​Infor­ma­ti­ons­pflich­ten bei Daten­er­he­bung und -ver­ar­bei­tung sind fester Bestand­teil des Daten­schutz­rechts. Mit der EU-Daten­schutz-Grund­ver­ord­nung (DSGVO) ver­viel­fa­chen sich jedoch die von Unter­neh­men und Ver­ant­wort­li­chen zu berück­sich­ti­gen­den Pflich­ten in Bezug auf die Infor­ma­ti­on von Betrof­fe­nen. Die­ser Arti­kel stellt die Neue­run­gen zur EU-Daten­schutz-Grund­ver­ord­nung dar.

Was sind Infor­ma­ti­ons­pflich­ten?

Ein ele­men­ta­rer Grund­satz des Daten­schutz­rech­tes ist die Trans­pa­renz. Betrof­fe­ne sol­len in die Lage ver­setzt wer­den, die Daten­er­he­bung, -ver­ar­bei­tung bzw. -nut­zung zu prü­fen oder, wie es das Bun­des­ver­fas­sungs­ge­richt aus­ge­drückt hat, wis­sen

wer was wann und bei wel­cher Gele­gen­heit über sie weiß.“

Die­ser Grund­satz kann nur dann gewähr­lei­stet wer­den, wenn Unter­neh­men und Ver­ant­wort­li­che aus­rei­chend über Daten­ver­ar­bei­tungs­vor­gän­ge infor­mie­ren.

Wie ist die bis­he­ri­ge Rechts­la­ge?

Infor­ma­ti­ons­pflich­ten sind bis­lang im BDSG und z.T. auch in ande­ren Geset­zen gere­gelt. Wer­den per­so­nen­be­zo­ge­ne Daten direkt beim Betrof­fe­nen erho­ben, rich­ten sich die zu ertei­len­den Infor­ma­tio­nen nach § 4 Abs. 3 BDSG, bei der Erhe­bung ohne Kennt­nis des Betrof­fe­nen ist § 33 BDSG anzu­wen­den.

Außer­dem exi­stie­ren in eini­gen Berei­chen spe­zi­el­le Infor­ma­ti­ons­pflich­ten, wie etwa in § 13 Abs. 1 TMG für Anbie­ter von Tele­me­di­en, die in der Regel in Form von Daten­schutz­er­klä­run­gen auf Web­sites oder Apps umge­setzt wer­den.

Was ändert sich durch die Daten­schutz-Grund­ver­ord­nung?

Die Grund­ver­ord­nung regelt die Infor­ma­ti­ons­pflich­ten in den Art. 13 und 14 in zwei sehr umfang­rei­chen und über das bis­her Erfor­der­li­che hin­aus­ge­hen­den Kata­lo­gen. Ergän­zend dazu fin­den sich, in einer Viel­zahl der Erwä­gungs­grün­de der Daten­schutz-Grund­ver­ord­nung, Anmer­kun­gen und Hin­wei­se, wel­che den Grund­satz der fai­ren und trans­pa­ren­ten Ver­ar­bei­tung stets her­vor­he­ben.

Es wird unter­schie­den zwi­schen Infor­ma­ti­ons­pflich­ten bei der Erhe­bung per­so­nen­be­zo­ge­ner Daten bei dem Betrof­fe­nen (Art. 13 DSGVO) Infor­ma­ti­ons­pflich­ten, wenn die Erhe­bung nicht direkt bei dem Betrof­fe­nen erfolgt (Art. 14 DSGVO).

Wel­che Infor­ma­ti­ons­pflich­ten bestehen nach Art. 13 DSGVO?

Wer­den per­so­nen­be­zo­ge­ne Daten beim Betrof­fe­nen erho­ben, muss der Ver­ant­wort­li­che nach Art. 13 Abs. 1 DSGVO fol­gen­de Infor­ma­tio­nen mit­tei­len:

a) Iden­ti­tät des Ver­ant­wort­li­chen
Es ist über den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen zu infor­mie­ren. Glei­ches gilt ggf. für Namen und Kon­takt­da­ten des Ver­tre­ters des Ver­ant­wort­li­chen nach Art. 27 DSGVO, wenn der Ver­ant­wort­li­che selbst nicht in der EU nie­der­ge­las­sen ist.

b) Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten
Neu ist auch die Ver­pflich­tung zur Mit­tei­lung der Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten des Ver­ant­wort­li­chen.

c) Ver­ar­bei­tungs­zwecke und Rechts­grund­la­ge
Der Ver­ant­wort­li­che muss auch über die Zwecke der Daten­ver­ar­bei­tung sowie über die Rechts­grund­la­ge der Ver­ar­bei­tung infor­mie­ren. Die­se neue Anfor­de­rung führt dazu, dass der Betrof­fe­ne dar­über auf­ge­klärt wird, auf wel­chen Erlaub­nis­tat­be­stand (sie­he Art. 6 DSGVO, z.B. Ein­wil­li­gung oder Erfül­lung eines Ver­tra­ges) der Ver­ant­wort­li­che die Daten­ver­ar­bei­tung stüt­zen möch­te.

d) Berech­tig­tes Inter­es­se
Soll­te die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zur Wah­rung berech­tig­ter Inter­es­sen des Ver­ant­wort­li­chen nach Art. 6 Abs. 1 f) DSGVO erfor­der­lich sein, bezie­hen sich die Infor­ma­ti­ons­pflich­ten auch auf eine Auf­klä­rung über die­se Inter­es­sen.

e) Emp­fän­ger
In allen Fäl­len, in denen per­so­nen­be­zo­ge­ne Daten über­mit­telt wer­den sol­len, sind die Betrof­fe­nen grund­sätz­lich über die kon­kre­ten Emp­fän­ger zu infor­mie­ren. Aus­nahms­wei­se reicht auch eine Infor­ma­ti­on über Kate­go­ri­en von Emp­fän­gern, wenn kon­kre­te Unter­neh­men noch nicht bezeich­net wer­den kön­nen.

f) Über­mitt­lung in Dritt­staa­ten
Soll­te der Ver­ant­wort­li­che eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­staa­ten beab­sich­ti­gen, ist dar­über eben­falls zu infor­mie­ren. Um die­se Pflicht zu erfül­len, ist mit­zu­tei­len, auf wel­cher beson­de­ren Bedin­gung nach Art. 44 ff. DSGVO die Über­mitt­lung beruht und wel­che Maß­nah­men ergrif­fen wur­den, um beim Emp­fän­ger ein ange­mes­se­nes Daten­schutz­ni­veau her­zu­stel­len. Wer­den z.B. EU-Stan­dard­ver­trags­klau­seln ver­wen­det, ist dem Betrof­fe­nen eine Ein­sicht­nah­me in das ent­spre­chen­de Doku­ment zu ermög­li­chen.

Nach Art. 13 Abs. 2 DSGVO muss der Ver­ant­wort­li­che dem Betrof­fe­nen dar­über hin­aus wei­te­re Infor­ma­tio­nen mit­tei­len, die ins­be­son­de­re not­wen­dig sind, um eine fai­re und trans­pa­ren­te Ver­ar­bei­tung zu gewähr­lei­sten:

a) Dau­er der Spei­che­rung
Es ist kon­kret anzu­ge­ben, für wie lan­ge per­so­nen­be­zo­ge­ne Daten gespei­chert wer­den. Nur aus­nahms­wei­se, wenn die Anga­be einer Kon­kre­ten Zeit­span­ne dem Ver­ant­wort­li­chen nicht mög­lich ist, rei­chen Kri­te­ri­en für die Fest­le­gung der end­gül­ti­gen Dau­er der Spei­che­rung aus.

b) Rech­te der Betrof­fe­nen
Die Betrof­fe­nen sind über ihre Rech­te auf Aus­kunft, Berich­ti­gung, Löschung, Ein­schrän­kung der Ver­ar­bei­tung, Wider­spruch gegen die Ver­ar­bei­tung sowie Daten­über­trag­bar­keit hin­zu­wei­sen, die sich aus den Art. 15 – 21 DSGVO erge­ben und hier behan­delt wer­den.

c) Wider­ruf­bar­keit von Ein­wil­li­gun­gen
Soweit die Ver­ar­bei­tung auf einer Ein­wil­li­gung des Betrof­fe­nen beruht, ist auch dar­auf geson­dert hin­zu­wei­sen. Die ent­spre­chen­de Infor­ma­ti­ons­pflicht ist nur erfüllt, wenn gleich­zei­tig dar­über auf­ge­klärt wird, dass die Ein­wil­li­gung jeder­zeit wider­ru­fen wer­den kann und die Daten­ver­ar­bei­tung bis zum Zeit­punkt des Wider­rufs recht­mä­ßig bleibt.

d) Beschwer­de­recht bei der Auf­sichts­be­hör­de
Der Betrof­fe­ne ist dar­über auf­zu­klä­ren, dass er sich gemäß Art. 77 DSGVO bei einer Auf­sichts­be­hör­de beschwe­ren kann, wenn er der Ansicht ist, dass die Ver­ar­bei­tung sei­ner per­so­nen­be­zo­ge­nen Daten rechts­wid­rig erfolgt.

e) Ver­pflich­tung zur Bereit­stel­lung per­so­nen­be­zo­ge­ner Daten
Der Ver­ant­wort­li­che muss den Betrof­fe­nen dar­über infor­mie­ren, ob die Bereit­stel­lung sei­ner per­so­nen­be­zo­ge­nen Daten gesetz­lich oder ver­trag­lich vor­ge­schrie­ben, für einen Ver­trags­schluss erfor­der­lich ist oder eine son­sti­ge Ver­pflich­tung besteht und wel­che Fol­gen eine Nicht­be­reit­stel­lung hät­te.

f) Auto­ma­ti­sier­te Ent­schei­dungs­fin­dung und Pro­filing
Sobald der Ver­ant­wort­li­che Ver­fah­ren der auto­ma­ti­sier­ten Ent­schei­dung nach Art. 22 DSGVO oder ande­re Pro­filing-Maß­nah­men nach Art. 4 Nr. DSGVO durch­führt, muss der Betrof­fe­ne über die beson­de­re Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen sol­cher Ver­fah­ren infor­miert wer­den. Die­se Infor­ma­ti­ons­pflicht erstreckt sich auf Anga­ben zu der dazu ver­wen­de­ten Logik oder des Algo­rith­mus.

Wel­che Infor­ma­ti­ons­pflich­ten bestehen nach Art. 14 DSGVO?

Wer­den per­so­nen­be­zo­ge­ne Daten nicht beim Betrof­fe­nen erho­ben, bestehen nach Art. 14 DSGVO für den Ver­ant­wort­li­chen nahe­zu die­sel­ben Infor­ma­ti­ons­pflich­ten, wie bei der Erhe­bung direkt beim Betrof­fe­nen.

Logi­scher­wei­se muss aller­dings hier der Betrof­fe­ne nicht über eine etwai­ge Ver­pflich­tung zur Bereit­stel­lung infor­miert wer­den, da er selbst nicht über die Bereit­stel­lung ent­schei­den kann.

Nach Art. 14 Abs. 2 f) DSGVO muss der Ver­ant­wort­li­che den Betrof­fe­nen jedoch dar­über auf­klä­ren, aus wel­cher Quel­le die per­so­nen­be­zo­ge­nen Daten stam­men und ob es sich dabei um eine öffent­lich zugäng­li­che Quel­le han­delt.

In wel­cher Form müs­sen die Infor­ma­tio­nen bereit­ge­stellt wer­den?

Nach Art. 12 DSGVO sind die oben dar­ge­stell­ten Infor­ma­tio­nen in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form zu ertei­len. Dabei kön­nen sie schrift­lich oder in elek­tro­ni­scher Form an den Betrof­fe­nen über­mit­telt wer­den.

Es wird expli­zit erwähnt, dass dafür auch sog. stan­dar­di­sier­te Bild­sym­bo­len ver­wen­det wer­den kön­nen, um in leicht wahr­nehm­ba­rer, ver­ständ­li­cher und klar nach­voll­zieh­ba­rer Form einen aus­sa­ge­kräf­ti­gen Über­blick über die beab­sich­tig­te Ver­ar­bei­tung zu ver­mit­teln. Anders als im BDSG wird es in der Daten­schutz-Grund­ver­ord­nung beson­de­re Anfor­de­run­gen an die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von Kin­dern geben. In die­sem Fal­le soll­ten nach Erwä­gungs­grund 58 der DSGVO auf­grund der beson­de­ren Schutz­wür­dig­keit von Kin­dern Infor­ma­tio­nen und Hin­wei­se in einer der­ge­stalt kla­ren und ein­fa­chen Spra­che erfol­gen, dass ein Kind sie ver­ste­hen kann.

