201511.08.

Windows 10 und der Datenschutz

Update 17.08.2015

Die Debatte um die Datenschutzeinstellungen von Windows 10 geht weiter. In einer aktuellen Untersuchung hat das Technik-Blog Ars Technica herausgefunden, dass Microsoft selbst dann Daten eines Windows 10 Systems sammelt, wenn der Nutzer alle Funktionen zur Kommunikation mit Microsoft abgeschaltet hat und den Computer nur mit einem lokalen Benutzerkonto verwendet (Even when told not to, Windows 10 just can’t stop talking to Microsoft).

Neben Verbindung zum Content-Delivery-Network stellte Ars Technica regelmäßige Übermittlungen an den Microsoft-Server ssw.live.com fest, der für Microsofts Cloud Dienst Onedrive sowie für andere Dienste verwendet wird. Obwohl sowohl Onedrive als auch die übrigen Windows Dienste im Rahmen der Untersuchung deaktiviert wurden, kam es zu Datenübermittlungen. Was für Daten dabei übermittelt wurden, konnte Ars Technica nicht feststellen.

Ähnlich verhielt es sich mit den Eingaben im Rahmen des Sprachassistenten Cortana und der Internetsuche, obwohl beide deaktivert wurden: Sobald etwas im Startmenü eingegeben wurde, wurde von der Webseite www.bing.com eine Datei namens threshold.appcache heruntergeladen, in der sich für Cortana relevante Informationen befanden. Dabei wurde u.a. eine zufällige eindeutige ID erzeugt und übermittelt, die auch nach einem Neustart des Systems noch vorhanden ist.

Vor dem Hintergrund des von Microsoft verfolgten Datenschutzregims stellt sich der datenschutzrechtkonforme Einsatz von Windows 10, insbesondere für Unternehmen (in Deutschland), als sehr problematisch dar.


Am 29. Juli 2015 hat Microsoft sein neues Betriebssystem Windows 10 veröffentlicht. Schon nach nur wenigen Tagen zeigen sich dabei erhebliche Defizite im Hinblick auf die Datenschutzeinstellungen, die im Folgenden kursorisch dargestellt werden sollen.

Microsoft hatte erst im Juli dieses Jahres seine Datenschutzbestimmungen aktualisiert und sich sehr weitgehende Recht hinsichtlich der Nutzerdaten eingeräumt. Insbesondere behält sich Microsoft das Recht vor, Daten über Inhalte und Nutzung eines Windows-10-Computers zu erheben und sie für zielgerichtete Werbung oder den Datenhandel mit Dritten zu nutzen. Zu diesem Zweck erstellt Microsoft für jede Windows 10 Installation eine sog. Werbe-ID und verknüpft diese zur Identifikation des Nutzers mit den von ihm verwendeten E-Mail Adressen bei App-Downloads und anderen Microsoft-Programmen. Des Weiteren ist auch die Standortbestimmung  standardmäßig aktiviert; der Zugriff auf die Kamera wird für Apps standardmäßig gewährt. Für die virtuelle Assistentin Cortana und deren persönliche Empfehlungen sammelt Microsoft Kontakte, aktuelle Kalenderereignisse, Sprach- und Handschriftmuster sowie den Eingabeverlauf, im Rahmen der Feedback- und Diagnosefunktion werden sämtliche verfügbaren “Diagnose- und Nutzungsdaten” standardmäßig übermittelt. Außerdem sammelt Microsoft standardmäßig Informationen zum Schreibverhalten der Nutzer, um die Eingabe- und Suchfunktionen “in der Zukunft zu verbessern”. Schließlich werden im Rahmen der Kontosynchronisieren standardmäßig der Browserverlauf sowie Passwörter für das WLAN und für Websites, auf denen man sich eingeloggt hat, an Microsoft übermittelt.

Zu welchen Zwecken diese Daten verwendet werden, ist in Microsofts Datenschutzbestimmungen sehr ausführlich beschrieben. Demnach setzt Microsoft alle persönlichen Daten die Nutzer preisgeben ein (als Beispiele führt Microsoft den Inhalt von E-Mails und andere private Mitteilungen oder Dateien in privaten Ordnern an), um seine Geschäft zu betreiben und die angebotenen Dienste bereitstellen zu können (einschließlich Verbesserung und Personifizierung), um Mitteilungen, einschließlich Werbematerial zu senden und um Werbung anzuzeigen.

