Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch
Schlussbericht
(inkl. Anhang vom 25. Januar 2017 und Formulierungsvorschläge der Microsoft Corporation vom 30. November 2016) vom 19. August 2016
betreffend Abklärung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) gemäss Art. 29 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1)
im Zusammenhang mit der Datenbearbeitung der Microsoft Corporation im Rahmen
von Windows 10
2/38
Inhaltsverzeichnis
3/38
1.1 Vorgeschichte
Microsoft Corporation (nachfolgende „Microsoft“) hat am 29. Juli 2015 das Betriebssystem Windows 10 lanciert. Der EDÖB wurde durch die darauf erfolgte Medienberichterstattung sowie durch Anfragen von Bürgern darauf aufmerksam gemacht, dass Microsoft bei den Nutzern von Windows 10 möglich- erweise übermässig viele Daten erhebe und dabei auch weitere Grundsätze des Datenschutzes nicht einhalte. So würden den Nutzern Schnelleinstellungen angeboten, welche eine umfassende Daten- übermittlung standardmässig aktivieren, ohne dass dies für den Betrieb von Windows 10 notwendig wäre. Die Datenerfassung erfolge direkt auf den einzelnen Geräten, ohne dass die Nutzer ausrei- chend darüber informiert würden.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) klärt von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Per- sönlichkeit einer grösseren Anzahl von Personen zu verletzen. Bewahrheiteten sich die kolportierten Bedenken, wären die standardmässig umfassenden Datenerhebung und –übermittlungen im Rahmen von Windows 10 geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Dies hat den EDÖB am 18. August 2015 dazu veranlasst, eine Sachverhaltsabklärung gemäss Art. 29 des Bundesgesetzes über den Datenschutz (DSG; SR 235.1) einzuleiten und die Datenbearbeitungen auf ihre Konformität mit dem DSG hin zu überprüfen.
1.2 Umfang der Kontrolle
Die Datenschutzkontrolle bezog sich auf die Datenbearbeitung im Rahmen des Betriebssystems Windows 10 (consumer version). Windows 10 als Betriebssystem zeichnet sich dadurch aus, dass es nicht als statisches Software-Programm auf dem Gerät installiert wird. Die Schlüsselkomponenten von Windows 10 basieren neu auf der Microsoft Cloud und ermöglichen so eine Datensynchronisierung zwischen unterschiedlichen Geräten. Sowohl Elemente in der Cloud als auch lokale Elemente von Windows werden regelmässig aktualisiert, um allen Benutzern die neuesten Verbesserungen und Features gleichzeitig zur Verfügung zu stellen. Zudem können die Benutzer mit Hilfe diverser Apps zusätzliche Funktionen nutzen. Gerade die starke Verknüpfung des Betriebssystems mit der Microsoft Cloud und diversen zusätzlichen Apps, aber auch die Einführung eines neuen persönlichen Assisten- ten – genannt „Cortana“ – bringen eine Reihe von neuen Datenbearbeitungen und Berührungspunk- ten mit den Persönlichkeitsrechten der betroffenen Nutzer mit sich. Microsoft bietet daher eine Reihe von Einstellungen an, mit denen man festlegen kann, wie Informationen für personalisierte Dienste und Angebote in Windows 10 genutzt werden dürfen.
Vor diesem Hintergrund hat der EDÖB im Rahmen seiner Abklärungen den Fokus auf die Verhältnis- mässigkeit, die Transparenz und die Rechtfertigung der für die durchschnittlichen Benutzer erkennba- ren Datenbearbeitung gelegt. Eine vertiefte technische Analyse der Programme und maschinellen Prozesse wurde nicht durchgeführt, zumal das neue Konzept des Betriebssystems ohnehin laufend Anpassungen und Änderungen von technischen Funktionen und Routinen erlaubt.
4/38
Der EDÖB hat folgende Aspekte der Datenbearbeitungen im Rahmen von Windows 10 geprüft:
Der EDÖB hat seine im Rahmen dieser Kontrolle gemachten Feststellungen schriftlich festgehalten (Sachverhaltsfeststellung vom 24. März 2016). Grundlage für den vorliegenden Schlussbericht bildet diese Sachverhaltsfeststellung. Er basiert daher auf den Erkenntnissen aus der Installation und dem Betrieb von Windows 10 Pro 32bit Produktversion 10.0.10240.16384, den auf der Webseite von Microsoft verfügbaren Informationen sowie den Antworten der Microsoft Corporation auf den Frageka- talog und die Ergänzungsfragen wie sie sich am EDÖB am 24. März 2016 präsentiert haben. Die nach diesem Datum über Update allfällig erfolgten Anpassungen in den Datenbearbeitungen wurden nicht überprüft.
Datenbearbeitungen im Rahmen der Enterprise Versionen von Windows 10, weiterer Unterversionen (z.B. Mobile) oder der zusätzlich zum Betriebssystem verwendeten Apps und des Microsoft-Accounts waren nicht Gegenstand der vorliegenden Sachverhaltsabklärung.
1.3 Chronologie der Kontrolle
18.08.2015 Ankündigung der Sachverhaltsabklärung inkl. Fragekatalog 24.08.2015 Fristverlängerungsgesuch der Microsoft Corporation 28.08.2015 Fristverlängerung gewährt bis am 17.September 2015 16.09.2015 Fristverlängerungsgesuch der Microsoft Corporation 24.09.2015 Zustellung der Antworten der Microsoft Corporation auf den Fragenkatalog durch Microsoft Schweiz GmbH 01.12.2015 Schreiben von Microsoft Corporation betreffend fehlerhaftem Update für Windows 10 mit Erklärung der getroffenen Massnahmen 14.12.2015 Versand Ergänzungsfragen an Microsoft Corporation 14.01.2016 Fristverlängerungsgesuch der Microsoft Corporation 18.01.2016 Fristverlängerung gewährt bis am 4. Februar 2016 03.02.2016 Zustellung der Antworten der Microsoft Corporation 1 auf die Ergänzungsfragen durch Microsoft Schweiz GmbH 24.03.2016 Versand Sachverhaltsfeststellung an Microsoft Corporation 03.05.2016 Zustellung der Korrektur-, Ergänzungs- und Änderungsanträge zur Sachverhaltsfest- stellung der Microsoft Corporation durch Walder Wyss AG inkl. Vertretungsvollmacht 19.08.2016 Zustellung des Entwurfs des Schlussberichts an Microsoft Corporation zur Stellung- nahme mit Ansetzung einer Frist von 30 Tagen nach Erhalt
1 Ergänzt mit Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. Dieser und die folgenden übernommenen Vorschläge und Ergänzungen sollen primär dem besseren Verständnis dienen.
5/38
2.1 Sachverhaltsfeststellung vom 24. März 2016
Der EDÖB hat seine Feststellungen zum Sachverhalt schriftlich festgehalten und Microsoft am 24. März 2016 zustellen lassen. Zwecks Ergänzung des in diesem Bericht wiedergegebenen Sachverhalts kann vollumfänglich auf diese Sachverhaltsfeststellung vom 24. März 2016 verwiesen werden.
Microsoft hat dem EDÖB daraufhin ihre Änderungs- und Korrekturvorschläge mit Schreiben vom 2. Mai 2016 in englischer Sprache mitgeteilt. Diese Vorschläge wurden im vorliegenden Schlussbericht übernommen, sofern nachfolgend keine Differenz ausgewiesen wird. Differenzen bestehen noch hinsichtlich folgender Punkte:
Gemäss bundesgerichtlichen Rechtsprechung 2 muss für die Zuständigkeit des EDÖB in einer Angelegenheit ein überwiegender Anknüpfungspunkt zur Schweiz gegeben sein. Das Daten- schutzrecht bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden 3 . Unter Bearbeitung von Personendaten ist nach Art. 3 lit. e DSG jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archi- vieren oder Vernichten von Daten zu verstehen. Dies ist vorliegend der Fall, da Informationen über Personen in der Schweiz durch ein in der Schweiz eingesetztes Betriebssystem erfasst und ins Ausland übermittelt werden. Dass die Informationen im Ausland weiterbearbeitet wer- den, ändert nichts daran, dass eine allfällige Persönlichkeitsverletzung mittels in der Schweiz erfassten Informationen in der Schweiz eintritt. Die Beurteilung solcher Verfahren gehören zum Aufgabenkreis des EDÖB 4 . Dazu gehört unter anderem auch die Bekanntgabe solcher Daten ins Ausland 5 . Somit erachtet sich der EDÖB für die Abklärung der Datenschutzkonfor- mität der Datenbearbeitung von Microsoft Corp. als zuständig. Er nimmt von den Ausführun- gen zur Qualifikation der Microsoft Schweiz GmbH als „Briefbotin“ Kenntnis und behält sich vor, wenn nötig auch eine Empfehlung an diese zu erlassen.
2 BGE 138 II 346 E. 3.2f S. 352f. 3 Art. 1 DSG. 4 Art. 29 DSG. 5 Art. 6 Abs. 1 DSG; EPINEY/FASNACHT, in: Datenschutzrecht, Belser/Epiney/Waldmann [Hrsg.], 2011, S. 559 ff.; PHILIPPE MEIER, Protection des données, 2011, S. 436 ff.; ANDRÉ THALMANN, Zur Anwendung des schweizerischen Datenschutzgesetzes auf internationale Sachverhalte, sic! 13/2007 S. 341 f.
6/38
2.2 Windows 10 als Online-Service
Microsoft hat Windows 10 dem modernen Nutzerverhalten angepasst und bietet Windows „as a Ser- vice“ an. Diesem Konzept liegt zugrunde, dass Funktionen einfach nachgerüstet werden können und dann sofort allen Nutzern gleichzeitig zur Verfügung stehen. So soll künftig den Nutzern das Betriebs- system 6 in der aktuellen Fassung bereitgestellt werden. Weiter kommt hinzu, dass - anders als noch vor ein paar Jahren - viele Nutzer mehrere und unterschiedliche Geräte im Einsatz haben: Nebst ei- nem stationären PC oder einem Laptop benutzen sie Tablets und Smartphones, und es besteht das Bedürfnis, Daten über jedes dieser Geräte zu synchronisieren. So soll z.B. von überall her auf Doku- mente und Kontaktdaten zugegriffen werden können, und diese sollten auf allen Geräten auf dem aktuellsten Stand sein. Zudem haben sich in den letzten Jahren gewisse Zusatzfunktionen stärker etabliert, darunter Freihandfunktionen oder die Steuerung von Geräten via Sprache.
Windows 10 kommt diesen Bedürfnissen entgegen, indem es zwar im Kern als Betriebssystem mit lokal auf dem jeweiligen Gerät installierten Elementen funktioniert, andere Elemente aber in die Cloud ausgelagert sind. Die auf einem Gerät ursprünglich lokal bearbeiteten Daten stehen so via die Cloud auch auf den anderen Geräten zur Verfügung, und Funktionen wie die Personalisierung gewisser Dienste können für einen Nutzer über alle Geräte hinweg einheitlich durchgeführt werden. Zudem ist ein Datenaustausch mit zusätzlichen Apps möglich. Windows 10 ist damit nicht mehr einfach als klas- sisches Betriebssystem zu verstehen, sondern als ein System für verschiedene Gerätetypen, in dem Daten stärker miteinander verknüpft und abgeglichen werden können.
6 Gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016 wurde der Ausdruck „stets“ gelöscht.
7/38
2.3 Erfasste und übermittelte Daten
Basierend auf den von Microsoft gemachten Angaben zur Datenbearbeitung im Rahmen von Windows 10 werden die folgenden Datenkategorien 7 zu den jeweils beschriebenen Zwecken erfasst und übertragen:
Betriebssystem im engeren Sinne (Sicherheit)
Hierbei handelt es sich um Daten, welche zur Bereitstellung des Betriebssystems und zu dessen Si- cherheit bearbeitet werden. Feedback und Diagnosedaten Während der Verwendung von Windows 10 werden von Microsoft Diagnose- und Nutzungsdaten erfasst, mit deren Hilfe Microsoft Probleme identifiziert und behebt, die Produkte und Dienste ver- bessert und dem Benutzer personalisierte Funktionen bereitstellt. Die Diagnose- und Nutzungsda- ten werden mit einer oder mehreren eindeutigen Kennungen versehen, an Microsoft gesendet und gespeichert. Sie helfen Microsoft dabei, einen einzelnen Benutzer auf einem einzelnen Gerät zu erkennen, Servicefälle des Gerätes zu verstehen und Nutzungsmuster zu speichern. Es gibt drei Ebenen von Diagnose-und Nutzungsdaten: „Vollständig“, „Verbessert“ und „Einfach“.
Bei der Einstellung „Einfach“ werden u.a. Informationen zum verwendeten Gerät 8 , Daten zu Sys- tem- und Anwendungsabstürzen, Infektionsbericht des Tools zum Entfernen bösartiger Software (MSRT), Daten vom Windows Defender, Informationen zum Windows Store und Informationen zum Systemzustand 9 an Microsoft gesendet. Diese Informationen werden von Microsoft verwen- det um zu ermitteln, welche Updates an das System übermittelt werden sollen.
Bei der Einstellung „Verbessert“ werden zusätzlich zu den Daten, die bei der Einstellung „Einfach“ an Microsoft übermittelt werden, auch noch Hauptspeicherabbilder bei Systemabstürzen mit über- tragen. In den Hauptspeicherabbildern können personenbezogene Daten sowie Dokumente, an denen die Benutzer kurz vor dem Absturz gearbeitet haben 10 enthalten sein.
Bei der Einstellung „Vollständig“ – die von Microsoft empfohlen wird – werden alle Daten, die auch bei den Einstellungen „Einfach“ und „Verbessert“ gesendet werden, an Microsoft übermittelt. Zu- sätzlich ist es möglich, dass ein Microsoft-Mitarbeiter dem Telemetrie-Code Instruktionen hinzu-
7 Die detaillierten Datenelemente in den jeweiligen Datenkategorien sind in der Sachverhaltsfeststel- lung vom 24. März 2016 enthalten. 8 Prozessortyp, Massenspeichergrösse, Bildschirmauflösung, eindeutig identifizierende Nummer des Mobilfunkgeräts (IMEI). 9 Installierte Anwendungen/Apps, installierte Treiberversionen, installierte Updates, Zubehörgeräte, Systeminformationen, Qualitätsmetriken des Telemetrieclients, Qualitätsbezogene Informationen. 10 Gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016 wurden die Begriffe Passwörter und kryptographische Schlüssel mit folgender Begründung aus dem Text entfernt: Die Hauptspeicherabbilder enthalten alles, was zum Zeitpunkt des Absturzes gespeichert ist. Micro- soft könnte theoretisch eine Vielzahl von Daten erfassen, und zwar abhängig davon, was ein Nutzer in ein bestimmtes Dokument integriert hat. Zum Beispiel könnte der Nutzer an einer Datei arbeiten, die „meine Passwörter“ heisst. Microsoft könnte dann unbeabsichtigt ein Passwort erfassen, das in diese Datei eingefügt wurde. Microsoft würde diese Information nicht in ihrer Eigenschaft als Passwort oder kryptographischer Schlüssel verwenden. Ausserdem findet keine regelmässige Erfassung von Pass- wörtern oder kryptographischen Schlüsseln statt. Zudem ist die Wahrscheinlichkeit, dass sich eine dieser Datenarten im Zeitpunkt des Absturzes auf dem Speicher befindet, äusserst klein.
8/38
fügt. Wenn sie im Rahmen des üblichen Ablaufs des Telemetriesystems ausgeführt werden, könn- ten solche Instruktionen zum Telemetrie-Code zusätzliche Diagnosedaten erfassen von Syste- men, die Merkmale von Problemen feststellen oder aufweisen und welche Microsoft gerade abzu- klären versucht. Diese zusätzlich erfassten Daten können den Nutzerinhalt enthalten, der das Problem ausgelöst hat. 11
Anmerkung zum Windows Defender: Der Windows Defender sucht nach Schadsoftware und nach weiterer unerwünschter Software auf dem Gerät. Er wird zum Schutz des Gerätes automatisch ak- tiviert, sollte keine andere Antischadsoftware für den Schutz des Gerätes aktiviert sein. Sobald er aktiviert ist, überwacht er den Sicherheitsstatus des Gerätes und sendet automatisch Berichte an Microsoft, die Daten über vermutete Schadsoftware und weitere unerwünschte Software enthal- ten. Es werden auch Dateien gesendet, die Schadsoftware enthalten. Wenn ein Bericht mit hinrei- chender Wahrscheinlichkeit persönliche Daten enthält, dann wird dieser nicht automatisch gesen- det. Ein entsprechender Hinweis wird angezeigt, und der Benutzer muss vor dem Versenden ein- willigen. 12 Der Benutzer kann die Übermittlung von Berichten und verdächtiger Malware an Micro- soft deaktivieren.
Personalisierung
Die benutzerspezifischen Anpassungen von Diensten, welche als erweiterte Funktionen von Windows 10 angeboten werden, bearbeiten folgende Datenkategorien. Position/Positionsverlauf Die Art der Positionsdaten (d.h.: des Standorts) hängt von der zur Verfügung stehenden Hardware des Geräts ab. Es kann sich dabei um Informationen über GPS, Mobilfunk- oder WLAN handeln, welche für die Standortermittlung herangezogen werden. Dazu werden die ermittelten Daten an Microsoft übertragen und in der von Microsoft betriebenen Standortdatenbank abgeglichen. Bei der Verwendung der Positionserkennung hilft der Nutzer Microsoft beim weiteren Ausbau der Standortdatenbank: bei jeder Anfrage werden die ermittelten Daten von Microsoft anonymisiert in der Standortdatenbank gespeichert, um die Standortermittlung zu verbessern. Weiter werden auf dem Gerät Daten über den aktuellen Positionsverlauf gespeichert. Spracherkennung, Freihand und Eingabe Für die Interaktion mit einem Windows-Gerät, z. B. durch Sprach-, Handschrift- oder Tastaturein- gabe, erfasst Microsoft diese Eingabe, einschliesslich Informationen zum Kalender sowie den Kontakten. Microsoft speichert und verwendet Daten über die Aussprache, den Schreibstil (Hand- schrift) und die Art, wie auf Windows-Geräten getippt 13 wird, um den Algorithmus zur Erkennung der Eingaben zu verbessern. Dazu werden die Eingaben an Microsoft gesendet.
