Tatsächlich ist der datenschutzkonforme Einsatz von Windows 10 seit einiger Zeit Thema bei der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). 2019 wurde ein Prüfschema veröffentlicht, dass Windows 10-Nutzern die Einhaltung der datenschutzrechtlichen Vorgaben erleichtern soll. Im Anschluss hat eine Arbeitsgruppe die Untersuchung von Windows 10, insbesondere im Hinblick auf das Thema Telemetrie, fortgesetzt. Hierbei sollte herausgefunden werden, ob die Übertragung von Telemetriedaten durch eine entsprechende Konfiguration von Windows 10 unterbunden werden kann.
Insgesamt wurden drei Testszenarien untersucht, bei denen Konfigurationsmöglichkeiten der Enterprise-Edition von Windows 10 im Fokus standen, also der Variante, die sich an Unternehmen richtet. Ende November hat die DSK nun Ergebnisse in einem Beschluss bekanntgegeben: Lediglich unter der Einstellung "Windows Restricted Traffic Limited Functionality Baseline" und Telemetriestufe "Security" wurden keine Telemetriedaten an Microsoft übermittelt.
Aber auch in der Telemetriestufe "Security" wurde noch eine Verbindung zum Endpunkt settings-win.data.microsoft.com aufgebaut, wenn die Konfiguration „Windows Restricted Traffic Limited Functionality Baseline“ nicht genutzt wird. Microsoft hat laut DSK angegeben, dass es sich hierbei möglicherweise um einen Softwarefehler handelt und keine Telemetriedaten übertragen werden. Die Datenschützer halten diese Verbindung aber dennoch für bedenklich und klärungsbedürftig.
Grundsätzlich müssen Unternehmen, so die DSK, entweder einen Nachweis für die Rechtmäßigkeit der Übermittlung von Telemetriedaten an Microsoft erbringen oder die Übermittlung unterbinden. Da die im Testszenario genutzten Konfigurationsmöglichkeiten nur in der Enterprise-Edition vorhanden sind, müssen vor allem die Nutzer der Pro- und Home-Edition andere Maßnahmen ergreifen. Denkbar ist hier beispielsweise die Filterung der Internetzugriffe von Windows 10-Systemen um die Datenübertragung an Microsoft zu unterbinden.
Der langjährige Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein erläutert – auch mit Hinweis auf die Gesetzesforderung „Privacy by default“ (also der Datenschutzkonformität von Programmen im Auslieferungszustand): „Microsoft sollte die Konfigurationsmöglichkeiten in allen Windows 10 Editionen zur Verfügung stellen, das sehe ich genauso wie die DSK. Solange dies nicht der Fall ist, müssen andere Lösungen in der IT genutzt werden.“ Unternehmen, die Windows 10 verwenden, rät Dr. Voßbein sich in jedem Fall fachlich beraten zu lassen und ein eigenes Datenschutzkonzept zu entwickelt und konsequent umzusetzen.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de