{"id":183252,"date":"2016-10-31T09:47:16","date_gmt":"2016-10-31T08:47:16","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=183252"},"modified":"2024-07-12T11:52:45","modified_gmt":"2024-07-12T09:52:45","slug":"windows-10-und-das-datenschutzproblem-in-firmen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/10\/31\/windows-10-und-das-datenschutzproblem-in-firmen\/","title":{"rendered":"Windows 10 und das Datenschutzproblem in Firmen"},"content":{"rendered":"

Windows 10 ist nun ja bereits \u00fcber ein Jahr verf\u00fcgbar und d\u00fcrfte auch langsam in Firmen einziehen. Bereits 76% der Windows 10-Rechner laufen mit dem Anniversary Update, wie man hier<\/a> nachlesen kann. Was aber bisher wenig thematisiert wird: Ist der Einsatz von Windows 10 im Business-Bereich eigentlich mit dem deutschen (Datenschutz- und Mitbestimmungs-) Recht konform. Stichworte sind Telemetriedatenerfassung, Cortana und die Cloud-Anbindung samt den dort erfassten Daten. Hier eine Bestandsaufnahme und einige Gedanken.<\/p>\n

<\/p>\n

\"\"Das Thema Telemetriedatenerfassung wurde hier Blog zwar mehrfach (auch in Kommentaren) thematisiert. Und ich hatte auch darauf hingewiesen, dass ich den Einsatz von Windows 10 in sensitiven Bereichen im gesch\u00e4ftlichen Umfeld nicht empfehle bzw. dass IT-Entscheider die Entscheidung zur\u00fcckstellen sollten.<\/p>\n

Einige heise.de-Artikel zum Anf\u00fcttern<\/h3>\n

Neue Nahrung hat das Thema \"Datenschutz\" bei Windows 10 durch mehrere heise.de-Artikel erhalten. Auf den von heise.de veranstalteten Internet Security Days 2016 hielt Lukas Grunwald, CTO der Hildesheimer Security-Beratung dn System, den Vortrag ISD 2016: Windows 10 \u00fcbermittelt haufenweise pers\u00f6nliche Daten<\/a>. Tenor:<\/p>\n

Umfang und Art der zwischen Windows-10-Installationen und der Microsoft-Cloud \u00fcbermittelten Daten d\u00fcrften deutschen und EU-Datenschutzvorschriften sowie dem Betriebsverfassungsgesetz widersprechen.<\/p><\/blockquote>\n

Ich selbst bin nicht auf den Internet Security Days gewesen, habe aber das Thema am Rande weiter verfolgt. Vorige Woche gab es dann bei heise.de den Anrei\u00dfer Datenschutz: Windows 10 k\u00f6nnte Arbeitnehmerrechte verletzen<\/a>, sowie den Kommentar Kommentar: Datenschleuder Windows 10 \u2013 Wasser und Wein<\/a>. Auch diese zwei Artikel sind aber lediglich Teaser.<\/p>\n

Butter bei die Fische \u2013 das macht die Datenschleuder Windows 10<\/h3>\n

Der wesentlich interessantere Teil ist der Artikel Datenschleuder<\/a> von Lukas Grunwald in der heise-Zeitschrift iX, der \u00fcber den obigen Link auch online abrufbar ist. In diesem Artikel weist der Autor \u00fcber ausgewertete Daten\u00fcbertragungen nach, dass Cortana bei Anfragen auch Anwendungspfade \u00fcbermittelt (muss es, um ggf. eine Anwendung aufzurufen).<\/p>\n


\n(Quelle: heise.de<\/a>, Daten\u00fcbertragung von Cortana)<\/p>\n

Obiges Foto zeigt einen Mitschnitt von Cortana, wo ein Pfad \u00fcbertragen wird. Lukas Grunwalds Fazit: Es werden regelm\u00e4\u00dfig Telemetriedaten \u00fcber die Rechnerverwendung, Cortana-Anfragen und aufgerufene URLs in die Microsoft-Cloud \u00fcbermittelt. Gleiches gelte, laut Lukas Grundwald, f\u00fcr WLAN-Schl\u00fcssel, User-IDs und Passw\u00f6rter. Im Artikel weist der Autor nach, was wo erfasst und telemetriert wird und wie sich das Sicherheits- und Datenschutztechnisch seit 2008 verschlechtert hat.<\/p>\n

Ist Windows 10 mit dem deutschen Recht kompatibel?<\/h3>\n

Der iX-Artikel endet mit der spannenden Frage, ob die Art und Umfang der in die Cloud bzw. an Microsoft \u00fcbermittelten Daten \u00fcberhaupt mit deutschem Recht in Einklang zu bringen ist.<\/p>\n

