Microsofts Betriebssystem Windows 10 verstößt nach Einschätzung der niederländischen Datenschutzbehörde Autoriteit Persoonsgegevens (AP) gegen europäisches Datenschutzrecht. Die Niederländer kommen nach einer Prüfung verschiedener Versionen von Windows Home und Pro zu dem Schluss, dass Microsoft die Nutzer nicht klar genug darüber informiert, welche Daten für welchen Zweck erfasst und ausgewertet werden. Die Zwecke seien nur beispielhaft und sehr allgemein beschrieben, teilte die AP am Freitag mit. Die Datenverarbeitung sei daher "nicht vorhersehbar". Entsprechend könnten die Leute auch keine gültige Einwilligung in die Nutzung ihrer Daten erteilen.

Nicht genutztes Opt-out ist keine Zustimmung

Weitreichende Folgen auch für andere Softwareprodukte und Internetdienste dürfte die Auffassung der Behörde haben, dass das Anbieten von Opt-Out-Optionen nicht reicht, um eine Einwilligung der Nutzer zu erhalten. Diese werde nämlich nicht dadurch erteilt, dass eine Person eine Default-Einstellung während der Installation nicht aktiv ändert. Überdies stellte die Behörde fest, dass Microsoft Privacy-Einstellungen in früheren Windows-Versionen nicht "respektiert", wenn Nutzer zum Creators-Update upgraden. Dies ist dann der Fall, wenn Nutzer das Betriebssystem selbst herunterladen.

"Aufgrund von Microsofts Vorgehensweise haben Nutzer keine Kontrolle über ihre Daten", bilanziert die Behörde. Der stellvertretende niederländische Datenschutzbeauftragte Wilbert Tomesen sagt: "Es stellt sich heraus, dass Microsofts Betriebssystem jeden Schritt, den du an deinem Computer machst, verfolgt. Das mündet in ein intrusives Profil deiner selbst." Tomesen verlangt daher: "Microsoft muss Nutzer eine faire Möglichkeit geben, selbst darüber zu entscheiden."

"Ständig werden Daten gesammelt"

Zu den Nutzerdaten, die Microsoft auswerten kann, gehören unter anderem der URL jeder besuchten Website, falls der Nutzer Microsofts Browser Edge nutzt und die Übermittlung von Telemetrie-Daten nicht vollständig unterbunden hat. Auch die Nutzung von Apps sowie die Nutzungsdauer von Eingabegeräten wie Maus oder Touchscreen werde an Microsoft übermittelt. Falls die Nutzer kein Opt-Out gewählt haben, werden ihre Daten auch genutzt, um personalisierte Werbung auf Windows, Edge und Apps zu schalten. Microsoft mache nicht deutlich, dass in diesem Fall "ständig Daten über die App-Nutzung sowie über das Surfen im Web gesammelt werden, wozu beispielsweise gelesene News-Artikel oder Orte gehören, die in Apps eingegeben werden", moniert die niederländische Aufsichtsbehörde.

Gegenüber der niederländischen Datenschutzaufsicht deutete Microsoft an, dass es alle rechtswidrigen Funktionen abschalten wolle. Die Aufsichtsbehörde weist darauf hin, dass sie anderenfalls Sanktionen gegen Microsoft verhängen könne. In den Niederlanden nutzen derzeit über 4 Millionen Anwender Windows 10 Home und Pro.

Die europäischen Datenschutzbehörden prüfen derzeit verschiedene Microsoft-Produkte. Ob die Artikel-29-Gruppe, in der sich die Datenschützer koordinieren, wie ursprünglich beabsichtigt zu einer gemeinsamen Beurteilung hinsichtlich Windows 10 und Office 365 kommen wird, ist zurzeit offen. Überdies werden neue Build-Versionen eine erneute Überprüfung notwendig machen.

Naserümpfen über Bayern und Hessen

Die bayerische Datenschutzaufsicht kam im September nach der Prüfung von Windows 10 Enterprise zu der Auffassung, dass ein Einsatz wohl rechtskonform sei, weil sich die Datenflüsse über eine Gruppenrichtlinie sowie weitere Eingriffe unter anderem in die Registry weitestgehend kontrollieren lassen. Gleichwohl musste sie feststellen, dass sie selbst noch nicht restlos alle Datenflüsse unterbinden konnte. Dies wollte die Behörde "in Gesprächen mit Microsoft" noch klären. Anders als die niederländische Aufsichtsbehörde ging sie nicht von einem Privacy-by-Default-Ansatz aus, um die Rechtswirksamkeit der Einwilligung zu beurteilen. Gruppenrichtlinien stehen für Windows 10 Home nicht und unter Windows 10 Pro nur eingeschränkt zur Verfügung, weshalb sie in der niederländischen Prüfung keine Rolle spielten.

Dem Vernehmen nach hielten andere europäische Aufsichtsbehörden die Bewertung von Windows 10 Enterprise als "rechtskonform" durch die Bayern für verfrüht, da Microsoft noch keine Gruppenrichtlinie vorgelegt hat, mit der das System vollständig rechtskonform gestaltet werden kann. Auch die Bewertung des Hessischen Datenschutzbeauftragten, dass ein "rechtskonformer" Einsatz von Office 365 in Schulen theoretisch möglich sei, wurde als wenig hilfreich empfunden, da er konkrete Schritte zur Herstellung eines rechtskonformen Betriebszustandes nicht benennt und Microsoft nicht auffordert, selbst einen datenschutzkonformen Zustand auszuliefern. Hintergrund der hessischen Entscheidung ist, dass derzeit die Anbindung von Office365 in die bundesweite Schul-Cloud seitens des für die Umsetzung verantwortlichen Hasso-Plattner-Instituts "fest geplant" ist, wie heise online von Beteiligten erfuhr. (vbr)