Zustimmung zum Datenschutz mehrfach überarbeitet. Das schlug sich hier im Blog in diversen Artikeln nieder. Im Artikel Windows 10: Microsoft legt gesammelte Daten offen hatte ich vor einem Jahr über die die Neuerungen von Windows 10 V1703 in Bezug auf den Datenschutz berichtet.
Beim Upgrade auf das Windows 10 Creators Update sollen die Voreinstellungen erhalten bleiben. In Dialogfeldern (siehe oben) zeigt ein Assistent die betreffenden Einstellungen an und ermöglicht das komfortable Anpassen. Bei einer Neuinstallation werden diese Voreinstellungen logischerweise nicht übernommen. Dann erhält der Nutzer eine separate Auswahlseite angezeigt, um die Datenschutzeinstellungen anzupassen.
Damit schien auch die Widerstand der Datenschutzaktivisten zusammen zu brechen. Sowohl die Aktivisten von der US EFF (siehe hier) als auch die Schweizer Datenschützer lobten das Ganze (siehe Schweizer Datenschützer akzeptieren Windows 10-Anpassung), französischen Datenschützer von CNIL beendeten ihre Untersuchungen gegen Microsoft (siehe Windows 10: Datenschutz-Infosplitter … und die bayrische Datenschutzbehörde bescheinigte Windows 10 Enterprise sogar datenschutzkonform zu sein (siehe meinen Artikel hier und den Beitrag von heise.de).
Anzeige
Zudem gibt es ja Windows 10 Enterprise, was für Firmen und Behörden vorgesehen ist und 'einstellbare Telemetriedatenerfassung' verspricht. Also alles in Butter?
Administratoren in der Klemme
Gerade der letzte Punkt bringt Administratoren aber in ganz andere Probleme. Ich hatte im Blog bereits vor längerer Zeit den Beitrag Windows 10: Telemetrie für Update-Steuerung zwingend? mit dem Problembär – wer Updates will, braucht die Telemetrie. Und im Beitrag Windows 10 Enterprise: Updates und die Telemetriefalle wies sich vor ein paar Tagen auf die Implikationen hin.
Anpassungen per Gruppenrichtlinie erforderlich
Gruppenrichtlinien-Experte MVP Mark Heitbrink hatte vor einiger Zeit einige (kostenpflichtige) Pakete mit Gruppenrichtlinien geschnürt, mit denen sich bestimmte Datenschutzeinstellungen anpassen lassen sollten. Ich hatte ich Beitrag Windows 10: Datenschutz aktivieren, Telemetriedaten stoppen berichtet. Und vor einigen Tagen hat Mark mich per Mail auf darauf aufmerksam gemacht, dass auf seiner Seite www.gp-pack.com überarbeitete Varianten des gp-pack PaT – Privay and Telemetry erschienen ist. Der Beitrag gp-pack LDA – Windows 10 Investigation Report geht darauf ein, mit welchen Gruppenrichtlinien ein Windows 10 Enterprise Client in der Version 14393 (1607, Anniversary Update) und 15063 (1703, Creators Update) datenschutzkonform konfiguriert werden kann.
Datenschützer grätscht ein
Seltsam mutete nur die in meinem die im Artikel Open Source, Windows 10, der Bundesclient und Europas fatale Abhängigkeit von Microsoft … kurz angerissene Thematik an, dass ein Bundesclient auf Windows 10-Basis entwickelt werden soll. Die Datenschleudern Windows 10 und Office 365 sollen nun in deutschen Behörden flächendeckend eingesetzt werden, und das trotz erheblicher Datenschutz- und Sicherheitsbedenken.
Die spätestens Ende Mai 2018 verbindliche Datenschutzgrundverordnung (DSGVO) wird die Thematik noch zusätzlich anheizen. Wenn verschlüsselte Telemetriedaten an Microsoft gehen, und keiner weiß, was drin enthalten ist, kann diese nicht konform mit der DSGVO sein.
Nun kippt der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink Öl ins Feuer. Laut diesem heise.de-Bericht fordert Brink Microsoft, mit 'Blick auf die bekannt gewordenen Sicherheitslücken' (was ich momentan nicht einordnen kann), zur Nachbesserung auf. Microsoft sollte schleunigst nachbessern und sich spätestens ab Ende Mai an die Datenschutz-Grundverordnung halten.
