DSGVO-Risiken und Microsoft
Von Raymond Girbes -
27.01.2026
- 3 Minuten Lesezeit
Wenn Sie Microsoft Windows auf diese Weise nutzen, setzen Sie sich einem Risiko für DSGVO-Verstöße aus.
In diesem Blogbeitrag zeige ich Ihnen, wie Sie Ihre eigene Privatsphäre sowie die Ihrer Mitarbeiter und Kunden schützen können.
Viele Unternehmen sind nach wie vor auf Windows angewiesen. Das Problem liegt jedoch nicht bei Windows selbst, sondern darin, dass Windows und das Microsoft-Ökosystem zunehmend zur Datenverarbeitung beitragen. Diesen Beitrag möchten Sie als Unternehmen oder Einzelperson jedoch minimieren. Verzichten Sie auf Diagnosedaten (Telemetrie), Cloud-Synchronisation und neue Funktionen, die Bildschirm- und Benutzeraktivitäten verfolgen.
Telemetrie: Eingeschränkte Transparenz, eingeschränkte Kontrolle
Windows 11 (und andere Versionen) sendet diagnostische Informationen an Microsoft. In der Praxis kann Ihre Organisation jedoch nicht genau überprüfen, welche Daten gesendet werden, da viele davon verschlüsselt sind. Zudem ist die Telemetrie weder vollständig transparent noch unabhängig prüfbar. Außerdem erlauben die meisten Windows-Versionen nicht, die Telemetrie vollständig abzuschalten. Dies wirft Datenschutz- und Compliance-Fragen auf, da Sie in der Lage sein müssen, zu erklären, welche Daten wie und warum verarbeitet werden.
Zustimmung durch Buttons und Lizenzen ist keine Datenschutzstrategie
Microsoft fordert häufig Zustimmung, um Funktionen nutzen zu können, die angeblich „nützlich“ sind. Viele Unternehmen finden es herausfordernd, eine fundierte Entscheidung zu treffen, da die Auswirkungen auf Daten und Datenschutz unklar sind. Verhaltensweisen können sich ändern und Einstellungen können modifiziert werden.
DSVGO: Zweck und Datenminimierung
Die DSGVO verlangt, dass die Datenverarbeitung einen legitimen Zweck hat und dass nicht mehr Daten als notwendig verarbeitet werden. Die Designentscheidung „erst alles erfassen und später filtern“ erhöht das Risiko erheblich. Organisationen sollten Daten durch strukturierte Speicherung, ein gutes Dokumentenmanagement, klare Berechtigungen, Protokollierung und entsprechende Suchfunktionen verwalten. Dies ist vorzuziehen gegenüber riskanten Methoden wie der periodischen Erfassung von Bildschirminhalten, bei der oft mehr Daten erfasst werden als nötig.
Recall und Windows 11: Screenshots Ihres Bildschirms als neues Risiko
Wenn Sie die Funktion „Recall” aktivieren, speichert Windows 11 regelmäßig Momentaufnahmen Ihres Bildschirms. So können Sie sich vergangene Aktivitäten in Erinnerung rufen. Dabei werden auch Momente erfasst, in denen sensible Informationen sichtbar sind, wie etwa Namen, persönliche Daten, Verträge, E-Mails, Bestellungen, Zahlungen, Kundendaten, interne Systeme, Benutzernamen und gelegentlich Passwörter, die kurz zur Verifizierung angezeigt werden. Das Risiko, sensible Informationen offenzulegen, erhöht sich mit jedem neuen Aufnahmeort, selbst mit Filtern, besonders im Fall eines Sicherheitsvorfalls.
Meine Hauptaussage
Mir bereitet eher der Ansatz Sorgen als die „neuen nützlichen Funktionen”. Ein System, das grundsätzlich dazu neigt, mehr Daten zu erfassen und zu synchronisieren, während es gleichzeitig weniger Kontrolle bietet, ist für Unternehmen, die Datenschutz und Sicherheit ernst nehmen, nicht tragbar.
Umgang mit Daten und Software verantwortungsvoll
Nehmen Sie Daten und Software ernst!
Wenn alles gut geht, ist das zwar in Ordnung, aber wenn etwas schiefgeht, können die Folgen schwerwiegend sein.
Schlussfolgerungen
Viele Unternehmen sind nach wie vor auf Windows angewiesen. Das Problem liegt jedoch nicht bei Windows selbst, sondern darin, dass Windows und das Microsoft-Ökosystem zunehmend zur Datenverarbeitung beitragen. Diesen Beitrag möchten Sie als Unternehmen oder Einzelperson jedoch minimieren. Verzichten Sie auf Diagnosedaten (Telemetrie), Cloud-Synchronisation und neue Funktionen, die Bildschirm- und Benutzeraktivitäten verfolgen.
