Es hat was von einem Dampfer, der mit voller Fahrt Kurs auf einen weithin sichtbaren Eisberg hält. Lange ist bekannt, dass Microsofts Betriebssystem Windows 10 sogenannte Telemetriedaten an Microsoft-Server sendet. Abstellen lässt sich das noch immer nicht. Das bringt mit Datenschutz befasste Behörden in Harnisch. „Mehr Transparenz!“ reicht Datenschützern als Lösung nicht und sie fordern „schleunigst“ Nachbesserung.

Obwohl schwere Sicherheitsbedenken nicht ausgeräumt sind, ist das Betriebssystem schon in der baden-württembergischen Landesdatenschutzbehörde im Einsatz. Auch andere Behörden in Bund, Ländern und Kommunen haben angefangen, ihre Computersysteme auf Windows 10 umzustellen.

Ursprünglich sollte Dataport, IT-Dienstleister mehrerer Bundesländer, die Systeme komplett von Microsoft abschotten. Doch dass weiterhin Datenreste verschlüsselt übertragen werden, konnte Dataport nicht verhindern, „ohne die Systemstabilität zu gefährden“, wie Microsoft mitteilte.

Der gegenwärtige Zustand widerspricht dem Eckpunktepapier der Bundesregierung über „Trusted Computing und Secure Boot“. Danach muss jeder Rechner in kritischen Bereichen uneingeschränkt kontrollierbar sein. Davon kann man nicht reden, wenn sie ohne Steuerungsmöglichkeit Daten transferieren.

Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte solche Übertragungen bei der Enterprise-Version festgestellt. Selbst durch Gruppenrichtlinien ließen sie sich nicht stoppen. Dennoch kam die Behörde zum Schluss, dass Unternehmen das System datenschutzkonform einsetzen können, wenn Microsoft diese Datenabflüsse aufklärt.

Drohen mit der Keule

Die Datenschutzbehörde von Baden-Württemberg wurde ebenfalls von ihrer Landesoberbehörde IT Baden-Württemberg (BITBW) mit Windows 10 ausgestattet. Ihr Leiter, Stefan Brink, droht damit, dass er mit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung am 25. Mai problematische Produkte auch im eigenen Hause verbindlich beanstanden könne.

Microsoft müsse schleunigst nachbessern und sich an die Datenschutzgrundverordnung halten, verlangt Brink. Er verlangt Transparenz und dass Anwender jede Übertragung deaktivieren können.

Dabei winkt Brink mit der Keule: „Ein Dienstleister, der diesen Anforderungen nicht genügen kann oder will, scheidet künftig aus dem Kreis derjenigen aus, mit denen ein datenschutzrechtlich Verantwortlicher kooperieren kann.“ In der Zwischenzeit sollen Systemadministratoren „dafür sorgen, dass möglichst wenig übertragen wird“.

Brink steht mit seiner Auffassung im Kollegenkreis nicht allein. Die nordrhein-westfälische Landesdatenschützerin Helga Block steht der Datenschutzkonferenz von Bund und Ländern vor. Sie sagt: „Sind Inhalt und Zweck eines Datentransfers nicht bekannt, so widerspricht es den Anforderungen an geeignete technische und organisatorische Maßnahmen, wenn die Kontaktaufnahme eines beliebigen verarbeitenden IT-Systems mit dem Hersteller erfolgt.“

Microsoft will es richten

Microsoft verspricht Abhilfe. Ende Januar stellte das Unternehmen Anwendern aus dem Windows-Insider-Programm das Werkzeug „Diagnostic Data Viewer“, mit dem diese sehen können, welche Daten zur Konzernzentrale übermittelt werden. Beim nächsten Windows-10-Update Mitte April soll es das für alle Enterprise-Nutzer geben. Auch sollen einzelne Telemetriedaten gelöscht werden können. Auf seiner Website informiert Microsoft darüber, welche Datenarten an Microsoft gesendet werden und wie sich die Übertragungen verwalten lassen. Home-Nutzer haben diese Möglichkeit noch nicht. Für sie sind aber Verbesserungen zu erwarten, da auch die niederländische Datenschutzaufsicht Verstöße gegen europäisches Datenschutzrecht monierte. Gruppenrichtlinien zum Beschränken des Datentransfers stehen für Windows 10 Home nicht und für die Pro-Version nur eingeschränkt zur Verfügung.

Transparenz über die Datentransfers herzustellen reicht Helga Block aber nicht. Sie will prüfen lassen, „ob der Datentransfer angemessen und insgesamt zulässig ist. Was auch heißt, dass zu klären wäre, ob der erfolgt und ob im Ausland ein angemessenes Datenschutzniveau gewährleistet ist.“

Der Sprecher der Bundesdatenschutzbeauftragten Andrea Voßhoff wird deutlicher. Dirk Hensel sagt, dass ein Datentransfer eines Betriebssystems an Server in einem Drittstaat ohne Rechtsgrundlage vermutlich sogar datenschutzwidrig sei.

EU-Justizkommissarin Vera Jourova hält derzeit am „Privacy Shield“ fest, das Datenübertragungen in die USA legitimiert. Angesichts des Facebook-Skandals stellte sie aber fest, dass die gegenwärtigen Regeln in den USA „schwächer“ seien als die der Europäischen Union. (mil@ct.de)