—
En,

DSK

DATENSCHUTZKONFERENZ

Auftrag

der Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder

Positionierung der DSK zum datenschutzkonformen Einsatz von Windows 10

 

Datenschutzrisiken moderner Betriebssysteme wurden bereits mehrfach in der DSK beraten.
Die 90. DSK hat im Herbst 2015 die Entschließung zu Cloud-unterstützten Betriebssystemen
verabschiedet.

Im Jahr 2017 hat das LDA Bayern auf Grundlage der alten Rechtslage des BDSG a.F. einen
Prüfbericht zu Windows 10 im Unternehmensumfeld veröffentlicht. Dabei wurde unter ande-
rem die Frage formuliert, „ob Microsoft auf die Kritik der Nutzer und anderer europäischer
Datenschutzbehörden, die Windows 10 Home und Professional prüfen, reagiert und bei der
Fortentwicklung von Windows 10 datenschutzrechtliche Verbesserungen vorsehen wird".

Auch das BSI hat sich im November 2018 intensiv mit Sicherheitsmängeln von Windows 10
befasst (BSI-Studie SiSyPHuS). Ein Schwerpunkt der Untersuchungen betraf die Analyse
der Telemetrie Komponenten. Dabei kommt das BSI zum Ergebnis, dass sich selbst in der
höchsten Sicherheitsstufe (Telemetrie-Level Security) nicht alle Datenübertragungen an
Microsoft unterbinden lassen. Die SiSyPHuS-Win10-Studie des BSI adressieren dabei auch
datenschutzrechtliche Risiken.

Die Marktverbreitung der Windows 10 Versionsfamilie ist inzwischen weit fortgeschritten. Im
Konsumersektor, in der gewerblichen Wirtschaft sowie auch in weiten Teilen der öffentlichen
Verwaltungen von Bund, Ländern und Kommunen - letztere begünstigt durch Rahmenverträ-
ge, Architektur- und Beschaffungsentscheidungen (insb. Rahmenvertragsverhandlungen
2018 des Bundes) - sind die verschiedenen Windows-10-Versionen ausgerollt worden. Zahl-

reiche weitete Migrationen dürften in den Jahren 2019 und 2020 im professionellen Einsatz
erfolgen.

Aus technischer Sicht unterscheiden sich sowohl die Betriebssystemarchitektur als auch die
Release Strategie von Windows 10 sehr deutlich von den Vorgängerprodukten. Aus daten-

schutzrechtlicher Sicht ist dabei auf die folgenden Aspekte ein besonderes Augenmerk zu
legen:

. Windows 10 ist nicht mehr ein reines Betriebssystem sondern eine „Systemumge-
bung“, die neben dem eigentlichen Betriebssystem eine Vielzahl von zusätzlichen
Funktionalitäten enthält. Diese können zwar individuell konfiguriert werden, wobei bei
einer Standardinstallation je nach eingesetzter Produktversion nicht die datenschutz-
freundlichste Voreinstellung vorhanden ist. Ob dabei das Prinzip „Data Protection by
Default“ verletzt wird, ist in jedem Fall zu prüfen.

. Jedes Update (insbesondere Funktionsupdates) kann dazu führen, dass Konfigurati-
onseinstellungen verändert werden und sich der Funktionsumfang ändert. Dies führt

dazu, dass ein „neues“ Produkt vorliegt, dessen Einsatz erneut auf die datenschutz-
rechtliche Zulässigkeit geprüft werden muss.

® Die Datenübermittlung von Windows 10 an Microsoft kann durch alleinige Einstellun-
gen in Windows 10 nicht vollständig unterbunden werden. Da die Übertragung ver-
schlüsselt an Microsoft erfolgt, ist nicht abschließend festzustellen, ob und wenn ja,
welche personenbezogenen Daten an Microsoft übermittelt werden.

Die Datenschutzgrundverordnung (DS-GVO) verlangt von Verantwortlichen beim Einsatz von
Windows 10, die datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustel-
len. Dies bedeutet für die Verantwortlichen derzeit einen erheblichen Aufwand. Er ließe sich
minimieren, wenn Microsoft den Verantwortlichen einfache Möglichkeiten insbesondere zur
permanenten Deaktivierung aller Datenübermittlungen bereitstellen würde.

