Umstieg auf Windows 11: Was ist aus Datenschutz-Perspektive zu beachten?

Data Privacy von Chantal Nußbaum

Arbeitsplatz mit Laptop
rerf_studio/shutterstock.com

Windows 10 läuft aus und in vielen Unternehmen steht ein Update des Betriebssystems an. Dabei gibt es aus Datenschutz-Perspektive einige Dinge zu bachten.

Mit dem Supportende von Windows 10 im Oktober 2025 sind Unternehmen mit einer Umstellung ihres Betriebssystems konfrontiert. Manche Unternehmen berücksichtigen dieses Erfordernis bereits in der Budgetplanung, wiederum andere prüfen noch die Umsetzungsmöglichkeiten. Grundsätzlich ist ein Umstieg auf Windows 11 in jedem Fall notwendig, da rechtlich gesehen nur Soft- und Hardware zum Einsatz kommen darf, die noch Herstellerunterstützung und damit Fehlerbeseitigung (Patches) zur Verfügung gestellt werden.

Der Umstieg auf Windows 11 muss sehr genau aus Sicht des Datenschutzes betrachtet werden. Verantwortliche in Unternehmen sollten sich vertieft mit dem Thema „Telemetriedaten-Übermittlung" auseinandersetzen. Unternehmen, die Windows in den Versionen 10 und 11 auf den Arbeitsplätzen im Einsatz haben, sind in der Pflicht ihre Konfiguration zu prüfen und gegebenenfalls anzupassen.

Diese Anpassungen sollten Unternehmen umsetzen

  • Verwendung von Standortdaten
    Microsoft möchte die Standortdaten seiner Nutzer auswerten. Diese werden über das WLAN, die IP-Adresse oder auch über GPS ermittelt. Wer nicht von Windows geortet werden möchte, widerspricht dem bei der Installation von Windows 11.

  • „Diagnosedaten“
    Mit der Einstellung, dass „nur notwendige“ Diagnosedaten an Microsoft übermittelt werden dürfen, erhöhen Sie den Datenschutz erheblich. Denn damit wird verhindert, dass Informationen über besuchte Websites, genutzte Apps oder andere Features zusammen mit den sogenannten Telemetriedaten an Microsoft übermittelt werden. Dabei können Nutzer auch der Verwendung von Diagnosedaten für "personalisierte Erlebnisse" widersprechen. So wird das Nutzer-Verhalten nicht analysiert und User werden nicht mit Tipps zu Windows 11 belästigt. Nachteile ergeben sich dadurch nicht.

  • „Freihand und Eingabe verbessern“
    Um Wörter besser automatisch vorhersagen und vervollständigen zu können und die Autokorrektur zu verbessern, möchte Microsoft Ihre Tastatureingaben zur Analyse an Microsoft-Server senden. Dies geschieht zwar anonymisiert, ist aber unnötig und nicht hilfreich. Bitte nehmen Sie die Deaktivierung vor. Nachteile ergeben sich dadurch nicht.

  • „Apps Werbe-ID verwenden lassen“
    Hier bitte auf „Nein“ klicken. Der Grund: Sie können so verhindern, dass Microsoft Nutzer-Verhalten für passende Werbung analysiert.

  • „Gestalten Sie Ihre Benutzererfahrung individuell“
    Auch hier geht es darum, Apps und andere Dienste auf Sie zuzuschneiden, und zwar durch die Auswertung von Nutzer-Daten (genauer: Microsoft wertet die übermittelten Diagnosedaten aus). Die auf User zugeschnittenen Vorschläge, die Sie z.B. aus dem Microsoft Store erhalten würden, sind die Daten nicht wert. Überspringen Sie diesen Punkt.

  • Standard-Browser:
    Der Standardbrowser Microsoft Edge ist dafür bekannt, Unmengen an persönlichen Daten zu sammeln. Wir empfehlen datenschutzfreundlichere Browser (z. B. Firefox, Brave): (Windows + i > Apps > Standard-Apps). Hier können die Standardeinstellungen geändert werden

Zur Vervollständigung

Ebenfalls finden Sie nachfolgend weitere Informationen zur Konfiguration, die für die Vollständigkeit wichtig sind. Konkrete Konfigurationsempfehlungen speziell zu Windows 11 gibt es derzeit von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) oder von Aufsichtsbehörden noch nicht. Dennoch können das Prüfschema der DSK und die Dokumentation des Bayerischen Landesbeauftragten für den Datenschutz herangezogen.

