Windows 10 und das Datenschutzproblem in Firmen

Windows 10 ist nun ja bereits über ein Jahr verfügbar und dürfte auch langsam in Firmen einziehen. Bereits 76% der Windows 10-Rechner laufen mit dem Anniversary Update, wie man hier nachlesen kann. Was aber bisher wenig thematisiert wird: Ist der Einsatz von Windows 10 im Business-Bereich eigentlich mit dem deutschen (Datenschutz- und Mitbestimmungs-) Recht konform. Stichworte sind Telemetriedatenerfassung, Cortana und die Cloud-Anbindung samt den dort erfassten Daten. Hier eine Bestandsaufnahme und einige Gedanken.


Anzeige

Das Thema Telemetriedatenerfassung wurde hier Blog zwar mehrfach (auch in Kommentaren) thematisiert. Und ich hatte auch darauf hingewiesen, dass ich den Einsatz von Windows 10 in sensitiven Bereichen im geschäftlichen Umfeld nicht empfehle bzw. dass IT-Entscheider die Entscheidung zurückstellen sollten.

Einige heise.de-Artikel zum Anfüttern

Neue Nahrung hat das Thema "Datenschutz" bei Windows 10 durch mehrere heise.de-Artikel erhalten. Auf den von heise.de veranstalteten Internet Security Days 2016 hielt Lukas Grunwald, CTO der Hildesheimer Security-Beratung dn System, den Vortrag ISD 2016: Windows 10 übermittelt haufenweise persönliche Daten. Tenor:

Umfang und Art der zwischen Windows-10-Installationen und der Microsoft-Cloud übermittelten Daten dürften deutschen und EU-Datenschutzvorschriften sowie dem Betriebsverfassungsgesetz widersprechen.

Ich selbst bin nicht auf den Internet Security Days gewesen, habe aber das Thema am Rande weiter verfolgt. Vorige Woche gab es dann bei heise.de den Anreißer Datenschutz: Windows 10 könnte Arbeitnehmerrechte verletzen, sowie den Kommentar Kommentar: Datenschleuder Windows 10 – Wasser und Wein. Auch diese zwei Artikel sind aber lediglich Teaser.

Butter bei die Fische – das macht die Datenschleuder Windows 10

Der wesentlich interessantere Teil ist der Artikel Datenschleuder von Lukas Grunwald in der heise-Zeitschrift iX, der über den obigen Link auch online abrufbar ist. In diesem Artikel weist der Autor über ausgewertete Datenübertragungen nach, dass Cortana bei Anfragen auch Anwendungspfade übermittelt (muss es, um ggf. eine Anwendung aufzurufen).


(Quelle: heise.de, Datenübertragung von Cortana)

Obiges Foto zeigt einen Mitschnitt von Cortana, wo ein Pfad übertragen wird. Lukas Grunwalds Fazit: Es werden regelmäßig Telemetriedaten über die Rechnerverwendung, Cortana-Anfragen und aufgerufene URLs in die Microsoft-Cloud übermittelt. Gleiches gelte, laut Lukas Grundwald, für WLAN-Schlüssel, User-IDs und Passwörter. Im Artikel weist der Autor nach, was wo erfasst und telemetriert wird und wie sich das Sicherheits- und Datenschutztechnisch seit 2008 verschlechtert hat.

Ist Windows 10 mit dem deutschen Recht kompatibel?

Der iX-Artikel endet mit der spannenden Frage, ob die Art und Umfang der in die Cloud bzw. an Microsoft übermittelten Daten überhaupt mit deutschem Recht in Einklang zu bringen ist.

So findet sich im heise.de-Kommentar die Information, dass die Übermittlung von Daten durch Windows 10 sowohl mit den Vorschriften des Bundesdatenschutzgesetzes kollidieren, als auch Probleme im Hinblick auf das Betriebsverfassungsgesetze aufwerfen könnte. Problem ist, dass die durch diese Gesetze definierte Rechtslage nicht ganz klasklar ist.


