Zum Hauptinhalt springen
Stellungnahme

Unternehmen und Behörden lehnen die Nutzung von Windows 10 derzeit ab

(Stellungnahme des Präsidiumsarbeitskreises Datenschutz und IT-Sicherheit, September 2015)

Wer Windows 10 installiert, akzeptiert damit die Datenschutzbestimmungen von Microsoft, die dem Hersteller weitgehende Rechte einräumen, insbesondere wenn die Installation unter Nutzung eines Microsoft-Kontos erfolgt. (1) In diesen Datenschutzbestimmungen wird explizit darauf hingewiesen, dass je nach den verwendeten Diensten und Funktionen eine Vielzahl von Daten, u.a. demographische Daten ( z.B. Alter und Geschlecht), Kontakte und Beziehungen, Standortdaten, Inhalte von Dokumenten, Fotos, Musik oder Videos gesammelt werden. (2)  Nach den Bedingungen des Servicevertrags tritt der Benutzer dabei sogar unter bestimmten Umständen seine Rechte an diesen Daten an Microsoft ab. (3) 

Während die Nutzung dieser Daten z.T. notwendig ist, um die angeforderten Dienste erbringen zu können, sind weitere Nutzungsarten als bedenklich oder sogar den Datenschutzgesetzen widersprechend einzuordnen. Dazu gehört insbesondere die Nutzung für Werbung, sowohl durch Microsoft selbst als auch durch Dritte, an die diese Daten weitergeleitet werden (4), sowie die Speicherung dieser Daten auf Servern, die sich auch außerhalb der EU befinden können.

Kritisch ist dabei zu sehen, dass bei der Installation von Windows zwar die Möglichkeit angeboten wird, die Übermittlung einzelner Datenarten abzulehnen, dass jedoch zunächst ein Expressmodus angeboten wird, in dem die Übermittlung eines großen Teils dieser Daten ohne genauere Spezifikation gestattet wird. Damit werden erfahrungsgemäß sehr viele Benutzer dazu verführt, ohne weitere Überprüfung dem Hersteller Nutzungsrechte einzuräumen, die genau kontrolliert werden sollten.

Dies widerspricht klar § 4 Bundesdatenschutzgesetz (BDSG), sowie insbesondere auch den Anforderungen, die §4a BDSG, Abs. 1 an die Einwilligung zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten stellt (vorgeschriebenes Opt-in). Anderslautende Allgemeine Geschäftsbedingungen Microsofts dürften es damit schwer haben, einer gerichtlichen Kontrolle dieser Geschäftsbedingungen anhand von § 307 Abs. 2 Nr. 1 und 2 BGB Stand zu halten.

Verschärft wird diese Datenrisikolage noch dadurch, dass selbst im Falle einer spezifischen Ablehnung von Datenfreigaben bei der Installation von Windows 10 unter Umständen bei nachträglich installierten Aktualisierungen des Systems (Patches) manche Datenübermittlungen wieder zugelassen werden, ohne dass der Benutzer darüber informiert wird. (5) In der Home- und Pro-Version des Systems lässt sich die Installation dieser Aktualisierungen erst gar nicht abschalten. (6) Außerdem ist durch eine mangelhafte Prüfung von Sicherheitszertifikaten derzeit nicht sichergestellt, dass die betreffenden Daten wirklich an Microsoft und nicht an einen unberechtigten Dritten, der sich dazwischen schalten könnte (sogenannter Man-in-the-Middle Angriff), weitergeleitet werden. (7)

Im Rahmen der sogenannten WLAN-Optimierung können darüber hinaus automatisch Zugangsdaten zu bekannten WLAN-Netzwerken an die Kontakte eines Benutzer weitergeleitet werden, so dass die durch diese Kontakte identifizierten Benutzer Zugriff auf das eigene WLAN erhalten. (8)