Die DSK hat sich entschlossen, dem Arbeitskreis Technik den Auftrag zu erteilen, eine da-
tenschutzrechtliche Positionierung zum Einsatz von Windows 10 zu erarbeiten und diese zur
Grundlage eines weitergehenden, vom LDA Bayern zu koordinierenden Dialoges mit Micro-
soft zu datenschutzrechtlichen Fragestellungen zum Produkt Windows 10 zu machen.

m
= N

DATENSOHUTZKONFERENZ

Konferenz der unabhängigen
Datenschutzbehörden
des Bundes und der Länder

Datenschutz bei Windows 10

— Prüfschema —

Impressum:

Titel:

Datenschutz bei Windows 10 - Prüfschema — Version 1.0

Herausgeber:

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder

Edition und Redaktion:

AK Technik der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder

Ansprechpartner/Autoren:

Rasmus Robrahn, Dr. Martin Krämer, Dr. Christoph Lahmann und Uwe Robra
(Die Landesbeauftragte für den Datenschutz Niedersachsen)

1. Einleitung

Das vorliegende Prüfschema soll Verantwortliche, die Windows 10 bereits einsetzen oder dies
beabsichtigen in die Lage versetzen, eigenständig die Einhaltung der rechtlichen Vorgaben der
DSGVO in ihrem konkreten Fall zu prüfen und zu dokumentieren.

Die Frage, ob „Windows 10“ datenschutzkonform ist, kann nämlich nicht pauschal beantwortet
werden. Windows 10 ist der Begriff für eine Produktfamilie, bei der das eigentliche Betriebssystem
nur noch einen Teil der gelieferten Funktionalität ausmacht, die sich zudem durch Updates
fortlaufend verändert. Von der konkreten Edition, der Version und der vorgenommenen
Konfiguration hängen daher der Funktionsumfang und die Datenübermittlungen an Microsoft ab. Die
Bestimmung des genauen Prüfgegenstands ist daher das Fundament für die datenschutzrechtliche
Prüfung. Darüber hinaus müssen Feststellungen darüber vorliegen, unter welchen Umständen
Windows 10 eingesetzt wird und welche Funktionen (z. B. Cortana oder Windows Defender) genutzt
werden Das bedeutet, dass eine Aufstellung darüber vorliegen muss, welche
Verarbeitungstätigkeiten unter Nutzung von Windows 10 durchgeführt werden und welche
personenbezogenen Daten dort in welchem Umfang verarbeitet werden. Außerdem müssen
Erkenntnisse darüber vorliegen, welche personenbezogenen Daten für welche Zwecke an Microsoft
übermittelt werden.

Die Abarbeitung des nachfolgenden Prüfschemas ist deshalb erforderlich, weil sich die Übermittlung
von Daten an Microsoft in bislang keiner Edition und Version durch eine Änderung der
Konfigurationseinstellungen komplett abstellen lässt und sich das Kommunikationsverhalten und die
Konfigurationsmöglichkeiten von Windows 10 mit neuen Versionen ändern können.

Das vorliegende Prüfschema ist als Handreichung für all diejenigen gedacht, die mit Windows 10
(auch) personenbezogene Daten verarbeiten, diese also z.B. erheben, speichern oder weitergeben.
Dies können natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen sein.
Verantwortlicher im Sinne des Datenschutzrechts kann je nach Verarbeitung (zusätzlich) aber auch
Microsoft selbst sein.

Im rechtlichen Teil werden wichtige Hinweise für die rechtliche Prüfung gegeben. Es werden die
wesentlichen Normen der DSGVO bei der Prüfung von Windows 10 genannt und erläutert, wie diese
Normen im Rahmen der Prüfung anzuwenden sind. Die Subsumtion selbst kann an dieser Stelle nicht
geleistet werden. Sie hängt nämlich von der Einsatzumgebung sowie der verwendeten Edition und
Version ab und kann schon durch den nächsten Versionswechsel überholt sein. Es ist zunächst
Aufgabe des Verantwortlichen sicherzustellen und zu dokumentieren, dass die
datenschutzrechtlichen Anforderungen beim Einsatz von Windows 10 jederzeit eingehalten werden.
Dazu muss geprüft werden, ob und ggf. welche personenbezogenen Daten an Microsoft übermittelt
werden und ob für diese Übermittlungen eine Rechtsgrundlage vorliegt. Soweit die Übermittlung
unzulässig ist, hat sie zu unterbleiben und es ist mit geeigneten und angemessenen Maßnahmen
sicherzustellen, dass eine solche Übermittlung unterbleibt. Daneben ist auch zu beachten, dass eine
Übermittlung in ein Drittland vorliegt und daher die Art. 44 ff. DSGVO Anwendung finden.

Unter A. wird ein Überblick über Windows 10 und die datenschutzrelevanten Besonderheiten dieses
Produkts gegeben. Unter B. wird dargestellt, welche Normen der DSGVO zu prüfen sind und unter C.
wird ein daraus resultierendes Prüfungsschema dargestellt, das den Anspruch hat, die Prüfung von
Windows 10 in unterschiedlichen Editionen, Versionen und Konfigurationen zu ermöglichen.

Im Anhang wird detaillierter auf technische Aspekte der Prüfung eingegangen.

A. Überblick über Windows 10

Das Produkt Windows 10

Windows 10 ist der Überbegriff über eine Produktfamilie, die von der Microsoft Corp., USA, im Jahre
2015 auf den Markt gebracht wurde. Die (Standard-) Installation von Windows 10 stellt dem Nutzer
eine Systemumgebung zur Verfügung, die neben dem eigentlichen Betriebssystemkern (Kernel)
zusätzlich Treiber und verschiedene Anwendungen (Apps) beinhaltet.

Historisch betrachtet ist Windows 10 die Fortführung von Windows NT 3.1, Microsofts erstem
netzwerkfähigen Mehrbenutzer-Betriebssystem mit grafischer Oberfläche aus dem Jahr 1993.Die
Anforderung, unterschiedliche Peripheriegeräte (Drucker, Tastaturen, Mäuse, Scanner,...) an den PC
anzuschließen und die zunehmende Vernetzung von PCs in Unternehmen führte dazu, dass mit
Windows 2000 im Jahre 1999 und Windows XP im Jahre 2001 und die Betriebssystemfunktionalität
immer mehr um hardwarenahe Komponenten (Treiber) und Verwaltungskomponenten (2: Bi
ActiveDirectory) ergänzt wurde. Die Verbreitung des Internets und immer leistungsfähigere
Prozessoren erweiterten die Funktionalität der darauf folgenden Versionen Windows 7 und Windows
8 (2012) weiter, so dass auch betriebssystemferne Anwendungen (Virenscanner, Multimediaplayer,
Internetbrowser, Virtualisierungen, Festplattenverschlüsselungen und Backupfunktionen) nun unter
dem Produkt „Windows“ gebündelt wurden.

Microsoft stellt seinen Kunden seine Produkte in verschiedenen Editionen zur Verfügung. Diese
Editionen unterscheiden sich im Wesentlichen durch ihre Funktionalität (z. B. ob eine
Verschlüsselungssoftware integriert ist), durch die Konfigurationsmöglichkeiten des Produktes durch
den Nutzer und durch ihren Preis. Windows 7 war z. B. in folgenden Editionen erhältlich: Home,
Premium, Professional, Ultimate und Enterprise. Darüber hinaus stehen die Produkte in der 32- und
64-Bit Variante zur Verfügung. Trotz der Entwicklungen über die Jahrzehnte stand bis Windows 8 im
Wesentlichen die Betriebssystemfunktionalität der Produkte im Vordergrund. Die Produkte wurden
auf einem einzelnen PC installiert, bei Bedarf durch den Nutzer aktualisiert (Updates und
Servicepacks) und benötigten keine Internetverbindung. Der Nutzer konnte insbesondere das
Kommunikationsverhalten der Produkte (Datentransfer zu Microsoft) selbst steuern.

Mit der Einführung von Windows 10 ändert Microsoft sein Geschäftsmodell. Microsoft hat weitere
Funktionalitäten (z. B. den Sprachassistenten Cortana) zu dem Produkt hinzugefügt, die über den
eigentlich benötigten Funktionsbedarf eines Betriebssystems hinausgehen." Zusätzlich wird Microsoft
durch die Übermittlungen des Betriebssystems in die Lage versetzt, technische Parameter und
Logfiles, aber auch personenbezogene Daten zu speichern und auszuwerten.

