Unter der Haube, in den Wolken
PSP Case Study zur DSGVO: Praxisfall 36

DSGVO: Praktischer Fall

Die Huber AG verwendet seit langer Zeit auf ihren Büro-PCs und ihren Servern das Betriebssystem Windows und das Bürosoftware-Paket „Office“ von Microsoft. Frau Müller – die den Unternehmens-PC auch für gelegentliche private Zwecke nutzen darf – ist in der Buchhaltung der Huber AG tätig und fragt sich, welche Daten über sie auf diese Weise an Microsoft abgeflossen sind und ob nicht auch die Huber AG ihr gegenüber diesbezüglich rechenschaftspflichtig ist.

Jedes Unternehmen setzt ja heutzutage allerhand IT ein. Manchmal weiß ein Unternehmen gar nicht, wie viel und welche IT überall eingesetzt wird. Kaum ein Unternehmen kommt an Windows vorbei, und die meisten der Unternehmen, die Windows als Betriebssystem nutzen, nutzen auch Office. Dabei ist wichtig darauf hinzuweisen, dass sicherlich auch andere Betriebssysteme und Anwendungen über die nachfolgend behandelten ständigen Online-Verbindungen zu ihren Herstellern verfügen, aber vielleicht noch nicht so gut „erforscht“ sind wie die Sammlung von (u. a.) Telemetrie-Daten durch diese Microsoft-Produkte. Dies betrifft Betriebssysteme für Mobiltelefone oder Tablets (Android, iOS) wie auch Anwendungen und Apps, die Daten an die Betreiber- bzw. Hersteller-Server übertragen. Selbst wenn Microsoft unter dem öffentlichen Druck die Erhebung und Übermittlung von Daten an die US-Zentrale immer weiter transparent gemacht und zwischenzeitlich auch stärker konfigurierbar ausgestaltet hat, bleibt das grundsätzliche Problem im Verhältnis zwischen Software-Hersteller (oder Dienst-Betreiber) einerseits und dem Anwender (bzw. Unternehmenskunden) andererseits bestehen. Es geht daher hier eigentlich nicht spezifisch um „den Microsoft-Fall“, sondern dieser steht als Beispiel für ein grundsätzliches Problem in der (Unternehmens-)Praxis.

Übermittlung durch die Hintertür

Sowohl niederländische als auch deutsche Behörden haben verschiedene Untersuchungen bzw. Datenschutz-Folgenabschätzungen zu Microsoft-Produkten in Auftrag gegeben. Es ging jeweils im Prinzip darum, ob und welche personenbezogenen Daten die Software an Microsoft-Server übermittelt, wenn sie „nach Hause telefoniert“. Für die Kontaktaufnahme mit den Microsoft-Servern in den USA gibt es verschiedene Gründe, darunter natürlich der Bezug automatischer Updates und die Überprüfung einer gültigen Lizenz. Ein anderer Grund ist die Übermittlung von sogenannten „Telemetrie-Daten“. In der Technik wird damit üblicherweise die automatisierte, laufende Übertragung von Sensordaten beweglicher technischer Objekte wie Fahr- oder Flugzeuge an eine „Zentrale“ bezeichnet, in der die Daten – insbesondere zu Zwecken der Verbesserung der technischen Eigenschaften – analysiert werden.

Eine Software wie Windows oder Office, die millionenfach „im Feld“ eingesetzt wird, kann bei ständiger Internetanbindung zur Analyse des Nutzerverhaltens und damit auch für die Untersuchung von Fehlern (bis hin zu Abstürzen – sog. „crash dump“) verwendet werden. Mit den an die verschiedenen Microsoft-Servern im Laufe der Zeit übertragenen Daten kann aber auch ein Profil des identifizierbaren Nutzers gebildet werden.

