formationstechnik (BSI) ist zu den gleichen Erkenntnissen gekommen. Die ausgelesenen Daten können nicht
geprüft werden, da sie verschlüsselt übertragen werden. Weder gegenüber dem BSI noch gegenüber meinen
europäischen Kollegen, die sich bereits in zwei Briefen an Microsoft gewandt haben, hat das Unternehmen offengelegt, welche Daten gesammelt und wofür sie verwendet werden.
Solange der Hersteller hier nicht für Transparenz sorgt, muss ich ihn in Form seiner Datenschutzerklärung beim
Wort nehmen und davon ausgehen, dass personenbezogene Daten erhoben und übertragen werden. Des Weiteren muss der Hersteller neben der nötigen Transparenz dem Nutzer ermöglichen, die Übertragung seiner Daten
ganz zu unterbinden bzw. die gesammelten Daten einsehen und vollständig löschen zu können. Hier hat der
Hersteller nur halbherzig Maßnahmen ergriffen.
Das intransparente Vorgehen von Microsoft kritisiere ich und empfehle dem Hersteller, hier für Klarheit und
Abhilfe zu sorgen. Dies auch vor dem Hintergrund, dass die neue Datenschutz-Grundverordnung jeden Verantwortlichen ab Mai 2018 verpflichten wird, die Grundsätze von privacy by design und privacy by default zu
beachten und Verletzungen dieser Grundsätze mit hohen Geldbußen belegt. Ich werde die weitere Entwicklung
bei Windows 10 beobachten und - insbesondere im Rahmen eines möglichen Einsatzes in der Bundesverwaltung - kritisch begleiten.
10.2.11.5 Das Standard-Datenschutzmodell
Die Arbeiten am „Standard-Datenschutzmodell“ (SDM) wurden weitergeführt. Der Blickwinkel richtete sich
zunächst auf die Definition von geeigneten Schutzzielen und Verfahren zur Herstellung von Datensicherheit.
Schutzziele und ein darauf aufbauendes IT-Sicherheitsmanagement werden schon seit einigen Jahren im Bereich der IT-Sicherheit eingesetzt, beispielsweise in den IT-Sicherheitsbewertungskriterien, dem sog. Orange
Book oder den Common Criteria. Bei der Umsetzung werden allerdings auch Defizite dieser Verfahren und
Schutzziele erkennbar. So bringen sie keine Struktur in den Bereich der Schutzziele, sodass im Laufe der Zeit
eine immer unübersichtlichere Sammlung von nebeneinander stehenden Schutzzielen entstanden ist und weiter
entsteht. Die verschiedenen Verfahren beschäftigen sich auch nicht mit Wechselwirkungen von Schutzzielen,
d. h. ob und inwiefern sich diese gegenseitig verstärken oder schwächen oder gar implizieren oder gegenseitig
ausschließen. Aufgrund dieser mangelnden Harmonisierung gibt es keine Gesamtschau von den einzeln nebeneinander stehenden Schutzzielen und keine Überlegungen zu ihrer Vollständigkeit.
Nach vielen Jahren des Erprobens solcher Verfahren entwickelte Mitte der 1990er Jahre das Bundesamt für
Sicherheit in der Informationstechnik (BSI) das Modell des Grundschutzes, um die Umsetzung solcher Verfahren zu vereinfachen. In der Zwischenzeit ist der IT-Grundschutz zu einem praktikablen Werkzeug zur Sicherstellung der IT-Sicherheit geworden. Das Verfahren beruht auf einem einfachen Modell (vgl. Kasten a zu
Nr. 10.2.11.5).
Das BSI überarbeitet zwar derzeit den Grundschutz, aber an den grundsätzlichen Erwägungen wird sich auch in
Zukunft nichts ändern. Bereits in meinem 15. Tätigkeitsbericht (Nr. 30.8) habe ich den Einsatz von Grundschutz
befürwortet und dies auf eine einfache Formel gebracht:
DATENSCHUTZ = Grundschutz + X
In den vielen Jahren der Anwendung dieser Formel wurde darüber diskutiert, wie denn die X-Komponente zu
bestimmen und welcher „Wert“ angemessen sei. Dies hängt natürlich von den konkreten Rahmenbedingungen,
Systemen, Daten usw. ab und konnte bislang nur sehr rudimentär ermittelt werden.
– 126 –
BfDI 26. Tätigkeitsbericht 2015-2016