Categories: RechtRegulierung

Französische Datenschutzbehörde CNIL mahnt Microsoft wegen Windows 10 ab

Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat Microsoft am Mittwoch wegen Datenschutzvergehen im Zusammenhang mit Windows 10 abgemahnt. Sie weist den Konzern an, „damit aufzuhören, exzessiv Daten zu sammeln und das Surfverhalten der Nutzer ohne deren Einwilligung aufzuzeichnen“. Außerdem fordert die CNIL, dass „Microsoft ausreichende Maßnahmen ergreift, um die Sicherheit und Vertraulichkeit von Nutzerdaten sicherzustellen“.

Die französischen Datenschützer stützen ihre Beschwerde auf die Ergebnisse von sieben Einzeluntersuchungen, die zwischen April und Juni dieses Jahres durchgeführt wurden. Sie haben auch mit Microsoft-Vertretern direkt gesprochen, um sicherzustellen, dass sich das Unternehmen an das französische Datenschutzrecht hält.

Insgesamt zählt die Behörde nun fünf Beschwerdepunkte auf. Als erstes stellt sie fest, dass „das Sammeln von diagnostischen und Nutzerdaten über die Telemetriedienste“ zwar zulässig ist, aber die Voreinstellungen von Windows 10, durch die weitere Informationen gesammelt werden, zu weit gehen. Konkret heißt es, das Sammeln von „Daten aller Apps, die der Nutzer heruntergeladenen und auf dem System installiert hat,“ sowie das Erfassen der Zeit, wie lange jede dieser Anwendungen genutzt wurden, sei „übertrieben“.

Ein zweiter Kritikpunkt ist mangelnde Sicherheit. Hierzu führt die CNIL aus, dass Anwender einen vierstelligen PIN festlegen können, um sich bei Online-Diensten zu authentifizieren, und so auch Zugang zum Microsoft-Konto erhalten, in dem alle im Store getätigten Einkäufe einschließlich der verwendeten Zahlungsarten aufgelistet sind. Das Problem bestehe darin, dass die Zahl der Anmeldeversuche mit der vierstelligen PIN nicht limitiert sei. Angreifer könnten dadurch theoretisch mittels Brute-Force-Methode den richtigen Code erraten. Letztlich seien die Nutzerdaten dadurch nicht sicher.

Die Datenschutzbehörde wirft Microsoft auch vor, dass die standardmäßig in Windows 10 aktivierte Werbe-ID es Windows- und Drittanbieter-Apps erlaube, das Surfverhalten des Nutzers zu überwachen und darauf basierend zielgerichtete Werbung auszuliefern. Die dafür nötige Einwilligung des Nutzers hole Microsoft nicht ein. Ebenso stört sich die CNIL daran, dass Microsoft ohne angemessene Hinweise Werbe-Cookies auf dem Rechner zulasse und der Nutzer keine Möglichkeit habe, diese zu blockieren.

Abschließend kritisieren die Datenschützer, dass Daten französischer Windows-Anwender weiterhin auf „Safe Harbor-Basis in die USA übertragen werden, obwohl das zugrunde liegende Abkommen zwischen der EU und den Vereinigten Staaten Anfang Oktober 2015 vom Gerichtshof der Europäischen Union kassiert wurde.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Microsoft hat nun drei Monate Zeit, die Forderungen der CNIL umzusetzen. Sollte es diese Frist verstreichen lassen, drohen ihm Sanktionen. Wie diese aussehen könnten, hat die Datenschutzbehörde bisher aber nicht mitgeteilt.

„Wir werden in den kommenden Monaten eng mit der CNIL zusammenarbeiten, um ihre Bedenken umfassend zu erörtern und für sie akzeptable Lösungen zu finden“, erklärte Microsofts stellvertretender Chefsyndikus, David Heiner, gegenüber ZDNet.com. Man arbeite bereits daran, die Bedingungen des neuen Datenaustauschabkommens Privacy Shield zu erfüllen, und werde nächsten Monat aktualisierte Datenschutzbestimmungen veröffentlichen.

Zuvor war die CNIL bereits gegen Google und Facebook vorgegangen. Dem Social Network setzte sie im Februar ebenfalls eine Frist von drei Monaten, um bestimmte Übertragungen von Daten in die USA zu stoppen. Ob es die Forderungen erfüllt hat, ist nicht bekannt. Jedoch sind bisher noch keine Klagen gegen Firmen öffentlich geworden, die sich in Frankreich noch auf Safe Harbor beziehen.

[mit Material von Ed Bott, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago