Sicherheitsbedenken von Windows unter der DS-GVO

Einleitung

Bislang sind vor allem Facebook, Google und Amazon medientechnisch negativ aufgefallen, was den Umgang mit personenbezogenen Daten angeht. Eher unauffällig, aber nicht minder umfangreich, ist in der Hinsicht auch Microsoft, besonders mit seinem Betriebssystem Windows 10 und seiner Office-Suite, zu nennen. Dies ist auf den ersten Blick nicht jedem Anwender klar, da Microsoft seine Produkte gegen ein Entgelt anbietet, Google und Facebook hingegen „kostenlos“ sind. Dass Microsoft mittlerweile auch auf den Zug der Datensammler aufgesprungen ist, ist der neuen Vermarktungsstrategie des jüngsten Windows-Sprösslings Windows 10 geschuldet. Musste man für vergangene Windows-Versionen pro Lizenz noch mindestens 100€ bezahlen, war Windows 10 für Windows 7 und 8 Nutzer kostenlos.

Dies ist natürlich nicht einer plötzlichen aufkeimenden Wohltätermentalität seitens Microsofts zu verdanken, sondern die Ausnutzung einer Monopolstellung und dem immer größer werdenden Wert, der mit dem Sammeln von personenbezogenen Daten einhergeht. Dies ist der Tatsache geschuldet, dass Microsoft zum einen Pionier in der Betriebssystemsparte war, und somit frühzeitig sich im unternehmerischen und als Resultat dessen auch im privaten Bereich etablieren konnte, zum anderen konnten Konkurrenzprodukte nicht die gleiche Nutzerfreundlichkeit bieten wie Windows und Office.

Dass Microsoft bislang unter dem Schirm der medialen Aufmerksamkeit geblieben ist, kann sich jedoch nun ändern. Zwar war Windows 7 datenschutzrechtlich nicht unbedenklich, allerdings ist die Thematik des Datenschutzes erst mit Einführung der DS-GVO in den Fokus einer breiten Öffentlichkeit geraten.

Microsoft hat schon vor einiger Zeit angekündigt, den Support von Windows 7 am 14. Januar 2020 einzustellen, so dass der Thematik Ende 2019 eine neue Brisanz zuteilkommt, da immer noch zahlreiche Behörden und Großunternehmen auf Windows 7 setzen. Damit wird nach dem Supportende von Windows 7 die Einhaltung der von der DS-GVO verlangten technischen und organisatorischen Maßnahmen schwierig nachzuweisen sein.

Bereits 2017, und somit vor Anwendungsbeginn der DS-GVO, hat die niederländische Datenschutzaufsichtsbehörde AP kritisiert, dass Microsoft die Nutzer von Windows 10 Home und Windows 10 Pro nicht klar genug darüber informiert, welche Daten für welchen Zweck erfasst und ausgewertet werden. Seitdem hat sich nicht viel getan wie dem Abschlussbericht des niederländischen Justizministeriums vom 13. November 2019 zu entnehmen ist.

Neben Windows 10 Home und Windows 10 Pro bietet Microsoft noch die teurere Version Windows 10 Enterprise an. Diese hat die niederländische Datenschutzaufsichtsbehörde explizit nicht bemängelt, da sie nur über minimale Datenübermittlung an Microsoft verfügt, aber komplett lässt sich diese auch da nicht ausschalten.

Noch Fragen?
Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
0228 - 74 89 80

Umstellung auf Servicekonzept

Das Etablieren der neuen Vermarktungsstrategie im Rahmen der Einführung von Windows 10 hatte eine Abkehr von der bisherigen Praxis der Lizenzpolitik und Etablierung eines Servicekonzepts zur Folge, indem Microsoft nicht mehr alle paar Jahre ein neues Windows veröffentlichte, sondern seit Windows 10 dieses immer wieder „rundumerneuert“. Somit ist Windows 10 nicht gleich Windows 10. Neben unterschiedlichen Editionen für unterschiedliche Zielgruppen (S, Education, Home, Pro, Enterprise) gibt es von jeder Edition unterschiedliche Versionen (1507, 1511, 1607, 1703, 1709, 1803, 1809, 1903, 1909). Keine funktionstechnischen Unterschiede gibt es zwischen den 32- und 64-bit-Architekturen. Diese Versionen sind das Resultat von „Funktionsupdates“ die ca. zwei Mal pro Jahr kostenlos von Microsoft zur Verfügung gestellt werden und neue Funktionen anbieten, aber auch sicherheitsrelevante Updates beinhalten. Zusätzlich erscheinen jenen Monat kleine Updates, die meist Sicherheitslücken beheben. Zu beachten ist, dass diese großen „Funktionsupdates“ zur Folge haben können, dass sicherheitsrelevante Einstellungen im Betriebssystem verloren gehen und neu aktiviert werden müssen oder aber auch die Systemintegrität durch neue Funktionen beeinträchtigt wird.

