Bei der üblichen Priorisierung von Maßnahmen gegen Angriffe von außen sind sich vielleicht nicht alle IT-Verantwortlichen und Administratoren bei bayerischen öffentlichen Stellen bewusst, dass Windows selbst – je nach Version, Edition und Einstellungen – unbemerkt und auch unerwünscht Daten an den Hersteller übermitteln kann. Dass Microsoft für solche Datenströme harmlos-technisch klingende Bezeichnungen wie etwa „Telemetrie“, „Diagnosedaten“ oder „Feedback“ wählt, ändert dabei nichts an der Tatsache, dass auch personenbezogene Daten umfasst sein können. Eine Übermittlung personenbezogener Daten „per Telemetrie“ muss genauso rechtmäßig sein wie jede andere Datenübermittlung – im Fall eines Drittlandtransfers nach Maßgabe der dafür zusätzlich zu beachtenden Vorgaben. Die Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 Datenschutz- Grundverordnung – DSGVO) ist insofern zumindest anspruchsvoll. Eine im Grundansatz vergleichsweise einfache Alternative liegt darin, die Übermittlung von Telemetriedaten durch geeignete Einstellungen zu unterbinden.
In seinem unten vermerkten aktuellen 33. Tätigkeitsbericht 2023 vom 17.9.2024 gibt der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) unter Nr. 2.6 hierzu folgende Tipps und Hinweise:
1. Ausgangslage
„Telemetrie hat … grundsätzlich eine sachliche Berechtigung, oft auch einen wenigstens für den Hersteller sinnvollen Zweck – und kann den Datenschutzzielen ,Sicherheit‘ und ,Verfügbarkeit‘ dadurch zumindest indirekt dienlich sein. Für den Hersteller ist potenziell eine Vielzahl an Daten relevant. Sein Interesse, möglichst aussagekräftige Daten zu erhalten, ist im Grundsatz nachvollziehbar. Gleichwohl ist aufgrund der ,Blackbox‘-Eigenschaft und der Komplexität des Betriebssystems grundsätzlich schwer einzuschätzen, welche Daten nun genau übermittelt werden.
Verantwortliche Stellen können nicht ohne weiteres feststellen, welche Daten geteilt werden, ob sich personenbezogene Daten darunter befinden, und, wenn ja, welche. Fraglich bleibt zudem, ob der Empfänger die Telemetriedaten auch zu einem anderen Zweck als zur Optimierung des ,sendenden‘ Betriebssystems nutzt (etwa für das eigene Marketing oder eine eigene Suchmaschine) oder sie gar an Dritte weitergibt, etwa als Trainingsdaten für KI-Produkte.“
2. Einstellungsmöglichkeiten in Windows
„In Windows 11 können Sie unter ,Einstellungen – Diagnose & Feedback‘ auswählen, in welchem Umfang Diagnose- und Nutzungsinformationen an Microsoft gesendet werden sollen.
Die Dokumentation zu Windows 11[1] nennt drei Einstellungsmöglichkeiten für die Sammlung von Diagnosedaten unter Windows 11:
– Diagnosedaten aus (Sicherheit),
– Erforderliche Diagnosedaten senden (Standard),
– Optionale Diagnosedaten senden (Vollständig).
Die Einstellung ,Sicherheit‘ lässt sich nicht über die grafische Oberfläche einstellen.
Unter Windows 10 gibt es noch die Einstellung ,Erweitert‘, deren Umfang zwischen ,Standard‘ und ,Vollständig‘ liegt.
Bei der Option ,Diagnosedaten aus (Sicherheit)‘ werden keine Windows-Diagnosedaten vom Gerät gesendet. Diese ist somit die aus Datenschutzsicht empfehlenswerte Option. Die Option ,Diagnosedaten aus‘ ist jedoch nur für die Windows-Editionen ,Enterprise‘ und ,Education‘ verfügbar und kann nur über eine Gruppenrichtlinie oder die Registry gewählt werden, nicht jedoch über das Graphical User Interface (GUI): Eine Option ,Sicherheit‘ wird dort nicht angeboten. Auf die Gründe für das Weglassen der Option ,Sicherheit‘ bei den ,Pro‘- und ,Home‘-Editionen kann an dieser Stelle nicht vertieft eingegangen werden.
Jedenfalls kann die Tatsache, dass die Option in diesen Editionen nicht verfügbar ist, für bayerische öffentliche Stellen kleiner und mittlerer Größe relevant sein, da sich die ,Pro‘-Edition explizit an kleine und mittlere Unternehmen richtet und auch von der öffentlichen Hand eingesetzt wird. Verantwortliche sollten deshalb ihre Möglichkeiten für die Nutzung der ,Enterprise‘- oder ,Education‘-Edition ausloten. Die Eigenschaften der ,Home‘-Edition können eine Rolle spielen, wenn Beschäftigte bayerischer öffentlicher Stellen Privatgeräte dienstlich nutzen (etwa unter bestimmten Voraussetzungen bei Lehrkräften).“
3. Gruppenrichtlinie
„Eine Gruppenrichtlinie lässt sich mit Hilfe der Gruppenrichtlinien-Verwaltungskonsole einrichten. Die gewünschte Einstellung (vollständige Deaktivierung der Diagnosedaten) kann dort unter ,Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – Datensammlung und Vorabversionen – Diagnosedaten zulassen‘ ausgewählt werden. Ein wenig irreführend ist, dass zuerst die Gruppenrichtlinie ,Diagnosedaten zulassen‘ aktiviert werden muss, damit die Option ,Diagnosedaten deaktiviert (nicht empfohlen)“ ausgewählt werden kann. Als langjährige Windows-Nutzer wissen Sie aber: Der ,Aus‘-Button kann sich unter ,Start‘ verstecken.
Alternativ kann die Anpassung auch mittels eines Eintrags in der Registry vorgenommen werden: Ändern oder erstellen Sie dazu die REG_DWORD-Registrierungseinstellung namens ,AllowTelemetry‘ mit dem Wert ,0 (Null)‘ unter dem Registrierungspfad ,Computer\\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection‘.“
[…]5. Fazit
„Privacy-by-Design und Privacy-by-Default sind Datenschutzziele, die Hersteller möglicherweise anders bewerten und umsetzen als Verantwortliche des öffentlichen Sektors sowie Datenschutz-Aufsichtsbehörden. So sind bayerische öffentliche Stellen, die Microsoft Windows in den Versionen 10 und 11 auf ihren Arbeitsplätzen im Einsatz haben, gehalten, ihre Konfiguration zu prüfen und gegebenenfalls nachzubessern.
Immerhin hat Microsoft eine ausführliche und verständliche Dokumentation zu den verschiedenen Diensten und Programmen zur Verfügung gestellt, die eine Verbindung zum Hersteller aufbauen, und darin erläutert, wie eine Telemetriedaten- Übermittlung zum Zweck von Diagnose und Feedback abgestellt werden kann – wenngleich das außerhalb der ,Enterprise‘- und ,Education‘-Editionen nicht ganz einfach ist.
Für bayerische öffentliche Stellen wird das bereits angekündigte Supportende von Windows 10 am 14.10.2025 und ein damit verbundener Umstieg auf Windows 11 eine gute Gelegenheit sein, sich auch mit dem Thema ,TelemetriedatenÜbermittlung‘ zielführend auseinanderzusetzen.“
33. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz vom 17.9.2024, im Internet abrufbar unter https://www.datenschutzbayern.de in der Rubrik „Tätigkeitsberichte“
Den vollständigen Beitrag lesen Sie in Fundstelle Bayern 5/2025, Rn. 46.
[1] Siehe: https://learn.microsoft.com/de-de/windows/privacy/configure-windows-diagnostic-datain-your-organization#diagnostic-data-settings.