Das gilt in meinen Augen nicht nur für Windows 10, sondern auch für Office 365 und andere Microsoft-Produkte. Bei heise liest sich das dann so, dass Systemadministratoren der betroffenen Systeme bis dahin "durch entsprechende Grundeinstellungen dafür sorgen sollen, dass möglichst wenig übertragen wird" – womit wir wieder bei den in den vorherigen Abschnitten angerissenen Problemen angelangt wären.
Zudem weist er darauf hin, dass eingesetzte Hard- und Software kontinuierlich geprüft und bewertet werden müsse. Er führt aus, dass er "jedoch keine generelle Freigabe von Produkten mit verbindlicher Wirkung für die Verwaltung insgesamt" erteile. Das fand ich schon mal spannend, denn wenn ich hier gegen das Konzept Windows as a service rante und schreibe, dass die 'Zertifizierungen' durch dieses Konzept für die Katz seien (siehe meine Anmerkung in diesem Artikel), wird das gerne als 'ewig gestriger' einsortiert.
Landesdatenschutzbeauftragte Stefan Brink stellt laut heise die rechtlichen Anforderungen an die öffentliche Beschaffung klar. Er wird so wiedergegeben, dass er den Einsatz problematischer Produkte beanstanden und damit deren fortgesetzte Nutzung entgegentreten könne – "ab Mai 2018 sogar mit verbindlicher Wirkung". Das betrifft Windows 10 (und auch Office 365). Zitat: "Ein Dienstleister, der diesen Anforderungen nicht genügen kann oder will, scheidet künftig aus dem Kreis derjenigen aus, mit denen ein datenschutzrechtlich Verantwortlicher kooperieren kann."
Der Datenschützer führt gegenüber heise online aus, dass "jeder Nutzer von Windows 10, wie auch anderen Betriebssystemen und Anwendungen, die volle Kontrolle über seine Daten haben muss. Es müsse volle Transparenz bezüglich der übertragenen Daten herrschen und der Anwender muss jede Übertragung deaktivieren können". Warme Worte, muss der Datenschützer doch einräumen, dass die Handlungsspielräume äußerst gering seien, gerade wenn es um stabile und sichere Kommunikation in Behördennetzen geht.
Laut heise-Artikel liegt noch keine Stellungnahmen der relevanten Arbeitsgruppen (z.B. BSI) zur Datenschutzkonformität von Windows 10 vor. Brink erwartet, dass 'noch vor Mittel 2018' eine Äußerung der Datenschutzkonferenz, ob der Einsatz von Windows 10 rechtmäßig ist, erfolgt.
Ich würde mal sagen: Hallo Microsoft, wir haben ein Problem. Spannend wird es sein, zu verfolgen, wie sich das Thema entwickelt. Aktuell befasse ich mich mit dem Thema DGSVO im Hinblick auf meinen Blog. Wenn ich sehe, was da alles als greift und was ich dokumentieren muss, kann man nur sagen: Das wird noch spannend. Ich plane die Tage noch einen Artikel oder mehrere zum Thema DGSVO.
Zumindest sind IT-Verantwortliche und Administratoren in keiner komfortablen Situation. Der Chef will, dass der Laden läuft, der Datenschutzbeauftragte pocht auf DGSVO-Konformität und die IT-Leute sollen das mit unzulänglichen Tools sicherstellen. Da kommt doch Freude auf – oder wie seht ihr das so? Ist das Thema Windows 10 und Office 365 in trockenen Tüchern? Wird das hier im Artikel angerissene aufgebauscht? Eure Meinung und Erfahrungen sowie Einschätzungen sind gefragt.
Ähnliche Artikel:
Windows 10 und das Datenschutzproblem in Firmen
Windows 10: Telemetrie für Update-Steuerung zwingend?
Windows 10 Enterprise: Updates und die Telemetriefalle
Microsoft reagiert auf Windows 10 Datensammelvorwürfe
Windows 10: Datenschutz-Infosplitter …
Privacy Dashboard und neue Windows 10-Privatsphären-Einstellungen
Kritik: EU-Datenschützer weiter unzufrieden mit Windows 10
Windows 10: Datenschutz aktivieren, Telemetriedaten stoppen
Auch EFF lobt Microsoft für die geänderten Windows 10-Datenschutzeinstellungen
Windows 10: Neues von der Datenschutzfront
Windows 10: Diagnostic Data Viewer kommt
Windows 10: Microsoft legt gesammelte Daten offen
Windows 10: Datenschutz von Organisation verwaltet
Microsoft Datenschutz-Dashboard, was weiß MS über mich?
