Big Brother Award 2018 Windows 10 ist nicht ganz dicht

Von Christiane Schulzki-Haddouti 

Microsoft Deutschland erhält den Big Brother Award für sein Betriebssystem. Baden-Württembergs oberster Datenschützer verlangt, dass Nutzer die Übertragung von Daten an den Konzern unterbinden können.

Big Microsoft is watching you: Das Betriebssystem Windows 10 schickt ständig Daten seiner Nutzer an die Zentrale, ohne dass diese etwas dagegen tun können.    Foto: Microsoft  Montage: typoserv
Big Microsoft is watching you: Das Betriebssystem Windows 10 schickt ständig Daten seiner Nutzer an die Zentrale, ohne dass diese etwas dagegen tun können.   Foto: Microsoft  Montage: typoserv

Stuttgart - Microsofts Betriebssystem Windows 10 ist ein äußerst mitteilsames Programm. Es überträgt regelmäßig Diagnose-Daten vom Rechner des Nutzers an den Hersteller – und zwar ohne dass die Nutzer etwas dagegen tun können. „Möchte ich aus gutem Grund auf eine Internetverbindung verzichten, ist das mit Windows 10 praktisch nicht mehr möglich“, kritisiert Frank Rosengart vom Chaos Computer Club. Das hat Microsoft jetzt den Negativpreis Big Brother Award eingebracht. In seiner Preisbegründung erinnert Rosengart daran, dass es heute fast schon normal sei, dass Geräte und Programme „nach Hause telefonieren“. Doch „was geht es Microsoft an, ob Sie Ihren Computer eher als Schreibmaschine, als Spielzeug, als Fernseher oder für Bildbearbeitung benutzen“, ärgert sich der Hacker – und fragt: „Was macht die Firma mit dieser Information? Wir wissen es nicht.“

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) unterzog die Firmenversion von Windows 10 im vergangenen Jahr einer Laborprüfung. Dabei stellte es fest, dass sich selbst durch Gruppeneinstellungen die Datenübertragungen nicht verhindern ließen. Jüngst versuchte Dataport, ein IT-Dienstleister für mehrere Bundesländer, das System komplett vom Internet abzukoppeln. Obwohl die Online-Dienste ausgeschaltet waren, konnten die Techniker die Übertragung eines kleinen, verschlüsselten Datenrests nicht abstellen. Auf Nachfrage teilte Microsoft mit, dass das nicht möglich sei, weil sonst die Systemstabilität gefährdet sei.

Mögliche Lösung

Möglicherweise liefert Microsoft mit dem neuen System-Update eine Lösung. Denn dann sollen Nutzer mit dem „Diagnostic Data Viewer“ sehen können, welche Daten zur Konzernzentrale übermittelt werden. Auch sollen sie einzelne Datenübertragungen abstellen können. Ob das für alle diese Datentransfers möglich sein wird, ist aber unklar. Dataport testet das Tool seit Ende Januar – bisher ohne Ergebnis. Für private Nutzer sind ebenfalls Verbesserungen zu erwarten. Denn wie die niederländische Datenschutzaufsichtsbehörde nach einer Prüfung festgestellt hat, verstoßen sowohl die Heim- als auch die Firmenversion von Windows 10 gegen europäisches Datenschutzrecht.

Für den baden-württembergischen Datenschutzbeauftragten Stefan Brink ist klar, dass „jeder Nutzer von Windows 10, wie auch von anderen Betriebssystemen und Anwendungen, die volle Kontrolle über seine Daten haben muss“. Es müsse „volle Transparenz bezüglich der übertragenen Daten herrschen, und der Anwender muss jede Übertragung deaktivieren können“. Brink wartet jetzt auf den Prüfbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI), das seit Monaten versucht, die verschlüsselten Datenströme von Windows-10-Rechnern an Microsoft aufzuklären.

Nachbesserung gefordert

In Brinks eigener Behörde hatte die baden-württembergische BITBW als IT-Dienstleisterin für die Landesverwaltung bereits Windows 10 installiert. Wegen der ungeklärten Datenströme fordert Brink jetzt Microsoft auf, „schleunigst nachzubessern und sich spätestens ab Ende Mai an die Datenschutz-Grundverordnung zu halten“. In Richtung BITBW sagt Brink, dass er den Einsatz problematischer Produkte beanstanden könne und damit auch deren Nutzung ab Mai „mit verbindlicher Wirkung“ untersagen könne.

Brink sieht seine Behörde nun in der gleichen Situation wie viele andere Behörden. „Derzeit setzen viele in der öffentlichen Verwaltung eingesetzte Anwendungen Windows voraus. Hier umzusteuern fällt vielen Verwaltungen – wie auch Privatunternehmen – natürlich schwer“, sagt er. Man habe sich inzwischen in „eine faktische Abhängigkeit zu bestimmten Anbietern manövriert“. Deshalb müssten die Behörden Alternativen in der Ausbildung wie auch bei der Beschaffung stärker beachten.

Die Behörden des Landes Baden-Württemberg sind nicht die einzigen, die Windows 10 jetzt oder in naher Zukunft einsetzen werden. Das Bundesinnenministerium verhandelt derzeit mit Microsoft über neue Rahmenverträge für Bund, Länder und Kommunen. Dabei geht es nicht um Peanuts: Wie eine Anfrage im Haushaltsausschuss des Deutschen Bundestags vergangene Woche zeigte, zahlte allein der Bund in den letzten drei Jahren eine Viertelmilliarde Euro Lizenzgebühren an Microsoft.

Arbeit für Datenschützer

Bei den Verhandlungen vor drei Jahren spielten Datenschutz- und Sicherheitsaspekte noch eine untergeordnete Rolle. Das könnte jetzt anders werden: Die Datenschutzkonferenz von Bund und Ländern wird sich Ende April mit dem Thema befassen. Deren Vorsitzende, die nordrhein-westfälische Landesdatenschützerin Helga Block, weist vorsorglich darauf hin, dass „im Einzelnen zu prüfen ist, ob der Datentransfer angemessen und insgesamt zulässig ist“. Das wird jedoch nicht allein Aufgabe des BSI sein, auch die Datenschutzaufsichtsbehörden werden sich damit befassen müssen.

Block weist auch in Richtung Europa: So müsse geprüft werden, „ob ein Datentransfer ins Ausland erfolgt und ob dort ein angemessenes Datenschutzniveau gewährleistet ist“. Seit dem Facebook-Skandal rund um die Datenauswertungsfirma Cambridge Analytica steht auch die Rechtsgrundlage für den transatlantischen Datenverkehr, der sogenannte Privacy Shield, wieder auf dem Prüfstand der EU-Kommission.

Dass Microsoft eine Rolle rückwärts macht und die Datenübertragung komplett blockiert, ist angesichts der Konzernstrategie unwahrscheinlich. Erst vor zwei Wochen bekräftigte Microsoft-Chef Satya Nadella die zentrale Marschrichtung in Richtung Cloud: Software, Daten und Rechenkapazität sollen zunehmend aus dem Netz kommen. Ein Betriebssystem, das nicht mit dem Netz kommuniziert, ist damit aus Sicht des Konzerns ganz klar ein Auslaufmodell. Die Frage ist nur, ob Behörden und auch Unternehmen, die in sicherheitskritischen Bereichen aktiv sind, mit dieser Vision leben können.