Auch für Windows 7, sowie Windows 8 und 8.1 hat Microsoft Telemetriefunktionen nachgerüstet,
wobei diese im Funktionsumfang hinter denen von Windows 10 zurückbleiben”.

Das Vertriebskonzept änderte sich von einem Produktverkauf, bei dem jede neue Version gekauft
werden musste, in ein Servicekonzept.’ Bei diesem Konzept werden z. B. zweimal jährlich neue
Versionen (Featureupdates) bereitgestellt. Diese werden durch eine vierstellige Zahl beschrieben,
wobei die ersten zwei Stellen die Jahreszahl und die letzten zwei Stellen den Monat angeben (d.h.
Version 1803 steht für die Version vom März 2018). Systemaktualisierungen (Updates), die Fehler
beheben und neue Funktionalitäten beinhalten, werden kontinuierlich aktualisiert und verändern

 

Diagnose-U pdates-jetzt-automatisch-4118229.html
” https://docs.microsoft.com/de-de/windows/deployment/u pdate/waas-quick-start

damit das System des Nutzers nach jedem Update. Diese werden kumuliert zusammengefasst und als
„builds“ bereitgestellt.”

Für die unterschiedlichen Anforderungen der Nutzer stellt Microsoft Windows 10 auch in
verschiedenen Editionen (z. B. Home, Pro, Education, Enterprise, loT) zur Verfügung.”

Windows 10 ist also der übergreifende Begriff für unterschiedliche von Microsoft bereitgestellte
Systemumgebungen (Produktvarianten). Im Kern beinhalten alle diese Systemumgebungen ein
Betriebssystem für Computer, das je nach Edition unterschiedliche Konfigurationsmöglichkeiten und
Zusatzfunktionalitäten bietet. Durch den Updatemechanismus unterliegt die jeweilige Installation
kontinuierlichen Veränderungen. Das Betriebssystem und die aktivierten Zusatzfunktionalitäten
tauschen, je nach Konfiguration, Daten zwischen dem Computer und Microsoft aus.

Zur Bestimmung einer konkreten Produktvariante auf einem Computer ist also die Angabe der
Produktfamilie (Windows 10), der Edition (z. B. Enterprise), der Architektur (z. B. 64-Bit), sowie der
Version (z. B. 1803) und ggf. weiterer Merkmale (Sprache, Multimediapaket) notwendig.

Erst durch diese Angaben ist in einem Prüf- oder Beratungsfall festgelegt, welche Software eingesetzt
wird, um darauf basierend entsprechende datenschutzrechtliche Aussagen treffen zu können.

Konfiguration von Windows 10

Nachdem der Verantwortliche die seinen Anforderungen entsprechende Produktvariante von
Windows 10 gewählt hat, bietet Microsoft neben einer Standardinstallation auch die Möglichkeit, im
Rahmen der Installation und auch später verschiedene Einstellungen an der Konfiguration
vorzunehmen, um so den Service individuell anzupassen.

Allerdings unterscheiden sich die Einstellmöglichkeiten je nach gewählter Edition. So bietet die
Enterprise-Edition die umfangreichsten Einstellmöglichkeiten, während bei der Home-Edition die
geringsten Konfigurationsmöglichkeiten bestehen.

Bei einer Standardinstallation werden viele Einstellungen nicht so gesetzt, dass Windows 10 nur
minimal personenbezogene Daten an Microsoft übermittelt.

Folgende Funktionen sind z. B. einzeln konfigurierbar: Position; Kamera; Mikrofon, Spracherkennung;
Kontoinformationen, Kontakte, Kalender, Messaging, Funkempfang, Feedback & Diagnose,
Hintergrund Apps, Browser Edge.

Eine detaillierte Darstellung von datenschutzfreundlichen Konfigurationseinstellungen findet sich z.
B. in der Orientierungshilfe des Arbeitskreises Informationssicherheit der deutschen
Forschungseinrichtungen.° Dabei ist zu beachten, dass die aufgezeigten Konfigurationsmöglichkeiten
sich sowohl nach gewählter Edition und betrachteter Version unterscheiden können und dass durch
Updates bestehende Konfigurationseinstellungen verändert werden können.

Datenübertragung an Microsoft

Die Nutzung von Windows auf privaten PCs und in Behörden- oder Unternehmensnetzwerken sowie
der Anschluss an das Internet eröffnete Microsoft schon seit langer Zeit die Möglichkeit,
Informationen über Betriebssystemaktivitätten und damit den Systemzustand eines
Computersystems an eigene Server in den USA zu übertragen. Durch diese Datenübertragungen

können u. a. Fehler entdeckt, Produktverbesserungen initiiert und die Nutzung des Systems für den
Nutzer optimiert werden.

Es werden eventuell auch personenbezogene Daten (z. B. IP-Adresse, Nutzerkonto, Position,
Nutzerverhalten, Internetaktivität, Präferenzen, Suchaktivitäten und weitere) übermittelt. Dabei
werden die Daten zum Teil verschlüsselt übertragen.

Microsoft selbst stellt Informationen über Konfigurationsmöglichkeiten bereit, mit denen die
Kommunikation zu Microsoft unter Windows10 gesteuert werden kann.’

Verschiedene Untersuchungen zeigen allerdings, dass es aktuell nicht möglich ist, die
Datenübertragung durch Konfiguration von Windows10 vollständig zu unterbinden.” Da die
Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der
übertragenen Daten von einer unabhängigen Stelle vor.

B. Hinweise für die rechtliche Prüfung

Grundlage einer rechtlichen Prüfung ist die Beschreibung einer Verarbeitungstätigkeit. Der Einsatz
von Windows 10 ist kein Selbstzweck, sondern wird von Verantwortlichen im Rahmen von
Geschäftsprozessen bei der Verarbeitung personenbezogener Daten verwendet. Diese
Verarbeitungstätigkeiten müssen beschrieben werden. Dazu gehört Art, Umfang, Umstände und
Zwecke der Verarbeitung darzustellen. In diesem Rahmen ist zu ermitteln, ob und ggf. welche
personenbezogenen Daten im Rahmen des Einsatzes von Windows 10 an Microsoft übermittelt
werden.” Dabei sind die übermittelten Telemetriedaten und die Datenübermittlungen im Rahmen
von sonstigen genutzten Funktionen von Windows 10 zu festzustellen.

Notwendigkeit einer Rechtsgrundlage für die Übermittlung von personenbezogenen Daten

Nachdem der Verantwortliche seinen Geschäftsprozess beschrieben und beispielsweise anhand der
Dokumentation von Microsoft oder durch Einsatz entsprechender Tools wie MS Diagnostic Data
Viewer festgestellt hat, welche personenbezogenen Daten an Microsoft für welche Zwecke
übermittelt werden, ist zu prüfen, ob diese Übermittlungen rechtmäßig sind. Kann er dies nicht
feststellen, so kann er auch nicht prüfen, ob eine Rechtsgrundlage für die Übermittlung vorliegt.

Bei der Übermittlung von Daten an Microsoft sind drei Fallgruppen zu unterscheiden.

e Verhinderung der Übertragung: Wird durch technische Maßnahmen verhindert, dass eine
Übertragung von Daten an Microsoft stattfindet, dann benötigt der Verantwortliche auch
keine Übermittlungsgrundlage. Er muss jedoch sicherstellen, dass die technischen
Maßnahmen zur Verhinderung einer Übermittlung im Sinne von Art. 25 Abs. 1 DSGVO
angemessen und wirksam sind. Gleichzeitig wäre damit eine mögliche Erhebung von
personenbezogenen Daten durch Microsoft unter Nutzung der Mittel des Verantwortlichen
unterbunden. Der Frage, ob Microsoft selber Verantwortlicher ist, müsste nicht weiter
nachgegangen werden.

e Minimierung der Übermittlung: Die Enterprise-Edition lässt sich so konfigurieren, dass nur
noch eingeschränkt Telemetriedaten‘” übermittelt werden. In diesen Fällen werden somit
weiterhin Daten über die Nutzung des Systems übermittelt.

7” https://docs.microsoft.com/de-de/windows/privacy/manage-connections-from-windows-
operating-system-components-to-microsoft-services

"° Zum Begriff der Telemetriedaten siehe Anlage 1

e Keine Minimierung der Übermittlung: In der dritten Konstellation werden Funktionen
genutzt, durch die auch Dateiinhalte und somit auch personenbezogene Daten von
Beschäftigten oder sonstigen betroffenen Personen durch den Verantwortlichen an
Microsoft übermittelt werden können.

Sofern personenbezogene Daten an Microsoft übertragen werden (Fallgruppen 2 und 3), handelt es
sich um rechtfertigungsbedürftige Übermittlungen durch den Verantwortlichen an Microsoft, da der
Tatbestand des Art. 4 Abs. 1 Nr. 2 DSGVO durch die Übertragung von personenbezogenen Daten an
Microsoft erfüllt wird.

In der Fallgruppe 2 richtet sich die datenschutzrechtliche Zulässigkeit der Übermittlung nach den
Normen des Beschäftigtendatenschutzes, also in Niedersachsen beispielsweise nach $ 88 NBG (für
Tarifbeschäftigte i. V.m. $ 12 NDSG) oder $ 26 BDSG. Nach beiden Normen gilt der Grundsatz der
Erforderlichkeit. D. h. die Übermittlung personenbezogener Daten von Beschäftigten an Microsoft
müsste für die Durchführung der Beschäftigungsverhältnisse erforderlich sein. Es ist zu prüfen, ob der
Zweck der Verarbeitung auch mit weniger intensiven Maßnahmen in etwa gleich gut erreicht werden
kann. Also z. B. ob die gewünschte Funktion durch andere Anbieter auch ohne die Übermittlung von
personenbezogenen Daten oder mit Übermittlung in geringerem Umfang angeboten wird. Darüber
hinaus muss der Grundsatz der Verhältnismäßigkeit gewahrt bleiben.

In der Fallgruppe 3 richtet sich die datenschutzrechtliche Zulässigkeit regelmäßig nach Art. 6 DSGVO.
Gemäß Art. 6 Abs. 1 S. 1 DSGVO muss für jede Verarbeitung personenbezogener Daten eine der
Voraussetzungen des Art. 6 Abs. 1 lit. a bis f'' DSGVO erfüllt sein. Die Verantwortlichen müssen
prüfen, ob jede der festgestellten Übermittlungen rechtmäßig ist. Für die Verarbeitung von
Beschäftigtendaten sind wieder die o. g. besonderen Rechtsvorschriften zu beachten.

Internationaler Datenverkehr

Die Übermittlung von personenbezogenen Daten erfolgt an Server in den USA. Daher sind die
Normen über den internationalen Datenverkehr, die Art. 44 ff. DSGVO, anwendbar. Microsoft ist
nach dem Privacy Shield zertifiziert. Auf der Grundlage von Privacy Shield hat die EU-Kommission
beschlossen, dass personenbezogene Daten in die USA übermittelt werden dürfen, wenn das
empfangende Unternehmen sich selbstzertifiziert hat, d. h. vereinfacht gesagt, sich auf die
Einhaltung der Privacy Shield-Grundsätze verpflichtet hat, auf der Webseite des U.S. Department of
Commerce als aktiver Teilnehmer geführt wird und der Umfang der Zertifizierung die fraglichen
Datenübermittlungen abdeckt. Auf der Grundlage des Privacy Shields dürfen personenbezogene
Daten in die USA gemäß Art. 45 Abs. 3 DS-GVO übermittelt werden.

Es ist darauf hinzuweisen, dass gegen die Rechtmäßigkeit des Privacy Shields derzeit Bedenken
bestehen. Gegen den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shieldwurden
Ende 2016 zwei Klagen eingereicht. Auch das Verfahren „Schrems II“ (Az. C-311/18) könnte
möglicherweise Auswirkungen auf den Angemessenheitsbeschluss der EU-Kommission zum Privacy
Shield haben. Es wäre dann durch den Verantwortlichen zu prüfen, ob für Übermittlungen in die USA
weiterhin die notwendigen Grundlagen existieren.

Technisch-organisatorischer Datenschutz

Die Prüfung des Einsatzes von Windows 10 in Behörden und sonstigen öffentlichen Stellen sowie in
Unternehmen richtet sich zudem nach den Vorschriften’ über den technisch-organisatorischen
Datenschutz.

!! Hinweis: Nach Art. 6 Abs. 15. 2 DSGVO gilt der Buchstabe f nicht für die von Behörden in Erfüllung ihrer
Aufgaben vorgenommene Verarbeitung.