Datenschutz bei “Betriebssystemen”

Das haben alle sicher schon Dutzende Male erlebt: mitten in der Arbeit hängt sich das Programm auf, und beim Schließen erscheint die Frage des Betriebssystems, ob das Problem an den Hersteller berichtet werden soll. Ärgerlich, aber auch gut. Dass der Hersteller sein System so zu verbessern sucht, ist in Ordnung und sogar im Sinne des Kunden. Aus datenschutzrechtlicher Sicht ist aber eine andere Frage von Belang: welche Daten werden bei diesem Vorgang denn eigentlich noch berichtet? In diesem Zusammenhang ist nun ein Blick auf Windows 10 von Microsoft interessant. Darauf hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder unlängst hingewiesen.

Mit Windows 10 verstärkt Microsoft seine Geschäftsidee: weg vom Verkauf eines reinen Betriebssystems und hin zum Angebot einer Service-Plattform. Mehr noch als bei den Vorgängerversionen gilt bei Windows 10: es ist längst kein reines Betriebssystem mehr. Der Sprachassistent Cortana und der Webbrowser Edge stehen exemplarisch für eine ganze Reihe von Komponenten, die das Betriebssystem ergänzen und die sich teilweise einzeln konfigurieren lassen. Je nach Variante sind diese Möglichkeiten allerdings unterschiedlich: während die hauptsächlich in Unternehmen genutzte „Enterprise-Edition“ die größten Optionen zur Konfiguration bietet, sind die Konfigurationsmöglichkeiten in der landläufigen „Home-Edition“ vergleichsweise gering. Ein weiteres kommt hinzu: bestehende Konfigurationen können sich durch die Übertragung der angebotenen Updates wieder verändern, neue könnten hinzukommen.

Welche Daten wandern nun von wo nach wohin? Abgesehen vom oben beschriebenen Problem beim Programmfehler werden ständig Daten übertragen, sobald der PC im Betrieb ist. Dazu gehören nicht nur Aktivitäten des Betriebssystems oder der Systemzustand des PC; dazu können auch personenbezogene Daten gehören wie etwa IP-Adresse, Nutzerkonto, Position, Nutzerverhalten, Internetaktivität, Präferenzen oder Suchaktivitäten. Einmal abgesehen davon, dass diese Angaben auch zu Werbeaktivitäten bei Microsoft dienen könnten, hat dieser Vorgang selbstredend eine datenschutzrechtliche Relevanz. So hat der Datenschutzbeauftragte des Freistaats Bayern bereits in einer schon 2017 vorgelegten Untersuchung nachgewiesen, dass die Datenübertragung zwischen Windows 10 und Microsoft durch den Nutzer gar nicht vollständig unterbunden, sondern nur eingeschränkt werden kann.

Zu diesen über die Konfigurationseinstellungen vorzunehmenden Einschränkungen zwei kurze Punkte aus der Praxis:

  • Microsoft selbst hat für das Verwalten von Verbindungen zwischen Windows 10-Betriebssystemkomponenten und Microsoft-Diensten sozusagen eine Gebrauchsanweisung herausgegeben. Alleine die Lesedauer wird vom Hersteller mit einer knappen Stunde angegeben. Ob Otto Normalverbraucher mit der Vorlage fachlich klarkommt, lassen wir an dieser Stelle mal offen.
  • Der „Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen“ (AKIF) hat Ende 2016 eine „Orientierungshilfe zur datenarmen Konfiguration von Windows 10“ vorgelegt. Der Vorteil: hier ist jeder notwendige Schritt haarklein beschrieben; der Nachteil: bis man sich durch die insgesamt mehr als 100 (!) Seiten durchgearbeitet hat, dürfte es ein wenig dauern.

Grundsätzlich lassen sich aus der Sicht des Datenschützers beim Einsatz von Windows 10 folgende fünf notwendigen Schritte festhalten:

  1. Die Verarbeitungstätigkeit (Art, Umfang und Umstände) muss beschrieben werden.
  2. Die festgestellten Datenübermittlungen müssen auf ihre Rechtmäßigkeit überprüft werden.
  3. Es müssen Maßnahmen getroffen werden, die eine unrechtmäßige Datenübertragung verhindern.
  4. Hernach ist eine Bewertung des Restrisikos durchzuführen, was auch bedeuten kann, dass nach Artikel 35 DS-GVO eine Datenschutzfolgeabschätzung ansteht, wenn die Übertragung von Daten nicht abgestellt werden kann.
  5. Schließlich sind die einzelnen Maßnahmen umzusetzen und auf ihre Wirksamkeit hin zu überprüfen.

Nur der Vollständigkeit halber: in seinem Bericht an den Landtag hat der baden-württembergische Datenschutzbeauftragte im vergangenen Jahr angemerkt, dass die Frage des Datentransfers natürlich auch für die Produktfamilie Office 365 des gleichen Herstellers wichtig ist, die hierzulande weit verbreitet ist. Grund hierfür ist das so genannte „Safe-Harbor-Urteil“ des EuGH aus 2015. Luxemburg hatte seinerzeit geurteilt, dass – vereinfacht gesagt – Drittstaaten (auch die USA), die nicht über das europäische Datenschutzniveau verfügten, im Prinzip keine geeigneten Empfänger von personenbezogenen Daten aus Europa seien. Im Fall von Microsoft gilt zunächst, dass durch das EU-US Privacy-Shield Abkommen, an dem das Unternehmen teilnimmt, geeignete Garantien gegeben sein sollten. Allerdings steht auch dieser Angemessenheitsbeschluss weiterhin in Kritik.

Sollten Sie Fragen zu diesem Thema haben, können Sie gerne jederzeit zu uns Kontakt aufnehmen.

zurück zum Blog