8.11 Datenschutzberatung bei der
ITKonsolidierung Bund
Das Projekt „IT-Konsolidierung Bund“ hat zum Ziel, die
digitale Arbeitsfähigkeit der Bundesregierung für die
nächsten Jahre sicherzustellen und einen effizienten
Betrieb zu gewährleisten. Die Einhaltung des Datenschutzes ist dabei eine grundlegende Anforderung.
Daher berate ich einzelne Teilprojekte der IT-Konsolidierung Bund.
Am 6. November 2019 hat das Bundeskabinett die Neuorganisation der IT-Konsolidierung Bund verabschiedet. Zukünftig wird die Betriebskonsolidierung vom
Bundesministerium der Finanzen (BMF) verantwortet,
während die Dienstekonsolidierung beim BMI verbleibt.
Eine weitere Änderung im Dienstleisterverbund führte
dazu, dass viele Teilprojekte der IT-Konsolidierung verzögert wurden.
Nach wie vor bezieht sich meine Beratungsaufgabe im
Projekt hauptsächlich auf das Teilprojekt 6 „Dienstekonsolidierung“. Dieses Teilprojekt beinhaltet mehrere
Maßnahmen wie den „Bundesclient“, die „Bundescloud“,
das „Identity and Access Management“ und den „multifunktionalen elektronischen Dienstausweis“. Auch die
Maßnahme „Identity and Access Management“ konnte
aufgrund der Änderung im Dienstleisterverbund nicht
fortgesetzt werden, wodurch sich die Maßnahmen
„Bundescloud“ und „Bundesclient“ verzögerten.
Die „Bundescloud“ ist definiert als eine standardisierte,
skalierbare Plattform für die Basis-, Querschnitts- und
Fachverfahren der IT des Bundes. Sie wird als private
Cloud in den Rechenzentren des Bundes betrieben und
stellt für einige Pilotbehörden bereits Dienste bereit.
Derzeitige Aufgabe ist die Zulassung der Bearbeitung
von VS-NfD-Dokumenten in der Bundescloud. Es wird
zu meinen fortlaufenden Aufgaben gehören, zu oben
genannten Themen und dem in der Bundescloud betriebenem Dienste-Portfolio zu beraten.
Bei der Maßnahme „Bundesclient“ geht es um die Bereitstellung bundesweit einheitlicher Arbeitsplätze bis Ende
2025 mit standardisiertem Betriebssystem sowie Basisund Querschnittsdiensten, wie z. B. E-Mail und Anwendungen zur Dokumentenbearbeitung. Derzeit wird der
Bundesclient durch das ITZ Bund getestet. Diese Tests
begleite ich entsprechend, um Fragen zum Datenschutz
zu beantworten.
Um die Projektleitung der IT-Konsolidierung Bund
langfristig bei den strategischen Entscheidungen zu
unterstützen, war eine intensive Mitarbeit in den entsprechenden Gremien, etwa zur Architekturrichtlinie,
erforderlich. Darüber hinaus erfolgten ein regelmäßiger
Austausch mit der Gesamtprojektleitung und die Teilnahme an Ressortworkshops, um Fragestellungen zum
Datenschutz einzubringen und zu beantworten.
Zusammenfassend nehme ich eine gute Zusammenarbeit mit allen Beteiligten, einschließlich dem IT-Dienstleister des Bundes, wahr, sodass ich meiner Aufgabe,
die Einhaltung des Datenschutzes bei der Umsetzung
der IT-Konsolidierung Bund zu überwachen und die
beteiligten Akteure zu beraten, nachkommen kann.
8.12 Datenschutz bei Windows 10
Die Übermittlung von Telemetriedaten von Windows 10
Betriebssystemen an Microsoft stellt ein datenschutzrechtliches Problem für alle beaufsichtigten Stellen dar.
Insbesondere im Bereich der öffentlichen Verwaltung
ist es deshalb wichtig, die „Digitale Souveränität“ zu
stärken, um bei Hard und SoftwarePlattformen nicht
von einzelnen Herstellern abhängig zu sein.
Ende 2018 veröffentlichte das Bundesamt für Sicherheit
in der Informationstechnik (BSI) die Ergebnisse der
sogenannten SiSyPHuS-Studie zu Windows 10. Hierbei
wurde vor allem untersucht, inwieweit sogenannte „Telemetriedaten“ des Betriebssystems über das Internet an
Microsoft übermittelt werden.
Anfang des Jahres erhielt ich zudem die Ergebnisse einer
Untersuchung der Verbindungen zwischen vorhandenen
Windows 10 Clients in den Netzwerken der Bundesverwaltung und Telemetrie-Servern bei Microsoft, die ergeben hatte, dass im Zeitraum von Oktober 2018 bis Januar
2019 Datenübertragungen in signifikantem Umfang stattgefunden haben.
Grundlage für die Telemetriedatenverarbeitung ist die
Erhebung von Daten in Form von Systemereignissen,
wie das Drücken einer Taste oder das Auslösen eines
Druckauftrags. Diese Systemereignisse werden mit
Nutzeridentifikatoren versehen, die es Microsoft ermöglichen, einen individuellen Nutzer auf einem individuellen Gerät und dessen Nutzungsmuster (wieder) zu erkennen. Diese Markierung (und damit der Personenbezug)
erfolgt immer, d. h. in jeder Version von Windows 10
und in jedem Telemetrielevel (Einstellung zu Umfang
der übertragenen Daten). Welche dieser markierten Ereignisse durch sogenannte Messpunkte gesammelt und
zu Microsoft übertragen werden, hängt grundsätzlich
vom Telemetrielevel ab. Allerdings gibt es einen weiteren wichtigen Faktor: das Nutzerverhalten. Denn die
Telemetrie wird über eine Konfigurationsdatei gesteuert,
die regelmäßig von Microsoft aktualisiert wird und in
Abhängigkeit vom Nutzerverhalten die Messpunkte und
somit den Inhalt der Telemetriedaten anpasst.
Tätigkeitsbericht zum Datenschutz für 2019
73