11 Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016 mit dem Hinweis, dass die Einstellung „Vollständig“ den Microsoft Technikern keinen Zugang zu den Systemen der Nutzer für das Troubleshooting ermöglicht. Erweiterte Diagnosedaten würden programmtechnisch erfasst, wenn ein auf Geräten ausgeführter Code die Merkmale eines Problems erfülle, das Microsoft gerade zu diagnostizieren versuche. 12 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 13 Darunter auch Leistungsdaten, wie z. B. Textänderungen, die der Benutzer manuell vornimmt, so- wie Wörter, die dem Wörterbuch hinzugefügt wurden.
9/38
Berechtigungsmanagement Die nachfolgenden Kategorien gehören zum Berechtigungsmanagement und erlauben es dem Benut- zer, die Zugriffsrechte für Hardwarefunktionen sowie für Kalender- und Kontaktdaten detailliert zu regeln. Im Rahmen der Betriebssystemfunktionen erfolgt bei diesen Kategorieneinstellungen 14 keine Datenbearbeitung durch Microsoft. Aus datenschutzrechtlicher Sicht sind die Einstellungsmöglichkei- ten insofern relevant, als dass sie dem Benutzer die Möglichkeit geben, die Einstellungen an einen Ort 15 vorzunehmen. Kontakte In der Kategorie „Kontakte“ kann der Benutzer festlegen, ob Apps Zugriff auf die Kontakte haben dürfen. Windows 10 selbst bearbeitet Daten aus den Kontakten nicht für die Funktion des Be- triebssystems im engeren Sinne. Jedoch nutzen und benötigen Windows Dienste (wie die persön- liche Assistentin „Cortana“) Informationen aus den Kontaktdaten. Kalender In der Kategorie „Kalender“ kann der Benutzer festlegen, ob Apps Zugriff auf den Kalender haben dürfen. Windows 10 selbst bearbeitet Daten aus dem Kalender nicht für die Funktion des Be- triebssystems im engeren Sinne. Jedoch nutzen und benötigen Windows Dienste (wie die persön- liche Assistentin „Cortana“) Informationen aus den Daten der Kalender. Sprachliste Die Verwaltung der Zugriffsrechte von Apps und Websites auf die Sprachlisten (Einstellungen für die Anpassung von Windows an verschiedene Sprachen) dient dazu, dass diese lokal relevante Inhalte dem Benutzer anzeigen können. Kamera In der Kategorie „Kamera“ kann der Benutzer festlegen, ob Apps generell Zugriff auf die Kamera erhalten dürfen. Windows 10 selbst bearbeitet Daten aus der Kamera nicht für die Funktion des Betriebssystems im engeren Sinne. Mikrofon In der Kategorie „Mikrofon“ kann der Benutzer festlegen, ob Apps generell Zugriff auf das Mikrofon erhalten dürfen. Windows 10 selbst bearbeitet Daten aus dem Mikrofon nicht für die Funktion des Betriebssystems im engeren Sinne. Systemzubehör wie der Windows-Sprachrekorder benötigen jedoch den Zugriff für ihre Funktion. Messaging In der Kategorie „Messaging“ kann der Benutzer festlegen, ob Apps Nachrichten (SMS) lesen und senden dürfen. Windows 10 selbst bearbeitet Daten des Messaging nicht für die Funktion des Be- triebssystems im engeren Sinne. Funkempfang In der Kategorie „Funkempfang“ kann der Benutzer festlegen, ob Apps auf die Funkeinheit (z.B. Bluetooth) zugreifen dürfen. Windows 10 selbst bearbeitet Daten dieser Kategorie nicht für die Funktion des Betriebssystems im engeren Sinne. Weitere Geräte In der Kategorie „Weitere Geräte“ kann der Benutzer festlegen, ob Apps automatisch Daten mit anderen Geräten (bspw. XBox One, TV-Geräte, etc.) austauschen dürfen. Eine Überprüfung der
14 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 15 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016: „und nicht in jeder App gesondert“ wurde gestrichen, da eine App allenfalls noch immer eine vorgän- gige Einstellung in der App erfordert.
10/38
Datenbearbeitung durch die weiteren Geräte wurde nicht getätigt. Windows 10 selbst bearbeitet Daten dieser Kategorie nicht für die Funktion des Betriebssystems im engeren Sinne. Hintergrund Apps
In der Kategorie „Hintergrund-Apps“ kann der Benutzer konfigurieren, welche Apps im Hintergrund Informationen senden und empfangen dürfen. Windows 10 selbst bearbeitet Daten dieser Katego- rie nicht für die Funktion des Betriebssystems im engeren Sinne. Kontoinformationen Können die vom Benutzer eingegebenen Informationen wie angezeigter Name, Vor- und Nach- namen, Foto, Kontoanbieter, Domainname des Benutzers, URL für Instant Messaging sowie ein für Xbox spezifisches Feld enthalten. Werbungs-ID
Windows generiert für jeden Benutzer eines Gerätes eine unverwechselbare Werbungs-ID. Diese kann von App-Entwicklern und Werbenetzwerken dazu verwendet werden, eine relevantere Wer- bung anzubieten. Die Werbungs-ID ist optional und kann vom Benutzer jederzeit ausgeschaltet werden. 16 Verwendet man unter Windows 10 ein Microsoft-Konto und nutzt dieses Microsoft- Konto auch auf anderen Geräten (Xbox, Windows Phone-Mobiltelefon, etc.), so kann die Analyse des Nutzungsverhaltens auch geräteübergreifend erfolgen.
Weitere Komponenten Im Rahmen der Installation von Windows 10 können auch die Datenbearbeitungen für Apps aktiviert werden, resp. es werden Einstellungsmöglichkeiten von Programmen angeboten, welche nicht zum Betriebssystem im engeren Sinne gehören. 17 Microsoft beschreibt diese im Rahmen des Installations- prozesses ebenfalls auf der Seite „Schnell einsteigen“ und bietet auf der Seite „Einstellungen anpas- sen“ Konfigurationsmöglichkeiten an. Daher werden folgenden Datenbearbeitungen nur betreffend dieser Einstellungen betrachtet, eine weitergehende Analyse von weiteren Datenbearbeitungen dieser Apps wurde im Rahmen der vorliegenden Sachverhaltsabklärungen nicht durchgeführt. Bei den be- trachteten Einstellungen handelt es sich um die Datenbearbeitungen im Zusammenhang mit der WLAN-Optimierung und der Internetbrowserfunktionalitäten SmartScreen-Filter, Autosuchen, Such- vorschläge, Seitenvorhersage und vorgeschlagene Sites. WLAN Optimierung Mit WLAN-Optimierung können sich Nutzer automatisch an WLAN-Netzwerken in der Umgebung anmelden, was das Datenaufkommen des Mobiltelefons reduziert und den Benutzern mehrere Verbindungsmöglichkeiten zur Verfügung stellt. Sobald sie aktiviert wird, verbindet sich das Gerät automatisch mit ungeschützten WLAN-Netzwerken. Es wird so auch möglich, den Zugriff auf passwortgeschützte WLAN-Netzwerke mit Kontakten auszutauschen. Die Netzwerkschlüssel wer- den dabei nur übertragen, wenn der Benutzer mit einem Microsoft-Konto angemeldet ist und ein Opt-In in die Sync Einstellung erfolgt ist. Microsoft kann ihrerseits die Netzwerkschlüssel nicht entschlüsseln, hierzu sind nur die durch den Benutzer als vertrauenswürdig bezeichneten Geräte in der Lage. 18
16 Hinzugefügt gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 17 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 18 Bemerkung der Microsoft Corporation vom 30. November 2016: „Die Fähigkeit den Zugriff auf Zu- gänge zu passwortgeschützten WLAN-Netzwerken mit Kontakten auszutauschen, wurde im Anniver- sary Update (August 2016) von Windows 10 entfernt. Die Funktion der automatischen Verbindung zu offenen WLAN-Netzwerken besteht nach wie vor.“
11/38
SmartScreen-Filter Der SmartScreen-Filter untersucht besuchte Webseiten auf potentiell unsichere Inhalte und herun- tergeladene Dateien auf potentielle 19 Schadsoftware. Dazu werden beim Browsen im Web die In- ternetadressen (URLs) einer kleinen Teilmenge der angefragten Webseiten an Microsoft zur Überprüfung gesendet. 19 Bei der Überprüfung einer Datei werden Daten zu dieser an Microsoft gesendet, einschliesslich des Dateinamens, eines Hashs 19 der Inhalte der Datei und der digitalen Zertifikate dieser Datei. Browser und Browserverlauf Bei der ersten Verwendung von Microsoft Edge und Internet Explorer werden verschiedene Funk- tionen eingeschaltet, welche eine Datenübermittlung zur Folge haben. Eine Deaktivierung ist je- derzeit möglich. Dazu gehören: AutoSuchen und Suchvorschläge: Diese Funktionen senden im Internet Explorer automatisch In- formationen, die in die Adresszeile des Browsers des Standardsuchanbieters (wie z. B. Bing) ein- gegeben werden. Während der Eingabe des Suchbegriffes, wird eine Suchempfehlung angezeigt. In Microsoft Edge versendet diese Funktion die Eingaben automatisch an Bing, und dies selbst dann, wenn ein anderer Standardsuchanbieter ausgewählt wurde. Seitenvorhersage: Diese Funktion sendet den Browserverlauf an Microsoft und verwendet aggre- gierte Browserverlaufsdaten, um vorherzusagen, welche Seiten der Nutzer sich wahrscheinlich als nächste anschauen wird und lädt diese Seiten proaktiv im Hintergrund, um eine schnellere Brow- serfunktion zu ermöglichen. Vorgeschlagene Sites: Die Funktion empfiehlt Webinhalte, die den Benutzer interessieren könn- ten, basierend auf dem Such- und Browserverlauf.
2.4 Installationsprozess und dabei vermittelte Informationen
Der Ablauf des Updates oder der Neuinstallation von Windows 10 ist in verschiedene Schritte geglie- dert, welche unterschiedlicher Interaktionen der Nutzer bedürfen. Microsoft informiert dabei laufend mit kurzen Texten über ausgesuchte Aspekte der Datenbearbeitungen und Einstellungsmöglichkeiten. Weitergehende Informationen sind dabei allenfalls über verlinkte Seiten erhältlich, die aber nur dann abrufbar sind, wenn das Gerät mit einem Netzwerk mit Internetzugriff verbunden ist.
Eingabe des Product Key, Zugriff auf Datenschutz- und Lizenzbestimmungen
Zum Starten einer Neuinstallation muss der Nutzer den Product Key eingeben. Führt der Nutzer hin- gegen ein Upgrade durch, wird kein Product Key benötigt. Im Eingabefenster verweist ein in der linken unteren Ecke platzierter Link auf die Datenschutzbestimmungen. Folgt man diesem Link, erscheint ein neues Fenster mit folgendem Text:
„Datenschutzbestimmungen von Microsoft Die Microsoft Datenschutzerklärung kann hier einsehen werden: http://go.microsoft.com/fwlink/?LinkId=521839 Sie können verknüpfte Begriffe überprüfen, indem Sie die Vorwärtsverknüpfung in Ihr Browser Fenster einfügen, sobald die Software läuft. EULAID:T1C_P1_1_PR_de-de“.
19 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016.
12/38
Der Zugriff auf die Datenschutzerklärung ist in diesem Stadium der Installation jedoch noch nicht mög- lich, da das Gerät noch nicht mit dem Internet verbunden ist. Eine Internetverbindung kann erst in einem späteren Installationsstadium hergestellt werden.
In der Folge müssen die mehrseitigen Microsoft-Software-Lizenzbestimmungen akzeptiert werden. Diese enthalten unter anderem folgendes:
„Durch die Annahme dieses Vertrages oder durch die Nutzung der Software erklären Sie sich mit allen diesen Bestimmungen einverstanden und stimmen der Übertragung bestimmter Infor- mationen während der Aktivierung und während Ihrer Nutzung der Software gemäss der in Zif- fer 3 beschriebenen Datenschutzerklärung zu. Wenn Sie diese Bestimmungen nicht akzeptieren und nicht einhalten, dürfen Sie die Software oder deren Features nicht verwenden.“ [...] 3. Datenschutz; Einwilligung zur Datennutzung. Der Schutz Ihrer Privatsphäre ist uns wichtig. Einige der Softwarefeatures senden oder empfangen bei ihrer Verwendung Informationen. Viele dieser Features können über die Benutzeroberfläche deaktiviert werden, oder Sie können sich entscheiden, sie nicht zu verwenden. Durch die Annahme dieses Vertrages und die Nutzung der Software erklären Sie sich damit einverstanden, dass Microsoft dazu berechtigt ist, die In- formationen wie in der Microsoft-Datenschutzerklärung unter (aka.ms/Privacy) und möglicher- weise in der mit den Softwarefeatures verbundenen Benutzeroberfläche beschrieben zu erfas- sen, zu verwenden und offenzulegen. ...“
Auch hier ist noch kein Zugriff auf die erwähnte Datenschutzerklärung möglich. Die Installation kann erst nach Akzept dieser Lizenzbestimmungen fortgesetzt werden.
Nächster Schritt im Installationsprozess ist die Wahl der Installationsart und des Installationsortes, bevor die notwendigen Dateien kopiert und installiert werden. Danach hat der Nutzer die Möglichkeit, ein Netzwerk zur Verbindung mit dem Internet zu wählen. Er kann die Installation aber auch offline fortsetzen. Nach Erstellen einer Netzwerkverbindung wäre der Zugriff auf die Datenschutzbestimmun- gen zwar möglich, der hierzu nötige Link wird auf dieser Seite jedoch nicht angezeigt.
Persönliche Einstellungen zur Datenerfassung und -übermittlungen
Nun hat der Nutzer die Möglichkeit, persönliche Einstellungen zur Datenerfassung und -übermittlung vorzunehmen. Zunächst kommt er auf die Seite „Schnell einsteigen“, die sich wie folgt präsentiert:
„Schnell einsteigen Sie können die Einstellungen jederzeit ändern. Durch Express-Einstellungen können Sie: Sprache, Eingabe und Freihand personalisieren, indem Kontakt- und Kalenderdetails mit zu- gehörigen Eingabedaten an Microsoft gesendet werden. Microsoft darf diese Informationen zur Verbesserung der Plattformen für Vorschläge und Spracherkennung nutzen. Windows und Apps die Abfrage Ihrer Positionsdaten, einschliesslich Positionsverlauf, sowie die Nutzung Ihrer Werbe-ID erlauben, um die Benutzeroberfläche für Sie zu personalisieren. Einige Positionsdaten zur Verbesserung der Positionsdienste an Microsoft und vertrauens- würdige Partner senden. Bietet Schutz von schadhaften Webinhalten und nutzt die Seitenvorhersage, um das Brow- sen zu beschleunigen sowie das Lesen und die gesamte Nutzung von Windows-Browsern zu verbessern. Ihre Browserdaten werden an Microsoft gesendet. Automatisch eine Verbindung mit vorgeschlagenen öffentlichen Hotsports und freigegebe- nen Netzwerken herstellen. Nicht alle Netzwerke sind sicher.“
13/38
Klickt der Nutzer auf den unter diesem Text rechts platzierten Button „Express-Einstellungen verwen- den“, wird Windows 10 in der Folge mit den von Microsoft vordefinierten Standardeinstellungen zur Datenerfassung und –übertragung verwendet. Mit diesen Einstellungen werden sämtliche unter Ziffer 2.3 vorstehend aufgeführten Daten erfasst und, sofern das System online verwendet wird, an Micro- soft übermittelt. Die Einstellungen können nachträglich jederzeit angepasst werden.
Links neben diesem Button befindet sich ein weiterer Button, „zurück“. Klickt der Nutzer auf diesen, springt er um eine Seite zurück und hat erneut die Möglichkeit, eine Netzwerkverbindung herzustel- len. 20
In der linken unteren Ecke sind zwei Links aufgeführt, „Weitere Informationen“ und „Einstellungen anpassen“. Die für diese Links verwendet Schrift ist deutlich kleiner als diejenige für den Informations- text oder die beiden Buttons und setzt sich farblich nur schwach vom Hintergrund ab. 20
Über den Link „Weitere Informationen“ wird ein Pop-up-Fenster mit einem weiteren Informationstext geöffnet:
„Hilfe und Support Intro-Zusammenfassung Microsoft respektiert Ihren Datenschutz. Beim Einrichten von Windows können Sie eine Rei- he von Express-Einstellungen festlegen, die Ihnen eine persönliche Erfahrung ermöglichen, um dazu beizutragen, dass Ihr Gerät zuverlässiger und sicherer wird und um bei der Ver- besserung der Microsoft-Dienste zu helfen. Falls Sie möchten, können Sie diese Einstellun- gen später ändern. Die folgenden Informationen erläutern, welche Daten von Microsoft ge- sammelt und wie diese verwendet werden, sobald Sie die Express-Einstellungen auswählen. Bitte stellen Sie sicher, dass Sie die vollständige Microsoft-Datenschutzerklärung (a- ka.ms/privacy) zu weitere Informationen darüber durchsehen, welche Art von Daten durch Microsoft gesammelt und wie diese verwendet werden, wenn Sie Windows einsetzen. Wenn Sie Ihre Einstellungen anpassen möchten, dann wählen Sie auf dem Einstellungen- anpassen-Bildschirm anstatt Weiter Express-Einstellungen Verwenden aus.“
Klickt der Nutzer den Link „Einstellungen anpassen“ an, erhält er die Möglichkeit, das Erfassen und Übertragen der unter Ziffer 2.3 vorstehend aufgelisteten Datenkategorien individuell einzustellen. Hierzu werden dem Nutzer die Datenkategorien nach Themen geordnet angezeigten, versehen mit einem kurzen Informationstext, der oberflächlich über die Art und die Verwendung der jeweiligen Da- ten Auskunft gibt. Zudem wird bei jeder Datenkategorie ein Schalter angezeigt, der standardmässig auf „Ein“ steht. Durch Klicken auf diese Schalter kann der Nutzer das Erfassen und Übermitteln jeder einzelnen Datenkategorie abschalten und so ein differenziertes Opt-Out vornehmen. Weiterführende Informationen werden hier nicht angezeigt, und es gibt an dieser Stelle auch keinen Link auf die Da- tenschutzerklärung von Microsoft.
Als nächster Schritt folgt die Einrichtung eines Kontos für den PC. Falls der Computer mit dem Internet verbunden ist, hat der Benutzer die Möglichkeit, sich mit einem bestehenden Microsoft-Konto einzu-
20 Bemerkung der Microsoft Corporation vom 30. November 2016 zum Sachverhalt: „Die Nutzererfah- rung für diese Buttons und Links hat sich seit dem Anniversary Update (August 2016) verändert. Der Button „Einstellungen Anpassen“ wurde zwischen den Buttons „Express-Einstellungen verwenden“ und „zurück“ eingefügt. Alle Buttons haben nun die gleiche Grösse und Schrift. Zudem wurde der „Weitere Informationen“-Link stärker hervorgehoben.“
14/38
loggen, ein neues Konto zu erstellen oder diesen Schritt zu überspringen und ein „lokales“ Konto ein- zurichten. Hat der Computer keine Netzwerkverbindung, so wird der Benutzer direkt aufgefordert, ein „lokales“ Konto für den PC zu erstellen.
Bevor das Betriebssystem verwendet werden kann, werden durch Windows 10 noch die Apps einge- richtet. Hierzu ist keine Aktion des Benutzers notwendig.
15/38
Vorbemerkungen
Art. 12 und 13 DSG legen die Voraussetzungen fest, nach welchen die Bearbeitung von Personenda- ten durch Private rechtmässig ist. Wer im privaten Bereich Personendaten bearbeitet, darf nach Art. 12 Abs. 1 DSG dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Gemäss Art. 12 Abs. 2 DSG darf er insbesondere nicht:
a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbei- ten; b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbei- ten; c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeits- profile Dritten bekannt geben.
In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allge- mein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat 21 .
Die nachfolgenden Ausführungen sollen klären, ob die Datenbearbeitung durch Microsoft bzw. die Datensammlung von Microsoft datenschutzkonform ausgestaltet sind. Dabei stehen die allgemeinen Datenschutzgrundsätze, namentlich der Grundsatz der Erkennbarkeit, der Bearbeitung nach Treu und Glauben und der Verhältnismässigkeit gemäss Art. 4 Abs. 2 bis 4 DSG, im Zentrum.
3.1 Bearbeitung von Personendaten und Persönlichkeitsprofilen
Personendaten Das DSG findet dort Anwendung, wo Personendaten i.S.v. Art. 3 lit. a DSG bearbeitet werden. Als Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürliche oder juristische) Person beziehen.
Die im Rahmen von Windows 10 durch die Softwarefeatures bearbeiteten Daten, welche Rückschlüs- se auf einen Nutzer resp. dessen Gerät erlauben, sind Personendaten im Sinne des DSG. Einige die- ser Daten können direkt einer bestimmten Person zugeordnet werden, z.B. Kontakte oder Kalender- daten. Dadurch, dass die Daten aber innerhalb eines bestimmten Nutzer-Accounts oder hinsichtlich eines bestimmten Geräts bearbeitet werden, lassen sich auch an sich unpersönliche Daten wie z.B. Position, Feedback und Diagnose einer bestimmten Personen zuordnen, womit sie als Personendaten zu qualifizieren sind.
Besonders schützenswerte Personendaten Besondere Vorschriften sieht das DSG in Art. 3 lit. c für die Bearbeitung von Daten vor, welche die Persönlichkeit von Personen besonders stark berühren. Die Kategorien der besonders schützenswer- ten Personendaten sind abschliessend in Ziffer 1-4 aufgezählt. Hierzu gehören religiöse, weltanschau- liche, politische oder gewerkschaftliche Ansichten und Tätigkeit, insb. Mitgliedschaften in entspre- chenden Vereinigungen 22 , weiter Angaben über die Gesundheit, die Intimsphäre oder die Rassenzu-
21 Art. 12 Abs. 3 DSG. 22 Art. 3 lit. c Ziff. 1 DSG.
16/38
gehörigkeit 23 , Massnahmen der sozialen Hilfe 24 und administrative oder strafrechtliche Verfolgungen und Sanktionen 25 .
Es ist davon auszugehen, dass z.B. Kalenderinhalte besonders schützenswerte Personendaten bein- halten können, wie (wiederkehrende) Spezialarzttermine, Besuche religiöser Veranstaltungen oder gewerkschaftliche oder politische Treffen. Weiter lässt sich auch bei den Daten zur Position (insb. zum Positionsverlauf) nicht ausschliessen, dass daraus Rückschlüsse, z.B. aus Kirchen-, Moscheen- oder Synagogenbesuchen auf religiöse Ansichten oder Tätigkeiten oder aus Aufenthalten in einer Spezial- klink zur Gesundheit, ableiten lassen. Weiter können auch in den Browserdaten (Benutzereingaben und Browserverlauf) oder Informationen zum Smart Screen besonders schützenswerte Daten, wie zur Gesundheit oder Intimsphäre, enthalten sein. Es muss daher davon ausgegangen werden, dass es sich zumindest bei einem Teil der erfassten Informationen (insb. Kalender, Position, Browserdaten) um besonders schützenswerte Personendaten gemäss Art. 3 lit. c DSG handeln kann. Da es nicht möglich ist, besonders schützenswerte Personendaten vor deren Erfassen als solche zu erkennen und separat zu bearbeiten oder von einer Bearbeitung auszunehmen, muss für die Bearbeitung aller Daten der für besonders schützenswerte Personendaten geltende strengere Massstab zur Anwen- dung gelangen.
Persönlichkeitsprofile Weil Microsoft über verschiedene Applikationen von Windows 10 die Interaktionen des Benutzers aufzeichnen kann und Zugriff auf persönliche Daten wie Kontakte und Kalender hat, muss im vorlie- genden Fall weiter geprüft werden, ob die erfassten Daten der Benutzer in ihrer Gesamtheit ein Per- sönlichkeitsprofil i.S.v. Art. 3 lit. d DSG darstellen. Nicht jede Kombination von Daten ergibt ein Per- sönlichkeitsprofil. Gemäss Legaldefinition von Art. 3 lit. d DSG stellt ein Persönlichkeitsprofil eine Zu- sammenstellung von Daten dar, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Anhaltspunkte, was unter dem Begriff „Persönlichkeitsprofil“ zu verstehen ist, geben die Botschaft zum DSG 26 sowie Lehre und Rechtsprechung.
Gemäss Botschaft 27 ist ein Persönlichkeitsprofil eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die aus- serberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Entscheidend ist, dass die systematische Zusammenstellung von an sich nicht besonders schützenswerten Daten 28 eine Beurteilung wesentlicher Aspekte der Persönlichkeit zulässt.
Nach herrschender Lehre muss die Zusammenstellung der Daten nicht ein Gesamtbild der Persön- lichkeit ergeben. Es genügt, wenn von wichtigen Teilaspekten 29 ein Persönlichkeitsbild entsteht 30 . Von einem Persönlichkeitsprofil ist jedoch erst dann auszugehen, wenn für die betroffene Person ein Risi-
23 Art. 3 lit. c Ziff. 2 DSG. 24 Art. 3 lit. c Ziff. 3 DSG. 25 Art. 3 lit. c Ziff. 4 DSG. 26 Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz (BBl II 1988 413). 27 BBl II 1988 447. 28 Z. B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten. 29 Z. B. Konsumverhalten, Profile von Kreditkartenbenutzern zur Verhinderung von Betrügereien, Eig- nungstest, Kreditdossiers, etc. 30 BSK-DSG, Urs Belser, Art. 3 N 21.
17/38
ko entsteht, dass „sie sich in der Gesellschaft nicht mehr so darstellen kann, wie sie es für richtig hält“ 31 .
Gemäss Rechtsprechung 32 hängt die Erstellung eines Persönlichkeitsprofils von der Menge, dem In- halt sowie der Zeitdauer der zusammengestellten Daten ab. Demnach sind Personendaten, die über einen längeren Zeitraum zusammengetragen werden und dadurch gleichsam ein biografisches Bild ergeben, indem sie eine Entwicklung, einen Werdegang, also eine Art „Längsprofil“ der betroffenen Person aufzeigen, eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Moment- aufnahme, ein „Querprofil“, darstellen. Aber, selbst wenn von einem wesentlichen Teilbild der Persön- lichkeit ausgegangen wird, muss letztlich der konkrete Zusammenhang, in dem die Daten verwendet werden, mit entscheidend dafür sein, ob der qualifizierte gesetzliche Schutz, den der Gesetzgeber für die Persönlichkeitsprofile vorgesehen hat, zum Tragen kommen soll oder nicht.
Durch die Auswertungsmöglichkeiten der automatischen Datenverarbeitung und durch die Verknüp- fung automatisierter Datenbestände ist die Erstellung von Persönlichkeitsprofilen heutzutage einfacher und häufiger geworden. Das Problem von Persönlichkeitsprofilen liegt darin, dass sie die Vielfalt und Komplexität der menschlichen Persönlichkeit (zu) sehr vereinheitlichen und schematisieren und dabei den betroffenen Personen nicht gerecht werden. Sodann haben betroffene Personen meist keine Kenntnis vom Bestehen eines Persönlichkeitsprofils. Damit können sie dessen Richtigkeit und Ver- wendung nicht kontrollieren. Einmal erstellt, können Persönlichkeitsprofile betroffene Personen der Selbstbestimmung berauben, sich so darzustellen, wie sie es für richtig halten. Damit vermögen Per- sönlichkeitsprofile die Entfaltung der Persönlichkeit wesentlich zu beeinträchtigen. Deshalb hat der Gesetzgeber festgelegt, dass Persönlichkeitsprofile gleich wie besonders schützenswerte Personen- daten zu behandeln sind und nur unter bestimmten Voraussetzungen erstellt und bearbeitet werden dürfen. Insbesondere müssen gemäss Art. 14 DSG betroffene Personen informiert werden, wenn über sie Persönlichkeitsprofile erstellt werden. Diese Informationspflicht gilt nicht nur für die Beschaffung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen, sondern auch, wenn Daten beschafft werden, die sich erst zu einem späteren Zeitpunkt zu einem Persönlichkeitsprofil ver- dichten 33 . Weiter müssen die Betroffenen für der Bearbeitung von besonders schützenswerten Perso- nendaten oder Persönlichkeitsprofilen nach angemessener Information ausdrücklich einwilligen 34 .
Microsoft beschreibt auf der Seite „Schnell einsteigen“, dass Sprache, Eingabe und Freihand u.a. personalisiert werden, indem Kontakt- und Kalenderdaten mit zugehörigen Eingabedaten an Microsoft gesendet werden. Ebenfalls zur Personalisierung der Benutzeroberfläche werden Positionsdaten ein- schliesslich Positionsverlauf und Werbungs-ID durch Windows 10 und Apps verwendet.
Unter Personalisierung ist ein Prozess zu verstehen, im Rahmen dessen das System die Eigenheiten (z.B. Sprach- oder Schriftmuster für Freihand- oder Spracheingaben) und Vorlieben (z.B. spezifische Interessen aufgrund von Kalendereinträgen) eines Nutzers „kennenlernt“, um seine Funktionen ent- sprechend zu optimieren. Je mehr Informationen über einen Nutzer vorliegen, desto genauer kann sich das System dessen Eigenheiten anpassen und künftiges Verhalten antizipieren. Dies gilt sowohl in inhaltlicher als auch in zeitlicher Hinsicht. Der Zweck der Personalisierung zielt damit direkt auf die Bildung eines Persönlichkeitsprofils : Das System möchte sich mit Hilfe der gesammelten Informatio- nen schnell ein wesentliches Teilbild der betroffenen Person machen. Dies wirkt sich für die betroffene
31 BSK-DSG, Urs Belser, Art. 3 N 22 mit Hinweis auf VPB 65.48, E. 2.d. 32 VPB 65.48, E. 2.b. 33 Bundesamt für Justiz, Bundesgesetz über den Datenschutz, Änderung vom 24. März 2006: Häufig gestellte Fragen zur Umsetzung bei der Datenbearbeitung durch Private, Ziff. 22. 34 Art. 4 Abs. 5 DSG.
18/38
Person unter Umständen stark aus, werden doch dadurch nicht nur ergänzende oder untergeordnete Funktionen zum Betriebssystem beeinflusst, sondern möglicherweise Art und Inhalt von Suchvor- schlägen oder Angeboten etc. Entsprechend können betroffene Personen dadurch in der selbstbe- stimmten Entfaltung ihrer Persönlichkeit wesentlich beeinträchtigt werden.
Da präzise 35 Informationen zu Position und Suchverlauf gemäss genereller Richtlinie 35 während sechs Monaten, Sprachdaten während 18 Monaten sowie der Browserverlauf während 45 Tagen gespei- chert werden ist davon auszugehen, dass sogenannte Längsprofile erstellt werden können. Aufgrund der Qualität und der Quantität der durch Windows 10 erfassten Daten ist folglich davon auszugehen, dass Persönlichkeitsprofile gemäss Art. 3 lit. d DSG bearbeitet werden.
Der EDÖB hält zusammenfassend fest, dass Microsoft im Rahmen von Windows 10 Personen- daten, darunter auch besonders schützenswerte Personendaten und Persönlichkeitsprofile, bearbeitet.
3.2 Zweck der Datenbearbeitung
Jede Bearbeitung von Personendaten stellt einen Eingriff in das Recht auf informationelle Selbstbe- stimmung gemäss Art. 13 Abs. 2 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 36 dar. Daher bedarf die Bearbeitung einer besonderen Rechtfertigung. Praktikabilitäts- erwägungen oder allgemeine Kundenfreundlichkeit stellen grundsätzlich keine ausreichende Rechtfer- tigung für die Bearbeitung dar.
Mit Windows 10 hat Microsoft ein Betriebssystem mit einem neuen Konzept umgesetzt, welches sich von den Bisherigen grundlegend unterscheidet. Entgegen den früheren Versionen ist Windows 10 als Online Service konzipiert 37 . Damit soll die Integration von Geräten, Software, Service und Plattformen möglich sein. Wie bei anderen Systemen, z.B. OS von mobilen Geräten, benötigt Windows 10 Ba- sisinformationen (Basic telemetry data), um dem Gerät die zum Betrieb des Betriebssystems notwen- digen Updates zur Verfügung zu stellen. Microsoft hält in Bezug auf die Daten der Telemetrie (Feed- back und Diagnose) fest, dass sowohl ein Interesse der Kunden und als auch eines von Microsoft besteht, die Dienste effizient, sicher und frei von illegalen Inhalten und Aktivitäten zu halten.
Neben den Daten zur Telemetrie werden, wie unter Ziffer 2.3 hiervor ausgeführt, die weiteren erfass- ten Personendaten 38 zur Personalisierung und Verbesserung von Diensten und Benutzeroberfläche (inkl. des neuen persönlichen Assistenten, „Cortana“) verwendet. Microsoft lernt mit Hilfe dieser Daten einen Nutzer besser kennen und kann gewisse Dienste und die Benutzeroberfläche den Bedürfnissen dieses Nutzers anpassen. So werden beispielsweise Freihand- und oder Spracheingaben laufend besser erkannt und zuverlässiger umgesetzt. Dies kann nicht mehr unter den ursprünglichen Zweck subsumiert werden. Vielmehr werden dem Nutzer damit Funktionalitäten angeboten, die über den Kern des Betriebssystems hinausgehen. In den nachfolgenden Ausführungen wir daher unterschieden zwischen dem primären Zweck, dem Anbieten eines sicheren und effizienten Betriebssystems, und den weiteren Zwecken, insb. der Personalisierung und der erweiterten Fehler- und Problemanalyse.
35 Hinzugefügt gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 36 SR 101. 37 Vgl. Ziffer 2.2 vorstehend. 38 Sprache, Eingabe, Freihand, Positionsdaten einschliesslich Positionsverlauf, Browserdaten, Kontak- te, Kalenderdaten.
19/38
Darüber hinaus ist es in Windows 10 möglich, bestimmten Apps den Zugriff auf erhobene Daten oder Hardwarefunktionen zu gewähren. Diese Apps gehören nicht mehr direkt zum Betriebssystem Windows 10, ergänzen dieses aber allenfalls durch zusätzliche Funktionalitäten. So benötigen Naviga- tionsanwendungen zwingend Zugriff auf die Position des Gerätes oder VOIP Anwendungen Zugriff auf das Mikrofon, für Videotelefonie zudem auf die Kamera. Auch die in diesem Rahmen erfolgenden Datenbearbeitungen dienen nicht mehr dem Anbieten eines sicheren und effizienten Betriebssystems, sondern den jeweils spezifischen Zwecken der einzelnen Apps oder der Vergabe von Zugriffsberech- tigungen. Die Datenbearbeitungen dieser Apps richten sich nach deren Datenschutzbestimmungen. Microsoft hat für Apps aus dem Windows Store vorgesehen, dass die Entwickler für Apps, welche Personendaten erheben, eine Datenschutzerklärung aufstellen und diese einhalten müssen. Weiter sind die Zugriffe auf Hardwarefunktionen (z.B. Kamera, Mikrofon) und Daten (z.B. Fotos, Kontakte, Kalender) in der Beschreibung zu den einzelnen Apps auszuweisen. Da Apps nicht Gegenstand der vorliegenden Kontrolle waren, wird auf detailliertere Ausführungen dazu verzichtet.