So findet sich im heise.de-Kommentar<\/a> die Information, dass die \u00dcbermittlung von Daten durch Windows 10 sowohl mit den Vorschriften des Bundesdatenschutzgesetzes kollidieren, als auch Probleme im Hinblick auf das Betriebsverfassungsgesetze aufwerfen k\u00f6nnte. Problem ist, dass die durch diese Gesetze definierte Rechtslage nicht ganz klasklar ist.<\/p>\n

Es w\u00e4re schon skurril: Im Rahmen der Mitbestimmung lehnen Betriebsr\u00e4te in der Regel Betriebsvereinbarungen ab, in denen Arbeitnehmer per Software in dem kontrolliert und \u00fcberwacht werden, was sie tun. Und mit Windows 10 k\u00e4me so etwas durch die Hintert\u00fcr in die Betriebe.<\/p><\/blockquote>\n

Windows 10 Home und Windows 10 Pro k\u00f6nnen, nach meiner Lesart, wegen der nicht konfigurierbaren Einstellungen zur Daten\u00fcbertragung nicht rechtskonform betrieben werden. Besser soll es um Windows 10 Enterprise bestellt sein, welches aber nur Volumenlizenzkunden bereitgestellt wird. In diesem Foren-Kommentar<\/a> bei heise.de behauptet ein Nutzer, dass selbst bei der Windows 10 Enterprise LTSB eine Daten\u00fcbertragung stattfinde.<\/p>\n

Jedenfalls untersucht das Bayerische Landesamt f\u00fcr Datenschutzaufsicht derzeit, ob ein datenschutzkonformer Einsatz von Windows 10 \u00fcberhaupt m\u00f6glich ist. Wie seht ihr das? Irgendwelche Stimmen aus dem Kreis der Betroffenen?<\/p>\n

Abschlie\u00dfende Gedanken<\/h3>\n

Im Artikel Datenschleuder<\/a> geht der Autor darauf ein, dass Office 2013- und 2016-Programme ebenfalls Telemetriedaten \u00fcbermitteln, wobei dort der gesamte Pfad des gespeicherten Dokuments nebst zugeh\u00f6rigen Daten wie Dateiformaten, Titel und Autor zu den Microsoft-Rechenzentren in den USA \u00fcbertragen. So etwas geht gar nicht \u2013 weder vom Betriebsverfassungsgesetz noch vom Datenschutz her.<\/p>\n

Stell dir vor, jemand arbeitet in einer Firma und ist f\u00fcr Industriespionage interessant. Ob die Daten bei Microsoft sicher sind? Oder jemand ger\u00e4t f\u00e4lschlich oder berechtigt auf irgendwelche US-\"Terrorlisten\" \u2013 ob der US-Justiz und dem US-Geheimdienst der Zugriff verwehrt wird? Die alte Erfahrung ist: Sobald Daten gesammelt wurden und den Rechner verlassen haben, hast Du keine Kontrolle mehr. Einfach einen Blick in die Link-Liste am Artikelende werfen (Stichwort: AOL-Datenskandal, Yahoo).<\/p>\n

Gut, kann man als Aluhut-Tr\u00e4gertum abtun. Aber man kann sich auch anschauen, was Microsoft in letzter Zeit an Taten gezeigt hat. Gab es nicht mal die Phase des Zwangs-Upgrades auf Windows 10, wo Microsoft sich einen feuchten Dreck um juristische Finessen oder die aufziehenden Shitstorms gek\u00fcmmert hat. Da ist zudem dieses unselige \"Windows as a service\", bei dem alle paar Monate ein Feature-Upgrade rausgekippt wird. Da stellten die Leute fest, dass die Privatsph\u00e4reneinstellungen einfach mal gekippt wurden. Anleitungen<\/a>, wie von meinem Autoren-Kollegen Ed Bott, sind da die ber\u00fchmte \"wei\u00dfe Salbe\", die gut ausschaut, aber den Placebo-Effekt setzt. So etwas ist ganz fix ausgehebelt und auch Gruppenrichtlinien sind von Microsoft f\u00fcr Windows 10 Pro schon mal beschnitten worden.<\/p>\n

Was zuk\u00fcnftig noch kommt, steht in den Sternen. St\u00e4ndig wird die Telemetriedatenerfassung durch Updates erweitert. Firmen k\u00f6nnten sich sogar am Windows Upgrade Analytics Dienst anmelden und auf die erfassten Telemetriedaten zugreifen. Wer will da als Datensch\u00fctzer einen Blanko-Scheck ausstellen, dass da die angezeigten Daten f\u00fcr alle Ewigkeiten konform zum Datenschutz- und Mitbestimmungsrecht sind?<\/p>\n

