Französische Datenschutzbehörde CNIL mahnt Microsoft wegen Windows 10 ab

Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat Microsoft am Mittwoch wegen Datenschutzvergehen im Zusammenhang mit Windows 10 abgemahnt. Sie weist den Konzern an, „damit aufzuhören, exzessiv Daten zu sammeln und das Surfverhalten der Nutzer ohne deren Einwilligung aufzuzeichnen“. Außerdem fordert die CNIL, dass „Microsoft ausreichende Maßnahmen ergreift, um die Sicherheit und Vertraulichkeit von Nutzerdaten sicherzustellen“.

Die französischen Datenschützer stützen ihre Beschwerde auf die Ergebnisse von sieben Einzeluntersuchungen, die zwischen April und Juni dieses Jahres durchgeführt wurden. Sie haben auch mit Microsoft-Vertretern direkt gesprochen, um sicherzustellen, dass sich das Unternehmen an das französische Datenschutzrecht hält.

Insgesamt zählt die Behörde nun fünf Beschwerdepunkte auf. Als erstes stellt sie fest, dass „das Sammeln von diagnostischen und Nutzerdaten über die Telemetriedienste“ zwar zulässig ist, aber die Voreinstellungen von Windows 10, durch die weitere Informationen gesammelt werden, zu weit gehen. Konkret heißt es, das Sammeln von „Daten aller Apps, die der Nutzer heruntergeladenen und auf dem System installiert hat,“ sowie das Erfassen der Zeit, wie lange jede dieser Anwendungen genutzt wurden, sei „übertrieben“.

Ein zweiter Kritikpunkt ist mangelnde Sicherheit. Hierzu führt die CNIL aus, dass Anwender einen vierstelligen PIN festlegen können, um sich bei Online-Diensten zu authentifizieren, und so auch Zugang zum Microsoft-Konto erhalten, in dem alle im Store getätigten Einkäufe einschließlich der verwendeten Zahlungsarten aufgelistet sind. Das Problem bestehe darin, dass die Zahl der Anmeldeversuche mit der vierstelligen PIN nicht limitiert sei. Angreifer könnten dadurch theoretisch mittels Brute-Force-Methode den richtigen Code erraten. Letztlich seien die Nutzerdaten dadurch nicht sicher.

Die Datenschutzbehörde wirft Microsoft auch vor, dass die standardmäßig in Windows 10 aktivierte Werbe-ID es Windows- und Drittanbieter-Apps erlaube, das Surfverhalten des Nutzers zu überwachen und darauf basierend zielgerichtete Werbung auszuliefern. Die dafür nötige Einwilligung des Nutzers hole Microsoft nicht ein. Ebenso stört sich die CNIL daran, dass Microsoft ohne angemessene Hinweise Werbe-Cookies auf dem Rechner zulasse und der Nutzer keine Möglichkeit habe, diese zu blockieren.

Abschließend kritisieren die Datenschützer, dass Daten französischer Windows-Anwender weiterhin auf „Safe Harbor-Basis in die USA übertragen werden, obwohl das zugrunde liegende Abkommen zwischen der EU und den Vereinigten Staaten Anfang Oktober 2015 vom Gerichtshof der Europäischen Union kassiert wurde.

Microsoft hat nun drei Monate Zeit, die Forderungen der CNIL umzusetzen. Sollte es diese Frist verstreichen lassen, drohen ihm Sanktionen. Wie diese aussehen könnten, hat die Datenschutzbehörde bisher aber nicht mitgeteilt.

„Wir werden in den kommenden Monaten eng mit der CNIL zusammenarbeiten, um ihre Bedenken umfassend zu erörtern und für sie akzeptable Lösungen zu finden“, erklärte Microsofts stellvertretender Chefsyndikus, David Heiner, gegenüber ZDNet.com. Man arbeite bereits daran, die Bedingungen des neuen Datenaustauschabkommens Privacy Shield zu erfüllen, und werde nächsten Monat aktualisierte Datenschutzbestimmungen veröffentlichen.

Zuvor war die CNIL bereits gegen Google und Facebook vorgegangen. Dem Social Network setzte sie im Februar ebenfalls eine Frist von drei Monaten, um bestimmte Übertragungen von Daten in die USA zu stoppen. Ob es die Forderungen erfüllt hat, ist nicht bekannt. Jedoch sind bisher noch keine Klagen gegen Firmen öffentlich geworden, die sich in Frankreich noch auf Safe Harbor beziehen.

[mit Material von Ed Bott, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.