Nach einer Rahmen-Datenschutz-Folgenabschätzung für das Niederländische Ministerium für Justiz und Sicherheit vom Juni 2019 sammelt Windows 10 etwa 1200 verschiedene Ereignis-Typen. Diese Ereignisse werden bei Microsoft (in den USA) analysiert. Microsoft kann neue Ereignis-Typen zu den Telemetrie-Daten hinzufügen, ohne dass dies den Nutzern auffällt. Die Telemetrie-Daten enthalten verschiedene geräte- und nutzerspezifische IDs, die Microsoft den Aufbau eines Nutzerprofils erlauben und letztlich auch – etwa über Domain-Namen – Personen zugeordnet werden können. In der Datenschutz-Folgenabschätzung vom Juni 2019 werden die – durch den „Diagnostic Data Viewer“ vom Benutzer zwischenzeitlich selbst einsehbaren – Daten wie folgt zusammengefasst:

A typical telemetry event contains a unique number, a timestamp, several unique identifiers for the end-user and the device, and different bits of information about for example the hardware that is used, the screen size, operating system, applications installed and usage details, as well as reliability information on device drivers.

Die Übertragung von Telemetrie-Daten kann Windows-intern zwar beschränkt werden, aber die größte Minimierung kann – neben der Blockade des entsprechenden Netzwerkverkehrs durch den Administrator mit speziellen (Drittanbieter-)Werkzeugen – nur mit der „Enterprise“-Version von Windows erreicht werden. Selbst mit der rigidesten Windows-Einstellung werden immer noch – wenn auch erheblich weniger – personenbezogene Daten erhoben. Die Daten werden nach den Erkenntnissen der niederländischen Datenschutzaufsichtsbehörde teils 30 Tage, teils 13 Monate, teils 37 Monate lang gespeichert – Microsoft selbst macht hierzu keine öffentlichen Angaben. Der Abfluss von Inhaltsdaten (Datei- oder E-Mail-Inhalte) konnte bei der Analyse „nicht beobachtet“ werden; grundsätzlich wäre aber auch denkbar, dass ein Hersteller derartige Daten in verschlüsselter Form und in kleinen „Häppchen“ zu sich überträgt. Dass (zumindest) Teile des Datenverkehrs verschlüsselt werden, war im Rahmen der Untersuchungen offensichtlich. So funktionierten etwa Microsoft-Apps nicht mehr, wenn im Rahmen der Analysen der Netzwerkverkehr in spezifischer Weise überwacht wurde – die Apps bauen einen sicheren (verschlüsselten) „Tunnel“ für den Datenverkehr von und zu Microsoft auf, was unter den Bedingungen der Überwachung nicht mehr möglich war. Im Grundsatz wurden diese Erkenntnisse – und dass eine vollständige „Entkoppelung“ von Microsoft zwar (technisch durch Drittprodukte) möglich, aber für den Anwender schwer umzusetzen ist – auch vom (deutschen) BSI im Rahmen von dessen Projekt „SiSyPHuS Win10“ bestätigt. Dieses Projekt bezieht sich allerdings noch auf die Version 1607 von Windows 10.

Die für die Telemetrie-Daten einschlägigen Datenschutzbestimmungen von Microsoft enthielten mehrere und sehr weit gefasste Zwecke, welche die Verwendung der Daten etwa auch für Werbung erlauben. Zwischenzeitlich hat die niederländische Regierung allerdings für sich (!) die Beschränkung der Zwecke für sämtliche von Microsoft im Rahmen von Online-Services bzw. für Office 365 ProPlus erhobenen Daten auf drei herunterverhandelt (Bereitstellung und technische Verbesserung des Dienstes, Aktualisierung des Dienstes und Sicherheit) und entsprechende Audit-Rechte vereinbart. Inwieweit das auch für Windows 10 gilt, ergibt sich aus den maßgeblichen Presseerklärungen nicht. Außerdem hat Microsoft die Geschäftsbedingungen für Cloud-Dienste bei kommerziellen Kunden dahingehend überarbeitet, dass Microsoft in verschiedenen Konstellationen ausdrücklich seine Rolle als Verantwortlicher bestätigt (wobei die datenschutzrechtlichen Rollen ohnehin nicht vertraglich „festgelegt“, sondern nur konkretisiert werden können (s. dazu Fall 16). Die DSGVO-Risiken für Microsoft-Produktnutzer haben also – wenn auch eher für Unternehmen, die insbesondere Beschäftigtendaten verarbeiten, als für private Anwender, die natürlich auch Verantwortliche im Sinne der DSGVO sein können (s. Fall 18) – bereits stufenweise abgenommen, je mehr Microsoft auf den Druck (insbesondere der öffentlichen Hand) reagiert.