Zusammenfassend bearbeitet Microsoft Personendaten im Rahmen von Windows 10 in erster Linie zum Zweck, das Betriebssystem aktuell und damit effizient, sicher und frei von illegalen Inhalten und Aktivitäten zu halten. In zweiter Linie werden Daten für die Personalisierung und die Verbesserung von Diensten und Benutzeroberfläche bearbeitet. Hinzu kommen die jeweils spezifischen Zwecke einzelner Apps, welchen Zugriff auf solche Daten gewährt wird, sowie die Verwaltung der Zugriffsberechtigungen.
3.3 Bearbeitung nach Treu und Glauben / Transparenz
Die Transparenz und Information der betroffenen Personen in Bezug auf die Beschaffung und Ver- wendung der Daten bilden die eigentlichen Eckpfeiler einer Datenbearbeitung 39 .
Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen 40 . Daten sollen nicht in einer Art erhoben und bearbeitet werden, mit der die betroffene Person aus den Umständen heraus nicht rechnen musste und mit der sie nicht einverstanden gewesen wäre. Gegen diesen Grundsatz verstösst beispielsweise derjenige, der Daten nicht erkennbar bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen 41 . Demzufolge muss eine Datenbearbeitung für die betroffenen Personen transparent erfolgen. Dies bedeutet gemäss Art. 4 Abs. 4 DSG, dass für betroffene Personen die Da- tenbeschaffung und jede weitere Datenbearbeitung 42 , der Zweck jeder (weiteren) Datenbearbeitung, die Identität des Datenbearbeiters und – bei einer Datenbekanntgabe an Dritte – die Kategorien von möglichen Datenempfängern erkennbar sein müssen 43 .
Die Anforderungen, welche an die Erkennbarkeit gestellt werden, sind nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen 44 . Unter dem
39 Botschaft vom 19. Februar 2003 zur Änderung des Bundesgesetzes über den Datenschutz (DSG) und zum Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll vom 8. November 2001 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung perso- nenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung (BBl 2003 2126). 40 Art. 4 Abs. 2 DSG. 41 BBl 1988 II 449. 42 BSK-DSG, Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 8. 43 BBl 2003 2125. 44 BBl 2003 2125.
20/38
Gesichtspunkt der Verhältnismässigkeit dieser Anforderung ist zu prüfen, in welchem Mass die be- troffene Person auf die wesentlichen Rahmenbedingungen der Beschaffung aufmerksam gemacht werden muss, welche Mittel dem Inhaber der Datensammlung zur Verfügung stehen, um diese Rah- menbedingungen erkennbar zu machen, und in welchem Umfang von ihm erwartet werden kann, dass er diese Mittel auch einsetzt, namentlich unter Berücksichtigung ihrer Kosten, Bedienungsfreundlich- keit und Wirksamkeit. Zu berücksichtigen sind ferner die in der Branche oder für die betreffende Art von Datenbearbeitungen geltenden Usanzen. Für die einfachen Vorgänge des täglichen Lebens, die so geartet sind, dass die Beschaffung und ihr Zweck sowie die Identität des Inhabers der Datensamm- lung für die betroffene Person auf Anhieb leicht und deutlich erkennbar sind, bringt Art. 4 Abs. 4 DSG keine neue Verpflichtung mit sich. Ist eine Beschaffung auf Grund der Umstände hingegen weniger deutlich erkennbar, muss die betroffene Person mit angemessenen Mitteln auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werden. Im Internet ist ein Hinweis auf dem Eingangsportal in einer genügend sichtbaren Rubrik, der auf weitere Angaben zur Beschaffung und Verwendung der Daten verweist, in den meisten Fällen ein einfaches und angemessenes Informati- onsmittel 45 Vorstellbar sind in diesem Zusammenhang aber auch Pop-Ups mit oder Links zu den ein- schlägigen Informationen.
Wie eingangs unter Ziffer 1.2 und 3.2 dargelegt, folgt Microsoft mit Windows 10 einem neuen Konzept, das eine Reihe neuer Datenbearbeitungen mit sich bringt. Die wenigsten Nutzer dürften mit den tech- nischen Details eines Betriebssystems oder gar mit dieser Neuausrichtung vertraut sein. Es kann also nicht davon ausgegangen werden, dass diese Datenbearbeitungen als Vorgänge des täglichen Le- bens allgemein bekannt sind. Microsoft muss folglich mit geeigneten Mitteln über diese Datenbearbei- tungen informieren.
Microsoft informiert die Nutzer an verschiedenen Orten über die Datenbearbeitungen im Rahmen von Windows 10. Bei der Installation des Betriebssystems wird auf der Eingabeseite für den Product-Key sowie in den Lizenzbestimmungen auf die Datenschutzerklärung von Microsoft hingewiesen. Zudem wird den Benutzern auf der Seite „Schnell einsteigen“ eine Zusammenfassung der unter der Stan- dardkonfiguration erfassten Daten und deren Bearbeitungszwecken angezeigt sowie einleitend ange- merkt, dass die Einstellungen jederzeit geändert werden können. Die Übernahme dieser Standardein- stellungen wird mit dem unten rechts angezeigten Button „Express-Einstellungen verwenden“ bestä- tigt. Der Zugriff auf die Einstellungsmöglichkeiten der Datenübermittlungen findet der Benutzer über einen Link im unteren Bereich der linken Hälfte, ebenso wie den Link auf die verfügbaren weiteren Informationen.
Nachfolgend wird untersucht, ob Microsoft mit diesen Informationen den Anforderungen an eine transparente Datenbearbeitung genügt, und zwar sowohl in Bezug auf die Auffindbarkeit dieser Infor- mationen als auch hinsichtlich deren Inhalts.
a) Eingabe Product Key und Akzept Lizenzbestimmungen
Microsoft weist die Nutzer bereits bei der Eingabe des Product Keys oder in den vor einer Installation zu akzeptierenden Lizenzbestimmungen pauschal auf die ausgedruckt rund 30 A4 Seiten umfassende Datenschutzerklärung hin. Der Zugriff auf diese Erklärung mit dem Gerät ist jedoch erst nach Ab- schluss der Installation und mit aktiver Internetverbindung möglich. Daher müsste der Aufruf der Da- tenschutzerklärung über ein anderes mit dem Internet verbundenes Gerät erfolgen.
45 BBl 2003 2126.
21/38
Die ohne den Zugriff auf die Datenschutzerklärung vorliegenden Informationen geben nur unzu- reichend Auskunft und erfüllen die unter dem Gesichtspunkt der Transparenz gestellten Anforderun- gen nicht. Dementsprechend müsste die Datenschutzerklärung offline verfügbar gemacht werden, damit der interessierte Nutzer sich bereits vor der eigentlichen Installation über alle relevanten Aspek- te der mit Windows 10 verbundenen Datenbearbeitungen informieren kann.
b) Seite „Schnell einsteigen“
Seitenaufbau Der Seitenaufbau ist für die Beurteilung der Transparenz wesentlich, da von ihm wesentlich abhängt, ob eine betroffene Person die relevanten Informationen zur Datenbearbeitung im Rahmen von Windows 10 wahrnimmt. Wesentlich zu dieser Wahrnehmbarkeit beitragen würde ein Seitentitel, der auf die Art und Inhalte dort abrufbaren Informationen schliessen liesse. Aus dem Seitentitel „Schnell einsteigen“ geht vorliegend für die Betroffenen leider nicht hervor, dass dort Informationen zur Über- mittlung diverser Datenkategorien folgen und dass man bei einem Klick auf den Button diese stan- dardmässig aktiviert. Die Anpassungsmöglichkeiten finden sich zudem nicht wie gewohnt bei den Buttons im Bereich unten rechts. Vielmehr sind sie über den Link „Einstellungen anpassen“ in kleiner, hellblauer Schrift auf blauem Hintergrund im linken unteren Bereich der Seite zu suchen. Die Auf- merksamkeit der Benutzer wird durch diesen Seitenaufbau und den Titel auf den grössten Button un- ten rechts gelenkt, was das Auffinden der datenschutzrelevanten Informationen und Funktionen er- schwert. Die Anforderungen an eine transparente Information und an eine Datenbearbeitung nach Treu und Glauben werden so nur ungenügend erfüllt.
Um diese zu erfüllen, müsste der Titel der Seite auf die Bearbeitung von Personendaten Bezug neh- men. Insbesondere darf er nicht suggerieren, dass es sich um zu überspringende Produkteinformatio- nen handelte. In besonderem Masse gefördert wird dieser falsche Eindruck durch die sich in der un- tersten Zeile befindenden Buttons „zurück“ und „Express-Einstellungen“.
Inhalt Der EDÖB begrüsst, dass Microsoft versucht, den Benutzern die Information über die Datenbearbei- tungen in einer komprimierten Form zu präsentieren und nicht über das pauschale Anzeigen von mehrseitigen Datenschutzerklärungen. Leider werden mit der Zusammenfassung der Datenbearbei- tung die Vorgaben an die Information über eine Datenbearbeitung dennoch nicht vollumfänglich erfüllt. So fehlen Informationen zur Speicherdauer der übermittelten Daten, zum Inhalt von Browserdaten oder zum Inhalt der vollständigen Übermittlung von Feedback- und Diagnosedaten. Letztere fehlten in der geprüften Version gänzlich und wurden erst zu einem späteren Zeitpunkt eingefügt 46 . Auch wird im Einleitungsabschnitt in keiner Weise auf die Möglichkeit der unmittelbaren Anpassung der Einstellun- gen mittels des untenstehenden Links hingewiesen.
Der EDÖB kommt zum Schluss, dass der Seitenaufbau und der Inhalt der Seite „Schnell einsteigen“ nur beschränkt den Anforderungen an eine transparente Information und an eine Datenbearbeitung nach Treu und Glauben genügen. Damit verletzt Microsoft bei Datenbearbeitungen im Rahmen von Windows 10 das Transparenzprinzip.
46 Microsoft hat in Annex A der Rückmeldung vom 24. März 2016 diese Ergänzung vorgebracht.
22/38
c) Seite „Einstellungen anpassen“
Inhalt Der EDÖB begrüsst, dass Microsoft auch auf der Seite „Einstellungen anpassen“ versucht, die Infor- mation über die Datenbearbeitungen den Benutzern in einer komprimierten Form zu präsentieren und nicht über das pauschale Anzeigen der mehrseitigen Datenschutzerklärungen. Leider werden jedoch die Vorgaben an die Information über eine Datenbearbeitung auch mit den Informationen zu den ein- zelnen Einstellungsmöglichkeiten auf dieser Seite nur beschränkt eingehalten. Es fehlen auf der Seite Informationen resp. der Zugang zu Informationen zur Speicherdauer der übermittelten Daten sowie zum Inhalt von Browserdaten sowie von Feedback- und Diagnosedaten. Insbesondere wird den Be- nutzern keine Möglichkeit geboten, direkt auf die für die jeweilige Einstellung relevante Passage in der Datenschutzerklärung direkt, z.B. über einen Link, zuzugreifen. Bei der Einstellung des SmartScreen- Onlinediensts erfolgt, im Gegensatz zu den anderen aufgeführten Datenbearbeitungen, keine Informa- tion, dass dazu Daten an Microsoft gesendet werden. Weiter wird bei Einstellung der Übermittlung von Fehler- und Diagnosedaten an Microsoft der Anschein erweckt, dass diese vollständig ausgeschaltet werden kann. Dies ist jedoch technisch nicht möglich, die Übermittlung lässt sich nur auf die Feed- back- und Diagnosedaten in der Konfiguration „Einfach“ reduzieren. Ein Hinweis auf diese Einschrän- kung und die Datenkategorien dieser standardmässigen Übermittlung fehlt.
Der EDÖB kommt zum Schluss, dass der Inhalt der Seite „Einstellungen anpassen“ den Anforderun- gen für eine transparente Information nur teilweise genügt. Im Vergleich zu den Informationen und Einstellungsmöglichkeiten nach der Installation 47 sind sowohl die Informationen zu den Datenbearbei- tungen als auch die Einstellungsmöglichkeiten nicht annährend so detailliert. Die Ergänzung der Seite „Einstellungen anpassen“ würde sich umso mehr anbieten, als sie für diese nachträgliche Anpassung bereits technisch umgesetzt ist, sodass diese ohne grösseren Aufwand möglich wäre.
Zusammenfassend kann festgehalten werden, dass Microsoft mit den vor der Installation zur Verfügung gestellten Informationen die Anforderungen an eine transparente Information der betroffenen Personen nur unzureichend erfüllt. So ist der Zugriff auf die Datenschutzerklärung von Microsoft unzureichend gewährleistet. Die Seite „Schnell einsteigen“ macht nicht klar, welche umfassenden Datenbearbeitungen und –übermittlungen mit der Wahl dieser Einstel- lungen möglich sind und informiert unzureichend über die Datenbearbeitungen. Zudem werden die Nutzer nicht angemessen über die bestehenden Wahlmöglichkeiten auf der Unterseite „Einstellungen anpassen“ in Kenntnis gesetzt. Auch auf der Seite „Einstellungen anpassen“ werden die relevanten Informationen nur unvollständig wiedergegeben, ohne dass hier ein direkter Zugriff auf die relevanten Passagen in den Datenschutzbestimmungen möglich wäre. Damit verletzt Microsoft bei Datenbearbeitungen im Rahmen von Windows 10 das Transpa- renzprinzip.
47 Vgl. Ziffer 3.4 der Sachverhaltsfeststellung.
23/38
3.4 Verhältnismässigkeit der Datenbearbeitung
Die Bearbeitung von Personendaten hat sich am Grundsatz der Verhältnismässigkeit auszurichten 48 . Verhältnismässigkeit bedeutet, dass ein Datenbearbeiter nur diejenigen Daten bearbeiten darf, die zur Erreichung eines bestimmten Zwecks objektiv geeignet und tatsächlich erforderlich sind, und dass die Nachteile, die mit der Bearbeitung verbunden sind, in einem angemessenen Verhältnis zu den Vortei- len stehen müssen. Die Datenbearbeitung muss für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel zumutbar sein (d.h. verhältnismässig i.e.S.). Dazu muss ge- prüft werden, ob zwischen dem Bearbeitungszweck und einer im Hinblick darauf nötigen (d.h. durch die Art und Weise der Bearbeitung gegebenenfalls bewirkte) Persönlichkeitsbeeinträchtigung ein ver- nünftiges Verhältnis besteht 49 . Es hat also eine Abwägung von Zweck und Wirkung des Eingriffs statt- zufinden und es ist zu prüfen, ob nicht ein milderes Mittel ebenso zum Ziel führt. Die Prüfung der Ver- hältnismässigkeit verlangt eine Gesamtwürdigung aller Umstände.
3.4.1 Verhältnismässigkeit in inhaltlicher Hinsicht
Eine Datenbearbeitung ist dann verhältnismässig, wenn sie inhaltlich auf das absolut Notwendige beschränkt wird, um ein bestimmtes Ziel zu erreichen. Die inhaltliche Verhältnismässigkeit fordert einen möglichst schonenden Umgang mit Personendaten. Dies bedingt auch, dass keine für den ver- folgten Zweck nicht benötigten Überschussinformationen anfallen dürfen. Ebenso ist es unzulässig, Personendaten auf Vorrat zu erheben, sofern der damit verfolgte Zweck dies nicht unabdingbar erfor- dert 50 .
Da die Prüfung der Verhältnismässigkeit somit stets eine Gegenüberstellung der fraglichen Datenbe- arbeitung mit dem damit verfolgten Zweck erfordert, gilt es in diesem Zusammenhang zu beachten, dass Microsoft im Rahmen von Windows 10 Daten zu unterschiedlichen Zwecken bearbeitet 51 . Der primäre Zweck besteht darin, das Betriebssystem als Online Service effizient, sicher und frei von ille- galen Inhalten und Aktivitäten anzubieten.
a) Primärer Zweck – Anbieten eines aktuellen und sicheren Betriebssystem
Zum primären Zweck hält Microsoft in Bezug auf die Daten der Telemetrie (Feedback und Diagnose) fest, dass ein Interesse der Kunden und von Microsoft besteht, die Dienste effizient, sicher und frei von illegalem Inhalt und Aktivitäten zu halten. Um dies auch bei ungeübten Anwendern sicherzustel- len, ist es für private Benutzer nur möglich, die Übermittlung von Feedback- und Diagnosedaten auf die Stufe „einfach“ (basic telemetry data) einzuschränken. Komplett deaktiviert werden, können sie indessen nicht.
Würden ungeübte private Nutzer die Möglichkeit haben, die Übermittlung der basic telemetry data vollständig auszuschalten, könnten notwendige ergänzende Sicherheitsmassnahmen unterlassen werden, wodurch das System zu wenig geschützt wäre. Dies hätte zwar primär Auswirkungen auf die Sicherheit und Performance der eigenen Systeme. Sekundär bedrohen infizierte und nicht vollständig
48 Art. 4 Abs. 2 DSG. 49 BBl 1988 II 450. 50 BGE 125 II 473 E. 4.b S. 476. 51 Vgl. Ziffer 3.2 vorstehend.
24/38
geschützte Systeme jedoch auch die Geräte anderer Nutzer in der gesamten Windows 10 System- landschaft, weshalb dieser Sicherheitsmechanismus nicht von der Wahl des einzelnen Benutzers abhängig sein darf. Im Gegensatz zu den Versionen für Private bietet die Enterprise Version die Mög- lichkeit, die Übermittlung vollständig zu unterbinden. Diese professionellen Anwender werden jedoch durch technisch ausgebildete Personen betreut, die mit einem Set von Enterprise-Management Tools die Sicherheit und Zuverlässigkeit des Systems selbständig und zuverlässig aufrechterhalten können. Daher ist bei der Enterprise-Version der automatisierte Minimal-Sicherheitsmechanismus nicht zwin- gend notwendig.
