Kategorien
Datenschutz & Technik

DSGVO & Einsatz von Windows 10

Ich hatte bereits gestern auf Twitter darauf hingewiesen, inzwischen mehren sich die Berichte – auch auf Heise-Online: Die “Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder” (DSK) hat sich mit dem datenschutzkonformen Einsatz von Windows 10 beschäftigt. Was erst einmal nur als “Prüfschema” betitelt ist, offenbart sich recht schnell als zumindest schwieriges Ergebnis.

So zeigt sich, dass bereits vor der Inbetriebnahme von Windows 10 umfangreiche Prüfungen stattfinden müssen dahingehend, welche Daten überhaupt erhoben und ggfs. an Microsoft übermittelt werden. Soweit möglich, müssen “problematische” und nicht durch rechtliche Grundlage (wie eine Einwilligung) gedeckte Übermittlungen ausgeschaltet werden. Dabei sagt die DSK, dass das alles gar nicht so einfach ist: Zum einen weiss man schon gar nicht, was überhaupt übertragen wird; zum Anderen muss nach jedem Update erneut geprüft werden, ob sich etwas verändert hat:

  • “Verschiedene Untersuchungen zeigen allerdings, dass es aktuell nicht möglich ist, die Datenübertragung durch Konfiguration von Windows10 vollständig zu unterbinden. Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor.” (Seite 7)
  • “Bei einem Update besteht die Möglichkeit, dass neue Funktionen aktiviert werden, bestehende Funktionen verändert werden, Konfigurationsmöglichkeiten verändert werden oder die durch den Verantwortlichen getätigte Konfiguration verändert wird. Der Verantwortliche wird prüfen müssen, inwieweit sich dadurch die Effektivität der Maßnahmen zur Verhinderung einer unrechtmäßigen Offenlegung verändert hat. Ggf. darf eine Versionsänderung nicht durchgeführt werden, bevor die Maßnahmen nicht angepasst wurden (…)” (Seite 11)

Die Anforderungen sind erheblich, der Arbeitsaufwand massiv – und angesichts der derzeit laufenden Umstellungen in vielen Behörden (und insbesondere wie mir bekannt in der Justiz) ist abzusehen, dass hier eine ganz erhebliche Baustelle geöffnet wurde.

Jedenfalls als Fazit kann ich für mich zusammenfassen, dass ein schlichter Einsatz von Windows 10 in Betrieben und Behörden, ohne spürbaren Prüfungs- und Konfigurationsaufwand (der bei jedem Update zu wiederholen ist), nicht denkbar ist. Dabei möchte ich (noch) nicht in das Horn stoßen dahingehend, ob überhaupt ein konformer Einsatz möglich ist – Gerade angesichts der zunehmenden Bussgelder durch die Datenschutzbeauftragten der Länder sollte man diese Thematik sofort und nach ganz oben auf die eigene DSGVO-Agenda setzen.

Anmerkung: Sehr ärgerlich ist, dass die Anwender hier alleine gelassen werden. Microsoft wurde zu Recht schon länger für die nicht aufgedeckten Datenübertragungen kritisiert, nun gibt es ein de Facto Standard-Betriebssystem, das insgesamt in Frage gestellt ist. Auch wenn der schwarze Peter bei den Anwendern liegt, so ist die eigentliche Aufgabe Microsoft zuzuordnen, wo man nun hoffentlich endlich den Ernst der Lage begreift. Zugleich hat sich in München recht deutlich gezeigt, dass eine Behördenweite Umstellung auf Linux offenkundig keine greifbare Alternative ist.

Zugehörige Downloads

Fachanwalt für IT-Recht Jens Ferner

Von Fachanwalt für IT-Recht Jens Ferner

Ich habe mich als Strafverteidiger & Fachanwalt für IT-Recht spezialisiert auf Rechtsfragen rund um Strafrecht, Technik & Arbeit: IT-Recht, IT-Vertragsrecht & Softwarerecht künstliche Intelligenz, Datenschutzrecht, Medienrecht ebenso wie IT-Arbeitsrecht, IT-Strafrecht, digitales Werberecht & Urheberrecht.

Meine juristische Expertise ergänze ich mit umfangreicher technischer Erfahrung als Programmierer & Linux-Systemadministrator inkl. Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.