Das Betriebssystem Windows 10 von Microsoft gehört mit über 70% Marktanteil zu den meist genutzten Betriebssystemen (Quelle: Statista Stand Januar 2022). Aus diesem Grund sollte das System auch besondere Aufmerksamkeit aus datenschutzrechtlicher Sicht genießen.
Beim Einsatz von Windows 10 werden sowohl Nutzungs- als auch Telemetriedaten in großer Menge verarbeitet. Diese Daten können aufgrund ihrer Eigenschaften (Art und Zuordnungsmöglichkeiten zu genutzten Endgeräten) grundsätzlich einen Personenbezug aufweisen.
Sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) haben hierzu Untersuchungen durchgeführt.
Die DSK veröffentlichte bereits 2019 ein Prüfschema für den Einsatz von Windows 10 Enterprise. Hiermit können verantwortliche Stellen (gem. Art. 4 Nr. 7 DSGVO) die Überprüfung der Einhaltung von datenschutzrechtlichen Vorgaben in vereinfachter Form durchführen.
Um keine bzw. möglichst wenig personenbezogene Telemetriedaten zu übermitteln, sind Verantwortliche angehalten, beim Einsatz der Enterprise-Version die Telemetriestufe Security zu nutzen sowie vertragliche, technische und organisatorische Maßnahmen (z. B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) zu treffen.
Die Enterprise-Edition von Windows 10 war im IT-Labor der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen in verschiedenen Szenarien getestet worden. Dabei zeigte sich, dass unter bestimmten Voraussetzungen (Anwendung des „Windows Restricted Traffic Limited Functionality Baseline“, Telemetriestufe „Security“) keine Telemetriedaten an Microsoft übermittelt wurden. Den ausführlichen Prüfbericht finden Sie hier.
Gemäß Art. 5 DSGVO müssen Verantwortliche die Rechtmäßigkeit etwaiger Datenübermittlungen an Microsoft nachweisen oder die Übermittlungen direkt unterbinden.
Zu beachten ist außerdem, dass die Anforderungen an die Zulässigkeit von Datenübermittlungen in Drittländer (außerhalb der EU bzw. dem EWR) zu prüfen sind.
Für die Versionen Windows 10 Home und Windows 10 Pro, die häufig bei kleinen und mittelgroßen Unternehmen sowie Kommunen eingesetzt werden, hat Microsoft entsprechende Möglichkeiten zur Konfiguration leider noch nicht zur Verfügung gestellt.
Was ist also aus technischer Sicht beim Einsatz von Windows 10 zu tun?
- Prüfung der Datenübertragungen an Microsoft. Für die Analyse von Diagnosedaten unter Windows 10 und bei Office Produkten stellt Microsoft den Diagnosedaten-Viewer (DDV) zur Verfügung.
- Nutzung produktseitig vorhandener Konfigurationsmöglichkeiten, um die Übertragung von Diagnose-/Telemetriedaten zu unterbinden. Siehe Prüfschema zum Datenschutz bei Microsoft Windows 10 Enterprise.
- Soweit entsprechende Konfigurationsmöglichkeiten nicht zur Verfügung stehen, sind, um die Übermittlung personenbezogener Telemetriedaten zu unterbinden, mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe über eine entsprechende eigene Infrastruktur des Verantwortlichen) sicherzustellen, dass möglichst keine Übermittlung von Telemetriedaten an Microsoft stattfindet.
- Überwachung von Microsoft-Produktupdates und Prüfung etwaiger damit verbundener Konfigurationsänderungen.
Hilfreiche Links:
