DSGVO und Windows 10 Einsatz im Unternehmen

DSGVO und Windows 10 Einsatz im Unternehmen

Die Marktverbreitung der Windows 10 Versionsfamilie ist inzwischen weit fortgeschritten und verschiedene Windows-10-Versionen, wie Home, Professional oder Enterprise, befinden sich im betrieblichen Einsatz.

Wie die Deutsche Datenschutzkonferenz in ihrem Positionspapier zum datenschutzkonformen Einsatz von Windows 10 festhält, unterscheiden sich sowohl die Betriebssystemarchitektur als auch die Release Strategie von Windows 10 sehr deutlich von den Vorgängerprodukten. [1]

Datenschutzrechtliche Aspekte beim Win10-Einsatz

Aus datenschutzrechtlicher Sicht ist dabei auf die folgenden Aspekte ein besonderes Augenmerk zu legen:

  • Windows 10 ist nicht mehr ein reines Betriebssystem sondern eine „Systemumgebung“, die neben dem eigentlichen Betriebssystem eine Vielzahl von zusätzlichen Funktionalitäten enthält. Diese können zwar individuell konfiguriert werden, wobei bei einer Standardinstallation je nach eingesetzter Produktversion nicht die datenschutzfreundlichste Voreinstellung vorhanden ist. Ob dabei das Prinzip „Data Protection by Default“ verletzt wird, ist in jedem Fall zu prüfen.
  • Jedes Update (insbesondere Funktionsupdates) kann dazu führen, dass Konfigurationseinstellungen verändert werden und sich der Funktionsumfang ändert. Dies führt dazu, dass ein „neues“ Produkt vorliegt, dessen Einsatz erneut auf die datenschutzrechtliche Zulässigkeit geprüft werden muss.
  • Die Datenübermittlung von Windows 10 an Microsoft kann durch alleinige Einstellungen in Windows 10 nicht vollständig unterbunden werden. Da die Übertragung verschlüsselt an Microsoft erfolgt, ist nicht abschließend festzustellen, ob und wenn ja, welche personenbezogenen Daten an Microsoft übermittelt werden.

Die Datenschutzgrundverordnung (DS-GVO) verlangt von Verantwortlichen beim Einsatz von Windows 10, die datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustellen. Dies bedeutet für den Verantwortlichen einen erheblichen Aufwand.

Keine Übermittlung von Telemetriedaten im Level “Security”

Die bayrische Datenschutzaufsicht beschreibt in ihrem 9. Tätigkeitsbericht die Ergebnisse einer datenschutzrechtlichen Bewertung der Datenflüsse an Microsoft beim Einsatz von Windows 10. Dabei wurde das System mit von Microsoft offiziell zur Verfügung gestellten Informationen und Tools so konfiguriert, dass das Telemetrielevel „Security“ eingestellt war und möglichst alle Datenflüsse deaktiviert werden konnten.

Im Rahmen der durchgeführten Labor-Analyse wurde festgestellt, dass die Telemetriedaten von einem Windows 10 Rechner mit der Enterprise-Version (Version 1909) komplett deaktivierbar sind. Ausschließlich Aufrufe an (Microsoft-)Server, die aktuelle kryptographische Zertifikate liefern, waren durch diese Konfiguration nicht abschaltbar, da diese für einen tagesaktuellen sicheren Betrieb eines Windows 10-Systems (z. B. bei Rückruf eines ungültig gewordenen SSL-Wurzelzertifikates) erforderlich sind. Auch diese Aufrufe können durch gezielte Systemkonfigurationen unterbunden werden, wenngleich ein solches Vorgehen aus Gründen der Sicherheit keineswegs empfehlenswert ist. [2]

Dei Behörde vermerkt abschließend, dass “sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, dann stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar.

Anmerkungen

  • Der ausgestellte Persilschein für die Übertragung von Telemetriedaten gilt nur für die Enterprise-Version und vorbehaltlich der Bestätigung der Laborergebnisse in der Praxis;
  • Der Einsatz von Windows 10 Pro bzw Home, bei denen die Erhebung und Übermittlung von Telemetriedaten lt BayLDA zwar reduziert, aber nicht komplett abgeschaltet werden können, ist vom Verantwortlichen aus datenschutzrechtlicher Sicht gesondert zu bewerten;
  • Empfehlenswert ist es, vor dem Einsatz oder nach dem Update von Windows 10 Versionen die aktuellen Einstellungen zur Erhebung und Übermittlung von Telemetriedaten zu prüfen und gegebenenfalls zu deaktivieren;

Quellen:

[1] Positionierung der DSK zum datenschutzkonformen Einsatz von Windows 10, DSK, 2019

[2] 9. Tätigkeitsbericht der Bayerisches Landesamt für Datenschutzaufsicht, BayLDA, 2020