Anzeige

Es wäre schon skurril: Im Rahmen der Mitbestimmung lehnen Betriebsräte in der Regel Betriebsvereinbarungen ab, in denen Arbeitnehmer per Software in dem kontrolliert und überwacht werden, was sie tun. Und mit Windows 10 käme so etwas durch die Hintertür in die Betriebe.

Windows 10 Home und Windows 10 Pro können, nach meiner Lesart, wegen der nicht konfigurierbaren Einstellungen zur Datenübertragung nicht rechtskonform betrieben werden. Besser soll es um Windows 10 Enterprise bestellt sein, welches aber nur Volumenlizenzkunden bereitgestellt wird. In diesem Foren-Kommentar bei heise.de behauptet ein Nutzer, dass selbst bei der Windows 10 Enterprise LTSB eine Datenübertragung stattfinde.

Jedenfalls untersucht das Bayerische Landesamt für Datenschutzaufsicht derzeit, ob ein datenschutzkonformer Einsatz von Windows 10 überhaupt möglich ist. Wie seht ihr das? Irgendwelche Stimmen aus dem Kreis der Betroffenen?

Abschließende Gedanken

Im Artikel Datenschleuder geht der Autor darauf ein, dass Office 2013- und 2016-Programme ebenfalls Telemetriedaten übermitteln, wobei dort der gesamte Pfad des gespeicherten Dokuments nebst zugehörigen Daten wie Dateiformaten, Titel und Autor zu den Microsoft-Rechenzentren in den USA übertragen. So etwas geht gar nicht – weder vom Betriebsverfassungsgesetz noch vom Datenschutz her.

Stell dir vor, jemand arbeitet in einer Firma und ist für Industriespionage interessant. Ob die Daten bei Microsoft sicher sind? Oder jemand gerät fälschlich oder berechtigt auf irgendwelche US-"Terrorlisten" – ob der US-Justiz und dem US-Geheimdienst der Zugriff verwehrt wird? Die alte Erfahrung ist: Sobald Daten gesammelt wurden und den Rechner verlassen haben, hast Du keine Kontrolle mehr. Einfach einen Blick in die Link-Liste am Artikelende werfen (Stichwort: AOL-Datenskandal, Yahoo).

Gut, kann man als Aluhut-Trägertum abtun. Aber man kann sich auch anschauen, was Microsoft in letzter Zeit an Taten gezeigt hat. Gab es nicht mal die Phase des Zwangs-Upgrades auf Windows 10, wo Microsoft sich einen feuchten Dreck um juristische Finessen oder die aufziehenden Shitstorms gekümmert hat. Da ist zudem dieses unselige "Windows as a service", bei dem alle paar Monate ein Feature-Upgrade rausgekippt wird. Da stellten die Leute fest, dass die Privatsphäreneinstellungen einfach mal gekippt wurden. Anleitungen, wie von meinem Autoren-Kollegen Ed Bott, sind da die berühmte "weiße Salbe", die gut ausschaut, aber den Placebo-Effekt setzt. So etwas ist ganz fix ausgehebelt und auch Gruppenrichtlinien sind von Microsoft für Windows 10 Pro schon mal beschnitten worden.

Was zukünftig noch kommt, steht in den Sternen. Ständig wird die Telemetriedatenerfassung durch Updates erweitert. Firmen könnten sich sogar am Windows Upgrade Analytics Dienst anmelden und auf die erfassten Telemetriedaten zugreifen. Wer will da als Datenschützer einen Blanko-Scheck ausstellen, dass da die angezeigten Daten für alle Ewigkeiten konform zum Datenschutz- und Mitbestimmungsrecht sind?

