Windows 11 steht vor der Tür! Derzeit überlegen Unternehmen auf das neue Betriebssystem von Microsoft umzusteigen, einige nutzen es bereits. Aber was gilt es datenschutzrechtlich zu beachten – wie kann sichergestellt werden, dass der Einsatz von Windows 11 datenschutzkonform verläuft?
Wer Windows 11 nutzen will, hält sich an die Regeln für Windows 10
Gleich vorweg: Weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch die Landesdatenschutzbehörden haben sich bisher zu Windows 11 geäußert. Um den Einsatz dennoch bewerten zu können, sollten die aktuell für Windows 10 geltenden öffentlichen Prüfungen als Grundlage zur Konfiguration herangezogen werde und mit den Änderungen in Windows 11 verglichen werden. Darüber hinaus sollten auch die unterschiedlichen Komponenten von Windows 11 geprüft werden.
Aktuelle Empfehlungen zu Windows 10
Die Frage, ob Windows 10 datenschutzkonform ist, kann nicht pauschal beantwortet werden, da Windows 10 einer Produktfamilie angehört, bei der das eigentliche Betriebssystem nur noch einen Teil der gelieferten Funktionalität ausmacht. Zusätzlich wird dies ständig und fortlaufend durch Updates verändert.
Das datenschutzrechtliche Problem beim Einsatz von Windows Betriebssystemen ist die Datenübertragung an Microsoft in die USA. Die Nutzung von Windows in Unternehmensnetzwerken sowie der Anschluss an das Internet eröffnet Microsoft die Möglichkeit, Informationen über Betriebssystemaktivitäten und damit den Systemzustand eines Computersystems an eigene Server in den USA zu übertragen. Microsoft selbst stellt Informationen über Konfigurationsmöglichkeiten bereit, mit denen die Kommunikation zu Microsoft unter Windows 10 gesteuert werden kann. Verschiedene Untersuchungen zeigten allerdings, dass es aktuell nicht möglich ist, die Datenübertragung durch Konfiguration von Windows 10 vollständig zu unterbinden. Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor (vgl. hier).
Diese Problematik ist nach wie vor aktuell. Das LFD Niedersachsen stellte Ende 2021/Anfang 2022 fest, dass die Übermittlung von Telemetriedaten an die Microsoft Corporation und/oder ihre Konzernunternehmen nach wie vor datenschutzrechtlich problematisch ist (vgl. hier).
Was kann man tun?
Um dieses Problem datenschutzkonform zu lösen, gibt es derzeit nach wie vor nur zwei Alternativen.
On or Off
Verantwortliche für die Übermittlung personenbezogener Daten an Microsoft müssen eine Rechtsgrundlage gemäß Artikel 6 Datenschutz-Grundverordnung (DSGVO) nachweisen können und – sofern die übermittelten Daten in den Anwendungsbereich der problematischen US-Aufklärungsprogramme fallen –darüber hinaus nachweisen, dass durch Übermittlungsinstrumente und zusätzliche Maßnahmen ein Schutzniveau sichergestellt werden kann, das im Wesentlichen dem im Europäischen Wirtschaftsraum garantierten Niveau entspricht (EuGH-Urteil vom 16.07.2020 – C-311/18 – Schrems II).
Oder die Telemetriedatenübermittlung ist vollständig zu unterbinden. Wird durch technische Maßnahmen verhindert, dass eine Übertragung von Daten an Microsoft stattfindet, dann benötigt der Verantwortliche auch keine Übermittlungsgrundlage.
Prüfung der DSK und des BSI
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat ein Prüfschema zum datenschutzkonformen Einsatz von Windows 10 herausgebracht, welches es Verantwortlichen erleichtern soll, den rechtskonformen Einsatz von Windows 10, auch im Hinblick auf die Übermittlung von Telemetriedaten, zu beurteilen (vgl. hier).
Nachdem Microsoft gegenüber den Aufsichtsbehörden erklärt hatte, dass bei der Nutzung der Telemetriestufe Security in der Version Enterprise keine Telemetriedaten übermittelt werden, hat eine Arbeitsgruppe der DSK ihre Untersuchung von Windows 10 in Hinblick auf die Telemetriestufe Security, fortgesetzt. Daneben hat sich auch das BSI selbst in einer umfangreichen Studie (SiSyPHuS-Studie) mit der Fragestellung der Windows 10 Telemetriefunktion auseinandergesetzt.
