Windows 10: Die tickende DSGVO-Zeitbombe von Microsoft
Wenn es in der Öffentlichkeit um Datenschutzskandale geht, sind von den fünf großen US-Konzernen meist Facebook, Google und Amazon betroffen. Doch seit Inkrafttreten der EU-Datenschutz-Grundverordnung hat sich im Hintergrund ein Problem entwickelt, das vor allem Behörden noch in ein schwieriges Dilemma bringen könnte. Was passiert, wenn sich das Betriebssystem Windows 10 und zahlreiche Office-Anwendungen von Microsoft nicht DSGVO-konform nutzen lassen? Auch Microsoft scheint inzwischen den Ernst der Lage erkannt zu haben und versucht, den Europäern entgegenzukommen.
Knackpunkt der Auseinandersetzung ist die regelmäßige Übertragung von Nutzerdaten in die USA. Aus diesem Grund verlangen die deutschen Datenschutzbehörden in einem in der vergangenen Woche veröffentlichten Prüfschema ( PDF(öffnet im neuen Fenster) ) für Windows 10, dass diese Datenübertragung von den Anwendern geprüft und gegebenenfalls unterbunden werden müsse.
So müssten "technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen" . Gleichzeitig stellen die Aufsichtsbehörden mit Verweis auf mehrere Studien fest, dass eine vollständige Unterbindung des Datentransfers "aktuell nicht möglich" sei. Auch könnten die Anwender nicht selbst untersuchen, ob und welche personenbezogenen Daten übertragen werden, da der Datentransfer verschlüsselt sei. Diese Rechtsauffassung bringen die Datenschützer auch im IT-Konsolidierungsprojekt und IT-Planungsrat ein.
Unüberwindbare Hürden
Damit stellen die Aufsichtsbehörden die Verantwortlichen in den Unternehmen und Behörden, die Windows 10 einsetzen wollen, vor Hürden, die sie im Moment nicht überwinden können. Die Datenschützer fordern überdies, dass Unternehmen und Behörden fortlaufend überwachten, ob anlässlich eines Updates erneut eine Prüfung durchgeführt werden müsse. Denn mit den Updates fügt Microsoft neue Funktionen hinzu oder ändert bestehende.
Angesichts der verschiedenen Editionen, Konfigurationen und Funktionalitäten scheuen die deutschen Aufsichtsbehörden eine Aussage dazu, ob der Einsatz von Windows 10 rechtskonform erfolgen könne oder nicht und schieben damit den Schwarzen Peter den Anwendern zu. Die verantwortlichen Betreiber in Unternehmen und Behörden müssten eben "das Restrisiko" so minimieren, dass es "tragbar" sei. Jeder soll also das von der Datenschutzkonferenz von Bund und Ländern (DSK) veröffentlichte Prüfschema nehmen und selbst prüfen.
Microsoft begrüßt die "Motivation"
Microsoft-Sprecherin Irene Nadler ist über das Vorgehen offenbar nicht besonders begeistert. Golem.de sagte sie etwas verklausuliert: "Wir befürworten die Motivation des von der DSK veröffentlichten Prüfschemas, Verantwortliche bei der datenschutzrechtlichen Bewertung von Technologielösungen unter Berücksichtigung ihrer individuellen Anforderungen zu unterstützen." Das soll wohl heißen: Das Motiv ist gut, doch das Ergebnis nicht überzeugend.
Nadler zufolge ist es für Microsoft "besonders wichtig" , dass alle Produkte und Dienstleistungen geltendem Recht entsprechen. "Nach der Einführung der DSGVO haben wir nicht aufgehört, in den Datenschutz zu investieren" , betont sie und verweist auf transparente Richtlinien und Datenschutzverfahren(öffnet im neuen Fenster) sowie umfassende Neuerungen für Privatanwender und Unternehmen, welche die Transparenz für Kunden weiter erhöhen sollten.
Niederlande erreicht Vertragsänderungen
Microsoft steht unter Druck: Am Montag verkündete Microsofts oberste Datenschutzbeauftragte Julie Brill im Unternehmensblog ein zentrales Update der Microsoft-Datenschutzbestimmungen(öffnet im neuen Fenster) für die kommerziellen Cloud-Verträge bei Azure, Office 365, Dynamics und Intune.
Es spiegelt die Änderungen wider, die das niederländische Justiz- und Sicherheitsministerium mit Microsoft herausverhandelte. Eine Datenschutz-Folgenabschätzung im Auftrag der niederländischen Regierung war 2018 zu dem Schluss gekommen , dass Microsoft "systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, Powerpoint und Outlook" sammle - rechtswidrig nach der DSGVO.
Microsoft übernimmt mehr Verantwortung
Neu ist, dass Microsoft die datenschutzrechtliche Verantwortung für die Datenverarbeitung, an der das Unternehmen beteiligt ist, in größerem Umfang als bisher übernimmt. Dazu gehören die Kontoführung, die Finanzberichterstattung, die Bekämpfung von Cyberangriffen auf Microsoft-Produkte und -Dienste und diverse gesetzliche Verpflichtungen. Diese neuen Vertragsbedingungen bietet Microsoft allen gewerblichen Kunden ab Anfang 2020 weltweit an.
