Windows 10 und der Datenschutz

Fachbeitrag

Das bekannte Betriebssystem Windows 10 ist nicht erst seit gestern auf dem Radar der Datenschutzaufsichtsbehörden. Nun hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ein Prüfungsschema herausgegeben. Wie Windows 10 danach zu bewerten ist und worauf Verantwortliche achten sollten, lesen Sie hier.

Was ist passiert?

Im Jahr 2017 hatte das BayLDA auf Grundlage der alten Fassung des BDSG einen Prüfbericht zu Windows 10 im Unternehmensumfeld veröffentlicht und dabei die Frage formuliert,

„[…] ob Microsoft auf die Kritik der Nutzer und anderer europäischer Datenschutzbehörden, die Windows 10 Home und Professional prüfen, reagiert und bei der Fortentwicklung von Windows 10 datenschutzrechtliche Verbesserungen vorsehen wird“.

Kurz danach hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende 2018 die Studie „Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10“ veröffentlicht. Dabei wurde kritisiert, dass eine vollständige Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows 10 technisch nur schwer möglich sei. Zwischenzeitlich hatte Microsoft reagiert und in einer neueren Programmversion einige Kritikpunkte des BSI behoben. Daher ist bei der Behörde gerade eine zweite Prüfung von Windows 10 anhängig. Auf diese wartet auch der Bundesbeauftragte für den Datenschutz (BfDI), bevor er sich bei der rechtlichen Zulässigkeit des Einsatzes von Windows 10 bei deutschen Bundesbehörden festlegen will. Umso überraschender ist es, dass die Datenschutzkonferenz nun ein Papier mit einem Prüfschema zum Thema Datenschutz bei Windows 10 veröffentlicht hat.

Grundlegende Risiken und Unterschiede

Ein Beweggrund, der die Untersuchung verursacht, ist wohl die gewaltige Marktmacht von Microsoft und seinen Produkten. Nach eigenen Aussagen gab es bereits im Jahr 2017 über eine halbe Milliarde Windows 10 Nutzer weltweit. Diese Zahl ist sicherlich in den vergangenen zwei Jahren noch angestiegen. Dabei wird das Betriebssystem nicht nur in der freien Wirtschaft verwendet, sondern auch von Behörden, Kirchen und Stiftungen.

Ein weiterer Grund, weshalb die DSK eine Untersuchung vornimmt, ist der deutliche Unterschied in den Funktionalitäten von Windows 7 zu Windows 10:

  • Windows 10 versteht sich weniger als ein Betriebssystem als eine Systemumgebung mit einer Vielzahl zusätzlicher Funktionalitäten.
  • Jedes Update kann dazu führen, dass Konfigurationseinstellungen verändert werden oder sich der Funktionsumfang und damit auch der Umfang der Verarbeitung ändert.
  • Eine Datenübermittlung von Windows 10 an Microsoft kann durch angepassten Einstellungen nicht vollständig unterbunden werden. Zudem ist die Übertragung der Daten verschlüsselt, sodass nicht festgestellt werden kann, ob und wenn ja, welche personenbezogenen Daten dabei an Microsoft übertragen werden.

Durch Bestehen dieser Risiken legt die DSK ein Prüfschema vor, um die datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustellen.

Was sollen Verantwortliche tun?

Mit dem Prüfschema sollen Verantwortliche, die bereits Windows 10 einsetzen oder dies in Zukunft beabsichtigen, in die Lage versetzt werden, eigenständig die Einhaltung der rechtlichen Vorgaben der DSGVO in ihrem konkreten Fall zu prüfen und zu dokumentieren. Erst anhand des Ergebnisses lässt sich bestimmen, an welchen Stellschrauben zu drehen ist, um Windows 10 datenschutzkonform zu nutzen.

Dabei wurde das Prüfschema abstrakt gehalten. Es orientiert sich nicht an einer bestimmten Version, da wie bereits oben erwähnt, jedes Update den Funktionsumfang von Windows 10 wesentlich verändern könnte. Durch die Abstraktheit soll es möglich sein, das Prüfschema auf alle zukünftigen Versionen zu adaptieren.

