Windows 10 schickt so detaillierte Informationen nach Hause, dass der Einsatz in Firmen illegal sein könnte. Das konterkariert die sonstigen Bemühungen von Microsoft um Datenschutz, findet iX-Chefredakteur Jürgen Seeger.

Heinrich Heines Zeilen „Sie tranken heimlich Wein und predigten öffentlich Wasser“¹ sind zu einem geflügelten Wort geworden, das keiner Erklärung bedarf.

Reden wir zunächst vom Wasser-Predigen. Microsoft hat, wie auch an dieser Stelle bereits lobend erwähnt wurde, in einem langwierigen Rechtsstreit Durchhaltevermögen gezeigt und den Zugriff von US-Behörden auf Daten in europäischen Rechenzentren vorerst verhindert. Der Konzern hatte zudem durch seinen Umgang mit Sicherheitslücken Kompetenz demonstriert, was auch durchaus honoriert wurde – zumindest in Fachkreisen.

Ein Kommentar von Jürgen Seeger Jürgen Seeger ist Chefredakteur des iX Magazin für professionelle Informationstechnik. Er betreut den Bereich Publishing und kümmert sich um World Wide Web und anderes.

Rückfall

Doch mit Windows 10 wurden die Redmonder rückfällig und tranken wieder Wein – und das nicht gerade in homöopathischen Dosen. Schon die aggressiven Umstiegsaufforderungen, in deren Rahmen ohne Zustimmung des Benutzers Software auf dem Rechner installiert wurde, hatten die Verbraucherschützer auf den Plan gerufen. Nicht zu reden von dem Wust an Datenübermittlung, den die Zwangsregistrierung mit sich brachte, und das unsichere Zertifikats-Handling – Microsoft verzichtet dabei auf das Zertifikats-Pinning, was den verschlüsselten Datenverkehr kompromittierbar macht.

Damit nicht genug. Wie in dem Artikel Datenschleuder in der aktuellen iX 11/16 nachzulesen ist, übermittelt Windows 10 detaillierte Informationen über die Systemnutzung an die US-Server von Microsoft. Dieses Verhalten ist voreingestellt und lässt sich in den Versionen Home und Pro nicht vollständig abschalten. Das geht nur in der Enterprise-Version. Ob die entsprechenden Konfigurationsoptionen das auch tun, sei einmal dahingestellt.

Datenschützer untersucht

Zu den übermittelten Daten gehören neben der Systemkonfiguration ganze Klickpfade: in der Office-Software und die des Webbrowsers Edge. Auch wenn es in Deutschland insgesamt um den Arbeitnehmerdatenschutz nicht sehr gut bestellt ist – das könnte nicht nur mit Vorschriften des Bundesdatenschutzgesetzes kollidieren, sondern auch mit denen des Betriebsverfassungsgesetzes. Zumindest dann, wenn nicht die Enterprise-Version eingesetzt wird, sondern die Angestellten mit Windows 10 Home oder Pro arbeiten müssen. Denn eine detaillierte Überwachung des Arbeitnehmerverhaltens will wohlbegründet sein und ist mitbestimmungspflichtig.

Das Problem: Die juristischen Bestimmungen dazu sind nicht so glasklar, dass man ohne Weiteres von einem Rechtsbruch sprechen könnte. Derzeit prüft das für Microsoft Deutschland zuständige Bayerische Landesamt für Datenschutzaufsicht unter anderem, ob durch die gebotenen Konfigurationsmöglichkeiten ein datenschutzkonformer Firmeneinsatz von Windows 10 überhaupt möglich ist. Nicht erstaunlich wäre, wenn es für eine endgültige rechtliche Einschätzung auch wieder einmal eines Gerichtsverfahrens bedürfte.

Dass allerdings Microsoft mit dieser informationellen Geschwätzigkeit seine Bemühungen um seinen guten Ruf in Sachen Datenschutz konterkariert, kann man auch ohne Juristen feststellen.

¹ aus dem 1844 entstandenen Versepos: Deutschland, ein Wintermärchen (odi)