Vor diesem Hintergrund erweist sich das Bearbeiten der Feedback- und Diagnosedaten auf der Stufe „einfach“ (basic telemetry data) zur Erreichung des primären Zwecks für die Consumer Version, die Gegenstand der vorliegenden Sachverhaltsklärung ist, als geeignet und erforderlich.
b) Über den primären Zweck hinausgehende Datenbearbeitungen
Die weiteren Datenbearbeitungen jedoch gehen über das für den primären Zweck Notwendige hinaus. Sie stehen jeweils im Zusammenhang mit der Personalisierung der angebotenen Dienste und der Benutzeroberfläche sowie den zusätzlich verwendeten Apps oder der erweiterten Fehler- und Prob- lemanalyse. Zum Zweck der Personalisierung ist es entscheidend, dass Informationen zum Benutzer in genügender Quantität und Qualität vorhanden sind. Damit z.B. die Assistentin die Benutzereinga- ben richtig versteht und interpretieren kann, muss diese auf eine Sammlung von Sprachmustern und persönlicher Daten Zugriff haben. So sind die Windows Datenkategorien (Sprache, Eingabe, Frei- hand, Positionsdaten einschliesslich Positionsverlauf, Browserdaten, Kontakte, Kalenderdaten) geeig- net und erforderlich, um die Dienste in der gewünschten Qualität zu erbringen. Demzufolge sind diese Datenbearbeitungen für den Zweck der Personalisierung und die weiterführenden Funktionen verhält- nismässig.
Ausgehend vom primären Zweck, ein sicheres und effizientes Betriebssystem anzubieten, sind die darüber hinausgehenden Datenbearbeitungen jedoch unverhältnismässig: Für die jeweils spezifischen Zwecke zwar geeignet und erforderlich, sind die für den primären Zweck nicht notwendigen Daten als Überschussinformation zu qualifizieren. Eine zwingende Verknüpfung von unterschiedlichen Zwecke würde daher, aus datenschutzrechtlicher Sicht, zu problematischen Resultaten führen. Da der Nutzer eigentlich ein Betriebssystem erwirbt, muss es folglich stets möglich sein, dieses ohne die Bearbei- tung von Überschussinformationen betreiben zu können. Er muss die Wahl haben zwischen einer Vollnutzung, inklusive der zusätzlichen Funktionen, und einer Teilnutzung, die sich auf das für das Betriebssystem Notwendige beschränkt. Dass durch die Einschränkung der Datenbearbeitung die zusätzlichen Dienste möglicherweise nur teilweise oder gar nicht funktionieren, muss der Nutzer dabei allerdings in Kauf nehmen.
Beides ist bei Windows 10 in der untersuchten Version dem Grundsatz nach der Fall: So lassen sich die über die Grundfunktionalitäten hinausgehenden Datenbearbeitungen resp. die dazugehörigen Dienste deaktivieren. Damit kann der Nutzer quasi zwei verschiedene Produktevarianten einsetzen: Das Betriebssystem mit eingeschränktem erweitertem Funktionsumfang sowie das Betriebssystem mit den darüber hinausgehenden Funktionen. Der Benutzer hat mit anderen Worten, die Möglichkeit, zu den über die das Betriebssystem im engeren Sinne hinausgehenden Datenbearbeitungen eine Einwil- ligung abzugeben oder nicht.
25/38
Zur Frage, inwiefern die einwilligenden Erklärungen angesichts der festgestellten Transparenzmängel rechtlich zu beurteilen sind und in welchen Konstellationen darüber hinaus eine explizite Einwilligung nötig ist, verweisen wir auf Ziff. 3.5 dieses Berichts.
3.4.2 Verhältnismässigkeit in zeitlicher Hinsicht
Das Erfordernis der Verhältnismässigkeit begrenzt die Datenbearbeitung auch in zeitlicher Hinsicht. Sofern personenbezogene Daten für den verfolgten Zweck nicht mehr gebraucht werden, sind sie zu vernichten oder zu anonymisieren. Dabei ist eine frühest mögliche Löschung/Anonymisierung vorzu- sehen.
Die uns von Microsoft im Rahmen der Sachverhaltsabklärung bekannt gegebenen Aufbewahrungsfris- ten der übermittelten Daten werden für die einzelnen Datenkategorien unterschiedlich festgelegt. Die Beurteilung der Aufbewahrungsdauer einzelner Komponenten erfolgt aufgeteilt nach dem jeweiligen Zweck (Betriebssystem im engeren Sinne, Personalisierung, Berechtigungsmanagement und weitere Komponenten):
Betriebssystem im engeren Sinne (Sicherheit)
Feedback- und Diagnosedaten Die Daten zur Telemetrie und Fehlermeldungen (Diagnose und Feedback) werden zum Zweck des Anbietens eines effizienten und sicheren Betriebssystems, das frei von illegalem Inhalt und Aktivitäten ist, gemäss genereller Richtlinie 52 für 60 Tage aufbewahrt. Eine Einschränkung des zeitlichen Umfangs der Datenspeicherung würde die Identifizierung und Analyse dieser Probleme erschweren oder gar verunmöglichen. Einerseits müssen für die Erkennung von Sicherheits- und Funktionsproblemen Stichproben in einem gewissen Umfang bestehen, andererseits können nicht alle Fehler- und Problemmeldungen sofort bearbeitet werden. Weiter zu berücksichtigen ist, dass nur rund 1% aller Rückmeldungen von Telemetriedaten weiter bearbeitet werden. Damit schränkt Microsoft den Kreis der von der Datenbearbeitung betroffenen Personen sehr stark ein. Unter die- sen Voraussetzungen ist die Speicherdauer von 60 Tagen für diese Daten verhältnismässig.
Bei der erweiterten Aufbewahrungsdauer von 13 Monaten für Informationen zu installierten Up- dates gilt es zu beachten, dass der Eingriff in die Persönlichkeit der Betroffenen durch die Bear- beitung dieser Daten marginal ist. Weiter ist für die Analyse von Inkompatibilitäten bei Updates bei speziellen Konstellationen von Hardware und Software die Kenntnis über die während eines Jah- res installierten Updates unter Umständen notwendig und damit auch verhältnismässig.
Die Aufbewahrungsdauer der Feedback- und Diagnosedaten zum Zweck der Bereitstellung eines aktuellen und damit sicheren Betriebssystems in Relation zum Eingriff in die Persönlichkeit ist damit verhältnismässig.
52 Hinzugefügt gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016.
26/38
Personalisierung
Für die Personalisierung der Dienste und der Benutzeroberfläche sowie zur Verbesserung der Platt- formen und Positionsdienste ist es entscheidend, dass Informationen zum Benutzer in einer genügen- den Quantität und Qualität vorhanden sind. Neben der inhaltlichen Breite der Daten hat auch die zeit- liche Komponente einen entscheidenden Einfluss auf die Qualität der Personalisierung. Dies ist bei der Beurteilung der Verhältnismässigkeit in zeitlicher Hinsicht zu berücksichtigen. Für die Datenkategorien Position/Positionsverlauf, Spracherkennung, Freihand und Eingabe, welche zum Zweck der Personalisierung von Diensten und der Benutzeroberfläche sowie zur Verbesserung der Plattformen und Positionsdienste bearbeitet werden, ist die Aufbewahrungsdauer in Abhängigkeit von der dazugehörigen Datenbearbeitung unterschiedlich festgelegt.
Position/Positionsverlauf Die Positionsdaten werden im Rahmen der Windows 10 Funktion „Cortana“ bearbeitet. Zur Per- sonalisierung von „Cortana“ erfolgt bei den an Microsoft übermittelten Positionsdaten nach 90 Tagen eine Reduktion der Genauigkeit auf rund 300 Meter. Nach 18 Monaten werden die Da- ten gelöscht. Der Zweck der standortbezogenen Personalisierung von „Cortana“ benötigt Positi- onsdaten über einen längeren Zeitraum. Wird der Zeitraum zu knapp bemessen, kann keine quali- tativ ansprechende Personalisierung erfolgen. So könnten zum Beispiel keine jahreszeitabhängi- gen Interessen abgeleitet werden. Daher ist die Aufbewahrungsdauer nach der Reduktion der Genauigkeit zum Zweck der Personalisierung von „Cortana“ verhältnismässig. Zudem kann der Benutzer die Positionserkennung jederzeit deaktivieren 53 , was jedoch Auswirkungen auf „Cortana“ hat.
Zusätzlich kann der Benutzer Apps von Dritten den Zugriff auf die Position und den Positionsver- lauf der letzten 24 Stunden erlauben. In diesem Fall gelten die Datenschutzbestimmungen des App Anbieters. Eine Beurteilung der Verhältnismässigkeit der Aufbewahrungsdauer dieser Apps erfolgt daher nicht im Rahmen dieser Sachverhaltsabklärung.
Spracherkennung Die Sprachdaten werden mit einer eigenen Gerätekennung gespeichert, welche nach 18 Monaten entfernt wird. Der Benutzer hat jederzeit die Möglichkeit, über die Einstellung „Kennenlernen be- enden“ die Erfassung zu beenden 54 . Dabei wird auch die zugewiesene Gerätekennung zurückge- setzt.
Der Zweck der Bearbeitung von Sprachdaten ist die Optimierung und Verbesserung der Sprach- erkennung für den Benutzer. Eine funktionierende Spracherkennung ist essentielle Voraussetzung für digitale Assistenten: Wenn der Assistent nicht versteht, was der Benutzer von ihm möchte, kann er auch keine ordentliche Antwort geben. Microsoft bedient sich bei „Cortana“ einer ähnli- chen Cloud-Technik wie Apple bei Siri: Stimmeingaben werden nicht lokal verarbeitet, sondern als Audiostream zum Microsoft-Sprachserver übermittelt, dort analysiert und die entsprechenden Ak- tionen an den PC des Anwenders übertragen. Dabei werden Wissensdatenbanken einbezogen. Um eine qualitativ gute Spracherkennung anbieten zu können, muss diese trainiert werden. Der- zeit kann grob zwischen zwei Arten der Spracherkennung unterschieden werden: Sprecherunab- hängige Spracherkennung (a) und sprecherabhängige Spracherkennung (b).
53 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3. 54 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3.
27/38
Charakteristisch für die sprecherunabhängige Spracherkennung (a) ist die Eigenschaft, dass der Benutzer ohne eine vorhergehende Trainingsphase sofort mit der Spracherkennung beginnen kann. Der Wortschatz ist jedoch auf einige tausend Wörter begrenzt. Sprecherabhängige Sprach- erkennungen (b) müssen vom Benutzer vor der Verwendung auf die eigenen Besonderheiten der Aussprache trainiert werden. Ein Einsatz in Anwendungen mit häufig wechselnden Benutzern ist damit nicht möglich. Der Wortschatz ist im Vergleich sehr viel grösser als der der sprecherunab- hängigen Spracherkennungssoftware. Damit die Qualität der Spracherkennung gesteigert werden kann, benötigt diese eine sehr grosse Anzahl von Sprachmustern. Diese werden von Microsoft bis 18 Monate gerätebezogen abgespeichert, um die benutzerspezifischen Merkmale der Sprachein- gaben in die Spracherkennung einfliessen zu lassen. Nach 18 Monaten wird die Geräte-ID ent- fernt. Bei einer kürzeren Aufbewahrungsdauer würde die Qualität der Erkennung empfindlich ab- nehmen und die aktuellen Anforderungen der Benutzer an eine nahezu fehlerfreie Interaktion mit einer digitalen Assistentin wären nicht erfüllen. Daher ist die gerätebezogene Aufbewahrung die- ser Daten über 18 Monate zum Zweck des Anbietens einer auf einen Benutzer angepassten Spracherkennung verhältnismässig.
Freihand und Eingabe Bei der Funktion Eingabe und Freihand werden die getippten und handgeschriebenen Worte er- fasst, um ein personifiziertes Benutzerwörterbuch anzubieten, das dem Benutzer helfen soll, mit einer besseren Zeichenerkennung auf dem Gerät zu tippen oder zu schreiben und diesen wäh- rend des Tippens oder Schreibens mit Textvorschlägen ersorgt. Mit dem Tippen wird eine Stich- probe von durch die Benutzer eingegebenen Buchstaben und Wörtern erfasst. Damit die Qualität der Erkennung gesteigert werden kann, benötigt diese eine sehr grosse Anzahl von Eingabemus- tern. Wie bei den Sprachdaten haben die Benutzer auch bei den Daten zu Eingabe und Freihand jederzeit die Möglichkeit, über die Einstellung „Kennenlernen beenden“ die Erfassung zu beenden. Zudem können die Benutzer die für die Eingabenpersonalisierung gespeicherten Informationen jederzeit im Microsoft Konto einsehen und löschen. Dieses Konto wird gemäss Ziff. 4 a (ii) des Microsoft-Servicevertrags nach fünfjähriger Inaktivität gelöscht.
Die erfassten Daten werden von Microsoft weiter auch zur Verbesserung der Verarbeitung der Eingaben verwendet. Hierzu werden die Daten bis 10 Jahre aufbewahrt, jedoch nicht in der ur- sprünglich erhobenen Form. Von den erfassten Daten werden in einem mehrstufigen Prozess die vom Microsoft als sensibel eingestuften Daten (wie E-Mail-Adressen, Passwörter und Alphanume- rische Daten) entfernt und schliesslich die Wörter in mehrere Teile zerlegt. Damit soll keine Mög- lichkeit mehr bestehen, die Informationen zu identifizieren und die Trennung rückgängig zu ma- chen. Wichtig ist hierbei, dass die Benutzer jederzeit die Möglichkeit haben, die Spracherkennung zu deaktivieren 55 .
Unter diesen Voraussetzungen ist diese Datenbearbeitung in zeitlicher Hinsicht verhältnismässig.
Berechtigungsmanagement Kontakte und Kalender Windows 10 bietet den Benutzern jeweils an einem Menüpunkt in den Einstellungen die Verwal- tung aller Zugriffsberechtigung von Apps auf Kontakte und Kalender an. Windows 10 als Betriebs- system bearbeitet jedoch keine Daten in den Kategorien Kontakte und Kalender selbst. Die Bear- beitung der Kontakt- und Kalenderdaten richtet sich nach den für die jeweilige Apps geltenden Da-
55 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3.
28/38
tenschutzbestimmungen und bildet daher nicht Bestandteil der vorliegenden Sachverhaltsabklä- rung.
Im vollständigen Funktionsumfang von Windows 10 ist auch die Assistentin „Cortana“ enthalten. Diese benötigt für die Eingabenpersonalisierung ebenfalls Zugriff auf die Kontakt- und Kalender- daten, damit Menschen und Ereignisse besser erkannt werden, wenn der Benutzer Nachrichten oder Dokumente diktiert. Ohne die Kenntnisse über die Kontakte und vergangene und anstehende Ereignisse sinkt die Qualität der Erkennung der Eingabe (Sprach und Freihand) und erfüllt die ak- tuellen Anforderungen der Benutzer an eine nahezu fehlerfreie Interaktion mit einer digitalen As- sistentin nicht. Die Kontakt- und Kalenderdaten werden durch „Cortana“ solange bearbeitet, wie diese aktiviert ist. Die Benutzer haben jederzeit die Möglichkeit, die Zugriffe in den Einstellungen zu deaktivieren 56 und die auf dem Gerät gespeicherten Daten zu löschen. Weiter können die Be- nutzer die für die Eingabenpersonalisierung gespeicherten Informationen jederzeit im Microsoft Konto einsehen und löschen. Dieses Konto wird gemäss Ziff. 4 a (ii) des Microsoft-Servicevertrags nach fünfjähriger Inaktivität gelöscht. Auch dies erweist sich als verhältnismässig.
Sprachliste Unter Sprachliste erfolgt die Verwaltung der Zugriffsrechte auf die Sprachliste (Einstellungen des Benutzers zur Sprache des Betriebssystems und der Eingabegeräte). Die Einstellung löst keine Datenbearbeitung im Zusammenhang mit dem Betriebssystem Windows 10 in engeren Sinn aus und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung. Die Aufbewahrungsdauer der erfassten Daten richtet sich nach den für das zugriffsberechtige Programm geltenden Daten- schutzbestimmungen.
Kamera und Mikrofon Über die Einstellungen Kamera und Mikrofon können die Zugriffsberechtigungen auf Kamera und Mikrofon eingestellt werden. Die Aufnahmen über Mikrofon und Kamera werden durch das Be- triebssystem nicht auf Vorrat gespeichert. Die Aufnahme erfolgt in Echtzeit direkt durch die zu- griffberechtigten Apps. Die Aufbewahrungsdauer der erfassten Daten richtet sich nach den für das zugriffsberechtige Programm geltenden Datenschutzbestimmungen und bildet daher nicht Be- standteil der vorliegenden Sachverhaltsabklärung.
Microsoft hat aber den Zugriff auf Kamera und Mikrofon standardmässig aktiviert, jedoch kann der Zugriff für alle Apps zusammen oder für jedes einzelne App separat eingestellt werden. Möchten Apps Zugriff auf Kamera und Mikrofon, müssen sie dies gemäss den Windows Store-Richtlinien deklarieren und eine Datenschutzerklärung anbieten und diese einhalten.
Messaging
Unter Messaging erfolgt die Verwaltung der Zugriffsrechte auf die Messaging Funktionalitäten (Lesen und Senden von Nachrichten (SMS und MMS)). Die Datenbearbeitung erfolgt durch die zugriffberechtigten Apps. Die Aufbewahrungsdauer der erfassten Daten richtet sich nach den für diese Apps geltenden Datenschutzbestimmungen und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung.
56 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3.
