# Windows Privacy: Telemetrie & Datenerfassung bändigen

TL;DR / Management Summary Windows 10 und 11 senden standardmäßig Diagnose- und Nutzungsdaten an Microsoft (“Telemetrie”). In einer Enterprise-Umgebung (besonders unter der DSGVO) ist die Minimierung dieses Datenflusses eine regulatorische Pflicht. Wir nutzen GPOs, um die Telemetrie auf die Stufe Security (nur Enterprise/Edu) oder Basic zu senken und schalten “erfahrungsorientierte Features” (Werbe-IDs, Tipps) zentral ab. Ein Senior Admin balanciert dabei zwischen Datenschutz und der Funktionalität von Diensten wie Windows Update.

# 1. Einführung & Konzepte

Die Ebenen der Übertragung.

Microsoft unterscheidet vier Telemetrie-Stufen:

1. Sicherheit (Security): Nur kritische Daten für Defender und Windows Update. (Nur für Enterprise/Education/Server).
2. Basisebene (Basic/Required): Grundlegende Gerätedaten, Qualitäts-Infos.
3. Erweitert (Enhanced): (Veraltet in neueren Win 10/11 Versionen).
4. Vollständig (Full/Optional): Inklusive Browser-Verlauf, Nutzungsstatistiken und detaillierten Crash-Dumps.

# 2. Telemetrie-Steuerung in der Praxis

Härtung via Richtlinie.

Laden Sie die aktuellen ADMX-Templates für Ihr Windows-Build in den Central Store (Artikel 425).

# GPO: Diagnose-Daten einschränken

Pfad: Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Datensammlung und Vorabversionen

• Einstellung: Telemetrie zulassen -> Aktiviert mit Option 0 [Sicherheit] (oder 1 [Erforderlich] für Pro-Editionen).

# GPO: Werbe-ID und Tracking deaktivieren

Pfad: Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile

• Einstellung: Anzeigidentifikator ausschalten -> Aktiviert.

# 3. Deep Dive: Cortana, Suche & ‘Erfahrungen’

Unnötiges Rauschen abschalten.

Vermeiden Sie, dass Windows im Startmenü Web-Ergebnisse von Bing anzeigt oder “Vorschläge” macht.

# Cloud-Suche deaktivieren

Pfad: Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Suche

• Websuche nicht zulassen: Aktiviert.
• In Cortana nicht im Web suchen: Aktiviert.

# Windows-Blickpunkt (Spotlight) abschalten

Pfad: Benutzerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Cloudinhalt

• Alle Windows-Blickpunkt-Features ausschalten: Aktiviert. (Verhindert wechselnde Wallpaper aus dem Internet und App-Empfehlungen auf dem Sperrbildschirm).

# 4. Day-2 Operations: Automatisierte Bereinigung

Datenschutz per Script.

Manche Privacy-Settings lassen sich besser via Registry oder PowerShell erzwingen, besonders für Standalone-Geräte.

# PowerShell Privacy-Check

# Deaktiviert die Telemetrie via Registry
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name "AllowTelemetry" -Value 0

# Stoppt und deaktiviert den 'Benutzererfahrung und Telemetrie im verbundenen Zustand' Dienst
Stop-Service -Name "DiagTrack"
Set-Service -Name "DiagTrack" -StartupType Disabled

# 5. Troubleshooting & “War Stories”

Wenn der Datenschutz die Funktion bricht.

# Top 3 Fehlerbilder

1. Symptom: Windows Update zeigt “Einige Einstellungen werden von Ihrer Organisation verwaltet” und sucht nicht nach Updates.

   • Ursache: Zu strikte Telemetrie-Einstellung (Level 0) auf einer Windows Pro Edition. Pro benötigt mindestens Level 1 für Windows Update.
   • Lösung: Auf Required (Level 1) anpassen.

2. Symptom: Store Apps können keine Lizenzen prüfen.

   • Ursache: Blockade der Microsoft-Account-Kommunikation.
   • Lösung: Whitelisting der erforderlichen URLs (Artikel 436).

3. Symptom: Startmenü-Suche findet keine lokalen Programme mehr.

   • Ursache: Deaktivierung des Indexdienstes zusammen mit der Websuche.

# “War Story”: Der “Spy-Tool” Kollaps

Ein Admin nutzte ein bekanntes “Privacy-Fixer” Tool von einer Download-Seite auf 200 Rechnern. Das Tool löschte radikal hunderte Registry-Keys und deaktivierte ca. 50 Dienste. Das Ergebnis: Nach dem nächsten Windows-Sicherheitsupdate booteten die PCs nicht mehr, da der Update-Dienst Abhängigkeiten zu einem der gelöschten Keys hatte. Lehre: Nutzen Sie niemals “Tuning-Tools” oder “Privacy-Cleaner” von Drittanbietern. Konfigurieren Sie Datenschutz ausschließlich über dokumentierte GPOs oder Microsoft-eigene APIs. Nur so bleibt das System update-fähig.

# 6. Monitoring & Audit

Was geht wirklich raus?

# Diagnostic Data Viewer

Microsoft bietet eine App im Store an, mit der Sie exakt sehen können, welche JSON-Pakete Ihr PC an Microsoft sendet.

• Admin-Task: Führen Sie die App auf einem Referenz-PC aus, um Ihren Compliance-Beauftragten den Erfolg Ihrer GPOs zu beweisen.

# 7. Fazit & Empfehlung

Privacy ist kein statischer Zustand, sondern ein Prozess.

• Empfehlung: Nutzen Sie Windows Enterprise LTSC oder Enterprise für maximale Kontrolle.
• Strategie: Implementieren Sie die DSGVO-Basiskonfiguration des BSI (Bundesamt für Sicherheit in der Informationstechnik). Sie bietet erprobte GPO-Sätze für Behörden und Firmen.

# Anhang: Die 5 wichtigsten Privacy-GPOs

1. Allow Telemetry: Level 0 (Security).
2. Configure spotlight on lock screen: Disabled.
3. Turn off cloud search: Enabled.
4. Disable Advertising ID: Enabled.
5. Turn off Windows Error Reporting: Enabled (oder nur an internen Server).

# Referenzen

• Microsoft Learn: Configure Windows diagnostic data in your organization
• BSI: Studie SiNDuty (Sicherheit von Windows 10/11)
• Privacy.sexy (Open Source Script Collection - mit Vorsicht genießen!)