Dienstag, 10. März 2020

Windows 10 im Unternehmenseinsatz rechtswidrig?

Die Datenschutzbehörden halten den Einsatz von Windows 10 in der Standardeinstellung für nicht datenschutzkonform. Eine Bestandsaufnahme und erste Tipps.

Jonas Kierdorf, Datenschutzexperte, Compliance-Abteilung, Swiss Life Deutschland Holding

 

Im November 2019 hat die Datenschutzkonferenz (DSK) als Gremium und Sprachrohr der deutschen Datenschutzbeauftragten des Bundes und der Länder ein Prüfschema für den Einsatz von Windows 10 veröffentlicht, deren Inhalte durchaus als Statement in einer seit längerem geführten Diskussion verstanden werden können.

Microsoft zuvor bereits gefordert

Die DSGVO und Microsoft (MS) haben bereits eine Vorgeschichte. Die wichtigen MS-Produkte Windows, Office und Co. gerieten nach dem 25.05.2018 schnell in den Fokus der Datenschutzbehörden der jeweiligen EU-Mitgliedsländer. MS wurde unter anderem für die Nutzung der erhobenen Daten zu eigenen Zwecken kritisiert. Im letzten Jahr ließ sich beobachten, wie MS die eigenen Datenschutzbestimmungen weitrechend angepasst hat. Ausgelöst wurde diese Überarbeitung insbesondere durch eine öffentlichkeitswirksam platzierte Datenschutzfolgenabschätzung, der Risikoanalyse für neue oder veränderte Datenverarbeitungen, mit negativem Ausgang. Als Resultat wurde der Einsatz eines neuen Microsoft Office-Produkts in einer niederländischen Behörde vorerst untersagt. Aufgrund der angesprochenen kurzfristigen Überarbeitung der datenschutzrechtlichen Bestimmungen im MS-Vertragswesen sowie einer zusätzlichen speziellen Softwareanpassung, die die Übermittlung von personenbezogenen Daten an Microsoft beschränkt und direkt für den Kunden durch Microsoft selbst eingeführt wurde, konnte die Freigabe für die niederländische Behörde mit entsprechender Signalwirkung nach wenigen Monaten Verzögerung erfolgen.



 

Hersteller im Visier, Anwender getroffen

 Mit dem Prüfschema und den begleitenden Worten der DSK, gemäß denen die Frage, ob der Einsatz von Windows 10 datenschutzkonform ist, nicht pauschal mit Ja beantwortet werden kann, wollen die Datenschutzbeauftragten vermutlich den Druck auf MS erhöhen, weitere Anpassungen in den Grundeinstellungen ihrer Produkte hin zu einem höheren Datenschutzniveau vorzunehmen. Kurzfristig trifft das Prüfschema aber die Verantwortlichen, die in der Wahl des Betriebssystems auf Windows 10 vertrauen.

 

BUCHTIPP

Göhrig/Maull/Petersen (Hrsg.): Managementleitfaden Datenschutz, 2019.

 

Analyse, Konfiguration, Dokumentation & Überwachung

Was ist also aus Verantwortlichen-, und damit aus Unternehmersicht, zu tun? Die DSK macht als Erstes die grundsätzliche Auseinandersetzung zur fixen Anforderung. Wie Verantwortliche im Detail vorgehen sollten, beschreibt das Prüfschema genauestens. Festhalten lässt sich zunächst, dass die Auseinandersetzung beträchtliche Aufwände bedeutet und technisches wie datenschutzrechtliches Wissen benötigt. Eine Zusammenarbeit von Datenschutz und IT ist zwingend notwendig. Dann kann anhand der Produktbestandteile, -version, -variante und weiterer Merkmale ermittelt werden, welche Datenverarbeitungen auf Grund welcher Verarbeitungsgrundlage erfolgen und insbesondere, welche in eine Übermittlung von personenbezogenen Daten in Richtung MS münden. Grundsätzlich gilt: Die sogenannten Telemetriedaten, Nutzungsdaten aus der Anwendung von MS-Diensten, müssen auf ein Minimum reduziert werden. Im nächsten Schritt gilt es zu überprüfen, ob die vielfältigen Einstellungen des Betriebssystems sowie der eingebundenen Softwarelösungen dem datenschutzfreundlichsten Niveau entsprechen und wo möglicherweise Abweichungen hiervon notwendig sind. Jede Abweichung von diesem Niveau ist ein Risiko für die Betroffenen der Verarbeitung und sollte in der Dokumentation präzise begründet werden. Das Stichwort Dokumentation begleitet die gesamte Prüfung. Getreu dem Motto „was nicht dokumentiert ist, ist nicht passiert“ und der Rechenschaftspflicht aus Art. 5 DSGVO sollte man sich gegenüber möglichen Nachfragen von Aufsichtsbehörden absichern.

Aus den Bedarfen resultierende Risiken stellen allerdings kein unüberwindbares Hindernis dar. Ihnen kann und sollte durch zusätzliche Schutzmaßnahmen begegnet werden. Nach ergriffenen Schutzmaßnahmen ist bei Verarbeitungen auf Grundlage eines berechtigten Interesses zusätzlich eine Interessensabwägung notwendig. Zuletzt empfiehlt es sich, dass Datenschutz & IT einen Informations- und Betreuungsprozess für Neuerungen wie Updates oder Erweiterungen vereinbaren und ebenfalls dokumentieren. Nur so können mögliche Neuerungen der erstellten Dokumentation hinzugefügt und somit ein dauerhaft rechtssicherer Einsatz von Windows 10 erreicht werden.

 

BERATUNGSTIPP

Auslagerung Datenschutz.

 

PRAXISTIPPS

  • Beschäftigen Sie sich eingehend mit dem Thema Prüfschema und Ihren Windows-Einstellungen. Halten Sie fest, welche Umfänge Sie in welcher Konfiguration nutzen und welche Datenverarbeitungen diese bedeuten.
  • Stellen Sie an allen Stellen eine möglichst geringe Datenübermittlung an Microsoft sicher.
  • Sensibilisieren Sie die zuständigen Abteilungen Datenschutz und IT für eine Zusammenarbeit.
  • Stellen Sie eine laufende Betreuung der Microsoft Updates und Funktionserweiterungen durch Datenschutz sicher und ergänzen Ihre Dokumentation.




Beitragsnummer: 6220

Beitrag teilen:

Produkte zum Thema:

Produkticon
Konfliktmanagement & Kommunikation in Revisionsalltag

Beiträge zum Thema:

Beitragsicon
Risiken unautorisierter Telefonwerbung

Auslegungshinweise § 7a UWG u. Art. 7 DSGVO vs. Praxis, Kontrollen intensivieren, Systeme & Prozesse optimieren, Feststellungen und Bußgelder vermeiden!

17.11.2023

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.