Das Bundesamt für Sicherheit in der Informationstechnik bestätigte kürzlich offiziell, dass Windows 10 umfangreiche Nutzungsdaten an den Hersteller Microsoft sendet. NutzerInnen könnten sich davor nicht effektiv schützen. Wir haben Politik und Verwaltung gefragt, was sie mit den Ergebnissen anfangen.

Das Betriebssystem Windows 10 wirkt wie ein einziger Datenschutz-Unfall. Seitdem der Nachfolger von Windows 8 den Usern vor zweieinhalb Jahren als vorgetäuschtes Update mehr oder weniger aufgezwungen wurde, haben DatenschützerInnen das System kritisiert. Die Datenschutz-Einstellungen sind versteckt, kompliziert und kaum bedienbar. Gleiches gilt für die Telemetrie-Einstellungen, über die sich die Übertragung der System- und Nutzungsdaten an den Hersteller Microsoft regeln lassen. Komplett ausschalten lässt sich die Datenübertragung selbst für versierte NutzerInnen nur schwer. In der vergangenen Woche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Erkenntnisse nun auch offiziell bestätigt.

Die Untersuchung der Telemetrie-Einstellungen ist ein Teil der groß angelegten Studie des BSI zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10, kurz: „SiSyPHuS Win10“. Im Rahmen der Studie sollen schrittweise alle sicherheitskritischen Funktionen des Betriebssystems analysiert und die Ergebnisse nach und nach veröffentlicht werden. Die Teilergebnisse der Untersuchung stellen jetzt offiziell fest, dass zwar die Möglichkeit besteht, die Datenerfassung und -übermittlung vollständig zu deaktivieren. Das ist laut BSI aber nur unter hohem Aufwand möglich und zwingt Nutzer dazu, bestimmte Dienste abzuschalten.

Windows 10 ist das am weitesten verbreitete Betriebssystem und wird in Deutschland auch im öffentlichen Bereich eingesetzt, also von Behörden und Verwaltungen. Damit hat es einen erheblichen Einfluss auf die hiesige IT-Infrastruktur. Wir haben deshalb bei den zuständigen Ministerien und Behörden sowie den FachpolitikerInnen im Bundestag nachgehakt, welche Konsequenzen sie aus dem Bericht ziehen.

Das Ergebnis unserer Befragung: Erstmal tut sich weiter nichts. Bundestagsabgeordnete und Ministerien erwarten, dass Datenschutzbehörden Prüfungen vornehmen – wie es etwa in den Niederlanden längst der Fall ist. Das Innenministerium will über mögliche Folgen für die öffentliche IT-Ausstattung entscheiden, wenn der Test abgeschlossen ist. Auch die Bundesdatenschutzbeauftragte kündigt an, reagieren zu wollen, wenn weitere Erkenntnisse vorliegen. Da darf man schon mal fragen: Wie lange soll hier eigentlich noch geprüft werden, bevor etwas passiert?

Hier die Antworten im Detail:

Voßhoff: „Durchaus problematisch“

Microsoft selbst gibt uns gegenüber keine neuen Auskünfte. Auf Nachfrage teilt das Unternehmen nicht mit, auf welcher Rechtsgrundlage es die Daten erhebt. Stattdessen verweist die Pressestelle auf das Nutzerhandbuch. Die Daten würden erhoben, um den KundInnen ein sicheres Produkt anzubieten. Die Telemetrie-Einstellungen ließen sich einfach heruntersetzen (wenn auch nicht abschalten, wie das BSI feststellt). Außerdem verweist Microsoft auf ein Untersuchungsergebnis des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), das die Professional-Version von Windows 10 2017 zwar als ein „kommunikationsfreudiges“, aber dennoch taugliches Arbeitswerkzeug zumindest für Unternehmen einstufte.

Dieses Bayerische Landesamt für Datenschutzaufsicht ist unter anderem für Datenschutzverstöße der dort ansässigen Unternehmen zuständig. Da Microsoft Deutschland seinen Sitz in München hat, haben wir dort nachgefragt, welche Schlüsse das Amt aus dem jüngsten Test des BSI ziehen wird. Dazu wollte man sich beim BayLDA allerdings nicht äußern. Als die Behörde die Business-Version von Windows 10 prüfte, versprach der Leiter der Behörde, Thomas Kranig, „weiter den Dialog mit Microsoft“ zu suchen, um offene Fragen zu klären. Auf diesem Stand scheint die Behörde stehen geblieben zu sein.

