Umsetzung der DSGVO Erfordernisse für den Betrieb von Windows 10
Sieben Schritte, wie man Windows 10 nach DSGVO prüft und sicher betreibt.
Unternehmen und staatliche Einrichtungen die Windows 10 einsetzen müssen diese Plattform auf DSGVO Erfordernisse prüfen und ggf. korrektive Maßnahmen umsetzten.
Denn Windows 10 ist nicht nur ein Betriebssystem, es ist eine Produktfamilie mit vielen Funktionalitäten die personenbezogene Daten verarbeiten, diese weiterleiten und speichern. Wer Windows 10 Systeme nicht auf DSGVO Konformität prüft und sie nicht auf die gesetzlichen Erfordernisse anpasst riskiert Strafen.
Nicht nur DSGVO Strafen, auch mangelnde IT-Sicherheit können hohe Schäden in Unternehmen und Behörden verursachen. Daher ist es in jedem Fall ratsam die Datenverarbeitung von Windows 10 zu kennen und zu kontrollieren.
Schritt 1
Zunächst wird die Edition und Version von Windows 10 aufgenommen. Microsoft bietet mehrere Editionen, z.B.:
– Windows 10 -Enterprise
– Windows 10 Education und Home
– Windows 10 Windows Server 2016 und höher
Alle diese in verschiedenen Versionen (z. B. 1803) und ggf. weiterer Merkmale (z.B.: Sprache, Multimediapaket) an.
Schritt 2
Dann werden die Produkte und Funktionalitäten gelistet, die tatschlich genutzt oder geplant sind.
Für die DSGVO müssen die Verarbeitungstätigkeiten derjenigen Produkte beschrieben werden, die personenbezogene Daten beinhalten. Wichtig dabei sind Datenweiterleitung, z.B. an Microsoft, und die Speicherung.
Denn während Privatnutzer von Windows 10 die Datenweiterleitung ihrer personenbezogenen Daten an Microsoft mit einer Einwilligung legalisieren, können Mitarbeiter von Unternehmen und Behörden hier keine Zustimmung geben. Einwilligungen setzten nämlich die Freiwilligkeit voraus, die ist bei Mitarbeitern nicht gegeben, sie können ja nicht ablehnen, solange sie mit Windows 10 arbeiten müssen.
Auch die Vorschriften zur Löschung von Daten, können nur eingehalten werden, wenn man weiß welche Daten sich an welcher Stelle befinden.
Microsoft hat seine Windows 10 Produkte den Anforderungen der DSGVO angepasst und stellt für jede Edition einen Leitfaden zur Konfiguration sowie der nötigen Dokumentation zur Verfügung. Diesen Leitfanden finden Sie hier.
Schritt 3
Nachdem die Verarbeitungstätigkeiten, einschließlich der Art, Umfang, Umstände und Zweck der Datenvereinbarungen beschrieben sind und durch Einsatz entsprechender Tools, wie z.B. MS Diagnostic Data Viewer, festgestellt wurde, welche personenbezogenen Daten an Microsoft für welche Zwecke übermittelt werden, ist zu prüfen, ob die Datenverarbeitung, inkl. deren Übermittlungen rechtmäßig sind.
Relevante Rechtsgrundlagen für Windows 10 sind hier beschrieben.
Schritt 4
Auswahl angemessener Maßnahmen
Es sind Maßnahmen zu treffen, mit denen eine unrechtmäßige Offenlegung von Daten verhindert werden. Die Auswahl von angemessenen Maßnahmen ist abhängig vom Stand der Technik, den Implementierungskosten und den Risiken für die Rechte und Freiheiten der betroffenen Personen. Neben der technischen Verhinderung einer unrechtmäßigen Offenlegung von personenbezogenen Daten sind auch Maßnahmen zu treffen, durch die überprüft wird, ob diese getroffenen Maßnahmen auch nach Updates weiterhin einen angemessenen Schutz gewährleisten. Die getroffenen Maßnahmen und ihre Einhaltung sind nach Art. 5 Abs. 2 DSGVO zu dokumentieren.
Schritt 5
Sodann ist eine Datenschutz-Folgenabschätzung durchzuführen.
Das ist eine Einschätzung des Schadens den der oder die Betroffene erleiden kann, falls Informationen über Sie/ Ihn an Unbefugte gelangen. Bei der Einschätzung werden die Schwere und Eintrittswahrscheinlichkeit unter Berücksichtigung der getroffenen Maßnahmen geprüft. Das Ergebnis ist dann die Risikobewertung für die Oder den Betroffenen.
Ist das Risiko nicht tragbar, weil die erforderlichen Maßnahmen nicht umgesetzt wurden, ist die zuständige Aufsichtsbehörde gemäß Art. 36 DS-GVO zu konsultieren.
Schritt 6
Implementierung der Maßnahmen und Überprüfung ihrer Wirksamkeit. Die ermittelten Maßnahmen sind zu implementieren und auf ihre Wirksamkeit zu überprüfen. Sobald die Maßnahmen erfolgreich greifen und das Restrisiko tragbar ist, kann Windows 10, bzw. können bestimmte Funktionen von Windows 10 zum Einsatz kommen.
Schritt 7
Bei einem Update besteht die Möglichkeit, dass neue Funktionen aktiviert werden, bestehende Funktionen verändert werden, Konfigurationsmöglichkeiten verändert werden oder die durch den Verantwortlichen getätigte Konfiguration verändert wird. Der Verantwortliche wird prüfen müssen, inwieweit sich dadurch die Effektivität der Maßnahmen zur Verhinderung einer unrechtmäßigen Offenlegung verändert hat. Ggf. darf eine Versionsänderung nicht durchgeführt werden, bevor die Maßnahmen nicht angepasst wurden und ein fortwährender Einsatz im Einklang mit der Verordnung wieder gewährleistet werden kann.
In einem weiteren Blog stellt Tulos Consulting einen Überblick zur rechtlichen Prüfung und passende Hinweise für Windows 10 zur Verfügung.