Die oberste französische Datenschutzbehörde CNIiL (Chair of the National Data Protection Commission) hat Microsoft ein formales Schreiben zukommen lassen, in dem die Datenerfassung durch Windows 10 als Bruch nationaler und EU-Datenschutzgesetze moniert und die Einstellung der Erfassung ultimativ gefordert wird.
Anzeige
Hier im Blog läuft zur Zeit ja die Artikelreihe über "Windows 10 im Unternehmen" und in Teil 1 habt ihr lesen können, wie großartig sich Microsoft doch findet. Dummerweise sehen das nicht Alle so. Im Blog hatte ich über Abmahnungen deutscher Datenschützer gegen Microsoft Deutschland berichtet. Auch Frankreich zieht Microsoft jetzt in Form der obersten französischen Datenschutzbehörde CNIiL (Chair of the National Data Protection Commission) die Daumenschrauben an.
CNiL hat ein formales Schreiben an die Microsoft Corporation in den USA geschickt und fordert das Unternehmen auf, die "exzessive Datensammlung sowie das Benutzertracking beim Browsen ohne Benutzerzustimmung zu stoppen". Zudem wird Microsoft ultimativ aufgefordert, die Sicherheit und Vertraulichkeit der Benutzerdaten sicherzustellen.
The Chair of the National Data Protection Commission (CNIL) issues formal notice on Microsoft Corporation to stop collecting excessive data and tracking browsing by users without their consent. She is also demanding that Microsoft take satisfactory measures to ensure the security and confidentiality of user data.
In dem formalen Schreiben an Microsoft werden dem Unternehmen mehrfaches, gravierendes Versagen und Verstoß gegen die europäischen und französischen Datenschutzregeln und –Gesetze vorgehalten.
Irrelevante und exzessive Datensammlung
Das CNiL beschreibt, dass Microsoft über seine Telemetriedatenerfassung Daten zur Diagnose und zur Nutzung erfasst, um (neben anderen Sachen) Probleme zu identifizieren und das das Produkt zu verbessern. Es wird festgehalten, dass Microsoft dabei auch Nutzungsdaten zu den Windows-Apps, zum Windows Store erfasst (z.B. welche Apps vom Benutzer heruntergeladen und installiert wurden und wie viel Zeit der Nutzer damit verbringt). CNiL sieht dies als "exzessives Datensammeln", welches für den Zweck der Wartung nicht erforderlich sei.
Fehlende Sicherheit
Der nächste Vorwurf trifft quasi den Kern von Microsofts Ansatz, betont das Unternehmen doch, dass Windows 10 "das sicherste Windows aller Zeiten sei". Bei CNiL sieht man dies fundamental anders – Microsoft hat mit der aus vier Ziffern bestehenden PIN zur Benutzeranmeldung quasi eine Schwachstelle eingebaut. Wer die vierziffrige PIN knackt kann auf das Microsoft Konto, die App-Store-Käufe und so weiter zugreifen.
Fehlende individuelle Zustimmung zur Datensammlung
Die von Windows 10 standardmäßig bei der Installation aktivierte Tracking ID ermöglicht es Windows-Apps und anderen Apps die Benutzeraktionen oder das "Browsen" zu verfolgen und zielgerichtete Werbung ohne die explizite Zustimmung des Nutzers auszurollen.
Ungenügende/fehlende Informationen bzw. Blockade von Cookies
Das Unternehmen setzt Werbe-Cookies in allen Websessions des Benutzers, ohne diesen ausreichen zu informieren und die Nutzerzustimmung einzuholen.
Datentransfer ins Ausland auf Basis "Safe Harbor"
Der letzte Punkt enthält echten Sprengstoff, den CNiL ist der Ansicht, dass Microsoft die erfassten Daten auf Basis des am 6. Oktober 2015 auf Grund eines EuGH-Urteils ausgelaufenen Safe Harbor-Abkommens in die USA transferiert. Alleine dafür wäre schon ein Bußgeld fällig.
Anzeige
Nur ein Schreiben, aber mit deutlicher Ansage
CNiL spricht mit dem Schreiben an Microsoft eine formale Anweisung gegenüber dem Unternehmen aus. Falls Microsoft dieser Anordnung nicht innerhalb einer angemessenen Frist nachkommt, behält sich CNiL Sanktionen gegen Microsoft vor. Die Information an die Öffentlichkeit ist hier nachzulesen (Englisch), der englische Brief an Microsoft ist als PDF-Datei im Dokument Decision No 2016-058 of 30th june 2016 serving a formal notice on Microsoft Corporation einsehbar.
Meine 2 Cents
Wenn ich solche Punkte in den letzten 12 Monaten hier im Blog angerissen habe, bin ich mitunter heftig kritisiert worden ("ist das bewiesen", "ist doch zulässig" etc.). Einige Blog-Leser haben sich so geärgert, dass sie dem Blog den Rücken gekehrt haben. Nun gut, zum Microsoft Fan-Blog soll die Site hier nicht mutieren – was gut ist, wird gelobt – und wenn's Scheiße läuft, ist kritischer Diskurs angesagt. Wenn ich mir so die am Artikelende verlinkten Blog-Beiträge ansehe, bin ich wohl nicht der Einzige, der das Gefühl entwickelt, dass Microsoft mit seinem Windows 10-Kurs an manchen Stellen "daneben liegt".
Das Schreiben der CNiL ist mir ein paar Tage zuvor gekommen – ich hatte zum Abschluss der Artikelreihe "Windows 10 im Unternehmen" noch einen Artikel mit Pferdefüßen bei Windows 10 aus meiner Sicht geplant. Mit auf der Agenda war auch der Punkt Datenerfassung. Speziell die Klientel der Unternehmen mit Mandanten oder Patienten (Rechtsanwälte, Notare, Ärzte, Seelsorger, Abgeordnete, Journalisten etc.), deren Daten besonders schützenwert sind, segeln mit Windows 10 auf "heißem Pflaster". Aber auch Unternehmen müssten sich die Frage stellen "wie halte ich es mit meinen vertraulichen Geschäftsvorfällen?". Mal schauen, wann ich den Artikel zurecht schnitze.
Geschichte wiederholt sich nicht, heißt es allgemein, und wenn doch als Farce. Im Jahr 2000 gab es mal eine Aufspaltung von Microsoft in zwei Unternehmensteile (Windows und Office) durch die US Wettbewerbsbehörde. Und es gab die Windows N-Varianten sowie den Browserauswahlbildschirm, die auf Druck der EU eingeführt werden mussten. Microsofts Entscheider hätten also gewarnt sein können. Wollte man aber nicht sehen – und nun scheint es, als ob das Unternehmen es auf die harte Tour erneut lernen muss. (via)
Ähnliche Artikel:
Windows 10 Zwangs-Upgrade – juristischer Ärger in den USA
Windows 10-Zwangs-Upgrade: Shitstorm in China
Sammelklage gegen Microsoft wegen Windows 10-Upgrade?
Windows 10: Neue Klage der Verbraucherschützer
Microsoft wegen Windows 10 Zwangs-Upgrade abgemahnt
Erster Schadenersatz wegen Windows 10 Zwangs-Upgrade
2015
Pingback: Microsoft has been “served” by French for Windows 10 privacy failings | Born's Tech and Windows World
Dass die Franzosen Druck machen wollen ist lobenswert. Als Laien stellt sich mir nur schlicht die Frage, mit welchen Sanktionen gedroht werden könnte, falls Microsoft den Forderungen nicht nachkommt.
Zwei Anmerkungen.
1. Steter Tropfen höhlt den Stein – wenn ich als kleiner Blogger was schreibe, kümmert keinen – die Meldung wird Staub aufwirbeln – es geht um "Vertrauen und Reputation". Wenn eine Behörde sich durchringt (man denke nur an das BSI Geschwurbel zur Warnung vor Windows 8), ist das schon eine Hausnummer. Zudem gibt es ja ähnliche Entwicklungen in vielen Ländern, denn Microsoft überzieht (Grenzen bewusst oder unbewusst austesten).
2. Der französische Staat und das CNiL können da schon Strafen und Sanktionen aussprechen. Und wenn irgendwo ein No Go für Windows 10 für staatliche Unternehmen heraus kommt, wird das bitter für Microsoft.
Also: Auf die leichte Schulter nehmen sollte man das nicht.
Oha, dann gibt's wohl demnächst ein verkaufsverbot für Android basierte Geräte und eine Websperre für alle Google Dienste. Denn bei Windows kann man ALLES abschalten, bei Android und Google nicht!
Auch da sollte man schauen, was die EU-Kommission macht. Aktuell nimmt Google fast eine halbe Milliarde Euro in die Hand, um Lobby-Arbeit in Europa zu machen. Der Schuss könnte nach hinten los gehen …
Microsoft gibt vor, man könne alles abschalten. Das ist ein kleiner aber feiner Unterschied.
Das was Android und iOS nachhause funken, ist eigentlich auch eine Frechheit, aber einem Smartphone vertraut man eh schon lange nicht mehr, in vielen Firmen werden Phones vor wichtigen Besprechungen aus dem Raum entfernt etc. Trotzdem denke ich, daß für Android, iOS&Co ähnlich strenge Maßstäbe gelten sollten, wie sie das CNIL an Windows 10 anlegt. Die ganze Nachhausetelefoniererei gehört abgestellt und sollte nur noch mit expliziter Einwilligung des Kunden stattfinden, und das nicht pauschal einmal bei der Installation mit Blankoschein, sondern explizit für jedes Mal, wenn nachhause gefunkt wird, und mit der Möglichkeit, die einer App erteilten Privilegien zurückzunehmen. Auf meinen Smartphones stelle ich Internet sowieso immer ab, ausser ich will tatsächlich mal surfen oder navigieren, was mittlerweile eher selten vorkommt.
Nachtrag: Bei heise.de findet sich zwischenzeitlich ein weiterer Beitrag mit einigen ergänzenden Informationen.
Die momentan im Raum stehenden Bussgelder der CNIL sind aber eher lächerlich [1], ich habe etwas von 6-7stelligen Summen gelesen, das zahlt MS aus der Portokasse. Härter träfe MS ein Windows10-Verbot in französischen Behörden und anderen staatlichen und kommunalen Einrichtungen. Soweit will die CNIL aber wohl noch nicht gehen.
Der MS-O-Ton in [2] liest sich wie Realsatire, nach dem Motto, wir achten sehr auf Privacy und werden unsere Bemühungen noch massiv verstärken. Und den dummen Franzosen werden wir alles nochmal erklären, vor allem, wie toll doch alles in Windows 10 ist. Hach, Betriebsystementwicklung könnten so schön sein, wenn es doch nur nicht diese doofen Bürger/Kunden gäbe.
Ich schätze mal, bei MS denkt man schon intensiv über den Nutzer 4.0 nach, dessen Rechner wird vollautomatisch von einem MS-Bot gesteuert, natürlich nur zum Schutz des Users, der Nutzer darf höchstens alle paar Minuten mal eine Frage stellen oder ein Video starten. Das Ganze nennen wir dann Betreutes Rechnen.
[1] https://www.rt.com/news/352417-france-microsoft-user-data/
[2] http://www.winbeta.org/news/microsoft-responds-frances-cnil-notice-windows-10-data-protection-concerns