Empfehlung des BSI
Das BSI empfiehlt weiterhin – leider praxisuntauglich – Windows 10 im Rahmen einer Netztrennung zu betreiben. Denn die Untersuchungsergebnisse zeigen, dass auch beim Einsatz von Windows 10 Enterprise mit der Konfiguration „Windows Restricted Traffic Limited Functionality Baseline“ und der Telemetriestufe “Security“ Datenübertragungen zu „settingswin.data.microsoft.com“ erfolgen (vgl. hier).
Empfehlung der Aufsichtsbehörden
Die Aufsichtsbehörden betonen, dass die Übermittlung personenbezogener Telemetriedaten durch den Einsatz der Enterprise-Edition und der Konfiguration der Telemetriestufe Security sowie mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) zu unterbinden ist.
Sofern der Internetzugriff nicht unterbunden werden kann, wird davon ausgegangen, dass sich die Enterprise-Edition nur so konfigurieren lässt, dass nur noch eingeschränkt Telemetriedaten übermittelt werden. Folglich bedarf es zusätzlich einer Rechtsgrundlage. Insofern kommt Art. 88 DSGVO i. V. m. § 26 BDSG in Betracht. Darüber hinaus bedarf es geeigneter Garantien gem. Art. 44 ff. DSGVO, da eine mögliche Übermittlung von personenbezogenen Daten an Server in die USA erfolgt. Nach Wegfall des Privacy Shields wären sodann mit Microsoft die neuen EU-Standardvertragsklauseln mit dem jeweils entsprechenden Modul abzuschließen, sofern noch nicht geschehen. Gleichzeitig reichen – so die Ansichten der Aufsichtsbehörden – die bloßen EU-Standardvertragsklauseln nicht aus, um ein wirksames Schutzniveau im Drittland gewährleisten zu können. Der Verantwortliche muss zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen. Es sind daher weitere Maßnahmen (vertragliche oder organisatorische) zu ergreifen, um ein wirksames Schutzniveau zu erreichen. Microsoft bietet hier eine Zusatzvereinbarung an. Jedoch wird damit die „Transferproblematik in die USA“ wohl noch nicht vollständig gelöst – so u. a. die Ansicht des LfDI BW. Eine Ergänzung der Standardvertragsklauseln könne nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.
Fazit
Im veröffentlichten Prüfschema wird erläutert, dass Verantwortliche entweder den Nachweis für die Rechtmäßigkeit etwaiger Übermittlungen personenbezogener Daten an Microsoft erbringen müssen oder die Übermittlung personenbezogener Daten an Microsoft unterbinden müssen.
Da allerdings nur bei der Entreprise Version das Unterbinden überhaupt ermöglicht wird, jedoch nicht vollumfänglich ausgeschlossen, sollten die rechtlichen und technischen Datenschutzvorgaben aus dem Prüfschema so umfangreich wie möglich umgesetzt werden. Je nach getroffenen technischen und organisatorischen Maßnahmen, miteinbezogen auch die gewählten Konfigurationseinstellung, stellt sich sodann auch die Frage der Risikobewertung im Rahmen einer Datenschutzfolgenabschätzung.
Konsequenz für Windows 11
Vor dem Einsatz des neuen Betriebssystems Windows 11 sind die jeweils aktuellen datenschutzrechtlichen Empfehlungen des BSI und der Aufsichtsbehörden zu beachten und umzusetzen.
Da es zu diesem Zeitpunkt noch keine konkreten datenschutzrechtlichen Einstellungsempfehlungen für Windows 11 von den Landesdatenschutzbehörden oder des BSI gibt, sollten die derzeit für Windows 10 geltenden datenschutzrechtlichen technischen und organisatorischen Maßnahmen (davon inbegriffen die derzeit datenschutzrechtlich empfohlenen Konfigurationseinstellungen) umgesetzt werden.
