Ist der Firmeneinsatz von Windows 10 legal?
Datenschleuder Windows 10
Hannover, 27. Oktober 2016 – Windows 10 übermittelt viele detaillierte Informationen über die Systemnutzung an die US-Server von Microsoft. Ein juristisches Nachspiel hierzu ist nicht ausgeschlossen, schreibt das IT-Profimagazin iX in seiner aktuellen Ausgabe 11/16. Denn das „Ausplaudern“ könnte nicht nur mit dem Bundesdatenschutzgesetz kollidieren, sondern auch mit Betriebsverfassungsgesetz.
Schon die aggressiven Umstiegsaufforderungen, in deren Rahmen ohne Zustimmung des Benutzers Software auf dem Rechner installiert wurde, hatten die Verbraucherschützer auf den Plan gerufen. Nicht zu reden von dem Wust an Datenübermittlung, den die Zwangsregistrierung mit sich brachte.
Damit nicht genug: Der Einsatz der Datenschleuder Windows 10 könnte jetzt nicht nur Microsoft in die Bredouille bringen, sondern auch die Unternehmen, die Windows 10 einsetzen. „Während bei Verstößen gegen das Datenschutzgesetz der Hersteller, also Microsoft, die Konsequenzen tragen muss, hätten bei Verstößen gegen das Betriebsverfassungsgesetz die Unternehmen den schwarzen Peter“, sagt Lukas Grunwald, langjähriger iX-Autor und CEO sowie Sicherheitsexperte der Firmen Greenbone und DN-Systems. Es stellt sich hier die Frage, ob eine so weitgehende Erfassung und Übermittlung von Arbeitnehmerdaten deutschen Gesetzen entspricht oder nicht mindestens der Zustimmung des Betriebsrates bedürfte.
Grunwald hat die Datenübermittlung sehr genau untersucht und festgestellt, dass die Datenübertragung keinesfalls den üblichen Sicherheitsstandards Genüge trägt. So wird das Passwort ohne Zertifikat-Pinning übertragen, sodass jeder mit einer Man-in-the-Middle-Attacke das nicht gehashte Passwort mitlesen kann
„Unschön auch, dass diese Geschwätzigkeit voreingestellt ist und man sie in den Endbenutzerversionen nicht abstellen kann“, so Grunwald. Ob die gebotenen Konfigurationsmöglichkeiten einen datenschutzkonformen Firmeneinsatz von Windows 10 überhaupt gestatten, prüft derzeit das für Microsoft Deutschland zuständige Bayerische Landesamt für Datenschutzaufsicht. Es wäre nicht erstaunlich, wenn es für eine endgültige rechtliche Einschätzung auch wieder einmal eines Gerichtsverfahrens bedürfte.
Sylke Wilde
Presse- und Öffentlichkeitsarbeit
Heise Medien
Karl-Wiechert-Allee 10
30625 Hannover
Telefon: +49 511 5352-290
sylke.wilde@heise.de
Tags: