hello@tulos.de0221 54812 944Kontaktformular
Downloads

Rechtliche Grundlage für Windows 10

DSGVO Rechtsgrundlagen für den Betrieb von Windows 10

Rechtlicher Leitfaden für Windows 10 im Betrieb

Verantwortliche im Unternehmen oder Behörden erhalten hier einen Leitfaden, um eigenständig die Einhaltung der rechtlichen Erfordernisse der DSGVO zu prüfen, entsprechende Maßnahmen umzusetzen und diese zu dokumentieren.

Der rechtskonforme Betrieb von Windows 10 sowie die Dokumentation der Verfahren ist insbesondere für Unternehmen und staatliche Einrichtungen vorgeschrieben, da Windows 10 personenbezogene Daten verarbeitet, weiterleitet und speichert.

Die Umsetzung des sicheren und DSGVO konformen Betriebes von Windows 10 ist im Tulos Blog unter „Datenschutz für Windows 10“ beschrieben.

 

Für die DSGVO wissenswerte Grundlagen zu Windows 10

Windows 10 ist der Überbegriff über eine Produktfamilie. Microsoft stellt seine Produkte in verschiedenen Editionen und Versionen zur Verfügung. Diese Editionen unterscheiden sich im Wesentlichen durch ihre Funktionalität (z.B. ob eine Verschlüsselungssoftware integriert ist) und durch die Konfigurationsmöglichkeiten des Produktes durch den Nutzer.

Alte Versionen von Windows sind im Wesentlichen die Betriebssysteme. Alte Windows Systeme wurden auf einem einzelnen PC installiert, bei Bedarf durch den Nutzer aktualisiert (Updates und Servicepacks), sie benötigten keine Internetverbindung. Der Nutzer konnte das Kommunikationsverhalten der Produkte (Datentransfer zu Microsoft) selbst steuern.

Mit der Einführung von Windows 10 änderte sich das Geschäftsmodell von Microsoft. Weitere Funktionen (z. B. der Sprachassistent Cortana) wurden hinzugefügt, die über den eigentlich benötigten Funktionsbedarf eines Betriebssystems hinausgehen. Zusätzlich wird Microsoft durch die Übermittlungen des Betriebssystems in die Lage versetzt, technische Parameter und Logfiles, aber auch personenbezogene Daten zu speichern und auszuwerten. Diese Datenverarbeitung darf in der EU nur in einem rechtlichen Rahmen erfolgen, der DSGVO. Wer Windows 10 nicht entsprechend der hiesigen Gesetze betreibt und die Verfahren dokumentiert, macht sich strafbar.

Datenübertragung an Microsoft

Die Nutzung von Windows auf privaten PCs und in Behörden- oder Unternehmensnetzwerken sowie der Anschluss an das Internet eröffneten Microsoft schon seit langer Zeit die Möglichkeit, Informationen über Betriebssystemaktivitäten und damit den Systemzustand eines Computersystems an eigene Server in den USA zu übertragen. Durch diese Datenübertragungen können u. a. Fehler entdeckt, Produktverbesserungen initiiert und die Nutzung des Systems für den Anwender optimiert werden.

Es werden eventuell auch personenbezogene Daten (z. B. IP-Adresse, Nutzerkonto, Position, Nutzerverhalten, Internetaktivität, Präferenzen, Suchaktivitäten und weitere) übermittelt. Dabei werden die Daten zum Teil verschlüsselt übertragen.

Microsoft selbst stellt Informationen über Konfigurationsmöglichkeiten bereit, mit denen die Kommunikation zu Microsoft unter Windows10 gesteuert werden kann.

Verschiedene Untersuchungen zeigen allerdings, dass es aktuell nicht möglich ist, die Datenübertragung durch Konfiguration von Windows10 vollständig zu unterbinden. Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor.

Leitfaden für die rechtliche Prüfung

Grundlage einer rechtlichen Prüfung ist die Beschreibung einer Verarbeitungstätigkeit. Der Einsatz von Windows 10 ist kein Selbstzweck, sondern wird von Verantwortlichen im Rahmen von Geschäftsprozessen bei der Verarbeitung personenbezogener Daten verwendet.

Notwendigkeit einer Rechtsgrundlage für die Übermittlung von personenbezogenen Daten

Bei der Übermittlung von Daten an Microsoft sind drei Fallgruppen zu unterscheiden.

  1. Verhinderung der Übertragung: Wird durch technische Maßnahmen verhindert, dass eine Übertragung von Daten an Microsoft stattfindet, dann benötigt der Verantwortliche auch keine Übermittlungsgrundlage. Er muss jedoch sicherstellen, dass die technischen Maßnahmen zur Verhinderung einer Übermittlung im Sinne von Art. 25 Abs. 1 DSGVO angemessen und wirksam sind. Gleichzeitig wäre damit eine mögliche Erhebung von personenbezogenen Daten durch Microsoft unter Nutzung der Mittel des Verantwortlichen unterbunden. Der Frage, ob Microsoft selber Verantwortlicher ist, müsste nicht weiter nachgegangen werden.
  1. Minimierung der Übermittlung: Die Enterprise-Edition lässt sich so konfigurieren, dass nur noch eingeschränkt Telemetriedaten übermittelt werden. In diesen Fällen werden somit weiterhin Daten über die Nutzung des Systems übermittelt.
  1. Keine Minimierung der Übermittlung: In der dritten Konstellation werden Funktionen genutzt, durch die auch Dateiinhalte und somit auch personenbezogene Daten von Beschäftigten oder sonstigen betroffenen Personen durch den Verantwortlichen an Microsoft übermittelt werden können.

Sofern personenbezogene Daten an Microsoft übertragen werden (Fallgruppen 2 und 3), handelt es sich um rechtfertigungsbedürftige Übermittlungen durch den Verantwortlichen an Microsoft, da der Tatbestand des Art. 4 Abs. 1 Nr. 2 DSGVO durch die Übertragung von personenbezogenen Daten an Microsoft erfüllt wird.

In der Fallgruppe 2 richtet sich die datenschutzrechtliche Zulässigkeit der Übermittlung nach den Normen des Beschäftigtendatenschutzes. In Niedersachsen beispielsweise wird nach § 88 NBG (für Tarifbeschäftigte i. V. m. § 12 NDSG) oder § 26 BDSG vorgegangen. Nach beiden Normen gilt der Grundsatz der Erforderlichkeit. D. h. die Übermittlung personenbezogener Daten von Beschäftigten an Microsoft müsste für die Durchführung der Beschäftigungsverhältnisse erforderlich sein. Es ist zu prüfen, ob der Zweck der Verarbeitung auch mit weniger intensiven Maßnahmen in etwa gleich gut erreicht werden kann. Also z. B., ob die gewünschte Funktion durch andere Anbieter auch ohne die Übermittlung von personenbezogenen Daten oder mit Übermittlung in geringerem Umfang angeboten wird. Darüber hinaus muss der Grundsatz der Verhältnismäßigkeit gewahrt bleiben.

In der Fallgruppe 3 richtet sich die datenschutzrechtliche Zulässigkeit regelmäßig nach Art. 6 DSGVO. Gemäß Art. 6 Abs. 1 S. 1 DSGVO muss für jede Verarbeitung personenbezogener Daten eine der Voraussetzungen des Art. 6 Abs. 1 lit. a bis f11 DSGVO erfüllt sein. Die Verantwortlichen müssen prüfen, ob jede der festgestellten Übermittlungen rechtmäßig ist. Für die Verarbeitung von Beschäftigtendaten sind wieder die o. g. besonderen Rechtsvorschriften zu beachten.

Internationaler Datenverkehr

Die Übermittlung von personenbezogenen Daten erfolgt an Server in den USA. Daher sind die Normen über den internationalen Datenverkehr, die Art. 44 ff. DSGVO, anwendbar. Microsoft ist nach dem Privacy Shield zertifiziert. Ob dieser noch gültig ist, wird hier nicht diskutiert. Auf der Grundlage von Privacy Shield hat die EU-Kommission beschlossen, dass personenbezogene Daten in die USA übermittelt werden dürfen, wenn das empfangende Unternehmen sich selbstzertifiziert hat, d. h. vereinfacht gesagt, sich auf die Einhaltung der Privacy Shield-Grundsätze verpflichtet hat, auf der Webseite des U.S. Department of Commerce als aktiver Teilnehmer geführt wird und der Umfang der Zertifizierung die fraglichen Datenübermittlungen abdeckt. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäß Art. 45 Abs. 3 DS-GVO übermittelt werden.

Es ist darauf hinzuweisen, dass gegen die Rechtmäßigkeit des Privacy Shields derzeit Bedenken bestehen. Gegen den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield wurden Ende 2016 zwei Klagen eingereicht. Auch das Verfahren „Schrems II“ (Az. C-311/18) könnte möglicherweise Auswirkungen auf den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield haben. Es wäre dann durch den Verantwortlichen zu prüfen, ob für Übermittlungen in die USA weiterhin die notwendigen Grundlagen existieren.

Fazit

Die festgestellten Datenübermittlungen und die damit verbundenen Übermittlungen von personenbezogenen Daten sind auf ihre Rechtmäßigkeit zu prüfen. Die möglichen Rechtsgrundlagen hängen von der jeweiligen Funktion und den übermittelten Daten ab. Soweit für die Übermittlung eine Rechtsgrundlage vorliegt, kann Windows 10 oder können bestimmte Funktionen von Windows 10 genutzt werden.

By |13. April 2021|Categories: Tulos Blog, Windows 10 DSGVO|Tags: , , , , , , , , |Kommentare deaktiviert für Rechtliche Grundlage für Windows 10
Read More

Daten-Kriminalität, teure Gefahren für Onlineshops

Risiken für Online-Shops in den Griff bekommen

5 typische Beispiele für Cyber-Kriminalität im Online-Handel und wie man sich vor Daten-Schäden schützt
1. Identitäten-Klau

Identitäten können entweder zentral beim Händler oder beim Kunden gestohlen werden. Beim Identitätsdiebstahl übernehmen Angreifer die Identität eines Kunden.

Der Onlinehändler muss sicherstellen, dass seine Datenbanken mit den Nutzerdaten ausreichend gesichert sind. Mit weiteren Sicherheitsmaßnahmen muss er Kunden-Konten schützen. Dazu gehören zum Beispiel die Verwendung von komplexen Passwörtern, das Nutzen von Multi-Faktor-Authentifizierung und das Umsetzen eines sichern Bezahlvorgangs.

2. Gefälschte Geschenkgutscheine

Hier kaufen Angreifer Geschenkgutscheine eines Anbieters und versuchen, hinter den Algorithmus der Gutschein-Codes zu kommen. Mit etwas Know-how, können sie selbst Gutscheine generieren und anschließend selbst nutzen oder verkaufen.

Händler sollten deshalb bei der Erstellung der Gutscheincodes darauf achten, komplexe Algorithmen zu verwenden. Zudem sollten lediglich bereits verkaufte Gutscheincodes für die Verwendung im Onlineshop freigeschaltet werden.

3. Gefälschte Rückerstattungen

Rückerstattungen kommen häufig zur Hochsaison vor,  z.B. in den Weihnachtstagen. Angreifer fälschen Rechnungen für Produkte. Sie geben an die Produkte nie erhalten zu haben und verlangen Rückerstattung. Händler haben oft nicht die Kapazität oder technischen Mittel die Sachverhalte zu prüfen.

