Datenschutz und Windows 10 – Mal wieder

Es ist über zwei Jahre her, dass der Bayerische Landesdatenschutz sich mit dem Thema Windows 10 im Unternehmensumfeld befasst und in einem recht ausführlichen Detailbericht einzelne Funktionen von Windows und deren Konfigurationsmöglichkeiten beschrieben hat.

Eine Weile war es ruhig, ehe die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sich im November 2019 dem Thema erneut gewidmet hat.

Im Kern stand wieder mal die Frage: Ist Windows 10 im Unternehmen DSGVO-konform einsetzbar?

Die Antwort? Bleibt im Kern typisch für den Datenschutz und lautet frei übersetzt: Naja… es kommt drauf an .. hier muss im Einzelfall geprüft werden. Immerhin ein Prüfschema gibt es. High-Level natürlich. Zu prüfen sind sowohl rechtliche Aspekte, als auch technische und organisatorische Maßnahmen. Nun sind wir keine Juristen, also widmen wir uns dem zweiten Schwerpunkt.

Was bedeutet dieser Beschluss der DSK in der Praxis? Im DSK-Papier zu weiteren technischen Hinweisen wird ein Überblick über Funktionen und Konfigurationsmöglichkeiten von Windows 10 mit einigen – mehr oder weniger sinnvollen und unvollständigen – Hinweisen zur datenschutzkonformen Konfiguration geboten. Setzen Sie die Empfehlungen so um, fehlen künftig etwa der Taschenrechner und eine Bildbetrachtungs-Software auf dem Endgerät, während der Windows-Store noch drauf ist – ob das nun wirklich den Kern des Übels behebt bleibt offen.

Ein paar Dinge sind schnell gesagt: Der Einsatz der “Long-Term Servicing Channel” (kurz: LTSC, ehemals “Long-Term Servicing Branch” bzw. LTSB) kommt in Office-Umgebungen nicht in Frage.

Die relevanten Konfigurationsmöglichkeiten für Sicherheit und Datenschutz sind mittlerweile nur noch in der Enterprise-Edition von Windows 10 vorhanden: Die Pro-Version ist zu einer “besseren” Home-Version verkommen (Kein Credential Guard, kein AppLocker, kein minimales Telemetrie-Level, …). Wirklich hilfreich sind die Dokumente vom Datenschutz ab dieser Stelle nicht – auch das BSI ist noch nicht fertig mit seinen detaillierten Analysen zu Windows 10.

So stehen wir wieder allein da mit dem Hinweis, dass es durchaus möglich wäre, dass der Einsatz von Windows 10 in der jeweiligen Version in Abhängigkeit von der Konfiguration und der erweiterten Maßnahmen nicht DSGVO-konform sein könnte.

Wir sind seit Windows 10 1511 mit der Härtung und Absicherung von Windows 10 beschäftigt – und auch dieses Mal lässt sich dem Aufschrei der Datenschützer nichts entnehmen, was gegen einen Einsatz von Windows 10 Enterprise mit allen Windows Defender Funktionen – entsprechende Konfiguration und Dokumentation vorausgesetzt – spricht.

Die “Notwendigkeit” zur Übermittlung von Fehlerdaten – gab es übrigens schon in früheren Windows-Versionen und gibt es auch in Windows Server, Ubuntu, Debian und co. – ist ja technisch offensichtlich: Microsoft muss gewährleisten, dass die Systeme fehlerfrei funktionieren und benötigt im Zweifel Log-Daten, um Fehler zu beheben. Dass dies unzulässig ist hat keiner so gesagt – geht ja auch gar nicht, da wir ja die sichere Verarbeitung von pbD sicherstellen müssen, wofür Logs unumgänglich sind — wir drehen uns im Kreis.

Die DSK sagt: „Es werden eventuell auch personenbezogene Daten (z. B. IP-Adresse, Nutzerkonto, Position, Nutzerverhalten, Internetaktivität, Präferenzen, Suchaktivitäten und weitere) übermittelt.“ – also treiben wir den ganzen Aufwand für eine Vermutung und ein “eventuell”?  Die Empfehlung der DSK zum Prüfschema schlägt den Einsatz des MS Diagnostic Data Viewers zur Verifikation der übermittelten Daten vor, wobei in den technischen Details gleich darauf hingewiesen wird, dass es sich von Microsoft ja nur um eine “Behauptung” handelt, dass diese Daten vollständig seien. Vielleicht auch, weil dort in der Regel bei einem gehärteten Enterprise-Windows eben keine personenbezogenen Daten auftauchen und somit viel Wind um ein “vielleicht” gemacht wird.

Packen wir also das aktuelle Datenschutz-Statement zu den Akten und bleiben bei dem, was wir wissen und können:

  • Installationsumfang minimieren
  • Offensichtliche Datenschleudern (Microsoft-Accounts, Live-Kacheln, Cortana + Subdienste, Werbung im Sperrbildschirm, Windows Store + sonstige Apps, etc.) per GPO deaktivieren
  • Microsoft Empfehlungen zur Härtung einspielen
  • CIS-CAT-Empfehlungen zur Härtung & Datenschutz einspielen
  • BSI-Vorgaben prüfen und ggf. Konfigurationen anpassen
  • Testen, testen, testen
  • .. und ein Stück Papier für den Datenschutz erstellen, in dem die technische Notwendigkeit für Logging und Reporting festgelegt wird und dass es mit Hilfe der verfügbaren Mittel auf etwaige personenbezogene Daten überprüft wurde – falls eines Tages oder auf Grund der verwendeten Apps & Konfigurationen hier pbD übermittelt werden sollten wir die Zustimmung des Benutzers einholen.

Ein Beispiel dafür, wie das ganze für in der Dokumentation aussehen kann, haben wir Ihnen hier beigefügt – gerne können wir mit Ihnen Ihre individuelle Absicherung und Dokumentation von Windows 10 durchsprechen.
Und vielleicht – eines Tages – hört dieser Run auf Windows 10 zum Thema Datenschutz mal auf. Es gibt doch auch noch iPhones, MACs und Linux und Google!