Weitere Informationen
|
|
|
|
Automatische Software-Installation
|
|
"Wenn Sie sich entscheiden, die Update-Funktionen innerhalb des Betriebssystem-Produktes oder der Betriebssystem-Komponenten zu verwenden, ist es zum Implementieren der Funktionen erforderlich, bestimmte Informationen zum Computersystem, zur Hardware und zur Software zu verwenden. Indem Sie diese Funktionen verwenden, ermächtigen Sie Microsoft oder deren bezeichneten Vertreter zum Zugriff auf die erforderlichen Informationen und zu deren Verwendungen für Updates. Microsoft ist berechtigt, diese Informationen nur zur Verbesserung ihrer Produkte oder zum Liefern von benutzerdefinierten Diensten und Technologien an Sie zu verwenden. Microsoft erklärt sich einverstanden, solche Daten ausschließlich anonym offen zu legen. Das Betriebssystem-Produkt oder die Betriebssystem-Komponenten enthält bzw. enthalten Komponenten, die die Verwendung bestimmter internetbasierter Dienste ermöglichen und erleichtern. Sie erkennen an und stimmen zu, dass Microsoft berechtigt ist, die von Ihnen verwendete Version des Betriebssystem-Produkts und/oder seiner Komponenten automatisch zu überprüfen und Updates oder Fixes des Betriebssystem-Produkts bereit zu stellen, die automatisch auf Ihrem Computer gedownloadet werden." |
In der Fachliteratur werden diese Vereinbarungen als "Lizenz zum Spähen" bezeichnet. Microsofts Möglichkeiten, den Usern weltweit auf die Festplatten zu schauen und nicht nur systembezogene Daten einzuholen, seien enorm. Via Internet-Explorer prüfe Microsoft nicht nur, welche der verfügbaren Updates bereits installiert sind und welche fehlen, es würden auch die Versionsnummern von Software-Paketen, die Plug&Play-IDs der installierten Hardware und andere Kennzahlen ausgelesen und in einen Globally Unique Identifier zusammengefasst. Tests mit einem Network-Analyser hätten gezeigt, dass beim ersten Scan eines neu installierten Systems fast 10 MByte Daten an mehrere Microsoft-Server gehen, bevor auch nur eine einzige Datei heruntergeladen wird, weitere 10 MByte wandern von Microsoft zum Anwender.
Auch die
Datenschutzbeauftragten des Bundes und der Länder befassen sich derzeit mit der
Problematik und dürften sich zu den datenschutzrechtlichen und
sicherheitstechnischen Aspekten dieser Verfahrensweise in absehbarer Zeit
äußern.
Im Hinblick auf die in Schleswig-Holstein geltenden datenschutzrechtlichen Regelungen im Landesdatenschutzgesetz und in der Datenschutzverordnung ist bereits jetzt darauf hinzuweisen, dass ein derartiges Online-Update für IT-Systeme, mit denen personenbezogene Daten (unter Produktionsbedingungen) verarbeitet werden, unzulässig ist.
Das LDSG schreibt bindend vor, dass Zugriffe, mit denen Änderungen an automatisierten Verfahren (also auch an den den Verfahren zugrunde liegenden Betriebssystemen) bewirkt werden können, nur den dazu ausdrücklich berechtigten Personen möglich sein dürfen. Die Zugriffe dieser Personen sind zu protokollieren und zu kontrollieren (§ 6 Abs. 2 LDSG). Bei der Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten durch Stellen oder Personen außerhalb der Daten verarbeitenden Stelle hat sie dafür Sorge zu tragen, dass personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet werden. Sie hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um dies sicher zu stellen. Die Aufträge und die ergänzenden Weisungen zu den technischen und organisatorischen Maßnahmen sind schriftlich festzulegen (§ 17 Abs. 2 und 4 LDSG). Vor wesentlichen Änderungen an automatisierten Verfahren, mit denen besonders sensible Daten verarbeitet werden (z. B. solche, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen), hat eine Vorabkontrolle durch den Datenschutzbeauftragten zu erfolgen (§ 9 LDSG). Schließlich sind alle automatisierten Verfahren vor ihrem erstmaligen Einsatz und nach Änderungen zu dokumentieren (§§ 3 bis 7 DSVO) und durch die Leitung der Daten verarbeitenden Stelle förmlich frei zu geben (§ 5 Abs. 2 LDSG).
Hieraus ergibt sich
die Notwendigkeit einer Verfahrensweise, wie sie in der Bekanntmachung vom
28.02.1994 zur Wartung und Fernwartung von IT-Systemen (Amtsblatt 1994, Seite
140) beschrieben worden ist. Dies ist mit dem von der Firma Microsoft
konzipierten Verfahren derzeit nicht zu realisieren. Unter
datenschutzrechtlichen Aspekten stehen dabei nicht die Fragen der
Aufwandsminimierung oder der Nutzung nicht lizenzierter Software im Vordergrund,
sondern die objektive Möglichkeit der Firma Microsoft, unkontrollierbare, nicht
revisionsfähige und nicht ausdrücklich genehmigte Veränderungen auf der
Betriebssystemebene und an den Datenbeständen eines IT-Systems vornehmen zu
können. Dabei ist unbeachtlich, ob derartige Aktivitäten der Interessenlage der
Firma Microsoft entsprechen würden oder nicht.
Den Daten verarbeitenden Stellen im Geltungsbereich des LDSG bleibt also nur die Möglichkeit,
Online-Updates über Testsysteme durchzuführen, die Ergebnisse zu überprüfen und die neue Version erst dann auf die Produktionssysteme zu überspielen oder
die Updates offline abzuwickeln, die Downloads und Prozesse zu dokumentieren und die Systeme erst nach entsprechenden Tests und Freigaben wieder für die Produktion freizugeben.
Es wird empfohlen, die Vertreter der Firma Microsoft auf diese rechtliche Situation hinzuweisen und das Unternehmen zu einer Modifizierung seines Angebotes aufzufordern.
Quelle:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
24103 Kiel; Holstenstr. 98
Tel 0431-988-1200, Fax -1223,
|
| ||||||
