Drücke "Enter", um den Text zu überspringen.

Windows virtual Desktop in der großen Datenschutzprüfung

Du bist hier:
  • Startseite
  • Azure
  • Windows virtual Desktop in der großen Datenschutzprüfung
< zurück

In der aktuellen Krise ist das Interesse an virtuellen Desktop Lösungen sehr hoch, da Arbeitgeber ihren Mitarbeitern fast überall, solange eine Internetverbindung besteht und ein PC/Laptop zur Verfügung ist, eine Arbeitsumgebung bereit stellen können. Dies nutzte zum Beispiel die Firma Beiersdorf (aktuelle MS Kundenstory) aus Hamburg, um ihre MitarbeiterInnen den Arbeitsplatz mit nach Hause zu geben.

Windows virtual Desktop

Ich habe in den letzten Wochen auch verschiedene virtuelle Desktopumgebungen eingerichtet und diese mit Microsoft Teams und anderer Software getestet. Im Rahmen dieser Tests interessierte mich zunächst nur die Technik. Diese lässt sich leicht erläutern, denn mittels Microsoft Azure, einen virtuellen Netzwerk, einem virtuellen Server mit AD, AAD und einem Microsoft 365 Tenant, sowie FSLogix für die Profile, lässt sich eine Umgebung in fast beliebiger Größe umsetzen. 

Ziel ist es einen virtuellen Windows 10 Desktop dem Mitarbeiter bereitzustellen. Dieser ist von vielen Endgeräten und sogar Smartphones erreichbar und nutzbar. Daten bleiben in der Umgebung des Unternehmens und eine zentrale Verwaltung/Architektur lässt BYOD Situationen zu.

https://azure.microsoft.com/de-de/services/virtual-desktop/

https://docs.microsoft.com/de-de/azure/virtual-desktop/overview

Regionen

WVD ist leider ein überregionaler Dienst, der nicht einer Region wie zum Beispiel ein Azure Storage zugeordnet ist. Es ist jedoch möglich  in Rechenzentrum in Deutschland den Dienst anzulegen, aber Teile des Dienstes, sind überregional (z.B. Metadaten).

https://azure.microsoft.com/de-de/global-infrastructure/services/

 

Datenschutz

Nun interessiere mich jedoch auch das Risiko des Einsatzes und deshalb schaue ich mir neben den Verträgen auch mal die Speicherung und Verarbeitung der Daten genauer an. Dies aber nur in Bezug auf das Produkt, die Herausforderungen die ein Arbeitsplatz zu Hause bietet, lasse ich zunächst aus.

Verträge

Betrachtet man die Microsoft Online Terms (August 2020) und den passenden DPA Anhang (21.07.2020), dann taucht Windows Virtual Desktop nur in Bezug auf Bots einmal auf. Es ist kein Azure Core Services, was die Liste des Anhang 1 der OSts deutlich zeigt:

API Management, App Service (API Apps, Logic Apps, Mobile Apps, Web Apps), Application Gateway, Application Insights, Automatisierung, Azure Active Directory, Azure API für FHIR, Azure Cache für Redis, Azure Container Registry (ACR), Azure Container Service, Azure Cosmos DB (ehemals DocumentDB), Azure Database für MySQL, Azure Database für PostgreSQL, Azure Databricks, Azure DevOps Services, Azure DevTest Labs, Azure DNS, Azure Information Protection (einschließlich Azure Rights Management), Azure Kubernetes Service, Azure NetApp Files, Azure Resource Manager, Azure Search, Backup, Batch, BizTalk Services, Cloud Services, Computer Vision, Content Moderator, Datenkatalog, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, Funktionen, HDInsight, Import/Export, IoT-Hub, Key Vault, Load Balancer, Log Analytics (ehemals Operational Insights), Azure Machine Learning Studio, Media Services, Microsoft Azure Portal, Multi-Factor-Authentifizierung, Notification Hubs, Power BI Embedded, QnA Maker, Zeitplaner, Sicherheitscenter, Servicebus, Service Fabric, SignalR-Dienst, Standortwiederherstellung, SQL Data Warehouse, SQL-Datenbank, SQL Server-Streckendatenbank, Speicher, StorSimple, Stream-Analyse, Textanalyse, Traffic Manager, Video-Indexer, Virtuelle Computer, Skalierungssätze für virtuelle Computer, virtuelles Netzwerk und VPN-Gateway

Dennoch ist der Dienst natürlich über den CSP oder EA Agreement zu buchen, da man zunächst nur Azure Budget benötigt. Darüber hinaus ist es möglich einen Rabatt zu bekommen, wenn man schon eine Microsoft 365 Lizenz als Abonnement nutzen kann.

KEINE OSTS  KEIN DPA für WVD

Der Softwareplan in Azure zeigt dies:

und verweist auf keine Rechtsgrundlage der Verarbeitung in den USA und als nicht regionalen Service. 

