20200622_180253.pdf
Dieses Dokument ist Teil der Anfrage „Datenschutzrechtliche Bewertung von Microsoft Produkten“
— En, DSK DATENSCHUTZKONFERENZ Auftrag der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Positionierung der DSK zum datenschutzkonformen Einsatz von Windows 10 Datenschutzrisiken moderner Betriebssysteme wurden bereits mehrfach in der DSK beraten. Die 90. DSK hat im Herbst 2015 die Entschließung zu Cloud-unterstützten Betriebssystemen verabschiedet. Im Jahr 2017 hat das LDA Bayern auf Grundlage der alten Rechtslage des BDSG a.F. einen Prüfbericht zu Windows 10 im Unternehmensumfeld veröffentlicht. Dabei wurde unter ande- rem die Frage formuliert, „ob Microsoft auf die Kritik der Nutzer und anderer europäischer Datenschutzbehörden, die Windows 10 Home und Professional prüfen, reagiert und bei der Fortentwicklung von Windows 10 datenschutzrechtliche Verbesserungen vorsehen wird". Auch das BSI hat sich im November 2018 intensiv mit Sicherheitsmängeln von Windows 10 befasst (BSI-Studie SiSyPHuS). Ein Schwerpunkt der Untersuchungen betraf die Analyse der Telemetrie Komponenten. Dabei kommt das BSI zum Ergebnis, dass sich selbst in der höchsten Sicherheitsstufe (Telemetrie-Level Security) nicht alle Datenübertragungen an Microsoft unterbinden lassen. Die SiSyPHuS-Win10-Studie des BSI adressieren dabei auch datenschutzrechtliche Risiken. Die Marktverbreitung der Windows 10 Versionsfamilie ist inzwischen weit fortgeschritten. Im Konsumersektor, in der gewerblichen Wirtschaft sowie auch in weiten Teilen der öffentlichen Verwaltungen von Bund, Ländern und Kommunen - letztere begünstigt durch Rahmenverträ- ge, Architektur- und Beschaffungsentscheidungen (insb. Rahmenvertragsverhandlungen 2018 des Bundes) - sind die verschiedenen Windows-10-Versionen ausgerollt worden. Zahl- reiche weitete Migrationen dürften in den Jahren 2019 und 2020 im professionellen Einsatz erfolgen. Aus technischer Sicht unterscheiden sich sowohl die Betriebssystemarchitektur als auch die Release Strategie von Windows 10 sehr deutlich von den Vorgängerprodukten. Aus daten- schutzrechtlicher Sicht ist dabei auf die folgenden Aspekte ein besonderes Augenmerk zu legen: . Windows 10 ist nicht mehr ein reines Betriebssystem sondern eine „Systemumge- bung“, die neben dem eigentlichen Betriebssystem eine Vielzahl von zusätzlichen Funktionalitäten enthält. Diese können zwar individuell konfiguriert werden, wobei bei einer Standardinstallation je nach eingesetzter Produktversion nicht die datenschutz- freundlichste Voreinstellung vorhanden ist. Ob dabei das Prinzip „Data Protection by Default“ verletzt wird, ist in jedem Fall zu prüfen. . Jedes Update (insbesondere Funktionsupdates) kann dazu führen, dass Konfigurati- onseinstellungen verändert werden und sich der Funktionsumfang ändert. Dies führt
dazu, dass ein „neues“ Produkt vorliegt, dessen Einsatz erneut auf die datenschutz- rechtliche Zulässigkeit geprüft werden muss. ® Die Datenübermittlung von Windows 10 an Microsoft kann durch alleinige Einstellun- gen in Windows 10 nicht vollständig unterbunden werden. Da die Übertragung ver- schlüsselt an Microsoft erfolgt, ist nicht abschließend festzustellen, ob und wenn ja, welche personenbezogenen Daten an Microsoft übermittelt werden. Die Datenschutzgrundverordnung (DS-GVO) verlangt von Verantwortlichen beim Einsatz von Windows 10, die datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustel- len. Dies bedeutet für die Verantwortlichen derzeit einen erheblichen Aufwand. Er ließe sich minimieren, wenn Microsoft den Verantwortlichen einfache Möglichkeiten insbesondere zur permanenten Deaktivierung aller Datenübermittlungen bereitstellen würde. Die DSK hat sich entschlossen, dem Arbeitskreis Technik den Auftrag zu erteilen, eine da- tenschutzrechtliche Positionierung zum Einsatz von Windows 10 zu erarbeiten und diese zur Grundlage eines weitergehenden, vom LDA Bayern zu koordinierenden Dialoges mit Micro- soft zu datenschutzrechtlichen Fragestellungen zum Produkt Windows 10 zu machen.
m = N DATENSOHUTZKONFERENZ Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Datenschutz bei Windows 10 — Prüfschema —
Impressum: Titel: Datenschutz bei Windows 10 - Prüfschema — Version 1.0 Herausgeber: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Edition und Redaktion: AK Technik der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Ansprechpartner/Autoren: Rasmus Robrahn, Dr. Martin Krämer, Dr. Christoph Lahmann und Uwe Robra (Die Landesbeauftragte für den Datenschutz Niedersachsen)
1. Einleitung Das vorliegende Prüfschema soll Verantwortliche, die Windows 10 bereits einsetzen oder dies beabsichtigen in die Lage versetzen, eigenständig die Einhaltung der rechtlichen Vorgaben der DSGVO in ihrem konkreten Fall zu prüfen und zu dokumentieren. Die Frage, ob „Windows 10“ datenschutzkonform ist, kann nämlich nicht pauschal beantwortet werden. Windows 10 ist der Begriff für eine Produktfamilie, bei der das eigentliche Betriebssystem nur noch einen Teil der gelieferten Funktionalität ausmacht, die sich zudem durch Updates fortlaufend verändert. Von der konkreten Edition, der Version und der vorgenommenen Konfiguration hängen daher der Funktionsumfang und die Datenübermittlungen an Microsoft ab. Die Bestimmung des genauen Prüfgegenstands ist daher das Fundament für die datenschutzrechtliche Prüfung. Darüber hinaus müssen Feststellungen darüber vorliegen, unter welchen Umständen Windows 10 eingesetzt wird und welche Funktionen (z. B. Cortana oder Windows Defender) genutzt werden Das bedeutet, dass eine Aufstellung darüber vorliegen muss, welche Verarbeitungstätigkeiten unter Nutzung von Windows 10 durchgeführt werden und welche personenbezogenen Daten dort in welchem Umfang verarbeitet werden. Außerdem müssen Erkenntnisse darüber vorliegen, welche personenbezogenen Daten für welche Zwecke an Microsoft übermittelt werden. Die Abarbeitung des nachfolgenden Prüfschemas ist deshalb erforderlich, weil sich die Übermittlung von Daten an Microsoft in bislang keiner Edition und Version durch eine Änderung der Konfigurationseinstellungen komplett abstellen lässt und sich das Kommunikationsverhalten und die Konfigurationsmöglichkeiten von Windows 10 mit neuen Versionen ändern können. Das vorliegende Prüfschema ist als Handreichung für all diejenigen gedacht, die mit Windows 10 (auch) personenbezogene Daten verarbeiten, diese also z.B. erheben, speichern oder weitergeben. Dies können natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen sein. Verantwortlicher im Sinne des Datenschutzrechts kann je nach Verarbeitung (zusätzlich) aber auch Microsoft selbst sein. Im rechtlichen Teil werden wichtige Hinweise für die rechtliche Prüfung gegeben. Es werden die wesentlichen Normen der DSGVO bei der Prüfung von Windows 10 genannt und erläutert, wie diese Normen im Rahmen der Prüfung anzuwenden sind. Die Subsumtion selbst kann an dieser Stelle nicht geleistet werden. Sie hängt nämlich von der Einsatzumgebung sowie der verwendeten Edition und Version ab und kann schon durch den nächsten Versionswechsel überholt sein. Es ist zunächst Aufgabe des Verantwortlichen sicherzustellen und zu dokumentieren, dass die datenschutzrechtlichen Anforderungen beim Einsatz von Windows 10 jederzeit eingehalten werden. Dazu muss geprüft werden, ob und ggf. welche personenbezogenen Daten an Microsoft übermittelt werden und ob für diese Übermittlungen eine Rechtsgrundlage vorliegt. Soweit die Übermittlung unzulässig ist, hat sie zu unterbleiben und es ist mit geeigneten und angemessenen Maßnahmen sicherzustellen, dass eine solche Übermittlung unterbleibt. Daneben ist auch zu beachten, dass eine Übermittlung in ein Drittland vorliegt und daher die Art. 44 ff. DSGVO Anwendung finden. Unter A. wird ein Überblick über Windows 10 und die datenschutzrelevanten Besonderheiten dieses Produkts gegeben. Unter B. wird dargestellt, welche Normen der DSGVO zu prüfen sind und unter C. wird ein daraus resultierendes Prüfungsschema dargestellt, das den Anspruch hat, die Prüfung von Windows 10 in unterschiedlichen Editionen, Versionen und Konfigurationen zu ermöglichen. Im Anhang wird detaillierter auf technische Aspekte der Prüfung eingegangen.
A. Überblick über Windows 10 Das Produkt Windows 10 Windows 10 ist der Überbegriff über eine Produktfamilie, die von der Microsoft Corp., USA, im Jahre 2015 auf den Markt gebracht wurde. Die (Standard-) Installation von Windows 10 stellt dem Nutzer eine Systemumgebung zur Verfügung, die neben dem eigentlichen Betriebssystemkern (Kernel) zusätzlich Treiber und verschiedene Anwendungen (Apps) beinhaltet. Historisch betrachtet ist Windows 10 die Fortführung von Windows NT 3.1, Microsofts erstem netzwerkfähigen Mehrbenutzer-Betriebssystem mit grafischer Oberfläche aus dem Jahr 1993.Die Anforderung, unterschiedliche Peripheriegeräte (Drucker, Tastaturen, Mäuse, Scanner,...) an den PC anzuschließen und die zunehmende Vernetzung von PCs in Unternehmen führte dazu, dass mit Windows 2000 im Jahre 1999 und Windows XP im Jahre 2001 und die Betriebssystemfunktionalität immer mehr um hardwarenahe Komponenten (Treiber) und Verwaltungskomponenten (2: Bi ActiveDirectory) ergänzt wurde. Die Verbreitung des Internets und immer leistungsfähigere Prozessoren erweiterten die Funktionalität der darauf folgenden Versionen Windows 7 und Windows 8 (2012) weiter, so dass auch betriebssystemferne Anwendungen (Virenscanner, Multimediaplayer, Internetbrowser, Virtualisierungen, Festplattenverschlüsselungen und Backupfunktionen) nun unter dem Produkt „Windows“ gebündelt wurden. Microsoft stellt seinen Kunden seine Produkte in verschiedenen Editionen zur Verfügung. Diese Editionen unterscheiden sich im Wesentlichen durch ihre Funktionalität (z. B. ob eine Verschlüsselungssoftware integriert ist), durch die Konfigurationsmöglichkeiten des Produktes durch den Nutzer und durch ihren Preis. Windows 7 war z. B. in folgenden Editionen erhältlich: Home, Premium, Professional, Ultimate und Enterprise. Darüber hinaus stehen die Produkte in der 32- und 64-Bit Variante zur Verfügung. Trotz der Entwicklungen über die Jahrzehnte stand bis Windows 8 im Wesentlichen die Betriebssystemfunktionalität der Produkte im Vordergrund. Die Produkte wurden auf einem einzelnen PC installiert, bei Bedarf durch den Nutzer aktualisiert (Updates und Servicepacks) und benötigten keine Internetverbindung. Der Nutzer konnte insbesondere das Kommunikationsverhalten der Produkte (Datentransfer zu Microsoft) selbst steuern. Mit der Einführung von Windows 10 ändert Microsoft sein Geschäftsmodell. Microsoft hat weitere Funktionalitäten (z. B. den Sprachassistenten Cortana) zu dem Produkt hinzugefügt, die über den eigentlich benötigten Funktionsbedarf eines Betriebssystems hinausgehen." Zusätzlich wird Microsoft durch die Übermittlungen des Betriebssystems in die Lage versetzt, technische Parameter und Logfiles, aber auch personenbezogene Daten zu speichern und auszuwerten. Auch für Windows 7, sowie Windows 8 und 8.1 hat Microsoft Telemetriefunktionen nachgerüstet, wobei diese im Funktionsumfang hinter denen von Windows 10 zurückbleiben”. Das Vertriebskonzept änderte sich von einem Produktverkauf, bei dem jede neue Version gekauft werden musste, in ein Servicekonzept.’ Bei diesem Konzept werden z. B. zweimal jährlich neue Versionen (Featureupdates) bereitgestellt. Diese werden durch eine vierstellige Zahl beschrieben, wobei die ersten zwei Stellen die Jahreszahl und die letzten zwei Stellen den Monat angeben (d.h. Version 1803 steht für die Version vom März 2018). Systemaktualisierungen (Updates), die Fehler beheben und neue Funktionalitäten beinhalten, werden kontinuierlich aktualisiert und verändern Diagnose-U pdates-jetzt-automatisch-4118229.html ” https://docs.microsoft.com/de-de/windows/deployment/u pdate/waas-quick-start