Hinweis zum internationalen Datenverkehr

Das datenschutzrechtliche Problem beim Einsatz von Windows Betriebssystemen ist die Datenübertragung an Microsoft in die USA. Die Nutzung von Windows in Unternehmensnetzwerken sowie der Anschluss an das Internet eröffnet Microsoft die Möglichkeit, Informationen über Betriebssystemaktivitäten und damit den Systemzustand eines Computersystems an eigene Server in den USA zu übertragen. Da die Übermittlung von personenbezogenen Daten in die USA erfolgen, sind die Normen über den internationalen Datenverkehr, die Art. 44 ff. DSGVO, anzuwenden.

Microsoft unterwirft sich dem EU-US Data Privacy Framework (DPF), wodurch ein Angemessenheitsniveau nach den Maßstäben der Europäischen Kommission besteht. Leider ist die Transferproblematik in die USA noch nicht ganz gelöst. Sobald das DPF wegfällt, müssen nicht nur Standardvertragsklauseln abgeschlossen, sondern auch weitere geeignete Garantien gem. Art. 44 ff. DS-GVO ergriffen werden, um ein wirksames Schutzniveau zu erreichen. Bspw. weitere vertragliche Regelungen oder auch weitere technische Maßnahmen. Mit dem Wahlsieg von Donald Trump wird vermutet, dass Präsident Trump viele Entscheidungen der Biden-Administration rückgängig machen möchte. Dies hätte auch Auswirkungen auf Datenübermittlungen in die USA. Die Aufhebung der Executive Order 14086 von Präsident Trump durch das Erlassen einer neuen Order würde unweigerlich dazu führen, dass das EU-US Data Privacy Framework nicht mehr gültig ist. In diesem Fall wäre die Übermittlung von Daten an Microsoft nur noch unter Bedingung "Geeignete Garantien" zulässig.

Patriot Act und CLOUD Act
Der sogenannte Patriot Act ist ein Bundesgesetz, das in den USA seit den Terroranschlägen vom 11. September 2001 in Kraft ist. Es besagt, dass US-Bundesbehörden wie die NSA oder die CIA ohne persönliche Einwilligung oder richterliche Anordnung auf alle in den USA gespeicherten Daten zugreifen dürfen. Darüber hinaus gibt es noch weitere Ermächtigungsgrundlagen, die nicht auf den Patriot Act zurückgehen. Beispiel ist hier der US-CLOUD Act. Der US-CLOUD Act ist im März 2018 in Kraft getreten. Er ermöglicht US-Behörden den Zugriff auf personenbezogene Daten, die sich im Besitz oder unter der Kontrolle von US-Unternehmen befinden, auch wenn sich diese Daten außerhalb der USA befinden. Das Gesetz gilt nur für Anbieter elektronischer Kommunikationsdienste. Damit ist jedes Unternehmen, das cloudbasierte Datenverarbeitungen durch US-amerikanische Anbieter oder deren Tochtergesellschaften in Anspruch nimmt, potentiell von Herausgabeverlangen nach dem CLOUD Act betroffen. Das Thema ist recht umfangreich. Wenn Sie sich näher damit befassen möchten, gibt es eine Quelle des Bundestages, die sich mit dem US-Datenrecht befasst.

Empfehlung des Bundesamt für Sicherheit in der informationstechnik (BSI)

Das BSI empfiehlt weiterhin Windows 10 (kann auf Windows 11 übertragen werden) im Rahmen einer Netztrennung zu betreiben. Denn deren Untersuchungsergebnisse zeigen, dass auch beim Einsatz von Windows 10 Enterprise mit der Konfiguration „Windows Restricted Traffic Limited Functionality Baseline“ und der Telemetriestufe “Security“ Datenübermittlungen an „settingswin.data.microsoft.com“ erfolgen.

Wir gehen davon aus, dass in den kommenden Monaten weitere Informationen zur datenschutzrechtlichen Konfiguration erscheinen. Darüber werden wir informieren und Sie auf dem Laufenden halten.

Wie Sie erkennen können, ist beim Einsatz von Windows in den aktuellen Versionen eine weitreichende Betrachtung der datenschutzrechtlichen Aspekte notwendig. Gerne stehen wir Ihnen beratend zur Seite.

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Unsere Kontaktdaten: +49 711 / 489083 - 0

Was ist die Summe aus 2 und 1?
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.