Categories: RechtRegulierung

Französische Datenschutzbehörde CNIL mahnt Microsoft wegen Windows 10 ab

Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat Microsoft am Mittwoch wegen Datenschutzvergehen im Zusammenhang mit Windows 10 abgemahnt. Sie weist den Konzern an, „damit aufzuhören, exzessiv Daten zu sammeln und das Surfverhalten der Nutzer ohne deren Einwilligung aufzuzeichnen“. Außerdem fordert die CNIL, dass „Microsoft ausreichende Maßnahmen ergreift, um die Sicherheit und Vertraulichkeit von Nutzerdaten sicherzustellen“.

Die französischen Datenschützer stützen ihre Beschwerde auf die Ergebnisse von sieben Einzeluntersuchungen, die zwischen April und Juni dieses Jahres durchgeführt wurden. Sie haben auch mit Microsoft-Vertretern direkt gesprochen, um sicherzustellen, dass sich das Unternehmen an das französische Datenschutzrecht hält.

Insgesamt zählt die Behörde nun fünf Beschwerdepunkte auf. Als erstes stellt sie fest, dass „das Sammeln von diagnostischen und Nutzerdaten über die Telemetriedienste“ zwar zulässig ist, aber die Voreinstellungen von Windows 10, durch die weitere Informationen gesammelt werden, zu weit gehen. Konkret heißt es, das Sammeln von „Daten aller Apps, die der Nutzer heruntergeladenen und auf dem System installiert hat,“ sowie das Erfassen der Zeit, wie lange jede dieser Anwendungen genutzt wurden, sei „übertrieben“.

Ein zweiter Kritikpunkt ist mangelnde Sicherheit. Hierzu führt die CNIL aus, dass Anwender einen vierstelligen PIN festlegen können, um sich bei Online-Diensten zu authentifizieren, und so auch Zugang zum Microsoft-Konto erhalten, in dem alle im Store getätigten Einkäufe einschließlich der verwendeten Zahlungsarten aufgelistet sind. Das Problem bestehe darin, dass die Zahl der Anmeldeversuche mit der vierstelligen PIN nicht limitiert sei. Angreifer könnten dadurch theoretisch mittels Brute-Force-Methode den richtigen Code erraten. Letztlich seien die Nutzerdaten dadurch nicht sicher.

Die Datenschutzbehörde wirft Microsoft auch vor, dass die standardmäßig in Windows 10 aktivierte Werbe-ID es Windows- und Drittanbieter-Apps erlaube, das Surfverhalten des Nutzers zu überwachen und darauf basierend zielgerichtete Werbung auszuliefern. Die dafür nötige Einwilligung des Nutzers hole Microsoft nicht ein. Ebenso stört sich die CNIL daran, dass Microsoft ohne angemessene Hinweise Werbe-Cookies auf dem Rechner zulasse und der Nutzer keine Möglichkeit habe, diese zu blockieren.

Abschließend kritisieren die Datenschützer, dass Daten französischer Windows-Anwender weiterhin auf „Safe Harbor-Basis in die USA übertragen werden, obwohl das zugrunde liegende Abkommen zwischen der EU und den Vereinigten Staaten Anfang Oktober 2015 vom Gerichtshof der Europäischen Union kassiert wurde.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Microsoft hat nun drei Monate Zeit, die Forderungen der CNIL umzusetzen. Sollte es diese Frist verstreichen lassen, drohen ihm Sanktionen. Wie diese aussehen könnten, hat die Datenschutzbehörde bisher aber nicht mitgeteilt.

„Wir werden in den kommenden Monaten eng mit der CNIL zusammenarbeiten, um ihre Bedenken umfassend zu erörtern und für sie akzeptable Lösungen zu finden“, erklärte Microsofts stellvertretender Chefsyndikus, David Heiner, gegenüber ZDNet.com. Man arbeite bereits daran, die Bedingungen des neuen Datenaustauschabkommens Privacy Shield zu erfüllen, und werde nächsten Monat aktualisierte Datenschutzbestimmungen veröffentlichen.

Zuvor war die CNIL bereits gegen Google und Facebook vorgegangen. Dem Social Network setzte sie im Februar ebenfalls eine Frist von drei Monaten, um bestimmte Übertragungen von Daten in die USA zu stoppen. Ob es die Forderungen erfüllt hat, ist nicht bekannt. Jedoch sind bisher noch keine Klagen gegen Firmen öffentlich geworden, die sich in Frankreich noch auf Safe Harbor beziehen.

[mit Material von Ed Bott, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

21 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago