Auf der letzten Sitzung am 6. und 7. November hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mehrere praxisrelevante Beschlüsse gefasst. Große Bedeutung für die tägliche Praxis der IT-Abteilungen dürfte das beschlossene Prüfschema für Windows 10 besitzen, zumal der Support von Microsoft für das weit verbreitete Betriebssystem Windows 7 am 14.01.2020 ausläuft und vielerorts noch Migrationsprojekte stattfinden.
Der Thüringische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, stellt dazu fest:
Mit dem Prüfschema haben die Aufsichtsbehörden den Verantwortlichen zunächst ein Instrument an die Hand gegeben, mit dem sie prüfen können, ob die erforderlichen Voraussetzungen für einen Einsatz dieses Betriebssystems gewährleistet werden können.
Im Zentrum steht dabei die mehrschichtige Prüfung des Betriebssystems. Eine generelle Beurteilung des Datenschutzes bei der Nutzung von Windows 10 scheidet aus mehreren Gründen aus: Zum einen existieren eine Vielzahl der Windows 10-Versionen, auf der anderen Seite sind die Optionen, die Übermittlung von personenbezogenen Telemetrie-Daten an Microsoft, insbesondere in die USA, zu unterbinden, vielgestaltig.
Unter Telemetriedaten versteht man die Übertragung von Messwerten von einem Punkt an eine entfernte Empfangsstelle, die die Daten sammelt und gegebenenfalls auch auswertet. Dabei wird zwischen einer primären und sekundären Datensammlung unterschieden: Die primäre Datensammlung ist in das System integriert und sammelt die Daten an Messpunkten, die Entwickler in Programme und Dienste integriert haben. Diese Daten werden an Microsoft-Server übertragen. Eine der Aufgaben ist die Fehlersuche in Programmen. Die erhobenen Informationen sind umfangreich und weitreichend und könnten Angreifern z.B. über die USB-Schnittstelle sogar als eine Art von Keylogger dienen.
Bei der sekundären Datensammlung fragt Windows 10 in regelmäßigen Abständen auf dem Server von Microsoft nach Konfigurationsdateien und lädt diese herunter. Darüber werden dann zusätzliche Informationen abgefordert. Dabei ist nicht bekannt, unter welchen Umständen das System weitere Daten anfordert. Die Datensammlung zu unterbinden oder einzuschränken, erweist sich als Herausforderung, zumal Microsoft regelmäßige Änderungen an den Mechanismen vornimmt (und die individuellen Datenschutz-Einstellungen ungefragt „zurücksetzt“).
Bei dem Prüfschema der DSK handelt es sich um ein zweiteiliges Dokument:
Der erste Teil soll Verantwortliche, die Windows 10 bereits einsetzen oder dessen Einsatz planen, befähigen, die Einhaltung der rechtlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu prüfen und zu dokumentieren. Neben einer Erläuterung der rechtlichen Grundlagen veranschaulicht das Dokument in einem Ablaufdiagramm den gesamten Prozess.
Der zweite Teil ist dann den Technischen Details einer Windows-Installation gewidmet: Neben einer Übersicht der verschiedenen Windows-Versionen und einem Funktionsvergleich beschreibt der zweite Teil die sogenannten Telemetriedaten, die Microsoft in der Software verarbeitet (vgl. oben).
Als Ergänzung gibt das Dokument am Ende Verweise auf eine datenarmen Konfiguration von Windows 10.
Das Prüfschema kann hier kostenfrei heruntergeladen werden.
Auch die Anlagen dazu sind online verfügbar.