Open Source, Windows 10, der Bundesclient und Europas fatale Abhängigkeit von Microsoft …
Anzeige
Wer fragt eigendlich wann sich Android/Google an den Datenschutz hält.
Hier sind die Verhältnisse eher garnicht geklärt. An welcher Stelle gibt es die Möglichkeit die Datensammelei bei Android/Google abzustellen.
Bei Apple weis wohl gar keiner was gespielt wird.
Um über den einen zu sprechen sollte man auch wissen was die anderen in diesem Bereich tun, darüber liest man eher weniger bis garnichts.
Nun ja, es geht hier im Artikel um Windows 10 und nicht um Apple & Co.
Wer es ehrlich mit dem Datenschutz meint und nicht nur Schutzreflexe bei einem Anbieter offenbart, liest z.B. mehr dazu hier:
https://www.google.de/search?hl=de&dcr=0&source=hp&ei=Csa4WpC7FqSImwX9yraoCw&q=datenschutz+apple+google+microsoft&oq=Datenschutz+Google+Apple+&gs_l=psy-ab.1.1.0i22i30k1l3.2758.15969.0.19064.26.21.0.4.4.0.187.3199.0j20.20.0….0…1c.1.64.psy-ab..2.24.3285.0..0j35i39k1j0i131k1j0i3k1j0i10k1.0.KX9FuNFqWZI
"Um über den einen zu sprechen sollte man auch wissen was die anderen in diesem Bereich tun"
Kann man wissen, muss man aber nicht. Dieses Totschlagargument ist albern, wir wollen uns doch an den Besseren orientieren und nicht an denen, die es noch schlechter machen. Wollen wir doch, oder?
Irgend ein Datenschützer fordert:
"MICROSOFT, stellt sofort die Datenübertragung für WINDOWS10 ab!"
(…mittlerweile riesiges Gelächter und Gegröle drüben in Redmont…)
Antwort MICROSOFT:
"Ah sorry, da ist uns anscheinend ein Fehler passiert, selbstverständlich
werden wir die Datenübertragung bei WINDOWS10 umgehend einstellen."
Der Datenschützer:
"Besten Dank!"
MICROSOFT:
"Gern geschehen, übrigens kommt nächten Monat WINDOWS11 heraus…"
Gruss, Christian
Wenn Sie einen Beitrag zur DSGVO schreiben, wäre es schön, wenn Sie einmal die Rolle der Mobilen-Nicht-Windows-Geräte näher beleuchten könnten.
Was auch gut wäre, welche Grundregeln beim Einsatz welcher Programme zu berücksichtigen wären. Z.B. Office 365 for Business statt Office 365 Personal. Umgang mit Onlineangeboten wie Adobe (Speichern von pdfs).
Noch zu Mobilgeräten, ein paar Fragen, die sich mir stellen:
Ist es dann prinzipiell erlaubt, ein Firmen-E-Mailkonto auf einem Google/Androidhandy mit Beantwortung der Mail bspw. über gmail überhaupt einzurichten?
Oder Business-/Kundenkontakte auf einem Handy mit WhatsApp zu speichern?
Welche Messengeralternativen wären dann DSGVO-konform?
Falsche Vorstellungen. Die Datenschutzgrundverordnung ist nicht Geräte-
oder Software-bezogen, sondern gibt vor, was ich als Erfasser persönlicher Daten von Dritten zu tun habe. Und genau das ist das, was ich zu thematisieren gedenke. Was muss ich als kleiner Betrieb, Blogger, Handwerker, Arzt, Shopbetreibern, Verein etc. ggf. wissen.
Und zur Frage des Google GMail-Kontos auf einem Firmenhandy – wenn die Firma eine Vereinbarung mit Google im Hinblick auf die DSGVO schließt, ginge das nach meinem Verständnis. Google Irland ist da sehr weit (muss da auch noch was per Post wegschicken).
Ist aus meiner Sicht eine prompte gesalzene Antwort auf den Bruch der Unterlassungserklärung bezügl. Zwangsupgrades durch Microsoft (getroffen mit dem Bund!).
Da ich mich schonmal virtuell auf die 1803 vorbereite (die virtuellen Netzwerkkarten werden sonderlich geschützt..), wenn ich mir die neuen Dienste anschaue: Zahlungen, Remotesupport – sicher bezahlte Dienste, das, das sind wohl die besagten "Features"..