Grundsätzlich prallen hier zwei Welten aufeinander, die auch bei CETA, TISA und TTIP für Aufregung sorgen (siehe auch Schleift TiSA Datenschutz, IT-Sicherheit und Netzneutralität?). In den USA regelt man nichts und lässt die Firmen probieren – nur wenn es schief geht, wird eingegriffen. In Europa gilt das Vorsorgeprinzip, nachdem geregelt wird, was geht. Schaut man sich die Entwurfs-Philosophie von neueren Microsoft-Produkten wie Windows 10, Office 2016 etc. an, spiegelt sich das wunderbar wieder. Da ist nix mehr konfigurierbar – alles, was in den USA geht, soll auch den Rest der Welt zwangsbeglücken. Dass man damit gegen die Wand fährt, scheint das momentane Microsoft-Management nicht zu interessieren. Erst wenn es richtig weh tut, könnte man einlenken – die Geschichte wiederholt sich.

Im Hinblick auf die oben erwähnte Prüfung von Windows 10 durch das Bayerische Landesamt für Datenschutzaufsicht noch ein abschließender Gedanke: Im Grunde können die nur Windows 10 LTSB-Varianten überprüfen und ggf. dort einen Art Unbedenklichkeitsbescheinigung ausstellen. Bei den anderen Varianten kann sich die Basis ja binnen weniger Monate ändern, so dass eine Freigabe quasi einem Persilschein (nix sehe, nix höre, nix sage) gleichen würde. Die älteren Blog-Leser werden sich erinnern, dass man früher eine Zertifizierung für dieses oder jenes brauchte, um Produkte einzusetzen. Mir ist die C2-Zertifizierung für Windows NT (lange ist's her) in Erinnerung geblieben. Bei Windows 10 könnte es eine solche Zertifizierung, in meinen Augen, nicht mehr geben, weil sich die Basis des Betriebssystems ständig ändert. Das ist also ein massiver Paradigmen-Wechsel – wenn ich das anmerken darf. Und das Schlimme: Für Microsoft ist es nicht mehr relevant, da man dort das Heil in der Cloud sucht (siehe The cloud will absorb Windows (and the rest)

Aus dieser Sicht würde ich es für wenig ratsam halten, Windows 10 in sensitiven Bereichen wie bei Ärzten, Notaren, Rechtsanwälten, Insolvenzverwaltern, Therapeuten, Seelsorgern etc. einzusetzen. Und auch im restlichen Firmenumfeld dürfte die Entscheidung "pro Windows 10" auf heißen Prämissen beruhen. Das Schöne: Am Ende hat der Gesetzgeber den Geschäftsführer als Verantwortlichen "am Arsch".

Ähnliche Artikel:
Privatsphäre beim Suchen wahren
Yahoo hat E-Mails für FBI und NSA gescannt
Französische CNIiL fordert von Microsoft Stopp der Windows 10-Datenerfassung
Microsoft wegen Windows 10 Zwangs-Upgrade abgemahnt
Public Cloud: Risiko für Angestellte
Windows 10: Telemetrie für Update-Steuerung zwingend?
Malicious Software Removal Tool schickt auch Telemetriedaten
Wann Kompatibilitäts-Updates zur Telemetriedatenerfassung Sinn machen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Windows 10 und das Datenschutzproblem in Firmen

  1. Toni sagt:

    Völlig berechtigte Nachfrage…ich stelle mir vor, wenn Krankenhäuser, Schulen etc Windows 10 ausrollen und im Nachhinein ein Urteil erteilt wird, dass es nicht Datenschutzkonform sei.

  2. Hänk sagt:

    Gegen welche Paragraphen des Bundesdatenschutzgesetzes bzw. des Betriebsverfassungsgesetzes werden denn Verstöße befürchtet? Wenn man das wüsste, dann könnte man nachlesen, nachdenken und als Laie wenigstens spekulieren, ob da ein Verstoß vorliegt oder nicht.
    Im Gesetz steht wohl kaum konkret: "Es dürfen keine Pfade von aufgerufenen Anwendungen ungefragt in die Cloud nach USA geschickt werden". Das Gesetz wird abstrakter formuliert sein, und je abstrakter, desto auslegungsbedürftiger ist es. Gut, wenn einer sowohl Juist als auch Programmierer ist oder wenn eine sinnvolle Verständigung zustande kommt.

    Davon ab, scheint es mir für den Endverbraucher ziemlich unerheblich zu sein, ob die Übertragung juristisch in Ordnung ist oder nicht. Entscheidend sollte doch viel mehr sein, ob man selbst wirklich weiß, was da übertragen wird, und ob man die Übertragung selbst befürwortet oder nicht. Denn ob es nun legal ist oder nicht: Ich will eigentlich nicht, dass jedes beliebige mir persönlich zugeordnete Datum xyz irgendwo ausgewertet wird (für Firmen mag das anders sein).

    • Lies meine Ergänzungen zum folgenden Kommentar. Wer sich ein wenig mit der Materie befasst, erkennt recht schnell, dass da jede Menge Fallstricke lauern.

      • Hänk sagt:

        Dass dort Fallstricke lauern und die gesamte Lage ziemlich unübersichlich ist, ist wohl Konsens. Unbestreitbar ist auch, dass für ein sich stetig wandelndes Produkt keine Unbedenklichkeit bescheinigt werden kann (der Punkt betrifft nebenbei auch die älteren Windowsversionen, falls daran nachträglich rumgeschustert wird).
        Ich hatte andere Aspekte, die die Art, wie wir diskutieren, betreffen: Vor allem müssen wir das alles mal entzerren und nicht Ungleiches zusammenfassen. Und wir müssen uns alle mal dazu anhalten, den guten alten gesunden Menschenverstand einzuschalten.

        Fragen der Legalität sind für Verantwortungsträger relevant, nicht für Privatanwender. Ob bspw. die Daten, die übermittelt werden, ausreichen, um das Betriebssystem in einem juristischen Sinne als "geeignet zur Überwachung" zu bezeichnen, und ob dann folglich ein Betriebsverfassungsgesetz verletzt wird oder nicht, ist eine schwierige juristische Frage, deren Beantwortung auf die Interpretation von Paragraphen angewiesen ist.

        Als Otto-Endverbraucher ist mir das aber alles egal. Und zwar u.a., weil ich ein bestimmtes Bedürfnis nach "informationeller Selbstbestimmung" habe, und dieses Bedürfnis kann viel größer sein als das, was mir die Gesetze zugestehen würden. Dass es der Gesetzgeber vielleicht in Ordnung findet, was stattfindet, heißt noch lange nicht, dass ich das gut finde (umgedreht geht natürlich auch, dann ist mir eben alles egal, aber ich freu mich über Apps, die mir Spaß machen, egal, was mit Daten so passiert).

        Ob Microsoft illegale Sachen macht, ist deren Problem. Ob ich denen meine Daten in den Rachen werfe, das ist mein Problem. Und hier muss eben jeder einzelne Anwender durch vernünftige Information in die Lage versetzt werden, sich bewusst für oder gegen etwas zu entscheiden.
        Da geht es nicht um die Scham, die ich empfinde, wenn ich mir vorstelle, dass mein Nachbar weiß, welche Pornos ich mir anschaue oder wann mein Kredit geplatzt ist, sondern um die Frage, wie wir uns als Gesellschaft gestalten wollen, d.h. wie wir uns als Bürger gegenüber Konzernen und Staat positionieren wollen und wie wir miteinander umgehen. (Sorry, wollte kein Wort zum Sonntag schreiben.)

  3. Chonta sagt:

    Und wenn der Pfad sonst wo gespeichert wird, solange der Inhalt des Dokumentes nicht außerhalb des lokalen Rechners gepeichert wird ist es doch egal.
    Es ist zwar nicht schön, wenn in der Cloud steht, auf Rechner xyz befindet sich die Datei: %USERPROFILE%\Documents\StrengGeheim.docx.
    Aber um an den Inhalt zu kommen muss man erstmal auf den rechner raufkommen, und wenn das einer schafft, hat man ganz andere Probleme.

