Die Datenschutzbeauftragten von Bund und Ländern sehen wenig Spielraum, Microsofts Betriebssystem Windows 10 rechtskonform zu nutzen. "Es ist zunächst Aufgabe des Verantwortlichen sicherzustellen und zu dokumentieren, dass die datenschutzrechtlichen Anforderungen beim Einsatz von Windows 10 jederzeit eingehalten werden", schreiben sie in einem jetzt veröffentlichten Prüfschema. Dabei gelte es darauf zu achten, ob und gegebenenfalls "welche personenbezogenen Daten an Microsoft übermittelt werden" und ob für diese Transfers eine Rechtsgrundlage vorliege.

Praktisch ist dies aber eine kaum zu leistende Aufgabe, räumt die Datenschutzkonferenz (DSK) in dem Papier ein. Verschiedene Untersuchungen zeigten, dass es aktuell nicht möglich sei, die Übertragung insbesondere von Telemetrie-Daten "durch Konfiguration von Windows10 vollständig zu unterbinden". Da die Transfers verschlüsselt erfolgten, "liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor". Es müssten daher "technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen".

Mit jedem Update erneute Prüfung?

Zudem sei "wegen des fortlaufenden Veränderns und Hinzufügens von Funktionalität" durch Microsoft ebenso fortlaufend zu überwachen, "ob anlässlich eines Updates eine erneute Prüfung durchgeführt werden muss". Prinzipiell sei etwa laut der DSGVO der Grundsatz der Datenminimierung zu beachten. Stellt sich ein Transfer als unzulässig heraus, habe dieser "zu unterbleiben", was "mit geeigneten und angemessenen Maßnahmen" sichergestellt werden müsse. Daneben sei zu beachten, dass Microsoft Daten in die USA schicke und damit in "ein Drittland" außerhalb der EU. Die DSK weist darauf hin, dass gegen die Rechtmäßigkeit des für diese Übertragungen genutzten Privacy Shields Bedenken bestünden und Klagen liefen.

Das Resümee der Kontrolleure: Nur wenn "das Restrisiko" durch die Implementierung der skizzierten Maßnahmen "tragbar ist", könnten das Betriebssystem beziehungsweise bestimmte Funktionen davon zum Einsatz kommen. Generell lasse sich die Frage, ob Windows 10 datenschutzkonform ist, angesichts der Vielfalt der Editionen, Versionen, Funktionalitäten und vorgenommener Konfigurationen nicht beantworten. Jeder Anwender müsse seine Installation selbst prüfen. Sollten dabei etwa auch Beschäftigtendaten verarbeitet werden, müssten zusätzlich besondere Rechtsvorschriften beachtet werden.

Kennzeichen-Scanning gerügt

Die DSK rügt zudem die "exzessive Nutzung" von Systemen zum Kfz-Kennzeichen-Scanning durch Strafverfolger als "Verstoß gegen das Grundgesetz". Damit werde auch das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Die Aufseher fordern die Polizeibehörden und Staatsanwaltschaften auf, "die umfassende und unterschiedslose Erfassung, Speicherung und Auswertung von Kraftfahrzeugen" zu unterlassen und die rechtswidrig gespeicherten Daten zu löschen. In weiteren Entschließungen sprechen sich die Beauftragten etwa gegen eine Weitergabe sensibler Daten an unbefugte Dritte durch Gesundheits-Apps aus und geben Hinweise zum Einsatz von KI-Systemen in Betrieben und von Messengern im Krankenhausbereich. (axk)