– Payments..NFC/SE Manager – DevicePicker_UUID – ganze 5 Defenderdienste
– Windows Perception Service (uhh) UND – Windows Update Medic Service (Acces is denied) & nun ganze 5 XBox Dienste (Access nooo) – unzählige neue Remotedienste
.. das MS bezahlte Remotesessions für die Behebung selbst geschaffener Probleme anbietet hatte ich erst für eine der "skip ahead" builds erwartet ;-)
auf in den Kampf gegen den End-Boss-Gegner (USA/NSA)
das wird nicht leicht, Geld gibs vom amerikanischen Michel über die NSA, um Einnahmen über MS-Produkte gehts seit einem Jahr nicht mehr, behaupte ich. Möge jeder weiterhin frei denken, doch wegen meiner Behauptungen, und ich habe all das kommen sehen, lacht heute niemand mehr.
Wegen der kommenden Verordnung (was fürn Zufall) fangen wir Schritt für Schritt an. Neue Hardware (deren Firmware nicht durch NSA u.s.w. komprommitiert ist) ist Punkt 1.
Über die DSGVO lacht der öffentliche Dienst. Denen kann keiner was.
Doch der kleine Mann, der Handwerker, der kleine IT-Dienstleister, denen werden demnächst findige Anwälte das Leben schwer machen, unter Umständen bis in den Ruin.
Die DSGVO dient dazu, die kleinen Betriebe zu zerstören. Die Grossen, wie Microsoft oder Behörden oder Banken, können weiterhin tun, was sie wollen.
So sieht die IT 4.0 aus. Leider. :-(
Und wie kommst du zu solchen hanebüchenen Aussagen? Selbstverständlich ist das auch in den pösen Behörden ein großes Thema. Nirgendwo werden mehr personenbezogene Daten verarbeitet.
weil es so ist. Noch nichts von fazebuk und Consorten gehört?
Solange die öffentliche Hand und der öffentliche Rundfunk (dito), der öffentliche Nahverkehr, auch halbstaatliche Unternehmen bewusst und zielgerichtet gerade und ausschließlich Angebote mit fazbuck und Consorten machen, so ist es so.
Die neue DSGV führt zu ein sichtliches Bedrohungspotential für kleine und Kleinst- Unternehmen. Das was eigentlich kostenlos zur Verfügung als Hilfe gestellt werden soll wird mit horrenden Seminarpreisen an die Unternehmen gesendet.
Das Motto bleibt – Mach ein neues Gesetz und es lebt eine neue Beraterbranche und Vortragsbranche auf.
Ergänzung hier der DAV (Deutsche Anwaltsverein)- die sind gut und bieten vieles kostenlos an und das für Jeden!
https://anwaltverein.de/de/praxis/datenschutz
Da stehen die andere Berufsverbände mit heruntergelassenen Hosen da. Vor allem aber die Verantwortlichen in Deutschland (Ministerien etc. nd die untergeordneten Behörden …) und vor allem Bitkom mit ihren nichtssagenden und bunten PDF-Dateien.
Was auch immer du mir sagen willst… Es hat offenbar nichts mit dem Thema "der öffentliche Dienst lacht und kann machen was er will" zu tun.
Wie Frau Bailey sagte: "In Deutschland wird jede Frittenbude besser kontrolliert als die IT-Unternehmen" … oder so ähnlich.
In der jetzigen Form und auch mit Blick auf den öffentlich gewordenen Datenskandal bei Facebook&Co. (es dürften da noch einige mehr Skandale kommen…) kann ich nur immer wieder betonen, dass der beste Schutz der persönlichen Daten der ist, den andere erst gar nicht haben.
Somit kann ich von Windows 10 nur abraten, sowie auch von Facebook (da erfolgt sowieso mMn. kein Mehrwert für den Verbraucher) und Whatsapp, etc. und auch bei Gebrauch von Google sollte man Vorsicht walten lassen…
Bei Google bekommt man aber wenigstens noch etwas für seine Daten, auch wenn es dafür gute Alternativen gibt: Maps, Mail, Drive, Suchfunktion, Android AOSP, Chromium, etc….
Natürlich sollte man trotzdem auch bei Google vorsichtig sein, ich stelle alles mögliche auf so wenig Datenübertragung wie nötig aus, mache aber auch nix bis wenig über Android… Stellschrauben, die mir MS vorenthält.
Bin mal gespannt auf die Zeit nach Mai… DSGVO…
Update verhindert ohne Zustimmung der Übermittlung von Daten das man Windows 10 nutzen kann!?
Das ist bestimmt nicht der Richtige weg!