Windows 10 und der Datenschutz

Fachbeitrag

Das bekannte Betriebssystem Windows 10 ist nicht erst seit gestern auf dem Radar der Datenschutzaufsichtsbehörden. Nun hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ein Prüfungsschema herausgegeben. Wie Windows 10 danach zu bewerten ist und worauf Verantwortliche achten sollten, lesen Sie hier.

Was ist passiert?

Im Jahr 2017 hatte das BayLDA auf Grundlage der alten Fassung des BDSG einen Prüfbericht zu Windows 10 im Unternehmensumfeld veröffentlicht und dabei die Frage formuliert,

„[…] ob Microsoft auf die Kritik der Nutzer und anderer europäischer Datenschutzbehörden, die Windows 10 Home und Professional prüfen, reagiert und bei der Fortentwicklung von Windows 10 datenschutzrechtliche Verbesserungen vorsehen wird“.

Kurz danach hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende 2018 die Studie „Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10“ veröffentlicht. Dabei wurde kritisiert, dass eine vollständige Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows 10 technisch nur schwer möglich sei. Zwischenzeitlich hatte Microsoft reagiert und in einer neueren Programmversion einige Kritikpunkte des BSI behoben. Daher ist bei der Behörde gerade eine zweite Prüfung von Windows 10 anhängig. Auf diese wartet auch der Bundesbeauftragte für den Datenschutz (BfDI), bevor er sich bei der rechtlichen Zulässigkeit des Einsatzes von Windows 10 bei deutschen Bundesbehörden festlegen will. Umso überraschender ist es, dass die Datenschutzkonferenz nun ein Papier mit einem Prüfschema zum Thema Datenschutz bei Windows 10 veröffentlicht hat.

Grundlegende Risiken und Unterschiede

Ein Beweggrund, der die Untersuchung verursacht, ist wohl die gewaltige Marktmacht von Microsoft und seinen Produkten. Nach eigenen Aussagen gab es bereits im Jahr 2017 über eine halbe Milliarde Windows 10 Nutzer weltweit. Diese Zahl ist sicherlich in den vergangenen zwei Jahren noch angestiegen. Dabei wird das Betriebssystem nicht nur in der freien Wirtschaft verwendet, sondern auch von Behörden, Kirchen und Stiftungen.

Ein weiterer Grund, weshalb die DSK eine Untersuchung vornimmt, ist der deutliche Unterschied in den Funktionalitäten von Windows 7 zu Windows 10:

  • Windows 10 versteht sich weniger als ein Betriebssystem als eine Systemumgebung mit einer Vielzahl zusätzlicher Funktionalitäten.
  • Jedes Update kann dazu führen, dass Konfigurationseinstellungen verändert werden oder sich der Funktionsumfang und damit auch der Umfang der Verarbeitung ändert.
  • Eine Datenübermittlung von Windows 10 an Microsoft kann durch angepassten Einstellungen nicht vollständig unterbunden werden. Zudem ist die Übertragung der Daten verschlüsselt, sodass nicht festgestellt werden kann, ob und wenn ja, welche personenbezogenen Daten dabei an Microsoft übertragen werden.

Durch Bestehen dieser Risiken legt die DSK ein Prüfschema vor, um die datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustellen.

Was sollen Verantwortliche tun?

Mit dem Prüfschema sollen Verantwortliche, die bereits Windows 10 einsetzen oder dies in Zukunft beabsichtigen, in die Lage versetzt werden, eigenständig die Einhaltung der rechtlichen Vorgaben der DSGVO in ihrem konkreten Fall zu prüfen und zu dokumentieren. Erst anhand des Ergebnisses lässt sich bestimmen, an welchen Stellschrauben zu drehen ist, um Windows 10 datenschutzkonform zu nutzen.

Dabei wurde das Prüfschema abstrakt gehalten. Es orientiert sich nicht an einer bestimmten Version, da wie bereits oben erwähnt, jedes Update den Funktionsumfang von Windows 10 wesentlich verändern könnte. Durch die Abstraktheit soll es möglich sein, das Prüfschema auf alle zukünftigen Versionen zu adaptieren.

