Die Übermittlung personenbezogener Daten aus Windows 10 sowie Office ProPlus zu Microsoft-Servern kann noch nicht auf einfache Weise unterbunden werden. Der Bundesdatenschutzbeauftragte Ulrich Kelber sieht seine eigene Behörde im Lock-In und will Alternativen prüfen.
Der Inhalt im Überblick
Windows 10 in Dauerprüfung
Für den Einsatz des Office-Pakets auf Basis des Betriebssystems Windows 10 haben deutsche Bundesbehörden trotz eines laufenden Beschaffungsprozesses noch keine Datenschutz-Folgenabschätzung in Auftrag gegeben. Bevor er sich rechtlich festlegt, will der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Ulrich Kelber die zweite technische Prüfung von Windows 10 abwarten, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) derzeit durchführt.
Unter dem Titel „SiSyPHuS Win10“ (Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10) hatte das BSI die Ergebnisse der ersten Prüfung vorgestellt. Windows 10 lädt demnach mehrmals in der Stunde Konfigurationsdaten nach und ordnet die Telemetriequellen diesen Stufen dynamisch zu. Technisch ausgeschlossen ist die vollständige Abkopplung laut BSI nicht, nur für einfache Anwender „schwer“ umzusetzen. Die zweite Prüfung des BSI bezieht sich auf eine neuere Programmversion (Built), in der bereits einige zuvor monierten Vorgänge behoben sein sollen. Das BSI befasst sich allerdings nicht mit der Frage, ob die Übermittlung der Telemetriedaten durch Windows 10 an Microsoft rechtswidrig ist.
Datenschutzrechtliche Bewertung läuft
Der unabhängige Bundesdatenschutzbeauftragte oder das Bundesjustizministerium müssen jetzt klären, inwieweit ein rechtskonformer Einsatz von Microsoft in Bundesbehörden möglich ist. Dafür muss er auch beurteilen, ob personenbezogene Daten in den Telemetriedaten übermittelt werden. Die Datenschutz-Grundverordnung verlangt in Artikel 25 nutzerfreundliche Datenschutz-Vorsteinstellungen („Privacy by Default“). Der Verantwortliche, das wären die Systembetreiber in den Behörden, müssten demnach sicherstellen, dass das System entsprechend konfiguriert ist.
Dazu erklärte Ulrich Kelber im Gespräch mit Dr. Datenschutz:
„Wir sind noch bei der datenschutzrechtlichen Bewertung der Ergebnisse und werden dann natürlich im IT-Konsolidierungsprojekt als auch im IT-Planungsrat unsere Rechtsauffassung einbringen.“
Die Bewertung bezieht sich auf das Produkt, außerdem wird sie benennen, wo ein Einsatz mit den datenschutzrechtlichen Anforderungen unvereinbar ist: „Das kann für bestimmte Anwendungen oder Anwendungsszenarien sein.“
Ulrich Kelber zeigt Verständnis für die Behörden, die an Microsoft-Lösungen festhalten wollen: „Die Realität ist, dass viele Behörden längst in der Situation sind, dass ihnen keine Alternative mehr zur Migration zu Windows 10 bleibt, um dann bestimmte Sicherungsmaßnahmen zu ergreifen, weil der Support für das aktuell genutzte Betriebssystem ausläuft und kein anderer Bundes-Client zur Verfügung steht.“ Dabei will es Kelber allerdings nicht belassen. Er hält es für nötig, „darüber zu sprechen und zu definieren, wo wollen wir auf Dauer hin, um nicht mehr unter diesem Druck zu stehen.“
Im Lock-In
Die Zeit drängt, zumal Kelbers eigene Behörde nun mit Windows 10 ausgestattet werden soll. Kelber:
„In diesem Lock-In sind wir natürlich wie viele andere auch. Daher kann es sein, dass auch der Bundesdatenschutzbeauftragte trotz aller Bedenken für bestimmte Dinge auf Windows 10 umsteigt. Unser Vorteil im Vergleich zum Privatnutzer ist, dass die Umgebung des IVBB einen datenschutzkonformen Betrieb möglich macht. Unabhängig davon wird man sich aber auch grundsätzliche Gedanken machen müssen und mittel- und langfristige Alternativen prüfen.“
Eine datenschutzrechtliche Bewertung könnte den Entscheidungsprozess beschleunigen und Kelber ahnt schon jetzt, dass er dann eventuell als Buhmann dasteht: „Es kann passieren, dass wenn wir sagen, dass Windows 10 für bestimmte Aufgaben nicht geht, man dann nicht auf Microsoft sauer ist, sondern auf uns.“ Ähnliches erlebe er gerade im Fall der Bundespolizei, die Bodycam-Daten in der Amazon Cloud speichert. Kelber: „Da wird nicht gefragt, wie das datenschutzrechtlich mit dem US Cloud Act vereinbar ist, der zumindest theoretisch den Zugriff von US-Behörden auf die Daten ermöglich. Sondern die Bundespolizei hält es im Gegenteil für völlig in Ordnung.“
Nutzerbezogene Daten im Datentransfer
Windows 10 ist aber nicht die einzige Baustelle, auch das Office-Paket von Microsoft übermittelt Daten. Das niederländische Justizministerium beauftragte im Rahmen des Beschaffungsprozesses das Beratungsunternehmen Privacy Company damit eine Datenschutz-Folgenabschätzung für den Einsatz von Office ProPlus nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu erstellen. Aus der im November veröffentlichten Datenschutz-Folgenabschätzung geht hervor, dass es sich bei den Telemetrie-Daten von Office um Nutzungsdaten handelt: Wenn Nutzer etwa über das Office-Paket Textteile übersetzen, kann dies nur über einen Online-Dienst bei Microsoft erfolgen.
