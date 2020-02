Eine bereits im November 2019 von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) durchgeführte Analyse hat ergeben, dass die Übertragung von Telemetriedaten an Microsoft in der Enterprise-Version des Windows 10 November 2019 Update (Version 1909) komplett abschaltbar ist.

Im Vorfeld der Analyse hatte die DSK eine Unterarbeitsgruppe "Windows 10" des Arbeitskreises Technik gegründet. Ihr Ziel war es, die Telemetriedatenübermittlung an Microsoft zu untersuchen und eine datenschutzrechtliche Bewertung der Datenflüsse zu erstellen.

Die neu gegründete Facharbeitsgruppe führte die Laboranalyse von Windows 10 im Dezember 2019 durch. Wie aus dem Tätigkeitsbericht 2019 des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hervorgeht, erfolgte die Analyse in einer Testumgebung in Ansbach unter Federführung des BayLDA sowie des Bayerischen Landesbeauftragten für den Datenschutz. Anwesend seien außerdem Microsoft-Mitarbeiter gewesen, darunter auch mehr als 10 Personen "aus dem technischen Bereich, aus den USA", um bei der Analyse aufkommende technische Fragen zu beantworten.

Im Labor wurde laut BayLDA an einem Rechner ein Testszenario mit dem aktuellen Windows 10 Enterprise Version 1909 aufgebaut. Das Windows-10-System wurde mit den von Microsoft offiziell zur Verfügung gestellten Informationen und Tools so konfiguriert, dass das Telemetrielevel „Security“ eingestellt war. Ziel war es, möglichst alle Datenflüsse zu deaktivieren. Gleichzeitig seien alle Datenflüsse dieses Rechners innerhalb des Labornetzes mittels einer Man-in-the-Middle-Analyse aufgezeichnet worden.

Das Ergebnis der Analyse war, dass sich die Telemetriedatenerfassung und Übertragung des besagten Windows -10-Testrechners komplett deaktivieren ließ. Microsoft-Server seien lediglich kontaktiert worden, um aktuelle kryptografische Zertifikate abzurufen, die für einen tagesaktuellen sicheren Betrieb eines Windows 10-Systems (z. B. bei Rückruf eines ungültig gewordenen SSL-Wurzelzertifikates) erforderlich seien. Aber selbst diese Abfragen hätten sich laut BayLDA, wenn auch nicht empfehlenswert, durch angepasste Systemkonfigurationen unterbinden lassen.

Umsetzbarkeit in der Praxis entscheidend

Die Übertragung von Telemetriedaten durch Windows 10 ist schon seit längerer Zeit ein heiß diskutiertes Thema unter deutschen und europäischen Datenschutzexperten. Noch im November 2019 sahen die Datenschutzbeauftragten von Bund und Ländern wenig Spielraum, Microsofts Betriebssystem Windows 10 rechtskonform zu nutzen.

2018 hatte das Bundesamt für Sicherheit in der Informationstechnik eine Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 in Auftrag gegeben. Die damalige Analyse erfolgte mit Windows 10 Enterprise LTSC Version 1607. Im Hinblick auf die eingebaute Telemetriedatenübertragung schrieb das BSI schon damals, dass eine vollständige Unterbindung der Erfassung und Übertragung durch Windows technisch wohl möglich, für den einfachen Anwender allerdings nur schwer umzusetzen sei.

Das BayLDA kommt in seinem Tätigkeitsbericht seinerseits zu dem Schluss, dass, sofern sich das Ergebnis der aktuellen Analyse beim "realen Einsatz von Windows 10 bei Unternehmen" bestätigen sollte, "der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes" darstelle. Auf die bereits vom BSI angemerkte schwierige Umsetzbarkeit der kompletten Deaktivierung im Arbeitsalltag geht der Bericht allerdings nicht ein.

Der Anfang eines langen Weges

Für Datenschutzverantwortliche in Behörden und Betrieben dürfte die Labormessung in Zusammenarbeit mit Microsoft insofern eine positive Nachricht sein, als dass sie die Bereitschaft des Unternehmens zeigen, den Datenschützern entgegen zu kommen.

Die Erkenntnisse der Facharbeitsgruppe sind offenbar nur ein erster Schritt auf einem langen Weg. Den möglichen Inhalt einer Folgeanalyse der DSK hat die BayLDA in ihrem Tätigkeitsbericht schon angedeutet: Die datenschutzrechtliche Bewertung des Einsatzes von Windows Pro in (meist kleineren) Unternehmen. Denn Windows 10 Pro ermöglicht bekanntermaßen zwar die Reduzierung der an Microsoft übermittelten Daten, nicht aber die komplette Abschaltung.