    Datenschuts und Sicherheitstechnisch wäre es nich thaltbar, wenn der Inhalt gleich mitübertragen wird damit man ain automatisches Backup bei MS liegen hat und auch andere die Datei durchsuchen können.
    Die Frage ist auch, in wie weit kann man diese Pfade auch eindeutig einem Rechner zuweisen? Wenn das nicht möglich ist, sind die Daten quasi Anonymisiert und der Datenschutz kann nicht meckern (oder weniger)

    Gruß

    Chonta

    • Ich formuliere es mal vorsichtig: Du hat das Prinzip der Metadaten nicht verstanden. Wenn ich bei Daten irgendwo sehe "Autor X hat Dokument y verfasst", kann das in Zeiten von Big Data schon eine solide Information sein. Und wenn dann noch UNC-Pfade von Servern übertragen werden, ist klar, wo das Dokument liegt.

      Spinnen wir das Thema weiter: Irgendwann wird eine Art Rasterfahndung über die Daten laufen gelassen. Diese filtert aus, Nutzer XYZ war zum Zeitpunkt XYZ am Ort a (dank Übertragung von Geolocation), hat irgendwann die Mail ycz verfasst und das Dokument 4711 in Word erstellt. Dann interessiert der Inhalt nicht, sondern die Verknüpfung macht es. Notfalls wird dann gezielter nachgeschaut. Alles Ansätze, die heute in den USA und in repressiven Staaten genutzt werden. In der Türkei reicht es, wenn jemand nur in den Verdacht gerät, Gülen-nahe zu sein, um entlassen oder verhaftet zu werden – nur mal so als Beispiel.

      Und es gibt im Artikel den Hinweis, dass niemand weiß, wo die Reise hin geht. Ich habe auch dediziert geschrieben, dass ein Datenschützer bei Licht betrachtet keine Blanko-Freigabe erteilen kann, sondern den Einsatz von Windows 10 ablehnen müsste.

      Noch was: Existiert im Unternehmen ein Betriebsrat, ist dieser bei der Einführung von technischen Maßnahmen, die zur Überwachung geeignet sind, zustimmungspflichtig. Einfach mal diesen Artikel, speziell den letzten Absatz, lesen. Da ist viel Interpretationsspielraum …

      Mein Tätigkeiten in der Industrie sind 22 Jahre her – aber ich weiß, "der Krug geht so lange zum Brunnen, bis er bricht", und dann ist immer einer der Arsch. Sobald eine Rechtsverletzung festgestellt wurde, haftet der Geschäftsführer – es sei denn, es wurde die Verantwortlichkeit nachweisbar delegiert. Datenschutz, Umweltschutz und ähnliches waren da immer sehr undankbare Tätigkeitsfelder, wo es die "Beauftragten" gab. Und die taten gut daran, sehr konservativ vorzugehen. Aber möglicherweise wird das heute lockerer gesehen.

      • Ralf Lindemann sagt:

        Dito. Man darf nicht vergessen, in repressiven Staaten macht man sich schon verdächtig, teilweise sogar strafbar, wenn man Anonymisierungstools wie Tor oder Verschlüsselungstechniken wie TrueCrypt einsetzt. In diesen Fällen genügen dann tatsächlich Programmpfade, die auf Tor oder TrueCrypt verweisen, um ins Visier der Strafverfolgungsbehörden zu geraten.

      • Chonta sagt:

        Gebe ich Dir Recht.
        Aber dann ist es egal ob Home oder Pro beides gehöhrt für privat und Firmen nach datenschutzrecht verboten ohne Außnahme.
        Aber Win10 enterp. ist keine Option wegen dem Lizenzmodel und die Vorgänger auch nicht wegen des Alters.
        Linux geht nicht weil Libreoffice nicht mit MS-Office richtig zu recht kommt (Formatierungen) und auch bei Calc nur einen Kern benutzt..
        Was nun?

