Kennen Sie Sisyphus? Die Figur aus der griechischen Mythologie? Kennen Sie nicht wirklich…? Ist auch nicht schlimm!
Kennen Sie denn „SiSyPHuS Win10“? Die „Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10“ vom Bundesamt für Sicherheit in der Informationstechnik? Falls nicht, sollten Sie sich damit beschäftigen. Denn was mit „SySyPHuS Win10“ auf die Windows-Welt zurollt, wird für Systemadministratoren und IT-Systemhäuser eine Menge Arbeit mit sich bringen.
Denn für Anfang April des Jahres 2019 ist durch die Datenschutzkonferenz der Länder eine datenschutzrechtliche Bewertung zu Windows 10 Telemetrie angekündigt. Diese kommt (nach eigenen Informationen) zu dem Ergebnis, dass Windows 10 ohne zusätzliche Maßnahmen nicht datenschutzkonform betrieben werden kann. Merken Sie sich also den 3.-4. April 2019 an dem die 97. Datenschutzkonferenz stattfindet.
Aber wozu die Hektik? Worin liegt der Verstoß? Ich persönlich sehe den Verstoß in dem Grundsatz der Datensparsamkeit bzw. Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO in Verbindung mit den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DSGVO (privacy by design, privay by default). Der durch das BSI offengelegte Verstoß gegen diese datenschutzrechtlichen Grundsätze zwingt alle Anbieter von IT-Systemlandschaften mit Windows 10 dazu, Maßnahmen zu ergreifen, um dem Abfluss von personenbezogenen Daten an Microsoft entgegenzuwirken.
Wie Sie sich und Ihr Unternehmen dagegen schützen können? Erstmal sollten Sie Ihrem IT-Systemadministrator die Aufgabe geben, sich mit den Ergebnissen der Studie und der sich daraus ergebenden Empfehlungen auseinander zu setzen. Erarbeiten Sie gemeinsam mit Ihm und dem Datenschutzbeauftragten ein Konzept, das einerseits die Sammlung und Übermittlung personenbezogener (Diagnose-)Daten durch Microsoft Telemetrie verhindert und andererseits die zeitgerechte Versorgung mit Windows-Updates sicherstellt.
Noch ein persönlicher Tipp: Warten Sie nicht, bis eine Information über „BSI für Bürger“ veröffentlicht wird.
Sie haben Fragen? Wenden Sie sich gerne an mich.
Viele Grüße aus Bad Aachen.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz und Informationssicherheit
Aachen