Schlagwort: Windows

Niederländische Datenschutzbehörde bewertet Windows 10 als nicht datenschutzkonform

27. Oktober 2017

Nach einem Bericht der niederländischen Datenschutzbehörde ist das Betriebssystem Windows 10 Home und Windows 10 Pro nicht datenschutzkonform. Damit kommt sie zu einem gegensätzlichen Ergebnis als das Bayerische Landesamt für Datenschutzaufsicht im September (wir berichteten).

Laut Behörde werde vor allem nicht klar genug informiert, welche Daten für welche Zwecke erfasst und ausgewertet werden, sodass die Datenverwendung für Nutzer nicht abschätzbar sei. Vor allem kann auch nicht dadurch auf eine wirksame Einwilligung geschlossen werden, dass eine Opt-Out-Funktion in den Datenschutz-Einstellungen angeboten (aber nicht genutzt wird) bzw. die Voreinstellungen nicht aktiv geändert werden.

Gesammelt und gespeichert werden URL von den besuchten Internetseiten, die Nutzung von Apps, aber auch Telemetrie-Daten wie Absturzberichte oder Nutzungsdauer von Eingabegeräten (wie Maus und Touchscreen). Wenn Opt-Out nicht gewählt worden ist, wird so personalisierte Werbung auf Windows, Edge und Apps angezeigt. Nach der Niederländischen Behörde macht Microsoft nicht deutlich genug, dass beim Surfen Daten gesammelt werden.

Laut der bayerischen Datenschutzaufsicht hingegen würde es ausreichen, dass die Datenflüsse kontrollierbar seien. Dennoch hatte auch das BayLDA festgehalten, dass durchaus noch Handlungsbedarf besteht, einer Nutzung von Windows 10 aber im Unternehmen mit Microsoft Gruppenrichtlinien und den richtigen Einstellungen nichts entgegensteht. Die europäischen Datenschutzbehörden beurteilten diese Einschätzung als verfrüht, vor allem da die Gruppenrichtlinien noch nicht vorgelegt worden sind.

Auf den Bericht der niederländischen Datenschutzbehörde hin, hat Microsoft angedeutet, dass alle rechtswidrigen Funktionen beseitigt werden sollen.

Kategorien: Allgemein
Schlagwörter: ,

Windows 10 Enterprise kann datenschutzkonform im Unternehmen eingesetzt werden

19. September 2017

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat die Datenströme in Microsofts Betriebssystem Windows 10 untersucht. Im 19-seitigen Prüfbericht kommen die Datenschützer zu dem Ergebnis, dass die Enterprise-Version des Betriebssystems mit gewissen Einstellungen an den Gruppenrichtlinien datenschutzkonform eingesetzt werden kann.

Im Mittelpunkt der Prüfung stand die automatisierte Übermittlung von Nutzerdaten an Microsoft. Auch sog. Telemetrie-Daten sorgten im Vorfeld für Kritik an Windows 10. Die Windows-Telemetrie ist meist voreingestellt und übermittelt im Hintergrund Daten über die Art der Nutzung an Microsoft. Dazu gehören technische Daten wie z.B. Absturzberichte oder Typ der verwendeten Hardware. Die vom Betriebssystem ermittelten Daten kann Microsoft u.a. für Werbung oder Produktverbesserungen verwenden.

Die Prüfer des BayLDA stellten fest, dass die Unternehmensversion von Windows 10 mit wenig Aufwand datenschutzkonform konfiguriert werden kann. Kritische Datenübertragungen lassen sich mit gezielten Einstellungen in den Windows Gruppenrichtlinien unterbinden. Die Prüfung des BayLDA fand in Abstimmung mit anderen europäischen Aufsichtsbehörden statt. Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO) wie z.B. „Privacy by Design“ bewerteten die Prüfer nicht.

Bis Mai 2018 plant Microsoft zwei neue Betriebssystem-Updates. Wie die Aufsichtsbehörden das aktualisierte Windows 10 mit Blick auf den Datenschutz und eventuell der DSGVO bewerten, bleibt abzuwarten.

Microsoft gewährt Einblick in Quellcode

3. Juni 2015

Mit der Eröffnung seines so genannten „Transparency Centers“ in Brüssel erlaubt Microsoft nach der Eröffnug einer solchen Einrichtung in Redmond, USA auch in Europa Einblick in sein Allerheiligste, den Quellcode von Windows. Wie heise.de berichtet, sollen -unter strenger Bewachung- Experten der Regierungen mittels „statischer und dynamischer Tools“ Analysen durchführen können.
Aus (deutscher) datenschutzrechtlicher Sicht ist dieser Vorgang vor allem deshalb interessant, weil im Rahmen von Auftragsdatenverarbeitungen die ergriffenen technischen und organisatorischen Maßnahmen (Anlage zu § 11 BDSG) vertraglich dokumentiert werden müssen. Da Microsoft-Produkte wohl in so gut wie allen Unternehmen zu finden sein dürften, könnten sich durch die Ergebnisse der Experten insoweit auch Anpassungsbedarf bei diesen Dokumentationen ergeben. Die früher üblichen Zertifizierungen nach Common Criteria EAL4+ sind nach Ansicht des BSI wegen gestiegener Komplexität jedenfalls nicht mehr einsetzbar.
Ob und inwieweit sich der nicht immer für seine Transparenz bekannte Microsoft-Konzern durch das „Transparency Centers“ tatsächlich in Karte schauen lässt, bleibt abzuwarten.

Kategorien: Allgemein
Schlagwörter: ,