Microsoft bietet mit Windows seit den 1980ern das dominante Betriebssystem für PC und Laptop. Mit Windows 10 hat sich das Geschäftsmodell gegenüber den Vorgängerversionen auch dahingehend verändert, dass Microsoft immer mehr Daten abgreift und diese Daten monetarisieren möchte.
Beim Einsatz im Unternehmen fordern die Behörden nun eine Prüfung durch den Verantwortlichen.

Problem(e) mit der Datenübertragung

Das Betriebssystem Windows 10 von Microsoft ist von Haus aus so konzipiert, dass eine ständige, teilweise verschlüsselte, Verbindung vom PC zu Microsoft besteht.

Problematisch ist, dass sich diese Verbindungen, die beispielsweise auch für Werbung genutzt werden, nicht auf einfache Weise deaktivieren lassen.

Wenn Microsoft also Daten (mehr ungefragt als gefragt) absaugt und sich diese Funktion nicht abstellen lässt, gibt es ein Problem mit der Datenschutz-Grundverordnung.

Problemstellung

Windows greift permanent Daten vom PC ab und versäumt es, abschließend konkret zu werden, welche Daten unkontrollierbar zu Microsoft fließen.

Das betrifft den Datenschutz auf zweierlei Weise, da hier auch personenbezogene Daten mit einbezogen sein können:

1. Die des Anwenders – es lassen sich Profile erstellen und Gewohnheiten überwachen
   
   
2. Die Daten auf dem Rechner – es lässt sich nicht zu 100% ausschließen, dass gespeicherte Dateien ausgelesen, übertragen oder ausgewertet werden.

Problem des Anwenders

Die meisten Anwender verstehen das Betriebssystem als ein einfaches Werkzeug.
Das dabei quasi Microsoft über die Schulter schauen und kontrollieren kann, ist den wenigsten Usern bewusst.

Problem Art. 25

Als Verantwortlicher, z. B. Geschäftsführer oder Inhaber, haben Sie nun Handlungsbedarf.
Artikel 25 Abs. 1 DSGVO verpflichtet zunächst den Verantwortlichen (und nicht die Hersteller!) zu Datenschutz durch Technikgestaltung.

Sie als Geschäftsführer müssen also sicherstellen, dass Sie Windows 10 DSGVO-konform im Unternehmen einsetzen.

Problem des Mittelstands, SMB / KMU

Windows 10 hat durch seine Marktmacht eine Art Monopol, dem sich nur globale Unternehmen oder Behörden entziehen können.
Alle Anderen müssen Windows nehmen, wie es ausgeliefert wird und haben dabei die Aufgabe, es datenschutzfreundlich einzustellen.

Datenschutzkonferenz: Prüfschema für Windows 10

Die DSK (Datenschutzkonferenz der unabhängigen Aufsichtsbehörden) hat nun ein Prüfschema vorgelegt, dass Verantwortliche nutzen sollen um festzustellen, ob Windows 10 im Unternehmen rechtmäßig eingesetzt werden kann.

Die Fragestellung klingt ob des Marktanteils von Windows (einhergehend mit der dadurch gelebten Praxis) eher als rhetorisch, aber sie stellt sich.

Anforderung an den Verantwortlichen

Bei all den Bemühungen und Ausführungen findet sich ein Punkt, der den großen Teil der Firmen vor ein unlösbares Problem stellt.

Unter Punkt C. Absatz 2 wird beschrieben, dass der Verantwortliche die Rechtmäßigkeit der Datenübermittlung an Microsoft prüfen soll. Dann heißt es wörtlich:

Konnte nicht festgestellt werden, welche Daten übermittelt werden, so kann auch nicht die Rechtmäßigkeit der Übermittlung festgestellt werden.

In Punkt A. des Dokuments heißt es dabei:

Verschiedene Untersuchungen zeigen allerdings, dass es aktuell nicht möglich ist, die Datenübertragung durch Konfiguration von Windows 10 vollständig zu unterbinden. Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor.

Somit wird es für den Verantwortlichen zu einer besonderen Herausforderung, diese Anforderung zu erfüllen – und zwar ständig nach jedem Update.