Ausgerechnet von Seiten der sonst eher zurückhaltenden Bundesdatenschutzbeauftragen, Andrea Voßhoff, erhielten wir eine eindeutigere Stellungnahme:

Die BfDI verfolgt die Untersuchung des BSI mit großem Interesse und betrachtet die in diesem Rahmen festgestellte Übermittlung von Nutzerdaten durch Windows 10 als durchaus problematisch. Eine abschließende datenschutzrechtliche Bewertung ist zum jetzigen Zeitpunkt allerdings noch nicht möglich. Sobald diese erfolgt ist, wird die BfDI entsprechend reagieren und gegenüber den ihrer Aufsicht unterstehenden Stellen klare Vorgaben erteilen, ob und wie eine Nutzung von Windows 10 datenschutzkonform möglich ist.

Innenministerium will „sorgfältig analysieren“

Wir haben auch das BSI selbst danach gefragt, was es mit den Erkenntnissen aus seiner Untersuchung anfängt. Schließlich ist das Amt nicht nur für die allgemeine IT-Sicherheit im Land, sondern im Speziellen auch für die IT-Systeme des Bundes verantwortlich. Nachdem das Amt uns zunächst selbst antworten wollte, erhielten wir später die Auskunft, dass das ihm übergeordnete Bundesinnenministerium eine gemeinsame Antwort abgeben werde.

Eine Reaktion des Bundesinnenministeriums ist gleich in doppelter Hinsicht interessant: Es ist federführend sowohl für das Thema Datenschutz als auch für die IT-Ausstattung des Bundes zuständig. Nach einer verlängerten Wartezeit erhielten wir gestern schließlich eine Antwort, in der ein Sprecher des Innenministeriums mögliche Folgen in den Raum stellt:

Die Ergebnisse der Untersuchung fließen in die Absicherung der Infrastruktur der Bundesverwaltung ein. Für den Einsatz von Windows 10 in der Bundesverwaltung entwickelt das BSI zusammen mit den beteiligten Behörden und Dienstleistern geeignete IT-Sicherheitsmaßnahmen. […] Die Bundesregierung wird die gewonnenen Erkenntnisse aus der Sicherheitsanalyse des BSI sorgfältig analysieren, um auf dieser Grundlage über weitergehende Maßnahmen und ggf. erforderliche Konsequenzen zu entscheiden.

Um Empfehlungen für Bürgerinnen und Bürger sowie Unternehmen auszusprechen, sei es mit der Vorlage des Zwischenberichts noch zu früh, teilte uns das Ministerium mit. Es sei jedoch denkbar, dass das BSI zielgruppengerechte Hilfestellungen geben werde, beispielsweise im Rahmen des Programms „BSI für Bürger“. Darüber hinausgehende datenschutzrechtliche Fragen – etwa die nach der Rechtsgrundlage für die Datensammlung – müssten die unabhängigen Datenschutzbehörden prüfen.

Etwas deutlicher wurde das Bundesministerium der Justiz und für Verbraucherschutz (BMJV). Es teilte uns mit, dass es die DSGVO-Grundsätze Privacy-by-default und Datensparsamkeit durch den derzeitigen Ist-Zustand bei Windows 10 verletzt sieht. Auch das BMJV sieht die Aufsichtsbehörden in der Pflicht:

Aus verbraucherpolitischer Sicht wird es sehr kritisch gesehen, wenn die Nutzer nicht informiert werden, hier keine wirksame Einwilligung eingeholt wird und wenn es nicht die Möglichkeit gibt, die automatische Erfassung im Hintergrund abzuschalten. Besser noch müsste diese Erfassung by default ausgeschaltet sein und vom Nutzer erst ausdrücklich aktiviert werden. […] Hier können die Datenschutzbehörden prüfen und bei Verstößen mit allen wirksamen Mitteln des Datenschutzrechts dagegen vorgehen.

Bundestag: Opposition fordert Konsequenzen

Im Bundestag fallen die Reaktionen auf den Bericht des Bundesamtes sehr unterschiedlich aus. Wir hatten die Abgeordneten sowohl um eine Einschätzung der datenschutzrechtlichen Lage als auch der notwendigen politischen Konsequenzen, beispielsweise für den Einsatz von Windows 10 in öffentlichen Stellen, gebeten. Während sich OppositionspolitikerInnen wenig überrascht, aber empört zeigen, sind die Reaktionen aus der Regierungsfraktion verhalten.

SPD-Netzpolitiker Jens Zimmermann ließ unsere Anfrage gänzlich unbeantwortet. Sein Koalitionskollege Tankred Schipanski, Sprecher der Unionsfraktion für die Digitale Agenda, verweist in seiner knappen Antwort ebenfalls auf eine Zuständigkeit der Behörden:

Wenn Verstöße gegen die Datenschutzgrundverordnung vorliegen, ist es Aufgabe der Datenschutzbehörden, diese zu untersuchen.

