{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2016-08-19", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_2017---Datenschutz-b_2016-08-19.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/-bJIWn9KHZ36/2017%20-%20Datenschutz%20bei%20Windows10%20(Schlussbericht).pdf", "Checksum": "0b42d0afb444810da12fb0ac17abf24b"}, "Scrapedate": "2026-04-05", "Num": ["2017 - Datenschutz bei Windows10 (Schlussbericht)"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 19.08.2016"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 19.08.2016"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 19.08.2016"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Schlussbericht vom 19. August 2016 betreffend Datenschutz bei Windows 10 (inkl. Anhang vom 25. Januar 2017 und Formulierungsvorschläge der Microsoft Corporation vom 30. November 2016)"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:40", "Checksum": "5545c77b87393d22f652e1c22657ab24", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 19.08.2016\nRegeste:\nSchlussbericht vom 19. August 2016 betreffend Datenschutz bei Windows 10 (inkl. Anhang vom 25. Januar 2017 und Formulierungsvorschläge der Microsoft Corporation vom 30. November 2016)\n\nZusammenfassend können die gegen die Grundsätze der Transparenz und der Verhältnismässigkeit verstossenden Datenbearbeitungen von Microsoft im Rahmen von Windows 10 in der\naktuellen Ausgestaltung weder durch ein überwiegendes privates Interesse noch durch eine\nEinwilligung gerechtfertigt werden. Microsoft hat damit für die über das Anbieten eines sicheren und zuverlässigen Betriebssystems hinausgehenden Datenbearbeitungen keinen Rechtfertigungsgrund.\n\n69\nVgl. Ziff. 3.3 vorstehend.\n70\nVgl. Ziff. 3.4 vorstehend.\n71\nVgl. BBl 2003 2127.\n32/38\n3.5.3 Mögliche künftige Einwilligung der Betroffenen unter Behebung der festgestellten Transparenzmängel\n\nWie unter Ziff. 3.4.1 dargelegt, hat Microsoft auf der Seite „Einstellungen anpassen“ grundsätzlich die\nMöglichkeit eingebaut, dass die Benutzer für die dort aufgeführten Datenbearbeitungen eine Einwilligung vornehmen können.\n\nTrotz der dargelegten strengen bundesgerichtlicher Rechtsprechung, könnte bei entsprechender Behebung der gerügten Transparenzmängel vorliegend somit ein Rechtfertigungsgrund zum Tragen\nkommen, indem dem Nutzer eine Wahl zwischen der Vollnutzung72 und der Teilnutzung73 zukommen\nwürde, indem er im ersten Fall in die zum Grundzweck unverhältnismässige Datenbearbeitung gültig\neinwilligen würde.\n\nDa Microsoft im Rahmen der unter Ziff. 2.1 aufgeführten Datenkategorien „Personalisierung“\n(Spracheerkennung, Freihand und Eingabe, Kalender und Kontakte, Position/Positionsverlauf, sowie\nPersonendatenbearbeitungen im Zusammenhang mit Cortana), „Betriebssystem im engeren Sinne“\n(verbesserte und vollständige Feedback und Diagnosedaten) sowie „Weitere Komponenten“ (Smart-\nScreen-Filter und Browser und Browserverlauf) auch besonders schützenswerte Personendaten und\nPersönlichkeitsprofile bearbeitet74, muss die Einwilligung der Nutzer in die Datenbearbeitung diesen\nDatenkategorien nicht nur implizit, sondern explizit erfolgen75. Demzufolge sind auf der Installationsseite „Einstellungen anpassen“ die Einstellungen zu den Datenbearbeitung mit den betreffenden Datenkategorien so anzupassen, dass die Nutzer ein Opt-In vornehmen können und nicht, wie bisher, an\nsich umfassende Datenbearbeitungen mittels Opt-Out beenden.\n\n3.6 Datenübermittlung in die USA\n\nMicrosoft übermittelt die bei den Nutzern erhobenen Daten in die USA. Gemäss den aktuellen Datenschutzbestimmungen von Microsoft (Juli 2016) und den verlinkten weiteren Informationen76 geschieht\ndies gestützt auf das EU-US-Privacy Shield-Abkommen und das U.S.-Swiss Safe Harbor Framework.\n\nPersonendaten dürfen gestützt auf Art. 6 Abs. 1 DSG dann ins Ausland bekannt gegeben werden,\nwenn das Empfängerland über ein angemessenes Datenschutzniveau verfügt, so dass die Persönlichkeit der betroffenen Personen dadurch nicht schwerwiegend gefährdet wird. Fehlt ein solches Datenschutzniveau, so müssen zusätzliche Massnahmen zur Sicherstellung eines angemessenen\nSchutzes ergriffen werden77. Bei Datenlieferungen in die USA sollte das Safe Harbor Abkommen dieses Schutzniveau bei zertifizierten Unternehmen sicherstellen. Seit dem Entscheid des EuGH in Sachen Schrems78 muss nun davon ausgegangen werden, dass diese Zertifizierung nicht den geplanten\nEffekt hat. Auch wenn dieses Urteil in der Schweiz keine direkte Anwendung findet, so treffen die dort\n\n72\nInkl. den weiterführenden Funktionen und den damit verbundenen zum Grundzweck unverhältnismässigen Datenbearbeitungen.\n73\nNur die Grundfunktionen des Betriebssystems.\n74\nZiff. 3.1 vorstehend.\n75\nArt. 4 Abs. 5 DSG.\n76\nhttps://privacy.microsoft.com/de-de/privacystatement mit Verweis auf\nhttps://privacy.microsoft.com/en-US/microsoft-eu-us-privacy-shield (zugegriffen am 11.08.2016).\n77\nArt. 6 Abs. 2 DSG.\n78\nUrteil des EuGH in der Rechtssache C-362/14 vom 06.10.2015.\n33/38\nfestgestellten Mängel auch auf das Schweizer Safe Harbor Abkommen zu, weshalb auch dieses kein\nangemessenes Schutzniveau sicherstellen kann. Daher müssen auch für Datenübermittlungen von\nder Schweiz in die USA vertragliche Garantien oder eine andere Massnahme nach Art. 6 Abs. 2 DSG\ngetroffen werden.\n\nDie Deklaration von Microsoft, dass das EU-US-Privacy Shield-Abkommen auch für Datenübermittlungen aus der Schweiz Anwendung findet, ändert an diesen Anforderungen nichts, da das EU-US-\nPrivacy Shield-Abkommen keine Datenübermittlungen aus der Schweiz in die USA miteinschliesst.\nDer Bundesrat ist jedoch zurzeit daran eine analoge Regelung zum EU-US-Privacy Shield-Abkommen\nmit den USA zu verhandeln.\n\nDer EDÖB geht davon aus, dass Microsoft für die Übergangszeit, bis eine analoge Regelung zum EU-\nUS-Privacy Shield-Abkommen für die Schweiz vorliegt, die entsprechenden Massnahmen fristgemäss\nergriffen und zusätzliche Massnahmen nach Art. 6 Abs. 2 DSG getroffen hat, um ein angemessenes\nDatenschutzniveau sicherzustellen. Sollte dies der Fall sein, muss Microsoft die Datenschutzerklärung\nentsprechend anpassen, indem der Verweis auf Safe Harbor durch die Nennung der konkreten vertraglichen Garantien ersetzt wird.\n\n34/38\n4. Ergebnisse\n\n"}