Windows-Betriebssysteme aus Datenschutzsicht immer noch problematisch

Schon 2017 hatte eine Untersuchung der niederländischen Datenschutzaufsicht (Dutch Data Protection Agency, DPA) Datenschutz-Mängel beim Microsoft-Betriebssystem Windows 10 festgestellt → Windows 10 im Fokus der Datenschützer. Insbesondere die Versionen Windows 10 Home und Windows 10 Professional wurden als bedenklich eingestuft.

Auf Datenschutzvorhalte folgen Nachbesserungen

Nach Verhandlungen mit der DPA besserte Microsoft bei den beanstandeten Betriebssystemversionen nach und überarbeitete und erweiterte etwa die Einstellungsmöglichkeiten zu den Datenschutz- und Privatsphäreneinstellungen. 

Microsoft sammelt weiter Nutzerdaten

Doch nach einer kürzlich durchgeführten neuen Untersuchung der Behörde gibt es immer noch Kritikpunkte. So sammle Microsoft aus der Ferne immer noch Nutzerdaten und verstoße damit „möglicherweise“ gegen die Datenschutzbestimmungen, bemängelt die DPA. Als problematisch wird etwa die Telemetriedatenerfassung in Windows 10 eingestuft, bei der etwa auch

• die Namen gestarteter und installierter Apps,
• Adressen aufgerufener Webseiten
• oder Informationen zu geöffneten Dokumenten

übertragen werden.

Überprüfung im für die Datenschutzaufsicht zuständigen Irland

Zuständig für die Datenschutzaufsicht gegenüber Microsoft ist mittlerweile Irland, da der US-Konzern hier seinen europäischen Firmensitz hat. Daher hat die DPA ihren Prüfbericht an die dortige Behörde, das Irish Data Protection Committee (DPC), weitergeleitet. Diese hat sich bereits mit Microsoft in Verbindung gesetzt und will die Kontakte nun vertiefen, um die Probleme im Detail zu erörtern.

Auch Office 365 steht in der Datenschutzkritik

Windows ist allerdings nicht das einzige Microsoft-Produkt, das von Datenschützern kritisiert wird. Auch das weit verbreitete Office 365 wird skeptisch gesehen.

• So hatte etwa der hessische Datenschutzbeauftragte erst im Juli die Ansicht vertreten, dass Office 365 in der Standardkonfiguration in hessischen Schulen nicht verwendet werden dürfe, da durch die Übermittlung von Telemetriedaten die Privatsphäre von Schülern und Lehrern verletzet werden könne.
• Mittlerweile hat sich die Behörde nach intensiven Beratungen mit Microsoft jedoch dazu entschlossen, den Einsatz von Office 365 unter bestimmten Voraussetzungen und unter dem Vorbehalt weiterer Prüfungen zunächst weiterhin zu dulden.

Ersatz für Deutschland-Cloud

Ein anderer genereller Kritikpunkt an der Nutzung von Microsoft-Cloud-Diensten betrifft die mögliche Speicherung personenbezogener Daten auf Servern in den USA bzw. außerhalb der EU, was als problematisch angesehen wird. Um diese Skepsis zu zerstreuen, hatte Microsoft 2015 zusammen mit der Deutschen Telekom die sogenannte Deutschland-Cloud eingeführt.

Hier werden die Daten ausschließlich auf Servern in Deutschland gespeichert, die von der Telekom betrieben werden und auf die auch nur die Telekom zugreifen kann. Somit kann Microsoft die Daten selbst nach einer Anordnung von US-Behörden gar nicht herausgeben.

Vor gut einem Jahr wurde dieser Dienst jedoch zurückgezogen und nicht mehr angeboten, lediglich Bestandskunden können diesen Dienst weiterhin nutzen.

Microsoft bietet seit Kurzem eigene Cloud-Server in Deutschland an

Als Ersatzlösung bietet Microsoft seit wenigen Tagen nun eigene Cloud-Server in Deutschland  an, die für verschiedene Dienste wie Microsoft Azure oder demnächst auch Office 365 genutzt werden sollen.

Allerdings gibt es hier einige offene Fragen, denn zumindest einige Kundendaten werden wohl auch weiterhin in die USA übertragen.

Zudem bleibt unklar, wie Microsoft sich verhalten wird, wenn US-Behörden die Herausgabe von Daten deutscher Kunden verlangen, denn durch die vorhandene Anbindung der in Deutschland betriebenen Server an das Microsoft-Netz ist auch von den USA aus jederzeit ein Zugriff auf die Daten auf den Servern in Deutschland möglich.