Windows 11 datenschutzkonform einsetzen — GPO- & Intune-Härtung für Unternehmen

Windows 11 ist das Betriebssystem mit der bislang dichtesten Verzahnung zwischen lokaler Arbeit und Microsoft-Cloud. Mit jeder Funktionsversion verschiebt sich der Standardzustand weiter Richtung Online-Konto, Telemetrie, Cloud-Synchronisation und integrierter Künstlicher Intelligenz — von der OneDrive-Backup-Aufforderung im Out-of-Box-Erlebnis über die optionalen Connected Experiences in Microsoft 365 Apps bis zu den lokalen KI-Funktionen Recall, Click to Do und Cocreator. Aus Anwendersicht ist das bequem. Aus der Sicht eines Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO ist jeder dieser Pfade ein Datenfluss, der bewertet, dokumentiert und — wo nicht erforderlich — deaktiviert werden muss.

Die Datenschutzkonferenz der deutschen Aufsichtsbehörden hat in mehreren Bewertungen festgestellt, dass die Standardkonfiguration von Microsoft-365- und Windows-Diensten ohne zusätzliche organisatorische und technische Maßnahmen den Anforderungen aus Art. 5, 25 und 32 DSGVO nicht genügt. Die irische Datenschutzbehörde, das Bundeskartellamt und einzelne Landesbehörden haben das Bild durch eigene Verfahren ergänzt. Hinzu kommt das BSI mit seiner SiSyPHuS-Win-Studie, die auf Konfigurations- und Telemetrie-Ebene konkrete Empfehlungen formuliert. Die Botschaft ist einheitlich: Windows 11 lässt sich datenschutzkonform betreiben — aber nicht im Auslieferungszustand und nicht ohne zentralen Härtungsprozess.

Was dieser Leitfaden liefert

In acht Kapiteln führen wir Sie durch den vollständigen Härtungspfad einer Windows-11-Flotte — von der strategischen Edition-Entscheidung über die operative Konfiguration bis zur Datenschutz-Folgenabschätzung und zum Auditpaket. Jedes Kapitel ist auf Unternehmen ab etwa fünfzig verwalteten Endgeräten ausgerichtet und konsequent zentral gedacht: Wir empfehlen keine Einstellung, die sich nicht per Gruppenrichtlinie, Intune-Konfigurationsprofil oder Configuration Service Provider (CSP) durchsetzen lässt.

Sie lernen, welche Edition für welche Schutzanforderung tragfähig ist (Home, Pro, Enterprise, Education, Enterprise LTSC, IoT Enterprise LTSC) und warum Windows 11 Home für Unternehmen praktisch ausscheidet. Sie erhalten ein vollständiges Telemetrie-Härtungsschema mit allen relevanten ADMX-Policies und CSP-Pfaden — von AllowTelemetry über die Connected User Experiences bis zur Aktivitätsverlauf-Synchronisierung. Wir behandeln die Governance der lokalen KI-Funktionen (Recall, Copilot, Click to Do, Cocreator, Generative Erase) im Detail, weil sie in Aufsichts- und Auditkontext aktuell die meiste Aufmerksamkeit erhalten. Edge, OneDrive, Microsoft Store und Defender SmartScreen werden so konfiguriert, dass private Konten ausgeschlossen, Suchvorschläge an die Bing-Cloud deaktiviert und Synchronisationen kontrollierbar bleiben. Das vorletzte Kapitel zeigt, wie Sie all das per Gruppenrichtlinie, Intune Settings Catalog und AutoPilot reproduzierbar ausrollen — mit Berücksichtigung der GPO/MDM-Konfliktauflösung. Das letzte Kapitel überführt die technischen Maßnahmen in eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, ein Verzeichnis der Verarbeitungstätigkeiten und eine Reifegrad-Matrix für Audits und Cyberversicherungs-Nachweise.

Für wen ist dieser Leitfaden?

Der Leitfaden richtet sich an drei Zielgruppen, die in der Praxis eng zusammenarbeiten müssen. Datenschutzbeauftragte und externe DSB finden in Kapitel 1, 5 und 8 die rechtliche Bewertungsgrundlage — die DSK-Befunde zu Microsoft 365, den aktuellen Stand zu Recall und Copilot, die Einordnung der Microsoft DPA (Data Protection Addendum) und eine DSFA-Vorlage, die auf die spezifischen Windows-Risiken zugeschnitten ist. Windows-Administratoren und Endpoint-Teams erhalten in Kapitel 3 bis 7 die konkreten Konfigurationspfade — ADMX-Namen, CSP-Strings, Registry-Werte, Intune-Profilbausteine und Rollout-Reihenfolgen, mit denen die Härtung in einer realen Flotte umsetzbar ist. IT-Leitung und CISO finden in Kapitel 2 die Architekturentscheidungen (Edition, Identitätsmodell, Verwaltungswerkzeug) und in Kapitel 8 das Reifegradmodell, das den Ist-Zustand bewertbar macht und die Etappen zur Compliance-Reife strukturiert.

Vorausgesetzt werden grundlegende Kenntnisse zu Active Directory oder Entra ID, zu Gruppenrichtlinien oder Intune und zur Rolle eines Verantwortlichen nach DSGVO. Wer mit einzelnen Begriffen nicht vertraut ist, findet die zentralen Stichworte in unserem Lexikon (DSGVO, GPO, MDM, NIS2, BSI Grundschutz, Conditional Access, LAPS).

Einordnung im Maßnahmenportfolio

Datenschutzkonforme Windows-11-Konfiguration ist kein abgeschlossenes Projekt, sondern eine fortlaufende Compliance-Disziplin. Sie greift in mehrere Nachbargebiete hinein und sollte mit diesen abgestimmt werden. Die identitätsseitige Härtung — Tier-Trennung, Protected Users, LAPS, Conditional Access — beschreiben wir im Active-Directory-Tiering-Leitfaden. Die Geräte-seitige Härtung der Bootkette gegen physische und Downgrade-Angriffe (BitLocker mit Pre-Boot-PIN, Secure Boot, UEFI CA 2023) ist im Boot-Chain-Leitfaden abgedeckt. Die Vorbereitung der Cyberversicherungs- und NIS2-Prüfung fasst der Leitfaden Cyberversicherung-Vorbereitung zusammen.

Wer alle vier Leitfäden zusammen umsetzt, deckt den überwiegenden Teil der technischen und organisatorischen Anforderungen aus DSGVO Art. 32, NIS2 Art. 21 und BSI-Grundschutz SYS.2.2.3 ab — sowohl in der laufenden Aufsichtsbeziehung als auch im Underwriting-Fragebogen einer Cyberversicherung.