Windows 10

© geralt / pixabay.com

Windows 10 ist der Begriff für eine Produktfamilie der Microsoft Corporation, bei der das eigentliche Betriebssystem nur noch einen Teil der gelieferten Funktionalität ausmacht, die sich zudem durch Updates fortlaufend verändert. Beim Einsatz von Windows 10 werden in großem Umfang Nutzungs- und Telemetriedaten verarbeitet, die aufgrund ihrer Art und der bestehenden Zuordnungsmöglichkeiten zu den genutzten Endgeräten Personenbezug aufweisen können. Die konkreten Datenübermittlungen hängen von der konkreten Edition, der Version und der vorgenommenen Konfiguration ab.

Entsprechende Untersuchungen wurden im Rahmen der SiSyPHus-Studie durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) durchgeführt.

Die Datenschutzkonferenz hat hinsichtlich der von Windows 10 übermittelten Telemetriedaten ein Prüfschema beschlossen, mit dem den Verantwortlichen die Überprüfung der Einhaltung der datenschutzrechtlichen Vorgaben erleichtert und ein datenschutzkonformer Einsatz von Windows 10 ermöglicht werden soll. 

Zur Unterbindung der Übermittlung personenbezogener Telemetriedaten haben die Verantwortlichen beim Einsatz der Enterprise-Edition die Telemetriestufe Security zu nutzen und mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet. 

FAQs zu Windows 10

Welche Pflichten treffen die Verantwortlichen beim Einsatz von Microsoft Windows 10?

Verantwortliche müssen gemäß Art. 5 Datenschutz-Grundverordnung (DS-GVO) den Nachweis für die Rechtmäßigkeit etwaiger Übermittlungen personenbezogener Daten an Microsoft erbringen oder die Übermittlung personenbezogener Daten unterbinden. 

Des Weiteren bedarf es für die Übermittlung personenbezogener Telemetrie und Nutzungsdaten an Microsoft einer Rechtsgrundlage.

Hierbei sind drei Fallgruppen zu unterscheiden. 

  1. Verhinderung der Übertragung: Wird durch technische Maßnahmen verhindert, dass eine Übertragung von Daten an Microsoft stattfindet, dann benötigt der Verantwortliche auch keine Übermittlungsgrundlage. Er muss jedoch sicherstellen, dass die technischen Maßnahmen zur Verhinderung einer Übermittlung im Sinne von Art. 25 Abs. 1 DS-GVO angemessen und wirksam sind. Gleichzeitig wäre damit eine mögliche Erhebung von personenbezogenen Daten durch Microsoft unter Nutzung der Mittel des Verantwortlichen unterbunden. Der Frage, ob Microsoft selber Verantwortlicher ist, müsste nicht weiter nachgegangen werden. 
  2. Minimierung der Datenübertragung: Die Enterprise-Edition lässt sich so konfigurieren, dass nur noch eingeschränkt Telemetriedaten, aber weiterhin Daten über die Nutzung des Systems weitergegeben werden. 
  3. Keine Minimierung der Übertragung: In der dritten Konstellation werden Funktionen genutzt, durch die auch Dateiinhalte und somit auch personenbezogene Daten von Beschäftigten oder sonstigen betroffenen Personen durch den Verantwortlichen an Microsoft weitergegeben werden können. 

Sofern personenbezogene Daten an Microsoft übertragen werden (Fallgruppen 2 und 3) und Microsoft die Daten für eigene Zwecke nutzt , wird Microsoft dadurch selbst zum Verantwortlichen im Sinne der DS-GVO. Sofern dies nicht der Fall ist, kann die Weitergabe von personenbezogenen Daten als Form der Auftragsverarbeitung nach Art. 28 DS-GVO zulässig sein.

Darüber hinaus sind ggfs. die Anforderungen an die Zulässigkeit von Datenübermittlungen in Drittländer, also in Länder außerhalb der EU bzw. dem EWR, zu beachten, die sich aus Kapitel V DS-GVO ergeben und seit dem EuGH-Urteil vom 16.07.2020 (sog. Schrems II-Urteil) in dessen Lichte auszulegen sind. Weitere Informationen hierzu finden Sie hier.

Welche Möglichkeiten bestehen, die Übermittlung von Telemetriedaten einzuschränken?

Zur Unterbindung der Übermittlung personenbezogener Telemetriedaten haben die Verantwortlichen beim Einsatz der Enterprise-Edition die Telemetriestufe Security zu nutzen und mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.

Siehe hierzu: 

Die für die Verarbeitung Verantwortlichen sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die Schutz bieten vor unbefugter oder unrechtmäßiger Verarbeitung (Art. 5 DS-GVO). Hinsichtlich der Übertragung von Telemetriedaten sind dabei insbesondere folgende Maßnahmen von Bedeutung:

  • Prüfung der Datenübertragungen an Microsoft. Dies sollte exemplarisch den Datenverkehr, der Benutzercomputer verlässt, und seine Ziele abdecken, um den Datenfluss von Microsoft-Software zu Microsoft-Servern oder anderen Zielen herauszufinden. Dabei sollten insbesondere die normalen Nutzungsmuster der eingesetzten Microsoft-Produkte und -Dienste abgedeckt werden. 

    Für die Analyse von Diagnosedaten unter Windows 10 und bei Office Produkten stellt Microsoft den Diagnosedaten-Viewer (DDV) zur Verfügung.
  • Soweit entsprechende Konfigurationsmöglichkeiten nicht zur Verfügung stehen, sind, um die Übermittlung personenbezogener Telemetriedaten zu unterbinden, mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe über eine entsprechende eigene Infrastruktur des Verantwortlichen) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.
  • Überwachung von Microsoft-Produktupdates und Prüfung etwaiger damit verbundener Konfigurationsänderungen.
  • Wenn Microsoft-Produkte und -Dienste eingesetzt werden sollen, die zuvor noch nicht verwendet wurden, sind vor der Bereitstellung Bewertungen der Datenschutzrisiken dieser Produkte und Dienste durchführen. 

Weitere Informationen:

Veröffentlichung des Europäischen Datenschutzbeauftragten "Outcome of own-initiative investigation into EU institutions’ use of Microsoft products and services" (2. Juli 2020)