Erst kürzlich haben Datenschützer Microsofts neues Betriebssystem erneut als „Spyware“ bezeichnet: Windows 11 kontaktierte nicht nur MSN- oder Bing-Server, sondern schickte auch Telemetrie-Daten an diverse Marktforschungs- und Werbeservices. Die Reaktion des Konzerns lässt sich indes damit zusammenfassen, dass Kunden sich selbst um ihren Datenschutz kümmern sollten.
Andreas E. Thyen, Präsident des Verwaltungsrates der LizenzDirekt AG, erläutert im folgenden Kommentar die Problematik mit den Betriebssystemen im Detail und verrät, wie Nutzer den Datenschutz in ihrer Organisation bestmöglich bewahren können.
Vor Kurzem hat mir ein Kunde erzählt, er müsse Windows Enterprise statt Windows Pro nutzen, weil der Landesbeauftragte für den Datenschutz in Niedersachsen das fordere. Ähnlich geht es gerade vielen Unternehmen und Behörden. Denn der Einsatz von Microsoft Windows 10 und 11 ist aus datenschutzrechtlicher Sicht nur unter bestimmten Bedingungen DSGVO-konform. Problematisch sind vor allem die Telemetriedaten, die Microsoft im Hintergrund sammelt. Deren Übermittlung lässt sich in Windows Enterprise unterbinden, indem man die Einstellung „Security“ wählt. In den Editionen Pro und Home gibt es diese Option dagegen nicht. Damit vermittelt Microsoft einmal mehr den Eindruck, dass sich das Unternehmen weniger um europäische Grundrechte schert und lediglich versucht, seine eigenen Interessen durchzusetzen.
Der rechtliche Hintergrund
Telemetriedaten können je nach Konfiguration personenbezogene Daten enthalten und unterliegen daher der DSGVO. Für ihre Übertragung, insbesondere in Drittländer, gelten folglich strenge gesetzlichen Auflagen. Im Falle von Windows reichen Microsofts Datenschutzbestimmungen nicht ohne weiteres aus, um die Anforderungen der DSGVO zu erfüllen. So fehlt zum Beispiel Transparenz über die Zwecke der Datenverarbeitung oder die Möglichkeit, Einfluss zu nehmen und Daten zu löschen. Die vom EuGH gegen das transatlantische Datenschutzabkommen Privacy Shield im Schrems II-Urteil angeführten Gründe dürften auch gegen das EU-US Data Privacy Framework streiten. Als amerikanisches Unternehmen unterliegt Microsoft nach wie vor dem Cloud Act und ist gezwungen, auf Anforderung der US-Behörden Daten unter Umständen herauszugeben, selbst wenn diese in Rechenzentren in der EU liegen.
„Spyware“ Windows 11
Dass Hersteller Telemetriedaten erheben, ist zunächst nicht ungewöhnlich. Solche Daten dienen in der Regel dazu, Informationen über die Leistung und Nutzung des Betriebssystems zu sammeln, Abstürze zu analysieren und die Sicherheit und Verfügbarkeit der Software zu verbessern. Für den Nutzer gleicht der Prozess jedoch einer Blackbox: Es ist nicht ersichtlich, welche Daten tatsächlich gesammelt und übermittelt werden – geschweige denn, wo sie landen. Um Licht ins Dunkel zu bringen, hat der PC Security Channel einmal im Labor untersucht, welche Datenverbindungen ein Windows 11 aufbaut, das frisch auf einem neuen Notebook installiert wurde. Das Ergebnis war derart alarmierend, dass die Experten Microsofts Betriebssystem sogar als „Spyware“ bezeichneten: Windows 11 kontaktierte nicht nur Windows-Update-, MSN- und Bing-Server, sondern schickte auch Telemetrie-Daten an diverse Marktforschungs- und Werbe-Services.
