Windows 10 und Datenschutz: Der Eiertanz der Aufsichtsbehörden

Fachbeitrag

Die saarländische Aufsichtsbehörde äußert sich in ihrem Tätigkeitsbericht zum Thema Windows 10. Weshalb man mittlerweile häufig mit den Augen rollt, wenn Aufsichtsbehörden das Thema Windows 10 anfassen, beleuchtet dieser Artikel.

Wie ein Tinnitus im Ohr

Im kürzlich veröffentlichten 28. Tätigkeitsbericht der saarländischen Aufsichtsbehörde für das Jahr 2019, gibt diese Windows-10-Anwendern, und damit etwa 90-99 % aller Unternehmen in Deutschland, auf Seite 72 folgende Weisheit mit auf den Weg:

„Es ist notwendig, dass für jede Verarbeitungstätigkeit unter Nutzung des Betriebssystems Windows 10 geprüft wird, welche personenbezogenen Daten in welchem Umfang verarbeitet werden und welche personenbezogenen Daten für welche Zwecke an Microsoft übermittelt werden. Daran anschließend ist zu prüfen, welche Rechtsgrundlage für die Übermittlung personenbezogener Daten an Microsoft vorhanden ist. Fehlt es an einer solchen, ist die Übermittlung datenschutzrechtlich nicht zulässig.“

Diese Sätze lassen einen ratlos zurück. Was bedeutet das nun für den Anwender? Darf man bestimmte Datenkategorien mit Windows 10 verarbeiten…andere jedoch nicht? Und welche Daten werden überhaupt an Microsoft übermittelt? Dann ist da noch die Mutter aller Fragen: Was macht man eigentlich, wenn man zu dem Ergebnis kommt, dass ein datenschutzkonformer Einsatz von Windows 10 nicht möglich ist…muss man dann bestimmte Funktionalitäten ausstellen (geht das überhaupt?) oder im schlimmsten Fall auf Linux ausweichen, während alle Mitbewerber weiterhin ungeniert Windows 10 nutzen?

Die Aufsichtsbehörden verhalten sich beim Thema Windows 10 wie Tinnitus: Ein ewig dahinsummendes Hintergrundgeräusch, das einen stetig daran erinnert, dass etwas mit dem Ohr – pardon, der Datenverarbeitung auf den genutzten Computern – möglicherweise nicht stimmt.

Das Betriebssystem und seine Telemetriedaten

Ein Betriebssystem ist zunächst einmal schlicht ein Bordmittel zur Datenverarbeitung. Ohne ein Betriebssystem hat ein Computer in etwa den Funktionsumfang eines Briefbeschwerers, kurz: Ohne Betriebssystem keine automatisierte Datenverarbeitung. Problematisch ist, wenn das Betriebssystem sogenannte „Telemetriedaten“ an den Hersteller funkt, bei Windows 10 also an die Microsoft Inc. aus Redmond. Im Grunde handelt es sich bei Telemetriedaten um Daten einer Fernmessung, im Kontext von Windows 10 daher über den Zustand des Betriebssystems. Doch welche konkreten Daten fallen genau hierunter? Bei Windows 10 scheinen Art und Umfang der Telemetriedaten eine Wissenschaft für sich zu sein. Telemetriedaten können selbstredend eine datenschutzrechtliche Relevanz haben. Um die datenschutzrechtliche Erheblichkeit zu bewerten, müsste man jedoch wissen, welche Telemetriedaten überhaupt an den Hersteller übermittelt werden.

Datenschutzrechtliche Bewertung nicht möglich

Die saarländische Aufsichtsbehörde stellt hierzu fest:

„Für die Übertragung von bei der Nutzung von Windows 10 anfallenden Telemetriedaten an Microsoft konnte bis zum Ende des Berichtszeitraums nicht abschließend geklärt werden, welche Datenkategorien betroffen sind. Eine datenschutzrechtliche Bewertung war unter dieser Voraussetzung nicht möglich.“

Der Aufsichtsbehörde war also eine datenschutzrechtliche Bewertung des Einsatzes nicht möglich, aber der Anwender soll sie vornehmen. Freundlicherweise kriegt dieser auch direkt ein Prüfschema des DSK mit an die Hand.

Wenig überraschend fischt auch dieses hinsichtlich der Telemetriedaten weiter im Trüben. So heißt es hier auf Seite 7:

„Es werden eventuell auch personenbezogene Daten (z. B.IP-Adresse, Nutzerkonto, Position, Nutzerverhalten, Internetaktivität, Präferenzen, Suchaktivitäten und weitere) übermittelt. Dabei werden die Daten zum Teil verschlüsselt übertragen. […] Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor.“

Man weiß im Grunde nichts, aber losprüfen sollen die Anwender trotzdem.

Exemplarisch hierfür ist auch dieser Satz im Prüfschema:

„Konnte nicht festgestellt werden, welche Daten übermittelt werden, so kann auch nicht die Rechtmäßigkeit der Übermittlung festgestellt werden.“

Warum soll überhaupt der Anwender die Rechtmäßigkeit von Telemetriedaten-Schnüffeleien durch Microsoft rechtlich bewerten und feststellen? Bestimmt hier nicht Microsoft alleine über Zwecke und Mittel der Verarbeitung und ist für diese Datenerhebung selbst verantwortlich?

Man kann sich des Eindrucks nicht erwehren, dass der Anwender mit wortreichen Ausführungen im Grunde alleine gelassen wird.

Testszenario mit der Facharbeitsgruppe

Um bei der Sache mit den Telemetriedaten etwas Licht ins Dunkeln zu bringen, hat die Datenschutzkonferenz, wie sich auf S. 22 des 9. Tätigkeitsberichts des BayLDA nachlesen lässt, eine Unterarbeitsgruppe mit dem Namen „Windows 10“ des Arbeitskreises Technik gegründet.

Hierbei wurde im Beisein von 10 extra eingeflogenen Microsoft-Mitarbeitern festgestellt, dass sich in der Windows-Version „Enterprise“ die ungefragte Übermittlung von Telemetriedaten (der konkrete Umfang wurde auch hier nicht näher erörtert), ausstellen lässt. Im Schlussabsatz heißt es hierzu:

„Sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, dann stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar. Wie dagegen der Einsatz von Windows 10 Pro bei Verantwortlichen zu bewerten ist, bei dem die Telemetriedaten zwar reduziert, aber bekanntlich nicht komplett abgeschaltet werden können, könnte möglicherweise ein weiterer Arbeitsauftrag der Datenschutzkonferenz (DSK) werden.“

Übersetzt heißt dies: Wir wissen im Grunde nicht, ob sich unsere Ergebnisse auf den „realen Einsatz“ 1:1 übertragen lassen. Bei der Nutzung der teuersten Windows-Version und der richtigen Konfiguration gibt es zumindest keine datenschutzrelevanten Probleme. Möglicherweise prüfen wir irgendwann einmal in der Zukunft auch die relevanten Windows-Versionen.

Warum wurde nicht von vornherein die erschwinglichere und viel häufiger anzutreffende Windows-Pro-Version durchleuchtet? Weshalb lässt sich die Telemetrie-Datenübermittlung, die offensichtlich bei dem Luxusmodell ohne Einschränkung der Funktionsfähigkeit möglich ist, nicht bei günstigeren Windows-Versionen (Pro & Home) ausschalten? Wieso wird dieses nicht von den Aufsichtsbehörden kritisch hinterfragt?

Und wieso ist Windows 10 überhaupt so umfassend konfigurierungsbedürftig, um datenschutzkonform betrieben werden zu können? Hinsichtlich der erhobenen Telemetriedaten dürfte Microsoft selbst datenschutzrechtlich Verantwortlicher sein (s.o.). Und damit dürften Microsoft als Verantwortlichen, der Niederlassungen in Europa hat (Art. 3 Abs.1 DSGVO), als auch Windows 10 direkt im europäischen Wirtschaftsraum anbietet (Art. 3 Abs.2 DSGVO) dieselben datenschutzrechtlichen Pflichten (hier insbesondere das Gebot der Datenminimierung und der datenschutzfreundlichen Voreinstellung) treffen, welche die Aufsichtsbehörden ständig von den Windows-10-Anwendern einfordern.

