Microsoft hat kürzlich eine neue Funktion namens “Recall” für seine Copilot+ PCs eingeführt. Diese Funktion zielt darauf ab, die Produktivität der Nutzer zu steigern, indem sie regelmäßig Screenshots (Snapshots) des Benutzerbildschirms aufnimmt und speichert. Dadurch soll, unter anderem durch Erfassung des Kontexts (z.B. in Meetings), die Suche nach eigenen Daten auf dem Endgerät revolutioniert werden. Aber warum gibt es Bedenken hinsichtlich des Datenschutzes?
Kernfunktionen von Recall
Die Recall-Funktion arbeitet, indem sie kontinuierlich Bildschirmaufnahmen des Desktops erstellt. Diese Snapshots speichert Recall lokal auf dem Gerät und verschlüsselt sie, was die Sicherheit der Daten gewährleisten soll. Die Kernfunktionen folgen im Wesentlichen einem Dreiklang:
Regelmäßige Aufnahme von Snapshots: Alle fünf Sekunden erstellt Recall ein Screenshot des aktuellen Bildschirms, der alle sichtbaren Aktivitäten, Eingaben und geöffneten Dateien umfasst.
Lokale Speicherung und Verschlüsselung: Recall speichert die aufgenommenen Screenshots lokal auf dem Gerät und verschlüsselt sie.
Durchsuchbarkeit: Mithilfe von Machine Learning werden die gespeicherten Screenshots durchsuchbar gemacht. Nutzer können nach bestimmten Aktivitäten oder Informationen suchen, die auf den Screenshots festgehalten wurden, um beispielsweise verlorene Dateien oder vergangene Gespräche wiederzufinden.
Datenschutz und Recall
Von Seiten der Datenschützer gibt es erhebliche Bedenken hinsichtlich der neuen Funktion. Zuerst und am Offensichtlichsten: Die Recall-Funktion folgt einem Opt-out, womit sie standardmäßig aktiviert wäre. Verantwortliche müssen daher bei datenschutzrechtlichen Risiken sicherstellen, dass die Funktion im Unternehmenskontext nicht aktiviert ist.
Ferner unterscheidet Recall nicht zwischen der Sensibilität der Informationen im Snapshot. Somit könnten auch sensible Informationen in Snapshots auftauchen, wenn die jeweiligen Apps/Inhalte nicht auf eine Negativliste hinzugefügt werden (z.B. in HR-Tools). Hinsichtlich des Kontextes sei auf die Gefahren von Snapshots bei Meetings hingewiesen. Eine Rechtsgrundlage für die Aufnahme der Gesprächspartner dürfte in aller Regelmäßigkeit nicht vorliegen.
Letztlich steht auch bei einer rein lokalen (verschlüsselten) Speicherung der Snapshots auf Endgeräten ein Fragezeichen hinter der Sicherheit bei Cyberattacken oder Verlust der Geräte.
Ausblick
Die britische Aufsichtsbehörde hat sich mit einer Reihe an Fragen an Microsoft gewandt. Auch deutsche Aufsichtsbehörden sehen nach jetziger Informationslage den Einsatz von Recall kritisch. Insofern ist der Einsatz bis auf Weiteres nicht empfohlen. Weitere Stellungnahmen der beteiligten Akteure zum Datenschutz in Recall sind abzuwarten und werden von uns geteilt.
