Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat dieses Jahr das Betriebssystem Windows 10 Enterprise etwas näher unter die Lupe genommen. Ergebnis der Untersuchung ist, dass ein datenschutzkonformer Einsatz von Windows 10 in der geprüften Version bei bayerischen Unternehmen möglich ist.

KRITIK AN WINDOWS 10

Bereits bei der Einführung von Windows 10 gab es spürbare Kritik hinsichtlich der
datenschutzrechtlichen Ausgestaltung des Systems. Im Mittelpunkt stand dabei die automatisierte Übermittlung von Nutzerdaten an Microsoft ohne ausreichende Transparenz und Deaktivierungsmöglichkeit. Für Diskussionen sorgten hierbei auch die sogenannten „Telemetrie“-Daten, die Microsoft auf Grund von Voreinstellungen im Hintergrund meist detailliert über die Art der Nutzung von Windows 10 informierten. Windows-Telemetrie umfasst insbesondere die Informationen, die sich aus technischer Sicht mit der Nutzung des Systems beschäftigen, z. B. Absturzberichte, installierte Anwendungenund Details zur Nutzung oder auch Typ der verwendeten Hardware.

HALTUNG DER AUFSICHTSBEHÖRDEN

Die europäischen Datenschutzaufsichtsbehörden hatten auf Grund dieser Problematik frühzeitig Handlungsbedarf erkannt. Ende 2015 fanden erste Abstimmungen statt, inwieweit Untersuchungen dieses Betriebssystems durch die Aufsichtsbehörden selbst vorgenommen werden können. Schnell wurde ersichtlich, dass eine vollum- fassende Datenschutzprüfung von Windows 10 durch einzelne dieser Behörden schwer möglich ist. Vielmehr erkannte man, dass es zielführend sein könnte, wenn sich die Beteiligten auf einen der folgenden Einsatzbereiche beschränken:

a)  Einsatz von Windows 10 bei Privatpersonen
Setzen private Nutzer Windows 10 ein, so handelt es sich üblicherweise um die Versionen Windows 10 Home oder Pro. Durch den Erwerb der Software und der Zustimmung der allgemeinen Geschäftsbedingungen wird ein Nutzungsvertrag zwischen Microsoft und dem jeweiligen Käufer bzw. Anwender geschlossen. Hierfür müssen neben den Vertragsbedingungen auch die Datenschutzbestimmungen vollständig, transparent und verständlich sein – eben so, dass der Nutzer darüber informiert wird, welche personenbezogenen Daten für welche Zwecke von ihm verarbeitet werden.
b)  Einsatz von Windows 10 bei Unternehmen
Planen dagegen Organisationen wie z. B. Unternehmen, Vereine oder Verbände den Einsatz von Windows 10, so wird meist die Version Windows 10 Enterprise in Betracht gezogen. Diese unterscheidet sich von den anderen Versionen vor allem darin, dass deutlich mehr Einstellungsmöglichkeiten vorhanden sind und dadurch die Betreuung mehrerer Arbeitsplätze im Unternehmensalltag erleichtert wird.

ABLAUF DER PRÜFUNG

Das BayLDA hat sich bereit erklärt, die Version Windows 10 Enterprise zu prüfen und insbesondere auf technischer Ebene zu analysieren. Die zentrale Fragestellung war, ob diese Version des Betriebssystems mit verhältnismäßigem Aufwand derart konfiguriert werden kann, dass die vom ihm ausgehenden Datenflüsse an Microsoft kontrolliert und bei Bedarf unterbunden werden können (z. B. Daten, die zur Produktverbesserung und zur Werbung übermittelt werden).
Zu diesem Zweck hat das BayLDA im technischen Prüflabor in Ansbach einen Aufbau vorbereitet, der es ermöglicht, die Datenströme bei Nutzung von Windows 10 zu erkennen und zu analysieren. Das BayLDA hat anschließend in eigenen Testszenarien gezielte Einstellungen in den Windows Gruppenrichtlinien vorgenommen, die eine Einschränkung der – aus Sicht der Prüfer – ungewollten Datenströme an Microsoft bewirken sollten.
Das BayLDA hat im März 2017 die erste Prüfung von Windows 10 Enterprise (Build 14393) abgeschlossen. Im Mai 2017 wurde dann die neueste Enterprise Version nach dem sog. Creators Update (Build 15063) geprüft, um die vorher gewonnenen Ergebnisse zu validieren. Diese Ergebnisse wurden in einem kurzen Prüfbericht festgehalten, der dokumentiert, welche Einstellungen vorgenommen und welche Datenübertragungen registriert wurden.

ERGEBNIS DER PRÜFUNG

Ergebnis dieser Prüfung des BayLDA ist, dass es mit wenigen Einstellungen in den Gruppenrichtlinien von Windows 10 Enterprise gelungen ist, die meisten vom Betriebssystem aus initiierten Datenübertragungen zu unterbinden. Das BayLDA hat in der Untersuchung ausschließlich Windows Gruppenrichtlinien genutzt, um eine Kontrolle über die Datenübertragungen zu erhalten. Microsoft selbst nennt hierfür weitere Wege, um dieses Übertragungsverhalten zu steuern – bspw. über das User Interface (UI), die Mobile Device Management (MDM) Policy, die Registry oder die Windows Firewall.
Obwohl das BayLDA im Rahmen seiner Prüfung nicht alle Windows Gruppenrichtlinien näher untersuchen konnte (schließlich existieren hierbei hunderte), hat die Überprüfung der wichtigsten Bestandteile von Windows 10 Enterprise ergeben, dass bei entsprechender Einstellung gerade die datenschutzrechtlich kritischen oder zumindest unklaren Übermittlungen von personenbezogener Daten des Nutzers eingeschränkt werden konnten. Somit ist zu schlussfolgern, dass Windows 10 Enterprise bei Unternehmen durch gezielte Konfiguration ohne Datenschutzverstöße eingesetzt werden kann.
Der Präsident des BayLDA, Thomas Kranig, stellt zum Abschluss dieser Prüfung Folgendes fest:
„Wir haben erkannt, dass Windows 10 Enterprise ein durchaus ‚kommunikationsfreudiges‘ Betriebssystem ist, dessen Datenübertragungen von den Nutzern mittlerweile weitestgehend gesteuert werden können – auch wenn dies mit etwas Aufwand verbunden ist. Für uns ist es dabei wichtig, dass Unternehmen das System datenschutzkonform konfigurieren können. Wir werden daher weiter den Dialog mit Microsoft suchen, um die noch offenen Fragen aus unserer Prüfung zu klären. Es bleibt abzuwarten, ob Microsoft dabei auf die Kritik der Nutzer und anderer europäischer Datenschutzbehörden, die Windows 10 Home und Pro prüfen, reagiert und bei der Fortentwicklung von Windows 10 datenschutzrechtliche Verbesserungen vorsehen wird.“
Das BayLDA hat nicht nur wegen der großen Bedeutung von Windows 10 in der Praxis an dem europaweiten Prüfprojekt beteiligt, sondern auch auf Grund der Tatsache, dass Microsoft seinen deutschen Hauptsitz in Bayern hat. Um die Zusammenarbeit mit den anderen europäischen Aufsichtsbehörden zu erleichtern, wurde der Bericht des BayLDA auf Englisch verfasst. Er kann als PDF-Datei auf den Seiten des BayLDA heruntergeladen werden: www.lda.bayern.de/media/windows_10_report.pdf