Manuel Höferlin, digitalpolitischer Sprecher der FDP-Bundestagsfraktion, teilt uns mit, dass er selbst grundsätzlich zwar kein Problem damit habe, wenn Informationen genutzt würden, „um Produkte zu verbessern und nutzerfreundlicher zu machen.“ Er kritisiert jedoch, dass NutzerInnen keine Auswahlmöglichkeiten haben:

Sehr problematisch finde ich allerdings, dass es laut Studie für die Nutzer nahezu unmöglich ist, nur nachzuvollziehen oder gar zu konfigurieren, welche Informationen in den unterschiedlichen Telemetrie-Levels an den Hersteller zurückfließen.[…] Die Nutzerinnen und Nutzer sollten selbst und einzelfallbezogen darüber entscheiden können, ob und welche Informationen über das Nutzungsverhalten zurückgemeldet werden. Das ist schlicht eine Frage der informationellen Selbstbestimmung und zwar unabhängig davon, inwiefern auch personenbezogene Daten betroffen sind.

Auch Anke Domscheit-Berg, netzpolitische Sprecherin der Linksfraktion, sieht die Datenschutzaufsicht in der Pflicht. Sie erklärt zudem, dass die zuständigen Behörden dringend besser ausgestattet werden müssen, damit sie ihrer Verantwortung auch nachkommen können:

Es ist offensichtlich, dass Nutzer*innen wenig bis gar keine Transparenz über die bekanntgewordene Art des Datensammelns bei Windows 10 haben. Weiterhin räumt die DSGVO den Nutzer*innen hohe Rechte ein, was die Kontrolle der gesammelten Daten angeht, also eine umfassende und einfache Möglichkeit, das Sammeln von nicht unbedingt für den Dienst erforderlichen Daten zu reduzieren oder auf Null zu stellen. Nach bisherigen Erkenntnissen kann man die Sammlung von Telemetrie-Daten bei Windows 10 zwar reduzieren, aber erstens ist es keineswegs einfach und zweitens ist keine Reduktion auf Null möglich. Vor diesem Hintergrund halte ich es für sehr wahrscheinlich, dass ein eklatanter Verstoß gegen die DSGVO vorliegt. Einen solchen Verstoß müssen Datenschutzbeauftragte feststellen, was dann erhebliche Strafen nach sich zieht. Nach wie vor sind leider diese behördlichen Stellen unterausgestattet, daher ist eine unserer politischen Forderungen auch die Stärkung der Landes- und Bundesdatenschutzbeauftragten durch mehr Personal.

Tabea Rößner,Sprecherin für Netzpolitik und Verbraucherschutz der Bundestagsfraktion von BÜNDNIS 90/DIE GRÜNEN, sieht sowohl die Datenschutzaufsicht als auch das BSI in dr Pflicht:

Es ist absolut nicht hinnehmbar, dass das Betriebssystem Windows 10 in größerem Umfang „nach Hause funkt“, ohne dass dies den Nutzerinnen und Nutzern transparent gemacht wird. Die zuständigen Aufsichtsbehörden müssen dringend tätig werden und prüfen, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. […] Zwar ist verständlich, dass Microsoft die Telemetriefunktionen benutzen möchte, um Informationen über Fehlermeldungen zu sammeln und den IT-Support zu verbessern. Aber dass es aktuell nur mit großem technischen Aufwand möglich ist, diese telemetrischen Verbindungen zu kappen, ist absolut nicht verbraucherfreundlich. Das BSI muss dafür sorgen, dass leicht verständliche und leicht umsetzbare Anleitungen für Einstellungsänderungen verfügbar sind und Microsoft in dieser Hinsicht zu einer Nachbesserung auffordern.

Linke und Grüne betonen darüber hinaus, dass sie den den Einsatz proprietärer Software im öffentlichen Bereich bereits seit Langem kritisieren. Open-Source-Software ließe sich leichter überprüfen und würde derartigen Missständen vorbeugen. Dazu Tabea Rößner:

Mit Freier Software wäre das nicht passiert. Wenn die Möglichkeit besteht, den Code zu überprüfen, fallen solche Funktionen, die „nach Hause funken“, viel schneller auf und können vor allem nutzerseitig leichter geändert werden. Wir GRÜNE fordern die Bundesregierung daher schon lange auf, den Einsatz von Freier Software in der öffentlichen Verwaltung stärker voranzutreiben und sich von proprietärer Software wie z.B. von Microsoft unabhängiger zu machen.

Anke Domscheit-Berg: