Microsoft Deutschland erhält den Big Brother Award für sein Betriebssystem. Baden-Württembergs oberster Datenschützer verlangt, dass Nutzer die Übertragung von Daten an den Konzern unterbinden können.
Stuttgart - Microsofts Betriebssystem Windows 10 ist ein äußerst mitteilsames Programm. Es überträgt regelmäßig Diagnose-Daten vom Rechner des Nutzers an den Hersteller – und zwar ohne dass die Nutzer etwas dagegen tun können. „Möchte ich aus gutem Grund auf eine Internetverbindung verzichten, ist das mit Windows 10 praktisch nicht mehr möglich“, kritisiert Frank Rosengart vom Chaos Computer Club. Das hat Microsoft jetzt den Negativpreis Big Brother Award eingebracht. In seiner Preisbegründung erinnert Rosengart daran, dass es heute fast schon normal sei, dass Geräte und Programme „nach Hause telefonieren“. Doch „was geht es Microsoft an, ob Sie Ihren Computer eher als Schreibmaschine, als Spielzeug, als Fernseher oder für Bildbearbeitung benutzen“, ärgert sich der Hacker – und fragt: „Was macht die Firma mit dieser Information? Wir wissen es nicht.“
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) unterzog die Firmenversion von Windows 10 im vergangenen Jahr einer Laborprüfung. Dabei stellte es fest, dass sich selbst durch Gruppeneinstellungen die Datenübertragungen nicht verhindern ließen. Jüngst versuchte Dataport, ein IT-Dienstleister für mehrere Bundesländer, das System komplett vom Internet abzukoppeln. Obwohl die Online-Dienste ausgeschaltet waren, konnten die Techniker die Übertragung eines kleinen, verschlüsselten Datenrests nicht abstellen. Auf Nachfrage teilte Microsoft mit, dass das nicht möglich sei, weil sonst die Systemstabilität gefährdet sei.
Mögliche Lösung
Möglicherweise liefert Microsoft mit dem neuen System-Update eine Lösung. Denn dann sollen Nutzer mit dem „Diagnostic Data Viewer“ sehen können, welche Daten zur Konzernzentrale übermittelt werden. Auch sollen sie einzelne Datenübertragungen abstellen können. Ob das für alle diese Datentransfers möglich sein wird, ist aber unklar. Dataport testet das Tool seit Ende Januar – bisher ohne Ergebnis. Für private Nutzer sind ebenfalls Verbesserungen zu erwarten. Denn wie die niederländische Datenschutzaufsichtsbehörde nach einer Prüfung festgestellt hat, verstoßen sowohl die Heim- als auch die Firmenversion von Windows 10 gegen europäisches Datenschutzrecht.
Für den baden-württembergischen Datenschutzbeauftragten Stefan Brink ist klar, dass „jeder Nutzer von Windows 10, wie auch von anderen Betriebssystemen und Anwendungen, die volle Kontrolle über seine Daten haben muss“. Es müsse „volle Transparenz bezüglich der übertragenen Daten herrschen, und der Anwender muss jede Übertragung deaktivieren können“. Brink wartet jetzt auf den Prüfbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI), das seit Monaten versucht, die verschlüsselten Datenströme von Windows-10-Rechnern an Microsoft aufzuklären.
Nachbesserung gefordert
In Brinks eigener Behörde hatte die baden-württembergische BITBW als IT-Dienstleisterin für die Landesverwaltung bereits Windows 10 installiert. Wegen der ungeklärten Datenströme fordert Brink jetzt Microsoft auf, „schleunigst nachzubessern und sich spätestens ab Ende Mai an die Datenschutz-Grundverordnung zu halten“. In Richtung BITBW sagt Brink, dass er den Einsatz problematischer Produkte beanstanden könne und damit auch deren Nutzung ab Mai „mit verbindlicher Wirkung“ untersagen könne.
Brink sieht seine Behörde nun in der gleichen Situation wie viele andere Behörden. „Derzeit setzen viele in der öffentlichen Verwaltung eingesetzte Anwendungen Windows voraus. Hier umzusteuern fällt vielen Verwaltungen – wie auch Privatunternehmen – natürlich schwer“, sagt er. Man habe sich inzwischen in „eine faktische Abhängigkeit zu bestimmten Anbietern manövriert“. Deshalb müssten die Behörden Alternativen in der Ausbildung wie auch bei der Beschaffung stärker beachten.