Um eine datenschutzkonforme Nutzung von Windows 10 sicherzustellen, müssen die Nutzer bei der Installation eine Reihe spezifischer, für viele technisch und juristisch weniger affine Personen schwer verständliche Auswahlen treffen, also unerwünschtes Verhalten per Opt-Out explizit abschalten, und regelmäßig kontrollieren, ob diese Einstellungen immer noch gelten. Es gibt zwar inzwischen vielfältige Hilfestellungen, wie sich die Übermittlung von Daten einschränken lässt, doch packen diese nicht das Übel an der Wurzel, sondern mildern die Datenschutzverstöße nur ab. (9), (10)

Ein Einsatz von Windows 10 zur Verarbeitung personenbezogener Daten - genauso auch eine Nutzung zur Verarbeitung von betrieblichen, jedenfalls geheimhaltungsbedürftigen Daten - erscheint vor diesem Hintergrund unverantwortlich. Aus diesem Grund überprüft z.B. derzeit der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, inwiefern die Datenbearbeitungen bei Windows 10 mit dem Datenschutzgesetz vereinbar sind. (11) Die Verbraucherzentrale Rheinlandpfalz bezeichnet sogar PCs mit Windows 10 als „private Abhöranlagen“ (12) und auch Staatsekretär Billen vom Bundesjustizministerium kritisiert eine ganze Reihe „aus Verbrauchersicht bedenklicher Punkte“. (13)

Mit hoher Wahrscheinlichkeit ist zu erwarten, dass die meisten privaten Nutzer, aber auch Administratoren in kleinen und mittleren Unternehmen mit der Komplexität und dem Aufwand der erforderlichen Konfiguration überfordert sind und so die Vertraulichkeit der verarbeiteten Daten nicht gewährleistet werden kann. (14)

Ein Einsatz von Windows 10 zur Verarbeitung wichtiger Geschäftsdaten und/oder personenbezogener Daten erfordert, dass

  1. das derzeitige Verhalten des Systems durch ein Opt-In Modell ersetzt wird, bei dem jede Übermittlung personenbezogener Daten explizit durch den Benutzer autorisiert werden muss, während alle Voreinstellungen bei Installation und Konfiguration zunächst eine solche Übermittlung verhindern; 
  2. sichergestellt ist, dass ein Abgreifen der Daten durch Dritte durch eine wirksame Sicherung der Kommunikation verhindert wird; 
  3. dem Anwender durch eine detaillierte Dokumentation übersichtlich – aber gleichwohl im Detail - beschrieben wird, welche Daten bei Wahl der einzelnen Optionen übermittelt werden, und Microsoft nachweist, dass ohne Autorisierung überhaupt keine Daten an den Hersteller oder an Dritte übertragen werden.

https://privacy.microsoft.com/de-de/privacystatement/
https://edri.org/microsofts-new-small-print-how-your-personal-data-abused/
https://www.microsoft.com/de-de/servicesagreement/ (Abschnitt 2 „Ihre Inhalte“)
https://privacy.microsoft.com/de-de/privacystatement/(Abschnitt „Wie Wir Personenbezogene Daten Nutzen: Werbung“)
http://www.inside-it.ch/articles/41194
http://www.heise.de/newsticker/meldung/Microsoft-praezisiert-Plaene-fuer-Funktions-Updates-bei-Windows-10-2748073.html
http://www.heise.de/ix/meldung/Windows-10-Gefaehrlicher-Zertifikats-Wirrwarr-2776810.html
http://www.heise.de/newsticker/meldung/Windows-10-Datensammelwut-beherrschen-2774941.html
http://www.tagesanzeiger.ch/digital/computer/So-treiben-Sie-Windows-10-das-Spionierenaus/story/28038017
10 http://www.sueddeutsche.de/digital/privatsphaere-einstellungen-so-schuetzen-sie-ihre-daten-bei-windows-1.2595146
11 http://www.inside-it.ch/articles/41143
12 https://www.verbraucherzentrale-rlp.de/windows-10---Ueberwachung-bis-zum-letzten-klick-1
13 http://www.wiwo.de/unternehmen/it/microsoft-staatssekretaer-billen-windows-10-istbedenklich/12183460.html
14 http://www.sueddeutsche.de/digital/windows-vertrauter-spion-1.2594765