Anfrage nach dem Hamburgischen Transparenzgesetz (HmbTG) / HmbUIG / VIG Sehr geehrteAntragsteller/in ich möchte Sie bitten, mir Folgendes zuzusenden:

<T1/3326/2019> Sehr geehrteAntragsteller/in wir kommen zurück auf Ihre Anfrage vom 1.12.2019, in der Sie Dokumente zur Schwellenwertprüfung und Datenschutz-Folgenabschätzung beim Einsatz von Microsoft anfordern. Für die durch interne Abstimmungen und Zusammentragen der angehängten Dokumente verzögerte Bearbeitung möchten wir um Ihr Verständnis bitten. Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist für Verarbeitungen gemäß Art. 4 Abs. 1 Nr. 2 DSGVO zu erstellen. Weder Windows 10 (W10) oder die gängigen Office-Versionen sind Verarbeitungen in diesem Sinne, weshalb keine DSFA erforderlich und auch nicht erfolgt ist. Gleichwohl kommen beim Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit (HmbBfDI) regelmäßig W10 und Office für die Verarbeitungstätigkeiten zum Einsatz. W10 und Office dienen somit als Mittel für die Verarbeitung und sind daher regelhaft in die datenschutzrechtliche Dokumentation der Verarbeitungstätigkeiten (insbesondere die Beschreibung der Verarbeitungstätigkeit nach Art. 30 DSGVO, der Betrachtung erforderlicher technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO, der Schwellwertanalyse und der ggf. durchzuführenden DSFA nach Art. 35 DSGVO) einzubeziehen. Daher hat der HmbBfDI vor der Migration von Windows 7 auf Windows 10 entsprechend evaluiert, ob eine datenschutzgerechte Nutzung von W10 in der Dienststelle des HmbBfDI möglich ist. Der Bericht dieser Untersuchung ist im Anhang zu finden und mit dem kürzlich verabschiedeten Prüfschema von Windows 10 der Datenschutzkonferenz (siehe ebenfalls Anhang) vergleichbar. Die Ergebnisse dieser Untersuchung wurden an den stadtweiten IT-Dienstleister Dataport und die für IT-Infrastruktur zuständige Senatskanzlei übergeben, mit der damit verbundenen Aufforderung, die bestehenden – und nicht zuordbaren – Datenverbindungen zu blockieren. Unserer Kenntnis nach sollte das Unterbinden dieser verbleibenden Verbindungen zu keinerlei Instabilitäten der Systeme führen, dies wurde Dataport ebenfalls mit der Bitte um Überprüfung des Sachverhalts mitgeteilt. Eine erneute Überprüfung der Standardkonfiguration von W10 beim HmbBfDI im Dezember 2019 zeigte, dass Dataport Anpassungen an den Gruppenrichtlinien durchgeführt hat, allerdings weiterhin einzelne Verbindungen bestehen. Auch im Nachgang hierzu wurden die Prüfergebnisse an die Senatskanzlei und Dataport übermittelt; hierzu liegen uns zum heutigen Tage jedoch noch keine Rückmeldungen vor. Diese erneute Untersuchung ist ebenfalls im Anhang dieser Mail zu finden. Der HmbBfDI geht aktuell davon aus, dass die derzeit in der Dienststelle genutzte Version (Windows 10 Enterprise 1809 mit entsprechend restriktiven Gruppenrichtlinien) kein hohes Risiko für die Rechte und Freiheiten der Beschäftigten oder Dritten zur Folge hat und wird weiterhin die regelmäßigen Updates der kommenden Windows-Versionen für eigene Zwecke evaluieren, um gemeinsam mit Dataport und der Senatskanzlei die datenschutzkonforme Umsetzung abzusichern. Sollten Sie weitere Fragen haben, stehe ich Ihnen selbstverständlich gerne zur Verfügung. Mit freundlichen Grüßen