Die Datenübertragung an Microsoft lässt sich mit der Windows 10 Enterprise-Version deaktivieren
Der Einsatz von Windows 10, insbesondere die Übermittlung von sogenannten Telemetriedaten von einem Windows 10 Rechner an Microsoft, beschäftigt die Datenschutzaufsichtsbehörden schon seit längerer Zeit. Aus diesem Grund hat die Datenschutzkonferenz eine Unterarbeitsgruppe des Arbeitskreises Technik „Windows 10“ gegründet, die eine datenschutzrechtliche Bewertung der Datenflüsse an Microsoft erstellen soll.
Diese Facharbeitsgruppe hat sich im Dezember 2019 zu einer Laboranalyse von Windows 10, die federführend von uns und dem Bayerischen Landesbeauftragten für den Datenschutz durchgeführt wurde, in Ansbach getroffen. Ebenfalls waren Mitarbeiter von Microsoft eingeladen (von denen über 10 Personen, überwiegend aus dem technischen Bereich, von Microsoft aus den USA gekommen sind), um alle technischen Fragen, die bei der Laboranalyse aufkommen könnten, zu beantworten.
Es wurde ein Testszenario mit einem Windows 10 Rechner, der eine Enterprise-Version (Version 1909) installiert hatte, derart aufgebaut, dass alle Datenflüsse von diesem Rechner noch innerhalb des Labornetzes mittels einer Man-in-the-Middle-Analyse aufgezeichnet wurden. Dabei wurde das System mit von Microsoft offiziell zur Verfügung gestellten Informationen und Tools so konfiguriert, dass das Telemetrielevel „Security“ eingestellt war und möglichst alle Datenflüsse deaktiviert werden konnten.
Im Rahmen dieser Labor-Analyse wurde festgestellt, dass die Telemetriedaten von einem Windows 10 Rechner mit der Enterprise-Version komplett deaktivierbar sind.
Ausschließlich Aufrufe an (Microsoft-)Server, die aktuelle kryptographische Zertifikate liefern, waren durch diese Konfiguration nicht abschaltbar, da diese für einen tagesaktuellen sicheren Betrieb eines Windows 10-Systems (z.B. bei Rückruf eines ungültig gewordenen SSL-Wurzelzertifikates) erforderlich sind. Auch diese Aufrufe können durch gezielte Systemkonfigurationen unterbunden werden, wenngleich ein solches Vorgehen aus Gründen der Sicherheit keineswegs empfehlenswert ist.
Vom Ergebnis konnte bei diesem Treffen im technischen Labor der Aufsichtsbehörde festgestellt werden, dass die datenschutzrechtlich kontrovers diskutierten Telemetriedaten bei Einsatz der Enterprise Version (und damit auch bei der Education-Version) im überprüften Szenario deaktivierbar sind.
Sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, dann stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar. Wie dagegen der Einsatz von Windows 10 Pro bei Verantwortlichen zu bewerten ist, bei dem die Telemetriedaten zwar reduziert, aber bekanntlich nicht komplett abgeschaltet werden können, könnte möglicherweise ein weiterer Arbeitsauftrag der Datenschutzkonferenz (DSK) werden.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks