In den letzten Tagen ist vielerorts zu lesen, in welch massivem Umfang personenbezogene Daten durch Windows 10 gesammelt werden. Nach einem Beitrag der Verbraucherzentrale Rheinland-Pfalz etwa kommt das neue Betriebssystem einer Abhöranlage gleich.
Der Inhalt im Überblick
Welche Daten sammelt Windows 10?
Durch standardmäßig voreingestellte Funktionen wertet Microsoft u.a. folgende Daten aus:
- Namen
- Anschrift
- Alter
- Geschlecht
- Telefonnummer
- Standortdaten
- eingegebene Suchbegriffe
- aufgerufene Webseiten (Browserverlauf)
- Kontakte zu anderen Personen
- Gekaufte Artikel
Darüber hinaus werde jedem Endgerät eine eindeutige Identifikationsnummer zur Verwendung durch App-Entwickler und Werbenetzwerken zugeteilt.
Nutzung zu Werbezwecken
Allein zur Bereitstellung des Dienstes dürfte diese Masse an erhobenen Daten nicht erforderlich sein. Es liegt nahe und wird durch einen Blick in die Datenschutzbestimmungen bestätigt, dass Microsoft als Anbieter von Windows 10 diese Daten in erste Linie verwendet, um Werbung oder andere Angebote möglichst an die persönlichen Interessen der jeweiligen Nutzer anzupassen.
„Wir verwenden gesammelte Daten, um die Werbung auszuwählen, die Microsoft liefert – sowohl für eigene Dienste als auch für Dienste, die von Dritten angeboten werden. Die von uns ausgewählte Werbung kann auf Ihren aktuellen Standort, Suchkriterien oder die Inhalte basieren, die Sie sich gerade ansehen. Weitere Werbung zielt auf die Grundlage Ihrer wahrscheinlichen Interessen oder andere Informationen ab, die wir im Laufe der Zeit aus demographischen Daten, Suchanfragen, Interessen, Hobbys und Favoriten, Nutzungsdaten und Standortdaten über Sie erfahren haben – die wir als „interessenbezogene Werbung“ in dieser Stellungnahme klassifizieren.“
Möglichkeit der Deaktivierung?
Sollte während des Installationsvorgangs nicht der Expressweg gewählt werden, sollen die Einstellungen zur Privatsphäre bei der Installation angepasst und viele der obigen Datenerhebungen und -übermittlungen an Microsoft deaktiviert werden können. Gleiches sollte nachträglich über entsprechende Systemeinstellungen erreicht werden können. Anleitungen finden Sie etwa hier oder hier.
Jedoch lässt sich auch durch die Deaktivierung sämtlicher Funktionen die Datenübermittlung nicht vollständig verhindern. Warum dies so ist und welche Daten genau übertragen werden konnte oder wollte Microsoft auf eine entsprechende Anfrage von Ars Technica zumindest nicht endgültig beantworten.
Privacy by Default
Nachdem im Vergangenen Herbst ähnliche Meldungen in Bezug auf Apples OSX Yosemite zu lesen waren, zeigt sich außerdem wieder einmal, dass Unternehmen den Grundsatz „Privacy by Default“ (datenschutzfreundliche Voreinstellungen) nicht berücksichtigen.
Dieser Grundsatz folgt aus dem in § 3a BDSG geregelten Prinzip der Datensparsamkeit und bedeutet
„das standardisierte systemseitige Einrichten datensparsamer Grundeinstellungen mit dem Ziel, die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten von Beginn der Datenverarbeitung an auf das erforderliche Mindestmaß zu begrenzen. Erst in einem zweiten Schritt soll der Betroffene eigenverantwortlich entscheiden, ob und wenn ja, in welchem Umfang die bei ihm erhobenen oder durch ihn zur Verfügung gestellten Daten (zusätzlich) genutzt werden dürfen (BeckOK DatenSR/Schulz BDSG § 3a Rn. 60-69).“
Nach Ansicht des ehemaligen Bundesdatenschutzbeauftragten Peter Schaar ist dieser Grundsatz zum Schutz der Betroffenen erforderlich:
„Viele Nutzer verfügen nur über beschränkte IT-Kenntnisse und sind daher nicht in der Lage, die einschlägigen Sicherheitsmaßnahmen selbst zu ergreifen, um ihre eigenen oder die personenbezogenen Daten Dritter zu schützen. Daher ist im Zusammenhang mit diesen IT-Verfahren stets ein Grundschutz erforderlich.“
Warten auf Datenschutz-Grundverordnung
Bislang kommt der Vorschrift des § 3a BDSG und damit auch den Grundsätzen „Datensparsamkeit“ und „Privacy by Default“ lediglich eine Appellfunktion zu. Weder ist eine Verpflichtung für verantwortliche Stellen geregelt noch können Verstöße gegen diese Grundsätze sanktioniert werden.
Es ist daher sehr zu begrüßen, dass eine Verpflichtung verantwortlicher Stellen zu datenschutzfreundlichen Grundeinstellungen nach derzeitigem Stand in der EU-Datenschutz-Grundverordnung geregelt werden soll.
Ernstgemeinte Frage:
Wenn ich eine App schreibe, die diese ganzen Daten von Usern abgreift, komme ich vor Gericht und gehe vielleicht ins Gefängnis. Wenn Microsoft es macht, passiert nichts. Warum ist das so? Warum darf Microsoft legal Spyware vertreiben?
Je mehr ich über Windows 10 lese, desto fassungsloser werde ich angesichts der ungeheuerlichen Dreistigkeit, mit der einem hier ein Botnet mit Keylogger, Passwortklau und komplettem Remote Access als normaler Teil eines OS unterzuschieben versucht wird. Der Kunde selbst ist das Produkt, das verkauft werden soll.
Im Dez. 2017 – nun ist es fünf vor 12 Uhr und Microsoft hat mit seinem Update 1709 wieder mit zahlreichen weiteren Einstellungen den Datenklau von Rechnern vorangetrieben. Per Gesetz gilt jedoch: Privacy by design und -Privacy by default- verbindlich einzuhalten. Ich frage mich ob Microsoft Software nach dem 25.05.2018 noch verkauft werden darf.