Wann muss der Betrof­fe­ne infor­miert wer­den?

Bei der Direkt­er­he­bung muss der Betrof­fe­ne nach Art. 13 Abs. 1 DSGVO zum Zeit­punkt der Erhe­bung infor­miert wer­den.
Wer­den die Daten nicht beim Betrof­fe­nen erho­ben, muss der Ver­ant­wort­li­che die Infor­ma­tio­nen nach Art. 14 Abs. 3 DSGVO grund­sätz­lich inner­halb einer ange­mes­se­nen Frist, spä­te­stens jedoch nach einem Monat ertei­len. Wer­den die Daten aller­dings zur Kom­mu­ni­ka­ti­on mit dem Betrof­fe­nen ver­wen­det oder sol­len an einen Emp­fän­ger über­mit­telt wer­den, ist die Infor­ma­ti­on zwin­gend zum Zeit­punkt der Kon­takt­auf­nah­me oder ersten Über­mitt­lung vor­zu­neh­men.

Kann die Infor­ma­ti­ons­pflicht ein­ge­schränkt sein?

Bei der Direkt­er­he­bung kann nach Art. 13 Abs. 4 DSGVO auf die Infor­ma­ti­on des Betrof­fe­nen nur dann ver­zich­tet wer­den, wenn die­ser bereits infor­miert wur­de.

Soweit die Daten nicht beim Betrof­fe­nen erho­ben wer­den, sind die Infor­ma­ti­ons­pflich­ten gemäß Art. 14 Abs. 5 DSGVO in drei wei­te­ren Fäl­len ent­behr­lich:

  • Die Infor­ma­ti­on ist unmög­lich oder unver­hält­nis­mä­ßig auf­wen­dig.
  • Die Erhe­bung oder Über­mitt­lung ist gesetz­lich vor­ge­schrie­ben.
  • Es besteht ein Berufs­ge­heim­nis oder eine son­sti­ge sat­zungs­mä­ßi­ge Geheim­hal­tungs­pflicht.

Ins­ge­samt lässt sich fest­hal­ten, dass die Fäl­le, in denen auf eine Infor­ma­ti­on des Betrof­fe­nen ver­zich­tet wer­den kann, im Gegen­satz zum BDSG ein­ge­schränkt wer­den.

Fol­ge bei Ver­stö­ßen gegen die Infor­ma­ti­ons­pflicht?

Wenn Ver­ant­wort­li­che ihren Infor­ma­ti­ons­pflich­ten nicht nach­kom­men, droht gemäß Art. 83 Abs. 5 b DSGVO ein Buß­geld. Der euro­päi­sche Gesetz­ge­ber sieht die Gewähr­lei­stung einer fai­ren und trans­pa­ren­ten Daten­ver­ar­bei­tung mit Hil­fe umfas­sen­der Infor­ma­ti­on als ele­men­tar an und bedroht Ver­stö­ße in die­sen Fäl­len mit dem hohen Buß­geld­rah­men, der Buß­gel­der bis zu 20.000.000 EUR oder 4% des Jah­res­um­sat­zes vor­sieht.

Wel­che Vor­ge­hens­wei­se wäre emp­feh­lens­wert?

Ver­ant­wort­li­che soll­ten nun früh­zei­tig begin­nen, die neu­en Infor­ma­ti­ons­pflich­ten umzu­set­zen und die wei­te­ren Anfor­de­run­gen an Form und Zeit­punkt der Mit­tei­lung zu beach­ten.

​Unzu­läs­si­ge Daten­über­mitt­lun­gen in die USA

(hmbb­fdi, 6.6.2016) Der EuGH hat die Safe Har­bor-Ent­schei­dung im Okto­ber 2015 auf­ge­ho­ben und damit einen  wesent­li­chen Pfei­ler für eine recht­mä­ßi­ge Daten­über­mitt­lung an US-Unter­neh­men für unwirk­sam erklärt. Dar­auf­hin wur­den durch den Ham­bur­gi­schen Daten­schutz­be­auf­trag­ten Prü­fun­gen bei 35 inter­na­tio­nal agie­ren­den Ham­bur­ger Unter­neh­men durch­ge­führt.