Kritikpunkte

Konkret wirft das niederländische Justizministerium Microsoft vor, dass nicht ohne weiteres ersichtlich ist, welche Daten erhoben werden und weshalb, was den Grundsätzen des Art. 5 DS-GVO zuwiderläuft. Nur durch Eigeninitiative (siehe unten MS Diagnostic Data Viewer) ist erkennbar, dass der Datentransfer etwa Informationen über persönliche Daten zur Softwareinstallation, mithilfe des Webbrowsers Edge besuchten Webseiten, Suchanfragen an Bing und sogar die Klickpfade der Office-Produkte umfasst. Abgesehen davon, geschieht dieser Datentransfer im Hintergrund, ohne dass der Anwender dies einfach überprüfen und komplett unterbinden könnte.

Als in den USA ansässiges Unternehmen finden auf Microsoft die Art. 44 ff. DS-GVO Anwendung. Mit dem Privacy Shield existiert ein Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DS-GVO, der die Übermittlung der Daten in die USA rechtfertigt. Allerdings ist zu beachten, dass gegen den Privacy Shield ein Verfahren vor dem Europäischen Gerichtshof anhängig ist (Az. C-311/18), so dass eine Rechtmäßigkeit in Zukunft eventuell einer neuerlichen Überprüfung bedarf.

Nutzung in Behörden

Besonders bedenklich ist, dass Windows 10 nicht nur in privaten Haushalten genutzt wird, sondern ebenfalls in Behörden, Krankenhäusern und Unternehmen verbreitet ist.

In einer vom Bundesinnenministerium in Auftrag gegebenen Studie des Beratungsunternehmens PwC Strategy& zur Software-Nutzung in der Bundesverwaltung wurde eine starke Abhängigkeit von Microsoft-Produkten festgestellt. Diese Abhängigkeit resultiert in einer Gefährdung der digitalen Souveränität des Staates. Zwar gewährt Microsoft hohe Rabatte beim Kauf von Volumenlizenzen, kann diese Praxis aber jederzeit ändern. Durch die Einführung von monatlichen Abonnements, zum Beispiel Office 365, erhöht Microsoft bereits seine Einflussmöglichkeiten auf die Preispolitik.

Typisch in der Bundesverwaltung ist die Verwendung von Outlook, Exchange mit Windows und auch noch Windows Server als Basis der zugrundeliegenden Serverinfrastruktur. Da Microsoft keine offenen Schnittstellen zur Verfügung stellt, ist ein Austauschen eines Produkts aus dieser Anwendungskette nicht ohne weiteres möglich.

Zusätzlich ist dies auch kaum gewollt, da ein Großteil des Personals der Bundesverwaltung Microsoft Office und Windows nicht nur im Arbeitsalltag, sondern auch im privaten Umfeld nutzt und somit über entsprechende Fähigkeiten und Fachwissen verfügt. Auch würde der Umstieg auf eine andere Software einen erheblichen Schulungsaufwand mit sich bringen.

Lösungsansätze

Welche Möglichkeiten gibt es dann Windows 10 weiter zu nutzen und trotzdem die DS-GVO-Konformität zu wahren? Mit dieser Frage hat sich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) beschäftigt. Dazu hat sie am 6. November 2019 ein spezielles Prüfschema zur Anwendung von Windows 10 erstellt: Link Prüfschema.

Beibehalten von Windows

Als Quintessenz lässt sich vorab feststellen, dass zwar die Übermittlung von Daten an Microsoft in bislang keiner Edition und Version durch eine Änderung der Konfigurationseinstellungen komplett abgestellt werden kann und sich das Kommunikationsverhalten und die Konfigurationsmöglichkeiten von Windows 10 mit neuen Versionen ändern können. Allerdings ist nach gründlicher vorangegangener Prüfung eine datenschutzkonforme Verwendung von Windows 10 möglich.

Wie bei jeder Prüfung von Geschäftsprozessen, bei denen personenbezogene Daten verwendet werden, ist dabei folgendes Schema anzuwenden:

1.       Beschreibung des Geschäftsprozesses / der Verarbeitungstätigkeit (Art, Umfang, Umstände und Zwecke der Verarbeitung)

2.       Ermittlung der an Microsoft übermittelten personenbezogenen Daten mit dem Tool MS Diagnostic Data Viewer, welches kostenlos über den Microsoft-eigenen AppStore bezogen werden kann.

3.       Anschließend kann abgeglichen werden, ob die Übermittlung rechtmäßig im Sinne des Art. 6 Abs. 1 S.1 DS-GVO erfolgt oder ob gegebenenfalls Anpassungen an der Konfiguration vorgenommen werden müssen.

Mithilfe dieses Prozederes kann die Integrität der geeigneten technischen und organisatorischen Maßnahmen nach den Bestimmungen der DS-GVO gewährleistet werden. Allerdings ist dies mit nicht unerheblichem Aufwand verbunden, da das Tool MS Diagnostic Data Viewer Einarbeitungszeit erfordert und aufgrund der regelmäßigen Updates von Windows 10 eine kontinuierliche Überprüfung notwendig ist. Natürlich geht es auch pragmatischer – wenn der Rechner keinen Internetzugang braucht, kann man einfach den (Netzwerk-) Stecker ziehen.

Abkehr von Microsoft

Wem das zu viel Aufwand ist und / oder die Lizenzkosten an Microsoft nicht mehr erbringen möchte, kann natürlich auch komplett die Systemarchitektur wechseln und auf Microsoft-Produkte verzichten. Die Frage einer möglichen Abkehr von Microsoft mag aufgrund des riesigen Aufwands unbequem erscheinen, könnte jedoch auf lange Sicht gesehen eine ernsthafte Alternative darstellen. Das beste Datenschutzgesetz nützt nichts, wenn aufgrund unsicherer bzw. anfälliger Infrastruktur jegliche Datenschutzbestimmungen ins Leere laufen. Übergangsweise ließe sich auch ein paralleler Betrieb von Linux-Systemen und Windows betreiben. Zudem ist Linux in der Lage eine Windows-Umgebung zu emulieren (zum Beispiel mit der Laufzeitumgebung Wine). Auch lassen sich mit LibreOffice (früher OpenOffice) Word-Dateien öffnen.

Diesbezüglich gab es in der Bundesrepublik bereits mehr oder weniger erfolgreiche Bemühungen. Die Kommunalverwaltungen Mannheim und München sowie die Niedersächsische Polizei und Finanzverwaltung haben ihren begonnen Umstieg auf Linux-Distributionen wieder rückgängig gemacht und sind zurück zu Windows gewechselt. Hingegen wird Linux erfolgreich in den Bremer Schulen angewandt.

Ähnliche Bemühungen laufen in Frankreich, Großbritannien und Spanien. In Italien wurde sogar ein verpflichtendes Gesetz zur Nutzung von Open-Source-Software erlassen.

Fazit

Diese Maßnahmen sind jedoch nur ein Tropfen auf den heißen Stein. Vereinzelte Umstellungen sind begrüßenswert, allerdings konterkariert die zwangsläufige Kommunikation innerhalb von Ländern mit anderen, Microsoftbasierten-Systemen den Zweck der Datenintegrität und gefährdet diese, da immer Server außerhalb der EU im Spiel sein werden.

Die föderale Struktur in der Bundesrepublik resultiert nicht nur in eigenen Softwarelösungen, sondern verursacht auch finanzielle Mehrbelastungen und ist sehr impraktikabel. Mangels einheitlicher Schnittstellen, zum Beispiel bei Polizeibehörden, können sich diese nicht austauschen oder andere Datenbanken abfragen. Dies ist zwar ein politisches Problem, im Rahmen einer Umstellung auf neue, einheitliche IT-Systeme würden sich jedoch so zwei Fliegen mit einer Klappe schlagen lassen.

Eine hundertprozentige Gewährleistung von Kontrolle und Sicherheit ist nur durch eine vollständige Umstellung auf andere Produkte möglich. Da die meisten Kommunen und Ministerien freiwillig nicht die Muße dazu haben, müsste der Gesetzgeber dies durch entsprechende Regelungen veranlassen. Und zwar nicht nur in Deutschland, sondern im Hinblick auf die Etablierung einheitlicher europäischer Standards und Gesetze und der Kommunikation zwischen den Mitgliedstaaten, ist hier der europäische Gesetzgeber gefragt. Es sollte im eigenen Interesse Europas sein, sich informationstechnisch komplett von den USA zu lösen und eigene Produkte zu entwickeln.

Der dazu nötige Aufwand ist nur im Moment der Umstellung enorm. Nach Installation und Umschulung können auf dieser Basis europaweit einheitliche Softwarelösungen für Kommunen genutzt werden. Die einmaligen Umstellungskosten könnten durch die wegfallenden Lizenzkosten an Microsoft und die Bündelung von Programmierressourcen und Verteilung auf alle Mitgliedstaaten langfristig amortisiert werden.