Das Prüfungsschema wird in 3 Abschnitte aufgeteilt. Teil A befasst sich mit den datenschutzrelevanten Besonderheiten von Windows 10. Unter Teil B wird dargestellt, welche Normen der DSGVO im Detail zu beachten sind. Teil C stellt das resultierende Prüfungsschema dar. Um den Umfang des Blogbeitrags nicht zu sprengen, sehen wir uns explizit Teil B an.

Die rechtliche Prüfung

In diesem Teil weist das Prüfungsschema daraufhin, dass die Frage der Rechtmäßigkeit einer Übertragung von personenbezogenen Daten in ein Drittland wie die USA, sich nach der 2-Stufen-Prüfung richtet. Durch das allgemeine Verbot mit Erlaubnisvorbehalt benötigt das Übermitteln der Telemetriedaten auf der ersten Stufe eine Rechtsgrundlage. Einer solchen bedarf es logischerweise dann nicht, wenn der Verantwortliche durch Technikgestaltung die Datenübermittlung an Microsoft unterbunden hat und die Ausgestaltung angemessen und wirksam im Sinne des Art. 25 DSGVO ist. Nach dem Gutachten des AK Technik seien hierbei nur netzwerkbasierte Abhilfemaßnahmen über den Umweg, die direkte Internetanbindung von Windows 10 Systemen zu unterbinden und den Internetzugang über eine Virtualisierungs- oder Terminallösung erfolgen zu lassen, erfolgsversprechend.

Alle anderen Verantwortlichen, denen diese Maßnahme nicht möglich ist, müssen sich auf die Suche nach einer Rechtsgrundlage begeben. Dabei sind die Ausführungen der DSK keine große Hilfe, sondern verweisen generisch darauf, dass eine der Voraussetzungen des Art. 6 Abs. 1 lit. a bis f oder des § 26 BDSG erfüllt sein müssen. Wie oben angesprochen, werden die Telemetriedaten verschlüsselt an Microsoft versendet. Der Konzern selbst macht nur beispielhafte Angaben über die Diagnosedaten, die man unter den verschiedenen Einstellungsstufen von Windows 10 sammelt. Daneben stellt man einen Diagnosedaten-Viewer zur Verfügung, der aber nur bereits gesendete Diagnosedaten eines Gerätes an Microsoft auflistet. Dem Verantwortlichen dürfte es daher kaum möglich sein, an die relevante Information zu kommen, ob und welche personenbezogenen Daten in den einzelnen Einstellungsstufen der Übertragung von Diagnosedaten an Microsoft fließen. Damit ist die Bestimmung der Rechtsgrundlage unmöglich. Anstatt diesen Punkt deutlich anzusprechen, lässt sich die DSK lediglich unter Punkt C zu folgender Bemerkung hinreißen:

„Konnte nicht festgestellt werden, welche Daten übermittelt werden, so kann auch nicht die Rechtmäßigkeit der Übermittlung festgestellt werden.“

Der Rest der Ausführungen des Schemas gleichen somit einer Farce. Der Vollständigkeit halber geht man kurz auf die zweite Stufe der Prüfung, das angemessene Sicherheitsniveau beim Empfänger im Drittstaat, ein. Dabei bereitet diese keine Probleme, da die EU-Kommission mit dem EU-US Privacy Shield festgestellt hat, dass bei zertifizierten US-Unternehmen wie Microsoft ein angemessenes Schutzniveau für Datenübertragungen gem. Art. 45 DSGVO vorliegt. Einen Seitenhieb in Form des Hinweises auf die eigenen Bedenken gegen den Privacy Shield sowie die aktuell laufenden Gerichtsverfahren, lässt man sich hier dennoch nicht nehmen.

