Auftrag: Positionierung der DSK zum datenschutzkonformen Einsatz von Windows 10

Datenschutzrisiken moderner Betriebssysteme wurden bereits mehrfach in der DSK beraten. Die 90. DSK hat im Herbst 2015 die Entschließung zu Cloud-unterstützten Betriebssystemen verabschiedet.

Im Jahr 2017 hat das LDA Bayern auf Grundlage der alten Rechtslage des BDSG a.F. einen Prüfbericht zu Windows 10 im Unternehmensumfeld veröffentlicht. Dabei wurde unter anderem die Frage formuliert, „ob Microsoft auf die Kritik der Nutzer und anderer europäischer Datenschutzbehörden, die Windows 10 Home und Professional prüfen, reagiert und bei der Fortentwicklung von Windows 10 datenschutzrechtliche Verbesserungen vorsehen wird“.

Auch das BSI hat sich im November 2018 intensiv mit Sicherheitsmängeln von Windows 10 befasst (BSI-Studie SiSyPHuS). Ein Schwerpunkt der Untersuchungen betraf die Analyse der Telemetrie Komponenten. Dabei kommt das BSI zum Ergebnis, dass sich selbst in der höchsten Sicherheitsstufe (Telemetrie-Level Security) nicht alle Datenübertragungen an Microsoft unterbinden lassen. Die SiSyPHuS-Win10-Studie des BSI adressieren dabei auch datenschutzrechtliche Risiken.

Die Marktverbreitung der Windows 10 Versionsfamilie ist inzwischen weit fortgeschritten. Im Konsumersektor, in der gewerblichen Wirtschaft sowie auch in weiten Teilen der öffentlichen Verwaltungen von Bund, Ländern und Kommunen - letztere begünstigt durch Rahmenverträge, Architektur- und Beschaffungsentscheidungen (insb. Rahmenvertragsverhandlungen 2018 des Bundes) - sind die verschiedenen Windows-10-Versionen ausgerollt worden. Zahlreiche weitete Migrationen dürften in den Jahren 2019 und 2020 im professionellen Einsatz erfolgen.

Aus technischer Sicht unterscheiden sich sowohl die Betriebssystemarchitektur als auch die Release Strategie von Windows 10 sehr deutlich von den Vorgängerprodukten. Aus datenschutzrechtlicher Sicht ist dabei auf die folgenden Aspekte ein besonderes Augenmerk zu legen:

• Windows 10 ist nicht mehr ein reines Betriebssystem sondern eine „Systemumgebung“, die neben dem eigentlichen Betriebssystem eine Vielzahl von zusätzlichen Funktionalitäten enthält. Diese können zwar individuell konfiguriert werden, wobei bei einer Standardinstallation je nach eingesetzter Produktversion nicht die datenschutzfreundlichste Voreinstellung vorhanden ist. Ob dabei das Prinzip „Data Protection by Default“ verletzt wird, ist in jedem Fall zu prüfen.
• Jedes Update (insbesondere Funktionsupdates) kann dazu führen, dass Konfigurationseinstellungen verändert werden und sich der Funktionsumfang ändert. Dies führt dazu, dass ein „neues“ Produkt vorliegt, dessen Einsatz erneut auf die datenschutzrechtliche Zulässigkeit geprüft werden muss.
• Die Datenübermittlung von Windows 10 an Microsoft kann durch alleinige Einstellungen in Windows 10 nicht vollständig unterbunden werden. Da die Übertragung verschlüsselt an Microsoft erfolgt, ist nicht abschließend festzustellen, ob und wenn ja, welche personenbezogenen Daten an Microsoft übermittelt werden.

Die Datenschutzgrundverordnung (DS-GVO) verlangt von Verantwortlichen beim Einsatz von Windows 10, die datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustellen. Dies bedeutet für die Verantwortlichen derzeit einen erheblichen Aufwand. Er ließe sich minimieren, wenn Microsoft den Verantwortlichen einfache Möglichkeiten insbesondere zur permanenten Deaktivierung aller Datenübermittlungen bereitstellen würde.

Die DSK hat sich entschlossen, dem Arbeitskreis Technik den Auftrag zu erteilen, eine datenschutzrechtliche Positionierung zum Einsatz von Windows 10 zu erarbeiten und diese zur Grundlage eines weitergehenden, vom LDA Bayern zu koordinierenden Dialoges mit Microsoft zu datenschutzrechtlichen Fragestellungen zum Produkt Windows 10 zu machen.