29/38
Funkempfang Unter diesem Menüpunkt wird die Verwaltung der Zugriffsrechte auf die Funktechnik des Geräts durch Apps ermöglicht. Die Einstellung löst keine Datenbearbeitung im Zusammenhang mit dem Betriebssystem Windows 10 in engeren Sinn aus und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung.
Weitere Geräte Es wird unter diesem Menüpunkt die Verwaltung der Rechte für Apps ermöglicht, welche mit an- deren Geräten Daten austauschen dürfen. Die Einstellung löst keine Datenbearbeitung im Zu- sammenhang mit dem Betriebssystem Windows 10 in engeren Sinn aus und ist daher nicht Be- standteil der vorliegenden Sachverhaltsabklärung.
Hintergrund Apps Unter diesem Menüpunkt wird die Verwaltung von Rechten für Apps ermöglicht, welche Daten empfangen und senden dürfen, auch wenn sie nicht genutzt werden. Die Einstellung löst keine Datenbearbeitung im Zusammenhang mit dem Betriebssystem Windows 10 in engeren Sinn aus und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung.
Kontoinformationen Unter diesem Menüpunkt werden die Zugriffsrechte für Apps auf die Kontoinformationen verwaltet. Eine Datenbearbeitung durch Windows 10 im engeren Sinne wird nicht ausgelöst. Der Verwen- dungszweck der Kontoinformationen richtet sich nach den für das jeweilige Programm geltenden Datenschutzbestimmungen
Werbungs-ID Mit der Einstellung Werbungs-ID erfolgt keine weitere Datenbearbeitung durch Windows 10. Die Werbungs-ID ist eine eindeutige ID, welche von Windows für jeden Benutzer eines Gerätes ver- geben wird, wenn der Benutzer die Werbungs-ID aktiviert 57 . Der Benutzer kann während dem Windows Setup wählen, die Werbungs-ID nicht zu aktivieren 57 und den Zugriff auf diese Kennung jederzeit in den Geräteeinstellungen deaktivieren. Sobald die Verwendung der Werbungs-ID er- neut aktiviert wird, wird eine neue Kennung erzeugt. Die Kennung ist auf dem Gerät gespeichert und wird durch dieses App-Entwicklern, die die Werbungs-ID verwenden 58 , zur Verfügung gestellt.
Weiter Komponenten WLAN Optimierung Die WLAN-Optimierung ist nur in Verbindung mit einem Microsoft Konto möglich. Die Netzwerk- schlüssel werden dabei nur übertragen, wenn ein Opt-In in die Sync Einstellung erfolgt ist. Micro- soft kann die Netzwerkschlüssel nicht entschlüsseln, hierzu sind nur die durch den Benutzer als vertrauenswürdig eingestuften Geräte in der Lage. Weiter kann die Funktion durch den Benutzer jederzeit deaktiviert werden. Windows 10 selbst bearbeitet Daten dieser Kategorie nicht für die Funktion des Betriebssystems im engeren Sinne und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung.
57 Hinzugefügt gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 58 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016.
30/38
SmartScreen-Filter Der SmartScreen-Filter ist eine Schutzfunktion in den Internetbrowsern Microsoft Edge und Inter- net Explorer sowie in Windows generell (bezüglich den heruntergeladenen Dateien) und unter- sucht besuchte Webseiten auf potentiell unsichere Inhalte und heruntergeladene Dateien auf po- tentielle Schadsoftware. 59 Er vergleicht dabei aus dem Web heruntergeladene Dateien mit einer Liste von Dateieigenschaften, die mit Schadsoftware und Programmen assoziiert sind, die unsi- cher sein könnten. 59 Wenn eine Übereinstimmung gefunden wird, zeigt der SmartScreen-Filter die Warnung an, dass der Download aus Sicherheitsgründen blockiert wurde. Dazu werden beim Browsen im Web die Internetadressen (URLs) einer kleinen Teilmenge der angefragten Websei- ten an Microsoft zur Überprüfung gesendet. 59 Bei der Überprüfung einer Datei werden Daten zu dieser Datei an Microsoft gesendet, einschliesslich des Dateinamens, eines Hashs 60 der Inhalte der Datei und der digitalen Zertifikate dieser Datei. URLs und heruntergeladene Dateien, die bös- artig sein könnten, werden mit nicht an Nutzer geknüpfte Identifikatoren gespeichert, um Microsoft zu helfen, akkurate Metriken und Modelle zu entwickeln. 60 Einige URLs und Dateien sehen bei der ersten Prüfung vielleicht nicht bösartig aus, können aber später als bösartig identifiziert werden. 61
Der SmartScreen-Filter lässt sich in den erweiterten Einstellungen von Edge konfigurieren. Stan- dardmässig ist der Schutz eingeschaltet 62 , wenn der Benutzer die Express-Einstellungen verwen- det. Dabei erfolgt keine personenbezogene Speicherung der übermittelten Daten. Somit werden die Daten im frühest möglichen Zeitpunkt anonymisiert. Die Datenbearbeitung in zeitlicher Hinsicht ist daher verhältnismässig.
Browserdaten und Browserverlauf AutoSuchen, Suchvorschläge, Seitenvorhersage und vorgeschlagene Sites sind weitere Funktio- nen von Microsoft Edge, welche eine Datenübermittlung zur Folge haben. Diese nutzen die Brow- serdaten und den Browserverlauf für ihre Personalisierung.
AutoSuchen und Suchvorschläge senden im Internet Explorer automatisch Informationen, die in die Adresszeile des Browsers des Standardsuchanbieters (wie z. B. Bing) eingegeben werden. Während der Eingabe des Suchbegriffes, wird eine Suchempfehlung angezeigt. In Microsoft Edge versenden diese Funktionen die Eingaben automatisch an Bing, und dies selbst dann, wenn ein anderer Standardsuchanbieter ausgewählt wurde. Eine Deaktivierung ist jederzeit möglich 63 .
Die Funktion Seitenvorhersage sendet den Browserverlauf an Microsoft und verwendet aggregier- te Browserverlaufsdaten, um vorherzusagen, welche Seiten der Nutzer sich wahrscheinlich als nächste anschauen wird und lädt diese Seiten proaktiv im Hintergrund, um eine schnellere Brow- serfunktion zu ermöglichen. Eine Deaktivierung ist jederzeit möglich 64 .
Die Funktion Vorgeschlagene Sites empfiehlt Webinhalte, die der Nutzer interessieren könnten, basierend auf dem Such- und Browserverlauf. Eine Deaktivierung ist jederzeit möglich 65 .
59 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 60 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 61 Hinzugefügt gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 62 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3. 63 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3. 64 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3. 65 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3.
31/38
Beim Browserverlauf werden maximal 45 Tagen nach der Erfassung die Identifikatoren entfernt. Für die Datenbearbeitung zum Zweck der Funktionen AutoSuchen und Suchvorschläge, Seiten- vorhersage, Vorgeschlagene Sites sind Information über den Browserverlauf und die Eingaben notwendig, um diese Funktionen mit einer brauchbaren Qualität anzubieten. Daher ist die Daten- bearbeitung mit Speicherdauer von 45 Tage verhältnismässig. Eine kürzere Aufbewahrungsdauer würde die Qualität stark beeinflussen. Weiter haben die Benutzer jederzeit den Zugriff auf die ge- speicherten Daten samt der Möglichkeit, diese zu löschen. Die Datenbearbeitung in zeitlicher Hin- sicht ist daher verhältnismässig.
Zusammenfassend kann festgehalten werden, dass die Datenbearbeitungen im Rahmen von Windows 10 in inhaltlicher Hinsicht verhältnismässig sind, soweit sie den primären Zweck, ein sicheres und effizientes Betriebssystem anzubieten, betreffen. Darüber hinaus- gehende Bearbeitungen sind nicht verhältnismässig und müssen mit einem Rechtferti- gungsgrund legitimiert werden. In zeitlicher Hinsicht kann festgehalten werden, dass die Datenbearbeitungen im Rahmen von Windows 10 verhältnismässig sind.
3.5 Rechtfertigungsgründe
Wie ausgeführt verletzt Microsoft mit den Datenbearbeitungen im Rahmen von Windows 10 insbeson- dere den Grundsatz der Transparenz 66 und, ausgehend vom primären Zweck der Datenbearbeitung, auch den Grundsatz der Verhältnismässigkeit 67 . Nachfolgend muss daher geprüft werden, ob Micro- soft Rechtfertigungsgründe hat, welche diese Datenbearbeitungen trotzdem legitimieren würden 68 .
Das Bundesgericht hat im Urteil BGE 136 II 508 vom 8. September 2010 in E.5.2.4, zu den Rechtferti- gungsgründen betreffend Art. 12 Abs. 2 lit. a DSG Folgendes festgehalten: Eine strikt systematische Auslegung, wonach lediglich bei lit. b und c, nicht aber bei lit. a von Art. 12 Abs. 2 DSG die Geltend- machung eines Rechtfertigungsgrunds zulässig sein soll, erweist sich als verfehlt. Art. 12 Abs. 2 lit. a DSG ist daher so auszulegen, dass eine Rechtfertigung der Bearbeitung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG zwar nicht generell ausge- schlossen ist, dass Rechtfertigungsgründe im konkreten Fall aber nur mit grosser Zurückhaltung be- jaht werden können. Im vorliegenden Fall sind weder gesetzliche Grundlagen noch überwiegende öffentliche Interessen ersichtlich, weshalb nur ein überwiegendes privates Interesse oder die Einwilli- gung der Betroffenen als Rechtfertigungsgründe in Frage kommen.
3.5.1 Überwiegendes privates Interesse
Der Rechtfertigungsgrund des überwiegenden privaten Interessens verlangt eine wertende Abwägung der Interessen im Einzelfall. Eine gegen die Bearbeitungsgrundsätze verstossende Datenbearbeitung ist nur dann gerechtfertigt, sofern und soweit die berechtigten Interessen an der Datenbearbeitung überwiegen.
66 Vgl. Ziff. 3.3 vorstehend. 67 Vgl. Ziff. 3.4 vorstehend. 68 Art. 13 i.V.m. Art. 12 Abs. 2 lit. a DSG.
32/38
Verstoss gegen das Transparenzprinzip Wie erwähnt ist das Transparenzprinzip ein Grundpfeiler des Schweizerischen Datenschutzrechts 69 . Die Rechtfertigung einer dagegen verstossenden Datenbearbeitung ist daher nur schwer vorstellbar. Insbesondere auch im Lichte der oben zitierten bundesgerichtlichen Rechtsprechung, wonach Recht- fertigungsgründe bei Verletzungen der Bearbeitungsgrundsätze nur mit Zurückhaltung anzunehmen sind, sind keinerlei private Interessen ersichtlich, welche vorliegend einen derartigen Verstoss recht- fertigen könnten.
Verstoss gegen das Verhältnismässigkeitsprinzip Wie bereits ausgeführt 70 erachtet der EDÖB die Bearbeitung der Feedback- und Diagnosedaten auf der Stufe „einfach“ zur Bereitstellung eines sicheren und effizienten Betriebssystems als verhältnis- mässig. Die darüber hinaus gehenden Datenbearbeitungen (sowohl inhaltlich auch hinsichtlich weite- rer Zwecke) stuft er jedoch, in Bezug auf den primären Zweck, als unverhältnismässig ein. Auch hier sind keine privaten Interessen ersichtlich, welche diesen Verstoss rechtfertigen könnten.
3.5.2 Einwilligung
Die Anforderungen an die Einwilligung in eine Datenbearbeitung ergeben sich aus Art. 4 Abs. 5 DSG. Diese ist nur gültig, wenn sie nach vorgängiger angemessener Information freiwillig erfolgt ist. Die Angemessenheit der Information setzt voraus, dass die Betroffenen über alle relevanten Informationen zur Datenbearbeitung verfügen müssen, die im konkreten Fall erforderlich sind, um eine freie Ent- scheidung treffen zu können 71 . Hierzu gehören die Datenkategorien mit den jeweiligen Datenbearbei- tungszwecken, die Kategorien der an der Datensammlung beteiligten Dritten, die Weitergabe der Da- ten an Dritte, die Aufbewahrungsdauer und die Löschung der Daten. Je nach Situation wird eine Auf- klärung erforderlich sein, die nicht nur auf die Umstände der Datenbearbeitung, sondern auch auf die wichtigsten möglichen Risiken und Folgen für die Betroffenen hinweist.
Soweit Microsoft wie vorne dargelegt bei den Datenbearbeitungen im Rahmen von Windows 10 in der aktuellen Ausgestaltung gegen den Grundsatz der Transparenz verstösst, ist eine rechtsgenügliche Einwilligung unter diesen Voraussetzungen generell nicht möglich, weshalb sie von als Rechtferti- gungsgrund ausscheiden muss, solange Microsoft die gerügten Transparenzmängel nicht behoben hat.
Eine Behebung dieser Mängel setzt voraus, dass die Nutzer ausreichend informiert werden. Dies muss damit beginnen, dass die Nutzer über die Wahlmöglichkeiten angemessen in Kenntnis gesetzt werden. Weiter müssen im Minimum Informationen über die Datenkategorien mit den jeweiligen Da- tenbearbeitungszwecken, die Kategorien der an der Datensammlung beteiligten Dritten, die Weiterga- be der Daten an Dritte sowie die Aufbewahrungsdauer mitgeteilt werden.
Zusammenfassend können die gegen die Grundsätze der Transparenz und der Verhältnismäs- sigkeit verstossenden Datenbearbeitungen von Microsoft im Rahmen von Windows 10 in der aktuellen Ausgestaltung weder durch ein überwiegendes privates Interesse noch durch eine Einwilligung gerechtfertigt werden. Microsoft hat damit für die über das Anbieten eines siche- ren und zuverlässigen Betriebssystems hinausgehenden Datenbearbeitungen keinen Rechtfer- tigungsgrund.
69 Vgl. Ziff. 3.3 vorstehend. 70 Vgl. Ziff. 3.4 vorstehend. 71 Vgl. BBl 2003 2127.
33/38
3.5.3 Mögliche künftige Einwilligung der Betroffenen unter Behebung der festgestellten Transparenz- mängel
Wie unter Ziff. 3.4.1 dargelegt, hat Microsoft auf der Seite „Einstellungen anpassen“ grundsätzlich die Möglichkeit eingebaut, dass die Benutzer für die dort aufgeführten Datenbearbeitungen eine Einwilli- gung vornehmen können.
Trotz der dargelegten strengen bundesgerichtlicher Rechtsprechung, könnte bei entsprechender Be- hebung der gerügten Transparenzmängel vorliegend somit ein Rechtfertigungsgrund zum Tragen kommen, indem dem Nutzer eine Wahl zwischen der Vollnutzung 72 und der Teilnutzung 73 zukommen würde, indem er im ersten Fall in die zum Grundzweck unverhältnismässige Datenbearbeitung gültig einwilligen würde.
Da Microsoft im Rahmen der unter Ziff. 2.1 aufgeführten Datenkategorien „Personalisierung“ (Spracheerkennung, Freihand und Eingabe, Kalender und Kontakte, Position/Positionsverlauf, sowie Personendatenbearbeitungen im Zusammenhang mit Cortana), „Betriebssystem im engeren Sinne“ (verbesserte und vollständige Feedback und Diagnosedaten) sowie „Weitere Komponenten“ (Smart- Screen-Filter und Browser und Browserverlauf) auch besonders schützenswerte Personendaten und Persönlichkeitsprofile bearbeitet 74 , muss die Einwilligung der Nutzer in die Datenbearbeitung diesen Datenkategorien nicht nur implizit, sondern explizit erfolgen 75 . Demzufolge sind auf der Installations- seite „Einstellungen anpassen“ die Einstellungen zu den Datenbearbeitung mit den betreffenden Da- tenkategorien so anzupassen, dass die Nutzer ein Opt-In vornehmen können und nicht, wie bisher, an sich umfassende Datenbearbeitungen mittels Opt-Out beenden.
3.6 Datenübermittlung in die USA
Microsoft übermittelt die bei den Nutzern erhobenen Daten in die USA. Gemäss den aktuellen Daten- schutzbestimmungen von Microsoft (Juli 2016) und den verlinkten weiteren Informationen 76 geschieht dies gestützt auf das EU-US-Privacy Shield-Abkommen und das U.S.-Swiss Safe Harbor Framework.
Personendaten dürfen gestützt auf Art. 6 Abs. 1 DSG dann ins Ausland bekannt gegeben werden, wenn das Empfängerland über ein angemessenes Datenschutzniveau verfügt, so dass die Persön- lichkeit der betroffenen Personen dadurch nicht schwerwiegend gefährdet wird. Fehlt ein solches Da- tenschutzniveau, so müssen zusätzliche Massnahmen zur Sicherstellung eines angemessenen Schutzes ergriffen werden 77 . Bei Datenlieferungen in die USA sollte das Safe Harbor Abkommen die- ses Schutzniveau bei zertifizierten Unternehmen sicherstellen. Seit dem Entscheid des EuGH in Sa- chen Schrems 78 muss nun davon ausgegangen werden, dass diese Zertifizierung nicht den geplanten Effekt hat. Auch wenn dieses Urteil in der Schweiz keine direkte Anwendung findet, so treffen die dort
72 Inkl. den weiterführenden Funktionen und den damit verbundenen zum Grundzweck unverhältnis- mässigen Datenbearbeitungen. 73 Nur die Grundfunktionen des Betriebssystems. 74 Ziff. 3.1 vorstehend. 75 Art. 4 Abs. 5 DSG. 76 https://privacy.microsoft.com/de-de/privacystatement mit Verweis auf https://privacy.microsoft.com/en-US/microsoft-eu-us-privacy-shield (zugegriffen am 11.08.2016). 77 Art. 6 Abs. 2 DSG. 78 Urteil des EuGH in der Rechtssache C-362/14 vom 06.10.2015.
