Microsoft liefert deutschen Behörden die Bürostandardsoftware. In einzelnen Behörden ist bereits Windows 10 trotz Sicherheitsbedenken im Einsatz. Obwohl die Online-Services vollständig deaktiviert sind, werden weiterhin einige verschlüsselte Datensätze an Microsoft übermittelt. Wie heise online erfuhr, hat die BITBW als IT-Dienstleisterin für die Landesverwaltung in Baden-Württemberg aber ungeachtet der offenen Sicherheitsfragen unter anderem die Landesdatenschutzbehörde bereits mit Windows 10 ausgestattet.

Microsoft soll sich an DSGVO halten

Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink fordert nun Microsoft mit Blick auf die bekannt gewordenen Sicherheitslücken auf, "schleunigst nachzubessern und sich spätestens ab Ende Mai an die Datenschutz-Grundverordnung zu halten". Die Systemadministratoren der betroffenen Systeme sollen bis dahin "durch entsprechende Grundeinstellungen dafür sorgen, dass möglichst wenig übertragen wird."

Was den Einsatz von Windows 10 im eigenen Haus anbelangt, weist Brink gegenüber heise online darauf hin, dass die dort eingesetzte Hard- und Software zwar kontinuierlich geprüft und bewertet werde, dass er "jedoch keine generelle Freigabe von Produkten mit verbindlicher Wirkung für die Verwaltung insgesamt" erteile. Mit Blick auf die BITBW sagte er, dass er allerdings den Einsatz problematischer Produkte beanstanden und damit deren fortgesetzte Nutzung entgegentreten könne – "ab Mai 2018 sogar mit verbindlicher Wirkung".

Dabei stellte Brink auch die rechtlichen Anforderungen an die öffentliche Beschaffung klar: "Ein Dienstleister, der diesen Anforderungen nicht genügen kann oder will, scheidet künftig aus dem Kreis derjenigen aus, mit denen ein datenschutzrechtlich Verantwortlicher kooperieren kann." Brink hat dabei aber nicht nur das eigene Haus im Blick. Gegenüber heise online betonte er, dass "jeder Nutzer von Windows 10, wie auch anderen Betriebssystemen und Anwendungen, die volle Kontrolle über seine Daten haben muss". Es müsse "volle Transparenz bezüglich der übertragenen Daten herrschen und der Anwender muss jede Übertragung deaktivieren können".

Abhängigkeit wegen Windows-Anwendungen

Die eigene Situation sieht Stefan Brink "durchaus selbstkritisch", sieht sich aber in der gleichen Situation wie viele andere Behörden: "Derzeit setzen viele in der öffentlichen Verwaltung eingesetzte Anwendungen Windows voraus. Hier umzusteuern fällt vielen Verwaltungen – wie auch Privatunternehmen – natürlich schwer." Viele hätten sich damit in "eine faktische Abhängigkeit zu bestimmten Anbietern manövriert", wobei Brink darin auch eine „gefühlte Abhängigkeit“ sieht.

Die Handlungsspielräume seien jedoch "tatsächlich äußerst gering, gerade wenn es um stabile und sichere Kommunikation in Behördennetzen geht", sagt Brink. Deshalb müssten Alternativen stärker beachtet und unterstützt werden, was auch die Ausbildung betreffe.

Zum Einsatz von Windows 10 an Schulen gibt es bereits seit längerem eine eigene Arbeitsgruppe der Datenschutzkonferenz. Brink: "Derzeit liegen uns noch nicht alle Stellungnahmen, insbesondere des BSI vor." Der Arbeitskreis Verwaltungsmodernisierung bemüht sich derzeit zu gemeinsamen Positionen und Forderungen aller deutschen Aufsichtsbehörden zu kommen. Brink erwartet, dass sich die Datenschutzkonferenz noch vor Mitte 2018 dazu äußern wird, ob der Einsatz von Windows 10 rechtmäßig ist. (tiw)