Die Prü­fun­gen haben erge­ben, dass die über­wie­gen­de Mehr­heit der Unter­neh­men den Daten­trans­fer im Rah­men einer mehr­mo­na­ti­gen Umset­zungs­frist recht­zei­tig auf soge­nann­te Stan­dard­ver­trags­klau­seln umge­stellt hat. Eini­ge weni­ge Unter­neh­men hat­ten aber auch ein hal­bes Jahr nach Weg­fall der Safe Har­bor-Ent­schei­dung kei­ne zuläs­si­ge Alter­na­ti­ve geschaf­fen. Die Daten­über­mitt­lun­gen die­ser Unter­neh­men in die USA erfolg­ten damit ohne recht­li­che Grund­la­ge und waren rechts­wid­rig.

Wäh­rend eini­ge der ein­ge­lei­te­ten Ver­fah­ren noch nicht abge­schlos­sen wer­den konn­ten und ande­re Prü­fun­gen noch lau­fen, sind mitt­ler­wei­le drei Buß­geld­be­schei­de wegen der unzu­läs­si­gen Über­mitt­lung von Mit­ar­bei­ter- und Kun­den­da­ten in die USA rechts­kräf­tig gewor­den. Die betrof­fe­nen Unter­neh­men haben nach Ein­lei­tung des Buß­geld­ver­fah­rens ihre Über­mitt­lun­gen recht­lich auf Stan­dard­ver­trags­klau­seln umge­stellt.

Dazu Johan­nes Cas­par, der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit: „Dass die Unter­neh­men schließ­lich doch noch eine recht­li­che Grund­la­ge für die Über­mitt­lung geschaf­fen haben, war bei der Bemes­sung der Buß­gel­der posi­tiv zu berück­sich­ti­gen. Für künf­tig fest­ge­stell­te Ver­stö­ße wird sicher­lich ein schär­fe­rer Maß­stab anzu­le­gen sein.

Im wei­te­ren Ver­lauf bleibt nun abzu­war­ten, ob die Nach­fol­ge­re­ge­lung zu Safe Har­bor, der Pri­va­cy Shield, den die EU-Kom­mis­si­on Ende Febru­ar vor­ge­legt hat, ein ange­mes­se­nes Daten­schutz­ni­veau her­stellt. Dar­an waren nicht zuletzt sei­tens der Art. 29-Daten­schutz­grup­pe, dem gemein­sa­men Gre­mi­um der Daten­schutz­be­hör­den der EU-Mit­glied­staa­ten und des Euro­päi­schen Daten­schutz­be­auf­trag­ten,  erheb­li­che Zwei­fel geäu­ßert wor­den. EU-Kom­mis­si­on und US-Regie­rung sind hier auf­ge­for­dert, den Ent­wurf in wesent­li­chen Punk­ten nach­zu­bes­sern. Vor die­sem Hin­ter­grund wird auch über die Zuläs­sig­keit der der­zeit nicht bean­stan­de­ten alter­na­ti­ven Über­mitt­lungs­in­stru­men­te, ins­be­son­de­re soge­nann­ter Stan­dard­ver­trags­klau­seln, zu ent­schei­den sein.”

https://​www​.daten​schutz​-ham​burg​.de/​n​e​w​s​/​d​e​t​a​i​l​/​a​r​t​i​c​l​e​/​u​n​z​u​l​a​e​s​s​i​g​e​-​d​a​t​e​n​u​e​b​e​r​m​i​t​t​l​u​n​g​e​n​-​i​n​-​d​i​e​-​u​s​a​.​h​tml

Aktu­el­le Umfra­ge­er­geb­nis­se zei­gen, dass Spam-Mails noch immer Haupt­grund für die Infi­zie­rung von Com­pu­tern durch Schad­pro­gram­me sind: 75 Pro­zent der von Ran­som­ware betrof­fe­nen Unter­neh­men infi­zier­ten sich in den letz­ten sechs Mona­ten durch schad­haf­te Mail-Anhän­ge. Zu die­sem Ergeb­nis kommt die jüng­ste Befra­gung des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) durch die Alli­anz für Cyber-Sicher­heit. Die Aus­wir­kun­gen rei­chen vom Befall ein­zel­ner Arbeits­platz­rech­ner über den Aus­fall von Tei­len der IT-Infra­struk­tur bis hin zum Ver­lust wich­ti­ger Daten. Häu­fi­ge Ursa­che: E-Mail-Emp­fän­ger öff­nen ihre elek­tro­ni­sche Post zu unbe­dacht

