Drucksache - DS/1556/VIII  

Auf ihrer 98. Sitzung am 6. und 7. November 2019 in Trier hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (Datenschutzkonferenz), also der Datenschutzbeauftragten der Länder und des Bundes, ein Prüfschema für den Einsatz von Windows 10 in der öffentlichen Verwaltung entwickelt. 

Dieses  kann  inkl.  Anlage  hier  eingesehen

werden: https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/Ne ws/von-kennzeichenerfassung-bis-kuenstliche-intelligenz/

Darin werden u. a. folgende Feststellungen gemacht:

1. Die Frage, ob „Windows 10“ datenschutzkonform ist, kann [...] nicht pauschal beantwortet werden. 

2. [Es muss] eine Aufstellung darüber vorliegen [...], welche Verarbeitungstätigkeiten unter Nutzung von Windows 10 durchgeführt werden und welche personenbezogenen Daten dort in welchem Umfang verarbeitet werden. 

3. [Es] müssen Erkenntnisse darüber vorliegen, welche personenbezogenen Daten für welche Zwecke an Microsoft übermittelt werden.

4. Die Abarbeitung des nachfolgenden Prüfschemas ist deshalb erforderlich, weil sich die Übermittlung von Daten an Microsoft in bislang keiner Edition und Version durch eine Änderung der Konfigurationseinstellungen komplett abstellen lässt und sich das Kommunikationsverhalten und die Konfigurationsmöglichkeiten von Windows 10 mit neuen Versionen ändern können.

5. Es ist zunächst Aufgabe des Verantwortlichen sicherzustellen und zu dokumentieren, dass die datenschutzrechtlichen Anforderungen beim Einsatz von Windows 10 jederzeit eingehalten werden. Dazu muss geprüft werden, ob und ggf. welche personenbezogenen Daten an Microsoft übermittelt werden und ob für diese Übermittlungen eine Rechtsgrundlage vorliegt. 

6. Soweit die Übermittlung unzulässig ist, hat sie zu unterbleiben und es ist mit geeigneten und angemessenen Maßnahmen sicherzustellen, dass eine solche Übermittlung unterbleibt. 

7. Da sich derzeit [...] nicht alle Übermittlungen an Microsoft durch eine entsprechende Konfiguration deaktivieren lassen, müssen daneben weitere technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen. 

Aktuell wird die Lichtenberger Verwaltung auf Windows 10 umgestellt.

Das Bezirksmt wird um folgende Auskunft gebeten:

1. Wird das Prüfschema im Bezirksamt Lichtenberg (ggf. nachträglich) angewandt?

2. Wie bewertet der Lichtenberger Datenschutzbeauftragte das Prüfschema der Datenschutzbeauftragten von Land und Bund?

3. Inwieweit war der bezirkliche Datenschutzbeauftragte bei der Entscheidung zur Einführung von Windows 10 einbezogen?

4. Wie wird in Lichtenberg beim Einsatz von Windows 10 sichergestellt, dass keine personenbezogenen Daten (E-Mail-Adressen, Namen, Geburtstage, Anschriften,  Nutzerverhalten, Internetaktivität, Suchaktivitäten etc.) von Mitarbeiter*innen, aber auch Bürger*innen, die sich an das Bezirksamt wenden oder Anträge stellen, unkontrolliert an Microsoft abfließen?

5. Gibt es eine Aufstellung, welche Verarbeitungstätigkeiten unter Nutzung von Windows 10 durchgeführt werden und welche personenbezogenen Daten dort in welchem Umfang verarbeitet werden? Wenn ja, diese bitte als Anlage der Antwort beifügen.

6. Welche personenbezogenen Daten werden für welche Zwecke an Microsoft übermittelt? Falls nach Einschätzung des Bezirksamts keine personenbezogenen Daten übermittelt werden: Wie wird das sichergestellt? Falls personenbezogene Daten übermittelt werden (bzw. dies nicht auszuschließen ist): nach welcher Rechtsgrundlage geschieht dies?

7. Wie wird künftig sichergestellt, dass nach Updates und sonstigen von Microsoft angestoßenen Veränderungen des proprietären Programmcodes von Windows 10 keine Übertragung von personenbezogenen Daten an Unbefugte erfolgt?

8. Gibt es verschlüsselte Datenströme der im Bezirksamt Lichtenberg eingesetzten Version(en) von Windows 10 an Microsoft oder ggf. unbekannten Zielen?

9. Nach Art. 25 Abs. 1 DSGVO ist der Verantwortliche verpflichtet, bereits bei der Festlegung der Verarbeitungsmittel sicherzustellen, dass geeignete technische und organisatorische Maßnahmen zur Wahrung der Datenschutzgrundsätze getroffen werden. Welche technischen und organisatorischen Maßnahmen zur Wahrung der Datenschutzgrundsätze werden bei der Einführung von Windows 10 im Bezirksamt Lichtenberg getroffen?

10. Wurde der Einsatz von Linux oder anderer Alternativen geprüft? Wenn ja, aus welchen Gründen wurde dieser Einsatz abgelehnt? Wenn nein, warum wurde nicht geprüft?

11. Anfang Dezember 2019 wurde bekannt, dass ca. 30.000 Rechner mehrerer Berliner Verwaltungen fehlerhafte Windows-Upgrades erhielten. Sie entsprechen nicht den aktuellsten Datenschutzstandards. Das bedeutet, dass die Umstellung erneut begonnen werden muss. Das muss bis zum 14. Januar geschehen. Ist Lichtenberg davon auch betroffen?