Datenschutz durch Technikgestaltung

Sollte ein Verantwortlicher dennoch auf kreative Art und Weise eine Rechtsgrundlage für die Übermittlung der Telemetriedaten an Microsoft identifiziert haben, stellt einen die rechtliche Prüfung des Art. 25 DSGVO vor das nächste Problem. Denn anders als es die Überschrift vermuten lassen würde, verpflichtet Art. 25 Abs. 1 DSGVO lediglich Verantwortliche und nicht die Hersteller zu Datenschutz durch Technikgestaltung. Letztere werden im Rahmen des EG 78 lediglich ermutigt, dieses Gebot zu beachten, damit der Verantwortliche seiner Datenschutzpflichten nachkommen kann. Verantwortliche haben somit schon bei der Festlegung der Verarbeitungsmittel im Rahmen einer Risikoabwägung geeignete technische und organisatorische Maßnahmen zu treffen, um die in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze umzusetzen.

Dabei ergeben sich bei Windows 10 insbesondere Probleme mit dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO. Dieser verlangt, dass die Verarbeitung personenbezogene Daten auf ein für die Zwecke der Verarbeitung notwendiges Maß beschränkt werden. Die Diagnosedaten werden aber nach eigenen Angaben von Microsoft (s.o.) für eine ganze Reihe von Funktionen verwendet, welche nach Ansicht der DSK über die reine Betriebssystemfunktionalität hinausgehen. Dabei spannt man den Bogen wieder zurück nach oben zu den Ausführungen zur Rechtsgrundlage und weist wenig dezent daraufhin, dass Verantwortlichen eigentlich nur eine Lösung übrigbleibt: Die Übermittlung von Telemetriedaten technisch zu verhindern.

„Da sich derzeit aber nicht alle Übermittlungen an Microsoft durch eine entsprechende Konfiguration deaktivieren lassen, müssen daneben weitere technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen. Neben der technischen Verhinderung der Datenübermittlung von Windows 10 an Microsoft muss wegen dem fortlaufenden Verändern und Hinzufügen von Funktionalität zudem ebenso fortlaufend überwacht werden, ob anlässlich eines Updates eine erneute Prüfung durchgeführt werden muss.“

Datenschutzkonformer Einsatz von Windows 10

Sollten Verantwortliche den Anspruch haben, Windows 10 datenschutzkonform innerhalb Ihres Unternehmens zu nutzen, muss entweder die Übermittlung von jeglichen Telemetriedaten an Microsoft unterbunden werden oder der Verantwortliche muss groß genug sein, um mit dem Konzern eine individuelle Lösung auszuhandeln. Andernfalls bleibt nur noch der Umstieg auf ein datensparsames Betriebssystem. Es stellt sich einem zwangsläufig die Frage, wieso die DSK dieses Ergebnis nicht ausdrücklich ausgesprochen, sondern (anders als etwa im Fall der Orientierungshilfe für Telemedienanbieter) einen „differenzierenden“ Ansatz in Form eines Prüfschemas gewählt hat. Eine Erklärung könnte sein, dass man nicht als Buhmann dastehen möchte. So äußerte sich der BfDI in einem Interview folgendermaßen:

„Es kann passieren, dass wenn wir sagen, dass Windows 10 für bestimmte Aufgaben nicht geht, man dann nicht auf Microsoft sauer ist, sondern auf uns.“

Stattdessen schiebt man den schwarzen Peter in Form eines Prüfungsschemas und unter Verweis auf die Dokumentationspflicht der DSGVO weiter an die Verantwortlichen. Gerade auch aufgrund einer fehlenden, echten Alternative zu Windows 10, dürfte für viele KMUs, welche 99 % der deutschen Unternehmen ausmachen, keine der drei Lösungen ernsthaft in Betracht kommen und diese somit in der Praxis nur widerwillig umgesetzt werden.

