Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
25. März 2020

Mehr Datenschutz bei Telemetrie-Daten

DP+
Mehr Datenschutz bei Telemetrie-Daten
Bild: iStock.com / nadla
0,00 (0)
Nicht nur bei Windows 10
Die Datenschutz-Diskussion zu Microsoft Windows 10 hat bei zahlreichen Unternehmen das Thema „Telemetrie-Daten“ auf die Agenda gebracht. Doch Windows 10 ist nur ein Beispiel von vielen.

Es gilt nicht nur bei Windows 10: Datenschutzbeauftragte sollten sich die Telemetrie-Daten der verschiedenen IT-Lösungen im Unternehmen oder in der Behörde ansehen.

Keine Seltenheit: Übertragung von Protokolldaten in die USA

Die Nutzung von Windows auf privaten PCs und in Behörden- oder Unternehmensnetzwerken sowie der Anschluss an das Internet eröffnete Microsoft schon lange die Möglichkeit, Informationen über Betriebssystemaktivitäten und damit den Systemzustand eines Computersystems an eigene Server in den USA zu übertragen.

Das erklärte der Arbeitskreis Technik der Datenschutzkonferenz (DSK), des Gremiums der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, im Rahmen seines Prüfschemas zu Windows 10.

Diese Datenübertragungen dienen Microsoft u.a. dazu, Fehler zu entdecken, Produkte zu verbessern und das System für den Nutzer zu optimieren.

Das Problem dabei ist: Microsoft erhält eventuell auch personenbezogene Daten wie z.B. IP-Adresse, Nutzerkonto, Position, Nutzerverhalten, Internetaktivität, Präferenzen und Suchaktivitäten.

Ohne die Bedeutung einer Risikobewertung für Windows 10 zu schmälern: Solche Protokollübertragungen an Server der IT-Hersteller sind durchaus üblich.

Viele Hersteller sammeln Nutzungsdaten zu ihren Lösungen, um die Produkte zu verbessern und Fehler zu erkennen.

Die Frage ist nur, ob die Hersteller anonymisierte Daten nutzen oder ob sie bei Personenbezug der Daten eine informierte Einwilligung der betroffenen Nutzer einholen.

Programme für ein „besseres Kundenerlebnis“ hinterfragen

Wenn Sie wissen wollen, ob eine Lösung Nutzungsdaten sammeln möchte oder dies womöglich bereits tut, suchen Sie nicht nur nach Begriffen wie „Telemetriedaten“.

Die Anbieter verwenden gern andere Bezeichnungen wie „Programme für ein besseres Kundenerlebnis“.

Am Programm teilzunehmen, ist freiwillig und erfolgt nur nach einer Zustimmung. Im Idealfall stellen Sie nur anonyme Informationen zur Nutzung der Produkte bereit.

Sie können die Zustimmung in den Produkteinstellungen jederzeit widerrufen. Widerrufen Sie Ihre Zustimmung, dürfen die Hersteller die anonymen Daten nicht weiter verarbeiten.

Wie der jeweilige Hersteller es aber genau handhabt, sollte er in seiner Datenschutzerklärung (Privacy Policy) darlegen.

Er muss v.a. erklären,

  • welche Daten er zur Interaktion mit dem Produkt erhebt (z.B. welche Funktionen die Nutzer häufig verwenden, welche Einstellungen die Benutzer anpassen und wie viel Zeit sie mit dem Produkt verbringen),
  • welche Daten er zu den Geräten erhebt (möglicher Personenbezug! z.B. Geräte-ID, Gerätemodell, Land, Version und Name des Betriebssystems),
  • zu welchem Zweck er genau die Daten verwendet (z.B. Fehlerdiagnosedaten, um zu erfahren, wie es zu Abstürzen der Software kommt, also Daten zu Art des Fehlers und Aktionen, die ihn verursacht haben) und
  • wer diese Informationen verarbeitet (weitere Stellen neben dem Hersteller?).

Erforderlichkeit und Personenbezug klären

Um die Erhebung von Telemetriedaten zu überprüfen, sollten Datenschutzbeauftragte alle Datenkategorien, die der Hersteller in den Protokolldaten vorsieht, genau hinterfragen:

  • Sind die Daten wirklich erforderlich, um die Qualität und Zuverlässigkeit des Produkts zu verbessern?
  • Hängen die Eigenschaften des Produkts tatsächlich vom genauen Standort ab, an dem man es nutzt?
  • Fragt der Anbieter Daten mit Personenbezug ab?

Denken Sie beim letzten Punkt daran, dass die Datenschutz-Grundverordnung hierzu auch Daten zählt, die eine Person direkt oder indirekt identifizierbar machen können, insbesondere über die Zuordnung zu einer Kennung wie eines Namens zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung.

