Die Datenschutzkonferenz (DSK) hat auf ihrer 98. Sitzung am 6. und 7. November 2019 in Trier verschiedene Entschließungen und Beschlüsse gefasst.
Unter anderen geht es dabei um die automatisierte Übertragung sogenannter Telemetriedaten bei Windows Betriebssystemen. Die Konferenz hat im Nachgang auf hochrangiger Ebene Gespräche mit Vertretern von Microsoft geführt. Ziel war es unter anderem, den Personenbezug von Nutzungsdaten zu vermindern. In diesem Zusammenhang hat die Datenschutzkonferenz ein Prüfschema für das Betriebssystem Windows 10 veröffentlicht.
Wichtig ist das Papier der DSK für alle Unternehmen, die Windows 10 einsetzen. Und immerhin liegt nach Zahlen von “Netmarketshare” Windows 10 im Oktober 2019 unangefochten an der Spitze. Das Betriebssystem hat einen stolzen Marktanteil von 54,32 %. Nach Windows 10 kommt lange nichts. Auf Platz 2 ist zurzeit Windows 7 mit 26,90 %.
TOMs zur Risikominimierung bei Windows 10
Die DSK stellt dabei fest, dass durch die zahlreichen, über die reine Betriebssystemfunktionalität hinausgehenden Funktionen und die damit verbundenen Datenübertragungen das Risiko besteht, dass personenbezogene Daten von Beschäftigten oder sonstigen betroffenen Personen unrechtmäßig an Microsoft übermittelt werden. Diesem Risiko muss laut DSK mit angemessenen technisch-organisatorischen Maßnahmen begegnet werden.
Wird Windows 10 eingesetzt, dann sind auch diesbezüglich alle Anforderungen der DSGVO zu prüfen und deren Einhaltung sicherzustellen. Das Prüfschema soll Verantwortlichen die Möglichkeit geben, die datenschutzrelevanten Fragen im Zusammenhang mit dem Einsatz von Windows 10, vor allem was die Übertragung von Telemetriedaten und die Update-Konfiguration angeht, zu bewerten.
In dem Prüfschema der DSK heißt es dazu:
Mit dem eingesetzten Betriebssystem müssen die„Grundsätze“ des Datenschutzes eingehalten werden können. Wesentliche Prüfungsinhalte ergeben sich aus Art. 5 Abs. 1 DSGVO. Die Verarbeitung muss rechtmäßig erfolgen, sie darf nicht gegen Treu und Glauben verstoßen, muss transparent sein, die Zweckbindung wahren, dem Grundsatz der Datenminimierung entsprechen, nicht zur Unrichtigkeit von Daten führen, dem Grundsatz der Speicherbegrenzung entsprechen und die Integrität und Vertraulichkeit müssen durch angemessene technische und organisatorische Maßnehmen gewahrt werden. Die Einhaltung der Grundsätze ist nach Art. 5 Abs. 2 DSGVO zu dokumentieren (Nachweispflicht des Verantwortlichen).
Für die Auswahl eines Betriebssystems ergibt sich aus diesen Normen für die Verantwortlichen, dass sie unter den auf dem Markt verfügbaren Betriebssystemen nur diejenigen einsetzen dürfen, welche die Datenschutzgrundsätze einhalten und dies im Rahmen der Rechenschaftspflicht dokumentieren müssen. Sofern diese Anforderungen nur durch ein Betriebssystem auf dem Markt erfüllt würden, stünde dem Verantwortlichen kein Entscheidungsspielraum bei der Auswahl zu. Sofern mehrere Betriebssysteme diese Anforderungen erfüllen oder durch eine entsprechende Konfiguration oder zusätzliche technische und organisatorische Maßnehmen erfüllen können, kann der Verantwortliche aus datenschutzrechtlicher Sicht frei zwischen diesen Betriebssystemen wählen.
Manuelle Konfiguration und Überwachung erforderlich
Bei der Auswahl der Maßnahmen zur Verhinderung der Offenlegung von personenbezogenen Daten sind also neben der Höhe des Risikos, der Stand der Technik und die Implementierungskosten zu berücksichtigen. In Betracht kommt zunächst die datensparsame Konfiguration von Windows 10. Da Windows 10 bei der Standardinstallation nicht entsprechend vorkonfiguriert ist, muss der Verantwortliche selbst ran.
Da sich derzeit aber nicht alle Übermittlungen an Microsoft durch eine entsprechende Konfiguration deaktivieren lassen, müssen daneben weitere technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen. Neben der technischen Verhinderung der Datenübermittlung von Windows 10 an Microsoft muss wegen dem fortlaufenden Verändern und Hinzufügen von Funktionalität zudem ebenso fortlaufend überwacht werden, ob anlässlich eines Updates eine erneute Prüfung durchgeführt werden muss.
Übersicht über die Prüfung des Einsatzes von Windows 10
Abschließend nennt die DSK 7 Prüfungspunkte, die es abzuarbeiten gilt:
- Beschreibung der Verarbeitungstätigkeit im Verarbeitungsverzeichnis
- Prüfung der Rechtmäßigkeit der Datenübermittlungen
- Auswahl angemessener Maßnahmen
- Restrisikobewertung
- Implementierung der Maßnahmen und Überprüfung ihrer Wirksamkeit
- Nutzung von Windows 10
- Update
Fazit
Das Betriebssystem wird meiner Wahrnehmung nach von vielen Unternehmen weder im Verarbeitungsverzeichnis aufgeführt, noch einer DSGVO-Prüfung unterzogen. Man denkt an alle möglichen Tools und Dienste, die in der IT genutzt werden, aber zuletzt an die Plattform, auf der alles abläuft. Daher ist im ersten Schritt zu prüfen, ob das Betriebssystem bislang bei der DSGVO-Compliance überhaupt eine Rolle spielt.
Dann ist das Prüfschema und die Vornahme der erforderlichen manuellen Einstellungen eine wichtige Hilfe, um das Betriebssystem fit zu machen für den weiteren Einsatz im Unternehmen.
Nicht zu vergessen sind dabei die Beschäftigten und die Übermittlung deren Daten an Microsoft. Im Beschäftigtendatenschutz gilt der Grundsatz der Erforderlichkeit. Das heißt, dass die Übermittlung personenbezogener Daten von Beschäftigten an Microsoft für die Durchführung der Beschäftigungsverhältnisse erforderlich sein müsste. Es ist daher stets zu prüfen, ob der Zweck der Verarbeitung auch mit weniger intensiven Maßnahmen in etwa gleich gut erreicht werden kann. Es mag daher durchaus sein, dass man im Ergebnis das Betriebssystem (zumindest so) gar nicht nutzen darf.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man
