Konfigurieren von Windows 10-Diensten für persönliche Daten

Betrifft

  • Windows10, Version1803

Microsoft hat eine Liste der Konfigurationseinstellungen für Windows 10-Dienste zusammengestellt, die für den Schutz personenbezogener Daten und damit zusammenhängende Vorschriften wie die Datenschutzgrundverordnung (DSGVO) nützlich sind. Es gibt einen Abschnitt mit Einstellungen für Dienstdaten, die von Microsoft verwaltet werden, und einen Abschnitt für lokale Daten, der von einer IT-Abteilung verwaltet werden.

IT-Experten, die diese Einstellungen mithilfe von Gruppenrichtlinien anwenden interessiert sind die Konfiguration zum Herunterladen finden Sie hier.

Einführung

Microsoft sammelt Daten von Windows 10-Geräten oder generiert Daten durch Interaktionen mit Benutzern dieser Geräte. Diese Informationen können persönliche Daten enthalten, die zur Bereitstellung, Unterstützung und Verbesserung von Windows 10-Diensten verwendet werden können.

Viele Windows 10-Dienste sind Dienste eines Verantwortlichen im Sinne der DSGVO. Ein Benutzer kann Datenerfassungseinstellungen verwalten, zum Beispiel durch Öffnen von Start > Einstellungen > Datenschutz oder über das Microsoft-Datenschutzdashboard. Während diese Beziehung zwischen Microsoft und einem Benutzer in einem Consumer-Szenario offensichtlich ist, kann eine IT-Organisation diese Beziehung beeinflussen. Die IT-Abteilung verfügt beispielsweise über die Möglichkeit, in ihrer Organisation die Windows-Diagnosedatenebene über Gruppenrichtlinien, Registrierung oder Mobile Device Management (MDM)-Einstellungen zu konfigurieren.

Im Folgenden finden Sie eine Sammlung von Einstellungen für die Windows 10-Konfiguration von persönlichen Datendiensten, die IT-Experten als Anleitung zur Konfiguration der Windows-Diagnosedatenerfassung und des Schutzes personenbezogener Daten verwenden können.

Windows-Diagnosedaten

Windows 10 sammelt Windows-Diagnosedaten, z. B. Nutzungsdaten, Leistungsdaten, Freihand-, Eingabe- und Sprachdaten, und sendet sie an Microsoft. Diese Daten werden verwendet, um das Betriebssystem sicher und aktuell zu halten, Probleme zu beheben und Produktverbesserungen durchzuführen. Für Nutzer, die „Individuelle Benutzererfahrung” aktiviert haben, können personalisierte Tipps, Anzeigen und Empfehlungen zur Verbesserung der Microsoft-Produkte und -Dienste für die Bedürfnisse des Nutzers bereitgestellt werden.

Die folgenden Optionen zum Konfigurieren von Windows-Diagnosedaten sind in diesem Zusammenhang relevant.

Diagnosestufe

Diese Einstellung bestimmt, in welchem Umfang Windows-Diagnosedaten an Microsoft gesendet werden.

Hinweis

In Windows 10, Version 1709, hat Microsoft ein neues Feature eingeführt: "Beschränken der erweiterten Diagnosedaten auf das von Windows Analytics erforderliche Minimum". Wenn dieses Feature aktiviert ist, werden die Diagnosedatenereignisse des Betriebssystems in der Stufe „Erweitert” auf den kleinsten von Windows Analytics benötigten Datensatz beschränkt. Weitere Informationen zur Stufe „Erweitert” finden Sie unter Konfigurieren von Windows-Diagnosedaten in Ihrer Organisation.

Gruppenrichtlinie

Gruppenrichtlinie Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Datensammlung und Vorabversionen
Richtlinienname Telemetrie zulassen
Standardeinstellung 2 - Erweitert
Empfohlen 2 - Erweitert
Gruppenrichtlinie Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Datenerfassung und Vorschau-Builds
Richtlinienname Telemetrie zulassen
Standardeinstellung 2 - Erweitert
Empfohlen 2 - Erweitert

Hinweis

Wenn sowohl die Computerkonfigurationsrichtlinie als auch die Benutzerkonfigurationsrichtlinie festgelegt sind, wird die restriktivere Richtlinie verwendet.