Konsequenz

Die Firma hat nun folgende Möglichkeiten:

• Mit Microsoft verhandeln

• Auf Netzwerkebene den Datenfluss zu filtern

• Auf Windows PCs keine personenbezogenen Daten verarbeiten

• Darauf warten, dass Microsoft die Telemetrie komplett abschaltbar macht

Interessant ist eine Empfehlung, den der DSK-Prüfbericht mitbringt. Auf der einen Seite wird festgestellt, dass sich Windows 10 mit jedem neuen Update anders in Sachen Einstellungen verhalten kann und auf der anderen Seite wird für datenschutzfreundliche Konfigurationseinstellungen auf auf ein Dokument des Arbeitskreises Informationssicherheit der deutschen Forschungseinrichtungen verwiesen. Die Ausführungen sind aber von 2016, siehe: https://www.it-sicherheit.mpg.de/Orientierungshilfe_Windows10.pdf

Die Grenzen, in den Windows 10 rechtskonform genutzt werden kann, sind eng gesteckt.

Als wirksamste Konsequenz bleibt dabei der Wechsel auf ein Betriebssystem, das komplett vom Verantwortlichen kontrolliert werden kann.

Empfehlungen für die Praxis

Beim Einsatz von Windows in Firmen sollten als verbindliche Vorgabe, z. B. durch eine IT-Richtlinie, mindestens die zum Datenschutz angebotenen Punkte datenschutzfreundlich eingestellt sein.

Dazu gehören unter anderem:

• Verwendung eines lokalen Kontos (Offlinekonto)

• OneDrive deaktivieren

• Spracherkennungsdienste (Cortana) und Eingabevorschläge deaktivieren

• Verwendung der Werbe-ID deaktivieren

• Positionserkennung / „Mein Gerät suchen“ deaktivieren

• Aktivitätsverlauf deaktivieren

• Diagnosedaten senden auf „einfach“ setzen und nicht verwenden lassen

Diese Punkte werden am besten schon bei der Installation gesetzt, Korrekturen lassen sich später in den Einstellungen unter „Datenschutz“ vornehmen.

Zusätzlich muss dann der Einsatz von Windows 10 im Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgeführt sein.

Fazit

Es ist eine für den Verantwortlichen kaum zu leistende Aufgabe, Windows zu 100% DSGVO-konform einzusetzen. Gleichzeitig fordern aber die Behörden genau das ein.

Ein gesunder Markt würde hier helfen, Microsoft schnell zu einem Umdenken zu bringen. Solange aber die Behörden auch selbst auf Windows setzen, wird dieser Prozess weiter andauern. Gespräche in dieser Richtung werden jedenfalls (siehe hier) geführt.

Wer als Verantwortlicher nachweist, dass er zumindest die minimalen Einstellungen von Windows zum Datenschutz passend einstellt, wird wohl nicht direkt mit Bußgeldern in Millionenhöhe rechnen müssen…

Es ist dabei schon die grundsätzliche Handhabe von Microsoft, die Firmen aufhorchen lassen sollte. Im professionellen Umfeld wird vornehmlich die Pro-Version eingesetzt und entsprechend bezahlt. Trotzdem enthält diese Version auch die Werbe ID und zeigt per se Werbung an.
Ein Zeichen, dass Microsoft gewillt ist, mit den Daten seiner Nutzer Geld zu verdienen und alles dafür tut, so viele Daten wie möglich abzugreifen.

Es bleibt die Frage, in wie weit sich ein Betriebssystem, dass sich als „professionell“ deklariert, in diesem Fall auch ist.
Und die Gretchenfrage. Das Prüfschema mit seinen Anwendungshinweisen macht auf ein großes Problem aufmerksam, vermag es aber nicht, für die aktuell gelebte Praxis Lösungen zu liefern.

Auch wenn es vermutlich erstmal nicht zu drastischen Strafen für den Einsatz von Windows 10 kommen wird, ist es langfristig geshen das sicherste, alternative Bestriebssysteme auf einen Einsatz im Unternehmen hin zu prüfen.

Auf jeden Fall ist es für den Verantwortlichen wichtig, das Dokument zum Pruefschema zu kennen und zumindest auf die firmeninterne Situation hin zu bewerten.

Link: Prüfschema Datenschutz bei Windows 10
https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf

Link: Anwendungshinweise zum Prüfschema Datenschutz bei Windows 10
https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pr%C3%BCfschema_hinweise_dsk.pdf