Wer sicherstellen möchte, dass überhaupt keine Telemetriedaten an Microsoft übermittelt werden, kann dies bislang wohl nur manuell über die Bearbeitung der Registry erreichen [engl. Anleitung auf reddit.com].

Datenschutzrechtlich fragwürdig ist, dass Microsoft sich im Rahmen der (Express-)Installation die vorgenannten Rechte einräumt, ohne dabei transparent die ausdrückliche Einwilligung des Nutzers zu den einzelnen datenschutzrelevanten Optionen einzuholen. Im deutschen Datenschutzrecht besteht das Grundprinzip des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass zunächst jede Datenverarbeitung verboten ist, es sei denn, ein gesetzlicher Erlaubnistatbestand erlaubt sie. Als Erlaubnistatbestand regelt das Gesetz insbesondere die freiwillige und informierte Einwilligung des Betroffenen (sog. Opt-In). Bei der von Microsoft empfohlenen Expressinstallation wird diese Einwilligung nicht eingeholt.

Dagegen gehen die Datenschutzeinstellungen von Windows 10 standardmäßig von einer Vielzahl von Einwilligungen des Betroffenen aus und gestatten lediglich das Recht, einer entsprechenden Datenverarbeitung zu widersprechen (sog. Opt-Out). Insofern besteht ein Widerspruch zur bezweckten gesetzlichen Regelungen, die den Betroffenen vor einer unkontrollierten und übermäßigen Datenverarbeitung schützen soll. Entsprechendes gilt für die standardmäßige Übermittlung von personenbezogenen Daten des Nutzers zur Analyse auf microsofteigene Server. Es ist davon auszugehen, dass dabei auch Übermittlungen in die USA stattfinden. Auch diese Übermittlungen bedürfen einer gesetzlichen Erlaubnis, etwa der Einwilligung (Opt-In) des Betroffenen.

Zwar besteht in § 7 Abs. 3 UWG eine spezielle Regelung zum Einsatz des Opt-Out Konzepts. Dieses betrifft allerdings alleine den Empfang von Werbung durch Fax, E-Mail oder SMS. Unabhängig davon sind aber die erstmalige Erhebung der Daten beim Kunden sowie Datenverarbeitungen zu anderen Zwecken als der Werbung am datenschutzrechtlichen Verbot mit Erlaubnisvorbehalt zu messen.

Bisher bestand in der allgemeinen Wahrnehmung ein Unterschied zwischen „mobilen Betriebssystemen“ (Android, iOS) und der aus der Vergangenheit bekannten und gewachsenen stationären und autarke Natur von Windows als Betriebssystem. Anders als bei den “mobilen Betriebssystem”, erforderte die Nutzung eines stationären Betriebssystems bislang (optional ab Windows 8) keine Kontoanmeldung und somit keine immanente Nutzung von Cloud Diensten. Windows 10 bietet zwar die Möglichkeit, eine Vielzahl der aufgezeigten Datenübermittlung zu deaktivieren. Microsoft scheint sich aber insgesamt, wie schon mit Windows 8 angedeutet und durch die Voreinstellung zum Datenschutz in Windows 10 bestätigt, von dem bisherigen Grundprinzip eines stationären und autarken Betriebssystems abzuwenden.

Die Verbraucherzentrale Rheinland-Pfalz findet dafür recht drastische Worte:

Mit Windows 10 von Microsoft kommt ein Betriebssystem auf den Markt, das den PC in eine Art private Abhöranlage verwandelt. Nach Smartphones und Tablets erfolgt jetzt auch am heimischen Schreibtischrechner oder Notebook eine umfassende Beobachtung. Nutzer der Windows-Vorgängerversionen 7 oder 8 können die neue Software kostenlos erhalten. Alle Anwender bezahlen aber zusätzlich, nämlich durch die Preisgabe ihrer Daten.

Das Handelsblatt titelt: “Datenschützer kritisieren: Microsoft Windows 10 ist ein großes Schnüffel-Tool”.

Eine Beschreibung, wie das Windows 10 Update-Icon aus der Taskleiste entfernt werden kann, findet sich u.a. auf heise.de. Außerdem hat heise unter dem Titel Windows 10: Datensammelwut beherrschen eine Anleitung veröffentlicht, wie sich die die Datensammelei in Grenzen halten lässt.