Also schauen wir einmal in das Produkt beim Deployment und finden die gesuchten Angaben bevor wir den Dienst in Betrieb nehmen:

Privacy Policy:  https://privacy.microsoft.com/en-us/privacystatement

Nutzungsbedingungen: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4CQKF

Azure Marketplace Terms: https://azure.microsoft.com/en-us/support/legal/marketplace-terms/

Aus den Nutzungsbedingungen:

DATA COLLECTION. The software may collect information about you and your use of the solution template and send that to Microsoft. Microsoft may use this information to provide services and improve Microsoft’s products and services. Your opt-out rights, if any, are described in the product documentation. Some features in the solution template may enable collection of data from users of your applications that access or use the solution template. If you use these features to enable data collection in your applications, you must comply with applicable law, including getting any required user consent, and maintain a prominent privacy policy that accurately informs users about how you use, collect, and share their data. You can learn more about Microsoft’s data collection and use in the product documentation and the Microsoft Privacy Statement at https://privacy.microsoft.com/en-us/privacystatement. You agree to comply with all applicable provisions of the Microsoft Privacy Statement.” 

“DATENERFASSUNG. Die Software sammelt möglicherweise Informationen über Sie und Ihre Verwendung der Lösungsvorlage und sendet diese an Microsoft. Microsoft kann diese Informationen verwenden, um Dienste bereitzustellen und die Produkte und Dienste von Microsoft™s zu verbessern. Ihre etwaigen Widerrufsrechte sind in der Produktdokumentation beschrieben. Einige Funktionen in der Lösungsvorlage ermöglichen möglicherweise die Erfassung von Daten von Benutzern Ihrer Anwendungen, die auf die Lösungsvorlage zugreifen oder sie verwenden. Wenn Sie diese Funktionen verwenden, um die Datenerfassung in Ihren Anwendungen zu ermöglichen, müssen Sie die geltenden Gesetze einhalten, einschließlich der Einholung der erforderlichen Benutzerzustimmung, und eine auffällige Datenschutzrichtlinie einhalten, die die Benutzer genau darüber informiert, wie Sie ihre Daten verwenden, erfassen und weitergeben. Weitere Informationen zur Datenerfassung und -verwendung von Microsoft’s finden Sie in der Produktdokumentation und in den Microsoft-Datenschutzrichtlinien unter https://privacy.microsoft.com/en-us/privacystatement. Sie stimmen zu, alle anwendbaren Bestimmungen der Microsoft-Datenschutzbestimmungen einzuhalten.”

 

Herausforderungen

 

Service Metadaten in den USA  / kein regionaler Dienst

“Windows Virtual Desktop is currently available for all geographical locations. Initially, service metadata can only be stored in the United States (US) geography.”

Dies verweist auf: https://docs.microsoft.com/en-us/azure/virtual-desktop/data-locations

“Windows Virtual Desktop speichert globale Metadateninformationen wie Mandantennamen, Hostpoolnamen, Namen von Anwendungsgruppen und Namen von Benutzerhauptpersonen in einem Rechenzentrum. Immer wenn ein Kunde ein Serviceobjekt anlegt, muss er einen Standort für das Serviceobjekt eingeben. Der Ort, den er eingibt, bestimmt, wo die Metadaten für das Objekt gespeichert werden. Der Kunde wählt eine Azure Region, und die Metadaten werden in der zugehörigen Geographie gespeichert. Eine Liste aller Azure Regionen und verwandten Geographien finden Sie unter Azure Geographien.” 

Dies wiederum schränkt es ein, dass Metainformationen in der Region gespeichert werden, in der der Service angelegt wird. Dies könnte man als mittleres Risiko einstufen, wenn man z.B. in Deutschland den Dienst betreibt.

 

Privacy Shield

Da WVD nur über Privacy Shield läuft und dieses weggefallen ist gelten nur noch die allgemeine Datenschutzerklärung für den Transfer und die Datenverarbeitung von personenbezogenen Daten in die USA. Eine Nutzung von WVD ohne die Nutzung von personenbezogenen Daten wie eine IP Adresse ist unwahrscheinlich.

 

Kommentar

WVD ist aktuell nicht ohne beträchtliches Risiko einsetzbar. Eine genauere Prüfung, die bestimmt mit einer Datenschutzfolgenabschätzung gemacht wurde (innovativ, hohe Anzahl von Betroffenen, Transfer in die USA/ Art 35 / 36 DSGVO) muss leider zum Schluss kommen, dass das Risiko eines Bußgeldes und der mögliche Verstoß hoch (4% des globalen Umsatzes) ist. Eine Risikoübernahme ist hier nicht einzugehen.

Wenn ihr WVD im Einsatz habt, müsst ihr so schnell wie möglich mit Microsoft eine Lösung finden (Binding Rules, EU Modelclauses etc.) damit der Einsatz nicht mehr rechtswidrig ist. 

Es ist ratsam, aus Sicht des Datenschutzes, den Dienst zunächst einzustellen bis eine Klärung erfolgt ist. Es ist ebenfalls möglich mit dem zuständigen Landesdatenschutz zu sprechen und eine entsprechende Lösung diesem anzubieten, die dann geprüft wird. Dieser Weg kann mehrmals hin und her gehen. 

Benötigen Sie Unterstützung? -> Schreiben Sie mir eine Email. Ich finde Lösungen für Sie auch in diesem Fall. 

 

Update 01. September 2020

Nach mehreren Gesprächen mit Microsoft CELA und Microsoft Deutschland heißt es, dass WVD unter die Enterprise Professional Services fällt und diese wiederum den DPA zu geordnet wird. Dies lässt sich aktuell nicht überprüfen, es zeigt aber, dass die Microsoft MitarbeiterInnen gewillt sind das Problem anzugehen und Lösungen anzubieten.