  4. Rolf Dieter sagt:

    Das ist nicht nur eine Behauptung, dass auch die LTSB nach Hause telefoniert. Das ist Fakt. Ich habe es auch vor längerer Zeit getestet, und kann es bestätigen.
    Für den kleinen Testaufbau reicht es sich einfach das Programm DNSQuerySniffer von der Firma Nirsoft zu laden und auszuführen (vorher noch ein flushdns machen). Ich hatte damals noch einen kompletten Proxy vorgeschaltet.
    Windows 10 ist und bleibt ein Produkt der IT-Taliban.

  5. Ganz so krass würde ich es dann doch nicht formulieren, ja du hast schon sehr recht und ich teile auch deine bedenken und habe auch Microsoft mitgeteilt das ich nicht besonders erfreut bin über diese Datenerfassung.

    Strenggenommen darfst du dann eigentlich einige Betriebssysteme, Programme und Apps überhaupt nicht mehr im Business Bereich mehr verwenden, auch Windows 7 und 8 ist mittlerweile langst durch Telemetrie Erfassung und Datenübertragung längst verseucht und das nicht erst seit Windows 10 auf dem Markt ist. Das bedeutet natürlich nicht das ich diese Datenerfassung Toleriere, auch wenn ich sie in der Eula abnicke um das Betriebssystem zu installieren oder zu nutzen.

    Aber wenn ich mir mal so überlege wie viel passiert ist seit dem sich herausstellte hat wie viele Daten ein Android Telefon während des Tages an Daten über mich sammelt und an Google weiter versendet, muss ich ganz ehrlich sagen bin ich etwas beschämt und enttäuscht von unseren Deutschen als auch EU Datenschützern.

    Also ich will damit das nicht für gut heißen was da Microsoft macht aber dann wenn man sich aufregt sollte man rigeros gegen alle vor gehen.

    • Rolf Dieter sagt:

      Also nach meinen Tests kann ich sagen, dass Windows 7 nicht nach draußen petzt. Natürlich wurden alle Telemetriedatenupdates von mir abgelehnt. Zu Windows 8 kann ich nichts sagen, da es von uns komplett ignoriert wurde. Kann ich aber bei Gelegenheit testen. Irgendwo wird noch eine VM sein.

      Natürlich sammelt Google genau so wie Microsoft. Aber mit Windows 10 bekommt alles eine andere Dimension. Beim Handy gibt es Alternativen. Und wenn es ein JailBreak oder ein CyanogenMOD ist. Bei Windows leider nicht. Und die Menge an Daten die jetzt mit W10 abgeschöpft werden kann übertrifft alles bisher da gewesene. Android, Apple und Amazon zusammen ist doch Datenmengentechnisch dagegen ein Witz. Zugriff auf Milliarden von Privat und Business Computern, deren Programme, Surfgewohnheiten, Mails, Kontakte etc.
      Deswegen finde ich IT-Taliban noch gemäßigt. :-)
      Ich habe da noch ganz andere Ausdrücke in petto. ;-)
      W10 muss von der EU verboten werden!
      Und die Spacken aus der Politik sollen Gelder freimachen für ein Deutschland oder EU OS auf Linux oder ReactOS Basis.
      China macht es, Indien und Russland auch. Norkorea hat es schon. :-)
      Das kann doch nicht so schwer sein.

      • Unsere Politiker werden sich da schön heraushalten und das aussitzen, wie für gewöhnlich unter Merkel.

        Und Windows 7 als auch 8 werden fleißig mit Updates weiter gefüttert.

        Im übrigen wenn du die Telemetriedatenupdates von Windows 7 hübsch abgelehnt hast, aber die Qualitätstrollups Update vom Oktober 2016 KB3185330 als auch KB3192403 wiederum angenommen hast werden dir die fehlenden Updates zur Telemetrieerfassung nachträglich eh installiert werden ob du willst oder nicht, somit bleibt sich das gleich.