Mit einem 3-Sekun­den-Sicher­heits-Check kön­nen die Risi­ken bereits gemin­dert wer­den. Absen­der, Betreff und Anhang sind hier­bei drei kri­ti­sche Punk­te, die vor dem Öff­nen jeder E-Mail bedacht wer­den soll­ten. Ist der Absen­der bekannt? Ist der Betreff sinn­voll? Wird ein Anhang von die­sem Absen­der erwar­tet? In Kom­bi­na­ti­on lie­fern die­se Fra­gen einen guten Anhalts­punkt, um zu ent­schei­den, ob die E-Mail als ver­trau­ens­wür­dig ein­zu­stu­fen ist. In vie­len Spam-Mails ist der Betreff bewusst vage for­mu­liert, wie „Ihre Rech­nung“, „Mah­nung“ oder „Drin­gen­de Nach­richt“. Hier gilt es beson­ders kri­tisch zu hin­ter­fra­gen, ob eine Nach­richt vom jewei­li­gen Absen­der sin­nig erscheint, ins­be­son­de­re wenn Mail-Anhän­ge bei­gefügt sind. Erhal­ten Sie bei­spiels­wei­se eine E-Mail mit dem Betreff „Rech­nung“ von einem Online-Shop, bei dem Sie regi­striert sind, ohne dass Sie eine Bestel­lung erwar­ten, könn­te dies ein Hin­weis für eine Spam-Mail sein. Hin­ter­fra­gen Sie jede E-Mail: Ergibt die Über­prü­fung der drei Check­punk­te Absen­der, Betreff, Anhang ins­ge­samt kein stim­mi­ges Bild, rät das BSI E-Mails noch vor dem Öff­nen zu löschen. Im Zwei­fels­fall soll­ten Sie vor dem Öff­nen per­sön­lich beim Absen­der nach­fra­gen, ob er eine E-Mail geschickt hat.

Link: BSI für Bür­ger

​Der Lan­des­be­auf­trag­te für den Daten­schutz Baden-Würt­tem­berg emp­fiehlt vor allem, die Über­mitt­lung der Wer­bungs-ID, Micro­softs Smart­Screen-Fil­ter und die Erken­nung des Ein­ga­be- und Schreib­ver­hal­tens zu deak­ti­vie­ren. All die­se Funk­tio­nen sind werk­sei­tig akti­viert.

Der Lan­des­be­auf­trag­te für den Daten­schutz hat den vom ihm ver­öf­fent­lich­ten Leit­fa­den zu den Daten­schutz­ein­stel­lun­gen bei Win­dows 10 über­ar­bei­tet. Das 27 Sei­ten umfas­sen­de PDF-Doku­ment ist auf der Web­site des Amtes kosten­los als Down­load ver­füg­bar. Anwen­der erhal­ten mit dem Leit­fa­den auch eine aus­führ­li­che Anlei­tung, wie sich die nach Mei­nung des Daten­schüt­zers als bedenk­lich bewer­te­ten Funk­tio­nen abschal­ten las­sen.

Er erklärt die Not­wen­dig­keit des Leit­fa­dens damit, dass der Groß­teil der Optio­nen zur Daten­über­mitt­lung stan­dard­mä­ßig akti­viert sei. “Wenn Sie eine Daten­wei­ter­ga­be an Micro­soft unter­bin­den möch­ten, so müs­sen Sie die ent­spre­chen­den Optio­nen expli­zit aus­schal­ten”, heißt es in dem Doku­ment. Aus Sicht des baden-würt­tem­ber­gi­schen Daten­schutz­be­auf­trag­ten Jörg Kling­beil soll­ten ins­be­son­de­re die Über­mitt­lung der Wer­bungs-ID und der Smart­Screen-Fil­ter sowie die Sprach­li­ste und die Funk­ti­on zur Erken­nung des Ein­ga­be- und Schreib­ver­hal­tens deak­ti­viert wer­den.