Eine Übermittlung der personenbezogenen Daten in die USA (Drittlandsübermittlungsgrundlage) kann zwar sowohl mit dem US-EU-Privacy-Shield als auch mit der Verwendung der Standardvertragsklauseln der EU-Kommission rechtfertigt werden, doch sind beide Mechanismen derzeit „unter Beschuss“. Eine Liste der eingesetzten Auftragnehmer (Auftragsverarbeiter) liegt nicht vor. Daneben bestehen auch Zweifel, welche Legitimationsgrundlage für die Übermittlung an sich einschlägig ist bzw. rechtfertigt werden kann.

Die Informationspolitik der Software-Hersteller dazu ist häufig „schmallippig“, wie sich auch aus der Datenschutz-Folgenabschätzung im Hinblick auf Microsoft ergibt:

Microsoft does not provide a public explanation why it is necessary to transmit all telemetry data to servers in the USA, why not store these in the EU, or at least, anonymise the data collected in the EU before they are transferred to the USA.

Ein besonderes Risiko für den Unternehmenskunden – hier die Huber AG – ist, dass der Software-Hersteller bzw. Dienst-Betreiber (Microsoft) und der Unternehmenskunde gegenüber den Beschäftigten des Unternehmenskunden im Hinblick auf die erhobenen und übermittelten Telemetrie-Daten eine Stellung als gemeinsam Verantwortliche haben. Der Unternehmenskunde ermöglicht es dem Software-Hersteller bzw. Dienst-Betreiber, die Daten „abzusaugen“ und zu analysieren (s. dazu Fall 16). Wird dann die von Art. 26 DSGVO geforderte Vereinbarung nicht zur Verfügung gestellt bzw. abgeschlossen, ergeben sich schon deswegen – ähnlich wie für Facebook-Fanpage-Betreiber – erhebliche Risiken. Dieses Risiko ist vielen Verantwortlichen nicht bewusst, weil sie – im Ansatz richtigerweise – davon ausgehen, dass sie ihre Software „on premise“, d. h. auf ihren eigenen IT-Anlagen, betreiben und selbst darüber entscheiden können, welche (Beschäftigten-)Daten das Unternehmen verlassen.

Daneben gibt es natürlich auch Software, die komplett „in der Cloud“ ausgeführt wird, also auf Servern, die außerhalb des Verantwortlichen betrieben werden und über die der Verantwortliche – im Gegensatz zu einer selbst mit aufgebauten Infrastruktur in einem beauftragten Rechenzentrum – „nicht viel weiß“. Hierzu zählt das oben schon erwähnte Office-Paket „Office 365“ von Microsoft. Neben der fest installierten Office-Variante gibt es hier zusätzlich mobile Apps für Android und iOS sowie einen Software-as-a-Service-Dienst, der im Browser lauffähig ist (ähnlich einem Remote-Desktop, d. h. Tastatur- und Maus-Daten werden übertragen und die „Reaktion“ wird als Bildschirminhalt übermittelt). Hierbei werden neben Inhalts- und Diagnosedaten auch „Funktionsdaten“ übermittelt, mit denen die auf den Servern ablaufende App „ferngesteuert“ wird. Daneben fallen im Rahmen der sog. „Connected Experiences“ wie Rechtschreibprüfung, Übersetzung und Office-Hilfe Daten an.

Rechtliche Einordnung

Der Verantwortliche im datenschutzrechtlichen Sinne, sprich der Benutzer solcher Services (hier die Huber AG), muss sich im Vorfeld des Einsatzes von Software auf mit dem Internet verbundenen IT-Systemen wie auch bei der Auslagerung von Funktionalitäten „in die Cloud“ Gedanken zur datenschutzrechtlichen Einordnung und Zulässigkeit machen. Auch hier gilt: Soweit der Dritte (hier Microsoft) ein eigenständiger Verantwortlicher ist, muss sich die Huber AG überlegen, wie sie den Empfänger ggf. vertraglich binden muss, um die fortwirkende Zweckbindung sicherzustellen (s. Fall 12). Soweit der Dritte ein Auftragsverarbeiter ist (s. Fall 7), muss die Huber AG die Vorgaben des Art. 28 DSGVO einhalten. Beispielsweise muss die Huber AG sicherstellen, dass der Dritte „Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermögliche und dazu beiträgt“ (Art. 28 Abs. 3 lit. h DSGVO). Soweit der Verantwortliche und der Dritte die Stellung von gemeinsam Verantwortlichen (s. Fall 16) haben, müssen beide sicherstellen, dass sie die Vorgaben des Art. 26 DSGVO erfüllen und daneben für die Verarbeitungsphasen, für die sie gemeinsam verantwortlich sind, die DSGVO-Konformität der Verarbeitung sicherstellen.

