In der 98. Datenschutzkonferenz, wurde von der DSK (Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder), ein Prüfschema zur Verwendung von Windows 10 erstellt.
Grundlage einer rechtlichen Prüfung ist die Beschreibung einer Verarbeitungstätigkeit. Der Einsatz von Windows 10 ist kein Selbstzweck, sondern wird von Verantwortlichen im Rahmen von Geschäftsprozessen bei der Verarbeitung personenbezogener Daten verwendet. Diese Verarbeitungstätigkeiten müssen beschrieben werden. Dazu gehört Art, Umfang, Umstände und Zwecke der Verarbeitung darzustellen. In diesem Rahmen ist zu ermitteln, ob und ggf. welche personenbezogenen Daten im Rahmen des Einsatzes von Windows 10 an Microsoft übermittelt werden.Dabei sind die übermittelten Telemetriedaten und die Datenübermittlungen im Rahmen
von sonstigen genutzten Funktionen von Windows 10 zu festzustellen.
Notwendigkeit einer Rechtsgrundlage für die Übermittlung von personenbezogenen Daten
Nachdem der Verantwortliche seinen Geschäftsprozess beschrieben und beispielsweise anhand der Dokumentation von Microsoft oder durch Einsatz entsprechender Tools wie MS Diagnostic Data Viewer festgestellt hat, welche personenbezogenen Daten an Microsoft für welche Zwecke übermittelt werden, ist zu prüfen, ob diese Übermittlungen rechtmäßig sind. Kann er dies nicht feststellen, so kann er auch nicht prüfen, ob eine Rechtsgrundlage für die Übermittlung vorliegt.
Bei der Übermittlung von Daten an Microsoft sind drei Fallgruppen zu unterscheiden.
Verhinderung der Übertragung: Wird durch technische Maßnahmen verhindert, dass eine Übertragung von Daten an Microsoft stattfindet, dann benötigt der Verantwortliche auch keine Übermittlungsgrundlage. Er muss jedoch sicherstellen, dass die technischen Maßnahmen zur Verhinderung einer Übermittlung im Sinne von Art. 25 Abs. 1 DSGVO angemessen und wirksam sind. Gleichzeitig wäre damit eine mögliche Erhebung von personenbezogenen Daten durch Microsoft unter Nutzung der Mittel des Verantwortlichen unterbunden. Der Frage, ob Microsoft selber Verantwortlicher ist, müsste nicht weiter nachgegangen werden.
Minimierung der Übermittlung: Die Enterprise-Edition lässt sich so konfigurieren, dass nur noch eingeschränkt Telemetriedaten10 übermittelt werden. In diesen Fällen werden somit weiterhin Daten über die Nutzung des Systems übermittelt.
Keine Minimierung der Übermittlung: In der dritten Konstellation werden Funktionen genutzt, durch die auch Dateiinhalte und somit auch personenbezogene Daten von Beschäftigten oder sonstigen betroffenen Personen durch den Verantwortlichen an Microsoft übermittelt werden können. Sofern personenbezogene Daten an Microsoft übertragen werden (Fallgruppen 2 und 3), handelt es sich um rechtfertigungsbedürftige Übermittlungen durch den Verantwortlichen an Microsoft, da der Tatbestand des Art. 4 Abs. 1 Nr. 2 DSGVO durch die Übertragung von personenbezogenen Daten an Microsoft erfüllt wird.
Übersicht über die Prüfung des Einsatzes von Windows 10
1. Beschreibung der Verarbeitungstätigkeit
2. Prüfung der Rechtmäßigkeit der Datenübermittlungen
3. Auswahl angemessener Maßnahmen
4. Restrisikobewertung
5. Implementierung der Maßnahmen und Überprüfung ihrer Wirksamkeit
6. Nutzung von Windows 10
7. Update
https://tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/beschluss_zu_top_13_win10_prufschema.pdf