info@schutt-waetke.de

+49 (0)721 120 500

Datenschutzkonferenz: Prüfschema für Windows 10 da

27. November 2019
Kommentare Aus
Aktuelles Datenschutz Timo Schutt
DSGVO, ePrivacy-Verordnung, Datenschutzrecht, Datenschutzhinweise, Datenschutzgrundverordnung, Datenschutzrecht, Datenmissbrauch, Datenschutzkonferenz, Standard-Datenschutzmodell, DSGVO-Verstöße, Kopplungsverbot, Datenschutzkonferenz

Die Datenschutzkonferenz (DSK) hat auf ihrer 98. Sitzung am 6. und 7. November 2019 in Trier verschiedene Entschließungen und Beschlüsse gefasst. Unter anderen geht es dabei um die automatisierte Übertragung sogenannter Telemetriedaten bei Windows Betriebssystemen. Die Konferenz hat im Nachgang auf hochrangiger Ebene Gespräche mit Vertretern von Microsoft geführt. Ziel war es unter anderem, den Personenbezug von Nutzungsdaten zu vermindern. In diesem Zusammenhang hat die Datenschutzkonferenz ein Prüfschema für das Betriebssystem Windows 10 veröffentlicht.

Wichtig ist das Papier der Datenschutzkonferenz für alle Unternehmen, die Windows 10 einsetzen. Und immerhin liegt nach Zahlen von „Netmarketshare“ Windows 10 im Oktober 2019 unangefochten an der Spitze. Das Betriebssystem hat einen stolzen Marktanteil von 54,32 %. Nach Windows 10 kommt lange nichts. Auf Platz 2 ist zurzeit Windows 7 mit 26,90 %.

TOMs zur Risikominimierung bei Windows 10

Die DSK stellt dabei fest, dass durch die zahlreichen, über die reine Betriebssystemfunktionalität hinausgehenden Funktionen und die damit verbundenen Datenübertragungen das Risiko besteht, dass personenbezogene Daten von Beschäftigten oder sonstigen betroffenen Personen unrechtmäßig an Microsoft übermittelt werden. Diesem Risiko muss laut DSK mit angemessenen technisch-organisatorischen Maßnahmen begegnet werden.

Wird Windows 10 eingesetzt, dann sind auch diesbezüglich alle Anforderungen der DSGVO zu prüfen und deren Einhaltung sicherzustellen. Das Prüfschema soll Verantwortlichen die Möglichkeit geben, die datenschutzrelevanten Fragen im Zusammenhang mit dem Einsatz von Windows 10 zu bewerten. Vor allem was die Übertragung von Telemetriedaten und die Update-Konfiguration angeht.

In dem Prüfschema der DSK heißt es dazu:

Mit dem eingesetzten Betriebssystem müssen die„Grundsätze“ des Datenschutzes eingehalten werden können. Wesentliche Prüfungsinhalte ergeben sich aus Art. 5 Abs. 1 DSGVO. Die Verarbeitung muss rechtmäßig erfolgen, sie darf nicht gegen Treu und Glauben verstoßen, muss transparent sein, die Zweckbindung wahren, dem Grundsatz der Datenminimierung entsprechen, nicht zur Unrichtigkeit von Daten führen, dem Grundsatz der Speicherbegrenzung entsprechen und die Integrität und Vertraulichkeit müssen durch angemessene technische und organisatorische Maßnehmen gewahrt werden. Die Einhaltung der Grundsätze ist nach Art. 5 Abs. 2 DSGVO zu dokumentieren (Nachweispflicht des Verantwortlichen).

Für die Auswahl eines Betriebssystems ergibt sich aus diesen Normen für die Verantwortlichen, dass sie unter den auf dem Markt verfügbaren Betriebssystemen nur diejenigen einsetzen dürfen, welche die Datenschutzgrundsätze einhalten und dies im Rahmen der Rechenschaftspflicht dokumentieren müssen. Sofern diese Anforderungen nur durch ein Betriebssystem auf dem Markt erfüllt würden, stünde dem Verantwortlichen kein Entscheidungsspielraum bei der Auswahl zu. Sofern mehrere Betriebssysteme diese Anforderungen erfüllen oder durch eine entsprechende Konfiguration oder zusätzliche technische und organisatorische Maßnehmen erfüllen können, kann der Verantwortliche aus datenschutzrechtlicher Sicht frei zwischen diesen Betriebssystemen wählen.

Manuelle Konfiguration und Überwachung erforderlich

Bei der Auswahl der Maßnahmen zur Verhinderung der Offenlegung von personenbezogenen Daten sind also neben der Höhe des Risikos, der Stand der Technik und die Implementierungskosten zu berücksichtigen. In Betracht kommt zunächst die datensparsame Konfiguration von Windows 10. Da Windows 10 bei der Standardinstallation nicht entsprechend vorkonfiguriert ist, muss der Verantwortliche selbst ran.

Da sich derzeit aber nicht alle Übermittlungen an Microsoft durch eine entsprechende Konfiguration deaktivieren lassen, müssen daneben weitere technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen. Neben der technischen Verhinderung der Datenübermittlung von Windows 10 an Microsoft muss wegen dem fortlaufenden Verändern und Hinzufügen von Funktionalität zudem ebenso fortlaufend überwacht werden, ob anlässlich eines Updates eine erneute Prüfung durchgeführt werden muss.

Abschließend nennt die DSK 7 Prüfungspunkte, die es abzuarbeiten gilt. Welche Punkte das sind und mein Fazit zu diesem Thema können Sie in meinem Beitrag auf unserem Portal rund um den Datenschutz und die DSGVO nachlesen.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man

 

 

Urheberangabe für das Foto für diesen Beitrag:

  • Banner Datenschutz – vektor Illustrationen: © Trueffelpix – Fotolia.com