Niedersachen klar Logo

Datenschutzkonformer Einsatz von Windows 10

In vielen Behörden und Unternehmen ist Windows 10 bereits im Einsatz, weitere haben mit der Umstellung begonnen oder planen diese. Die Datenschutz-Grundverordnung (DS-GVO) verlangt von Verantwortlichen, die datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustellen. Die Frage, ob der Betrieb von Windows 10 datenschutzkonform ist, kann deshalb nicht pauschal beantwortet werden.


Windows 10 ist der Begriff für eine Produktfamilie, in der das eigentliche Betriebssystem nur noch einen Teil der gelieferten Funktionalität ausmacht. Diese verändert sich zudem durch Updates fortlaufend. Von der konkreten Edition, der Version und der vorgenommenen Konfiguration hängen daher der Funktionsumfang und die Datenübermittlungen an Microsoft ab. Die Bestimmung des genauen Prüfgegenstands ist das Fundament für die datenschutzrechtliche Prüfung. Darüber hinaus muss festgestellt werden, wie Windows 10 eingesetzt wird und welche Funktionen (z. B. Cortana oder Windows Defender) genutzt werden. Das bedeutet, dass festgehalten werden muss, welche Verarbeitungstätigkeiten bei der Nutzung von Windows 10 durchgeführt werden und welche personenbezogenen Daten in welchem Umfang verarbeitet werden. Außerdem müssen Erkenntnisse darüber vorliegen, welche personenbezogenen Daten für welche Zwecke an Microsoft übermittelt werden.


Als Hilfestellung hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) 2019 ein Schema veröffentlicht, das die vollständige Prüfung und Dokumentation durch die Verantwortlichen im Rahmen der Rechenschaftspflicht erleichtern soll. Es enthält rechtliche und technische Hinweise auf Prüfschwerpunkte und einen strukturierten Prüfablauf. Der Anhang zum Prüfschema geht detaillierter auf technische Aspekte ein. (Hinwies: Die im Schema enthaltenen Ausführungen zum Internationalen Datenverkehr bedürfen nach dem Schrems II-Urteil des Europäischen Gerichtshofs der Überarbeitung.)


Eine besonders große Herausforderung ist es für Verantwortliche, die Rechtmäßigkeit der im Hintergrund stattfindenden Übertragung von Telemetriedaten an Microsoft festzustellen. Als Alternative dazu kann der Verantwortliche auch versuchen, diese Datenströme vollständig zu unterbinden. Die DSK hat im Rahmen ihrer 100. Sitzung am 25. und 26. November in einem Beschluss festgestellt, dass Verantwortliche beim Einsatz der Enterprise-Edition von Windows 10 die Übermittlung personenbezogener Telemetriedaten unterbinden können, wenn sie die Telemetriestufe „Security“ nutzen. Die Enterprise-Edition von Windows 10 war im IT-Labor der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen in verschiedenen Szenarien getestet worden. Dabei zeigte sich, dass unter bestimmten Voraussetzungen (Anwendung des „Windows Restricted Traffic Limited Functionality Baseline“, Telemetriestufe „Security“) keine Telemetriedaten an Microsoft übermittelt wurden. Den ausführlichen Prüfbericht finden Sie .


Allerdings, so die DSK, seien immer noch Fragen zur Datenübermittlung unbeantwortet, weshalb Verantwortliche nicht abschließend von ihrer Prüf- und Nachweispflicht für den datenschutzkonformen Einsatz von Windows 10 entlastet werden könnten. Sie müssten mit vertraglichen, technischen oder organisatorischen Maßnahmen sicherstellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet. Dies gilt besonders für den Einsatz der Pro- und Home-Editionen, in denen die Telemetriestufe derzeit nicht auf Security gesetzt werden kann. Windows 10, so die Forderung der Datenschutzkonferenz, sollte in allen angebotenen Editionen die Möglichkeit bieten, die Telemetrie-Datenverarbeitung durch Konfiguration zu deaktivieren. Um das zu erreichen, werden die Datenschutzaufsichtsbehörden weiter das Gespräch mit Microsoft suchen.

zum Seitenanfang
zur mobilen Ansicht wechseln