Auf der letzten Sitzung am 6. und 7. November hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mehrere praxisrelevante Beschlüsse gefasst. Große Bedeutung für die tägliche Praxis der IT-Abteilungen dürfte das beschlossene Prüfschema für Windows 10 besitzen, zumal der Support von Microsoft für das weit verbreitete Betriebssystem Windows 7 am 14.01.2020 ausläuft und vielerorts noch Migrationsprojekte stattfinden. 

Der Thüringische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, stellt dazu fest:

Mit dem Prüfschema haben die Aufsichtsbehörden den Verantwortlichen zunächst ein Instrument an die Hand gegeben, mit dem sie prüfen können, ob die erforderlichen Voraussetzungen für einen Einsatz dieses Betriebssystems gewährleistet werden können.

Im Zentrum steht dabei die mehrschichtige Prüfung des Betriebssystems. Eine generelle Beurteilung des Datenschutzes bei der Nutzung von Windows 10 scheidet aus mehreren Gründen aus: Zum einen existieren eine Vielzahl der Windows 10-Versionen, auf der anderen Seite sind die Optionen, die Übermittlung von personenbezogenen Telemetrie-Daten an Microsoft, insbesondere in die USA, zu unterbinden, vielgestaltig.

Unter Telemetriedaten versteht man die Übertragung von Messwerten von einem Punkt an eine entfernte Empfangsstelle, die die Daten sammelt und gegebenenfalls auch auswertet. Dabei wird zwischen einer primären und sekundären Datensammlung unterschieden: Die primäre Datensammlung ist in das System integriert und sammelt die Daten an Messpunkten, die Entwickler in Programme und Dienste integriert haben. Diese Daten werden an Microsoft-Server übertragen. Eine der Aufgaben ist die Fehlersuche in Programmen. Die erhobenen Informationen sind umfangreich und weitreichend und könnten Angreifern z.B. über die USB-Schnittstelle sogar als eine Art von Keylogger dienen.

Bei der sekundären Datensammlung fragt Windows 10 in regelmäßigen Abständen auf dem Server von Microsoft nach Konfigurationsdateien und lädt diese herunter. Darüber werden dann zusätzliche Informationen abgefordert. Dabei ist nicht bekannt, unter welchen Umständen das System weitere Daten anfordert. Die Datensammlung zu unterbinden oder einzuschränken, erweist sich als Herausforderung, zumal Microsoft regelmäßige Änderungen an den Mechanismen vornimmt (und die individuellen Datenschutz-Einstellungen ungefragt „zurücksetzt“). 

Bei dem Prüfschema der DSK handelt es sich um ein zweiteiliges Dokument: 

Der erste Teil soll Verantwortliche, die Windows 10 bereits einsetzen oder dessen Einsatz planen, befähigen, die Einhaltung der rechtlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu prüfen und zu dokumentieren. Neben einer Erläuterung der rechtlichen Grundlagen veranschaulicht das Dokument in einem Ablaufdiagramm den gesamten Prozess.

Der zweite Teil ist dann den Technischen Details einer Windows-Installation gewidmet: Neben einer Übersicht der verschiedenen Windows-Versionen und einem Funktionsvergleich beschreibt der zweite Teil die sogenannten Telemetriedaten, die Microsoft in der Software verarbeitet (vgl. oben). 

Als Ergänzung gibt das Dokument am Ende Verweise auf eine datenarmen Konfiguration von Windows 10.

Das Prüfschema kann hier kostenfrei heruntergeladen werden.

Auch die Anlagen dazu sind online verfügbar.

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more
    Zweiter Jahrestag der Datenschutz-Grundverordnung

    Zweiter Jahrestag der Datenschutz-Grundverordnung

    Am 25. Mai 2020 feierte die Datenschutz-Grundverordnung (DSGVO) den zweiten  Jahrestag ihres Wirksamwerdens. Harmonisierung in Europa, neue Begriffe, Betroffenenrechte, höhere Geldbußen sind nur einige der Neuerungen. Trotz großer anfänglicher Sorgen, Verwirrung und...

    read more