34/38
festgestellten Mängel auch auf das Schweizer Safe Harbor Abkommen zu, weshalb auch dieses kein angemessenes Schutzniveau sicherstellen kann. Daher müssen auch für Datenübermittlungen von der Schweiz in die USA vertragliche Garantien oder eine andere Massnahme nach Art. 6 Abs. 2 DSG getroffen werden.
Die Deklaration von Microsoft, dass das EU-US-Privacy Shield-Abkommen auch für Datenübermitt- lungen aus der Schweiz Anwendung findet, ändert an diesen Anforderungen nichts, da das EU-US- Privacy Shield-Abkommen keine Datenübermittlungen aus der Schweiz in die USA miteinschliesst. Der Bundesrat ist jedoch zurzeit daran eine analoge Regelung zum EU-US-Privacy Shield-Abkommen mit den USA zu verhandeln.
Der EDÖB geht davon aus, dass Microsoft für die Übergangszeit, bis eine analoge Regelung zum EU- US-Privacy Shield-Abkommen für die Schweiz vorliegt, die entsprechenden Massnahmen fristgemäss ergriffen und zusätzliche Massnahmen nach Art. 6 Abs. 2 DSG getroffen hat, um ein angemessenes Datenschutzniveau sicherzustellen. Sollte dies der Fall sein, muss Microsoft die Datenschutzerklärung entsprechend anpassen, indem der Verweis auf Safe Harbor durch die Nennung der konkreten ver- traglichen Garantien ersetzt wird.
35/38
Aufgrund der Auswertung der eingereichten Unterlagen und Dokumente gelangt der EDÖB zu einer kritischen Gesamtbeurteilung der Datenbearbeitung von Microsoft im Rahmen von Windows 10. Die Abklärungen haben gezeigt, dass die Datenbearbeitung nicht in allen Aspekten datenschutzkonform verläuft. Der EDÖB ist in seiner Kontrolle auf Sachverhalte gestossen, welche aus datenschutzrechtli- cher Sicht einer Verbesserung resp. Änderung bedürfen.
Ausgehend von diesem Gesamtbild erlässt der EDÖB zuhanden von Microsoft seine Gesamtbeurtei- lung in Form eins Schlussberichts mit Empfehlungen.
Der EDÖB hält fest, dass der Seitenaufbau und der Inhalt der Seiten „Schnell einsteigen“ und „Einstel- lungen anpassen“ nur beschränkt den Anforderungen an eine transparente Information genügen. Da- mit verletzt Microsoft die Grundsätze der Art. 4 Abs. 2 bis 4 DSG für eine transparente Datenbearbei- tung, für eine Bearbeitung nach Treu und Glauben und der Verhältnismässigkeit der Datenbearbei- tung. Dies zeigt sich unter anderem durch den Umstand, dass aus der Überschrift „Schnell einsteigen“ in keiner Weise geschlossen werden kann, dass mittels Klick auf den Button „Express-Einstellungen verwenden“ umfassende Datenbearbeitungen aktiviert werden.
Auf der Seite „Einstellungen anpassen“ werden den Benutzern zusätzlich diverse Einstellungsmög- lichkeiten präsentiert, welche aktiviert sind. Aus inhaltlicher Sicht fehlen auf der Seite „Einstellungen anpassen“ Informationen zur Speicherdauer der übermittelten Daten, zum Inhalt von Browserdaten sowie zum Inhalt von Feedback- und Diagnosedaten. Insbesondere erhalten die Benutzer keine Mög- lichkeit, bei den einzelnen Datenbearbeitungen auf weitergehende Informationen, z.B. auf die relevan- ten Passagen der Datenschutzerklärung, unkompliziert zuzugreifen. Weiter wird bei den Fehler- und Diagnosedaten nicht darauf hingewiesen, dass diese nicht vollständig ausgeschaltet werden können und welche Daten bei aktivierter Einstellung übermittelt werden.
Die Datenbearbeitungen im Rahmen von Windows 10 erachtet der EDÖB in inhaltlicher Hinsicht ver- hältnismässig, soweit sie den primären Zweck, ein sicheres und effizientes Betriebssystem anzubie- ten, betreffen. Die darüber hinaus gehenden Datenbearbeitungen (sowohl inhaltlich auch hinsichtlich weiterer Zwecke) stuft er jedoch, in Bezug auf den primären Zweck, als unverhältnismässig ein, so- dass sie einer besonderen Rechtfertigung bedürfen, welche sich nur durch Behebung der gerügten Transparenzmängel und einer Verbesserung der Einwilligungsmöglichkeiten herbeiführen lässt. In zeitlicher Hinsicht kann festgehalten werden, dass die Datenbearbeitungen im Rahmen von Windows 10 verhältnismässig sind.
Microsoft muss daher den Installationsprozess so anpassen, dass die Betroffenen ausreichend über die Datenbearbeitungen und Wahlmöglichkeiten informiert werden und von den Betroffenen für Datenbearbeitungen, die über das für das Bereitstellen eines aktuel- len und sicheren Betriebssystems Notwendige hinaus gehen und darüber hinaus besonders schützenswerte Daten oder Persönlichkeitsprofile zum Gegenstand haben, eine explizite Ein- willigung eingeholt wird.
36/38
Daher gelangt der EDÖB zu folgenden Empfehlungen für die Datenbearbeitung durch Microsoft im Rahmen von Windows 10:
Empfehlung Nr. 1: „Schnell einsteigen“ und „Einstellungen anpassen“ Microsoft passt die Installationsseiten „Schnell einsteigen“ und „Ein- stellungen anpassen“ so an, dass auf weitergehende Informationen zu den einzelnen Datenbear- beitungen (Bsp. Sprache, Eingabe, Freihand, Personalisierung etc.) zugegriffen werden kann, indem die relevanten Passagen in den Datenschutzbestimmungen jederzeit gut sichtbar zu- gänglich sind; diese erwähnen, dass die Daten in die USA und in weitere Län- der übermittelt werden und ein Link zu den relevanten Passa- gen in den Datenschutzbestimmungen gesetzt wird.
Empfehlung Nr. 2: „Schnell einsteigen“ Microsoft passt die Installationsseite „Schnell einsteigen“ dahingehend an, dass im neu zu formulierenden Titel der Seite zum Ausdruck kommt, dass dort eine explizite Einwilligung zu einer generellen Daten- übertragung an Microsoft abgegeben werden kann; die Benutzer über den Inhalt der Browserdaten und der voll- ständigen Feedback- und Diagnosedaten informiert werden; der Seitenaufbau den Benutzern ermöglicht, eine explizite Ein- willigung zur erwähnten generellen Datenübertragung an Microsoft abzugeben; die Benutzer durch einen zusätzlichen Button im unteren rech- ten Bereich auf die detaillierten Einstellungsmöglichkeiten ver- wiesen werden, der in seinem Erscheinungsbild ebenso promi- nent sein muss, wie der Button, der zur Einwilligung zur gene- rellen Datenübertragung verweist.
37/38
Empfehlung Nr. 3: „Einstellungen anpassen“ Microsoft passt die Installationsseite „Einstellungen anpassen“ so an, dass wo notwendig, eine explizite Einwilligung für die Datenbearbei- tungen eingeholt wird; die Benutzer über die Übermittlung von Daten im Rahmen von SmartScreen an Microsoft informiert werden; den Benutzern die Informationen zu den Datenübermittlung für die wählbaren Einstellungen „Fehler- und Diagnosedaten“ an- gezeigt werden; bei den „Fehler- und Diagnosedaten“ zum Ausdruck kommt, dass die entsprechenden Datenübertragungen an Microsoft nicht vollständig ausgeschaltet werden können; die Benutzer bei den Feedback- und Diagnosedaten die mini- malen Einstellungen in Bezug auf die zu übermittelnden Daten und die Feedbackhäufigkeit wählen können.
Empfehlung Nr. 4: Systemeinstellungen Microsoft passt die Seiten Einstellungen zum Datenschutz in den Sys- temeinstellung so an, dass auf weitergehende Informationen zu den einzelnen Datenbear- beitungen (Bsp. Sprache, Eingabe, Freihand, Personalisierung etc.) zugegriffen werden kann, indem die relevanten Passagen in den Datenschutzbestimmungen jederzeit gut sichtbar zu- gänglich sind (z.B. durch Verlinkung auf die jeweiligen Ausfüh- rungen in den Datenschutzbestimmungen).
Empfehlung Nr. 5: Datenschutzbestimmungen Die Datenschutzbestimmungen sind wie folgt zu ergänzen: für jede Datenkategorie durch Angaben über die Speicherdau- er.
Wie die in diesen Empfehlungen formulierten Vorgaben konkret umgesetzt werden, ist Sache von Microsoft. Im Rahmen der weiteren Zusammenarbeit und Nachkontrollen wird der EDÖB entspre- chende Umsetzungsvorschläge von Microsoft auf deren Datenschutzkonformität hin prüfen.
38/38
Der vorliegende Kontrollbericht enthält Feststellungen sowie Empfehlungen, welche vom EDÖB auf Basis der Sachverhaltsabklärung verfasst wurden. Der vorliegende Schlussbericht wird Microsoft zur Kenntnisnahme zugestellt. Innert Frist von 30 Tagen nach Zustellung hat Microsoft dem EDÖB mitzu- teilen, ob allfällige Bemerkungen dazu vorliegen und ob die Empfehlungen akzeptiert werden. Für den Fall, dass Microsoft diese nicht akzeptiert oder umsetzt, kann der EDÖB formelle Empfehlungen im Sinne von Art. 29 Abs. 3 DSG aussprechen und die Angelegenheit gegebenenfalls dem Bundesver- waltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).
Es besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für die vorliegende Art der Datener- hebung zu sensibilisieren und sie insbesondere über die erfolgte Datenschutzkontrolle im Rahmen von Windows 10 und die diesbezüglichen Ergebnisse zu informieren. Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB daher den vorliegenden Schlussbericht in einer angepassten und anonymisierten Ver- sion zu einem späteren Zeitpunkt publizieren. Selbstverständlich erfolgt die Publikation unter dem Vorbehalt, dass keine aus Sicht von Microsoft vertraulichen Daten, welche Geschäftsgeheimnisse offenbaren oder die Konkurrenzfähigkeit beeinflussen könnten, bekannt gegeben werden. Microsoft wird daher aufgefordert, den Schlussbericht auf solche vertraulichen Inhalte hin zu überprüfen und dem EDÖB mit Frist von 30 Tagen entsprechend schriftliche Rückmeldung zu erstatten.
Mit freundlichen Grüssen
Eidgenössischer Datenschutz- und Verfahrensleitender Jurist Öffentlichkeitsbeauftragter
Adrian Lobsiger Andreas Sidler
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch
Anhang zum Schlussbericht vom 25. Januar 2017
betreffend Abklärung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) gemäss Art. 29 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1)
im Zusammenhang mit der Datenbearbeitung der Microsoft Corporation im Rahmen
von Windows 10
2/8
6.1 Fortgang der Sachverhaltsfeststellung
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat bei Microsoft Corporati- on (nachfolgend „Microsoft“) eine Sachverhaltsabklärung zu den Datenbearbeitungen im Rahmen von Windows 10 durchgeführt. Mit Schlussbericht vom 19. August 2016 wurden Microsoft die dabei fest- gestellten Mängel in Form von informellen Empfehlungen unterbreitet verbunden mit dem Hinweis, diese in formeller Form zu erlassen und nötigenfalls bei Bundesverwaltungsgericht einzuklagen, sollte Microsoft sie nicht akzeptieren und umsetzen.
In der Folge fand am 12. Oktober 2016 eine Sitzung mit Microsoft in Bern statt. Unter Beisein der Her- ren David A. Heiner, VP & Deputy General Counsel, Law and Corporate Affairs, Microsoft, G.F. (Geff) Brown, Assistant General Counsel, Regulatory Affairs, Microsoft und Dr. iur. Jürg Schneider, Rechts- anwalt, Walder Wyss AG, wurden die Empfehlungen des EDÖB besprochen. Microsoft hat dem EDÖB dabei Vorschläge für die Umsetzung der Empfehlungen präsentiert.
Mit Schreiben vom 14. Oktober 2016 hat der EDÖB zu den Vorschlägen kurz Stellung genommen und einige Ergänzungen verlangt. Hierzu gehören Informationen zum SmartScreen und zur Verwendung Freihand-, Kalender- und Kontaktdaten. Mit Schreiben vom 30. November 2016 hat Microsoft bestä- tigt, dass Sie die Empfehlungen 1-8 umsetzen werden. Jedoch sei es technisch weder möglich eine aktuelle Version der Datenschutzerklärung in den Installationsprozess einzubinden [Empfehlung 1 und 4] noch die direkte Verlinkung auf die relevanten Passagen aus der „Learn More“ Seite [Empfehlung 1 und 4] hinaus. Zudem sei ein Hinweis auf SmartScreen im Browser (Internet Explorer und/oder Edge) nicht zielführend, da der Schutz über weitere Applikationen (Downloads und Internet-Aktivitäten aus- serhalb des Browsers) hinweg erfolgt und nicht nur bei Browseraktivitäten. Da Microsoft keine stan- dardmässig aktivierte Erhebung von Freihand-, Kalender- und Kontaktdaten in den neuen Versionen von Windows 10 macht, werden auch keine Ausführungen dazu auf der Wahlseite gemacht.
In der Folge fanden weitere Gespräche zur Umsetzung der beiden offenen Empfehlungen 1 und 4 sowie zur Informationen zur Datenbearbeitung im Rahmen von SmartScreen statt. Microsoft klärte deren Umsetzungsmöglichkeiten erneut ab. Die von Microsoft entwickelte Lösung zur Einbindung der aktuellen Datenschutzerklärung und die Verlinkung auf die jeweils relevanteste Passage zum Thema auf der „Learn More“ Seite erfüllt die Anforderungen des EDÖB vollständig. Zudem sollten die Nutzer über die Datenbearbeitung im Rahmen der Funktion SmartScreen auf der neuen Wahlseite „Choose privacy settings for your device“ und nachfolgend auf der „Learn More“ Seite informiert werden. Dies hielt der EDÖB in der E-Mail vom 21. Dezember 2016 fest. Mit Schreiben vom 5. Januar 2017 bestä- tigte Microsoft die Umsetzung der Vorschläge samt dem vorgesehenen Zeitplan.
Der vorliegende Anhang widerspiegelt die eingehende Prüfung der anlässlich der Sitzung vom 12. Oktober 2016 präsentierten Lösungsvorschläge von Microsoft, der vom EDÖB mit Schreiben vom 14. Oktober 2016 verlangten Ergänzungen sowie der schriftlichen Stellungnahme von Microsoft vom 30. November 2016 und vom 5. Januar 2017 zu den Empfehlungen vom 19. August 2016. Er bildet einen integralen Bestandteil des Schlussberichtes.
3/8
6.2 Empfehlung Nr. 1: „Schnell einsteigen“ und „Einstellungen anpassen“ und Empfehlung Nr. 4: „Systemeinstellungen“
6.2.1 Vorschlag Microsoft
Microsoft hat die Empfehlung Nr. 1 des EDÖB betreffend die auf den Installationsseiten „Schnell ein- steigen“ und „Einstellungen anpassen“ aufgeführten Informationen sowie die Empfehlung Nr. 4 hin- sichtlich Zugriff auf die relevanten Passagen in den Datenschutzbestimmungen akzeptiert. Microsoft schlägt vor, den Installationsprozess wie folgt abzuändern:
Allen Benutzern wird künftig nur noch eine Seite mit Einstellungsmöglichkeiten (Wahlseite „Choose privacy settings for your device“) angezeigt. Die bisherige Seite „Schnell einsteigen“, welche ein Fortsetzen des Installationsprozesses ohne Anzeigen von Informationen und Wahlmöglichkeiten ermöglichte, entfällt. Die Benutzer werden dreistufig über die einzelnen Datenbearbeitungen informiert: Auf der Wahlseite finden sich zu jedem Thema jeweils ein bis zwei Sätze pro gewählte Einstellung. Über den Button „Learn more“ gelangt man auf eine weitere Informationsseite, auf welcher die Bestimmungen der Datenschutzerklärung zusammengefasst und allgemein verständlich wie- dergegeben werden sollen. Mit dem Creators Update (Release erstes Halbjahr 2017) wird auf der „Learn More“ Seite eine URL der Datenschutzerklärung von Microsoft aufgeführt. Die Nutzer können diese URL auf al- len Geräten, die online sind, eingeben und haben auf diese Weise Zugang zu zusätzlichen In- formationen der aktuellen Version der Datenschutzerklärung von Microsoft. Mit dem Release Redstone 3 (Ende 2017) wird die generelle URL auf die Datenschutzerklä- rung allenfalls 1 entfernt und es werden Deep Links in den Hauptkapiteln der „Learn More“ Sei- te eingeführt, mit denen direkt auf die jeweils relevanteste Passage in der aktuell gültigen Da- tenschutzerklärung (Online) zugegriffen werden kann. Sollten Nutzer während der Installation nicht online sein, wird diesen eine Fehlernachricht zusammen mit der URL auf die Daten- schutzerklärung von Microsoft angezeigt. Eine frühere Umsetzung kann wegen den Anforde- rungen des Softwareentwicklungsprozesses insb. bzgl. Sicherheit, nicht gemacht werden. Der Hinweis auf die Datenübermittlung in die USA und weitere Länder findet sich sowohl auf der Seite „Learn more“ als auch in der Datenschutzerklärung.
