Das Centre for Digital Rights and Democracy empfiehlt, Windows 11 bei der Verarbeitung sensibler Daten komplett zu meiden. Datenschutzexperten warnen vor der erweiterten Telemetrie, vor Recall (der Screenshot-KI) und vor der erzwungenen Microsoft-Konto-Bindung. Die DSGVO-Konformität beider Windows-Versionen – 10 und 11 – ist umstritten.
Guter Rat. Aber was machst Du, wenn Du keine Wahl hast?
Warum Millionen Menschen nicht von Windows wegkönnen
Die Empfehlung "wechsel zu Linux" klingt in der Theorie gut. In der Praxis scheitert sie an einer simplen Realität: Die Software, die Du für Deinen Beruf brauchst, gibt es oft nur für Windows.
Versicherungsbranche
Angebotsrechner, Maklerverwaltungsprogramme, Vergleichsportale mit ActiveX-Komponenten, Schnittstellen zu Versicherungsgesellschaften – die gesamte Infrastruktur der Versicherungsbranche läuft auf Windows. Ein Makler, der täglich mit sensiblen Kundendaten arbeitet – Gesundheitsdaten, Einkommensverhältnisse, Vertragsinformationen – kann nicht einfach auf Linux wechseln. Seine Software würde nicht starten.
Und genau hier wird es brisant: Diese Branche verarbeitet nach DSGVO besonders schützenswerte Daten. Auf einem Betriebssystem, das im Hintergrund Telemetriedaten an Microsoft sendet.
Arztpraxen und Gesundheitswesen
Praxisverwaltungssysteme, elektronische Patientenakten, Abrechnungssoftware – alles Windows. Ärzte verarbeiten die sensibelsten Daten überhaupt. Gleichzeitig zeigen unsere Schadenbeispiele, dass gerade Krankenhäuser und Arztpraxen bevorzugte Ziele von Ransomware-Angriffen sind.
Behörden und öffentliche Verwaltung
Fachverfahren, ELSTER-Schnittstellen, Dokumentenmanagementsysteme – die deutsche Verwaltung ist komplett auf Windows aufgebaut. Seit Dezember 2025 verlangt die NIS2-Richtlinie von Behörden und Unternehmen mit mehr als 50 Mitarbeitern aktive Systemhärtung. Auf einem Betriebssystem, dessen Hersteller selbst Daten sammelt.
Handwerk und kleine Unternehmen
DATEV, Lexware, Handwerkersoftware, CAD-Programme – der deutsche Mittelstand arbeitet mit Windows-Software, die es für kein anderes Betriebssystem gibt. Ein Tischlermeister wird nicht zu Linux wechseln, weil seine Auftragsverwaltung dort nicht läuft.
Gamer
Fortnite, die meisten Steam-Spiele, Anti-Cheat-Software – Gaming ist Windows-Territorium. Ja, Steam Deck und Proton haben vieles verbessert, aber wer kompetitiv spielt, kommt um Windows nicht herum. Und Gamer laden ständig Mods, Tools und Patches herunter – ein Paradies für Malware.
Schulen und Bildung
Lehrsoftware, Prüfungssysteme, Verwaltungsprogramme – Schulen haben oft hunderte Windows-PCs, die von Schülern benutzt werden. Jeden Tag. Und am nächsten Morgen sollen sie wieder funktionieren.
Das Dilemma
Du verarbeitest sensible Daten. Datenschützer sagen: Meide Windows. Deine Software sagt: Du hast keine Wahl.
Was also tun?
Die VM-Lösung – richtig gedacht, aber umständlich
IT-Profis kennen die Antwort: Virtuelle Maschinen mit Snapshots. Du richtest eine VM ein, machst einen Snapshot, und nach jeder Sitzung setzt Du sie zurück. Sauber, sicher, datenschutzfreundlich.
Das Problem: VMs sind langsam, brauchen viel RAM, und die Einrichtung ist komplex. Für einen IT-Admin kein Problem. Für einen Versicherungsmakler, eine Arztpraxis oder eine Schule? Unrealistisch.
Aber das Prinzip ist goldrichtig: Ein System, das nach jeder Nutzung in einen sauberen Zustand zurückkehrt.
Die bessere Lösung: Eingefrorene Systempartitionen
Was wäre, wenn Du das VM-Snapshot-Prinzip direkt auf Deinem Windows anwenden könntest? Ohne VM, ohne Hypervisor, ohne Performance-Einbußen?
Genau das machen eingefrorene Systempartitionen. Software wie Deep Freeze friert Dein Windows ein – egal ob Version 10 oder 11. Bei jedem Neustart wird die Systempartition in den Originalzustand zurückgesetzt. Alles, was seit dem letzten Einfrieren passiert ist, wird verworfen.
