Telemetriekomponenten oder kostenpflichtige Sicherheitsupdates? Die deutschen Verwaltungen stecken derzeit in der Zwickmühle zwischen Windows 7 und Windows 10. Die Situation könnte sich noch zuspitzen, wenn die Legitimität von Datenübertragungen in die USA noch einmal in den Fokus rückt.
Eine Anfrage der Grünen-Bundestagsfraktion hat ergeben, dass allein in den Bundesbehörden noch auf „mindestens 33.000 PCs“ Windows 7 läuft – obwohl der Support für das Betriebssystem zum 14. Januar ausgelaufen ist. Das bedeutet: Sicherheitsupdates gibt es nur noch mit Extended Security Updates (ESU) – und die sind kostenpflichtig. Rund 800.000 Euro dürften allein 2020 für die „erweiterten Sicherheitsupdates“ anfallen. Genaue Zahlen zum Windows-7-Bestand in den Verwaltungen in Deutschland liegen jedoch nicht vor, nicht einmal nur zur Bundesverwaltung. Laut NetMarketShare lag der Anteil von Windows 7 im Dezember 2019 noch bei 26,64 % aller PCs/Laptops weltweit.
800.000 Euro sind viel Geld – andererseits gibt es den Umstieg auf Windows 10 auch nicht geschenkt. Wichtiger ist die Sicherheitsfrage. Doch gerade hier stecken die Verwaltungen in der Zwickmühle: Den kostenpflichtigen Security Updates von Windows 7 stehen die grundsätzlichen Sicherheitsrisiken von Windows 10 gegenüber. Insbesondere dessen hartnäckige Telemetriekomponenten, die auch Gegenstand einer BSI-Untersuchung waren, machen es derzeit schier unmöglich, das Microsoft-System DSGVO-konform zu betreiben.
Der AK Technik der Datenschutzkonferenz hat ein Prüfschema samt Anlagen zum DSGVO-gerechten Einsatz von Windows 10 vorgelegt. Darin heißt es:
„Nachdem der Verantwortliche seinen Geschäftsprozess beschrieben und […] festgestellt hat, welche personenbezogenen Daten an Microsoft für welche Zwecke übermittelt werden, ist zu prüfen, ob diese Übermittlungen rechtmäßig sind. Kann er dies nicht feststellen, so kann er auch nicht prüfen, ob eine Rechtsgrundlage für die Übermittlung vorliegt.“
Das wirft wiederum ganz konkrete Hindernisse auf: Die Datenschutzverantwortlichen müssen Windows 10 je nach Geschäftsprozess jeweils DSGVO-konform konfigurieren (wobei „eine vollständige Übertragung mit systembasierten Abhilfemaßnahmen allein nicht verhindert werden kann“) und in der Folge jedes Update im Auge behalten, das evtl. eine erneute Prüfung erfordert. Nicht zuletzt bleibt das Risiko, dass eine Datenübertragung an Privacy-Shield-Server in den USA in näherer Zukunft EU-weit für unrechtmäßig erkannt wird. Insofern ist nachvollziehbar, dass es von der jeweiligen Verwaltung und ihren Datenverarbeitungsprozessen abhängt, auf welches der beiden Risikoszenarien – Windows 7 oder Windows 10 – sie sich einlassen will. Ebenso ist verständlich, dass der Bund – Stichwort: digitale Souveränität – in letzter Zeit verstärkt über Open Source nachdenken lässt.