header icetemplate

Windows 10 und Datenschutz - Niederländische Datenschutzaufsicht zweifelt die Einhaltung des Datenschutzes bei Windows 10 an und kritisiert Microsoft schwer

angry upset boy little man blowing pathdoc fotolia.comDie niederländische Datenschutzaufsichtsbehörde (DPA) hat Microsoft vorgeworfen, Windows 10 verstoße gegen das niederländische Datenschutzgesetz, indem es ohne ausreichende Rechtsgrundlage personenbezogene Daten von Personen verarbeite, die das Betriebssystem Windows 10 auf ihren Computern verwenden. Die Einschätzung der DPA bezieht sich auf Windows 10 Home und Windows 10 Pro. Beide Betriebssystemversionen wurden von der DPA untersucht.

Bildquelle: angry upset boy little man blowing pathdoc fotolia.com

Die DPA vertritt die Ansicht, Microsoft informiere die Benutzer nicht eindeutig darüber, welche Art von Daten von Windows 10 verwendet werden und zu welchem Zweck die Datenverarbeitung erfolgt. Außerdem könnten Personen aufgrund des von Microsoft angewandten Ansatzes keine gültige Einwilligung zur Verarbeitung ihrer persönlichen Daten erteilen. Microsoft informiere die Nutzer nämlich auch nicht eindeutig darüber, dass über den Webbrowser "Edge" kontinuierlich personenbezogene Daten über die Nutzung von Apps und das Surfverhalten im Web gesammelt werden, was dann der Fall sei, wenn die Standardeinstellungen verwendet würden.

Microsoft hat gegenüber der DPA angedeutet, dass Microsoft bereit sei, alle Verstöße zu beenden und complient zu handeln.

Die DPA hat angedroht, ein Bußgeldverfahren gegen Microsoft einzuleiten und Sanktionen gegen Microsoft zu verhängen.

Der Sachverhalt: Vollständige Protokollierung des Benutzerverhaltens zum Zwecke der Profilbildung und personalisierten Werbung

Fakt ist, dass Microsoft mit Windows 10 kontinuierlich technische Leistungs- und Benutzerdaten (z. B. welche Apps installiert sind und, falls der Benutzer die Standardeinstellungen nicht geändert hat, wie oft Apps verwendet werden, sowie Daten über das Surfverhalten im Web) von den Geräten auf denen Windows 10 läuft sammelt. Diese Daten sind personenbezogen und werden von MIcrosoft als beschönigend und verschleiernd als "Telemetriedaten" bezeichnet. Mit Telemetrie macht Microsoft sozusagen Bilder vom Verhalten von Windows-Benutzern und sendet diese Bilder kontinuierlich an sich selbst. So kann Microsoft ein detailliertes Benutzerprofil seiner Kunden schaffen.

Aufgrund der Herangehensweise von Microsoft haben die Benutzer keine Kontrolle über ihre Daten. Sie werden nicht darüber informiert, welche Daten zu welchem Zweck verwendet werden, und auch nicht darüber, dass auf der Grundlage dieser Daten personalisierte Werbung und Empfehlungen präsentiert werden können, wenn diese Nutzer nicht die Standardeinstellungen so abgeändert haben, dass keine Telemetriedaten mehr gesendet werden. Die DPA hat bei Ihren Untersuchungen festgestellt, dass das Betriebssystem "Windows 10" von Microsoft jeden Schritt, den die Benutzer auf ihren Computern unternehmen, mitverfolgt.

Die DPA stellt diesbezüglich berechtigte Fragen: "Was soll das bedeuten? Wissen die Leute davon? Wollen sie das?"

Unsere Ansicht ist: Microsoft muss den Nutzern eine faire Möglichkeit geben, selbst darüber zu entscheiden.

Basis- und Volltelemetrie

Microsoft bietet zwei Telemetrie-Ebenen an: "Basic" und "Full". Auf der Basisebene werden begrenzte Daten über die Geräteauslastung verarbeitet. Mit der vollständigen Telemetrie werden auch detaillierte Daten über die Nutzung der Apps sowie Daten über das Surfverhalten durch Edge und (teilweise) den Inhalt von handschriftlichen Dokumenten über die Schrifterkennung verarbeitet.

