Drei Mal NEIN für Microsofts „Recall“

Mit „Recall" integriert Microsoft in Windows 11 eine Funktion, die in kurzen Abständen Screenshots aller geöffneten Anwendungen erstellt, deren Inhalte per KI analysiert und dauerhaft durchsuchbar speichert. Dokumente, E-Mails, Chats, Gesundheits- oder Bankdaten können so Teil eines lückenlosen Nutzungsprotokolls werden. Was als Produktivitätsgewinn vermarktet wird, ist technisch eine neue Qualität der Systemüberwachung: Das Betriebssystem selbst wird zur permanenten Protokollinstanz.

Microsoft betont, Recall sei in der EU standardmäßig deaktiviert und nur für bestimmte Geräteklassen vorgesehen. Doch die Funktion ist Bestandteil des Systems. Solange der Code integriert ist, bleibt sie potenziell aktivierbar. Unabhängige, öffentlich einsehbare Auditberichte fehlen. Der Quellcode ist proprietär. Ob ein deaktiviertes Recall tatsächlich inaktiv ist, lässt sich von außen nicht überprüfen. Vertrauen ersetzt hier technische Nachweisbarkeit.

Hinzu kommt: Die versprochene Filterung sensibler Inhalte ist technisch begrenzt. Tests zeigen, dass Passwörter oder Bankdaten gespeichert werden, wenn sie nicht eindeutig als solche markiert sind. Eine KI erkennt nur, was sie als sensibel klassifizieren kann. Private Informationen werden zunächst erfasst, bevor sie gegebenenfalls geschwärzt werden. Das widerspricht dem Prinzip der Datenminimierung. Die DSGVO verlangt Zweckbindung und Vertraulichkeit – nicht nachgelagerte Korrekturen einer Totalerfassung.

Besonders problematisch ist die Zugriffsebene. Wer Zugang zu einem entsperrten Gerät hat, kann monatelange Aktivitäten rekonstruieren. Für Betroffene häuslicher Gewalt, für Journalistinnen, für Verwaltungsmitarbeitende mit sensiblen Akten ist das kein theoretisches Szenario. Es entsteht ein zentraler Datenpool, der im Fall eines Angriffs maximale Auswertbarkeit bietet. Sicherheitsrisiken werden aggregiert.

Erstes NEIN:

Überwachungsfunktionen dieser Art dürfen nicht Bestandteil eines Betriebssystems sein, das in der Europäischen Union flächendeckend eingesetzt wird.

Zweites NEIN:

Recall ist Ausdruck eines Geschäftsmodells, in dem Daten strategische Ressourcen sind. Wer vollständige Nutzungsverläufe erfassen, strukturieren und auswerten kann, verfügt über ein Machtinstrument. Daten sind ökonomisch verwertbar, aber sie sind auch politisch sensibel. Sie betreffen Kommunikationsbeziehungen, Rechercheverhalten, institutionelle Abläufe. In Behörden, Krankenhäusern und kritischen Infrastrukturen entstehen hochsensible Kontexte.

Allein 2024 zahlten Bund, Länder und Kommunen rund eine Milliarde Euro an Microsoft für Lizenzen. Diese Abhängigkeit ist strukturell. Wenn in einer solchen Infrastruktur Funktionen integriert sind, die lückenlose Aktivitätsprotokolle ermöglichen, geht es nicht um Komfort, sondern um staatliche Integrität.

Drittes NEIN:

In einer Phase geopolitischer Spannungen, maßgeblich geprägt durch Donald Trump und seine demonstrative Nähe zu Tech-Milliardären, ist die Konzentration digitaler Macht kein abstraktes Problem. Wenn politische Führung und Plattformökonomie enger zusammenrücken, verschieben sich Einflussachsen. Digitale Infrastruktur wird zum Hebel strategischer Interessen. Europa darf zentrale Informationssysteme nicht dauerhaft in eine solche Abhängigkeit stellen.

Selbst wenn Recall deaktivierbar ist, bleibt die Architektur bestehen. Selbst wenn Datenschutzaufsichtsbehörden „im Dialog" sind, ersetzt das keine klare Durchsetzung. Die Verantwortung darf nicht auf Nutzerinnen und Nutzer abgewälzt werden, die regelmäßig prüfen müssen, ob Updates Einstellungen verändert haben. Datenschutz ist kein optionales Konfigurationsmerkmal.

Die Konsequenz ist strukturell: Wir brauchen den ernsthaften Ausbau europäischer, quelloffener Alternativen. Jeder Euro Lizenzgebühr, der in proprietäre Abhängigkeit fließt, fehlt beim Aufbau digitaler Souveränität. Offene Systeme ermöglichen Transparenz, unabhängige Sicherheitsprüfungen und demokratische Kontrolle. Sie reduzieren Machtasymmetrien statt sie zu verfestigen.

Digitale Grundrechte sind nicht verhandelbar. Sie müssen sich in der technischen Architektur widerspiegeln. Microsoft wird seine Produkte nicht aus eigenem Antrieb grundrechtskonform umbauen.