{"id":226574,"date":"2020-01-03T00:27:00","date_gmt":"2020-01-02T23:27:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226574"},"modified":"2024-07-09T16:08:12","modified_gmt":"2024-07-09T14:08:12","slug":"windows-10-datenschutzsplitter-die-krux-mit-der-telemetrie","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/03\/windows-10-datenschutzsplitter-die-krux-mit-der-telemetrie\/","title":{"rendered":"Windows 10-Datenschutzsplitter: Die Krux mit der Telemetrie …"},"content":{"rendered":"

[English<\/a>]Wir haben Januar 2020, Windows 7 erreicht das End of Life und alle Welt soll auf Windows 10 wechseln \u2013 wenn es nach Microsoft geht. Nur mal kurz angemerkt: Die Leutchen, die hellauf begeistert auf alles von Windows 10 h\u00fcpfen, sollten das Stichwort Telemetrie im Hinterkopf behalten. Gerade mal wieder mitbekommen, dass selbst Anwendungen wie der Windows-Editor Notepad seine Aktivit\u00e4ten an Redmond meldet. Daher heute ein Artikel zum Thema 'Datenschutz bei Windows 10' \u2013 auch als Nachbereitung eines Beschlusses der Datenschutzkonferenz vom November 2019, die mir bisher durch die Lappen ging.<\/p>\n

<\/p>\n

\"\"Vorab: Das Thema, welches ich hier aufgreife, ist nicht wirklich neu. Ich habe ja hier im Blog mehrfach \u00fcber die Telemetrie in Microsoft-Produkten berichtet. Vom Datenschutzbeauftragten aus Baden-W\u00fcrttemberg gibt es sogar ein Dokument 'Datenschutzeinstellungen bei Windows 10<\/a>' mit dem Untertitel 'Wie Sie Windows 10 datenschutzfreundlich nutzen k\u00f6nnen'. Aber Hand aufs Herz, deren Papier hat den Stand Mai 2016 \u2013 also Anno Tobak und unbrauchbar.<\/p>\n

Aber gelegentlich fallen einige Puzzle-Teile ins Bild, so dass man dieses Thema einfach mal wieder aufbereiten kann. Genau dieser Zeitpunkt ist zum Jahresanfang, weil die Puzzle-Teile gestern und heute ins Bild gefallen sind.<\/p>\n

Kleiner R\u00fcckblick \u2026<\/h2>\n

Ich hatte vor einigen Stunden im Beitrag Betriebssystem-\/Windows Verteilung (Dezember 2019)<\/a> darauf hingewiesen, dass jeder vierte Windows-Nutzer sich einem Upgrade auf Windows 10 verweigert (ich vermute auch das Thema Telemetrie dahinter). Dort hatte ich auch einen Artikel aus den vdi nachrichten erw\u00e4hnt, der mir gestern beim Lesen eines Stapels alter Ausgaben zum Neujahrstag in die Finger fiel (hab die Seite gleich mal rausgerissen und auf den Sto\u00df 'nimm das mit ins B\u00fcro' gelegt. Ich bin eben ins Wohnzimmer gegangen und habe mir die herausgerissene Seite ins B\u00fcro geholt. Der Artikel vom 22. November 2019 tr\u00e4gt den Titel 'Windows 10 im Visier der Datensch\u00fctzer' scheint aber nicht \u00f6ffentlich abrufbar zu sein.<\/p>\n

Beschluss der Datenschutzkonferenz zum Windows 10 Datenschutz<\/h3>\n

Der Artikel thematisiert die Verabschiedung eines Pr\u00fcfschemas 'Datenschutz bei Windows 10<\/a>' vom November 2019 durch die Datenschutzkonferenz. Die Kollegen von heise hatten es am 12.11.2019 in diesem Artikel<\/a> aufbereitet.<\/p>\n

Zur Einordnung: Die Datenschutzkonferenz ist eine Zusammenkunft der unabh\u00e4ngigen Datenschutzbeh\u00f6rden des Bundes und der L\u00e4nder (DSK).<\/p><\/blockquote>\n

Das Thema 'Windows 10 Pr\u00fcfschema' ist mir seinerzeit durch die Lappen gegangen, weil da gerade Patchday war. Der Tenor von heise:<\/p>\n

Die Datenschutzbeauftragten von Bund und L\u00e4ndern sehen wenig Spielraum, Microsofts Betriebssystem Windows 10 rechtskonform zu nutzen.<\/p><\/blockquote>\n

In der Einleitung des Pr\u00fcfschemas meinen die Datensch\u00fctzer, dass dieses Pr\u00fcfpapier Verantwortliche, die Windows 10 bereits einsetzen oder dies beabsichtigen, in die Lage versetzen soll, eigenst\u00e4ndig die Einhaltung der rechtlichen Vorgaben der DSGVO in ihrem konkreten Fall zu pr\u00fcfen und zu dokumentieren. Allerdings ist das Ganze etwas in der Art 'wasch mir den Pelz, mach mich aber nicht nass' verfasst. Denn die Datensch\u00fctzer formulieren im Pr\u00fcfschema:<\/p>\n

Die Frage, ob \u201eWindows 10\" datenschutzkonform ist, kann n\u00e4mlich nicht pauschal beantwortet werden. Windows 10 ist der Begriff f\u00fcr eine Produktfamilie, bei der das eigentliche Betriebssystem nur noch einen Teil der gelieferten Funktionalit\u00e4t ausmacht, die sich zudem durch Updates fortlaufend ver\u00e4ndert.<\/p>\n

