Falsche Betriebssystemeinstellungen führen zur Datenschutzverletzung

Damit ein elektronisches Gerät grundlegende Funktionalitäten bieten kann, muss in der Regel ein Betriebssystem installiert sein. Im Desktopbereich wird das meistens eine Version von Windows, Linux oder Mac OS sein, während im Mobile-Bereich Android oder iOS Anwendung finden. Oft bieten diese Applikationen bereits einige Komfortfunktionen, die dazu führen, dass personenbezogene Daten an Dritte übertragen werden.

Die Problematik

Wenn Sie personenbezogene Daten auf einem lokalen Gerät verarbeiten (das bloße Speichern zählt dabei schon zur Verarbeitung), müssen Sie darauf achten, dass die Berechtigungen des Betriebssystems und die Berechtigung anderer Applikationen auf dem Betriebssystem so limitiert sind, dass personenbezogene Daten nur an solche Dritte übermittelt werden, die sie dafür vorgesehen haben. In der Regel werden legitime Dritte hier die Rolle des Auftragsverarbeiters haben, mit denen sie die Wahrung des Datenschutzstandards der DSGVO in einem Vertrag explizit und detailliert geregelt haben. Solche Dritte müssen den betroffenen Personen nach Art. 13 DSGVO bei Erhebung der personenbezogenen Daten bereits mitgeteilt werden.

Kontakte

Ich möchte die Problematik am Beispiel des Adressbuchs beleuchten, da die darin enthaltenen Namen, E-Mailadressen, Telefonnummern und Anschriften zweifelsfrei personenbezogene Daten darstellen.

WhatsApp

In der Standardkonfiguration sendet WhatsApp alle Telefonnummern in Ihren Kontakten an einen eigenen Server. Dies ist nach der DSGVO jedoch nur zulässig, wenn sämtliche Kontakte dem zugestimmt haben und Sie diese Zustimmung, sowie Ihre Informationspflichten nachweisen können. Dies führt also dazu, dass WhatsApp in Europa derzeit in der Regel illegal benutzt wird.

In einer modernen Androidversion kann man den Zugriff von WhatsApp auf die Kontakte untersagen, sodass dieses prinzipiell DSGVO-konform einsetzbar wäre. Jedoch können sich dadurch zwei Nutzer die beide den Zugriff verbieten nicht mehr auf WhatsApp finden…

Android und iOS

Nutzen Sie die Funktion Kontakte zwischen Geräten zu synchronisieren oder ein Cloud-backup anzulegen, so liegt meiner Ansicht nach eine Auftragsverarbeitung durch Google (Android) oder Apple (iOS) vor. Um diese legal zu gestalten sollte man einen entsprechenden AV Vertrag mit dem Unternehmen schließen und dabei auch die Problematik des Privacy Shield, bzw. der EU-Standardsvertragsklauseln im Hinterkopf behalten.

Unklarheit

Besonders interessant wird es, wenn ein Betriebssystem Daten an den Hersteller überträgt deren Inhalt unbekannt ist. Daraus ergibt sich das derzeitige Problem, ob Windows 10 überhaupt so konfiguriert werden kann, dass es konform zur DSGVO betrieben werden kann. Aktuell werden in jeder Konfiguration weiterhin verschlüsselte Datenpakete an Microsoft gesendet, deren Inhalt ungeklärt ist.

Insgesamt ein spannendes Thema, bei dem man sich darauf gefasst machen muss kurzfristig auf Änderungen und Entscheidungen zu reagieren und seine IT-Landschaft entsprechend umzugestalten.