Windows 10: Die tickende DSGVO-Zeitbombe von Microsoft

Wenn es in der Öffentlichkeit um Datenschutzskandale geht, sind von den fünf großen US-Konzernen meist Facebook, Google und Amazon betroffen. Doch seit Inkrafttreten der EU-Datenschutz-Grundverordnung hat sich im Hintergrund ein Problem entwickelt, das vor allem Behörden noch in ein schwieriges Dilemma bringen könnte. Was passiert, wenn sich das Betriebssystem Windows 10 und zahlreiche Office-Anwendungen von Microsoft nicht DSGVO-konform nutzen lassen? Auch Microsoft scheint inzwischen den Ernst der Lage erkannt zu haben und versucht, den Europäern entgegenzukommen.

Knackpunkt der Auseinandersetzung ist die regelmäßige Übertragung von Nutzerdaten in die USA. Aus diesem Grund verlangen die deutschen Datenschutzbehörden in einem in der vergangenen Woche veröffentlichten Prüfschema (PDF) für Windows 10, dass diese Datenübertragung von den Anwendern geprüft und gegebenenfalls unterbunden werden müsse.

So müssten "technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen". Gleichzeitig stellen die Aufsichtsbehörden mit Verweis auf mehrere Studien fest, dass eine vollständige Unterbindung des Datentransfers "aktuell nicht möglich" sei. Auch könnten die Anwender nicht selbst untersuchen, ob und welche personenbezogenen Daten übertragen werden, da der Datentransfer verschlüsselt sei. Diese Rechtsauffassung bringen die Datenschützer auch im IT-Konsolidierungsprojekt und IT-Planungsrat ein.

Unüberwindbare Hürden

Damit stellen die Aufsichtsbehörden die Verantwortlichen in den Unternehmen und Behörden, die Windows 10 einsetzen wollen, vor Hürden, die sie im Moment nicht überwinden können. Die Datenschützer fordern überdies, dass Unternehmen und Behörden fortlaufend überwachten, ob anlässlich eines Updates erneut eine Prüfung durchgeführt werden müsse. Denn mit den Updates fügt Microsoft neue Funktionen hinzu oder ändert bestehende.

Angesichts der verschiedenen Editionen, Konfigurationen und Funktionalitäten scheuen die deutschen Aufsichtsbehörden eine Aussage dazu, ob der Einsatz von Windows 10 rechtskonform erfolgen könne oder nicht und schieben damit den Schwarzen Peter den Anwendern zu. Die verantwortlichen Betreiber in Unternehmen und Behörden müssten eben "das Restrisiko" so minimieren, dass es "tragbar" sei. Jeder soll also das von der Datenschutzkonferenz von Bund und Ländern (DSK) veröffentlichte Prüfschema nehmen und selbst prüfen.

Microsoft begrüßt die "Motivation"

Microsoft-Sprecherin Irene Nadler ist über das Vorgehen offenbar nicht besonders begeistert. Golem.de sagte sie etwas verklausuliert: "Wir befürworten die Motivation des von der DSK veröffentlichten Prüfschemas, Verantwortliche bei der datenschutzrechtlichen Bewertung von Technologielösungen unter Berücksichtigung ihrer individuellen Anforderungen zu unterstützen." Das soll wohl heißen: Das Motiv ist gut, doch das Ergebnis nicht überzeugend.

Nadler zufolge ist es für Microsoft "besonders wichtig", dass alle Produkte und Dienstleistungen geltendem Recht entsprechen. "Nach der Einführung der DSGVO haben wir nicht aufgehört, in den Datenschutz zu investieren", betont sie und verweist auf transparente Richtlinien und Datenschutzverfahren sowie umfassende Neuerungen für Privatanwender und Unternehmen, welche die Transparenz für Kunden weiter erhöhen sollten.