Eine funktionierende Warenwirtschaft ist ein hilfreiches Gegenmittel. Klare Informationen, wer was gekauft hat, sowie die Nachverfolgung der Sendung, schützt nicht nur vor Kriminalität, die Aufwände im Betrieb reduzieren sich ebenfalls merklich. Onlineshops mit gut integrierten Abläufen und der passenden Technik ersparen oft nicht nur Kosten, sie bedienen Ihre Kunden oft auch schneller. Ergo, eine integrierte Warenwirtschaft reduziert die Risiken und kann zu Umsatzsteigerung plus mehr Gewinne führen.

4 DDoS-Attacken

Bei einer DDoS-Attacke (Distributed-Denial-of-Service) geht es darum, dem Onlineshops außer Betrieb zu nehmen. Insbesondere in hochsaisonalen Zeiten (Black Friday, Weihnachten) kann hier ein erheblicher Schaden entstehen. Bei Hackern beliebt, versuchen, mit einer erhöhten Anzahl gezielter Zugriffe den Onlineshop über eine Dienstblockade lahmzulegen.

Sehr wichtig ist es, eingehende Angriffe schnellstmöglich zu erkennen. Das kann über ein ganzheitliches Monitoring erleichtert werden. Ein sogenannter Incident-Response-Plan („Was mache ich, wenn der Ernstfall eintritt?“) hilft, um nach der Erkennung die richtigen Maßnahmen einzuleiten.

5. Point-of-Sale (PoS) mit Schadsoftware kompromittieren

Wenn Kreditkartendaten direkt oder online ausgelesen werden können, kann der Schaden enorm sein. Für den Datendieb umgekehrt ist dies ein lohnender Ertrag.

Ein  Sicherheitsstandard (PCI-DSS)  und regelmäßige Risikoanalysen können zudem aufzeigen, welche Standards aktuell nicht eingehalten werden und welches Risiko somit entsteht. Kriminelle Mitarbeiter sind leider auch oft ein Risiko-Faktor, auch hier sollte man auf der Hut sein.

Fazit.

Datenschäden können für Online-Shops existenzbedrohlich sein. Eine Überprüfung der Prozesse sowie der dazugehörigen technischen Infrastruktur lohnt sich immer. Erfahren Sie mehr über Datenschutz für Online-Shops auf dieser Seite.

Welche Maßnahmen umgesetzt werden, kann dann jeder für sich selbst entscheiden.

Tulos Consulting kann helfen, sinnvolle Maßnahmen zu wählen, und diese auch praxisnah umsetzen.

By |13. Oktober 2020|Categories: Online handel, Tulos Blog|Tags: , , , , , , , , |Kommentare deaktiviert für Daten-Kriminalität, teure Gefahren für Onlineshops
Read More

IT-Risiken durch Gefährliche Bequemlichkeit

Datenschutz für Unternehmen und Vereine im Alltag

Praxisnahe Beispiele wie Unternehmen und Vereine sich wirksam vor Daten-Schäden schützten können.

Die größten Risiken sind  Bequemlichkeit und mangelnde Wahrnehmung für Datenschutz.

Kunden werden immer anspruchsvoller. Sie erwarten individuelle Ansprache und kurze Lieferzeiten. Die Leistung werden in den Social Media bewertet. Datenschutz wird hierbei wenig beachtet.

Positive Bewertungen sind für alle Gewerbe überlebenswichtig. Sie beeinflussen direkt die Sichtbarkeit im Internet, sprich das Ranking bei Google. Viele Unternehmen sammeln Informationen über ihre Kunden. Die Kunden-Daten werden ausgewertet, etwa für Werbeaktionen. Kunden-Daten gehören zu den wertvollsten Gütern. DSGVO-Strafen oder Abmahnung durch unsachgemäße Werbeaktionen können teuer sein.

Dienstleister geben sich viel Mühe, um für den Kunden immer und überall erreichbar zu sein. Kunden können das Unternehmen über mehrere Kanäle erreichen. Neusprachlich heißt dies Omnichannel. Technisch bedeutet dies, dass unterschiedliche Systeme vernetzt werden und manchmal auch an Drittanbieter ausgelagert werden. Für Hacker steigt also die Angriffsfläche. Bedrohungen werden immer unsichtbarer.

