Jeder Computer braucht ein Betriebssystem wie Windows, Mac OS oder Linux. Wir möchten Ihnen einen Einblick in das aus datenschutzrechtlicher Sicht viel kritisierte Windows 10 verschaffen und Ihnen aufzeigen unter welchen Umständen das Betriebssystem datenschutzkonform genutzt werden kann.

1.

Die Kritik wird vor allem hinsichtlich der umfangreichen Telemetrie, im Rahmen des Benutzertrackings und der zahlreichen Analysen, auch zu Webezwecken geäußert. Mit diesem Thema haben sich auch eine Reihe von Aufsichtsbehörden befasst. In seinem Tätigkeitsbericht befasste sich beispielhaft auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in dem zuletzt erschriebenen Bericht für das Berichtsjahr 2019 damit. Er beschreibt in seinem Bericht einen entsprechenden Testaufbau mit der Analyse anhand eines virtuellen Windowsservers sowie Client-Instanz, die mittels eines sog.  Man-in-the-Middle-Proxy sämtlichen Netzwerkverkehr protokollierte. Die konkreten Ergebnisse dieser Betrachtung stehen noch aus und müssen noch in Abhängigkeit der turnusmäßigen Windows-Updates zusammengetragen werden. Auch das Bayrische Landesamt für Datenschutzaufsicht hat sich im Jahresbericht 2019 mit diesem Thema befasst. Es wurde sogar ein konkreter Arbeitskreis „Windows 10“ zur rechtlichen Bewertung der Datenflüsse geschaffen mit dem Ziel eine Laboranalyse der Telemetriedaten zu erreichen. Gegenstand der Überprüfungen war Windows 10 in der Enterprise-Version (und Education-Version). Es konnte festgestellt werden, dass die Telemetriedaten, also die „automatischen Datenübermittlungen“ grundsätzlich deaktivieren lassen. Problematisch ist allerdings, dass nach jedem Update die datenschutzrechtliche Zulässigkeit erneut überprüft werden muss.

2.

Wir haben in Stichpunkten zusammengefasst, unter welchen Umständen eine Nutzung möglich ist. Dazu sollten die folgenden Vorkehrungen bzw. Einstellungen getroffen werden:

• Installation neuster Updates;
• Aktivierung des Virenschutzes auch für den Echtheitsschutz und Cloudbasierter Schutz sowie den „Ransomware-Schutz“;
• Individuelle Kontoschutzeinstellungen z.B. Synchronisationsdaten auswählen – Steuerung über Gruppenrichtlinien;
• Datenschutzeinstellungen sollten genutzt werden z.B. keine Werbe-ID oder Personalisierung der Werbung;
• Deaktivierung der Spracherkennung sowie von „Cortana“ (so wird auch das Hochladen von Sprachnachrichten in die Cloud unterbunden);
• Deaktivierung des Zugriffs auf die Position (auch für einzelne Apps);
• Deaktivierung der Kamera und des Mikrofons;
• Steuerung der Zugriffe auf das Microsoft Konto, Kontakte sowie „Kalender“, „E-Mail“, „Aufgaben“ und „Messaging“;
• Steuerung der Apps im Hintergrund;
• Löschung der Diagnose und Feedbackdaten an Microsoft bzw. Einschränkung, welche Daten an Microsoft gesendet werden (aber keine gänzliche Unterbindung) – Tool Windows Diagnostic Data Viewer;
• Aktivierung des Sperrbildschirm;
• Verschlüsselung z.B. über BitLocker.

Inwieweit diese Maßnahmen ausrechend sind und zukünftig bestehen bleiben, muss allerdings im Einzelfall anhand der tatsächlichen Gegebenheiten überprüft werden. Sinnvollerweise sollte auch bei der Planung und Einbindung eines Betriebssystems eine Datenschutz-Folgenabschätzung in Betracht gezogen werden, um die Gefahren und Risiken zu überprüfen.

3.

Neben dem Betriebssystem müssen auch die einzelnen Anwendungsprogramme datenschutzkonform ausgestaltet werden. Dies gilt auch für den Einsatz von Microsoft Office als Einzelkomponenten oder Abonnement in Form von Office 2016 bzw. 365. Dazu hat die niederländische Datenschutzaufsicht sich bereits wie folgt geäußert. Ab Version 1905 von Office 365 Pro Plus geht die niederländische Datenschutzaufsicht unter gewissen Voraussetzungen von datenschutzkonformem Einsatz aus. Stichpunktartig haben wir auch diese zusammengestellt:

• Deaktivierung von Nutzung von Connected Experiences/Services;
• Bei den Diagnosedaten sollte die Option „weder noch“ ausgewählt werden;
• Deaktivierung des Datenversands in Form von Customer Experience Improvement Programms (CEIP);
• Deaktivierung von LinkedIn-Integration von Mitarbeiterkonten;
• Verwendung von Customer Lockbox oder Customer Key;
• Deaktivierung der Workplace Analytics oder Activity Reports oder eine Datenschutz-Folgenabschätzung;
• Mitarbeiter sollten darauf hingewiesen werden, dass Office Online Anwendungen oder mobile Office Applikationen nicht zu verwenden sind.

Es gibt dazu noch keine offizielle Aussage von der deutschen Datenschutzaufsicht bzw. die hessische Datenschutzbeauftragte hatte sich im August 2017 zum Einsatz von Microsoft Office 365 an Schulen geäußert. Es bleibt also derzeit abzuwarten, ob diese Anwendung datenschutzkonform eingesetzt werden kann.

Neben diesen umzusetzenden Einstellungen stellt Microsoft zudem die entsprechenden Standartvertragsklauseln unter https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=31 zur Verfügung.