Windows 10 und Datenschutz: Der Eiertanz der Aufsichtsbehörden

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Windows 10 und Datenschutz: Der Eiertanz der Aufsichtsbehörden

Windows 10 und Datenschutz: Der Eiertanz der Aufsichtsbehörden

Die saarländische Aufsichtsbehörde äußert sich in ihrem Tätigkeitsbericht zum Thema Windows 10. Weshalb man mittlerweile häufig mit den Augen rollt, wenn Aufsichtsbehörden das Thema Windows 10 anfassen, beleuchtet dieser Artikel.

Wie ein Tinnitus im Ohr

Im kürzlich veröffentlichten 28. Tätigkeitsbericht der saarländischen Aufsichtsbehörde für das Jahr 2019, gibt diese Windows-10-Anwendern, und damit etwa 90-99 % aller Unternehmen in Deutschland, auf Seite 72 folgende Weisheit mit auf den Weg:

„Es ist notwendig, dass für jede Verarbeitungstätigkeit unter Nutzung des Betriebssystems Windows 10 geprüft wird, welche personenbezogenen Daten in welchem Umfang verarbeitet werden und welche personenbezogenen Daten für welche Zwecke an Microsoft übermittelt werden. Daran anschließend ist zu prüfen, welche Rechtsgrundlage für die Übermittlung personenbezogener Daten an Microsoft vorhanden ist. Fehlt es an einer solchen, ist die Übermittlung datenschutzrechtlich nicht zulässig.“

Diese Sätze lassen einen ratlos zurück. Was bedeutet das nun für den Anwender? Darf man bestimmte Datenkategorien mit Windows 10 verarbeiten…andere jedoch nicht? Und welche Daten werden überhaupt an Microsoft übermittelt? Dann ist da noch die Mutter aller Fragen: Was macht man eigentlich, wenn man zu dem Ergebnis kommt, dass ein datenschutzkonformer Einsatz von Windows 10 nicht möglich ist…muss man dann bestimmte Funktionalitäten ausstellen (geht das überhaupt?) oder im schlimmsten Fall auf Linux ausweichen, während alle Mitbewerber weiterhin ungeniert Windows 10 nutzen?

Die Aufsichtsbehörden verhalten sich beim Thema Windows 10 wie Tinnitus: Ein ewig dahinsummendes Hintergrundgeräusch, das einen stetig daran erinnert, dass etwas mit dem Ohr – pardon, der Datenverarbeitung auf den genutzten Computern – möglicherweise nicht stimmt.

Das Betriebssystem und seine Telemetriedaten

Ein Betriebssystem ist zunächst einmal schlicht ein Bordmittel zur Datenverarbeitung. Ohne ein Betriebssystem hat ein Computer in etwa den Funktionsumfang eines Briefbeschwerers, kurz: Ohne Betriebssystem keine automatisierte Datenverarbeitung. Problematisch ist, wenn das Betriebssystem sogenannte „Telemetriedaten“ an den Hersteller funkt, bei Windows 10 also an die Microsoft Inc. aus Redmond. Im Grunde handelt es sich bei Telemetriedaten um Daten einer Fernmessung, im Kontext von Windows 10 daher über den Zustand des Betriebssystems. Doch welche konkreten Daten fallen genau hierunter? Bei Windows 10 scheinen Art und Umfang der Telemetriedaten eine Wissenschaft für sich zu sein. Telemetriedaten können selbstredend eine datenschutzrechtliche Relevanz haben. Um die datenschutzrechtliche Erheblichkeit zu bewerten, müsste man jedoch wissen, welche Telemetriedaten überhaupt an den Hersteller übermittelt werden.

Datenschutzrechtliche Bewertung nicht möglich

Die saarländische Aufsichtsbehörde stellt hierzu fest:

„Für die Übertragung von bei der Nutzung von Windows 10 anfallenden Telemetriedaten an Microsoft konnte bis zum Ende des Berichtszeitraums nicht abschließend geklärt werden, welche Datenkategorien betroffen sind. Eine datenschutzrechtliche Bewertung war unter dieser Voraussetzung nicht möglich.“

Der Aufsichtsbehörde war also eine datenschutzrechtliche Bewertung des Einsatzes nicht möglich, aber der Anwender soll sie vornehmen. Freundlicherweise kriegt dieser auch direkt ein Prüfschema des DSK mit an die Hand.

Wenig überraschend fischt auch dieses hinsichtlich der Telemetriedaten weiter im Trüben. So heißt es hier auf Seite 7:

„Es werden eventuell auch personenbezogene Daten (z. B.IP-Adresse, Nutzerkonto, Position, Nutzerverhalten, Internetaktivität, Präferenzen, Suchaktivitäten und weitere) übermittelt. Dabei werden die Daten zum Teil verschlüsselt übertragen. […] Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor.“

Man weiß im Grunde nichts, aber losprüfen sollen die Anwender trotzdem.

Exemplarisch hierfür ist auch dieser Satz im Prüfschema:

„Konnte nicht festgestellt werden, welche Daten übermittelt werden, so kann auch nicht die Rechtmäßigkeit der Übermittlung festgestellt werden.“

Warum soll überhaupt der Anwender die Rechtmäßigkeit von Telemetriedaten-Schnüffeleien durch Microsoft rechtlich bewerten und feststellen? Bestimmt hier nicht Microsoft alleine über Zwecke und Mittel der Verarbeitung und ist für diese Datenerhebung selbst verantwortlich?

Man kann sich des Eindrucks nicht erwehren, dass der Anwender mit wortreichen Ausführungen im Grunde alleine gelassen wird.