By |13. Oktober 2020|Categories: Cyber-Risiken Drucker, Datenschutz im Büroalltag, Tulos Blog|Tags: , , , , , , |Kommentare deaktiviert für IT-Risiken durch Gefährliche Bequemlichkeit
Read More

IT-Sicherheit & Datenschutz aus Köln

Tulos Consulting GmbH
Christophstraße 15-17, 50670 Köln NRW
 0221 54812 944‬
  hello@tulos.de https://tulos.de/wp-content/uploads/2022/01/logo-tulos-280px.png
0221 54812 944‬
hello@tulos.de
Zum Kontaktformular
Tulos IT-Sicherheit und Datenschutz aus Köln

5 von 5 Sterne bei 10 Bewertungen auf Google.

Von Tulos erbrachte Leistungen werden vom Staat gefördert

Besondere Branchenkentnisse

Datenschutz für Hausverwaltung & Immobilienwirtschaft | Datenschutz für Online-Shops | Datenschutz für M&A-Berater | Datenschutz für Arztpraxis

2025 Tulos Consulting GmbH|Impressum|Datenschutz

Erfahren Sie mehr zu unseren Services & Angeboten

Interesse an: *

Mit * markierte Felder sind Pflichtfelder.

Mehr Kundenvertrauen durch Tulos Secured Siegel

Wirksamer Schutz vor teuren Datenschutz-Abmahnungen

Mehr Sicherheit in den digitalen Wertschöpfungsketten

Datenschutz und Informations-Sicherheit schützen Unternehmen vor DSGVO Strafen und Cyber Schäden. IT-Sicherheit ist hiervon ein wichtiger Bestandteil, denn die Digitalisierung entwickelt sich rasant in alle Bereiche unseres Lebens und in den Unternehmen. Daher ist ein kontrollierbarer Umgang mit vertraulichen  Daten nicht nur gesetzlich vorgeschrieben, er ist auch Erfolgsfaktor. Der richtige Umgang mit Informationstechnologie hat direkten Einfluss auf die Betriebskosten und selbstverständlich auch auf den Schutz unternehmens-wichtiger-Daten. Das gilt für alle Formen der Datenverarbeitungen, egal ob analoge Archive, eigene Server oder vernetzte Cloud-Systeme.

Für die Umsetzung der Datenschutzgesetzte und Datensicherheit arbeiten die DSGVO und Standards für Informationssicherheit Hand in Hand. Daher ist, für eine wirksame Umsetzung, Expertise in beiden Bereichen wichtig, nämlich Erfahrung in der DSGVO und ISO 27001 und BSI. Ein gut eingeführtes Informations-Sicherheits-Management-System (ISMS), verhindert nicht nur wirtschaftliche Schäden. Standardisierte Abläufe für Betrieb und Technik reduzieren auch die Kosten.

Der Umgang mit Daten muss beherrschbar sein. Cyber-Schäden oder Strafen durch DSGVO-Verstöße können schnell zu teuren Aufwänden führen oder Kunden-Vertrauen beschädigen. Kalkulierbare Risiken sollten daher integraler Bestandteil im Unternehmen sein, nicht nur bei  digitalen Betriebsprozessen.

Tulos-Berater sind zertifizierte Datenschutzbeauftragte nach DSGVO, Lead Auditoren nach ISO 27001 sowie erfahrene Projektleiter mit PMP/ Six Sigma Master Blackbelt.

Unsere „Best Practice-Methoden“ sind auf das Zusammenspiel von operativen Geschäftsprozessen, Technologie und betriebswirtschaftlichen Erfordernissen ausgerichtet.

Bei Tulos erhalten Sie Datenschutz und Informationssicherheit aus einer Hand, für eine wirksame Umsetzung aller wichtigen Erfordernisse.

Go to Top