Obwohl Windows 10 eigentlich die letzte Version sein sollte, kam im Oktober 2021 dann doch Windows 11 auf den Markt. Was bedeutet Windows 11 nun für den Datenschutz? Wir geben Ihnen gerne einige Hinweise dazu.
Die Änderungen
- Das grafische Update auf der Oberflächengestaltung fällt als erstes ins Auge (abgerundete Ecken der Fenster, Anordnung der Oberflächenelemente, der Datei-Explorer in neuem Gewand).
- Die Hardwareanforderungen sind äußerst hoch. So werden einige etwas ältere und doch noch funktionsfähige Notebooks und PCs von Microsoft nicht mehr unterstützt.
- Das Videokonferenztool Teams ist nun mit einer Neuinstallation von Windows 11 bzw. einem Update aus Windows 10 vorinstalliert. Diese Funktion richtet sich vermutlich eher an Privatpersonen und kleinere Organisationen, da größere Organisationen, die Teams in einer eigenen Domäne integrieren wollen, dennoch nicht darum herumkommen, eine speziell lizenzierte Business-Version zu installieren.
- Ein Paketmanager namens WinGet ist ebenfalls vorinstalliert. Dieses Tool ist besonders für kleinere Organisationen interessant, die keine ausdrückliche Paketverwaltung oder entsprechend konfigurierte Windows-Domäne besitzen. Mithilfe von WinGet können Sie der Verpflichtung nach Artikel 32 DSGVO – nämlich für aktuelle Softwarestände Sorge zu tragen – nachkommen.
- Eine etwas größere Hürde stellt der Browserwechsel dar. Der faktische „Siegeszug“ liegt bei Chrome. Dennoch gibt es auch alternative Browser wie Firefox oder Opera, die datenschutzfreundlichere Funktionalitäten (v.a. beim Tracking-Schutz) bieten. Hierfür muss das Betriebssystem jedoch erst dazu gebracht werden, Internet-Links nicht direkt in Edge, sondern im bevorzugten Browser zu öffnen. Dies geht bei Windows 11 nunmehr nicht über eine einmalige Einstellung. Vielmehr muss die Standard-App für jede Dateiendung einzeln geändert werden.
- Die Telemetrie- und Diagnosedaten waren schon bei Windows 10 das meist diskutierte Thema mit Blick auf den Datenschutz, da es hierbei um Datenflüsse eines Windows-Rechners an Microsoft (amerikanisches Unternehmen) geht.
- Wofür werden die Daten von Microsoft genutzt?
-> um die Systemstabilität des Senders gewährleisten zu können (z.B. funktionelle Windows-Updates)
-> für eigene Zwecke (z.B. Statistiken, Aufbau und Vertrieb von Antiviren-Signaturen) - Kann der Datenfluss unterbunden werden?
-> Mit dieser Frage hat sich die Datenschutzkonferenz (DSK) bereits bei Windows 10 befasst und anerkannt, dass sich die Übertragung bei der Nutzung der Windows 10 Enterprise Version und der Einstellung des Telemetrie-Levels „Security“ wohl unterbinden lasse. Es wird sicherlich nur eine Frage der Zeit sein, bis die DSK auch Windows 11 diesbezüglich analysieren wird. - Es ist keine Deaktivierung oder Deinstallation möglich.
- Für die Diagnosedaten gibt es drei verschiedene Einstellungsmöglichkeiten:
- Diagnosedaten aus
(sollte nur in gut administrierten Umgebungen eingesetzt werden und wird bisher nur bei der Enterprise-Version angeboten und hieß bislang „Security“) - Erforderliche Diagnosedaten
(sie beinhaltet hauptsächlich technische Informationen und wurde je nach Windows-10-Version auch als „Standard“ bezeichnet) - Optionale Diagnosedaten
(kann sowohl Browserverläufe als auch im Einzelfall Speicherabbilder mit personenbezogenen Daten umfassen und hieß bislang „vollständig“)
- Diagnosedaten aus
- Wofür werden die Daten von Microsoft genutzt?
- Es besteht die Möglichkeit, dass Organisationen beim Einsatz von Windows-10- bzw. 11-Endgeräten selbst Verantwortliche im Sinne der DSGVO werden. Technisch wird weiterhin eine Übertragung an Microsoft-Server stattfinden. Rechtlich wäre zu prüfen, in welchem Verhältnis der Verantwortliche zu MS steht und ob MS weiterhin Diagnosedaten für eigene Zwecke verarbeitet. Sinn und Zweck müssten geklärt und der Beschäftigtendatenschutz berücksichtigt werden.
- MS etabliert mit Windows 11 nun ein „Feature“, das schon in manchen Windows-10-Versionen versucht wurde: der Zwang zu einem MS-Konto. Zwar gibt es aktuell noch „Hacks“, die eine Installation ohne Online-Konto zulassen, doch eigentlich ist Windows 11 offiziell ohne Online-Konto gar nicht installierbar.
Datenschutzrechtliche Beschwerden sind hier quasi – zu recht – vorprogrammiert!
Fazit
Aus Datenschutzsicht lässt sich zum jetzigen Zeitpunkt sagen, dass sich vor allem hauptsächlich die grafische Oberfläche geändert hat. Es liegt aufgrund der Rechenschaftspflicht weiterhin im Verantwortungsbereich der Organisationen, den konkreten Einsatz von Windows 11 im Auge zu behalten, da es weiterhin halbjährliche Feature-Updates geben wird. Die zwingende Nutzung eines Online-Kontos ist nicht nur datenschutzrechtlich sehr kritisch zu beurteilen.
Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Mai 2022