Microsoft hat mit Recall eine Funktion eingeführt, die den Bildschirminhalt der Nutzer protokollieren und durchsuchbar machen soll, um eine Art „fotografisches Gedächtnis“ des PCs zu bieten. Diese KI-gestützte Windows-Suche fertigt in Sekundenabständen Screenshots (Momentaufnahmen) der Bildschirmaktivität an. Es analysiert diese mittels maschinellem Lernen und macht die Inhalte, einschließlich Bildern und Text, durchsuchbar. Nutzer dieser Technologie müssen die damit verbundenen Datenschutz- und Sicherheitsaspekte genau prüfen.
Funktionsweise von Microsoft Recall
Recall wurde mit dem optionalen Update KB5062660 im Juli für den Europäischen Wirtschaftsraum (EWR) freigeschaltet. Microsoft betont, dass Recall standardmäßig deaktiviert (Opt-in) ist; jeder Nutzer muss das Speichern von Momentaufnahmen aktiv zulassen. Die Funktion ist nur auf speziellen Copilot+-PCs mit spezifischer Hardware, einschließlich einer NPU (Neural Processing Unit), verfügbar. Ein zentraler Aspekt des Datenschutzkonzepts ist die lokale Verarbeitung und Speicherung der Daten. Momentaufnahmen und zugehörige Informationen bleiben verschlüsselt auf der lokalen Festplatte des Geräts, werden weder mit Microsoft noch mit Dritten geteilt und benötigen keine Cloud-Verbindung. Um den Zugriff zu schützen, müssen Nutzer ihre Identität über Windows Hello Enhanced Sign-in Security (ESS) bestätigen, bevor Recall gestartet wird oder auf Momentaufnahmen zugegriffen werden kann.
Zusätzlich bietet Recall automatische Filterfunktionen. Die standardmäßig aktivierte Einstellung zum Filtern vertraulicher Informationen soll verhindern, dass Kennwörter, Kreditkartennummern und nationale ID-Nummern in Momentaufnahmen gespeichert werden. Die zugehörige Funktion „Aktion per Mausklick“ (Click to Do), welche Text und Bilder auf dem Bildschirm zur Ausführung von Aktionen identifiziert, führt ihre Analyse ebenfalls lokal auf dem Gerät durch. Inhalte werden nur dann freigegeben, wenn Nutzer aktiv Aktionen auswählen, die Online-Anbieter erfordern, wie etwa die „Websuche“ über Microsoft Edge und Bing oder das „Ask Copilot“ Feature.
Besonderheiten im Europäischen Wirtschaftsraum
Besonders für den Europäischen Wirtschaftsraum (EWR) musste Microsoft Anpassungen vornehmen. Als wichtige Anpassung an europäische Vorschriften sind einige der eng mit Copilot verbundenen Funktionen des Features „Aktion per Mausklick“ (Click to Do) im EWR nicht verfügbar. Dazu gehören beispielsweise „Copilot fragen“, die Microsoft Teams-Aktionen und erweiterte Bildbearbeitungsfunktionen. Aus diesem Grund gibt es im EWR die Möglichkeit, Snapshots zu exportieren, um Daten in gewissem Rahmen mit Drittanbietern auszutauschen. Dies erfordert einen eindeutigen, einmalig angezeigten Recall Exportcode zur Entschlüsselung.
Datenschutzrechtliche Risiken
Die lokale Verarbeitung, die Verschlüsselung und der standardmäßige Opt-in-Mechanismus entspricht prinzipiell dem Gedanken des Privacy by Design. Trotz der Zusicherungen bleiben datenschutzrechtliche Risiken bestehen, da die Funktion im Wesentlichen eine umfassende Protokollierung aller Bildschirmaktivitäten darstellt. Kritisch ist, dass Anwendungen und Websites manuell herausgefiltert werden müssen, um sie von der Aufnahme auszuschließen. Obwohl sensible Informationen automatisch gefiltert werden sollen, kann die Filterung nicht verhindern, dass Browser, ISPs oder Websites die Aktivitäten des Nutzers nachverfolgen. Die aktive Nutzung von Online-Aktionen wie „Websuche“ oder „Ask Copilot“ führt außerdem zur Übertragung ausgewählter Inhalte an Online-Dienste.
Schlussfolgerungen für Unternehmen
Unternehmen sollten ihre administrativen Kontrollmöglichkeiten nutzen. Administratoren können Richtlinien festlegen, um Recall vom Gerät zu entfernen, die Speicherung von Momentaufnahmen vollständig zu deaktivieren, maximale Speicherlimits festzulegen oder Listen von Apps und Websites zu filtern. Kritische Unternehmensanwendungen, interne Portale, HR-Systeme und sonstige sensible Webseiten sollten proaktiv in die Filterlisten aufgenommen werden. Zudem sollten Mitarbeiter über die Reichweite der Protokollierung informiert werden. Es muss klar in internen Richtlinien geregelt werden, dass sensible Informationen beim Export der Snapshots oder bei der aktiven Nutzung von Online-Aktionen (Websuche, Copilot) das Gerät verlassen können.
Fazit
Microsoft Recall bietet als KI-gestützte Protokollierungsfunktion auf Copilot+-PCs hohe Produktivitätsvorteile. Gleichzeitig stellt es Unternehmen vor große Herausforderungen im Bereich Datenschutz und Compliance, da praktisch alle Bildschirmaktivitäten, auch sensible Unternehmensprozesse, dauerhaft lokal gespeichert werden. Obwohl Microsoft Sicherheitsrahmen implementiert hat, ist die aktive Steuerung durch IT-Administratoren und die Unternehmen zwingend für DSGVO-Konformität erforderlich. Nur mit geeigneten Maßnahmen kann das Risiko des unbefugten Zugriffs auf potenziell geschäftsrelevante oder personenbezogene Daten minimiert werden.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