Welche Datenkategorien kritisch sein können

Bei Windows 10 z.B. unterscheidet man bei den Telemetrie-Daten die Sicherheitsdaten, grundlegende System- und Qualitätsdaten, verbesserte Einblicke und erweiterte Zuverlässigkeitsdaten sowie vollständige Diagnosedaten.

Was sich genau dahinter an Datenkategorien verbirgt, sollten Sie sich bei jeder eingesetzten IT-Lösung ansehen, bevor Sie die Telemetrie-Daten für den Versand an den Hersteller freigeben lassen.

Unter grundlegenden Gerätedaten versteht Microsoft z.B.:

  • Geräteattribute wie z.B. Kameraauflösung und Displaytyp
  • Internet-Explorer-Version
  • Akku-Attribute, z.B. Kapazität und Typ
  • Netzwerkattribute, z.B. Anzahl der Netzwerkadapter, Geschwindigkeit der Netzwerkadapter, Mobilfunkanbieternetzwerk und IMEI-Nummer
  • Prozessor- und Speicherattribute, z.B. Anzahl der Prozessorkerne, Architektur, Geschwindigkeit, Größe des Arbeitsspeichers und Firmware
  • Virtualisierungs-Attribute wie SLAT-Unterstützung (Second Level Address Translation) und Gastbetriebssystem
  • Betriebssystemattribute, beispielsweise Windows-Edition und Virtualisierungsstatus
  • Speicherattribute, z.B. die Anzahl der Laufwerke, Typ und Größe

Abgesehen davon, dass es Untersuchungen gibt, wie einmalig die Gerätedaten eines Nutzers sein können, was ein Tracking ohne Cookies ermöglicht: Die IMEI (International Mobile Equipment Identity) wird genau wie die Kartennummer einer SIM-Karte (IMSI) als personenbezogenes Datum eingestuft.

Somit können sich auch unter „grundlegenden Gerätedaten“ durchaus Daten mit Personenbezug befinden. Sehen Sie also sehr genau hin, welche Telemetriedaten ein Anbieter erheben möchte.

Zweifellos ist Windows 10 ein prominentes Beispiel für wichtige Fragen, die Sie an Telemetriedaten stellen sollten. Es kann Ihnen daher als Musterfall dienen.

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Analyse der Telemetriekomponente in Windows 10 zur Verfügung gestellt: https://ogy.de/bsi-telemetrie-windows.

Und die Datenschutzkonferenz hat Anwendungshinweise zum Datenschutz bei Windows 10 veröffentlicht, in denen es ebenfalls um die Telemetriedaten geht: https://ogy.de/pruefschema-windows10.

Mehr Transparenz in der Telemetrie

Wünschenswert sind datenschutzfreundliche Standards, die den Umfang von Telemetrie-Daten vorgeben.

Im Cloud Computing geht das Projekt OpenTelemetry (https://opentelemetry.io/), an dem auch Google und Microsoft teilnehmen, in diese Richtung. Das Ziel: unternehmensweite Transparenz bei der Telemetrie auf Basis offener Standards.

OpenTelemetry möchte erreichen, dass Telemetriedaten für verteilte Cloud-Systeme standardisiert erzeugt, gesammelt und beschrieben werden.

Das Projekt sieht dabei Methoden vor, mit denen sich Telemetrie-Daten einheitlich erfassen und auswerten lassen.

„Im Zuge dessen wird die Beobachtbarkeit zunehmend danach unterschieden, wofür sich die Daten nutzen lassen – statt wie viele Daten gesammelt werden“, so Alois Reitbauer, Chief Technical Strategist und Leiter des Dynatrace Innovation Lab, eines Projektpartners.

„Das ultimative Ziel ist es, die Standardmethode zu werden, mit der Entwickler und Betreiber die Leistungsdaten ihrer Dienste erfassen“, sagt Morgan McLean, Produktmanager bei Google.

Verzichten die Anbieter dann bei der Standardmethode auf unnötige personenbezogene Daten und setzt sich die Standardmethode durch, ist dem Datenschutz im Bereich Telemetrie-Daten viel geholfen, zuerst für Cloud-Lösungen und mit vergleichbaren Projekten auch für andere IT-Systeme.

Oliver Schonschek
+

Weiterlesen mit DP+

Sie haben noch kein Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Oliver Schonschek
Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.

Er wurde als einer der „Top 50 Global Thought Leaders and Influencers on Privacy“ sowie mehrfach als Influencer und Media Leader für Technologien wie Blockchain, AI, VR / AR und Mobile Computing ausgezeichnet. Seine Spezialgebiete sind Datenschutz, Datensicherheit, IT-Sicherheit, Business & IT.

Kontakt:

http://www.schonschek.de

Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.