Windows Telemetrie
Diagnostische und Nutzungsdaten, die Windows automatisch an Microsoft übermittelt — Geräte-Identifikation, App-Aktivität, Fehlerberichte und Sicherheits-Signale.
Windows Telemetrie — von Microsoft offiziell als „Diagnostic Data" bezeichnet — ist die Sammlung diagnostischer und Nutzungsdaten, die das Betriebssystem automatisch an Microsoft-Server übermittelt. Erfasst werden Geräte-Identifikation, Hardware- und Treiberinformationen, App-Aktivität, Fehlerberichte und sicherheitsrelevante Signale wie Defender-Erkennungen oder Windows-Update-Status. Aus Sicht eines Verantwortlichen nach DSGVO handelt es sich um eine fortlaufende Datenübermittlung, die ohne aktive Steuerung weitgehend außerhalb der eigenen Kontrolle bleibt.
Telemetrie-Stufen unter Windows 11
Die Datenmenge wird über den Richtlinienwert AllowTelemetry gesteuert. Aktuell sind drei Stufen verfügbar:
| Wert | Bezeichnung | Verfügbar für | Inhalt |
|---|---|---|---|
0 |
Off / „Security" | Enterprise, Education, IoT, LTSC | Nur sicherheitskritische Daten (Defender, Windows Update) |
1 |
Required / „Basic" | alle Editionen | Geräteidentifikation, Telemetrie-Stack-Mindestdaten |
3 |
Optional / „Full" | alle Editionen | Browser-, Such-, Eingabe-Daten, vollständige App-Telemetrie |
Der frühere Wert 2 („Enhanced") ist seit Windows 11 nicht mehr verfügbar. Wichtig für die Konfiguration: Microsoft verwendet parallel die älteren CSP-Bezeichnungen Security/Basic/Full und die neueren Marketing-Namen Off/Required/Optional — gemeint ist jeweils dasselbe.
Die Stufe 0 ist nur auf Enterprise-, Education-, IoT- und LTSC-Editionen wirksam. Auf Windows 11 Pro lässt sich der Wert zwar setzen, das System behandelt ihn jedoch als 1 und übermittelt weiterhin die als „Required" eingestuften Daten.
Transport und Dienste
Der eigentliche Versand erfolgt über den Dienst „Connected User Experiences and Telemetry" — intern unter dem Anzeigenamen DiagTrack geführt. Daneben gibt es ergänzende Komponenten wie den Customer Experience Improvement Program-Dienst und die in Anwendungen eingebetteten Telemetrie-Bibliotheken (Office, Edge, Defender), die teilweise an eigene Endpunkte berichten und sich nicht vollständig über AllowTelemetry steuern lassen.
Steuerung über Gruppenrichtlinien und MDM
Die zentrale Konfiguration erfolgt entweder per Gruppenrichtlinie oder über MDM. Die ADMX-Einstellung „Allow Diagnostic Data" liegt unter Computer Configuration\Policies\Administrative Templates\Windows Components\Data Collection and Preview Builds. Über CSP entspricht das dem Pfad ./Vendor/MSFT/Policy/Config/System/AllowTelemetry. Ergänzend lassen sich Funktionen wie Tailored Experiences, Werbe-ID, Aktivitätsverlauf und Cloud-Suche separat deaktivieren — sie laufen technisch eigenständig, beeinflussen aber dieselbe Datenebene.
Zusätzliche Härtungsmaßnahmen umfassen die Begrenzung des Office-Telemetrie-Levels, die Konfiguration der Microsoft Edge Browser-Telemetrie und die Steuerung der Defender-Cloud-Telemetrie (Cloud-Schutz, Sample Submission). Wer eine vollständig kontrollierbare Datenebene benötigt, kommt an LTSC oder einer vergleichbar reduzierten Edition kaum vorbei.
Datenschutzrechtliche Einordnung
Der zentrale Kritikpunkt der deutschen Datenschutzkonferenz (DSK) betrifft die Rollenverteilung: Microsoft handelt für die als „Required Service Data" eingestuften Telemetriedaten als eigenständiger Verantwortlicher — nicht als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Das bedeutet, dass die übermittelten Daten dem Auftragsverarbeitungsvertrag entzogen sind und Microsoft sie zu eigenen Zwecken nutzen darf, soweit diese in den Online Service Terms beschrieben werden.
Für Verantwortliche ergeben sich daraus konkrete Pflichten. Die Telemetrie muss im Verzeichnis der Verarbeitungstätigkeiten dokumentiert, die Datenübermittlung in die USA über die Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert und die Betroffenen in der Datenschutzerklärung informiert werden. Funktionen wie Recall oder Copilot erzeugen darüber hinaus eigene Datenflüsse, die zusätzlich bewertet werden müssen.
Praxis-Empfehlung
Für regulierte Umgebungen und KMU mit erhöhtem Datenschutzbedarf empfiehlt sich eine schrittweise Reduktion: Telemetrie-Stufe auf 1 setzen (oder 0, sofern die Edition es zulässt), Tailored Experiences und Werbe-ID deaktivieren, Edge- und Office-Telemetrie auf das niedrigste sinnvolle Niveau konfigurieren und die Konfiguration über GPO oder MDM zentral durchsetzen. Die getroffenen Maßnahmen gehören in die Security- und Datenschutz-Dokumentation, da sie sowohl bei Audits als auch bei Anfragen von Betroffenen relevant werden. Eine vollständige Härtungs-Sequenz für Diagnostic Data, Connected User Experiences, Activity History und Werbe-ID beschreibt Kapitel 4 unseres Leitfadens zur datenschutzkonformen Windows-11-Konfiguration.