Fromme Wünsche

Hier würde man sich wünschen, dass die Aufsichtsbehördlich endlich einmal dazu übergehen, sich nicht ständig zu fragen, was die Anwender von Windows 10 besser machen können, sondern wie der Hersteller solcher Systeme zu datenschutzkonformen Verhalten erzogen werden können. Liegt einem ein datenschutzkonformer Umgang mit Windows 10 am Herzen, gibt es 2 Wege: Der Weg über den Hersteller von Windows 10 und der Weg über die Anwender. Die unzähligen Anwender in die Pflicht zu nehmen, erscheint wie ein Kampf gegen Windmühlen: Jeder mühsam konfigurierten datenschutzkonformen Einstellung stehen 10 datenschutzwidrige Konfigurationen entgegen.

Wäre es im Sinne des Datenschutzes nicht effizienter, das Problem endlich an der Wurzel zu packen, anstatt eine wortreiche und wenig hilfreiche Einlassung nach der anderen zum Thema Windows 10 zu veröffentlichen? Auch muss man sich über die Selbstverständlichkeit wundern, mit der Anwender aufgefordert werden, die getroffenen Datenschutzeinstellungen regelmäßig zu überprüfen, die durch Windows-Updates möglicherweise pulverisiert wurden. Ist es nicht ein Unding, dass überhaupt mühsam vorgenommene datenschutzfreundliche Einstellungen durch Updates zunichtegemacht werden? Man hat zuweilen den Eindruck, dass immer nur die Anwender in die Pflicht genommen werden und der eigentliche Sündenbock unbehelligt weiter sein Spiel treiben kann.

Wie ernst es Microsoft mit dem Datenschutz nimmt, sieht man etwa am neuerdings eingeführten Kontozwang für Windows 10. Will man Windows 10 ohne Microsoft-Benutzerkonto installieren, muss man neuerdings das Internetkabel aus dem Gerät ziehen, um der Erstellung eines Kontos zu entgehen. Nutzt man bei der Installation Wlan und hat während der Installation unbedarft sein Wlan-Passwort eingegeben, bleibt einem regelmäßig nur noch, den Router-Stecker zu ziehen, um eine Installation ohne Einrichtung eines Online-Kontos zu vermeiden, denn das Wlan lässt sich im Installationsmenü nicht mehr am Gerät selbst ausschalten.

Windows 10 und Datenschutz in a Nutshell

Windows-10-Anwendern, egal von welcher Version, sollten daher folgende Hinweise beherzigen:

  • Windows 10 sollte so datensparsam wie möglich konfiguriert werden. Telemetriedaten sollten – soweit möglich – ausgeschaltet werden oder zumindest auf das Minimalsetting gesetzt werden.
  • Nach Updates ist zu überprüfen, ob die datenschutzrechtlichen Einstellungen durch das Update rückgängig gemacht wurden.
  • Alle getroffenen Einstellungen sollten dokumentiert werden (Art. 5 Abs.2 DSGVO).
intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

6 Kommentare zu diesem Beitrag

  1. Sie sprechen mir aus dem Herzen! Wenn wir in Europa die amerikanischen Softwarehersteller und Internetdienst abschalten würden, wäre wir wieder in der Steinzeit. Die Datenschutzbehörden sollen, wie von Ihnen beschrieben, die Hersteller anhalten nach zu bessern und den Anwendern kein schlechtes Gefühl geben. Dadurch schalten gerade kleine und mittelständige Unternehmen einfach ab und am Ende sinkt das Datenschutz Niveau noch mehr. Ich bin schon froh wenn meine Kunden eine vernünftige User- und Rechteverwaltung haben. Wenn ich denen erzähle, das Sie mit Windows 10 und erst recht mit Office 365 solche Themen haben, schütteln die nur mit dem Kopf.

    Noch besser in den Zeiten von Corona, wo ganz Schulträger Microsoft Teams nutzen, damit überhaupt was geht.

    Wahnsinn!!

