Tätigkeitsbericht des Bundesdatenschutzbeauftragen 2020

Der Einsatz von Software aus dem Hause von Microsoft ist in Deutschland nicht unumstritten. Nach mehreren Anfragen in Deutschland ist klar, dass Microsoft Software die Mehrzahl der Software für Betriebssystem, Server und Office Software stellt. So kommt schnell die Diskussion um die digitale Souveränität auf und auch in Sachen Datenschutz und insbesondere Telemetrie gibt es kritische Stimmen, so auch der Bundesdatenschutzbeauftragte in seinem Tätigkeitsbericht:

 

Textauszug zu Microsoft

7.8 Microsoft, der Datenschutz und die digitale Souveränität

Wie passen Windows 10, Microsoft 365, Datenschutz und digitale Souveränität zusammen? Diese Frage wurde von Datenschützern in den letzten Monaten kontrovers diskutiert. Am 14. Januar 2020 endete der Produktsupport für Windows 7. Damit stieg der Druck, auf ein aktuelles Betriebssystems umzusteigen. Immer mehr Bundesbehörden stellen ihre Systeme auf Windows 10 um. Die zentrale Bereitstellung von Infrastrukturen und Diensten wird immer erfolgskritischer, was cloudbasierte Angebote in den Fokus rückt.

Telemetriedaten kontra Datenschutz

Bereits am 7. November 2019 veröffentlichte die Datenschutzkonferenz (DSK) eine Handreichung zum Datenschutz bei Windows 10 (zu finden unter: www.bfdi.bund. de/beschlüsse-positionspapiere). Verantwortliche sehen sich beim Einsatz des Betriebssystems insbesondere mit der Frage konfrontiert, wie sich die Übermittlung von Telemetriedaten an Microsoft datenschutzrechtlich rechtfertigen lässt. Telemetriedaten sind technische Daten, die aus dem System erhoben, an Microsoft übermittelt und analysiert werden. Hiermit will das Unternehmen die Stabilität des Systems überprüfen, Quellen für Fehler leichter ermitteln und dadurch die Funktionalität des Systems verbessern. Telemetriedaten enthalten Identifikatoren, die es Microsoft ermöglichen, einen individuellen Nutzer auf einem individuellen Gerät und dessen Nutzungsmuster wiederzuerkennen. Damit gelten sie als personenbezogene Daten, die vom Datenschutz geschützt sind. Die einfachste datenschutzrechtliche Lösung für das skizzierte Dilemma bestünde darin, die Verarbeitung und Übermittlung von Telemetriedaten im Betriebssystem schlicht auszuschalten. Microsoft hatte gegenüber den Aufsichtsbehörden erklärt, dass zumindest bei der Nutzung der Telemetriestufe „Security“ keine Telemetriedaten übermittelt würden. Diese Telemetriestufe kann aber nur bei bestimmten Versionen von Windows 10 eingestellt werden, konkret bei den Enterprise- und Education-Editionen.

Aktuelle Untersuchungen der DSK und die SiSyPHuS-Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) kamen aber zu dem Ergebnis, dass auch eine entsprechende Konfiguration des Systems nicht sicher zu einem kompletten und vor allem dauerhaften Ausschluss der Datenübermittlung führt. Die Aufsichtsbehörden sehen daher aktuell keine andere Möglichkeit, als den für den Einsatz von Windows 10 Verantwortlichen aufzuerlegen, Maßnahmen zu ergreifen, um eine Telemetriedatenübermittlung sicher zu unterbinden. Hierzu hat die DSK am 26. November 2020 einen entsprechenden Beschluss gefasst (ebenfalls zu finden unter: www.bfdi.bund.de/beschlüsse-positionspapiere). Konkret bedeutet dies, Verantwortliche müssenneben der Telemetriestufe Security zusätzlich mittelsvertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) sicherstellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.
Ich empfehle in meinem Zuständigkeitsbereich für den Einsatz von Windows 10 die Trennung des Betriebssystems vom Internet, so wie sie in der Bundesverwaltung mit dem Bundesclient als Standardarbeitsplatz bis 2025 vorgesehen ist.
Intensiver Dialog zu Windows 10 und MS 365 erforderlich, auch perspektivisch Die skizzierten Entscheidungen basieren auf einem intensiven Dialog mit Microsoft und einer gemeinsamen Bewertung innerhalb der DSK. Dieser Austausch ist auch in Zukunft wichtig, um allgemeingültige und tragfähige datenschutzrechtliche Handlungsempfehlungen ableiten zu können.
Exemplarisch gilt dies auch für die aktuelle Diskussion um die rechtlichen Verbesserungspotenziale der Auftragsverarbeitungsunterlagen von Microsoft im Kontext MS 365. Im Ergebnis hat die DSK hier einige Defizite festgestellt, beispielsweise bei der Festlegung, welche Daten zu welchen Zwecken verarbeitet werden sollen, bei der Möglichkeit für Verantwortliche, technisch-organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu prüfen oder bei den Informationen zu Unterauftragnehmern. Eine Arbeitsgruppe der DSK wird nun mit Microsoft in Kontakt treten, um zeitnah datenschutzgerechte Nachbesserungen zu erzielen. Die Gespräche sollen auch dazu dienen, Anpassungen an die durch die Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 75 Schrems II-Entscheidung des EuGH (vgl. Nr.4.3) aufgezeigten Maßstäbe an die Übermittlung personenbezogener Daten in die USA oder andere Staaten außerhalb der Europäischen Union zu erreichen.

Digitale Souveränität in weiter Ferne

Die „digitale Souveränität“ hat sich als politische Zielvorstellung mittlerweile etabliert, auch wenn hierbei keine einheitliche, konturenscharfe Definition Verwendung findet. Im Kern geht es stets darum, die Abhängigkeiten zu einzelnen Hard- und Software-Anbietern zu verringern und einer wachsenden Technologieabhängigkeit entgegenzuwirken. Souverän sein zielt darauf ab, seine Rolle in der digitalen Welt selbständig, selbstbestimmt und sicher ausüben zu können. Ein souveräner datenschutzrechtlich Verantwortlicher kann damit also frei entscheiden, welche Handlungsoptionen er wählt, um die Datenschutzanforderungen sicher umzusetzen.
Die Beratungsgesellschaft PWC hat Ende 2019 für die Bundesverwaltung eine strategische Marktanalyse zur Reduzierung von Abhängigkeiten zu einzelnen Software-Anbietern vorgelegt. Gezeigt wurde, dass die Bundesverwaltung in einem kritischen Maße von einzelnen Anbietern abhängig ist. Das gilt besonders für Microsoft, dessen Produkte vielfach eingesetzt werden und die eng mit Fachanwendungen verknüpft sind. Es steht also nicht wirklich gut um die digitale Souveränität der deutschen Verwaltung.

Um zukunftsfähige Modelle für die IT der öffentlichen

Verwaltung zu entwickeln, sind wir aus meiner Sicht gut beraten, hier den Blick zu weiten und auf Diversität sowie Open Source zu setzen. Gerade der perspektivische Einsatz von neuen Cloud-Infrastrukturen kann hierbei ein wichtiger Wendepunkt werden und die Herstellerabhängigkeit reduzieren.

Internetauftritt des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit – Tätigkeitsberichte – 29. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020