Die Niederländer erreichten auch bereits, dass eine Reihe neuer Datenschutz-Tools eingeführt und Änderungen an Office 365 ProPlus vorgenommen wurden , um die Verwendung von Diagnosedaten transparenter zu gestalten. Eine Folgeanalyse zeigte im Juli 2019, dass weiterhin Probleme bestehen .
Verlängerung für Windows 7
Während die niederländischen Behörden die Datenschutzprobleme in den Vertragsverhandlungen direkt angingen, bewegt sich das deutsche Bundesinnenministerium bisher nur in Trippelschritten voran, indem es eine dreijährige Verlängerung der Konditionenverträge für Windows 7 erwirkte. Das erhöht den Veränderungsdruck auf Microsoft vergleichsweise moderat: Drei Jahre hat das Unternehmen nun Zeit, um in Sachen verschlüsselter Telemetriedaten und anderer Probleme nachzubessern. Der Verwaltung bleiben nun aber ebenfalls drei Jahre, einen Umstieg auf andere Lösungen vorzubereiten.
Doch was passiert, wenn es bis dahin keine Lösung gibt und die DSGVO-Zeitbombe hochgeht?
Umstieg auf Open Source?
Naheliegend ist ein Umstieg auf Open-Source-Lösungen: Peter Ganten, Vorsitzender der Open Source Business Alliance, sagte Golem.de, "dass Erzeuger von Daten in der Lage sein müssen, deren Speicherort jederzeit selbst zu bestimmen, sowohl in welchem Land als auch auf welchem IT-System." Eine solche Datensouveränität diene nicht nur der informationellen Selbstbestimmung des Einzelnen, sondern auch der Innovationsfähigkeit von Wirtschaft und Gesellschaft.
Zuletzt war eine vom Bundesinnenministerium in Auftrag gegebene Studie des Beratungsunternehmens PwC Strategy& ( PDF(öffnet im neuen Fenster) ) zu dem wenig schmeichelhaften Ergebnis gekommen, dass die Bundesbehörden "in allen Schichten" von wenigen Anbietern, insbesondere Microsoft, "stark abhängig" seien. Die Probleme um die Fragen der IT-Sicherheit und des Datenschutzes gefährdeten "die digitale Souveränität des Staates" . Die Kosten seien "unkontrollierbar" , die Flexibilität "eingeschränkt" und die Innovation "fremdgesteuert" .
Druck auf Beschaffung wächst
Der Druck wächst damit auf die öffentliche Beschaffung, sich komplett aus Microsofts Umarmung zu lösen. Für die Open-Source-Industrie entsteht damit ein neues, kleines Zeitfenster, um wieder besser ins Behördengeschäft zu kommen. Ganten legt denn auch den Finger auf die Telemetriedaten. Ganten sagt, hier gehe es "nicht nur um individuellen Datenschutz, sondern auch um den Schutz vor Spionage, gerade in Zeiten eines allgemeinen Vertrauensverlustes in Regierungs- und Ermittlungsbehörden."
Der Hersteller eines Betriebssystems müsse es Anwendern "letztlich ermöglichen, den Quellcode genau auf exakt solche Schnittstellen zu überprüfen." Letztlich brauche es dafür "eine klare europaweite Regulierung, die schlicht das vollständige Abschalten der Übermittlung personenbezogener Daten durch Betriebssysteme ermöglicht." Das sei für Systeme in sensiblen und sicherheitsrelevanten Umgebungen "unerlässlich" .
Stringentere Prüfmethoden
Eine Alternative zu einer solchen punktuellen Lösung könnten die Datenschutzaufsichtsbehörden bieten, würden sie sich europaweit auf das Standard-Datenschutzmodell (SDM) verständigen ( PDF(öffnet im neuen Fenster) ). Dabei handelt es sich um eine stringente Prüfmethode, mit der nicht nur die Aufsichtsbehörden, sondern auch die Anwender in Unternehmen und Behörden untersuchen können, ob ihre Anwendungen auch vollständig DSGVO-konform sind.
Letztlich dreht sich beim Telemetriedaten-Problem alles um die Frage der Prüfbarkeit. Das SDM versteht Transparenz so, dass die Umsetzung aller datenschutzrechtlichen Grundsätze "überprüfbar" sein muss. Und Prüfbarkeit wird durch eine Spezifikation, Dokumentation und Protokollierung umgesetzt. Die deutschen Aufsichtsbehörden haben sich jetzt auf das SDM als Prüfmethode verständigt - sie müssen sie nur selbst anwenden und ihre europäischen Kollegen von ihr überzeugen.
Noch ist Zeit zum Nachsteuern
Das jetzt vorgestellte Prüfschema für Windows 10 richtet sich nämlich noch nicht nach dem SDM. Das SDM prüft keine abstrakten IT-Infrastrukturen, sondern immer einen konkreten Anwendungsfall mit personenbezogenen Daten. Würde man etwa "Windows 10 an Schulen" prüfen, müsste man von einem hohen Grundrechtsrisiko ausgehen, weil Kinder betroffen sind - und die Prüflatte wäre höher gesetzt. Insofern ist auch das jetzt vorgestellte Prüfschema für Windows 10 eine Art Verhandlungsangebot der Datenschutzaufsicht an Microsoft. Noch ist etwas Zeit zum Nachsteuern. Und wären sich die europäischen Aufsichtsbehörden in ihrer Prüfmethode einig, würden sich auch große IT-Konzerne wie Microsoft wieder schneller ein Stück in die richtige Richtung bewegen.