Rechtliche Grundlage für Windows 10

DSGVO Rechtsgrundlagen für den Betrieb von Windows 10

Rechtlicher Leitfaden für Windows 10 im Betrieb

Verantwortliche im Unternehmen oder Behörden erhalten hier einen Leitfaden, um eigenständig die Einhaltung der rechtlichen Erfordernisse der DSGVO zu prüfen, entsprechende Maßnahmen umzusetzen und diese zu dokumentieren.

Der rechtskonforme Betrieb von Windows 10 sowie die Dokumentation der Verfahren ist insbesondere für Unternehmen und staatliche Einrichtungen vorgeschrieben, da Windows 10 personenbezogene Daten verarbeitet, weiterleitet und speichert.

Die Umsetzung des sicheren und DSGVO konformen Betriebes von Windows 10 ist im Tulos Blog unter „Datenschutz für Windows 10“ beschrieben.

 

Für die DSGVO wissenswerte Grundlagen zu Windows 10

Windows 10 ist der Überbegriff über eine Produktfamilie. Microsoft stellt seine Produkte in verschiedenen Editionen und Versionen zur Verfügung. Diese Editionen unterscheiden sich im Wesentlichen durch ihre Funktionalität (z.B. ob eine Verschlüsselungssoftware integriert ist) und durch die Konfigurationsmöglichkeiten des Produktes durch den Nutzer.

Alte Versionen von Windows sind im Wesentlichen die Betriebssysteme. Alte Windows Systeme wurden auf einem einzelnen PC installiert, bei Bedarf durch den Nutzer aktualisiert (Updates und Servicepacks), sie benötigten keine Internetverbindung. Der Nutzer konnte das Kommunikationsverhalten der Produkte (Datentransfer zu Microsoft) selbst steuern.

Mit der Einführung von Windows 10 änderte sich das Geschäftsmodell von Microsoft. Weitere Funktionen (z. B. der Sprachassistent Cortana) wurden hinzugefügt, die über den eigentlich benötigten Funktionsbedarf eines Betriebssystems hinausgehen. Zusätzlich wird Microsoft durch die Übermittlungen des Betriebssystems in die Lage versetzt, technische Parameter und Logfiles, aber auch personenbezogene Daten zu speichern und auszuwerten. Diese Datenverarbeitung darf in der EU nur in einem rechtlichen Rahmen erfolgen, der DSGVO. Wer Windows 10 nicht entsprechend der hiesigen Gesetze betreibt und die Verfahren dokumentiert, macht sich strafbar.

Datenübertragung an Microsoft

Die Nutzung von Windows auf privaten PCs und in Behörden- oder Unternehmensnetzwerken sowie der Anschluss an das Internet eröffneten Microsoft schon seit langer Zeit die Möglichkeit, Informationen über Betriebssystemaktivitäten und damit den Systemzustand eines Computersystems an eigene Server in den USA zu übertragen. Durch diese Datenübertragungen können u. a. Fehler entdeckt, Produktverbesserungen initiiert und die Nutzung des Systems für den Anwender optimiert werden.

Es werden eventuell auch personenbezogene Daten (z. B. IP-Adresse, Nutzerkonto, Position, Nutzerverhalten, Internetaktivität, Präferenzen, Suchaktivitäten und weitere) übermittelt. Dabei werden die Daten zum Teil verschlüsselt übertragen.

Microsoft selbst stellt Informationen über Konfigurationsmöglichkeiten bereit, mit denen die Kommunikation zu Microsoft unter Windows10 gesteuert werden kann.

Verschiedene Untersuchungen zeigen allerdings, dass es aktuell nicht möglich ist, die Datenübertragung durch Konfiguration von Windows10 vollständig zu unterbinden. Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor.

Leitfaden für die rechtliche Prüfung

Grundlage einer rechtlichen Prüfung ist die Beschreibung einer Verarbeitungstätigkeit. Der Einsatz von Windows 10 ist kein Selbstzweck, sondern wird von Verantwortlichen im Rahmen von Geschäftsprozessen bei der Verarbeitung personenbezogener Daten verwendet.

Notwendigkeit einer Rechtsgrundlage für die Übermittlung von personenbezogenen Daten

Bei der Übermittlung von Daten an Microsoft sind drei Fallgruppen zu unterscheiden.

  1. Verhinderung der Übertragung: Wird durch technische Maßnahmen verhindert, dass eine Übertragung von Daten an Microsoft stattfindet, dann benötigt der Verantwortliche auch keine Übermittlungsgrundlage. Er muss jedoch sicherstellen, dass die technischen Maßnahmen zur Verhinderung einer Übermittlung im Sinne von Art. 25 Abs. 1 DSGVO angemessen und wirksam sind. Gleichzeitig wäre damit eine mögliche Erhebung von personenbezogenen Daten durch Microsoft unter Nutzung der Mittel des Verantwortlichen unterbunden. Der Frage, ob Microsoft selber Verantwortlicher ist, müsste nicht weiter nachgegangen werden.
  1. Minimierung der Übermittlung: Die Enterprise-Edition lässt sich so konfigurieren, dass nur noch eingeschränkt Telemetriedaten übermittelt werden. In diesen Fällen werden somit weiterhin Daten über die Nutzung des Systems übermittelt.
  1. Keine Minimierung der Übermittlung: In der dritten Konstellation werden Funktionen genutzt, durch die auch Dateiinhalte und somit auch personenbezogene Daten von Beschäftigten oder sonstigen betroffenen Personen durch den Verantwortlichen an Microsoft übermittelt werden können.

Sofern personenbezogene Daten an Microsoft übertragen werden (Fallgruppen 2 und 3), handelt es sich um rechtfertigungsbedürftige Übermittlungen durch den Verantwortlichen an Microsoft, da der Tatbestand des Art. 4 Abs. 1 Nr. 2 DSGVO durch die Übertragung von personenbezogenen Daten an Microsoft erfüllt wird.

In der Fallgruppe 2 richtet sich die datenschutzrechtliche Zulässigkeit der Übermittlung nach den Normen des Beschäftigtendatenschutzes. In Niedersachsen beispielsweise wird nach § 88 NBG (für Tarifbeschäftigte i. V. m. § 12 NDSG) oder § 26 BDSG vorgegangen. Nach beiden Normen gilt der Grundsatz der Erforderlichkeit. D. h. die Übermittlung personenbezogener Daten von Beschäftigten an Microsoft müsste für die Durchführung der Beschäftigungsverhältnisse erforderlich sein. Es ist zu prüfen, ob der Zweck der Verarbeitung auch mit weniger intensiven Maßnahmen in etwa gleich gut erreicht werden kann. Also z. B., ob die gewünschte Funktion durch andere Anbieter auch ohne die Übermittlung von personenbezogenen Daten oder mit Übermittlung in geringerem Umfang angeboten wird. Darüber hinaus muss der Grundsatz der Verhältnismäßigkeit gewahrt bleiben.

In der Fallgruppe 3 richtet sich die datenschutzrechtliche Zulässigkeit regelmäßig nach Art. 6 DSGVO. Gemäß Art. 6 Abs. 1 S. 1 DSGVO muss für jede Verarbeitung personenbezogener Daten eine der Voraussetzungen des Art. 6 Abs. 1 lit. a bis f11 DSGVO erfüllt sein. Die Verantwortlichen müssen prüfen, ob jede der festgestellten Übermittlungen rechtmäßig ist. Für die Verarbeitung von Beschäftigtendaten sind wieder die o. g. besonderen Rechtsvorschriften zu beachten.

Internationaler Datenverkehr

Die Übermittlung von personenbezogenen Daten erfolgt an Server in den USA. Daher sind die Normen über den internationalen Datenverkehr, die Art. 44 ff. DSGVO, anwendbar. Microsoft ist nach dem Privacy Shield zertifiziert. Ob dieser noch gültig ist, wird hier nicht diskutiert. Auf der Grundlage von Privacy Shield hat die EU-Kommission beschlossen, dass personenbezogene Daten in die USA übermittelt werden dürfen, wenn das empfangende Unternehmen sich selbstzertifiziert hat, d. h. vereinfacht gesagt, sich auf die Einhaltung der Privacy Shield-Grundsätze verpflichtet hat, auf der Webseite des U.S. Department of Commerce als aktiver Teilnehmer geführt wird und der Umfang der Zertifizierung die fraglichen Datenübermittlungen abdeckt. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäß Art. 45 Abs. 3 DS-GVO übermittelt werden.

Es ist darauf hinzuweisen, dass gegen die Rechtmäßigkeit des Privacy Shields derzeit Bedenken bestehen. Gegen den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield wurden Ende 2016 zwei Klagen eingereicht. Auch das Verfahren „Schrems II“ (Az. C-311/18) könnte möglicherweise Auswirkungen auf den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield haben. Es wäre dann durch den Verantwortlichen zu prüfen, ob für Übermittlungen in die USA weiterhin die notwendigen Grundlagen existieren.

Fazit

Die festgestellten Datenübermittlungen und die damit verbundenen Übermittlungen von personenbezogenen Daten sind auf ihre Rechtmäßigkeit zu prüfen. Die möglichen Rechtsgrundlagen hängen von der jeweiligen Funktion und den übermittelten Daten ab. Soweit für die Übermittlung eine Rechtsgrundlage vorliegt, kann Windows 10 oder können bestimmte Funktionen von Windows 10 genutzt werden.