An der Wer­bungs-ID wird bemän­gelt, dass sich die Ana­ly­se des Nut­zungs­ver­hal­tens über das Micro­soft-Kon­to auch gerä­te­über­grei­fend bewerk­stel­li­gen lässt. Der Smart­Screen-Fil­ter ist laut Micro­soft dazu gedacht, beim Besuch von Web­sei­ten dort vor­ge­hal­te­ne, bedroh­li­che Datei­en und Links zu ermit­teln. Tei­le des Inhalts und Infor­ma­tio­nen zu her­un­ter­ge­la­de­nen Datei­en wer­den des­halb zur Über­prü­fung an Micro­soft geschickt und anhand einer Black­list abge­gli­chen. Neben der Tat­sa­che, dass Micro­soft so viel über das Ver­hal­ten des Anwen­ders erfährt, kri­ti­siert der Daten­schutz­be­auf­trag­te auch, dass nach sei­nen Erkennt­nis­sen die kom­plet­te IP-Adres­se an Micro­soft über­tra­gen und dort für 60 Tage gespei­chert wird.

Die zur Ver­bes­se­rung der Hand­schrif­ten­er­ken­nung ein­ge­setz­te Funk­ti­on “Ein­ga­be- und Schreib­ver­hal­ten” löst Daten­schutz­be­den­ken aus, weil sämt­li­che mit­tels Stift ein­ge­ge­be­ne Tex­te an Micro­soft über­tra­gen wer­den, um eine zen­tra­le Ana­ly­se sicher­zu­stel­len. Hin­sicht­lich der Sprach­li­ste, deren Deak­ti­vie­rung eben­falls emp­foh­len wird, moniert Kling­beil, dass aus den Daten­schutz­be­stim­mun­gen nicht ersicht­lich ist, “um wel­che Funk­tio­na­li­tät es sich hier genau han­delt und ob dabei Daten an Micro­soft über­mit­telt wer­den”.

Schon im Sep­tem­ber 2015 hat­te Micro­soft selbst meh­re­re Bei­trä­ge auf sei­ner Web­site publi­ziert, in wel­chen es die vor­her bereits umstrit­te­nen Funk­tio­nen detail­liert erläu­tert. Über­dies stellt der Kon­zern aus Red­mond schon lan­ge her­aus, dass Win­dows 10 zum einen Daten samm­le, um die­se zur Ver­bes­se­rung des Pro­dukts zu nut­zen (zum Bei­spiel bei der Hand­schrif­ten­er­ken­nung und der Sprach­ein­ga­be) und dass Nut­zer zum ande­ren jeder­zeit selbst ent­schei­den könn­ten, wel­che Daten mit­ge­schnit­ten wer­den dür­fen. Das stimmt aller­dings nur teil­wei­se, da die frü­her “Feh­ler­be­richt­erstat­tung” genann­te Funk­ti­on nun nicht mehr optio­nal ist, son­dern bereits werk­sei­tig vor­ein­ge­stellt. Zudem lässt sie sich höch­stens noch ein­schrän­ken, jedoch nicht mehr kom­plett abschal­ten.

Vor allem in Unter­neh­men löste die­ses Vor­ge­hen sei­tens Micro­soft Befrem­den aus. Aller­dings ste­hen nicht nur für den Anwen­der, son­dern auch für Admi­ni­stra­to­ren zahl­rei­che Mög­lich­kei­ten für die Kon­fi­gu­ra­ti­on von Unter­neh­mens-PCs bereit, um das Sam­meln von Daten zu ver­hin­dern.

Aus unter­schied­li­chen Grün­den ste­hen die Daten­schutz­ein­stel­lun­gen bei Win­dows 10 respek­ti­ve die erwei­ter­te Daten­samm­lung durch das Betriebs­sy­stem trotz­dem stark in der Kri­tik. Im März reich­te die Ver­brau­cher­zen­tra­le Nord­rhein-West­fa­len gegen Micro­soft beim Land­ge­richt Mün­chen daher sogar eine Kla­ge ein. Die Daten­schutz­klau­sel von Win­dows 10 ist in ihren Augen zu pau­schal. Der zuvor erfolg­ten Auf­for­de­rung, eine straf­be­wehr­te Unter­las­sungs­er­klä­rung zu unter­zeich­nen und die Daten­schutz­klau­sel nicht mehr ein­zu­set­zen, woll­te der Kon­zern aus Red­mond nicht nach­kom­men.