Ziele von Microsoft

Nach eigenen Angaben erhebt, verarbeitet und speichert Microsoft die Daten aus beiden Telemetrieebenen, um Fehler zu beheben, Geräte auf dem neuesten Stand und sicher zu halten und die eigenen Produkte und Services zu verbessern. Wenn Benutzer sich bei der Installation oder danach nicht für diese Zwecke abgemeldet haben, verwendet Microsoft auch Daten aus der Basis- und der vollständigen Telemetrie-Ebene, um personalisierte Werbung in Windows und Edge (einschließlich aller Anwendungen, die im Windows-Store zum Verkauf angeboten werden) anzuzeigen. Dabei wird eine Werbe-ID verwendet, um personalisierte Werbung in anderen Anwendungen anzuzeigen. In diesem Szenario erfolgt also eine Pseudonymisierung.

Unvorhersehbare Verarbeitung

Microsoft bietet den Nutzern einen Überblick über die Kategorien von Daten, die Windows 10 sammelt. Dabei informiert Microsoft die User von Windows 10 nach Ansicht der DPA nur in allgemeiner Art und Weise. Zwar wird mit Beispielen gearbeitet, um den Nutzern die Kategorien von persönlichen Daten, die Windows 10 sammelt, klar zu machen, die Art und Weise, wie Microsoft Daten auf der vollen Telemetrie-Ebene sammele, sei für die Nutzer aber nicht vorhersehbar, meint die DPA. Microsoft könne die gesammelten Daten für sehr verschiedene Zwecke einsetzen, da die in Windows 10 enthaltenen Informationen über den Zweck der Datenverarbeitung sehr breit und allgemein gehalten seien. Durch diese Kombination verschiedener Zwecke und einer insgesamt vorhandenen mangelnden Transparenz könne sich Microsoft auf keine Rechtsgrundlage für die von Windows 10 vorgenommene Verarbeitung personenbezogener Daten berufen. Eine informierte Einwilligung i.S.d. niederländischen Datenschutzrechts sei in Bezug auf Windows 10 aufgrund der zur Zeit fehlenden Informationen gar nicht möglich.

Einwilligung muss informiert und eindeutig erfolgen

Die niederländische Datenschutzaufsichtsbehörde DPA stellt klar, dass für eine wirksame Einwilligung der Nutzer erforderlich ist, dass diese erkennen können, in was sie einwilligen. Die Nutzer müssen die Konsequenzen Ihrer Einwilligung zum Zeitpunkt der Einilligung überblicken können. Dies sei bei Windows 10 zur Zeit nicht der Fall. Die Informationen, die Microsoft im Installationsbildschirm des Windows 10 Creators Update über die verschiedenen Möglichkeiten der Datenverarbeitung zur Verfügung stelle, seien nicht ausreichend. Es wird nicht hinreichend klargestellt, dass Microsoft auf der vollständigen Telemetrie-Ebene kontinuierlich Daten über die Nutzung von Apps und das Surfverhalten im Web durch den Edge-Browser sammele, und Microsoft z. B. melde, welche News-Artikel ein Nutzer gerade für wie lange gelesen habe und an welchen Standorten sich ein Gerät gerade befinde.

Durch den gewählten Ansatz, zunächst einmal alle Daten zu sammeln und es dem Nutzer zu überlassen, "auszuwilligen" erhalte Microsoft auch keine eindeutige Zustimmung / Einwilligung i.S.d. Datenschutzrechts. Microsoft verwendete eine "Opt-out"-Lösung, die nicht den datenschutzrechtlichen Vorgaben entspreche. Bei der Installation des Creators Update von Windows 10 sei die "Telemetrie-Ebene" standardmäßig auf "Full" eingestellt und der Benutzer wird aufgefordert, die angebotenen Einstellungen zu übernehmen. Außerdem ist standardmäßig aktiviert, dass Microsoft die Telemetriedaten verwenden darf, um personalisierte Anzeigen und Empfehlungen in Windows und Edge anzuzeigen, und dass Drittanbieter von Apps personalisierte Anzeigen in Anwendungen (Apps) anzeigen dürfen. Ändert ein Nutzer während der Installation die Standardeinstellungen nicht aktiv, bedeutet dies nicht, dass er damit der Verwendung ihrer persönlichen Daten zustimmt. Außerdem will die niederländische DPA festgestellt haben, dass Microsoft bei der Aktualisierung auf das Windows 10 Creators Update von einigen Benutzern die bestehenden Datenschutzbestimmungen nicht beachtet und diese mit den Standardeinstellungen überschrieben habe. Dies gilt z.B. für die Nutzer, die das Betriebssystem selbst heruntergeladen haben und manuell über die bestehende Installation "drüber installiert" haben. Wenn die Nutzer zuvor in einer früheren Windows-Version die "Telemetrie-Ebene" "Basis" eingestellt hatten und bei der Installation des Creators Updates die Privatsphäre-Einstellungen nicht aktiv änderten, wurden die Einstellungen auf volle Telemetrie-Ebene ("Full") umgestellt.

