Positionierung zum Einsatz von Windows 10 und zur Bedeutung verschlüsselter Kommunikation

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 30.11.2020

Unternehmen und Behörden können beim Einsatz der Enterprise-Edition von Windows 10 die Übermittlung personenbezogener Telemetriedaten unterbinden, wenn sie die Telemetriestufe „Security“ nutzen. Das hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im Rahmen ihrer 100. Zusammenkunft am 25. und 26. November in einem Beschluss festgestellt.

Die Enterprise-Edition von Windows 10 war im IT-Labor der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen in verschiedenen Szenarien getestet worden. Dabei zeigte sich, dass unter bestimmten Voraussetzungen (Anwendung des „Windows Restricted Traffic Limited Functionality Baseline“, Telemetriestufe „Security“) keine Telemetriedaten an Microsoft übermittelt wurden. „Mit diesen Feststellungen haben wir einen wichtigen Schritt gemacht, damit Verantwortliche Windows 10 datenschutzkonform einsetzen können“, sagt Barbara Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen. „Ich bin deshalb sehr zufrieden, dass die Datenschutzkonferenz sich hier auf eine gemeinsame Linie einigen konnte.“

Allerdings stelle diese Untersuchung nur eine Momentaufnahme dar, weil Windows 10 laufend fortentwickelt werde, so der Beschluss der DSK. Zudem seien immer noch Fragen zur Datenübermittlung unbeantwortet, weshalb Verantwortliche nicht abschließend von ihrer Prüf- und Nachweispflicht für den datenschutzkonformen Einsatz von Windows 10 entlastet werden könnten. Sie müssten mit vertraglichen, technischen oder organisatorischen Maßnahmen sicherstellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet. Dies gilt besonders für den Einsatz der Pro- und Home-Editionen, in denen die Telemetriestufe derzeit nicht auf Security gesetzt werden kann. Windows 10, so die Forderung der Datenschutzkonferenz, sollte in allen angebotenen Editionen die Möglichkeit bieten, die Telemetrie-Datenverarbeitung durch Konfiguration zu deaktivieren. Um das zu erreichen, werden die Datenschutzaufsichtsbehörden weiter das Gespräch mit Microsoft suchen.

Verschlüsselung essenzielle Voraussetzung für Digitalisierung

Sehr klar lehnte die Datenschutzkonferenz zudem die Forderungen des EU-Rats ab, Sicherheitsbehörden und Geheimdiensten den Zugriff auf Inhalte verschlüsselter Kommunikation zu ermöglichen. Die Entschließung „Für den Schutz vertraulicher Kommunikation durch eine sichere Ende-zu-Ende-Verschlüsselung – Vorschläge des Rates der Europäischen Union stoppen“ betonte, dass eine sichere und vertrauenswürdige Verschlüsselung essenzielle Voraussetzung für eine widerstandsfähige Digitalisierung in Wirtschaft und Verwaltung sei.

„Würden die Vorschläge des Rates der Europäischen Union umgesetzt, würde eine sichere Ende-zu-Ende-Verschlüsselung untergraben und notwendiges Vertrauen zerstört“, so die Entschließung der Datenschutzkonferenz. Das angestrebte Ziel, nämlich die Ermittlungsmöglichkeiten von Sicherheitsbehörden zu verbessern, werde dadurch nicht nachhaltig und effektiv erreicht. Gleichzeitig würde der Einsatz wirksamer Ende-zu-Ende-Verschlüsselung für technisch weniger versierte Bürgerinnen und Bürger faktisch unmöglich gemacht.

„Solche Hintertüren widersprechen dem Grundgedanken des Datenschutzes durch Technikgestaltung“, sagt Niedersachsens Landesdatenschutzbeauftragte Thiel. „Zudem verfügen unsere Sicherheitsbehörden bereits über sehr weitreichende Befugnisse wie die Quellen-Telekommunikationsüberwachung, von der aber kaum Gebrauch gemacht wird.“

Mehr Informationen

Beschluss der DSK: Telemetriefunktionen und Datenschutz beim Einsatz von Windows 10 Enterprise

Laborbericht der LfD Niedersachsen: Windows 10 Telemetrie-Prüfung mit Nutzerinteraktion

Entschließung der DSK: Für den Schutz vertraulicher Kommunikation durch eine sichere Ende-zu-Ende-Verschlüsselung – Vorschläge des Rates der Europäischen Union stoppen

Pressemitteilung zur 100. DSK

Die Pressemitteilungen der Landesbeauftragten für den Datenschutz Niedersachsen können hier abgerufen werden.