Wieso veröffentlicht die DSK dann überhaupt ein solches Dokument? Vergangenen Ereignisse (Stichwort: Facebook Fanpage) legen nahe, dass damit ein Stellvertreterkrieg gegen Microsoft geführt werden soll. Da die deutschen Datenschutzaufsichtsbehörden durch Probleme der DSGVO (One Stop Shop / Kohärenzverfahren) zurzeit nicht direkt gegen das Unternehmen vorgehen können, gehen sie erneut den Umweg über die Nutzer. Sollten Gerichte die im Prüfungsschema angedeutete Auffassung der Aufsichtsbehörden bestätigen und die Nutzung von Windows 10 in der Regel als datenschutzrechtlich unzulässig einstufen, „ermutigt“ man Microsoft durch den potentiell drohenden Nutzerverlust, das Gebot Datenschutz durch Technikgestaltung zu berücksichtigen. Als positives Zeichen kann aufgefasst werden, dass dieser Krieg nach Aussage der LfDI Niedersachsen anscheinend erstmal nicht auf dem Rücken von Unternehmen, sondern auf dem Rücken des öffentlichen Bereichs ausgetragen werden soll. Das diese Strategie durchaus von Erfolg gekrönt sein und für Unternehmen postive Folgen haben kann, zeigen die aktuellen Entwicklungen bei Office 365. So kündigte Microsoft ein Update seiner Online Services Terms für alle Nutzer an, welches die von dem niederländischen Ministerium für Justiz und Sicherheit ausgehandelten Vertragsänderungen wiederspiegeln soll.

Update 28.01.2020: Im aktuellen Tätigkeitsbericht des BayLDA berichtet die Behörde über ihren Test der Windows 10 Enterprise-Version (S.22). Dabei hätte sich die Übertragung von Telemetriedaten komplett deaktivieren lassen. Deshalb zeigt man sich zuversichtlich:

„Sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, dann stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar.“

Verfrühte Aussagen wie die Enterprise-Version sei datenschutzkonform, sind aktuell dennoch mit Vorsicht zu genießen. Das Ergebnis entstand im Labor unter Mitwirkung von 10 Microsoft Mitarbeitern, die alle technischen Fragen beantworten sollten, die bei Analyse aufkamen. Insbesondere fehlen für eine Bewertung Aussagen wie schwer oder leicht das Ergebnis für den einfachen Anwender im Live Betrieb reproduzierbar ist und in welchem Umfang die Microsoft Mitarbeiter Unterstützung oder Erklärungsarbeit leisten mussten. Zudem wurde das Ergebnis noch nicht vom BSI verifiziert. Bei diesem ist aktuell auch noch eine technische Prüfung von Windows 10 anhängig (s.o.).

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

9 Kommentare zu diesem Beitrag

  1. Zunächst mal schiebt man de schwarzen Peter nicht zum Verantwortlichen sondern mal wieder zum betrieblichen DSB. Außerdem, selbst wenn man die Telemetrie ports sperrt, kommuniziert W10 immer noch über Port 80 bzw. über evtl. eingesetzte Proxies mit zu Hause. EU US Privacy Shield reichen bei MS nicht, da weitere Drittländer an Leistungserbringung beteiligt…

  2. Oftmals bleibt ein Wechsel auf Grund von Ressourcen allerdings nicht aus; außerdem haben sicherlich schon viele umgestellt oder tun dies gerade, da der Support von Win 7 Ende des Jahres endet und eine Verlängerung nur mittels zusätzlichem Vertrag unter erheblichen zusätzlichen Aufwendungen möglich ist.

  3. leider geht diese Betrachtung am eigentlichen Problem vorbei, denn wer setzt schon großflächig nur Win10 ein ohne gleich ein MSFT Office für die tägliche Arbeit zu bemühen?
    MSFT hat zu den Telemetrieeigenschaften von Office aktueller Ausprägung zugeben müssen, dass es hier designbedingt noch weitaus schwieriger ist datenschutzkonform arbeiten zu können. Praktisch ist es sogar unmöglich und darauf angesprochene Verantwortliche in großen Unternehmen reagieren fatalistisch „das machen doch alle so, auch wenn es rechtswidrig ist“. Ich würde mir wünschen, das hier der EDPB tätig werden würde, denn so lässt man europaweit Unternehmen im Regen stehen die was „moderneres“ als Office2013 einsetzen wollen. BTW: im Kontext StGB§203 oder Geheimschutz kommt hier eine besondere Würze hinzu.

  4. Um das nach hause telefonieren Datenschutzkonform unterbinden zu können, müsste man fast jeden Serice-Dienst auseinander nehmen um sich vergewissern zu können, das dieser keine Daten an MS sendet. Aber nicht nur MS sammelt ungenehmigt Daten, sondern auch der Anbieter der Sicherheitslösung (Avast plus Co), der Grafiktreiberanbieter wie zB. Nvidia. Als derzeit einzigste Alternative bleibt nur der Umstieg auf Opensource.

  5. Die Lösung ist ein anderes Betriebssystem zu verwenden, und alles was man nicht ohne Windows nicht hinbekommt eine Virtualisierung ohne Netzwerkzugang zu benutzen.

    • Herzlichen Dank für den Hinweis. Wir hatten über den Tätigkeitsbericht und den Test von Windows 10 getwittert, aber vergessen diesen Artikel anzupassen. Das haben wir in Form eines kleinen Updates anlässlich Ihres Kommentars nun nachgeholt.

  6. Bis jetzt immer noch 2 NB’s Windows 7 aus 2009 und 2013 ohne irgendwelche Probleme, seit ich vor 4 Jahren den Updatedienst deaktiviert habe. Jedoch wird man vom Internet Provider zukünftig auf Druck von den Microsoftbandidos sicher gezwungen auf Windofs 10 umzusteigen, weshalb ich dies mit einem NB ACER 3 Windofs10 pro vor 5 Wochen vollzogen hatte. Eine grössere Katastrophe zur Abzocke und danach Psychiatrierung für den Grossteil der Menschheit hat noch kein Herrscher bisher vollbracht. Auf den Datenschutz kackt MS vorsätzlich. Beim Installieren vom Windows 10pro wird ein vorhandenes Mailkonto nicht akzeptiert und man gezwungen ein Outlookkonto bei Outllook.de anzulegen und danach wird auf dem Anmeldebildschirm dieses Konto Namen@outlook.de in Schriftgrösse 50 angezeigt. Ich habe den Verkäufer ein Dutzenmal vergeblich schriftlich auf die Garantieverpflichtung dahin gehend aufgefordert dies mit einer funktionierenden Anleitung zu beheben. Ich habe 63 Minuten mit der Kostenpflichtigen Microsoft .de , verm. mit der Putzfrau telefoniert, welche das Problem mit Uebernahme meines PC’s lösen wollte, jedoch all die Anweisungen welche diese Support-Putzspezialistin gegeben hatte ,hatte ich schon längst und noch mehr durch exerziert bis zum Vergasen, kein Erfolg. Wir sind dann verblieben ,dass mir ein minimal geschulter Windows 10 Profi mir eine detaillierte Anleitung zur Entfernung dieses vorsätzlichen Datenmissbrauches per Mail zu sendet. Ja denkste, beim Microsoft werden nur noch Laferis und andere Kriminelle beschäftigt ,welche weniger Ahnung habenvon diesem Shit als ein 80 Jähriger Neuling von Windows 10. Es ist höchste Zeit dass gegen Microsoft wiederholt eine Milliardenklage eingereicht wird und jeder der diesen neu verordneten Schrott gekauft hat, davon mind. 2000 Euros als minimale Entschädigung für die Tausenden von Stunden Aerger und Verdruss ohne Ende per Post überwiesen werden muss, damit dieser Verbrecherorganisation mal Halt geboten werden kann. Wer geht gegen Microsoft in dieser Hinsicht endlich vor Gericht?
    mfg der Wutentbrannte Microsofhater

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.