Grunds\u00e4tzlich prallen hier zwei Welten aufeinander, die auch bei CETA, TISA und TTIP f\u00fcr Aufregung sorgen (siehe auch\u00a0Schleift TiSA Datenschutz, IT-Sicherheit und Netzneutralit\u00e4t?<\/a>). In den USA regelt man nichts und l\u00e4sst die Firmen probieren \u2013 nur wenn es schief geht, wird eingegriffen. In Europa gilt das Vorsorgeprinzip, nachdem geregelt wird, was geht. Schaut man sich die Entwurfs-Philosophie von neueren Microsoft-Produkten wie Windows 10, Office 2016 etc. an, spiegelt sich das wunderbar wieder. Da ist nix mehr konfigurierbar \u2013 alles, was in den USA geht, soll auch den Rest der Welt zwangsbegl\u00fccken. Dass man damit gegen die Wand f\u00e4hrt, scheint das momentane Microsoft-Management nicht zu interessieren. Erst wenn es richtig weh tut, k\u00f6nnte man einlenken \u2013 die Geschichte wiederholt sich.<\/p>\n

Im Hinblick auf die oben erw\u00e4hnte Pr\u00fcfung von Windows 10 durch das Bayerische Landesamt f\u00fcr Datenschutzaufsicht noch ein abschlie\u00dfender Gedanke: Im Grunde k\u00f6nnen die nur Windows 10 LTSB-Varianten \u00fcberpr\u00fcfen und ggf. dort einen Art Unbedenklichkeitsbescheinigung ausstellen. Bei den anderen Varianten kann sich die Basis ja binnen weniger Monate \u00e4ndern, so dass eine Freigabe quasi einem Persilschein (nix sehe, nix h\u00f6re, nix sage) gleichen w\u00fcrde. Die \u00e4lteren Blog-Leser werden sich erinnern, dass man fr\u00fcher eine Zertifizierung f\u00fcr dieses oder jenes brauchte, um Produkte einzusetzen. Mir ist die C2-Zertifizierung f\u00fcr Windows NT (lange ist's her) in Erinnerung<\/a> geblieben. Bei Windows 10 k\u00f6nnte es eine solche Zertifizierung, in meinen Augen, nicht mehr geben, weil sich die Basis des Betriebssystems st\u00e4ndig \u00e4ndert. Das ist also ein massiver Paradigmen-Wechsel \u2013 wenn ich das anmerken darf. Und das Schlimme: F\u00fcr Microsoft ist es nicht mehr relevant, da man dort das Heil in der Cloud sucht (siehe The cloud will absorb Windows (and the rest)<\/a><\/p>\n

Aus dieser Sicht w\u00fcrde ich es f\u00fcr wenig ratsam halten, Windows 10 in sensitiven Bereichen wie bei \u00c4rzten, Notaren, Rechtsanw\u00e4lten, Insolvenzverwaltern, Therapeuten, Seelsorgern etc. einzusetzen. Und auch im restlichen Firmenumfeld d\u00fcrfte die Entscheidung \"pro Windows 10\" auf hei\u00dfen Pr\u00e4missen beruhen. Das Sch\u00f6ne: Am Ende hat der Gesetzgeber den Gesch\u00e4ftsf\u00fchrer als Verantwortlichen \"am Arsch\".<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nPrivatsph\u00e4re beim Suchen wahren<\/a>
\nYahoo hat E-Mails f\u00fcr FBI und NSA gescannt<\/a>
\nFranz\u00f6sische CNIiL fordert von Microsoft Stopp der Windows 10-Datenerfassung<\/a>
\nMicrosoft wegen Windows 10 Zwangs-Upgrade abgemahnt<\/a>
\nPublic Cloud: Risiko f\u00fcr Angestellte<\/a>
\nWindows 10: Telemetrie f\u00fcr Update-Steuerung zwingend?<\/a>
\nMalicious Software Removal Tool schickt auch Telemetriedaten<\/a>
\nWann Kompatibilit\u00e4ts-Updates zur Telemetriedatenerfassung Sinn machen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Windows 10 ist nun ja bereits \u00fcber ein Jahr verf\u00fcgbar und d\u00fcrfte auch langsam in Firmen einziehen. Bereits 76% der Windows 10-Rechner laufen mit dem Anniversary Update, wie man hier nachlesen kann. Was aber bisher wenig thematisiert wird: Ist der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[451,5529,4378],"class_list":["post-183252","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-datenschutz","tag-telemetriedaten","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/183252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=183252"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/183252\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=183252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=183252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=183252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}