Das können Organisationen tun
Wie so oft verlagert Microsoft die Verantwortung auf die Kunden. Diese sind selbst in der Pflicht, für einen datenschutzkonformen Einsatz von Windows 10 oder Windows 11 zu sorgen. Doch der Softwareriese macht es ihnen nicht gerade leicht: Standardmäßig ist die Übertragung der Telemetriedaten bei bestimmten Versionen aktiviert, sodass Administratoren die Konfiguration ändern müssen. Zumindest in der Enterprise Edition ist das auch möglich. Die DSK (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) hat ermittelt, dass in der Telemetriestufe „Security“ keine personenbezogenen Daten übertragen werden. Bei Windows 11 Enterprise Edition heißt die entsprechende Einstellung „Diagnosedaten aus (Sicherheit)“ und kann nur über die Registry oder über eine Gruppenrichtlinie aktiviert werden.
Telemetrie ist nicht das einzige Problem
Wer glaubt, damit seien alle datenschutzrechtlichen Fragen gelöst, täuscht sich. Vor Kurzem hat das renommierte Computermagazin c’t einen weiteren Beweis für Microsofts Datensammelwut gefunden. Die Redakteure konnten nachweisen, dass die neue Outlook-Version, die mit dem 2023-Update von Windows 11 installiert wird, bei der Einrichtung IMAP-Zugangsdaten an die Microsoft-Server sendet. Dazu äußerte sich Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), sehr besorgt auf dem Kurznachrichtendienst Mastodon: „Die Meldungen über ein vermutetes Datensammeln von MS über Outlook sind alarmierend. Wir werden am Dienstag beim Treffen der europäischen Datenschutzaufsichtsbehörden die rechtlich dafür federführenden irischen Datenschutzbeauftragten um einen Bericht bitten.“
Microsoft stand in der Vergangenheit wiederholt wegen datenschutzrechtlicher Bedenken in der Kritik. Nicht umsonst wurde der Branchenführer schon zum zweiten Mal vom Bielefelder Datenschutzverein mit dem Big Brother Award für schlechten Datenschutz ausgezeichnet. Die Begründung: Das Unternehmen zwinge Kunden mit seiner großen Marktmacht dazu, es hinzunehmen, dass ihre Daten in die USA übertragen und in Echtzeit überwacht werden können. Microsoft lehnte den Award dankend ab und erwiderte, man erfülle die strengen EU-Datenschutzgesetze nicht nur, sondern übertreffe sie sogar. Dies kann angesichts der zahlreichen Vorkommnisse nicht ohne Ironie gewertet werden. Schließlich hat die DSK bereits Ende 2022 entschieden, dass der Einsatz von Microsoft 365 nicht rechtssicher ist. Den Super-GAU verzeichnete Microsoft aber kürzlich, als es sich von chinesischen Hackern den Master-Signing-Key für die Azure Cloud stehlen ließ. Dieser ermöglichte es den Cyberkriminellen, Zugangstoken für die Nutzerkonten nahezu aller Microsoft-Cloud-Dienste zu erstellen.
Der Weg zu mehr Unabhängigkeit
Nicht nur im Hinblick auf Datenschutz und Sicherheit sollten Unternehmen und Behörden sich dringend fragen, ob sie ihre ohnehin schon zu weit fortgeschrittene Abhängigkeit von Microsoft noch vorantreiben wollen. Am Ende geht es um nicht weniger als unser aller digitale Souveränität. Auch die wirtschaftliche Abhängigkeit, die durch die Cloud-Migration zunimmt, wird stetig riskanter. Denn im Abo-Modell sind Kunden dem Diktat der Anbieter und ihren kontinuierlichen Preissteigerungen wehrlos ausgeliefert. Immer mehr Kunden entscheiden sich daher dafür, statt einem reinen Cloud-Modell einen hybriden Ansatz zu verfolgen und On-Premises-Lizenzen in den Cloud-Infrastrukturen anderer Anbieter einzusetzen. Indem sie solche Perpetual-Lizenzen auf dem Sekundärmarkt erwerben, profitieren sie zudem von erheblichen Kostenvorteilen. Wer jetzt auf Windows 10 oder 11 umsteigen will, für den empfehlen sich gebrauchte Lizenzen von Windows 10 Enterprise Edition. Bis auf Weiteres können Kunden damit kostenfrei auf Windows 11 Enterprise Edition upgraden.