        Darauffolgenden Updates werden von Microsoft eh in sogenannten Rollups Paketen verteilt in denen dann fehlende Updates einfach hübsch verpackt auf deinem Rechner einfach nachgereicht werden damit jeder PC hübsch gleich aussieht.

        Auf ein EU OS, wie in Indien oder Russland, aber vor allem Nordkorea würde ich lieber verzichten wollen, gerade Nordkoreas Red Star OS ist so perfide aufgebaut das alle Daten die jemals auf dem PC gespeichert werden Automatisch mit einem Wasserzeichen versehen werden, so kann man immer genau feststellen woher das Dokument kam als auch auf welchem PC es erstellt wurde, also Totale Überwachung.
        Also bevor du so einen Mist von dir gibst und auf das RedStar OS hinweist würde ich mich erst einmal schlau machen.

  6. Andreas K. sagt:

    @Dieter
    Ich habe mir die Liste von hier: https://kowabit.de/oh-windows-10-mein-windows-10/
    in die Ausnahmeliste von Eset http://support.eset.com/kb2844/?locale=en_US importiert.
    …Watson… ist etwas, was regelmäßig geblockt wird. Mal sehen, was das Log sagt, geht aber erst am Abend.
    Wie es aussieht, werde ich mich wohl demnächst wieder in Linux einarbeiten.

  7. Nils sagt:

    Ich habe mir mal die verlinkten Artikel durchgelesen um endlich einmal zu erfahren, was da konkret für Daten übertragen werden. Aber ich bin wieder einmal enttäuscht worden.

    Da fließen irgendwelche Daten. OK. Das ist bei der aktivierung der Cloud Daten und Cortana irgendwie logisch. Suchanfragen über Edge von mir aus auch noch. Telemetriedaten ist auch klar. Aber welche personenbezogene Daten werden darüberhinaus übertragen?

    Nicht dass wir uns falsch verstehen, ich will nicht bestreiten, dass da irgendwelche Daten fließen. Aber nur wenn mir einmal jemand konkret aufzeigen kann, was das für Daten sind, kann ich auch bewerten, ob die für mich oder mein Unternehmen kritisch sind.

    Naja, mal abwarten, was die bayrischen Datenschützer raus bekommen oder ob das wie in den verlinkten Artikeln auch nur heiße Luft ist….

    • Im Artikel ist z.B. der Pfad zu aufgerufenen Anwendungen gelistet. Das reicht imho schon, um in Unternehmen mit Betriebsrat mitbestimmungspflichtig zu werden. Und wenn der Betriebsrat mit der Unternehmensführung über Kreuz liegt, könnte das zäh werden. Vor allem, weil niemand weiß, wohin die Entwicklung mit W10 künftig geht. Sobald eine Unternehmens-IT für die am CEIP teilnehmenden Maschinen Daten abrufen kann und die theoretische Möglichkeit besteht, dass dort auch die Zahl der aufgerufenen Anwendungen angezeigt werden, dürfte es kritisch werden. Sind momentan einfach nur Gedankengänge …

      … ich mag falsch liegen. Aber aus meiner Tätigkeit als Ingenieur in der chemischen Industrie ist haften geblieben, dass bei Audits immer nur der Ist-Zustand zertifiziert werden konnte. Wurden Komponenten in Systemen ausgetauscht, mussten diese entweder zertifiziert sein oder die Gesamtbetrachtung wiederholt werden.

      Und nun mappe das mal auf Windows 10. Du entscheidest heute "ok, wir können das einsetzen, da die Datenübertragung rechtlich gesehen (möglicherweise mal gerade so) unkritisch ist. Es werden zig hundert oder tausend Systeme umgestellt – und alle paar Monate kippt die Basis der Bewertung auf Grund von Feature-Upgrades. Einziger Ausweg wäre Windows 10 Enterprise LTSB – welches aber von MS nur für "mission critical" Einsätze vorgesehen ist.