Fazit

Anders als die bayerische Datenschutzaufsichtsbehörde (BayLDA) in einer Pressemitteilung vom 18. September 2017 verkündete sieht die niederländische Datenschutzaufsichtsbehörde in Bezug auf Windows 10 Creators Update schwerwiegende Verstöße gegen datenschutzrechtliche Grundsätze. Eine Rechtsgrundlage für die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten durch Windows 10 wird von der DPA grundsätzlich in Abrede gestellt. Dagegen vertritt die bayerische Datenschutzaufsichtsbehörde die Ansicht:

dass es [ausreiche, wenn ]mit wenigen Einstellungen in den Gruppenrichtlinien von Windows 10 Enterprise gelungen ist, die meisten vom Betriebssystem aus initiierten Datenübertragungen zu unterbinden.

Das BayLDA teilt in seiner Pressemitteilung vom 17.09.2017 mit, ausschließlich mit Windows Gruppenrichtlinieneinstellungen sei es gelungen, eine Kontrolle über die Datenübertragungen zu erhalten. Microsoft selbst nenne zudem weitere Wege, um das Übertragungsverhalten von Windows 10 zu steuern – bspw. über das User Interface (UI), die Mobile Device Management (MDM) Policy, die Registry oder die Windows Firewall.

Obwohl das BayLDA im Rahmen seiner Prüfung nach eigenen Angaben nicht alle Windows Gruppenrichtlinien näher untersuchen konnte, habe die Überprüfung der wichtigsten Bestandteile von Windows 10 Enterprise ergeben, dass bei entsprechender Einstellung gerade die datenschutzrechtlich kritischen oder zumindest unklaren Übermittlungen von personenbezogener Daten des Nutzers eingeschränkt werden könnten. Das BayLDA schlussfolgert hieraus, dass Windows 10 Enterprise bei Unternehmen durch gezielte Konfiguration ohne Datenschutzverstöße eingesetzt werden könne.

Wichtig in diesem Zusammenhang ist aber, dass das BayLDA anscheinend nicht davon ausgeht, dass Microsoft Windows 10 Creators Update "out of the box" datenschutzkonform betrieben wird, wenn die Default-Einstellungen verwendet werden. Gerade dies wird aber ab Mai 2018 erforderlich sein, denn die europäische Datenschutzgrundverordnung macht es erforderlich, dass alle Produkte in ihren Grundeinstellungen bereits datenschutzkonform eingestellt sind (Art. 25 - Privacy by default). Mit diesen Aspekten und den Argumenten der niederländischen DPA setzt sich das BayLDA nicht auseinander.

Wir hoffen, dass Microsoft spätestens ab Geltung der DSGVO Beine gemacht werden und es nicht bei den vollmundigen Ankündigungen von Microsoft, man wolle sich "compliant" verhalten bleibt. Wenn die deutschen Datenschutzaufsichtsbehörden schon auf diesem Auge blind zu sein scheinen, ruht die Hoffnung nun auf der niederländischen DPA. DURY Rechtsanwälte hat sich jedenfalls bereits im Jahr 2016 entschieden auf Windows 10 zu verzichten und wird bei diesem Entschluss bleiben, wenn sich in Bezug auf dieses Betriebssystem nichts entscheidendes ändert. Dies betrifft sowohl die datenschutzrechtlichen Themen, als auch die Cloud-Anbindungen und den Update-Zwang bei Windows 10.

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Über den Autor:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY Rechtsanwälte.

*Wichtiger Hinweis:

Alle Leistungen, außer der Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB, richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise.

© 2017 DURY Rechtsanwälte