Datenschutzbeauftragter: Windows 10 lässt sich ohne Telemetrie betreiben

Eine Windows-10-Installation übermittelt standardmäßig umfangreiche Telemetriedaten an Microsoft - und kann sogar weitere anfordern. Mit der Datensammlung beschäftigt sich eine eigene Facharbeitsgruppe der Datenschutzbeauftragten bereits seit einiger Zeit. Nun geben sie Entwarnung: In der Enterprise-Version von Windows 10 lässt sich die Telemetriedatensammlung komplett deaktivieren, wie aus dem aktuellen Tätigkeitsbericht (PDF) des bayerischen Landesdatenschutzbeauftragten hervorgeht.

Im Dezember habe die Fachbereichsgruppe Windows 10 gemeinsam mit über zehn Microsoft-Mitarbeitern eine Laboranalyse von Windows 10 durchgeführt. An dieser sei der bayerische Landesdatenschutzbeauftragte federführend beteiligt gewesen, heißt es in dem Bericht. Untersucht wurde ein Windows-10-Enterprise-Rechner in der Version 1909. Dessen Datenabflüsse wurden innerhalb des Labornetzes über eine Man-in-the-Middle-Analyse (MitM) aufgezeichnet und untersucht. "Dabei wurde das System mit von Microsoft offiziell zur Verfügung gestellten Informationen und Tools so konfiguriert, dass das Telemetrielevel Security eingestellt war", schreibt der Landesdatenschutzbeauftragte.

Mit dem Telemetrielevel "Security" seien in der Labor-Analyse keine Telemetriedaten mehr an Microsoft gesendet worden. Nur noch kryptographische Schlüssel seien über Server von Microsoft abgerufen worden, die jedoch für einen sicheren Betrieb einer tagesaktuellen Windows-10-Installation benötigt würden. Dies könne zwar getrennt deaktiviert werden, das sei jedoch nicht empfehlenswert.

Sowohl bei Windows 10 Enterprise als auch bei der Education-Version sei die Übermittlung von Telemetriedaten komplett deaktivierbar, heißt es in dem Bericht. Wenn sich dieses Ergebnis auch beim realen Einsatz von Windows 10 in Unternehmen bestätigen lasse, stünden dem Einsatz von Windows 10 keine datenschutzrechlichen Bedenken mehr entgegen - zumindest was den Umgang mit Telemetriedaten angehe, schreibt der Landesdatenschutzbeauftragte. Dies gelte jedoch nicht für den Einsatz von Windows 10 Pro, bei dem das Senden von Telemetriedaten nur eingeschränkt werden kann. Der Einsatz von Windows 10 Pro müsse daher gesondert geprüft werden.

Das Forschungsprojekt Sisyphus des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie die EU prüfen ebenfalls das Datensendeverhalten von Microsoft-Produkten. Im Juli 2019 war der hessische Landesdatenschutzbeauftragte Michael Ronellenfitsch zu dem Schluss gekommen, dass die Cloudanwendung Office 365 an Schulen nicht zum Einsatz kommen darf, da nicht ausgeschlossen werden könne, dass Dritte auf die Daten zugreifen könnten. Nach intensiven Gesprächen mit Microsoft hat er den Einsatz jedoch vorläufig geduldet.