      Glücklicherweise habe ich persönlich nichts mehr mit dem ganzen Zeugs am Hut. Und als Blogger kann ich nur Denkanstöße geben und Quellen angeben – entscheiden müssen die Verantwortlichen schon selbst – denn die hat mal ggf. später an den E…rn.

    • Rolf Dieter sagt:

      "Da fließen irgendwelche Daten. OK. Das ist bei der aktivierung der Cloud Daten und Cortana irgendwie logisch. Suchanfragen über Edge von mir aus auch noch. Telemetriedaten ist auch klar. Aber welche personenbezogene Daten werden darüberhinaus übertragen?"

      Hallo! Geht es noch?
      Außerdem reden wir hier von der LTSB Version. Nix Cortana, nix Cloud. Alle Telemetriedatenerfassungen abgestellt. Trotzdem wird fleißig nach Hause gefunkt.
      Gerade vorgestern mal Office 2013/16 getestet.
      Sobald ein Dokument geöffnet wird, Traffik! Sobald etwas gespeichert wird, Traffik, usw.
      In den den älteren Office Versionen ist das nicht der Fall!
      Was hat es Microsoft zu interessieren, was ich öffne oder speichere?
      Ich kann über so viel Arroganz von Dir nur den Kopf schütteln.
      Ich bin dafür, dass alle Daten die Panorama bekommen hat veröffentlicht werden, damit dieses Gefasel von "Ich habe nichts zu verbergen" oder " Die übertragen etwas, aber es ist bestimmt nichts schlimmes" endlich aufhören!

  8. Cordula sagt:

    Prinzipiell sind die Überlegungen zum Datenschutz richtig. Allerdings sind dem Autor zu Windows und Cloud ein paar Fehlinformationen unterlaufen:
    – Windows 10 Home oder Pro ist lizenztechnisch für Firmen nicht zugelassen. Dort nur die Enterprise-Variante.
    – Windows 10 Enterprise LTSB enthält weder Cortana noch Edge.
    – Kein Windows außer Win 10 mobile synchronisiert standardmäßig mit der Cloud, außer der User schaltet es ein.
    – Office 365 synchronisiert mit der Cloud, Office 2016 nicht. Bei Office 365 liegen die Daten irgendwo, möglicherweise auch in den USA.
    – Office 365 for business synchronisiert mit der cloud, ABER nur mit Servern in Europa = europäisches Datenschutzrecht, oder falls die Firma eine eigene hat, mit dieser. Nach deutschem Datenschutzrecht ist z.B. bei Ärzten und Rechtsanwälten vorgeschrieben, dass die Daten in Deutschland bleiben müssen.
    – Es liegt also an der jeweiligen Firma, wie sie mit ihren Daten umgeht.
    So, nun zu den Handys:
    – MS muss genauso wie Apple und Google die Bilder der Nutzer auf Kinderpornographie scannen.
    MS gibt genauso wie Apple die Nutzerdaten nicht weiter. Android/Google macht das und scannt den kompletten Inhalt und nutzt die Daten.
    – Wer also irgendetwas von Google nutzt, auch Firmen, und das nicht korrekt abschottet und gegentestet, ist selbst schuld.
    – Jede Firma, die die Applecloud nutzt, speichert Daten in den USA.
    Noch ein Wort zu Linux:
    – Es wird immer behauptet, dass Linux, weil es open source ist, sicher sei. Das stimmt NUR dann, wenn der Anwender oder Disti SÄMTLICHE Codezeilen gelesen und richtig verstanden hat. Denn bei Linux kann jeder, auch jeder Geheimdienst, mitprogrammieren.

    • "– Windows 10 Home oder Pro ist lizenztechnisch für Firmen nicht zugelassen. Dort nur die Enterprise-Variante."

      Belege? Speziell die Argumentation mit Win 10 Pro in Firmen lizenztechnisch nicht zugelassen halte ich für windig. Die Eula gibt beim Überfliegen nix her und Windows 10 Pro ist für Volumenlizenzkunden explizit verfügbar …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.