Testszenario mit der Facharbeitsgruppe

Um bei der Sache mit den Telemetriedaten etwas Licht ins Dunkeln zu bringen, hat die Datenschutzkonferenz, wie sich auf S. 22 des 9. Tätigkeitsberichts des BayLDA nachlesen lässt, eine Unterarbeitsgruppe mit dem Namen „Windows 10“ des Arbeitskreises Technik gegründet.

Hierbei wurde im Beisein von 10 extra eingeflogenen Microsoft-Mitarbeitern festgestellt, dass sich in der Windows-Version „Enterprise“ die ungefragte Übermittlung von Telemetriedaten (der konkrete Umfang wurde auch hier nicht näher erörtert), ausstellen lässt. Im Schlussabsatz heißt es hierzu:

„Sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, dann stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar. Wie dagegen der Einsatz von Windows 10 Pro bei Verantwortlichen zu bewerten ist, bei dem die Telemetriedaten zwar reduziert, aber bekanntlich nicht komplett abgeschaltet werden können, könnte möglicherweise ein weiterer Arbeitsauftrag der Datenschutzkonferenz (DSK) werden.“

Übersetzt heißt dies: Wir wissen im Grunde nicht, ob sich unsere Ergebnisse auf den „realen Einsatz“ 1:1 übertragen lassen. Bei der Nutzung der teuersten Windows-Version und der richtigen Konfiguration gibt es zumindest keine datenschutzrelevanten Probleme. Möglicherweise prüfen wir irgendwann einmal in der Zukunft auch die relevanten Windows-Versionen.

Warum wurde nicht von vornherein die erschwinglichere und viel häufiger anzutreffende Windows-Pro-Version durchleuchtet? Weshalb lässt sich die Telemetrie-Datenübermittlung, die offensichtlich bei dem Luxusmodell ohne Einschränkung der Funktionsfähigkeit möglich ist, nicht bei günstigeren Windows-Versionen (Pro & Home) ausschalten? Wieso wird dieses nicht von den Aufsichtsbehörden kritisch hinterfragt?

Und wieso ist Windows 10 überhaupt so umfassend konfigurierungsbedürftig, um datenschutzkonform betrieben werden zu können? Hinsichtlich der erhobenen Telemetriedaten dürfte Microsoft selbst datenschutzrechtlich Verantwortlicher sein (s.o.). Und damit dürften Microsoft als Verantwortlichen, der Niederlassungen in Europa hat (Art. 3 Abs.1 DSGVO), als auch Windows 10 direkt im europäischen Wirtschaftsraum anbietet (Art. 3 Abs.2 DSGVO) dieselben datenschutzrechtlichen Pflichten (hier insbesondere das Gebot der Datenminimierung und der datenschutzfreundlichen Voreinstellung) treffen, welche die Aufsichtsbehörden ständig von den Windows-10-Anwendern einfordern.

Fromme Wünsche

Hier würde man sich wünschen, dass die Aufsichtsbehördlich endlich einmal dazu übergehen, sich nicht ständig zu fragen, was die Anwender von Windows 10 besser machen können, sondern wie der Hersteller solcher Systeme zu datenschutzkonformen Verhalten erzogen werden können. Liegt einem ein datenschutzkonformer Umgang mit Windows 10 am Herzen, gibt es 2 Wege: Der Weg über den Hersteller von Windows 10 und der Weg über die Anwender. Die unzähligen Anwender in die Pflicht zu nehmen, erscheint wie ein Kampf gegen Windmühlen: Jeder mühsam konfigurierten datenschutzkonformen Einstellung stehen 10 datenschutzwidrige Konfigurationen entgegen.

Wäre es im Sinne des Datenschutzes nicht effizienter, das Problem endlich an der Wurzel zu packen, anstatt eine wortreiche und wenig hilfreiche Einlassung nach der anderen zum Thema Windows 10 zu veröffentlichen? Auch muss man sich über die Selbstverständlichkeit wundern, mit der Anwender aufgefordert werden, die getroffenen Datenschutzeinstellungen regelmäßig zu überprüfen, die durch Windows-Updates möglicherweise pulverisiert wurden. Ist es nicht ein Unding, dass überhaupt mühsam vorgenommene datenschutzfreundliche Einstellungen durch Updates zunichtegemacht werden? Man hat zuweilen den Eindruck, dass immer nur die Anwender in die Pflicht genommen werden und der eigentliche Sündenbock unbehelligt weiter sein Spiel treiben kann.

Wie ernst es Microsoft mit dem Datenschutz nimmt, sieht man etwa am neuerdings eingeführten Kontozwang für Windows 10. Will man Windows 10 ohne Microsoft-Benutzerkonto installieren, muss man neuerdings das Internetkabel aus dem Gerät ziehen, um der Erstellung eines Kontos zu entgehen. Nutzt man bei der Installation Wlan und hat während der Installation unbedarft sein Wlan-Passwort eingegeben, bleibt einem regelmäßig nur noch, den Router-Stecker zu ziehen, um eine Installation ohne Einrichtung eines Online-Kontos zu vermeiden, denn das Wlan lässt sich im Installationsmenü nicht mehr am Gerät selbst ausschalten.

Windows 10 und Datenschutz in a Nutshell

Windows-10-Anwendern, egal von welcher Version, sollten daher folgende Hinweise beherzigen:

  • Windows 10 sollte so datensparsam wie möglich konfiguriert werden. Telemetriedaten sollten – soweit möglich – ausgeschaltet werden oder zumindest auf das Minimalsetting gesetzt werden.
  • Nach Updates ist zu überprüfen, ob die datenschutzrechtlichen Einstellungen durch das Update rückgängig gemacht wurden.
  • Alle getroffenen Einstellungen sollten dokumentiert werden (Art. 5 Abs.2 DSGVO).

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Windows 10 und Datenschutz: Der Eiertanz der Aufsichtsbehörden.