damit das System des Nutzers nach jedem Update. Diese werden kumuliert zusammengefasst und als „builds“ bereitgestellt.” Für die unterschiedlichen Anforderungen der Nutzer stellt Microsoft Windows 10 auch in verschiedenen Editionen (z. B. Home, Pro, Education, Enterprise, loT) zur Verfügung.” Windows 10 ist also der übergreifende Begriff für unterschiedliche von Microsoft bereitgestellte Systemumgebungen (Produktvarianten). Im Kern beinhalten alle diese Systemumgebungen ein Betriebssystem für Computer, das je nach Edition unterschiedliche Konfigurationsmöglichkeiten und Zusatzfunktionalitäten bietet. Durch den Updatemechanismus unterliegt die jeweilige Installation kontinuierlichen Veränderungen. Das Betriebssystem und die aktivierten Zusatzfunktionalitäten tauschen, je nach Konfiguration, Daten zwischen dem Computer und Microsoft aus. Zur Bestimmung einer konkreten Produktvariante auf einem Computer ist also die Angabe der Produktfamilie (Windows 10), der Edition (z. B. Enterprise), der Architektur (z. B. 64-Bit), sowie der Version (z. B. 1803) und ggf. weiterer Merkmale (Sprache, Multimediapaket) notwendig. Erst durch diese Angaben ist in einem Prüf- oder Beratungsfall festgelegt, welche Software eingesetzt wird, um darauf basierend entsprechende datenschutzrechtliche Aussagen treffen zu können. Konfiguration von Windows 10 Nachdem der Verantwortliche die seinen Anforderungen entsprechende Produktvariante von Windows 10 gewählt hat, bietet Microsoft neben einer Standardinstallation auch die Möglichkeit, im Rahmen der Installation und auch später verschiedene Einstellungen an der Konfiguration vorzunehmen, um so den Service individuell anzupassen. Allerdings unterscheiden sich die Einstellmöglichkeiten je nach gewählter Edition. So bietet die Enterprise-Edition die umfangreichsten Einstellmöglichkeiten, während bei der Home-Edition die geringsten Konfigurationsmöglichkeiten bestehen. Bei einer Standardinstallation werden viele Einstellungen nicht so gesetzt, dass Windows 10 nur minimal personenbezogene Daten an Microsoft übermittelt. Folgende Funktionen sind z. B. einzeln konfigurierbar: Position; Kamera; Mikrofon, Spracherkennung; Kontoinformationen, Kontakte, Kalender, Messaging, Funkempfang, Feedback & Diagnose, Hintergrund Apps, Browser Edge. Eine detaillierte Darstellung von datenschutzfreundlichen Konfigurationseinstellungen findet sich z. B. in der Orientierungshilfe des Arbeitskreises Informationssicherheit der deutschen Forschungseinrichtungen.° Dabei ist zu beachten, dass die aufgezeigten Konfigurationsmöglichkeiten sich sowohl nach gewählter Edition und betrachteter Version unterscheiden können und dass durch Updates bestehende Konfigurationseinstellungen verändert werden können. Datenübertragung an Microsoft Die Nutzung von Windows auf privaten PCs und in Behörden- oder Unternehmensnetzwerken sowie der Anschluss an das Internet eröffnete Microsoft schon seit langer Zeit die Möglichkeit, Informationen über Betriebssystemaktivitätten und damit den Systemzustand eines Computersystems an eigene Server in den USA zu übertragen. Durch diese Datenübertragungen
können u. a. Fehler entdeckt, Produktverbesserungen initiiert und die Nutzung des Systems für den Nutzer optimiert werden. Es werden eventuell auch personenbezogene Daten (z. B. IP-Adresse, Nutzerkonto, Position, Nutzerverhalten, Internetaktivität, Präferenzen, Suchaktivitäten und weitere) übermittelt. Dabei werden die Daten zum Teil verschlüsselt übertragen. Microsoft selbst stellt Informationen über Konfigurationsmöglichkeiten bereit, mit denen die Kommunikation zu Microsoft unter Windows10 gesteuert werden kann.’ Verschiedene Untersuchungen zeigen allerdings, dass es aktuell nicht möglich ist, die Datenübertragung durch Konfiguration von Windows10 vollständig zu unterbinden.” Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor. B. Hinweise für die rechtliche Prüfung Grundlage einer rechtlichen Prüfung ist die Beschreibung einer Verarbeitungstätigkeit. Der Einsatz von Windows 10 ist kein Selbstzweck, sondern wird von Verantwortlichen im Rahmen von Geschäftsprozessen bei der Verarbeitung personenbezogener Daten verwendet. Diese Verarbeitungstätigkeiten müssen beschrieben werden. Dazu gehört Art, Umfang, Umstände und Zwecke der Verarbeitung darzustellen. In diesem Rahmen ist zu ermitteln, ob und ggf. welche personenbezogenen Daten im Rahmen des Einsatzes von Windows 10 an Microsoft übermittelt werden.” Dabei sind die übermittelten Telemetriedaten und die Datenübermittlungen im Rahmen von sonstigen genutzten Funktionen von Windows 10 zu festzustellen. Notwendigkeit einer Rechtsgrundlage für die Übermittlung von personenbezogenen Daten Nachdem der Verantwortliche seinen Geschäftsprozess beschrieben und beispielsweise anhand der Dokumentation von Microsoft oder durch Einsatz entsprechender Tools wie MS Diagnostic Data Viewer festgestellt hat, welche personenbezogenen Daten an Microsoft für welche Zwecke übermittelt werden, ist zu prüfen, ob diese Übermittlungen rechtmäßig sind. Kann er dies nicht feststellen, so kann er auch nicht prüfen, ob eine Rechtsgrundlage für die Übermittlung vorliegt. Bei der Übermittlung von Daten an Microsoft sind drei Fallgruppen zu unterscheiden. e Verhinderung der Übertragung: Wird durch technische Maßnahmen verhindert, dass eine Übertragung von Daten an Microsoft stattfindet, dann benötigt der Verantwortliche auch keine Übermittlungsgrundlage. Er muss jedoch sicherstellen, dass die technischen Maßnahmen zur Verhinderung einer Übermittlung im Sinne von Art. 25 Abs. 1 DSGVO angemessen und wirksam sind. Gleichzeitig wäre damit eine mögliche Erhebung von personenbezogenen Daten durch Microsoft unter Nutzung der Mittel des Verantwortlichen unterbunden. Der Frage, ob Microsoft selber Verantwortlicher ist, müsste nicht weiter nachgegangen werden. e Minimierung der Übermittlung: Die Enterprise-Edition lässt sich so konfigurieren, dass nur noch eingeschränkt Telemetriedaten‘” übermittelt werden. In diesen Fällen werden somit weiterhin Daten über die Nutzung des Systems übermittelt. 7” https://docs.microsoft.com/de-de/windows/privacy/manage-connections-from-windows- operating-system-components-to-microsoft-services "° Zum Begriff der Telemetriedaten siehe Anlage 1