Registrierung

Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows\DataCollection
Wert AllowTelemetry
Typ REG_DWORD
Einstellung "00000002"
Registrierungsschlüssel HKCU\Software\Policies\Microsoft\Windows\DataCollection
Wert AllowTelemetry
Typ REG_DWORD
Einstellung "00000002"

MDM

MDM CSP System
Richtlinie AllowTelemetry (Bereich: Gerät und Benutzer)
Standardeinstellung 2 – Erweitert
Empfohlen 2 – Zulässig

Diagnose-Opt-In-Änderungsbenachrichtigungen

Diese Einstellung legt fest, ob ein Gerät bei der ersten Anmeldung oder bei Änderungen in der Diagnosekonfiguration Benachrichtigungen über die Windows-Diagnosedatenstufe anzeigt.

Gruppenrichtlinie

Gruppenrichtlinie Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Datensammlung und Vorabversionen
Richtlinienname Konfigurieren von Telemetrie-Opt-in-Änderungsbenachrichtigungen
Standardeinstellung Aktiviert
Empfohlen Aktiviert

Registrierung

Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows\DataCollection
Wert DisableTelemetryOptInChangeNotification
Typ REG_DWORD
Einstellung "00000000"

MDM

MDM CSP System
Richtlinie ConfigureTelemetryOptInChangeNotification
Standardeinstellung 0 – Aktiviert
Empfohlen 0 – Aktiviert

Konfigurieren der Benutzeroberfläche der Telemetrie-Opt-in-Einstellung

Diese Einstellung legt fest, ob Benutzer ihre eigene Windows-Diagnosedatenstufe unter Start > Einstellungen > Datenschutz > Diagnose und Feedback ändern können.

Gruppenrichtlinie

Gruppenrichtlinie Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Datensammlung und Vorabversionen
Richtlinienname Konfigurieren der Benutzeroberfläche der Telemetrie-Opt-in-Einstellung
Standardeinstellung Aktiviert
Empfohlen Aktiviert

Registrierung

Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows\DataCollection
Wert DisableTelemetryOptInSettingsUx
Typ REG_DWORD
Einstellung "00000001"

MDM

MDM CSP System
Richtlinie ConfigureTelemetryOptInSettingsUx
Standardeinstellung 0 – Aktiviert
Empfohlen 0 – Aktiviert

Von der Unternehmens-IT verwaltete Richtlinien zum Schutz personenbezogener Daten

Es gibt zusätzliche Einstellungen, die ebenfalls den Schutz personenbezogener Daten betreffen, und die normalerweise von der Unternehmens-IT verwaltet werden.

Die folgenden Optionen zum Konfigurieren dieser Richtlinien sind in diesem Zusammenhang relevant.

BitLocker

Die folgenden Einstellungen bestimmen, ob integrierte und Wechseldatenträger durch die BitLocker-Laufwerkverschlüsselung geschützt sind.

Integrierte Datenträger

Gruppenrichtlinie

Gruppenrichtlinie Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Bitlocker-Laufwerkverschlüsselung\Festplattenlaufwerke
Richtlinienname Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind
Standardeinstellung Nicht konfiguriert
Empfohlen Aktiviert

Registrierung

Registrierungsschlüssel HKLM\System\CurrentControlSet\Policies\Microsoft\FVE
Wert FDVDenyWriteAccess
Typ REG_DWORD
Einstellung "00000001"

MDM

MDM CSP BitLocker
Richtlinie FixedDrivesRequireEncryption
Standardeinstellung Deaktiviert
Empfohlen Aktiviert (siehe Anweisungen)

Wechseldatenträger

Gruppenrichtlinie

Gruppenrichtlinie Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Bitlocker-Laufwerkverschlüsselung\Wechseldatenträger
Richtlinienname Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind
Standardeinstellung Nicht konfiguriert
Empfohlen Aktiviert