  2. Dann hat sich ja nicht wirklich etwas an Ihrer Einschätzung oder der der Behörden seit Ende November geändert: https://www.dr-datenschutz.de/windows-10-und-der-datenschutz/.
    Darin erläutern sie ja auch, warum das Unternehmen für die Verarbeitungsvrogänge rechtlich einzustehen hat. Ich halte auch den ständige Phrasendrescherei nach dem Sinn, gegen den Nutzer vorzugehen, verfehlt. An dem Thema gibt es spätestens seit dem BVerwG-Urteil zu Fanpages nichts mehr zu rütteln. Die Behörde hat im Ordnungsrecht ein Entschließungs- und Auswahlermessen und Ihr Vorschlag gegen Windows vorzugehen, ist momentan praktisch nicht möglich.Oder wie stellen Sie sich das vor? Dulden wir einfach noch weitere 10 Jahre das rechtswidrige Verhalten beider Seiten, weil es sonst zu Unannehmlichkeiten kommen mag. Zumal, haben Sie der Strategie im letzten Beitrag nicht noch bescheinigt, dass diese durchaus von Erfolg gekrönt sein kann. Das hört sich nicht nach einem Kampf gegen Windmühlen an.

    • Der Artikel Windows 10 und der Datenschutz von Ende November 2019 geht im Einklang mit der Ansicht der Aufsichtsbehörden davon aus, dass der Windows 10 Anwender bei Nutzung von Windows 10 den datenschutzkonformen Einsatz zu gewährleisten hat. Dagegen ist im Grunde auch nichts einzuwenden. Der frühere Artikel beschäftigt sich jedoch nicht kritisch mit der zugrunde gelegten pauschalen Annahme, dass der Anwender auch hinsichtlich der Übermittlung von Telemetriedaten datenschutzrechtlich verantwortlich ist. Der neue Artikel stellt dies offen zur Diskussion. Art. 4 Nr. 7 DSGVO bestimmt denjenigen als datenschutzrechtlich Verantwortlichen, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Weiß der Windows 10 Anwender nicht, welche Telemetrie-Daten überhaupt erhoben werden und hat er auch keine tatsächliche Möglichkeit, eine solche Übermittlung effektiv abzustellen, stellt sich die Frage, inwieweit er hinsichtlich einer solchen Verarbeitung überhaupt (gemeinsam) Verantwortlicher sein kann.

      Ob sich Rechtsprechung zu Fanpages hier 1:1 übertragen lässt, ist offen:
      Bei Fanpages hat sich das ULD Schleswig Holstein insbesondere daran gestört, dass bei Ablehnung einer gemeinsamen Verantwortlichkeit Fanpagebetreiber davon entbunden wären, irgendwelche Anforderungen an Facebook oder sonstige Dienstleister zu stellen bei der Verarbeitung der Daten ihrer Nutzer (siehe im Einzelnen Revisionsbegründung des ULD vom 02.01.2015). Vorliegend kommt man als Unternehmen jedoch nur schwer um Windows 10 herum und kriegt – je nach genutzter Windows-Version – häufig die Übermittlung der Telemetriedaten auch nicht ausgestellt.

      Der ältere Artikel kritisiert ebenfalls zurecht das Vorgehen der Aufsichtsbehörden bei Windows 10 und stellt pointiert fest:
      „Stattdessen schiebt man den schwarzen Peter in Form eines Prüfungsschemas und unter Verweis auf die Dokumentationspflicht der DSGVO weiter an die Verantwortlichen. Gerade auch aufgrund einer fehlenden, echten Alternative zu Windows 10, dürfte für viele KMUs, welche 99 % der deutschen Unternehmen ausmachen, keine der drei Lösungen ernsthaft in Betracht kommen und diese somit in der Praxis nur widerwillig umgesetzt werden.“

  3. „im schlimmsten Fall auf Linux ausweichen“

    Warum sollte das so schlimm sein? Man bekommt ein System über das man grundsätzlich selber Herr sein kann. Ich persönlich nutze es sein einem viertel Jahrhundert und finde es eher das Gegenteil von „schlimm“. Während ich nicht in der Lage bin, Windows-Probleme zu lösen, gelingt mir das unter Linux doch schon eher.

    • Ein Wechsel auf Linux ist per se natürlich erst einmal nicht schlimm. Mit „im schlimmsten Fall“ ist lediglich adressiert, dass es für viele Unternehmen, die ihren Workflow auf Windows ausgerichtet haben (Stichwort Office-Paket, Handhabung des Betriebssystems) eine große Hürde darstellen dürfte, ihre gesamten Produktiv-Systeme auf Linux umzustellen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.