Windows 10 - Dienstliche Nutzung
UPDATE 05.06.2022: Das BSI hat eine aktuelle Anleitung zurDeaktivierung der Telemetrie in Windows 10 21H2 bereitgestellt. Die Anleitung finden Sie auf der Webseite des BSI oder hier.
Windows 10
Seit Veröffentlichung von Windows 10 ist der Einsatz des neuen Systems im Öffentlichen Dienst sehr umstritten. Das Rechenzentrum hat sich mit dem Diskurs auseinandergesetzt und beschreibt zunächst die datenschutzrechtliche Problematik im Öffentlichen Dienst und fasst im Darauffolgenden die Empfehlungen der seriösen Veröffentlichungen zusammen.
Datenschutz und Microsoft
Microsoft sammelt, insbesondere mit den Windows 10 Home und Professional-Versionen (Current Branch), nach wie vor viele Daten. Der Spitzname „Datenkrake“ ist korrekt. Dennoch handelt es sich nach aktueller Bewertung nicht um „Datenschutzvergehen“, denn die meisten Datensammlungen sind wohldokumentiert und wir als Nutzer stimmen dem explizit zu, wenn wir Windows 10 nutzen. Microsoft setzt dabei, völlig rechtskonform, auf das sogenannte „opt-out“-Verfahren - man muss „Nein“ sagen, wenn man es NICHT möchte. Alle Datenschützer favorisieren zwar ein „opt-in“-Verfahren, aber rechtlich zulässig ist beides.
Und das wird auch (inhaltlich) begründet: Aus dem „Privacystatment“:
"Windows-10 ("Windows") ist eine personalisierte IT-Umgebung […]. Windows [basiert] auf Cloud und beide, […] werden regelmäßig aktualisiert, um Ihnen die neuesten Verbesserungen und Features zu bieten. Um dieses Computer-Erlebnis anzubieten, erheben wir Daten über Sie, Ihr Gerät und wie Sie Windows verwenden. Und weil Windows für Sie personalisiert ist, geben wir Ihnen die Wahlmöglichkeiten darüber, welche persönlichen Daten wir erheben und wie wir diese verwenden."
Was oft nicht beachtet wird: Im Rahmen der dienstlichen Nutzung ist häufig verboten, die Zustimmung zur Sammlung der oben genannten Daten zu erteilen. Denn die Daten, die unter Umständen preisgegeben werden, gehören häufig nicht den Mitarbeiter/innen, sondern der Universität: Was wir privat tun, ist unsere Sache, nicht aber, was wir auf Rechnern der Universität tun!
Darf Windows 10 im Öffentlichen Dienst eingesetzt werden?
Eine eindeutige Antwort zu dieser Frage wurde bisher von keiner Seite abgegeben.
Das ZENDAS (https://www.zendas.de/themen/windows_10.html, Stand 07.12.2015) äußerte sich Ende 2015 kritisch gegenüber dem Einsatz von Windows 10 im Hochschulbereich und empfiehlt auf das Verwenden von Windows 10 zu verzichten.
Der Datenschutzbeauftragte des Landes Baden-Württemberg gab keine konkrete Antwort über die Erlaubnis zur Nutzung und den Einsatz von Windows 10 ab, sondern veröffentlichte ein Papier, wie man Windows 10 „datenschutzfreundlich“ nutzen kann („Datenschutzeinstellungen bei Windows 10 Wie Sie Windows 10 datenschutzfreundlich nutzen können“, https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2016/04/2016-04_leitfaden_win10.pdf# , Stand Mai 2016).
Diese Stellungnahmen der obigen drei Einrichtungen führen zunächst nicht zur Beantwortung der Frage: Darf ich das? Mit den in den obigen ausgeführten Aussagen, wie „Eher nicht.“ oder „Wenn, dann sollte…“ und auch das „Es könnte…“ sind leider keine konkreten Antworten auf die oben gestellte Frage.
Jedoch sollte man beachten, dass grundsätzlich gilt, was das Landesdatenschutzgesetz regelt. Das ZENDAs als zentrale Datenschutzberatungsstelle für die Universitäten des Landes Baden-Württemberg ist zunächst richtungsweisend. Diese äußerte sich kurz nach Veröffentlichung über den konkreten Einsatz an Hochschulen und lehnt(e) den Einsatz eher ab.
Dagegen weist wiederum das baden-württembergische Landesdatenschutzgesetz darauf hin, dass im Zweifel der Landesdatenschutzbeauftragte Fragen zum Einsatz von Auftragsdatenverarbeitungssystemen überprüfen muss. Wie oben schon mitgeteilt, äußerte sich der Landesdatenschutzbeauftragte dazu, wie man "datenschutzfreundlich" Windows 10 nutzen kann. Dies deutet darauf hin, dass dieser sich mit dem System und der Frage des Datenschutzes auseinandergesetzt hat. Würde die auch dem ZENDAs überstehende Aufsichtsbehörde (§§ 26 II, 31 III LDSG BW) den Einsatz von Windows 10 im Öffentlichen Dienst ausschließen, müsste an dieser Stelle auch ein Hinweis zur Unterscheidung gegeben werden, was aber konkret derzeit nicht vorliegt. Diese Überlegungen und auch die kommende technische Zwangslage, in neuen, auf Intel "kaby lake" basierenden PC-Systemen Windows 10 einsetzen zu müssen (da ältere Windows-Versionen auf dieser Hardware nicht mehr unterstützt werden), lässt die oben gestellte Frage bejahen.
Dennoch muss beachtet werden, dass ein originär installiertes Windows 10, wie es „aus dem Laden kommt“ nicht ohne Weiteres verwendet werden darf.
Alle Stellen geben klare Empfehlungen zur Konfiguration des Systems an. Diese muss auch vorgenommen werden, wenn man legal Windows 10 bei der Arbeit einsetzen möchte oder muss.
Aufgrund der Komplexität der datenschutzrechtlichen Problembehebung des Systems, bestehen immer noch Bedenken hinsichtlich der Fragen der IT-Sicherheit beim Einsatz von Windows 10, weswegen wir uns der Stellungnahme des ZENDAs anschließen und empfehlen, solange es möglich ist, Windows 7 oder 8.1 bevorzugt einzusetzen. Wir müssen hier leider darauf hinweisen, dass das Rechenzentrum derzeit keine technische Unterstützung leisten kann. Die Verantwortung hierfür liegt daher weiterhin allein beim Nutzer. Zu beachten ist, dass nicht nur eigene personenbezogene Daten berührt sind, sondern oft auch Daten anderer Personen oder Organisationen. Dies ist bei der dienstlichen Nutzung besonders zu beachten.
Wie Sie aber trotzdem Ihr System präparieren sollten, da Sie neugierig sind oder aufgrund der Technik dazu gezwungen sind, wird im Folgenden Abschnitt erläutert.
Windows 10 – Installation und Konfiguration
Wer einen neuen BW-PC erwirbt oder einen sonstigen Rechner mit vorinstallierten Betriebssystem, hat zumeist ein Windows 10 Home oder Professional System vorinstalliert. Mit dieser Vorinstallation darf das Gerät aber nicht eingesetzt werden.
Das Problem besteht in der Version von Windows 10. Die Home und Professional Versionen sind kommerziell günstiger zu erwerben, aber dafür so konfiguriert, dass viele datenschutzrechtlich-relevanten Schalter nicht bedient werden können (Windows 10 Orientierungshilfe zur datenarmen Konfiguration von Windows 10, https://www.it-sicherheit.mpg.de/Orientierungshilfe_Windows10.pdf, Stand 12.2016). Das Geschäftsmodell baut darauf, dass der Nutzer seine Daten freigibt und dafür ein günstiges Betriebssystem erhält.
Aufgrund dessen müssen alle vorinstallierten Home und Pro Versionen durch eine Enterprise Version ersetzt werden. Hier steht das Angebot aus dem Landesvertrag mit Microsoft für alle universitären Rechner zur Verfügung (https://rz.uni-freiburg.de/services/beschaffung/software/landeslizenz-microsoft). Es beinhaltet verschiedene Enterprise Versionen: Enterprise und Enterprise LTSB.
Die empfohlenen Einstellungen können bei allen Versionen vorgenommen werden. Wir empfehlen aber grundsätzlich den Einsatz der LTSB Version. LTSB steht für Long Time Service Branch und beinhaltet schon von Anfang an viele datenschutzrechtlich bedenkliche Dienste nicht, wie bspw. Cortana, App Store, usw. Außerdem werden keine Feature Updates vorgenommen. Die Feature Updates sind zwar grundsätzlich nicht unsicher, dennoch bedeutet jedes Feature Update auch eine komplette Systemumstellung, welche die Admins jedes Mal vor große Herausforderungen stellt.
Wer sich aber in Bezug auf die Unterstützung bestimmter Services und Dienste mit der LTSB Version nicht sicher ist, kann auch die Enterprise Version einsetzen.
Da Windows 10 ständig und sehr umfangreich „nach Zuhause telefoniert“ (http://www.zeit.de/digital/datenschutz/2015-08/privatsphaere-windows-10-einstellungen-deaktivieren) sollte die Umstellung unmittelbar nach Erwerb vorgenommen werden. Das vorinstallierte System sollte nicht, auch nicht vorübergehend, für die Arbeit eingesetzt werden.
Sehr angenehm bei Windows 10 ist, dass ein(e) Nutzer(in) nicht unbedingt den Rechner vor der Neuinstallation formatieren muss. Die Installation kann im laufenden System mit der heruntergeladenen ISO gestartet werden.
Während der Installation muss man darauf achten, dass...
- man die benutzerdefinierte (angepasste) Installation auswählt und NICHT die Expressinstallation.
- Sie keinen Microsoft Account benötigen. Überspringen Sie die Aufforderung zur Anmeldung während der Installation: „Anmelden mit einer lokalen Domäne“.
- man alle sicherheits-/datenschutzrelevanten Einstellungen (d.h. also in der Regel ALLE Schalter) ausschaltet.
Nach der Installation führen Sie alle Windows Updates durch. Achten Sie darauf, ob alle Treiber installiert wurden.
Nach der erfolgreichen Installation müssen noch in den Systemeinstellungen viele Dienste und „Apps“ abgeschaltet werden. Welche Dienste hier deaktiviert werden sollten, können Sie in der Anleitung nachlesen.
Bitte beachten Sie außerdem, die in der Anleitung beschriebene Notwendigkeit des Abbestellens der Telemetrie. Diese kann nur in den Gruppenrichtlinien richtig eingestellt werden.
Weitere Informationen und Hinweise auch zu hilfreichen Tools finden Sie im Wiki.
Wenn Sie Fragen oder Anregungen haben, wenden Sie sich bitte an lizenzen@rz.uni-freiburg.de.