Registrierung

Registrierungsschlüssel HKLM\System\CurrentControlSet\Policies\Microsoft\FVE
Wert RDVDenyWriteAccess
Typ REG_DWORD
Einstellung "00000001"
Registrierungsschlüssel HKLM\Software\Policies\Microsoft\FVE
Wert RDVDenyCrossOrg
Typ REG_DWORD
Einstellung "00000000"

MDM

MDM CSP BitLocker
Richtlinie RemovableDrivesRequireEncryption
Standardeinstellung Deaktiviert
Empfohlen Aktiviert (siehe Anweisungen)

Datenschutz – AdvertisingID

Diese Einstellung legt fest, ob die Werbe-ID deaktiviert wird, die Apps daran hindert, die ID in verschiedenen Apps auszuwerten.

Gruppenrichtlinie

Gruppenrichtlinie Computerkonfiguration\Administrative Vorlagen\System\Benutzerprofile
Richtlinienname Werbe-ID deaktivieren
Standardeinstellung Nicht konfiguriert
Empfohlen Aktiviert

Registrierung

Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows\AdvertisingInfo
Wert DisabledByGroupPolicy
Typ REG_DWORD
Einstellung "00000001"

MDM

MDM CSP Datenschutz
Richtlinie DisableAdvertisingId
Standardeinstellung 65535 (Standard) – Nicht konfiguriert
Empfohlen 1 – Aktiviert

Edge

Diese Einstellungen legen fest, ob Mitarbeiter „Do Not Track” vom Microsoft Edge-Webbrowser an Websites senden.

Hinweis

Weitere Informationen dazu, warum die Option „Do Not Track” nicht mehr die Standardeinstellung ist, finden Sie in diesem Microsoft Blog-Eintrag.

Gruppenrichtlinie

Gruppenrichtlinie Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge
Richtlinienname „Do Not Track” konfigurieren
Standardeinstellung Deaktiviert
Empfohlen Deaktiviert
Gruppenrichtlinie Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge
Richtlinienname „Do Not Track” konfigurieren
Standardeinstellung Deaktiviert
Empfohlen Deaktiviert

Registrierung

Registrierungsschlüssel HKLM\Software\Policies\Microsoft\MicrosoftEdge\Main
Wert DoNotTrack
Typ REG_DWORD
Einstellung "00000000"
Registrierungsschlüssel HKCU\Software\Policies\Microsoft\MicrosoftEdge\Main
Wert DoNotTrack
Typ REG_DWORD
Einstellung "00000000"

MDM

MDM CSP Browser
Richtlinie AllowDoNotTrack (Bereich: Gerät + Benutzer)
Standardeinstellung 0 (Standard) – Nicht zulässig
Empfohlen 0 – Nicht zulässig

Internet Explorer

Diese Einstellungen legen fest, ob Mitarbeiter den Header „Do Not Track” vom Microsoft Explorer-Webbrowser an Websites senden.

Gruppenrichtlinie

Gruppenrichtlinie Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Seite „Erweitert”
Richtlinienname Überschrift "Nicht nachverfolgen" immer senden
Standardeinstellung Deaktiviert
Empfohlen Deaktiviert
Gruppenrichtlinie Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Seite „Erweitert”
Richtlinienname Überschrift "Nicht nachverfolgen" immer senden
Standardeinstellung Deaktiviert
Empfohlen Deaktiviert

Registrierung

Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Internet Explorer\Main
Wert DoNotTrack
Typ REG_DWORD
Einstellung "00000000"
Registrierungsschlüssel HKCU\Software\Policies\Microsoft\Internet Explorer\Main
Wert DoNotTrack
Typ REG_DWORD
Einstellung "00000000"

MDM

MDM CSP n.v.

Zusätzliche Ressourcen

Häufig gestellte Fragen

Blogs

Datenschutzbestimmungen

Windows-Datenschutz auf docs.microsoft.com

Weitere Ressourcen