Das Prüfungsschema wird in 3 Abschnitte aufgeteilt. Teil A befasst sich mit den datenschutzrelevanten Besonderheiten von Windows 10. Unter Teil B wird dargestellt, welche Normen der DSGVO im Detail zu beachten sind. Teil C stellt das resultierende Prüfungsschema dar. Um den Umfang des Blogbeitrags nicht zu sprengen, sehen wir uns explizit Teil B an.

Die rechtliche Prüfung

In diesem Teil weist das Prüfungsschema daraufhin, dass die Frage der Rechtmäßigkeit einer Übertragung von personenbezogenen Daten in ein Drittland wie die USA, sich nach der 2-Stufen-Prüfung richtet. Durch das allgemeine Verbot mit Erlaubnisvorbehalt benötigt das Übermitteln der Telemetriedaten auf der ersten Stufe eine Rechtsgrundlage. Einer solchen bedarf es logischerweise dann nicht, wenn der Verantwortliche durch Technikgestaltung die Datenübermittlung an Microsoft unterbunden hat und die Ausgestaltung angemessen und wirksam im Sinne des Art. 25 DSGVO ist. Nach dem Gutachten des AK Technik seien hierbei nur netzwerkbasierte Abhilfemaßnahmen über den Umweg, die direkte Internetanbindung von Windows 10 Systemen zu unterbinden und den Internetzugang über eine Virtualisierungs- oder Terminallösung erfolgen zu lassen, erfolgsversprechend.

Alle anderen Verantwortlichen, denen diese Maßnahme nicht möglich ist, müssen sich auf die Suche nach einer Rechtsgrundlage begeben. Dabei sind die Ausführungen der DSK keine große Hilfe, sondern verweisen generisch darauf, dass eine der Voraussetzungen des Art. 6 Abs. 1 lit. a bis f oder des § 26 BDSG erfüllt sein müssen. Wie oben angesprochen, werden die Telemetriedaten verschlüsselt an Microsoft versendet. Der Konzern selbst macht nur beispielhafte Angaben über die Diagnosedaten, die man unter den verschiedenen Einstellungsstufen von Windows 10 sammelt. Daneben stellt man einen Diagnosedaten-Viewer zur Verfügung, der aber nur bereits gesendete Diagnosedaten eines Gerätes an Microsoft auflistet. Dem Verantwortlichen dürfte es daher kaum möglich sein, an die relevante Information zu kommen, ob und welche personenbezogenen Daten in den einzelnen Einstellungsstufen der Übertragung von Diagnosedaten an Microsoft fließen. Damit ist die Bestimmung der Rechtsgrundlage unmöglich. Anstatt diesen Punkt deutlich anzusprechen, lässt sich die DSK lediglich unter Punkt C zu folgender Bemerkung hinreißen:

„Konnte nicht festgestellt werden, welche Daten übermittelt werden, so kann auch nicht die Rechtmäßigkeit der Übermittlung festgestellt werden.“

Der Rest der Ausführungen des Schemas gleichen somit einer Farce. Der Vollständigkeit halber geht man kurz auf die zweite Stufe der Prüfung, das angemessene Sicherheitsniveau beim Empfänger im Drittstaat, ein. Dabei bereitet diese keine Probleme, da die EU-Kommission mit dem EU-US Privacy Shield festgestellt hat, dass bei zertifizierten US-Unternehmen wie Microsoft ein angemessenes Schutzniveau für Datenübertragungen gem. Art. 45 DSGVO vorliegt. Einen Seitenhieb in Form des Hinweises auf die eigenen Bedenken gegen den Privacy Shield sowie die aktuell laufenden Gerichtsverfahren, lässt man sich hier dennoch nicht nehmen.

Datenschutz durch Technikgestaltung

Sollte ein Verantwortlicher dennoch auf kreative Art und Weise eine Rechtsgrundlage für die Übermittlung der Telemetriedaten an Microsoft identifiziert haben, stellt einen die rechtliche Prüfung des Art. 25 DSGVO vor das nächste Problem. Denn anders als es die Überschrift vermuten lassen würde, verpflichtet Art. 25 Abs. 1 DSGVO lediglich Verantwortliche und nicht die Hersteller zu Datenschutz durch Technikgestaltung. Letztere werden im Rahmen des EG 78 lediglich ermutigt, dieses Gebot zu beachten, damit der Verantwortliche seiner Datenschutzpflichten nachkommen kann. Verantwortliche haben somit schon bei der Festlegung der Verarbeitungsmittel im Rahmen einer Risikoabwägung geeignete technische und organisatorische Maßnahmen zu treffen, um die in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze umzusetzen.

Dabei ergeben sich bei Windows 10 insbesondere Probleme mit dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO. Dieser verlangt, dass die Verarbeitung personenbezogene Daten auf ein für die Zwecke der Verarbeitung notwendiges Maß beschränkt werden. Die Diagnosedaten werden aber nach eigenen Angaben von Microsoft (s.o.) für eine ganze Reihe von Funktionen verwendet, welche nach Ansicht der DSK über die reine Betriebssystemfunktionalität hinausgehen. Dabei spannt man den Bogen wieder zurück nach oben zu den Ausführungen zur Rechtsgrundlage und weist wenig dezent daraufhin, dass Verantwortlichen eigentlich nur eine Lösung übrigbleibt: Die Übermittlung von Telemetriedaten technisch zu verhindern.

„Da sich derzeit aber nicht alle Übermittlungen an Microsoft durch eine entsprechende Konfiguration deaktivieren lassen, müssen daneben weitere technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen. Neben der technischen Verhinderung der Datenübermittlung von Windows 10 an Microsoft muss wegen dem fortlaufenden Verändern und Hinzufügen von Funktionalität zudem ebenso fortlaufend überwacht werden, ob anlässlich eines Updates eine erneute Prüfung durchgeführt werden muss.“

Datenschutzkonformer Einsatz von Windows 10

Sollten Verantwortliche den Anspruch haben, Windows 10 datenschutzkonform innerhalb Ihres Unternehmens zu nutzen, muss entweder die Übermittlung von jeglichen Telemetriedaten an Microsoft unterbunden werden oder der Verantwortliche muss groß genug sein, um mit dem Konzern eine individuelle Lösung auszuhandeln. Andernfalls bleibt nur noch der Umstieg auf ein datensparsames Betriebssystem. Es stellt sich einem zwangsläufig die Frage, wieso die DSK dieses Ergebnis nicht ausdrücklich ausgesprochen, sondern (anders als etwa im Fall der Orientierungshilfe für Telemedienanbieter) einen „differenzierenden“ Ansatz in Form eines Prüfschemas gewählt hat. Eine Erklärung könnte sein, dass man nicht als Buhmann dastehen möchte. So äußerte sich der BfDI in einem Interview folgendermaßen:

„Es kann passieren, dass wenn wir sagen, dass Windows 10 für bestimmte Aufgaben nicht geht, man dann nicht auf Microsoft sauer ist, sondern auf uns.“

Stattdessen schiebt man den schwarzen Peter in Form eines Prüfungsschemas und unter Verweis auf die Dokumentationspflicht der DSGVO weiter an die Verantwortlichen. Gerade auch aufgrund einer fehlenden, echten Alternative zu Windows 10, dürfte für viele KMUs, welche 99 % der deutschen Unternehmen ausmachen, keine der drei Lösungen ernsthaft in Betracht kommen und diese somit in der Praxis nur widerwillig umgesetzt werden.

Wieso veröffentlicht die DSK dann überhaupt ein solches Dokument? Vergangenen Ereignisse (Stichwort: Facebook Fanpage) legen nahe, dass damit ein Stellvertreterkrieg gegen Microsoft geführt werden soll. Da die deutschen Datenschutzaufsichtsbehörden durch Probleme der DSGVO (One Stop Shop / Kohärenzverfahren) zurzeit nicht direkt gegen das Unternehmen vorgehen können, gehen sie erneut den Umweg über die Nutzer. Sollten Gerichte die im Prüfungsschema angedeutete Auffassung der Aufsichtsbehörden bestätigen und die Nutzung von Windows 10 in der Regel als datenschutzrechtlich unzulässig einstufen, „ermutigt“ man Microsoft durch den potentiell drohenden Nutzerverlust, das Gebot Datenschutz durch Technikgestaltung zu berücksichtigen. Als positives Zeichen kann aufgefasst werden, dass dieser Krieg nach Aussage der LfDI Niedersachsen anscheinend erstmal nicht auf dem Rücken von Unternehmen, sondern auf dem Rücken des öffentlichen Bereichs ausgetragen werden soll. Das diese Strategie durchaus von Erfolg gekrönt sein und für Unternehmen postive Folgen haben kann, zeigen die aktuellen Entwicklungen bei Office 365. So kündigte Microsoft ein Update seiner Online Services Terms für alle Nutzer an, welches die von dem niederländischen Ministerium für Justiz und Sicherheit ausgehandelten Vertragsänderungen wiederspiegeln soll.

Uns interessiert Ihre Meinung: Zu welchem Ergebnis sind Sie bei der Prüfung von Windows 10 im Unternehmenseinsatz gekommen? Was halten Sie von der jüngsten Veröffentlichung der DSK? Lassen Sie uns dazu doch einen (anonymen) Kommentar da.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

6 Kommentare zu diesem Beitrag

  1. Zunächst mal schiebt man de schwarzen Peter nicht zum Verantwortlichen sondern mal wieder zum betrieblichen DSB. Außerdem, selbst wenn man die Telemetrie ports sperrt, kommuniziert W10 immer noch über Port 80 bzw. über evtl. eingesetzte Proxies mit zu Hause. EU US Privacy Shield reichen bei MS nicht, da weitere Drittländer an Leistungserbringung beteiligt…

  2. Oftmals bleibt ein Wechsel auf Grund von Ressourcen allerdings nicht aus; außerdem haben sicherlich schon viele umgestellt oder tun dies gerade, da der Support von Win 7 Ende des Jahres endet und eine Verlängerung nur mittels zusätzlichem Vertrag unter erheblichen zusätzlichen Aufwendungen möglich ist.

  3. leider geht diese Betrachtung am eigentlichen Problem vorbei, denn wer setzt schon großflächig nur Win10 ein ohne gleich ein MSFT Office für die tägliche Arbeit zu bemühen?
    MSFT hat zu den Telemetrieeigenschaften von Office aktueller Ausprägung zugeben müssen, dass es hier designbedingt noch weitaus schwieriger ist datenschutzkonform arbeiten zu können. Praktisch ist es sogar unmöglich und darauf angesprochene Verantwortliche in großen Unternehmen reagieren fatalistisch „das machen doch alle so, auch wenn es rechtswidrig ist“. Ich würde mir wünschen, das hier der EDPB tätig werden würde, denn so lässt man europaweit Unternehmen im Regen stehen die was „moderneres“ als Office2013 einsetzen wollen. BTW: im Kontext StGB§203 oder Geheimschutz kommt hier eine besondere Würze hinzu.

  4. Um das nach hause telefonieren Datenschutzkonform unterbinden zu können, müsste man fast jeden Serice-Dienst auseinander nehmen um sich vergewissern zu können, das dieser keine Daten an MS sendet. Aber nicht nur MS sammelt ungenehmigt Daten, sondern auch der Anbieter der Sicherheitslösung (Avast plus Co), der Grafiktreiberanbieter wie zB. Nvidia. Als derzeit einzigste Alternative bleibt nur der Umstieg auf Opensource.

  5. Die Lösung ist ein anderes Betriebssystem zu verwenden, und alles was man nicht ohne Windows nicht hinbekommt eine Virtualisierung ohne Netzwerkzugang zu benutzen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.