Compliance

Datenschutz

ESG

Microsoft Recall und die DSGVO:Innovation mit Datenschutzrisiken

Mit dem Update auf Windows 11 hat Microsoft die Funktion „Recall“ vorgestellt – ein Feature, das auf den ersten Blick wie ein praktisches Werkzeug zur Steigerung der Produktivität wirkt: Recall speichert regelmäßig Bildschirmaufnahmen, analysiert diese mithilfe künstlicher Intelligenz und ermöglicht so eine zeitsensitive Volltextsuche durch vergangene Aktivitäten.

Was technisch beeindruckt, wirft datenschutzrechtlich jedoch erhebliche Fragen auf – insbesondere im Hinblick auf die Anforderungen der Datenschutz-Grundverordnung (DSGVO). Vor allem für Unternehmen birgt der Einsatz von Recall potenziell gravierende Risiken.

Was ist Microsoft Recall?

Recall ist Bestandteil der neuen Copilot+ PCs und ermöglicht eine „Zeitreise“ durch die Computeraktivitäten. Alle paar Sekunden erstellt das System automatisch Screenshots, speichert diese lokal und bereitet sie KI-gestützt auf. Nutzer können so im Nachhinein auf Inhalte zugreifen, die zu einem bestimmten Zeitpunkt auf dem Bildschirm angezeigt wurden – ob es sich dabei um geöffnete Dokumente, besuchte Webseiten oder verwendete Anwendungen handelt.

Microsoft bewirbt Recall als persönliche Gedächtnisstütze – doch der Nutzen steht in einem Spannungsverhältnis zu den Anforderungen an den Schutz personenbezogener Daten.

Datenschutzrechtliche Einordnung:Diese DSGVO-Grundsätze sind betroffen

Die DSGVO stellt klare Prinzipien für die Verarbeitung personenbezogener Daten auf. Im Fall von Recall treten gleich mehrere dieser Grundsätze in den Vordergrund:

  • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO):
    Daten dürfen nur für festgelegte, eindeutige Zwecke verarbeitet werden. Recall speichert Informationen ohne klaren Zweckbezug im Einzelfall – ein Problem für die rechtliche Einordnung.
  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO):
    Es sollen nur notwendige Daten erhoben werden. Eine permanente, umfassende Aufzeichnung des Bildschirms scheint dem zuwiderzulaufen.
  • Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO):
    Daten sind zu löschen, sobald sie für den Zweck nicht mehr erforderlich sind. Recall speichert die Informationen bis zu drei Monate – standardmäßig.
  • Transparenz (Art. 12, 13 DSGVO):
    Nutzer müssen wissen, welche Daten wie verarbeitet werden. Trotz aktiver Zustimmung bleiben viele Details unklar.
  • Betroffenenrechte (Art. 15 ff. DSGVO):
    Zwar stellt Microsoft Lösch- und Verwaltungstools bereit, doch deren Reichweite und Wirksamkeit sind bislang nicht abschließend geklärt.

Risiken für Nutzer und Unternehmen

So eindrucksvoll die Funktion „Recall“ in ihrer technischen Umsetzung auch sein mag – ihr Einsatz bringt erhebliche datenschutzrechtliche und praktische Herausforderungen mit sich. Je nach Kontext betreffen diese nicht nur einzelne Nutzerinnen und Nutzer, sondern insbesondere auch Unternehmen, die sich mit Fragen der Compliance, der Datensicherheit und des Beschäftigtendatenschutzes konfrontiert sehen.

Während private Anwender vor allem mit dem Risiko unbeabsichtigter Datenpreisgabe konfrontiert sind, geraten Unternehmen in eine besonders heikle Lage: Sobald Recall in einer Arbeitsumgebung verwendet wird, stehen rechtliche Grundpflichten auf dem Spiel – vom Schutz personenbezogener Daten bis hin zu arbeitsrechtlichen Vorgaben. Es drohen nicht nur Datenschutzverstöße, sondern auch Imageschäden und vertrauensrechtliche Konflikte.

Für Privatnutzer:

  • Sensible Daten:
    Passwörter, Gesundheitsinformationen, Bankdaten oder private Kommunikation können ungewollt mitgespeichert werden – ohne dass der Nutzer sich dessen bewusst ist.
  • Missbrauchspotenzial:
    Bei Verlust oder Kompromittierung des Geräts besteht das Risiko, dass umfassende Bildschirmdaten in unbefugte Hände geraten.
  • Gefühl der Überwachung:
    Die permanente, wenn auch lokale, Aufzeichnung kann bei Nutzern ein subjektives Gefühl der Beobachtung und Einschränkung der digitalen Freiheit auslösen.