6.2.2 Beurteilung des EDÖB
Mit der einheitlichen Wahlseite „Choose privacy settings for your device“ anstelle der bisherigen Seite „Schnell einsteigen“ wird verhindert, dass die Benutzer die relevanten Informationen übersehen und sich damit nicht im Klaren darüber sind, welche Datenbearbeitungen mit der Verwendung von Windows 10 verbunden sind. Das dreistufige Informationskonzept stellt die Informationen zudem in auf die Bedürfnisse der Nutzer zugeschnittener Art zur Verfügung: Die am Datenschutz wenig Interes- sierten erhalten auf der Wahlseite einen kurzen Überblick, während die Interessierten auf einfache Weise auf vertieftere Informationen zugreifen können. Durch den gut sichtbaren Button „Learn more“ gelangen sie auf die neue Seite „Learn More“, auf der die relevanten Passagen der Datenschutzerklä- rung zusammengefasst aufgeführt sind. Da die Informationen hier laiengerecht formuliert sind, müs-
1 Gemäss Schreiben vom 15. Februar 2017 möchte die Microsoft Corporation allenfalls den Link auf die generelle Datenschutzerklärung neben den zusätzlichen Deep Links auf der „Learn More“ Seite weiterhin aufführen.
4/8
sen sich die Benutzer zudem nicht durch seitenlange, in komplizierter Fachsprache verfasste Bestim- mungen kämpfen. Mit dem Release Redstone 3 (Ende 2017), haben die Nutzer die Möglichkeit, mit- tels Deep Link direkt zur relevantesten Passage in der aktuellen (Online) und ausführlichen Daten- schutzerklärungen zu gelangen. In der Zwischenzeit haben die Nutzer die Möglichkeit ebenfalls auf die Datenschutzerklärung zuzugreifen, benötigen jedoch dafür ein zweites Gerät, welches Online ist. Die etappenweise Umsetzung und die Anforderung, dass das Gerät bei der Installation Online ist, wiegen die Vorteile der angestrebten Lösung auf. Die Empfehlungen Nr. 1 und 4 werden mit diesem Vorgehen umgesetzt.
6.3 Empfehlung Nr. 2: „Schnell einsteigen“ und Empfehlung Nr. 3: „Einstellungen anpassen“; Wahlmöglichkeiten und Abgabe einer expliziten Einwilligung
6.3.1 Vorschlag von Microsoft
Microsoft hat die Empfehlung Nr. 2 und 3 des EDÖB hinsichtlich der mit beiden Empfehlungen ver- langten Wahlmöglichkeiten und der Abgabe einer expliziten Einwilligung akzeptiert. Microsoft schlägt vor, den Installationsprozess wie folgt anzupassen:
Der Titel der neu allen Benutzern angezeigten Wahlseite soll künftig „Choose privacy settings for your device“ heissen. Sämtliche Datenbearbeitungen sind standardmässig aktiviert, die Benutzer werden aber auf- gefordert, die gewünschten Einstellungen zu den einzelnen Bearbeitungskategorien zu wäh- len und diese Wahl mit „Accept“ 2 zu bestätigen. Wie bereits zur Empfehlung Nr. 1 ausgeführt werden die Benutzer mit einem dreistufigen In- formationskonzept mit den für die Wahl der Einstellungen und die Einwilligung notwendigen Informationen versorgt.
6.3.2 Beurteilung des EDÖB
Der EDÖB akzeptiert diesen Vorschlag. Die Empfehlung Nr. 2 wird damit umgesetzt, die Empfehlung Nr. 3 hinsichtlich der Wahlmöglichkeiten auch. Der Titel der neuen Wahlseite „Choose privacy settings for your device“ weist klar darauf hin, dass hier Datenschutzeinstellungen vorgenommen werden kön- nen. Anders als in der ursprünglich geprüften Version wird damit nicht mehr der Eindruck erweckt, es handle sich um vernachlässigbare und damit leicht zu überspringende Informationen. Die Vorausset- zungen für eine rechtsgültige Einwilligung nach Art. 4 Abs. 5 DSG werden ebenfalls erfüllt, indem die Betroffenen, wie bereits ausgeführt, ausreichend informiert werden und alternative Wahlmöglichkeiten haben, so dass ihre Wahl freiwillig erfolgt. Da die neue Wahlseite sämtlichen Benutzern angezeigt wird und die verfügbaren Informationen darauf gut auffindbar sind, entfällt auch die Forderung des EDÖB nach einem zusätzlichen Button, da sich diese auf die nicht mehr weiter existierende Seite „Schnell einsteigen“ bezogen hat. Der damit beabsichtigte Effekt, die verfügbaren Informationen bes- ser auffindbar zu machen, tritt mit der neuen Wahlseite ohnehin ein.
Bei Windows 10 sind sämtliche Datenbearbeitungen in den Grundeinstellungen aktiviert und müssen von den Benutzern, falls gewünscht, deaktiviert werden. Dies entspricht nicht einem für eine explizite
2 Gemäss Schreiben vom 15. Februar 2017 beschriftet die Microsoft Corporation den Button zur Zu- stimmung mit „Accept“ statt mit „Agree“.
5/8
Einwilligung nach herrschender Lehre und Praxis notwendigen Opt-In. Nachdem Microsoft die Installa- tion aber nicht unbesehen mit den Grundeinstellungen fortführen lässt, sondern einen zusätzlichen Button angebracht hat, mit dem jeder Benutzer die gewählten oder die unverändert übernommenen Einstellungen mit „Accept“ 3 bestätigen muss, gleicht das gewählte Vorgehen dem geforderten doch stark. Die Gefahr, dass die Benutzer unbewusst bestimmte Datenbearbeitungseinstellungen wählen, wird so bedeutend kleiner, da mit dem Beschriftung des Buttons klar wird, dass hier eine Wahl getrof- fen und diese bestätigt werden muss. Der EDÖB kann sich daher mit dem Vorschlag von Microsoft einverstanden erklären. Damit werden die Empfehlungen Nr. 2: „Schnell einsteigen“ und Nr. 3: „Ein- stellungen anpassen“; Wahlmöglichkeiten und Abgabe einer expliziten Einwilligung umgesetzt.
6.4 Empfehlung Nr. 2 und Empfehlung Nr. 3: „Einstellungen anpassen“; Fehler- und Diagno- sedaten sowie SmartScreen
6.4.1 Vorschlag von Microsoft
Microsoft hat die Empfehlung Nr. 3 des EDÖB hinsichtlich der Bearbeitung von Fehler- und Diagnose- daten und zur Information über SmartScreen akzeptiert. Microsoft schlägt vor, den Installationspro- zess wie folgt anzupassen:
Zur Verbesserung des Informationskonzepts siehe die Ausführungen zu Empfehlung Nr. 1. Die Benutzer haben die Wahl zwischen den Einstellungen „Full“ und „Basic“. Zu jeder Einstel- lung werden dem Benutzer jeweils die spezifischen Informationen angezeigt. Wählt der Be- nutzer die Einstellung „Basic“, wird im kurzen Informationstext auf der Wahlseite neu ange- zeigt, dass die Datenübermittlung auf das Notwendige beschränkt wird. Der Umfang der bei der Einstellung „Basic“ übermittelten Daten wird um 40-55% 4 reduziert. Die Einstellungsmöglichkeiten Feedbackhäufigkeit werden in die Einstellungen „Basic“ und „Full“ integriert. Integration der Informationen zu SmartScreen auf der Wahlseite „Choose privacy settings for your device“ sowie auf der „Learn More“ Seite.
6.4.2 Beurteilung des EDÖB
Der EDÖB akzeptiert diesen Vorschlag. Nebst der bereits unter Empfehlung Nr. 1 ausgeführten all- gemeinen Verbesserung der Information wird der Benutzer nun darauf hingewiesen, dass auch bei der Einstellung „Basic“ ein Mindestmass an Daten übermittelt wird. Damit entsteht nicht mehr der Ein- druck, die Datenübermittlung könne vollständig deaktiviert werden. Die Integration der Feedbackhäu- figkeit in die Einstellungen „Full“ und „Basic“ reduziert die Wahlmöglichkeiten jedoch ist es schlussend- lich verständlicher, so wird bei der Einschränkung des Umfangs der Diagnosedaten auch die Feed- backhäufigkeit auf das Level „Basic“ eingeschränkt. Zudem hat Microsoft den Umfang der standard- mässig übermittelten Daten in der in der Einstellung „Basic“ überprüft und in der Folge um 40 – 55% 5
3 Gemäss Schreiben vom 15. Februar 2017 beschriftet die Microsoft Corporation den Button zur Zu- stimmung mit „Accept“ statt mit „Agree“. 4 Gemäss Schreiben vom 15. Februar 2017 reduziert die Microsoft Corporation die standardmässig übermittelten Daten um 40 - 55% anstelle der vom EDÖB verlangten 40 - 45%. 5 Gemäss Schreiben vom 15. Februar 2017 reduziert die Microsoft Corporation die standardmässig übermittelten Daten um 40 - 55% anstelle der vom EDÖB verlangten 40 - 45%.
6/8
reduziert. Damit kommt Microsoft den Anforderungen des Verhältnismässigkeitsgrundsatzes nach, dass das nicht durch die Benutzer beeinflussbare Datenset auf das für den sicheren Betrieb der ge- samten Windows 10 Systemlandschaft notwendige Mindestmass reduziert wird.
Mit der Informationen über SmartScreen auf der „Choose privacy settings for your device“ und weite- ren Information auf der Seite „Learn More“ kommt Microsoft der Anforderungen zur Information der Nutzer über die Datenbearbeitung nach. Da SmartScreen keine Funktion des Betriebssystems im engeren Sinne ist, kann von der Einstellungsmöglichkeit im Rahmen des Installationsprozesses ange- sehen werden. Dies jedoch nur unter der Voraussetzung, dass die Nutzer über die Datenbearbeitung und die Einstellungsmöglichkeiten informiert werden. Anstelle einer Information bei verschiedenen Applikationen, bei welchen SmartScreen neben dem Browser verwendet wird, bietet sich die zentrale Information darüber im Rahmen des Setupprozesses an.
Die Empfehlung Nr. 2 und 3 wird damit hinsichtlich der Bearbeitung von Feedback- und Diagnoseda- ten sowie hinsichtlich der Datenbearbeitung im Rahmen von SmartScreen umgesetzt.
6.5 Empfehlung Nr. 5: Datenschutzbestimmungen
6.5.1 Vorschlag von Microsoft
Microsoft hat die Empfehlung Nr. 5 des EDÖB akzeptiert und schlägt vor, sie wie folgt umzusetzen:
Microsoft führt die Kriterien, aufgrund derer die Speicherdauer der einzelnen Datenkategorien festgelegt werden, transparent in der Datenschutzerklärung auf.
Microsoft führt dazu auf, dass eine strikte Fixierung der Speicherdauer für die einzelnen Datenkatego- rien nicht möglich ist, da sich die Zwecke der Datenbearbeitungen überschneiden und die Daten in für den jeweiligen Zweck getrennten Systemen geführt werden. Speicherdauern können zudem immer wieder ändern, was eine konkrete Angabe in Tagen oder Monaten verwirrend und damit nicht zielfüh- rend machen würde. Die Angabe der Kriterien, aufgrund derer die Speicherdauer festgelegt wird, er- möglicht eine Bestimmung der konkreten Speicherdauer und ist deutlich übersichtlicher für die Benut- zer. Microsoft berücksichtigt dabei unter anderem die Speicherdauer, die nötig ist, um die verschiede- nen Dienstleistungen zu erbringen; angemessene Aufbewahrungsdauer der Geschäfts- und Finanzun- terlagen für die Geschäfte von Microsoft; ob es eine automatische Kontrolle gibt, die es dem Nutzer ermöglicht, die Personendaten jederzeit abzurufen und zu löschen sowie die Sensibilität der Daten.
6.5.2 Beurteilung des EDÖB
Wenngleich die Angabe einer fixen Speicherdauer zu bevorzugen wäre, sind die von Microsoft vorge- brachten Gründe, stattdessen die Kriterien für die Speicherdauer anzugeben, nachvollziehbar. Die Benutzer erhalten auf diese Weise eine Vorstellung darüber, wie lange ihre Daten gespeichert wer- den, was für den Entscheid darüber, einer bestimmten Datenbearbeitung zuzustimmen, ausreichend ist. Dieser Vorschlag steht auch in Einklang mit der neuen EU Datenschutzgrundverordnung, welche eben diese Lösung für den Fall, dass die Nennung fixer Aufbewahrungsfristen nicht möglich ist, aus- drücklich vorsieht. Der EDÖB akzeptiert daher diesen Vorschlag von Microsoft. Die Empfehlung Nr. 5 wird damit umgesetzt.
7/8
6.6 Resultat der Sachverhaltsfeststellung und Weiteres Vorgehen
6.6.1 Vorzunehmende Änderungen an den Datenbearbeitungen
Microsoft wird die Datenbearbeitung im Rahmen von Windows 10 wie folgt abändern:
Allen Benutzern wird künftig nur noch eine Seite mit Einstellungsmöglichkeiten (Wahlseite) angezeigt. Der Titel der neu allen Benutzern angezeigten Wahlseite soll künftig „Choose pri- vacy settings for your device“ heissen. Die bisherige Seite „Schnell einsteigen“, welche ein Fortsetzen des Installationsprozesses ohne Anzeigen von Informationen und Wahlmöglichkei- ten ermöglichte, entfällt.
Die Benutzer werden dreistufig über die einzelnen Datenbearbeitungen informiert: Auf der Wahlseite finden sich zu jedem Thema jeweils ein bis zwei Sätze pro gewählte Einstellung, welche bei der Änderung der einzelnen Einstellungen mit weiteren Informationen ergänzt wer- den. Zudem werden die Nutzer auf der Wahlseite auf die weitergehenden Informationen zu den einzelnen Einstellungen und die Datenbearbeitung durch Windows Defender Smart- Screen auf der Seite „Learn More“ und hingewiesen.
Über den Button „Learn more“, welcher prominent neben dem Button „Accept“ 6 angeordnet ist, gelangt man auf eine weitere Informationsseite, auf welcher die Bestimmungen der Daten- schutzerklärung zu den fünf Einstellungen sowie zum SmartScreen zusammengefasst und allgemein verständlich wiedergegeben werden sollen.
Auf der Seite „Learn More“ wird mit dem Creators Update (Release erstes Halbjahr 2017) eine generelle URL auf die Datenschutzerklärung von Microsoft eingefügt. Nutzer können diese URL auf allen Geräten die Online sind, eingeben und haben auf diese Weise Zugang zu zu- sätzlichen Informationen der aktuellen Datenschutzerklärung.
Mit der Version Redstone 3 von Windows 10 (Release Ende 2017) wird die generelle URL auf die Datenschutzerklärung allenfalls 7 entfernt und es werden Deep Links in den Hauptkapiteln der „Learn More“ Seite eingeführt, mit denen direkt auf die zum Kapitel relevanteste Passage in der aktuell gültigen Datenschutzerklärung (Online) zugegriffen werden kann.
Der Hinweis auf die Datenübermittlung in die USA und weitere Länder findet sich sowohl auf der Seite „Learn more“ als auch in der Datenschutzerklärung.
Sämtliche Datenbearbeitungen sind standardmässig aktiviert, die Benutzer werden aber auf- gefordert, die gewünschten Einstellungen zu den einzelnen Bearbeitungskategorien zu wäh- len und diese Wahl mit „Accept“ 8 zu bestätigen.
6 Gemäss Schreiben vom 15. Februar 2017 beschriftet die Microsoft Corporation den Button zur Zu- stimmung mit „Accept“ statt mit „Agree“. 7 Gemäss Schreiben vom 15. Februar 2017 möchte die Microsoft Corporation allenfalls den Link auf die generelle Datenschutzerklärung neben den Deep Links auf der „Learn More“ Seite weiterhin auf- führen. 8 Gemäss Schreiben vom 15. Februar 2017 beschriftet die Microsoft Corporation den Button zur Zu- stimmung mit „Accept“ statt mit „Agree“.
8/8
Die Benutzer haben bei der Bearbeitung der Feedback- und Diagnosedaten die Wahl zwi- schen den Einstellungen „Full“ und „Basic“. Zu jeder Einstellung werden dem Benutzer jeweils die spezifischen Informationen angezeigt. Wählt der Benutzer die Einstellung „Basic“, wird im kurzen Informationstext auf der Wahlseite neu angezeigt, dass die Datenübermittlung auf das notwendige Mindestmass beschränkt wird.
Der Umfang der bei der Einstellung „Basic“ übermittelten Daten wird um 40 - 55% 9 reduziert.
Die Einstellungsmöglichkeiten Feedbackhäufigkeit werden in die Einstellungen „Basic“ und „Full“ integriert.
Microsoft führt die Kriterien, aufgrund derer die Speicherdauer der einzelnen Datenkategorien festgelegt werden, transparent in der Datenschutzerklärung auf.
Microsoft passt damit die Datenbearbeitungen im Rahmen von Windows 10 den Forderungen des EDÖB an und erfüllt so die Empfehlungen vom 19. August 2016. Der EDÖB schliesst damit die vorlie- gende Sachverhaltsabklärung ohne Erlass formeller Empfehlungen einstweilen ab.
6.6.2 Weiteres Vorgehen
Microsoft wird dazu aufgefordert, die in der vorstehenden Ziffer aufgezählten Änderungen mit Aus- nahme der Ziffer 5 (Release Ende 2017) wie vereinbart im Creators Update (Release erstes Halbjahr 2017) umzusetzen. Der EDÖB wird im Rahmen einer späteren Nachkontrolle diese Umsetzung prü- fen, insbesondere auch hinsichtlich der Seite „Learn more“.
Der EDÖB wird gestützt auf Art. 30 Abs. 2 DSG den Schlussbericht zusammen mit dem Anhang in einer angepassten Version publizieren. Microsoft hat die Möglichkeit dem EDÖB bis zum 15. Februar 2017 eine Rückmeldung betreffend vertraulicher Inhalte im vorliegenden Anhang zum Schlussbericht zu geben.
Mit freundlichen Grüssen
Eidgenössischer Datenschutz- und Verfahrensleitender Jurist Öffentlichkeitsbeauftragter
Adrian Lobsiger Andreas Sidler
9 Gemäss Schreiben vom 15. Februar 2017 reduziert die Microsoft Corporation die standardmässig übermittelten Daten um 40 - 55% anstelle der vom EDÖB verlangten 40 - 45%.