Neue Optionen zur Kontrolle von Windows 10 und wann ist wer Controller der Daten?

Die Diskussion rund um Diagnosedaten bei Windows 10 begann schon zu ersten Version und hält sich, da Microsoft das Produkt mit immer mehr Cloud Diensten wie OneDrive, Spracherkennung oder auch Cortana und Microsoft Search verbindet. In den verschiedensten Begutachtungen von Landesdatenschützern und Gutachten des niederländischen Justizministeriums wird die Versendung der Telemetrie/Diagnosedaten angekreidet. So reagierte Microsoft im Januar 2020 mit neuen GPOs und Möglichkeiten im Enterprise und EDU Bereich die Versendung zu verringern und mehr Kontrolle darüber zu haben.

Diagnose- und Telemetrie Daten und der Datenschutz

Die Windows 10 Diagnosedaten werden unter Privacy Shield verarbeitet. Dies ist nun nicht mehr möglich, da der Beschluss des EuGH vom 16. July 2020 diese Art der Verarbeitung von personenbezogenen Daten untersagt hat. 

Der Speicherort für Diagnosedaten bei Windows 10 ist immer ein Rechenzentrum in den USA. Aus meiner Erfahrung mit den üblichen Sniffern ist es die Region US West. (https://docs.microsoft.com/en-us/windows/privacy/deploy-data-processor-service-windows

Kommentar
Schauen wir etwas mehr in den Lizenzvertrag, dann müssen wir uns durch die Konfiguration entscheiden, ob wir Daten senden und wie diese gesendet werden sollen. Aktuell ohne EU Modelclauses müssen wir die Versendung abstellen oder diese nun dritte Version nutzen, die uns als Kunden zum Verarbeiter macht. Dies ist jedoch aus meiner Sicht nicht zu empfehlen, denn auch in dieser Variante werden Daten übertragen und dies nicht unter EU Modelclauses und ich als Nutzer bin dann auch dafür verantwortlich.

Weitere Informationen

https://docs.microsoft.com/de-de/windows/deployment/windows-10-subscription-activation

https://docs.microsoft.com/de-de/windows/deployment/deploy-enterprise-licenses

 

Neue Möglichkeiten der Konfiguration für Unternehmeskunden

Voraussetzung: Windows 10 Pro, Windows 10 Enterprise, Windows 10 EDU

“Windows-Diagnosedaten werden verwendet, um Microsoft dabei zu unterstützen, das Betriebssystem sicher und aktuell zu halten, Probleme zu beheben und Produktverbesserungen vorzunehmen. Weitere Informationen über Windows-Diagnosedaten finden Sie hier.”

Bisher gab es zwei Möglichkeiten, die Windows 10-Diagnosedaten zu verwalten:

1) Microsoft zu gestatten, der Controller dieser Daten zu sein und die Zwecke und Mittel der Verarbeitung von Windows-Diagnosedaten zu bestimmen, um das Windows 10-Betriebssystem zu verbessern und analytische Dienste bereitzustellen

-> Microsoft ist Verantwortlicher für die Datenverarbeitung

2) den Diagnosedatenfluss ganz abzuschalten.

Die neue Dritte Option

3) “Der Kunde ist der Controller für ihre Windows 10 Diagnosedaten und kann gleichzeitig von den Zwecken, denen diese Daten dienen, wie z.B. der Qualität von Updates und Gerätetreibern, zu profitieren. Bei diesem Ansatz wird Microsoft als Datenprozessor fungieren und Windows-Diagnosedaten im Auftrag des Controllers verarbeiten.”

Auftragsdatenverarbeitung
-> Kunde/Nutzer ist Verantwortlicher und Auftraggeber für die Windows 10 Diagnosedaten
-> Microsoft ist Data Processor, also Auftragsdatenverarbeiter für die Windows 10 Diagnosedaten

“Diese neue Option wird es den Kunden ermöglichen, vertraute Tools zur Verwaltung, zum Export oder zum Löschen von Daten zu verwenden, um ihnen bei der Erfüllung ihrer Compliance-Verpflichtungen zu helfen. Mit dem Microsoft Azure-Portal haben die Kunden beispielsweise die Möglichkeit, auf die Anfragen ihrer eigenen Benutzer zu reagieren, z.B. Diagnosedaten zu löschen und zu exportieren. Admins können dem Dienst über Gruppenrichtlinien oder Mobile Device Management (MDM) problemlos Windows-Geräte hinzufügen – oder entfernen.”

“Benutzerkontrolle und Transparenz gehören zu unseren wichtigsten Datenschutzprinzipien und stehen im Mittelpunkt von Microsofts Mission, jede Person und jede Organisation auf diesem Planeten in die Lage zu versetzen, mehr zu erreichen. Für die Kunden, die daran interessiert sind, macht es diese Option für sie noch einfacher, die Kern-Erfahrungen von Microsoft 365 zu ermöglichen und das Beste aus ihnen herauszuholen, während sie gleichzeitig ihre Bemühungen um die Einhaltung von Vorschriften berücksichtigen.”

