Windows 10 – Umgang mit Telemetriedaten
Laborprüfungen des BayLDA haben ergeben, dass die Übertragung von Telemetriedaten bei der Enterprise-Version von Windows 10 durch das Level „Security“ unterbunden werden kann. Allerdings sind grundsätzliche Fragen offen, die einzuordnen sind.
Seit dem Release von Windows 10 im Jahr 2015 werden insbesondere die Datenflüsse eines Windows-10-Rechners an Microsoft regelmäßig diskutiert. Insbesondere bei den sogenannten Telemetriedaten stellte sich schon früh die Frage, welche Inhalte diese haben und ob eine Übermittlung an Microsoft überhaupt datenschutzkonform ist.
Im Nachgang des Treffens wurden weitere systematische Laborsimulationen durchgeführt, bei denen bestätigt wurde, dass bei Nutzung der Einstellung „Security“ eine datenschutzrechtliche Übermittlung von Telemetriedaten unterbunden werden kann. Zeitgleich wurde in einem Kurztest des Bundesamts für Sicherheit in der Informationstechnik (BSI) und später einmal in einer erneuten Analyse des BayLDA ein Aufruf an „settings-win.data-microsoft.com“ festgestellt. Dieser gehört zu einem Microsoft-Server, über den Einstellungsdaten für mehrere Windows-10-Komponenten, darunter auch die Telemetrie, von Seiten Microsofts parametrisiert werden können. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich in einem Beschluss zu dem Aufruf an „settings-win.datamicrosoft.com“ positioniert und dargelegt, dass zur Unterbindung der Übermittlung personenbezogener Telemetriedaten neben dem Telemetrielevel „Security“ mittels vertraglicher, technischer oder organisatorischer Maßnahmen sicherzustellen ist, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.
Um die Fragestellung des settings-Aufrufes zu erhellen, wurde eine Erweiterung der Analysemöglichkeiten im IT-Labor des BayLDA umgesetzt, mit der festgestellt werden kann, von welchem Windows-Prozess ein Aufruf an den „settings-win.data-microsoft.com“ durchgeführt wird. So konnte unter erneut durchgeführten Laboranalysen und Einsatz des Pakets „Restricted Functionality Baseline“ von Microsoft weiterhin bestätigt werden, dass bei der Einstellung des Telemetrielevels „Security“ keine datenschutzrechtlichen Übermittlungen an die zur Telemetriefunktion von Microsoft gehörenden Server stattfinden. Ein im selben Laborsetup einzelner ausgelöster Aufruf an „settingswin.data-microsoft.com“ konnte des Weiteren einem Windows-Prozess zugeordnet werden, der nicht im Zusammenhang mit der Telemetriefunktion stand.
Vom Ergebnis bedeutet dies für bayerische Verantwortliche aus dem nicht-öffentlichen Bereich, dass nach jetzigem Kenntnisstand eine Unterbindung der Telemetriefunktion bei der Enterprise-Edition mittels Konfiguration des Telemetrielevels „Security“ als wirksam angesehen wird und keine weiteren Maßnahmen wie bspw. die Trennung von Windows-10-Arbeitsplatzrechnern vom Internet als erforderliche technische Maßnahme notwendig ist. Die Reduktion der Datenflüsse durch einen wohlüberlegten und ggf. angepassten Einsatz des Pakets „Restricted Functionality Baseline“ wird zusätzlich als Maßnahme für die Stellen empfohlen, die sich einen stabilen IT-Betrieb ohne Telemetrieunterstützung von Microsoft zutrauen.
Anzumerken ist, dass eine Unterbindung der Telemetriefunktion nicht zwingend gefordert wird – es muss nur dann wie bei anderen Datenübermittlungen die Rechtmäßigkeit der Datenübermittlung an Microsoft nachgewiesen werden.
Weitere Fragestellungen zu Windows 10, wie eine Deinstallationsmöglichkeit der Telemetriekomponente oder eine Einordnung der Home-/Pro-Versionen, sind in den Arbeitsplan der DSK aufgenommen und werden vom BayLDA mit begleitet.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks