Zurück zur Übersicht
29.06.2020

Das Windows-10-Prüfschema

Wie prüfe ich den datenschutz bei Windows 10?

Der Arbeitskreis Technik hat unter dem Titel „Datenschutz bei Windows 10“ ein Prüfschema für Windows 10 publiziert, das inzwischen auch von der DSK verabschiedet wurde. Das Prüfschema „soll Verantwortliche, die Windows 10 bereits einsetzen oder dies beabsichtigen, in die Lage versetzen, eigenständig die Einhaltung der rechtlichen Vorgaben der DSGVO in ihrem konkreten Fall zu prüfen und zu dokumentieren“. Adressaten des Prüfschemas sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen. Zu berücksichtigen ist, dass diejenigen Stellen, die personenbezogene Daten mithilfe von Windows 10 verarbeiten, Verantwortliche im Sinne des Datenschutzrechts sind. Aber auch Microsoft selbst ist für einige Verarbeitungen Verantwortlicher.


In diesen Hinweisen zu Windows 10 wird betont, dass zum einen ein letztlich nicht kontrollierbares Abfließen zumindest von Telemetriedaten erfolgt und zum anderen durch den Umstand, dass Updates nicht unterbunden werden können, sich die Eigenschaften eines Windows-10-Systems vollständig ändern können. Daraus folgt auch, dass eine Aussage darüber, ob Windows 10 datenschutzkonform sei, nicht pauschal getroffen werden kann.


Nach einem Überblick in Kapitel A werden in Kapitel B mit Hinweisen für die rechtliche Prüfung drei Fallgruppen bezüglich der Übermittlung personenbezogener Daten unterschieden, wobei für eine Übermittlung von Daten an Microsoft eine Rechtsgrundlage im Kontext des internationalen Datenverkehrs bereitstehen muss. Im abschließenden Kapitel C sind die sieben zu durchlaufenden Prüfschritte aufgeführt.

Zu diesem 12-seitigen Text gibt es eine Anlage, in der sowohl allgemeine technische Aspekte als auch Windows-spezifische Sachverhalte angesprochen werden. Dazu gehört ein Überblick über die verschiedenen Editionen von Windows 10 und die jeweils integrierten Funktionen und Applikationen. Ein eigener Abschnitt zu Telemetriedaten beschreibt verschiedene Stufen der Datenübermittlungen an Microsoft. Dieser Abschnitt zeigt zudem auf, welche Maßnahmen getroffen werden können, um die Übermittlung personenbezogener Daten an Microsoft einzuschränken. Im Anschluss werden die verschiedenen Updatekonzepte beschrieben, wobei zu berücksichtigen ist, dass die Mehrzahl der Windows-10-Versionen (wie z. B. Windows 10 Version 1909) nur eine begrenzte Laufzeit von 18 bis 30 Monaten hat und danach nicht mehr mit Sicherheitspatches unterstützt wird. Somit sind Verantwortliche quasi gezwungen, Funktionsupdates in kurzen Zyklen einzuspielen und die Prüfschritte erneut zu durchlaufen.

Zum Schluss finden sich Referenzen auf weitere, vor allem sicherheitstechnische Untersuchungen zu Windows 10, wie die des Bundesamts der Sicherheit in der Informationstechnik (BSI) und der niederländischen Datenschutzaufsichtsbehörde.

Quelle: ULD