Für Unternehmen:

  • Verletzung von Geheimhaltungspflichten:
    Geschäfts- und Betriebsgeheimnisse, Kundeninformationen oder interne Besprechungsinhalte könnten ohne Wissen des Unternehmens dokumentiert werden.
  • Unzulässige Mitarbeiterüberwachung:
    Wird Recall in einem Unternehmensumfeld genutzt, ohne dass klare Richtlinien, Transparenz und Mitbestimmung vorliegen, drohen arbeitsrechtliche Konflikte.
  • Compliance-Risiken:
    Der Einsatz von Recall kann eine datenschutzrechtliche Relevanzschwelle überschreiten – in diesen Fällen ist eine Datenschutz-Folgenabschätzung (DSFA) verpflichtend, um Risiken und Schutzmaßnahmen systematisch zu erfassen.

Microsofts Reaktion:Datenschutz-Features als Schutzschild?

Angesichts der Kritik von Datenschützern und der öffentlichen Diskussion um potenzielle Überwachung hat Microsoft auf die datenschutzrechtlichen Bedenken reagiert – zumindest in technischer Hinsicht. Der Konzern betont, dass Recall auf Transparenz und Kontrolle ausgelegt sei und den Nutzenden die Hoheit über ihre Daten lassen soll.

Im Einzelnen hat Microsoft folgende Schutzmechanismen integriert:

  • Recall ist standardmäßig deaktiviert (Opt-in).
  • Die gespeicherten Daten verbleiben lokal auf dem Gerät.
  • Verschlüsselung und Anbindung an Windows Hello sollen unbefugten Zugriff verhindern.
  • Private Inhalte wie Passwörter oder Inkognito-Browserfenster sind vom Recording ausgenommen.
  • Nutzer haben die Möglichkeit, Recall zu pausieren oder Daten zu löschen.

Diese Voreinstellungen sind ein Schritt in die richtige Richtung – sie lösen die datenschutzrechtlichen Herausforderungen jedoch nicht vollständig. Insbesondere im unternehmerischen Umfeld bleiben zentrale Fragen zu Transparenz, Kontrollmöglichkeiten und rechtlicher Zulässigkeit offen. Unternehmen sollten sich daher nicht allein auf die technischen Maßnahmen von Microsoft verlassen, sondern eigene Schutzkonzepte und klare Nutzungsrichtlinien entwickeln.

Einschätzung der Datenschutzaufsicht

Auch europäische Datenschutzbehörden blicken kritisch auf Recall. Das Bayerische Landesamt für Datenschutzaufsicht etwa fordert klare Standards in der Voreinstellung, transparente Nutzerinformationen und belastbare technische Sicherheiten. Besonders für den Unternehmenseinsatz fehlt es bislang an tragfähigen rechtlichen Rahmenbedingungen.

Technologischer Fortschritt braucht klare Regeln

Microsoft Recall ist ein Beispiel dafür, wie schnell Innovationen regulatorische Rahmenbedingungen herausfordern. Die Funktion bietet Potenzial – insbesondere im privaten Bereich, sofern Nutzer bewusst zustimmen und technische Schutzmaßnahmen greifen.

Für Unternehmen hingegen gilt: Vorsicht ist besser als Nachsicht. Ohne klare Richtlinien, technische Zugriffsbeschränkungen und datenschutzrechtliche Bewertungen sollte Recall nicht eingesetzt werden. Eine Datenschutz-Folgenabschätzung (DSFA) ist dabei essenziell, um die Risiken systematisch zu erfassen und geeignete Schutzmaßnahmen zu definieren. Unternehmen sollten Recall, sofern überhaupt geplant, nur nach sorgfältiger rechtlicher und technischer Prüfung einsetzen – idealerweise unter Einbindung des Datenschutzbeauftragten und unter Festlegung klarer Nutzungsbedingungen für betroffene Mitarbeitende.

Microsoft wiederum steht in der Verantwortung, Datenschutz von Anfang an mitzudenken. Nur wenn „Privacy by Design“ mehr ist als ein Schlagwort, kann Recall den Spagat zwischen Innovation und Grundrechtsschutz wirklich leisten.

Jetzt Kontakt aufnehmen

Ihr persönlicher Kontakt

Matthias SchulzDirector Sales

Diese Artikel könnten Sie ebenfalls interessieren

cybersecurity Schloss
Insights
IT-Sicherheitskonzept für Unternehmen erstellen
Mai 2, 2025
Mehr erfahren
Slide
News
NIS-2 gemeinsam meistern: Unsere Partnerschaft mit RIEDEL Networks für ganzheitliche Cybersicherheit
April 9, 2025
Mehr erfahren

Sie möchten über neueste Entwicklungen auf dem Laufenden bleiben?​Melden Sie sich hier zu unserem Newsletter an.