Datenschutzkonformer Einsatz von Windows 10

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) haben kürzlich den datenschutzkonformen Einsatz von Windows 10 auf den Prüfstand gestellt. Das Ergebnis dabei: Nur bei einem tragbaren Restrisiko sowie ausreichend rechtlichen Überprüfungen ist es für Unternehmen aus Datenschutzsicht in Ordnung, Windows 10 einzusetzen. Wichtig ist in diesem Zusammenhang auch, die Erstellung einer  Verarbeitungstätigkeit für den Einsatz von Windows 10. Darin ist auch unmissverständlich der Nachweis der Prüfung des datenschutzrechtlichen Einsatzes gemäß des Prüfschemas zu dokumentieren!

In einem öffentlichen Prüfschema der DSK für den Einsatz von Windows 10 sehen die Behörden nur wenig Spielraum beim Einsatz dieses Betriebssystems in Unternehmen. Im Gegensatz zu früheren Windows Versionen lässt es sich bei Windows 10 nur noch eingeschränkt verhindern, den Datentransfer zwischen dem PC und Microsoft in den USA zu unterbinden. Zu den übertragenden Daten zählen technische Parameter, Logfiles, aber auch personenbezogene Daten, sog. „Telemetriedaten“. Welche sensiblen Informationen dabei exakt übertragen werden, kann aufgrund der eingesetzten Verschlüsselung nicht genau nachvollzogen werden. Trotz verschlüsselter Übertragung ist ein Datenaustausch mit Microsoft jedoch nur dann zulässig, wenn dafür eine entsprechende Rechtsgrundlage vorliegt.

Microsoft Privacy Shield

Microsoft ist nach dem Privacy Shield zertifiziert. Dies bedeutet, dass lt. EU-Kommission personenbezogene Daten an Microsoft USA übermittelt werden dürfen. Aktuell gibt es lt. Aufsichtsbehörden jedoch unverändert Bedenken und bereits eingereichte Klagen gegen die Rechtsmäßigkeit des Privacy Shields. Die hier aufgeführten Maßnahmen beim Einsatz von Windows 10 sollten also in jedem Fall durchgeführt werden, um das Risiko einer Datenschutzverletzung in Ihrem Unternehmen zu minimieren. Ob der EU-US Privacy Shield auch weiterhin Bestand als valide Rechtsgrundlage für die Datenverarbeitung in USA hat, bleibt derzeit noch offen. Es istdurchaus möglich, dass diese Rechtsgrundlage in Zukunft entfällt oder gänzlich überarbeitet fortbesteht.

Konfiguration von Windows 10 und das Problem mit den Updates

Bei einer Standardinstallation werden viele Betriebssystemeinstellungen nicht so gesetzt, dass nur minimal personenbezogene Daten in die USA übermittelt werden. Je nach eingesetzter Windows 10 Edition unterscheiden sich die möglichen Datenschutzeinstellungen. Eine praxisnahe Orientierungshilfe für die verschiedenen Konfigurationsmöglichkeiten hat der Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen veröffentlicht und kann hier eingesehen werden.

Nachdem Windows 10 aus Sicherheitssicht automatisch mit regelmäßigen Updates versorgt wird, ergibt sich daraus aber gleichzeitig auch das Problem, dass nach jeder Update-Installation die Gefahr besteht, dass datenschutzrechtliche Einstellungen vom System verändert werden. Somit müsste nach jedem Update eine erneute Überprüfung der Datenschutzeinstellungen vorgenommen werden. Praktisch betrachtet ist dies aber eine kaum bewältigbare Aufgabe.

Hinweise für den datenschutzkonformen Einsatz

Verschiedene Untersuchungen zeigen, dass es derzeit nicht möglich ist, die Datenübertragung personenbezogener Daten durch Änderungen der Konfiguration vollständig zu unterbinden. Daher ergeben sich für Sie in erster Linie folgende Aufgaben, um die Datenschutzkonformität von Windows 10 so gut wie möglich zu gewährleisten.

Anlegen einer Verarbeitungstätigkeit in docu-safe
Sollten Sie Windows 10 in Ihrem Unternehmen nutzen und noch keine Verarbeitungstätigkeit dafür angelegt haben, so ist dies nachzuholen. Die detaillierte Beschreibung der Verarbeitungstätigkeit ist dabei wichtig. Dazu gehört es, Art, Umfang, Umstände und Zwecke der Verarbeitung darzustellen. Wie immer bereiten wir dies gerne für Sie vor.

Prüfung der technischen Konfiguration im Unternehmenseinsatz durch die IT Abteilung
Wir empfehlen Ihnen dringend, anhand des veröffentlichten Leitfadens/Orient (s.o.) die technischen Rahmenparameter der bei Ihnen im Unternehmen eingesetzten Windows 10 Installationen zu prüfen und die Überprüfung sowie die technischen Parameter zu dokumentieren. Dieser Überprüfungsnachweis ist für uns maßgeblich die Grundlage zur Dokumentation der Rechtmäßigkeit der Datenverarbeitung!

Prüfung und Dokumentation der Rechtmäßigkeit der Datenübermittlungen
Die Übermittlung von personenbezogenen Daten ist auf Ihre Rechtmäßigkeit zu prüfen. Soweit die Übermittlung eine Rechtsgrundlage hat, kann ein Unternehmen Windows 10 nutzen. Wenn dies nicht festgestellt werden kann, so ist die rechtmäßige Verwendung von Windows 10 als äußerst kritisch zu betrachten. Auch hier unterstützen wie Sie gerne in der Dokumentation und im Nachweis der Prüfung der Rechtmäßigkeit der Datenübermittlung und dokumentieren dies für Sie.

IT-Schulungen

Wir unterstützen Sie gerne beim datenschutzkonformen Einsatz von verschiedener Systeme und schult auch Ihr IT-Personal für dieses Thema. Kontaktieren Sie uns.

This post is also available in: Englisch