sind und ein Bezug zu weiteren auf dem Gerät gespeicherten, persönlichen Daten hergestellt werden kann, können diese Daten als personenbezogene Daten angesehen werden. Das Auslesen und Verarbeiten dieser Daten
wird seit Jahren von Datenschützern kritisiert. Darüber hinaus wird die Position des Gerätes beim Einschalten
erfasst.
Jedem Nutzer, der sich auf einem Windows 10 System anmeldet, wird ein Identifizierungsmerkmal, die Werbe-ID, zugeordnet („unique advertising ID for each user on a device“), durch das der Nutzer eindeutig identifiziert werden kann. Der Zugriff auf diese Werbe-ID muss explizit abgeschaltet werden, dabei wird sie allerdings
nicht gelöscht.
Microsoft erfasst die präzise Position von Geräten, auf denen Windows 10 installiert ist. Dafür werden
GPS-Daten, WLAN-Daten und die IP-Adresse des Gerätes ausgewertet und in einer Datenbank bei Microsoft
gespeichert. Das Unternehmen gibt an, alle Daten, über die sich eine Person oder ein Gerät identifizieren lassen,
vor der Weitergabe an Dritte zu entfernen. Dabei sagt es aber nicht, um welche Daten es sich bei den entfernten
Daten handelt. Bei einer IP-Adresse handelt es sich z. B. um ein personenbezogenes Datum, über das die Position eines Gerätes in manchen Fällen bis auf einen Postleitzahlenbereich eingegrenzt werden kann. Der Lokalisierungsdienst kann durch den Nutzer abgeschaltet werden, die erhobenen Daten verbleiben jedoch in der Datenbank von Microsoft.
Microsoft bietet mehrere Dienste zur Gewährleistung der Sicherheit und zum Schutz des Gerätes an, wie Smart
Screen und Windows Defender. Entsprechend seiner Datenschutzerklärung behält sich das Unternehmen vor,
Dateien, die heruntergeladen werden bzw. sich auf dem System befinden und möglicherweise Schadsoftware
enthalten können („it may also send files that could contain malware“), an Microsoft zu senden. Außerdem senden diese Dienste Berichte und wenn Microsoft personenbezogene Daten in diesen Berichten vermutet („report
is likely to contain personal data“), muss der Nutzer den Versand bestätigen. Diese Dienste müssen explizit
abgeschaltet werden.
Unter dem Merkmal „Getting to know you“ sammelt Microsoft personenbezogene Daten wie z. B. Sprachdaten,
handschriftliche Daten und Daten, die über die Tastatur eingegeben werden. Letztere werden um IDs,
IP-Adressen und andere mögliche Identifizierungsmöglichkeiten bereinigt („we scrub to remove IDs, IP addresses, and other potential identifiers“). Weitere Dienste erheben darüber hinaus Namen, Spitznamen, Kalenderdaten, Kontaktdaten, Namen von bevorzugten Orten und benutzten Anwendungen, allerdings erfolgt die Übertragung nur mit Zustimmung des Nutzers. Ein Teil dieser bei Microsoft gespeicherten Daten, wie Kontakte und
Kalenderdaten, kann über ein Microsoft-Konto gelöscht werden, was mit den anderen personenbezogenen Daten passiert, wird nicht erklärt.
Ein umfangreicher Teil der erhobenen Daten betrifft die sogenannten Telemetriedienste. Telemetrie umfasst alle
Daten eines Systems, die auf diesem System gemessen/erhoben und an Microsoft übertragen werden. Entsprechend der Datenschutzerklärung handelt es sich um Diagnose- und Nutzungsdaten, die das Unternehmen zur
Identifizierung und Lösung von Problemen, zur Verbesserung der Dienste und Produkte und zur Personalisierung des Systems nutzt. Bedenklich sind hier zwei Aspekte, die Microsoft in seiner Datenschutzerklärung angibt. Zum einen werden diese an Microsoft übertragenen Daten mit einem oder mehreren eindeutigen Identifizierungsmerkmalen verknüpft, die es dem Unternehmen ermöglichen, einen individuellen Nutzer auf einem
individuellen Gerät und dessen Nutzungsmuster (wieder) zu erkennen („stored with one or more unique identifiers that can help us recognize an individual user on an individual device“). Zum anderen können diese Telemetriedienste nicht vollständig abgeschaltet werden und somit kann eine Übertragung personenbezogener Daten, wie z. B. der IP-Adresse, an Microsoft nicht verhindert werden.
Wie zusammenfassend festzustellen ist, kann bei der Verwendung von Windows 10 auch trotz optimaler Konfiguration aller Datenschutzeinstellungen die Übertragung und Verarbeitung personenbezogener Daten auf Serversystemen von Microsoft in den USA nicht verhindert werden. Dies bestätigen u. a. Untersuchungen des Bayerischen Landesamtes für Datenschutzaufsicht, das sich im Rahmen seiner Mitarbeit in der Artikel-29-Gruppe
der europäischen Datenschutzbehörden mit Windows 10 beschäftigt. Das Bundesamt für Sicherheit in der InBfDI 26. Tätigkeitsbericht 2015-2016
– 125 –