Zahlreiche Unternehmen nutzen täglich Produkte von Microsoft. Laut aktuellen Zahlen soll mittlerweile auf mehr als der Hälfte aller Computer das aktuelle Betriebssystem Windows 10 installiert sein. Windows 10, Office 365 und Co. zu verwenden birgt jedoch einige (datenschutz-)rechtliche Probleme, die es zu beachten gilt.

Bei Windows 10 handelt es sich um den Überbegriff für eine Produktfamilie von Microsoft. Bei der "Standardinstallation" werden dem Nutzer neben dem Betriebssystemkern zusätzliche Treiber und verschiedene Anwendungen zur Verfügung gestellt. Dabei geht Windows 10 über bisherige Windows-Betriebssysteme hinaus, da es über zusätzliche Funktionen wie beispielsweise die Sprachassistenz Cortana verfügt.

Mit Windows 10 speichert Microsoft in erheblichem Maße technische Parameter, Logfiles sowie personenbezogene Daten und wertet diese auch für eigene Zwecke aus (sogenannte Telemetriedaten). Diese Datenverarbeitung lässt sich jedoch nur teilweise einschränken oder vollständig unterbinden. Mit Blick auf die Datenschutzgrundverordnung (DSGVO) ist dies nicht unproblematisch, da Microsoft oft nicht transparent genug erläutert, welche Daten zu welchem Zeitpunkt und zu welchem Zweck übermittelt werden.

Das DSK-Prüfschema für Windows 10

Aus diesen Gründen hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im November 2019 ein Schema zur Prüfung des Einsatzes von Windows 10 beschlossen. Dadurch sollen die Anwender in die Lage versetzt werden, eigenständig die Einhaltung von rechtlichen - vor allem datenschutzrechtlichen - Vorgaben zu prüfen und zu dokumentieren.

Vor dem Hintergrund der hohen Bußgelder, die die Datenschutzgrundverordnung bei Verstößen vorsieht, erlangt die genaue Prüfung von Softwareanwendungen auf ihre Datenschutzkonformität immer größere Bedeutung. Spätestens seit der Veröffentlichung des neuen Bußgeldberechnungsmodells der DSK müssen Unternehmen damit rechnen, dass die Aufsichtsbehörden hinsichtlich der Höhe der Bußgelder weniger Zurückhaltung zeigen als bislang. Insofern dürfte das Bußgeld gegen die Deutsche Wohnen in Höhe von 14,5 Millionen Euro kein Einzelfall bleiben. Gerade der Einsatz von Anwendungen aus dem Hause Microsoft dürfte aufgrund deren Verbreitung und der diversen Stellungnahmen der Aufsichtsbehörden zunehmend kritischer überprüft werden.

Windows 10 - Prüfungsschritte vor dem Einsatz

Bei näherer Betrachtung zeigt jedoch auch das Schema der DSK, dass aufgrund der Komplexität und Vielfalt der Windows-Produkte und -Funktionalitäten keine generellen Aussagen zu einem datenschutzkonformen Einsatz getroffen werden können. Vielmehr hängt die Rechtmäßigkeit immer vom konkreten Fall ab. Entsprechend abstrakt hat die DSK auch ihre Aussagen formuliert, um möglichst viele Einzelfälle abzudecken.

Dennoch kann das DSK-Prüfschema für Windows 10 als Leitfaden dienen, um datenschutzrelevante Fragen im Zusammenhang mit dem Einsatz der Software, der Übertragung von Telemetriedaten sowie der Update-Konfiguration zu bewerten. Darüber hinaus kann das Prüfschema unterstützend für eine regelmäßig zwingend durchzuführende Datenschutzfolgenabschätzung genutzt werden. Denn theoretisch müssten bei jedem Update die veränderten Funktionen erfasst und bewertet werden.

1. Konkrete Beschreibung der Verarbeitungstätigkeit

Zunächst müssen Art, Umfang und Umstände der konkreten Verarbeitungstätigkeiten bestimmt werden, die von der Produktvariante abhängig sind. Daher müssen zunächst Informationen über die Produktfamilie (Windows 10), die Edition (zum Beispiel Enterprise), die Architektur (zum Beispiel 64-Bit), die Version (zum Beispiel 1803) und gegebenenfalls weitere Merkmale (Sprache, Multimediapaket) festgestellt werden. Erst nach Angabe dieser Informationen kann die Bestimmung über die konkreten Datenübermittlungen sowie diese Zwecke erfolgen, die auch von den eingesetzten Funktionen abhängen. Darüber hinaus muss geprüft werden, ob eine Datenübertragung in Drittländer stattfindet.

2. Prüfung der Rechtmäßigkeit der Datenübermittlungen

Wurden die konkreten Verarbeitungsvorgänge bestimmt, muss geprüft werden, ob eine ausreichende Rechtsgrundlage im Sinne der DSGVO für die Datenverarbeitung eingreift. Liegt keine Rechtsgrundlage vor, ist die Übermittlung rechtswidrig. Wenn nicht klar ist, welche Daten übermittelt werden, kann die Rechtmäßigkeit nicht festgestellt werden und sollte unterbleiben.

3. Auswahl angemessener Maßnahmen (TOM's)

Der Verantwortliche muss zusätzlich technische und organisatorische Maßnahmen (TOMs) treffen, um die unrechtmäßige Offenlegung von Daten zu verhindern. Das kann zum Beispiel eine datenschutzfreundliche Konfiguration von Windows 10 sein. Aber auch andere Maßnahmen kommen hier - abhängig vom Stand der Technik - in Betracht. Das kann etwa der Einsatz von Drittanbieter-Software zur Unterbindung von Datenübermittlungen an Microsoft sein. Auch die fortlaufende Überprüfung, beispielsweise bei Updates, muss technisch-organisatorisch sichergestellt werden.

4. Restrisikobewertung

Im nächsten Schritt ist eine Restrisikobewertung vorzunehmen. Dabei muss der Anwender die Wahrscheinlichkeit und die Schwere einer unrechtmäßigen Offenlegung unter Berücksichtigung der getroffenen Maßnahmen beurteilen. An dieser Stelle empfiehlt die DSK die Durchführung einer Datenschutzfolgenabschätzung. Ergibt die Prüfung, dass ein hohes Restrisiko verbleibt, sollte die Nutzung von Windows 10 unterbleiben und die zuständige Aufsichtsbehörde konsultiert werden.

5. Implementierung der Maßnahmen und stetige Überprüfung

Ist das Restrisiko eher gering und vertretbar, müssen die erarbeiteten Maßnahmen implementiert und regelmäßig auf ihre tatsächliche Wirksamkeit überprüft werden.

6. Updates beurteilen

Windows 10 wird zudem ständig weiterentwickelt. Aufgrund der teilweise erheblichen Änderungen durch Updates müssen diese regelmäßig überprüft und nach den oben genannten Schritten bewertet werden.