Datenschutzkonformer Einsatz?

Diese Frage stellt sich bspw. dann, wenn Computer mit Windows 10 als Arbeitsmittel zur Verfügung gestellt werden. Im Rahmen der Fürsorgepflicht muss der Arbeitgeber das informationelle Selbstbestimmungsrecht ihrer Beschäftigten schützen, so dass diese grundsätzlich davon ausgehen dürfen, dass bereitgestellte Arbeitsmittel datenschutzkonform konfiguriert sind.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in einer koordinierten Aktion mit anderen europäischen Datenschutzaufsichtsbehörden Windows 10 Enterprise für den Unternehmenseinsatz begutachtet. Gleichlautend mit dem BSI in ihren Empfehlungen zu "Telemetrie und Datenschutzeinstellungen" für "Clients unter Windows 10" (2017) merkt das BayLDA an, dass die Telemetriedienste, durch die Diagnose- und Nutzungsdaten mit eindeutigen Identifizierungsmerkmalen verknüpft in die USA übertragen werden, im Betriebssystem nicht vollständig abgeschaltet werden können. Die Aufsichtsbehörde wolle dies „im Dialog mit Microsoft“ klären. Vorbehaltlich dieser Klärung kam sie in ihrem Prüfbericht "Windows 10 Investigation Report" (09/2017) zu dem Ergebnis, "dass Windows 10 Enterprise bei Unternehmen durch gezielte Konfiguration ohne Datenschutzverstöße eingesetzt werden kann."

Andere europäische Aufsichtsbehörden distanzieren sich von der (übereilten, Anm. d. Verf.) Schlussfolgerung des BayLDA und fordern von Microsoft, Gruppenrichtlinien vorzulegen, mit der sich das System vollständig rechtskonform gestalten lässt (vgl. heise-Artikel "Niederländischer Datenschützer: Microsoft bricht mit Windows 10 Datenschutzrecht " (10/2017)).

Immerhin sorgt Microsoft mit ihrem Artikel "Manage connections from Windows operating system components to Microsoft services" (07/2017) für viel Transparenz und nennt Einstellungsmöglichkeiten, an denen sich die Verbindungen zwischen Client und Herstellerinfrastruktur konfigurieren lassen.

Die Zentrale Datenschutzstelle der baden-württembergischen Universitäten (ZENDAS) kritisiert in ihrem Themen-Artikel "Datenschutz unter Windows 10" (11/2017) ebenfalls die Aussage des BayLDA und erklärt, warum ein vollständig datenschutzkonformer Einsatz von Windows 10 derzeit nicht möglich sei. 

Der IT-Juristen Johannes Nehlsen (Universität Würzburg) verdeutlicht in seiner Handreichung "Einsatz von Windows 10 an Hochschulen“ (01/2017), dass einem Arbeitgeber eine Angemessenheitsabwägung von Maßnahmen zum Schutz der informationellen Selbstbestimmungsrechte der Arbeitnehmer zugestanden werde. Eine (lediglich, Anm. d. Verf.) datenschutzfreundliche Konfiguration durch Umsetzung von Empfehlungen und Leitfäden sei somit unter Umständen nicht grundsätzlich datenschutzrechtswidrig.

Die derzeit noch nicht abgeschlossenen Untersuchungen des BSI unter dem Titel "SiSyPHuS Win10" (Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10) haben zum Ziel, die Rahmenbedingungen für einen sicheren Einsatz des Betriebssystems zu identifiziert sowie Empfehlungen für eine Härtung und den sicheren Einsatz von Windows 10 zu erstellen.

Die damalige Bundesdatenschutzbeauftragte Andreas Voßhoff äußerte gegenüber netzpolitik.org (11/2018) , die Aufsichtsbehörde verfolge die Untersuchung des BSI mit großem Interesse und "betrachtet die in diesem Rahmen festgestellte Übermittlung von Nutzerdaten durch Windows 10 als durchaus problematisch". Die abschließende Bewertung, ob und wie eine Nutzung von Windows 10 datenschutzkonform möglich ist, ist ihrer Meinung nach aber noch nicht möglich.

Fazit

  1. Die Übermittlung von Diagnose- und Nutzungsdaten kann in den Einstellungen des Systems selbst nicht vollständig abgeschaltet werden.
  2. Von anderen Editionen als der "Enterprise" wird einhellig abgeraten. Windows sollte nicht mit einem Microsoft-Konto verbunden werden.
  3. Ein datenschutzrechtlich zulässiger Einsatz erfordert die Umsetzung angemessener und evidenter Schutzmaßnahmen. Welche konkreten Maßnahmen ergriffen werden müssten, ist umstritten.
  4. Auch bei jedem Upgrade muss nachgewiesen werden können, dass die getroffenen Maßnahmen ausreichend waren, die Schutzziele auch unter den ggf. geänderten Bedingungen der neuen Version zu erreichen. Die bisherigen Empfehlungen und Studien beziehen sich aber auf vergangene Versionen von Windows 10 und eine verlässliche Quelle, die garantiert Konfigurationsempfehlungen für spätere Versionen bereit stellen wird, ist derzeit nicht in Sicht. Zugleich steigt der zeitliche Druck, da Upgrades schon nach kurzer Zeit verpflichtend werden, um weiterhin die erforderlichen Sicherheitsupdates zu erhalten. Es muss also eine zukunftsfähiges Upgradekonzept entwickelt werden, in diesem diese Fragen geklärt werden.

Die ZENDAS rät dann vom Einsatz von Windows 10 ab, wenn besondere personenbezogene Daten damit verarbeitet werden sollen.