Dabei kann es durchaus sein, dass der Verantwortliche und der Dritte unterschiedliche Auffassungen darüber haben, welche der oben genannten Konstellationen vorliegt, welche vertraglichen Abreden notwendig sind und inwieweit sich der Dritte „in die Karten schauen“ lassen muss. Bei einem Verantwortlichen mit Sitz in einem Drittland können unterschiedliche Auffassungen über die Drittlandsübermittlungsgrundlage bestehen.

Der Verantwortliche als Detektiv

Und schließlich stellt sich auch die Frage, inwieweit die Tätigkeit des Dritten vom Verantwortlichen überhaupt aktiv erforscht wird, d. h. ob diese mit seinen (vertraglichen) Aussagen in Einklang steht. Der Umfang und die Beschaffenheit der Telemetrie-Datenströme hat Microsoft nicht selbst offengelegt, sondern dies bedurfte einer (kosten-)intensiven „Detektivarbeit“. Es ist nicht bekannt, dass Unternehmen der Privatwirtschaft für den Einsatz derartiger Produkte solche Datenschutz-Folgenabschätzungen mit granularen IT-Untersuchungen durchgeführt haben wie dies etwa die niederländischen Behörden beauftragt haben. Vielleicht ist diese Information aber auch nur nicht nach draußen gedrungen. Zumindest dürfen Unternehmen, die bislang auf vertragliche Aussagen vertraut oder mögliche Szenarien nicht selbstständig erkannt oder weiter durchdacht haben, nach öffentlicher Information über derartige Datenabflüsse nicht „nichts tun“, sondern dies in ihre – ständig zu aktualisierende – Risikobewertung einfließen lassen.

Nicht umsonst haben Umfang und Komplexität der Microsoft-Datenverarbeitung u. a. dazu geführt, dass die Bremer Datenschutzaufsichtsbehörde mit einem umfangreichen Fragebogen Unternehmen zur Nutzung von Office 365 befragt hat. Eine der Fragen lautet (natürlich), ob im Vorfeld der Nutzung eine Datenschutz-Folgenabschätzung (s. dazu Fall 35) durchgeführt wurde und wenn nein, warum nicht. Das Thema Risikobewertung der Verarbeitungsprozesse des Verantwortlichen ist zufälligerweise auch gleich das Thema des nächsten Falles 37. Nach einem Urteil des Verwaltungsgerichts Mainz vom Mai 2019 darf eine Datenschutz-Aufsichtsbehörde Auskunft in Form von Fragenkatalogen auch als Verwaltungsakt gegenüber dem Verantwortlichen begehren und die Beantwortung mit Verwaltungszwangsmaßnahmen durchsetzen.

Härtungsempfehlungen

Das vom Niederländischen Ministerium für Justiz und Sicherheit eingeschaltete IT-Beratungsunternehmen kommt immerhin zu folgenden „Tipps“ an die IT-Administratoren – auch als „Härtungsempfehlungen“ bezeichnet –, in deren Unternehmen die genannten Produkte eingesetzt werden, und schätzt das dann verbleibende Verarbeitungsrisiko nicht mehr als „hoch“ ein:

