Das Nutzungsverhalten beim Einsatz des neuen Windows-Betriebssystems zu ermitteln und dadurch zu erfahren, welche Features der Beta-Version besonders gut ankommen oder wo noch Feintuning erforderlich ist, stellt ein nachvollziehbares Anlegen bei der Evaluierung einer noch unfertigen Software dar. Die durch Microsoft spezifizierten Datenschutzbestimmungen von Windows 10 Technical Preview scheinen dafür jedoch ein Stück zu weit gefasst zu sein.
Terry Myerson, Executive Vice President, Operating Systems bei der Microsoft Corporation, machte es bei der Präsentation des Windows 8-Nachfolgers am 30. September in San Francisco vor kleiner Zuschauerschar ganz deutlich: Unternehmen müssten Windows frühzeitig evaluieren können, und aus diesem Grunde starte man bereits jetzt man den Dialog mit ihnen. Aus diesem Grund war die Technical Preview von Windows 10 auch nur einen Tag später, also am 1. Oktober 2014, zu haben.
Erklärtes Ziel von Microsoft ist es demzufolge, dass sich Unternehmen und ihre IT-Spezialisten in einem frühen Entwicklungsstadium mit einigen der geplanten Neuerungen von Windows 10 vertraut machen und den Hersteller mit Feedback versorgen können. Dadurch erhält Microsoft die Möglichkeit, Features wie etwa das zurückgekehrte, renovierte Startmenü an die Wünsche von Unternehmenskunden weiter anpassen zu können. Private Konsumenten adressiert der Hersteller mit der Windows 10 Technical Preview allerdings noch nicht. Erst ein paar Monate später, voraussichtlich im Januar oder Februar 2015, plant Microsoft eine weitere Beta-Version folgen zu lassen, die sich explizit den Belangen der Consumer-Kundschaft annimmt.
Unternehmen, die die Technical Preview von Windows 10 herunterladen möchten, müssen dazu per Mausklick ihr Einverständnis mit den entsprechenden, auf den August 2014 datierten Datenschutzbestimmungen erklären. Schon ein erster Blick auf die darin enthaltenen Klauseln sorgt für Irritationen: Microsoft räumt sich hierbei großzügig das Recht zum Sammeln und zur Verwendung sowie zur Weitergabe aller Arten von Daten ein - mitunter sogar, ohne dass ein Benutzer oder das Unternehmen dies mitbekommt.
Vorweg sei gesagt: Es geht an dieser Stelle nicht um eine rechtliche Bewertung einzelner Klauseln. Ebenso wenig stehen die allgemeinen Datenschutzbestimmungen von in den USA beheimateten Internet-Größen zur Debatte. Das fällt in den Aufgabenbereich der Artikel 29 Datenschutzgruppe (kurz "WP29" genannt), das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Erst im September hatte sich diese nicht nur an Microsoft, sondern auch an Google gewandt mit dem Anliegen, ihre Privacy-Richtlinien besser mit europäischen Anforderungen in Einklang zu bringen.
Bei seinen technischen Support-Webseiten setzt Microsoft auf maschinelle Übersetzungen der englischen Originale, was mitunter Stilblüten in den auf diese Weise ins Deutsche übersetzen Dokumentenfassungen zur Folge hat. Die Ausführungen in der deutschen Fassung der englischen Privacy Statements sind aber nicht auf eine schlechte mechanische Übersetzung zurückzuführen: Vergleiche zwischen den englischen Privacy Statements for Windows Technical Preview und den deutschen Datenschutzbestimmungen für Windows Technical Preview zeigen, dass es sich um eine qualitativ gute Übersetzung handelt. Versehentliche Fehler bei der Übersetzung sind also auszuschließen.
Die Datenschutzbestimmungen von Windows 10 Technical Preview
Darum geht es: die Datenschutzbestimmungen der Windows 10 Technical Preview, die sich auf die Vorabversion des kommenden Betriebssystems und dessen Beta-Test beziehen. Zu Anfang heißt es dort "Der Zweck dieses Programm besteht darin, dass Sie beim Testen der Vorabversion der Software und Dienste von Microsoft Nutzungsdaten und Feedback für Microsoft bereitstellen können. Ihre Teilnahme ist wichtig, da Microsoft somit Daten erhält, dank derer das Unternehmen seine Produkte und Dienste verbessern kann." Das ist völlig d’accord und nachvollziehbar, schließlich bittet Microsoft ja um die Mitwirkung von Unternehmen bei der Entwicklung des derzeit im Beta-Stadium befindlichen Windows 10-Betriebssystems.
Kurz darauf beginnt jedoch das Stirnrunzeln: Absätze wie "[...] sammelt Microsoft Informationen über Sie, Ihre Geräte, Anwendungen und Netzwerke sowie über Ihre Verwendung dieser Geräte, Anwendungen und Netzwerke" hinterlassen ein ungutes Gefühl. Dass unternehmensinterne Netzwerke quasi kartographiert und ausführliche Informationen die darin vorhandenen Ressourcen gesammelt und weitergegeben werden, muss eifrigen Sicherheitsverantwortlichen Bauchschmerzen bereiten - zumal unklar ist, was mit diesen Informationen wie lange und durch wen genau geschieht.
In einem der nachfolgenden Abschnitte findet sich dann dieser Paragraph: "Wenn Sie [...] Text eingeben, erfasst Microsoft möglicherweise eingegebene Zeichen...". Vielleicht haben die Verantwortlichen in Redmond nicht kritisch hinterfragt, was diese Darstellung auch bedeuten könnte: Unglücklicherweise erinnert diese Beschreibung an ein Verhalten, wie es in ganz ähnlicher Form Keylogger-Schadsoftware an den Tag legt. Zwar konkretisiert Microsoft im Anschluss noch, wofür erfassten Texteingaben beispielsweise genutzt werden ("... und nutzt sie u. a. zur Verbesserung von Features wie AutoVervollständigen und die Rechtschreibprüfung"), doch das lindert den mulmigen Eindruck nur teilweise. Es bleibt übrigens nicht bei der Erfassung und Auswertung von Tastatureingaben, da die Beta-Version des Betriebssystems bei der Spracheingabe-Funktion gleichermaßen vorgeht.
Leider lässt sich die Datensammelleidenschaft der Windows 10 Technical Preview - etwa durch Aktivierung entsprechender Gruppenrichtlinien-Einstellungen - nicht unterbinden. Der Passus "Sie haben unter Umständen nicht die Möglichkeit, die Datenübertragung für bestimmte Features im Programm zu deaktivieren" stellt klar, dass Microsoft diese Möglichkeit ausgeschlossen hat. Dabei wäre genau das eine probate Option für all diejenigen gewesen, die sich zwar gerne den Windows 8-Nachfolger schon in diesem frühen Stadium anschauen, dafür aber nicht ihr Unternehmensnetz öffnen möchten.
Auch ein anderer Passus ruft keine Freude hervor. Denn "Microsoft gibt manche der in Zusammenhang mit dem Programm gesammelten Daten für Dritte frei". Sprich: Unternehmen, die Windows 10 Technical Preview testen, erteilen Microsoft das Recht, Daten zum Beispiel über ihre Firmen-LANs und darin vorzufindenden Ressourcen nach eigenem Ermessen an unbekannte dritte Parteien zu übermitteln. Eine Erläuterung, was "manche Daten" sein könnten und um welche "Dritte" es sich konkret handelt, liefert Microsoft nicht.
Alternativlos
Spätestens jetzt hat so mancher Sicherheitsverantwortliche keine andere Wahl als auf das Ausprobieren mit Windows 10 Technical Preview in der firmeneigenen IT-Umgebung besser erst einmal zu verzichten und anderen den Vortritt zu lassen. Schließlich dürfte der weder kontrollier- noch steuerbare Abfluss interner, aus dem Unternehmensnetz stammender Daten an externe Stellen wohl kaum eine Geschäftsleitung in Entzücken versetzen.
Theoretisch besteht natürlich die Möglichkeit, das Beta-Betriebssystem einfach in einer abgeschotteten Umgebung zu installieren und komplett ohne Netzwerkverbindung zu verwenden. Infrage dafür kommt beispielsweise eine entsprechend konfigurierte virtuelle Maschine, da Windows 10 Technical Preview als Gast auf den gängigen Client-Virtualisierungsplattform von Microsoft, VMware und Oracle läuft. Doch bei einer derart isolierten Konfiguration lassen sich möglicherweise wichtige Dienste und Ressourcen sowohl im Intranet als auch aus dem Internet überhaupt nicht nutzen, was die Aussagekraft des Beta-Tests im eigenen Unternehmen erheblich begrenzt.
Hinzu kommt, dass in einem solchen Szenario keinerlei Daten an den Software-Anbieter aus Redmond übertragen werden. Genau das aber würde den eigentlich für Windows 10 Technical Preview vorgesehenen Zweck - nämlich das Nutzungsverhalten von Anwendern im Unternehmen ermitteln und die weitere Entwicklung des Betriebssystems darauf abstimmen zu können - jedoch konterkarieren.
Das sagt Microsoft
Wir haben Microsoft um eine Stellungnahme gebeten, was es mit den Datenschutzbestimmungen der Windows 10 Technical Preview auf sich hat: "Mit der frühzeitigen Verfügbarkeit der Technical Preview von Windows 10 im Rahmen des Windows Insider Programms bietet Microsoft interessierten Unternehmen die Möglichkeit, auf freiwilliger Basis die Entwicklung der nächsten Generation von Windows mitzugestalten. Teilnehmer des Programms geben ihr Einverständnis, Daten im Rahmen des Programms mit Microsoft zu teilen. Microsoft verpflichtet sich auch in diesem Fall dazu, die gesammelten Nutzerdaten bestmöglich zu schützen."
Wie dieser Schutz aussieht und mit welchen Maßnahmen unabsichtliche oder unerlaubte Zugriffe auf diese Informationen verhindert, hat Microsoft ebenfalls erläutert. "Wir nutzen eine Vielzahl an Sicherheitstechnologien und -verfahren, die uns dabei unterstützen, Ihre persönlichen Informationen vor unerlaubtem Zugriff sowie unerlaubter Nutzung und Weitergabe zu schützen. Beispielsweise sind alle Daten, die Windows 10 Technical Preview an Microsoft sendet, bei der Übertragung verschlüsselt. Die von Ihnen bereitgestellten persönlichen Informationen speichern wir auf Computersystemen, die nur über begrenzten Zugriff verfügen und die sich in überwachten Einrichtungen befinden."
Weitere Äußerungen des Software-Anbieters deuten darauf hin, dass Microsoft die Datenschutzbestimmungen der Windows 10 Technical Preview bis zum Erscheinen des finalen Produkts ändern könnte: "Im Rahmen der fortlaufenden Entwicklung hin zum finalen Produkt wird Microsoft die Anwender weiterhin über seine Nutzerbedingungen und Datenschutzbestimmungen informieren, zum Beispiel wie Kundendaten gesammelt und wofür diese genutzt werden sowie welche Wahlmöglichkeiten die Nutzer haben, um die Bereitstellung ihrer Daten gezielt zu steuern."
Noch mehr Sensibilität wünschenswert
Die Vorfreude auf einen Windows 8-Nachfolger wird durch die teils sehr weitreichenden Datenschutzbestimmungen von Windows 10 Technical Preview getrübt. Das ist umso bedauerlicher, da das kommende Windows-Betriebssystem gerade Unternehmen eine zukunftsweisende IT-Client-Perspektive liefern soll. Stattdessen reibt sich mancher IT-Verantwortlicher beim Durchlesen der Microsoft-Privacy-Bestimmungen verwundert die Augen und fragt sich: Wofür benötigt die Company aus Redmond alle diese Daten aus seinem Unternehmen?
Nicht zuletzt vor dem Hintergrund weltweit immer intensiver geführter Diskussionen um den Schutz von Daten lässt Microsoft bei seinen Datenschutzbestimmungen von Windows 10 Technical Preview eine angemessene Sensibilität noch ein wenig vermissen. Immerhin lassen die Statements von Microsoft auf unsere Anfrage hin hoffen, dass sich bei den Datenschutzbestimmungen von Windows 10 Technical Preview in den kommenden Wochen und Monaten etwas bewegen und zum Positiven ändern könnte. Schließlich rücken Datenschutz und Data Privacy nicht nur in europäischen Ländern, sondern auch in den USA stärker ins Bewusstsein.
Geschickter wäre es gewesen, wenn Microsoft von Anfang an bessere Formulierungen gewählt hätte. Idealerweise sollten diese Aspekte wie die Erfassung von nicht mehr Daten als nötig ebenso wie die Weitergabe von Informationen an eindeutig benannte Dritte erst nach vorheriger ausdrücklicher Zustimmung klar und deutlich zum Ausdruck bringen - ganz im Sinne der geplanten Novelle der europäischen Datenschutzrichtlinien.