Telemetrie: Eingeschränkte Transparenz, eingeschränkte Kontrolle
Windows 11 (und andere Versionen) sendet diagnostische Informationen an Microsoft. In der Praxis kann Ihre Organisation jedoch nicht genau überprüfen, welche Daten gesendet werden, da viele davon verschlüsselt sind. Zudem ist die Telemetrie weder vollständig transparent noch unabhängig prüfbar. Außerdem erlauben die meisten Windows-Versionen nicht, die Telemetrie vollständig abzuschalten. Dies wirft Datenschutz- und Compliance-Fragen auf, da Sie in der Lage sein müssen, zu erklären, welche Daten wie und warum verarbeitet werden.
Zustimmung durch Buttons und Lizenzen ist keine Datenschutzstrategie
Microsoft fordert häufig Zustimmung, um Funktionen nutzen zu können, die angeblich „nützlich“ sind. Viele Unternehmen finden es herausfordernd, eine fundierte Entscheidung zu treffen, da die Auswirkungen auf Daten und Datenschutz unklar sind. Verhaltensweisen können sich ändern und Einstellungen können modifiziert werden.
DSVGO: Zweck und Datenminimierung
Die DSGVO verlangt, dass die Datenverarbeitung einen legitimen Zweck hat und dass nicht mehr Daten als notwendig verarbeitet werden. Die Designentscheidung „erst alles erfassen und später filtern“ erhöht das Risiko erheblich. Organisationen sollten Daten durch strukturierte Speicherung, ein gutes Dokumentenmanagement, klare Berechtigungen, Protokollierung und entsprechende Suchfunktionen verwalten. Dies ist vorzuziehen gegenüber riskanten Methoden wie der periodischen Erfassung von Bildschirminhalten, bei der oft mehr Daten erfasst werden als nötig.
Recall und Windows 11: Screenshots Ihres Bildschirms als neues Risiko
Wenn Sie die Funktion „Recall” aktivieren, speichert Windows 11 regelmäßig Momentaufnahmen Ihres Bildschirms. So können Sie sich vergangene Aktivitäten in Erinnerung rufen. Dabei werden auch Momente erfasst, in denen sensible Informationen sichtbar sind, wie etwa Namen, persönliche Daten, Verträge, E-Mails, Bestellungen, Zahlungen, Kundendaten, interne Systeme, Benutzernamen und gelegentlich Passwörter, die kurz zur Verifizierung angezeigt werden. Das Risiko, sensible Informationen offenzulegen, erhöht sich mit jedem neuen Aufnahmeort, selbst mit Filtern, besonders im Fall eines Sicherheitsvorfalls.
Meine Hauptaussage
Mir bereitet eher der Ansatz Sorgen als die „neuen nützlichen Funktionen”. Ein System, das grundsätzlich dazu neigt, mehr Daten zu erfassen und zu synchronisieren, während es gleichzeitig weniger Kontrolle bietet, ist für Unternehmen, die Datenschutz und Sicherheit ernst nehmen, nicht tragbar.
Umgang mit Daten und Software verantwortungsvoll
Nehmen Sie Daten und Software ernst!
Wenn alles gut geht, ist das zwar in Ordnung, aber wenn etwas schiefgeht, können die Folgen schwerwiegend sein.
- Wenn Sie später nachweisen können, dass Sie eine bewusste Entscheidung getroffen und angemessene Maßnahmen ergriffen haben, sind Sie auf der sicheren Seite.
- Sich zu sagen: „Oh, es wird schon gutgehen”, ist keine Entscheidung, sondern ein Glücksspiel mit den Daten anderer.
Schlussfolgerungen
- Deaktivieren Sie Funktionen wie „Recall”, wenn Sie personenbezogene oder andere wichtige Daten verarbeiten.
- Sie sollten erwägen, die Cloud-Synchronisation über Microsoft-Dienste wie OneDrive zu begrenzen oder ganz darauf zu verzichten. Ziehen Sie stattdessen eigene NAS-Systeme oder Dienste wie Tresorit in Betracht. Wenn Ihnen eine End-to-End-verschlüsselte Synchronisation wichtig ist, werfen Sie einen Blick auf Proton Drive.
- Ziehe eine Plattform in Betracht, die transparent und kontrolliert konfigurierbar ist: Linux.