Das Microsoft Paradoxon

"... nur zur Verbesserung unserer Services..."


Mit Erstaunen stellen wir fest, dass ein sehr großer Teil der IT Welt mehr oder weniger offensichtlich unter einer Art Microsoft-Skotom[1][2] leiden muss. Dies betrifft nicht nur die Tatsache, dass diese Firma es schafft, dass nahezu sämtliche Gesetze und Regelungen bezüglich Beschaffungsmaßnahmen und Ausschreibungen extrem locker (in ihrem Sinne) ausgelegt werden, sondern auch, dass wir bisher keinen einzigen Artikel oder Bericht gelesen haben, in dem z.B. die online Patch/Hilfe/Suche Problematik (mit Bezug zur DSGVo) auch nur angesprochen wird. Dies betrifft zwar nahezu alle aktuellen Systeme, aber die Windows-Produkte sind da am weitesten entwickelt (ok - von Alexa abgesehen...).

Wie verhält es sich denn nun, wenn ich mich um alle Belange der Datensicherheit von personenbezogenen Daten gekümmert habe, ich die Daten schön - wie in meinem Verzeichnis dokumentiert - sicher auf einem Server ablege, alte Daten lösche,
... und dieser Server (und alle Rechner im Netz) von Update-Routinen gescannt werden und sich mit externen Systemen in Verbindung setzen, um Patches zu laden.

Und das zu Zeiten, die vom Benutzer kaum zu definieren sind[3]?
Jeder kennt das: "Ich bin für heute fertig mit meiner Arbeit! Oh mein PC installiert gerade Updates...".

Merkwürdiger noch: Die aktuelle Version der Desktop-Suche von Windows 10 überträgt alle eingegebenen Daten an externe Server. 

Sie suchen nach: "Rechnung Peter Müller" über die Desktop Suche und dies wird in jedem Fall an externe Server übertragen.

Dies ist keine krude 'Verschwörungstheorie' - jeder, der in der Lage ist, ausgehende Datenpakete zu überwachen, kann dies nachvollziehen. Da die Übertragung allerdings geheim ist, kann keiner - außer der Hersteller - sagen, was da wirklich übertragen wird.
Nachlesen kann man dies in verschiedenen Berichten der Verbraucherzentralen, Heise, Welt, Chip u.s.w.
Leider erschöpfen sich diese Artikel meist in technischen Tipps bei jeder neuen Version diverse Schalter um zu legen. Konsequenzen scheint der Vorgang (im Hinblick auf eine valide DSGVO- Bewertung) aber keine zu haben.

Wie man dies nicht als klare 'Auftragsverarbeitung' sehen kann, erscheint schleierhaft. Denn - wie oben beschrieben - reicht die Möglichkeit aus, Daten lesen zu können, um in die Kategorie "Verarbeitung" eingestuft zu werden.

...und wie ist eine Bewertung von Virenscannern? ... Der Google Suche?

Als absolutes Minimum muss dieser Vorgang zumindest in der Risikobewertung Beachtung finden.

Die unausgesprochene Begründung 'weil alle XXXX benutzen, bleibt uns nichts anderes übrig...' wird einem wie auch immer gearteten Datenschutz in keiner Weise gerecht.

 

[1] eigentlich müssten alle System, die online Daten übertragen auf eine Vertraulichkeit untersucht werden.
[2] siehe Wikipedia: Blinder Fleck
[3] ...ja, dies kann man über gefühlte 100 Schalter der Policy anpassen (die scheinbar bei jedem Patch variieren). Dabei ist man bitte durch 0.01%-0,1 der User zu ersetzen.