e Keine Minimierung der Übermittlung: In der dritten Konstellation werden Funktionen genutzt, durch die auch Dateiinhalte und somit auch personenbezogene Daten von Beschäftigten oder sonstigen betroffenen Personen durch den Verantwortlichen an Microsoft übermittelt werden können. Sofern personenbezogene Daten an Microsoft übertragen werden (Fallgruppen 2 und 3), handelt es sich um rechtfertigungsbedürftige Übermittlungen durch den Verantwortlichen an Microsoft, da der Tatbestand des Art. 4 Abs. 1 Nr. 2 DSGVO durch die Übertragung von personenbezogenen Daten an Microsoft erfüllt wird. In der Fallgruppe 2 richtet sich die datenschutzrechtliche Zulässigkeit der Übermittlung nach den Normen des Beschäftigtendatenschutzes, also in Niedersachsen beispielsweise nach $ 88 NBG (für Tarifbeschäftigte i. V.m. $ 12 NDSG) oder $ 26 BDSG. Nach beiden Normen gilt der Grundsatz der Erforderlichkeit. D. h. die Übermittlung personenbezogener Daten von Beschäftigten an Microsoft müsste für die Durchführung der Beschäftigungsverhältnisse erforderlich sein. Es ist zu prüfen, ob der Zweck der Verarbeitung auch mit weniger intensiven Maßnahmen in etwa gleich gut erreicht werden kann. Also z. B. ob die gewünschte Funktion durch andere Anbieter auch ohne die Übermittlung von personenbezogenen Daten oder mit Übermittlung in geringerem Umfang angeboten wird. Darüber hinaus muss der Grundsatz der Verhältnismäßigkeit gewahrt bleiben. In der Fallgruppe 3 richtet sich die datenschutzrechtliche Zulässigkeit regelmäßig nach Art. 6 DSGVO. Gemäß Art. 6 Abs. 1 S. 1 DSGVO muss für jede Verarbeitung personenbezogener Daten eine der Voraussetzungen des Art. 6 Abs. 1 lit. a bis f'' DSGVO erfüllt sein. Die Verantwortlichen müssen prüfen, ob jede der festgestellten Übermittlungen rechtmäßig ist. Für die Verarbeitung von Beschäftigtendaten sind wieder die o. g. besonderen Rechtsvorschriften zu beachten. Internationaler Datenverkehr Die Übermittlung von personenbezogenen Daten erfolgt an Server in den USA. Daher sind die Normen über den internationalen Datenverkehr, die Art. 44 ff. DSGVO, anwendbar. Microsoft ist nach dem Privacy Shield zertifiziert. Auf der Grundlage von Privacy Shield hat die EU-Kommission beschlossen, dass personenbezogene Daten in die USA übermittelt werden dürfen, wenn das empfangende Unternehmen sich selbstzertifiziert hat, d. h. vereinfacht gesagt, sich auf die Einhaltung der Privacy Shield-Grundsätze verpflichtet hat, auf der Webseite des U.S. Department of Commerce als aktiver Teilnehmer geführt wird und der Umfang der Zertifizierung die fraglichen Datenübermittlungen abdeckt. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäß Art. 45 Abs. 3 DS-GVO übermittelt werden. Es ist darauf hinzuweisen, dass gegen die Rechtmäßigkeit des Privacy Shields derzeit Bedenken bestehen. Gegen den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shieldwurden Ende 2016 zwei Klagen eingereicht. Auch das Verfahren „Schrems II“ (Az. C-311/18) könnte möglicherweise Auswirkungen auf den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield haben. Es wäre dann durch den Verantwortlichen zu prüfen, ob für Übermittlungen in die USA weiterhin die notwendigen Grundlagen existieren. Technisch-organisatorischer Datenschutz Die Prüfung des Einsatzes von Windows 10 in Behörden und sonstigen öffentlichen Stellen sowie in Unternehmen richtet sich zudem nach den Vorschriften’ über den technisch-organisatorischen Datenschutz. !! Hinweis: Nach Art. 6 Abs. 15. 2 DSGVO gilt der Buchstabe f nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.