Aktualisieren Sie auf Version 1905 oder höher von Office 365 ProPlus und stellen Sie die Telemetrie auf das Niveau "Neither" ein. Nutzen Sie die technische Möglichkeit, die Nutzung der Controller Connected Experiences in Office 365 ProPlus zu verbieten (zusätzliche Connected Experiences deaktivieren). Deaktivieren Sie das Customer Experience Improvement Program (CEIP) in Office ProPlus. Deaktivieren Sie die LinkedIn-Integration für Microsoft-Mitarbeiterkonten in Office ProPlus. Richten Sie Richtlinien ein, um die Mitarbeiter vor der Verwendung der mobilen Office-Apps und der Controller Connected Experiences in Office Online zu warnen, bis die fünf hohen Risiken gemildert sind. Wählen Sie so schnell wie möglich die niedrigste und minimalste Stufe der Erfassung von diagnostischen Daten in Office Online und den mobilen Apps. Aktualisieren Sie Ihre interne Datenschutzrichtlinie für den Umgang mit personenbezogenen Daten der Mitarbeiter mit spezifischen Informationen für welche Zwecke und unter welchen Umständen das Unternehmen verschiedene Arten von diagnostischen Daten aus den verschiedenen Diensten und Produkten von Microsoft anschauen kann. Führen Sie Datenschutz-Folgenabschätzungen durch, bevor Sie Workplace Analytics und Activity Reports im Microsoft 365 Admin Center verwenden und bevor Mitarbeiter MyAnalytics und Delve nutzen können. Erwägen Sie die Verwendung von Customer Lockbox und Customer Key, abhängig von der Empfindlichkeit der Inhaltsdaten. Aktualisieren Sie auf die Version 1903 von Windows 10 Enterprise, um Intune mit Security-Telemetrie zu verwenden. Stellen Sie das Telemetrie-Niveau in Windows 10 Enterprise auf Security oder blockieren Sie den Telemetrieverkehr und erlauben Sie es Benutzern nicht, ihre Aktivitäten über die Timeline-Funktionalität zu synchronisieren. Berücksichtigen Sie mögliche Änderungen für die Validität von Datentransfermechanismen (wie das EU-US Privacy Shield) aufgrund der künftigen Rechtsprechung des Europäischen Gerichtshofs. Es liegt an dem Europäischen Gerichtshof, die Risiken der massenhaften Überwachung in den Vereinigten Staaten zu bewerten, und an dem europäischen Gesetzgeber, die verbleibenden Risiken der Übermittlung von diagnostischen Daten aus der EU in die USA zu verringern.

Angesichts all dieser Umstände kann es nicht verwundern, dass die Datenschutzkonferenz im November 2019 ein „Prüfschema“ unter der Bezeichnung „Datenschutz bei Windows 10“ herausgegeben hat. Hiernach sollen Verantwortliche zunächst bestimmen, welche Daten sie mit welcher Version/Edition von Windows 10 verarbeiten wollen. Die auf dieser Basis

festgestellten Datenübermittlungen und die damit verbundenen Übermittlungen von personenbezogenen Daten sind auf ihre Rechtmäßigkeit zu prüfen. Die möglichen Rechtsgrundlagen hängen von der jeweiligen Funktion und den übermittelten Daten ab. Soweit für die Übermittlung eine Rechtsgrundlage vorliegt, kann Windows 10 oder können bestimmte Funktionen von Windows 10 genutzt werden. Konnte nicht festgestellt werden, welche Daten übermittelt werden, so kann auch nicht die Rechtmäßigkeit der Übermittlung festgestellt werden.

Schon dies dürften die wenigsten Unternehmen „wirklich“ leisten können. Es schließt sich dann die Definition und Implementierung angemessener technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO an, die auch im Blockieren von Netzwerkverkehr bestehen können. Diese Maßnahmen sind nach jedem Update neu zu evaluieren. Daneben ist eine Bewertung des trotz der getroffenen Maßnahmen verbleibenden Restrisikos durchzuführen. Das Restrisiko muss „tragbar“ sein – was das bedeutet, ist allerdings unklar (s. dazu auch Fall 37). Die Handlungsvorschläge enden mit dem schönen Satz „Wenn das Restrisiko durch die Implementierung der Maßnahmen tragbar ist, kann Windows 10, bzw. können bestimmte Funktionen von Windows 10 zum Einsatz kommen.“ Was das alles konkret bedeutet und welcher Aufwand vom Unternehmen zu betreiben ist, bleibt, wie so häufig, im Dunkeln.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden