Datenschutzrechtliche Problematik: Nutzung von Windows 10

Datenschutzrechtliche Problematik Windows 10

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat jüngst ein Prüfschema veröffentlicht, welches sich mit der Nutzung des Betriebssystems Windows 10 beschäftigt. 

Das Prüfschema dient als Leitfaden für diejenigen Unternehmen, welche eigenständig die Einhaltung der rechtlichen Vorgaben der DSGVO gewährleisten wollen.

Windows 10 ist dabei ein Überbegriff über eine Produktfamilie der Microsoft Corporation. Dabei werden verschiedene Produktvarianten angeboten. Die konkrete Variante wählt der Nutzer sodann für sich notwendigerweise aus.

Innerhalb der entsprechenden Produktvariante von Windows 10 sind Einstellungen an der Konfiguration vorzunehmen, um so den Service individuell anzupassen. Die Einstellungen sind automatisch so voreingestellt, dass Microsoft umfassend über das Nutzungsverhalten der Computeranwender informiert wird, d. h. auch personenbezogene Daten an Microsoft über die Internetverbindung weitergeleitet werden.

Je nach gewählter Edition sind die gegebenen Einstellmöglichkeiten unterschiedlich. Die Einstellungen müssen so vorgenommen werden, dass Windows 10 nur minimal personenbezogene Daten an die Microsoft eigenen Server in die USA übermittelt! Die Einstellungsmöglichkeit sollte daher zur Einflussnahme auf die Kommunikation zwischen Windows 10 und Microsoft genutzt werden. Es sollen diejenigen Einstellungen gewählt werden, welche die kleinste Übermittlung personenbezogener Daten erlauben. Einen detaillierten Leitfaden für die Vornahme der Einstellungen finden Sie hier.

Dies allein reicht jedoch unserer Auffassung nach noch nicht für die rechtssichere Nutzung von Windows 10 aus, solange eine Internetverbindung nicht unterbunden wird. In der Praxis wird es aber wohl keine realistische Alternative geben, denn auch andere, nicht so gängige Betriebssystem- und Anwendungslösungen gewährleisten nach derzeitigem Kenntnisstand die datenschutzrechtlichen Anforderungen bei Vorhalten eines Internetzuganges ebenfalls nicht hinreichend.

Praxishinweis

Für die Übermittlung von personenbezogenen Daten an Microsoft benötigt der Verantwortliche gem. Art. 6 DSGVO eine Einwilligung oder eine gesetzliche Rechtsgrundlage. Soweit dies nicht vorliegt, müssen Maßnahmen zur Unterbindung dieser Datenübermittlungen getroffen werden. Es kommen sowohl systembasierte als auch netzwerkbasierte Maßnahmen in Frage.

Verarbeiten Sie jedoch besondere personenbezogenen Daten nach Art. 9 DSGVO – bspw. gesundheitsbezogene Daten - stellt sich die Frage danach ob die Einrichtung einer Firewall oder eine Hardware-Lösung in Frage kommt.

Obige Mitteilung zieht des Weiteren eine Konkretisierung der Dokumentationspflicht nach sich. Fehlt eine Dokumentation im Hinblick auf die Nutzung des Betriebssystems, kann leicht davon ausgegangen werden, dass sich mit der Thematik überhaupt nicht befasst wurde. Verstöße gegen die Dokumentationspflichten sind stets bußgeldbewehrt.

Es gilt daher: Das Restrisiko und damit die Gesamtsicherheit der Nutzung von Windows 10 müssen bewertet werden. Die gewählten Einstellhinweise müssen dabei genauso dokumentiert werden wie auch der Geschäftsprozess des Verantwortlichen, zu welchem Zweck Windows 10 verwendet wird. Darüber hinaus muss auch die Rechtsgrundlage für die Übermittlung der personenbezogenen Daten beschrieben werden.

Sollten Sie im Hinblick auf die Nutzung Ihres Betriebssystems Fragen haben, oder Hilfestellung bei der Dokumentation benötigen, stehen Ihnen die erfahrenen Rechtsanwälte der ITB Rechtsanwaltsgesellschaft mbH gerne zur Verfügung.

Erstellt: 23. Januar 2020