Insgesamt soll es sich zwischen 23.000 und 25.000 verschiedene Ereignistypen handeln, die von Office an Microsoft-Server verschickt werden. Seitens Windows 10 sollen es nur maximal 2.000 Ereignistypen sein. Mit Verweis auf die Folgenabschätzung verlangt die niederländische Regierung von Microsoft, die rechtswidrigen Datenübertragungen abzustellen. Anderenfalls werde die niederländische Datenschutzaufsicht eingeschaltet, die den Forderungen mit Bußgeldern in Höhe von 4 Prozent des Jahresumsatzes von Microsoft Nachdruck verleihen könnte.
Gastbeitrag der freien Journalistin Christiane Schulzki-Haddouti. Sie twittert nicht nur zu Datenschutzthemen unter @kooptech.
Vielen dank für den aufschlussreichen Artikel. Leider zeigt dieser aber auch nur das Dilemma, in welches sich Unternehmen und Behörden in der Vergangenheit gebracht haben, weil die IT ausschließlich auf Microsoft-Produkte bzw. auf deren Betriebssystem ausgerichtet war.
Jetzt ist man an einem Punkt angekommen, bei dem die Anhängigkeit von diesem Unternehmen – und in meinen Augen viel schlimmer – den Begehrlichkeiten der us-amerikanischen Sicherheitsbehörden zur Fessel wird. Eine Ablösung des Windowsbetriebssystems ist in vielen Fällen praktisch unmöglich, da diese Millionenbeträge kosten würde und die Arbeitsfähigkeit der Unternehmen und der öffentlichen Hand nicht mehr sichergestellt wäre.
Eine Lösung dafür, wie man aus dieser Zwickmühle herauskommt, habe ich leider auch nicht. Auch in unserer Verwaltung wird es zwingend notwendig werden, die Migration auf Windows 10 vorzunehmen, da der Support von Windows 7 demnächst ausläuft. Ein Großteil der eingesetzten Software, die für die Erfüllung unserer Aufgaben erforderlich ist, setzt aber Windows als Plattform voraus. Als DSB kann ich insoweit auch nur darauf achten, dass unsere IT ihre Pflichten ernst nimmt und die Grundeinstellungen so datenschutzgerecht wie irgend möglich vornimmt. Welche Hintertürchen hierbei, trotz aller Bemühungen, für Microsoft und die NSA noch vorhanden sind, möchte ich am besten gar nicht wissen.
Langfristig muss aber m.E. ein Umdenken erfolgen, damit wir uns in Deutschland und Europa unabhängiger vom Einfluss außereuropäischer Unternehmen machen und unsere personenbezogenen Daten wieder mehr in die eigene Hand bekommen. Wenn ich mir die politische Entwicklung in den USA ansehe, schwant mir Böses falls es mal zu einer erheblichen Eintrübung der Beziehungen zwischen den USA und Europa kommen sollte. In diesem Fall könnte sich die Abhängigkeit von US-Firmen noch einmal böse rächen – und das nicht nur im Hinblick auf den Datenschutz.
„Unabhängig davon wird man sich aber auch grundsätzliche Gedanken machen müssen und mittel- und langfristige Alternativen prüfen.“
Es tut mir leid, aber das ist nur wieder eine der üblichen „Wir würden ja gern, aber jetzt passt es gerade nicht“-Aktionen.
Als Bundesdatenschutzbeauftragte(r) hätten Sie die Möglichkeit, endlich einmal klare Akzente für die Zukunft zu setzen, anstatt des ewigen Herumlavierens:
„Wo keine glaubwürdige, nachprüfbare Datenschutzkonformität und Nichtkompromittierung des Codes gegeben ist (Closed Source), kann der BDSB keine Zustimmung zur Nutzung solcher Systeme geben.“, Punkt.
Es gibt noch weitere Gründe, die für ein solches Vorgehen sprechen; Nachhaltigkeit ist einer davon, höhrere Flexibilität, langfristige Kostenkonsolidierung und verbesserte Systemsicherheit sind weitere, und längst nicht alle.
D. h., Sie als Datenschutzbeauftrage(r) müssten schon aus symbolischen Gründen das Zeichen eines klaren Bekenntnisses zu quelloffenen Systemen setzen, welche die o. g. Probleme in dieser Form nicht haben, und damit den Wandlungsprozess bewusst anstoßen.