Hierunter fällt u. a. die Unterbindung der Übermittlung der Telemetriedaten an Microsoft Konzerne in die USA. Dies kann derzeit nur durch Nutzung der Version „Enterprise“ bei gleichzeitiger Einstellung der Telemetriestufe „security“ und der Vornahme weiterer Maßnahmen wie der Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur sichergestellt werden. Gleichzeitig sollten, sofern noch nicht geschehen, mit Microsoft die neuen EU-Standardvertragsklauseln sowie die angebotene Zusatzvereinbarung abgeschlossen werden.
Darüber hinaus müssen die ergriffenen Maßnahmen bei jeder neuen Version oder Release-Ständen überprüft werden. Gleichzeitig muss stets geprüft werden, ob es neue Empfehlungen für Windows 10 oder bereits für Windows 11 durch das BSI oder durch die Länderaufsichtsbehörden gibt. Des Weiteren muss die technische Weiterentwicklung von Windows 11 zudem auch im Anschluss nach dem Einspielen von weiteren Windows Updates kontinuierlich durch die zuständige IT monitort werden, um jeweils die datenschutzfreundlichsten Einstellungsoptionen vorzukonfigurieren / umzusetzen.
17. September 2022 @ 10:30
Dieser Beitrag ist schon etwas her, aber trotzdem noch ein paar Worte zu diesem (ewigen) Thema: Im Grunde kann vieles dieser Gesamtproblematik gelöst werden, indem der Einsatz von Open-Source-Software bevorzugt wird. Dabei ist das Betriebssystem ja nur ein Rad im Getriebe der EDV. Alternativ kann auch Closed-Soucre-Software, von unabhängigen Gutachter geprüft und gesiegelt, ein gleichwertiges Sicherheits-Niveau erreichen. Das Prinzip dahinter ist eigentlich doch sehr banal: viele Augen sehen eben mehr und die Spitzbuben dieser Welt sind (noch 😉 in der Minderheit. Also fallen „negative“ Manipulationen früher oder später jemandem auf – und schon läuten die Alarmglocken.
Eine 100%ige Sicherheit wird es jedoch niemals geben. Dazu ist der menschliche Erfindungsreichtum und die Varianz aller maßgeblichen Faktoren einfach zu groß. Und kein Verbrecher wird sich jemals an irgendein Gesetz oder Verbot halten. Solche Regularien dienen maximal der Abschreckung derer, die sich sowieso an moralische und gesellschaftliche Codexe halten wollen.
Ich selber habe unter Windows mit Mozilla, OpenOfficeOrg und anderen kleinen Helferlein die Open-Source-Gemeinde kennengelernt. Vor nun fast 10 Jahren habe ich dann Windows durch Linux ersetzt. Seither sehe ich für mich kaum einen Grund mehr, Microsoft-Produkte einzusetzen.
Seither sind meine Computer wie VW-Käfer – sie laufen und laufen und laufen 😉
Und zu guter Letzt doch noch ein Dank an Microsoft: mit eurer permanent fehlerhaften Software und der riesigen Anzahl installierter Systeme zieht ihr die allermeisten Schad-Programmierer an. Vielen lieben Dank dafür!
24. März 2022 @ 11:11
Prinzipiell wäre es korrekt, derartige Software zu verbieten, da sie nicht nur gegen die DSGVO verstoßen, sondern sehr viel mehr der weiteren Überwachung dienen (Stichwort Agenda 2030, Global Change, etc.). Das „Abschalt-Argument“ ist somit gar kein „Totschlag-Argument“, wenn man eine etwas menschenfreundlichere Sichtweise vor Augen hat.
Natürlich schreckt so eine Einschätzung die meisten ab, die dies als Blödsinn abtun. In den nächsten 2-4 Jahren können dann beide Gruppen ihre Einschätzung in praxi nochmal selbst begutachten.
21. März 2022 @ 8:16
Wem fällt nur so ein Schwachsinn ein? Am besten wir schalten einfach alles ab und gut ist.
Ernsthaft: Warum wird das nicht von einer zentralen Stelle alles geprüft?
Da Leute am Werkeln die mit ihren entbehrlichen Erkenntnissen nicht arbeiten müssen.