Was das für den Datenschutz bedeutet
Telemetrie-Daten: Windows sammelt während einer Sitzung Nutzungsdaten. Nach dem Neustart? Gelöscht. Die lokalen Logs, Caches und temporären Dateien, die Windows anlegt, überleben den Neustart nicht. Microsoft bekommt nur das, was während einer einzigen Sitzung übertragen wird – nicht die kumulierten Daten von Wochen oder Monaten.
Browser-Daten: Cookies, Verlauf, gespeicherte Passwörter im Browser, Session-Tokens – nach dem Neustart weg. Kein Tracking über Sitzungen hinweg.
Malware und Spyware: Ein Trojaner, der sich während einer Sitzung einschleicht? Überlebt den Neustart nicht. Keine dauerhafte Überwachung möglich.
Recall-Screenshots (Windows 11): Selbst wenn Recall aktiv wäre – die gespeicherten Screenshots liegen auf der Systempartition. Nach dem Neustart: gelöscht. Die Screenshot-Datenbank wird bei jedem Neustart auf den eingefrorenen Zustand zurückgesetzt.
Das Zeitfenster-Prinzip
Eine eingefrorene Systempartition eliminiert nicht jede Datenübertragung. Windows sendet auch während einer laufenden Sitzung Telemetriedaten. Aber sie begrenzt das Zeitfenster drastisch:
- Ohne Einfrieren: Windows sammelt über Monate hinweg Daten. Browser-Profile wachsen, Caches füllen sich, Aktivitätsprotokolle werden länger. Bei einem Angriff findet der Angreifer die kumulierten Daten von Monaten.
- Mit Einfrieren: Jede Sitzung beginnt bei null. Kein Verlauf, keine Cookies, keine Caches aus früheren Sitzungen. Das Zeitfenster für Datensammlung und Angriffe schrumpft auf eine einzige Sitzung.
Das ist nicht perfekt. Aber es ist ein massiver Unterschied.
Praxis: Wie Du es einrichtest
Schritt 1: Sauberes System aufsetzen
Installiere Windows (10 oder 11) frisch. Installiere nur die Software, die Du brauchst. Deaktiviere so viel Telemetrie wie möglich:
- Einstellungen → Datenschutz → Diagnose & Feedback → auf "Erforderlich" setzen
- Aktivitätsverlauf deaktivieren
- Werbe-ID deaktivieren
- Standorterkennung deaktivieren
- Bei Windows 11: Recall deaktivieren (falls vorhanden)
Schritt 2: Datenpartition einrichten
Erstelle eine separate Partition (z.B. D:) oder nutze ThawSpaces für Deine Arbeitsdaten:
- Dokumente, Kundendaten, Projekte → auf die Datenpartition
- Programme und System → bleiben auf C: (wird eingefroren)
So bleiben Deine Daten erhalten, während das System bei jedem Neustart sauber startet.
Schritt 3: System einfrieren
Installiere Deep Freeze, friere die Systempartition ein. Ab jetzt:
- Jeder Neustart setzt das System zurück
- Telemetrie-Caches werden gelöscht
- Browser-Daten werden zurückgesetzt
- Malware überlebt keinen Neustart
Schritt 4: Arbeitsroutine anpassen
- Am Ende des Arbeitstages: Computer neu starten (oder herunterfahren)
- Sensible Daten: Immer auf der separaten Datenpartition oder in der Cloud speichern
- Updates: Regelmäßig geplante Wartungsfenster einrichten (Deep Freeze auftauen → Update → wieder einfrieren)
Für wen ist das besonders relevant?
DSGVO-pflichtige Unternehmen
Die DSGVO verlangt "geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. Eine eingefrorene Systempartition ist eine solche Maßnahme – dokumentierbar, nachweisbar, effektiv.
NIS2-betroffene Organisationen
Seit Dezember 2025 müssen Unternehmen mit mehr als 50 Mitarbeitern Systemhärtung nachweisen. Eine eingefrorene Systempartition erfüllt diese Anforderung mit minimalem Aufwand.
Branchen mit sensiblen Daten
Versicherungen, Arztpraxen, Steuerberater, Anwälte – überall wo personenbezogene oder besonders schützenswerte Daten verarbeitet werden, reduziert eine eingefrorene Systempartition das Risiko erheblich.
Das Fazit
Du kannst nicht weg von Windows. Das ist okay. Aber Du kannst Windows so betreiben, dass es sich nach jeder Sitzung selbst reinigt. Wie eine VM mit Snapshots – aber ohne den Overhead.
Das Centre for Digital Rights and Democracy hat recht: Windows sammelt zu viele Daten. Aber die Lösung ist nicht, den Kopf in den Sand zu stecken und trotzdem Windows zu nutzen. Die Lösung ist, Windows so zu härten, dass die Datensammlung auf ein Minimum begrenzt wird.
Eine eingefrorene Systempartition macht aus jedem Windows ein gehärtetes System. Egal ob Version 10 oder 11. Egal ob Versicherungsmakler, Arztpraxis oder Gamer. Jeder Neustart ist ein sauberer Start.