Die Behörden des Landes Baden-Württemberg sind nicht die einzigen, die Windows 10 jetzt oder in naher Zukunft einsetzen werden. Das Bundesinnenministerium verhandelt derzeit mit Microsoft über neue Rahmenverträge für Bund, Länder und Kommunen. Dabei geht es nicht um Peanuts: Wie eine Anfrage im Haushaltsausschuss des Deutschen Bundestags vergangene Woche zeigte, zahlte allein der Bund in den letzten drei Jahren eine Viertelmilliarde Euro Lizenzgebühren an Microsoft.
Arbeit für Datenschützer
Bei den Verhandlungen vor drei Jahren spielten Datenschutz- und Sicherheitsaspekte noch eine untergeordnete Rolle. Das könnte jetzt anders werden: Die Datenschutzkonferenz von Bund und Ländern wird sich Ende April mit dem Thema befassen. Deren Vorsitzende, die nordrhein-westfälische Landesdatenschützerin Helga Block, weist vorsorglich darauf hin, dass „im Einzelnen zu prüfen ist, ob der Datentransfer angemessen und insgesamt zulässig ist“. Das wird jedoch nicht allein Aufgabe des BSI sein, auch die Datenschutzaufsichtsbehörden werden sich damit befassen müssen.
Block weist auch in Richtung Europa: So müsse geprüft werden, „ob ein Datentransfer ins Ausland erfolgt und ob dort ein angemessenes Datenschutzniveau gewährleistet ist“. Seit dem Facebook-Skandal rund um die Datenauswertungsfirma Cambridge Analytica steht auch die Rechtsgrundlage für den transatlantischen Datenverkehr, der sogenannte Privacy Shield, wieder auf dem Prüfstand der EU-Kommission.
Dass Microsoft eine Rolle rückwärts macht und die Datenübertragung komplett blockiert, ist angesichts der Konzernstrategie unwahrscheinlich. Erst vor zwei Wochen bekräftigte Microsoft-Chef Satya Nadella die zentrale Marschrichtung in Richtung Cloud: Software, Daten und Rechenkapazität sollen zunehmend aus dem Netz kommen. Ein Betriebssystem, das nicht mit dem Netz kommuniziert, ist damit aus Sicht des Konzerns ganz klar ein Auslaufmodell. Die Frage ist nur, ob Behörden und auch Unternehmen, die in sicherheitskritischen Bereichen aktiv sind, mit dieser Vision leben können.
Negativpreis Big Brother Award
Negativpreis
Der Big Brother Award wird vom Bürgerrechtsverein Digitalcourage organisiert. Jedes Jahr werden Firmen und Institutionen „prämiert“, die sich wenig um Datenschutz scheren. Zur Jury gehören Vertreter des Chaos Computer Clubs, der Internationalen Liga für Menschenrechte und der Deutschen Vereinigung für Datenschutz. Der Negativpreis wird in mehreren Kategorien verliehen:
Arbeitswelt
Die Gesundheits-App Kelaa der Soma Analytics überwacht anhand verschiedener Parameter wie etwa der Aufgeregtheit der Stimme beim Telefonieren den Gesundheits- und Vitalzustand von Beschäftigten.
PR & Marketing
Mit dem Werbebegriff „Smart City“ versuchen Technikfirmen, Kommunalpolitikern die „Safe City“ zu verkaufen, eine laut Jury mit Sensoren „überwachte, ferngesteuerte und kommerzialisierte Stadt, die ihre Bürger zu datenliefernden Objekten macht“.
Technik
Microsoft Deutschland erhält den Preis für die kaum deaktivierbare Übermittlung von Diagnose-Daten durch sein Betriebssystem Windows 10.
Verwaltung
Die Software Cevisio Quartiersmanagement (QMM) wird in Flüchtlingsunterkünften eingesetzt – etwa um Bewegungen zum und auf dem Gelände, Essensausgabe, medizinische Checks, Verwandtschaftsverhältnisse, Religions- und Volkszugehörigkeit zu erfassen.
Verbraucherschutz
Der intelligente Lautsprecher von Amazon, Echo, mit der Stimme von Alexa, verarbeitet Sprachaufnahmen seiner Nutzer in der Cloud. Die Daten sind dort nach Monaten noch abspielbar, womit Haushaltsmitglieder überwacht werden können. Es ist unklar, wer auf die Daten zugreifen kann.
Politik
Die Fraktionen von CDU und Grünen im Hessischen Landtag erhalten den Preis für das geplante Verfassungsschutzgesetz, mit dem der Verfassungsschutz „verdächtige“ Computer heimlich abhören und Mitarbeitende staatlich geförderter Demokratieprojekte geheimdienstlich überprüfen können soll. Kriminelle V-Leute sollen erstmals von strafrechtlicher Verfolgung freigestellt werden.