Von der konkreten Edition, der Version und der vorgenommenen Konfiguration h\u00e4ngen daher der Funktionsumfang und die Daten\u00fcbermittlungen an Microsoft ab. Die Bestimmung des genauen Pr\u00fcfgegenstands ist daher das Fundament f\u00fcr die datenschutzrechtliche Pr\u00fcfung.<\/p><\/blockquote>\n

Das ist sogar noch nachvollziehbar, da ein Windows 10 Pro anders als eine Enterprise oder eine Enterprise LTSC zu sehen ist. Allerdings wird es ab da einfach nur noch 'holprig' f\u00fcr Leute, die meinen, eine Checkliste zur Abarbeitung an die Hand zu bekommen. Die Datensch\u00fctzer schreiben:<\/p>\n

Dar\u00fcber hinaus m\u00fcssen Feststellungen dar\u00fcber vorliegen, unter welchen Umst\u00e4nden Windows 10 eingesetzt wird und welche Funktionen (z. B. Cortana oder Windows Defender) genutzt werden.<\/p>\n

Das bedeutet, dass eine Aufstellung dar\u00fcber vorliegen muss, welche Verarbeitungst\u00e4tigkeiten unter Nutzung von Windows 10 durchgef\u00fchrt werden und welche personenbezogenen Daten dort in welchem Umfang verarbeitet werden. Au\u00dferdem m\u00fcssen Erkenntnisse dar\u00fcber vorliegen, welche personenbezogenen Daten f\u00fcr welche Zwecke an Microsoft \u00fcbermittelt werden.<\/p><\/blockquote>\n

Da die Telemetriedaten verschl\u00fcsselt an Microsoft \u00fcbertragen werden, wei\u00df keiner, was an personenbezogenen Daten dort in welchem Umfang verarbeitet werden. Hier habe ich das Bild eines Luftballons vor mir, der da gerade mit viel hei\u00dfer Luft aufgeblasen wird. Ein Verantwortlicher muss also genau beschreiben, wie Windows 10 eingesetzt wird, und welche personenbezogenen Daten dort \u00fcbertragen werden, was er imho aber nicht kann. Da Windows 10 zudem 'as a service' daher kommt, st\u00e4ndig durch Apps angereichert wird und ab 2020 auch schon mal Neuerungen einfach so per Update in die aktuellen Builds flattern k\u00f6nnen, m\u00fcsste diese Pr\u00fcfung bei jedem (App- und Dienste-)Update erfolgen. Das ist f\u00fcr 'den Verantwortlichen' schlicht nicht handhabbar.<\/p>\n

Ballon mit hei\u00dfer Luft angepiekst<\/h3>\n

Daher nehme ich jetzt eine Nadel und piekse in den aufgeblasenen Ballon und schreibe: Leute, Windows 10 ist auf dieser Grundlage nicht datenschutzkonform handhabbar. Gut, ich bin da nur ein kleiner Blogger und hier gibt es die Kommentare wohlmeinender Zeitgenossen 'Herrgott, ihr alten Zauderer, steigt endlich auf ein modernes Betriebssystem um und gut ist'. Aber an dieser Stelle mache ich es mir jetzt einfach und zitiere die obersten Datensch\u00fctzer Deutschlands:<\/p>\n

Die Abarbeitung des nachfolgenden Pr\u00fcfschemas ist deshalb erforderlich, weil sich die \u00dcbermittlung von Daten an Microsoft in bislang keiner Edition und Version durch eine \u00c4nderung der Konfigurationseinstellungen komplett abstellen l\u00e4sst<\/strong> und sich das Kommunikationsverhalten und die Konfigurationsm\u00f6glichkeiten von Windows 10 mit neuen Versionen \u00e4ndern k\u00f6nnen.\"Es ist zun\u00e4chst Aufgabe des Verantwortlichen sicherzustellen und zu dokumentieren, dass die datenschutzrechtlichen Anforderungen beim Einsatz von Windows 10 jederzeit eingehalten werden\"<\/p><\/blockquote>\n

Der Ball liegt in eurem Feld: Als Datenschutzverantwortliche m\u00fcsst ihr sicherstellen, dass die datenschutzrechtlichen Anforderungen beim Einsatz von Windows 10 jederzeit eingehalten werden. Aber in keiner Edition von Windows 10 lassen sich das Kommunikationsverhalten und die Konfigurationsm\u00f6glichkeiten abstellen. Nun l\u00f6st mal dieses Problem der Art 'Quadratur des Kreises' \u2026.<\/p>\n

Falls noch wer zum Pr\u00fcfschemas 'Datenschutz bei Windows 10<\/a>' zus\u00e4tzliches Lesefutter braucht, auf datenschutz-beauftragter-info.de gibt es (neben diesem Altbeitrag<\/a>) diesen Artikel<\/a> und datenschutzpraxis.de hat diesen Beitrag ver\u00f6ffentlicht.<\/p><\/blockquote>\n

Ein Blick in die Datenschutzaufzeichnungen<\/h2>\n

Gut, das obige Vorgepl\u00e4nkel h\u00e4tte bereits Mitte November 2019 hier im Blog verhackst\u00fcckt werden m\u00fcssen. Den Grund, warum ich das verbeutelt habe, hatte ich oben erw\u00e4hnt. Macht aber nichts, denn dieses Internet sp\u00fclt mir einfach bestimmte Themen immer wieder in meine Timeline (Zeitstrahl). Gerade bin ich auf Twitter auf folgende Information gesto\u00dfen, die Tero Alhonen gepostet hat.<\/p>\n

\n

Notepad, really? pic.twitter.com\/WTA5JoReS7<\/a><\/p>\n

\u2014 Tero Alhonen (@teroalhonen) January 2, 2020<\/a><\/p><\/blockquote>\n