Preview Programm

Ihr wollt alle drei Optionen testen, dann tragt euch mit der tenant ID ein. Ich empfehle euch einen Testtenant zu nutzen, da Desktop Analytics and Update Compliance nicht mehr funktionieren wird. 

https://aka.ms/WindowsEnterprisePublicPreview

Im Einsatz

Was benötigt ihr? Group Policy oder eine MDM Lösung

Intune

  • Name: System/AllowCommercialDataPipeline
  • OMA-URI: ./Vendor/MSFT/Policy/Config/System/AllowCommercialDataPipeline
  • Data type: Integer

Under Value, use 1 to enable the service.

GPOs

Ihr findet die Einstellung wie folgt und müsst diese auf enable stellen.

Computer Configuration > Administrative Templates > Windows Components > Data Collection and Preview Builds and switch the Allow commercial data pipeline setting to enabled.

 Diagnostic Data Viewer

https://www.microsoft.com/store/productId/9N8WTRRSQ8F7

 

Update 3.11.2020

Die Preview ist nun gestartet und ermöglicht es, dass  Microsoft zum Datenverarbeiter für die Diagnosedaten in Windows 10 zu werden. Dafür werden die Daten in ein Rechenzentrum umgeleitet und dort verarbeitet. Dies ist aktuell leider nicht in Europa möglich, so dass diese Variante aus meiner Sicht erstmal ausscheidet.

“Mit dem Datenverarbeitungsdienst für Windows Enterprise gesammelte Diagnosedaten werden in unserem Rechenzentrum in den USA gehostet.”

Voraussetzungen

 

Preview: https://aka.ms/WindowsEnterprisePublicPreview

Um die Datensammlung durch den Datenverarbeitungsdienst für Windows Enterprise zu aktivieren, wechseln Sie in „Gruppenrichtlinie“ zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Datensammlung und Vorabversionen, und ändern Sie die Einstellung Kommerzielle Datenpipeline zulassen in Aktiviert.

Wenn Sie diese deaktivieren möchten, können Sie jederzeit dieselbe Einstellung auf Deaktiviert umstellen. Der Standardzustand der vorangehenden Einstellung ist Deaktiviert.

Um eine MDM-Lösung wie Microsoft Intune zu verwenden, um den Datenverarbeitungsdienst für Windows Enterprise auf Ihren unterstützten Geräten bereitzustellen, verwenden Sie die folgende benutzerdefinierte Konfiguration der OMA-URI-Einstellung:

  • Name: System/AllowCommercialDataPipeline
  • OMA-URI: ./Vendor/MSFT/Policy/Config/System/AllowCommercialDataPipeline
  • Datentyp: Ganze Zahl

Verwenden Sie unter Wert 1, um den Dienst zu aktivieren.

Wenn Sie diesen deaktivieren möchten, können Sie jederzeit dieselbe Einstellung auf 0 umstellen, um zu deaktivieren. Der Standardwert ist 0.

Informationen: https://docs.microsoft.com/de-de/windows/privacy/deploy-data-processor-service-windows

Kommentar

Ich vermisse bei der neuen Option die Joint Controllership zwischen Microsoft und dem Kunden, die bei diesen gemeinsamen Diensten (Facebook-Fanseiten, Google Maps) in der Regel vorliegt. Microsoft begibt sich mit Absicht in die Position des Auftragsdatenverarbeiters. Weiterhin wünschte ich mir eine Option bei allen Versionen die Diagnosedaten komplett abzustellen. Auf der anderen Seite verstehe ich auch, dass bestimmte Daten zur Sicherheit und Schutz der Nutzer übertragen werden müssen, dann sollte man dies unter EU Modelclauses setzen und optimaler transparent aufsetzen, was mit den Daten konkret passiert.

Gernell veweise ich gerne auf meinen MVP Kollegen zur vollständigen entfernen des Sendens von Diagnosedaten durch Windows: https://www.gruppenrichtlinien.de/artikel/windows-10-telemetrie-und-diagnosedaten-richtig-abschalten/

LINKS

https://blogs.microsoft.com/eupolicy/2020/07/23/introducing-new-option-customers-control-windows-10-diagnostic-data/

https://docs.microsoft.com/en-us/microsoft-365/compliance/gdpr?view=o365-worldwide#terminology

Windows 10 Baseline Security für Windows 10 2004 (July 2020)
https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-draft-windows-10-and-windows-server-version/ba-p/1419213

BSI Studie zur Härtung von Windows 10

https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/SiSyPHuS_node.html

 

Links zum Preview Programm