Der sogenannte „erweiterte Support“ von Windows 7 und Server 2008/R2 wurde durch Microsoft offiziell am 14. Januar 2020 beendet. Der erweiterte Support für die Anwendung Office 2010 endet am 13. Oktober 2020. Auf dem regulären Weg werden nach dem jeweiligen Datum keine (kostenlosen) Updates für diese Systeme mehr zur Verfügung gestellt.
Ohne die entsprechenden Sicherheitsupdates wären diese Softwarelösungen jedoch ein gravierendes Sicherheitsrisiko und würden nicht mehr den Anforderungen der Artt. 25 Abs. 1 sowie 32 DS-GVO entsprechen, da bei ihrem Einsatz der aktuelle Stand der Technik nicht berücksichtigt wird und das System jeweils nicht geeignet ist, ein dem Risiko für Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten, soweit personenbezogene Daten auf den Systemen verarbeitet werden.
Dennoch beträgt nach Angaben der Statista GmbH z.B. der Marktanteil von Windows 7 zum aktuellen Zeitpunkt 25,59 % der führenden Betriebssysteme weltweit (Stand: Mai 2020). Server 2008/R2 ist auch weiterhin im Einsatz auf vielen Rechnern genauso wie die Anwendung Office 2010. Und auf vielen dieser Systeme werden personenbezogene Daten verarbeitet, so dass man diese Systeme nicht mehr ohne weiteres datenschutzkonform einsetzen kann, ohne dass für die Systemsicherheit gesorgt wird.
Zwar kursieren im Netz diverse Anleitungen, die zeigen, wie der Betrieb von Windows 7 trotz des Supportendes angeblich sicher gestaltet werden kann. Jedoch ist all diesen Anleitungen gemeinsam, dass sie sich eher an Privatanwender richten, die das Betriebssystem in einer virtuellen Umgebung ohne Internetanschluss für rein private Zwecke und ohne Verarbeitung sensibler Daten weiter nutzen möchten. Für Unternehmen ist diese Art des Einsatzes des Betriebssystems in der Regel keine Option und insbesondere im Hinblick auf Ransomware-Attacken, denen das Betriebssystem jeweils schutzlos ausgeliefert wäre, ein zu großes Risiko. Das Ausnutzen solcher Systemschwachstellen lässt sich auch nicht durch Verwendung von Schutzsoftware, wie beispielsweise einer Antiviruslösung, verhindern, zumal auch diese mittelfristig für Windows 7 nicht mehr in aktueller Version erhältlich sein dürfte.
Das Risiko im Zusammenhang mit der veralteten Software wird oft in kleineren Betrieben, Arztpraxen, Apotheken oder Kanzleien, die nicht über eine eigene IT-Abteilung verfügen, unterschätzt.
Verzicht auf die alten Systeme nicht möglich?
Bei manchen Unternehmen ist der Ersatz von alten Systemen als produktives System aus unterschiedlichen Gründen überhaupt nicht möglich. Hier muss es auch nach dem 14 Januar 2020 weitergehen können.
Dieses Bedürfnis hat der Hersteller Microsoft erkannt und bietet seinen Kunden die Möglichkeit auch nach dem offiziellen Supportende Sicherheitsupdates im Rahmen des sogenannten Extended Security Update-Programms (ESU) zu erhalten. Dieser Herstellerservice ist allerdings nicht kostenlos und betrifft nur die Systeme Windows 7 und Server 2008/R2. Für Office 2010 wird es nach Aussage von Microsoft nach dem 13. Oktober 2020 keinen Support mehr geben – auch nicht mit kostenpflichtigen Sicherheitsupdates.
Zu beachten ist dabei, dass die Abrechnung im Rahmen des ESU-Programms pro Client erfolgt, so dass bei einer großen Anzahl der mit den Sicherheitsupdates zu versorgenden Rechnern die Verantwortlichen mit erheblichen Kosten zu rechnen haben. Die Berliner Stadtverwaltung hatte beispielsweise nach Informationen des Tagesspiegels die Sicherheitsupdates für rund 20.000 Arbeitsplätze, die mit dem veralteten Betriebssystem ausgestattet waren, zum Preis von rund 1 Mio. Euro eingekauft.
Gibt es Alternativen und was halten die Aufsichtsbehörden davon?
In seinen Hinweisen bezüglich der Alternativen zu Windows 7 empfiehlt Microsoft, auf Windows 10 umzusteigen. Soweit man insbesondere die Kosten für das ESU-Programm scheut und auch nicht bereit oder in der Lage ist, auf ein anderes Betriebssystem, wie beispielsweise Linux umzusteigen, führt kein Weg an den aktuellen Produkten von Microsoft und zwar an Windows 10 vorbei.
Allerdings ist beim Umstieg auf das aktuelle System von Microsoft Windows 10 zu beachten, dass sich nicht jede Version des Betriebssystems aus Sicht der Aufsichtsbehörden sich für einen datenschutzkonformen Einsatz in einem Unternehmen eignet.
Hierzu haben die Aufsichtsbehörden eine Orientierungshilfe und ein Prüfschema für den Einsatz von Windows 10 veröffentlicht. Die Verantwortlichen, die Windows 10 einsetzen oder dessen Einsatz beabsichtigen, können anhand des Prüfschemas die Einhaltung der rechtlichen Vorgaben prüfen und dokumentieren.
Bezüglich der technischen Aspekte gibt es in der Anlage 1 zu der Orientierungshilfe der Aufsichtsbehörden vertiefende Erläuterungen der Begriffe und Sachverhalte der einzelnen Abschnitte der Orientierungshilfe. Ein wesentliches Problem sind dabei die Telemetriedaten, die sich aber zumindest in der Windows 10 Enterprise Edition nach Informationen des Bayrischen Landesamts für Datenschutzaufsicht (BayLDA) deaktivieren lassen (hierzu vgl. den Tätigkeitsbericht des BayLDA für das Jahr 2019, S. 22)
Für Office 2010 gibt es bei Microsoft verschiedene Alternativen. Zu nennen wären hier insbesondere die aktuellen Lösungen Office 365 und Office 2019. Allerdings stößt bei den Aufsichtsbehörden vor allem die Anwendung Office 365 auf Kritik. So teilte zum Thema Office 365 Mitte 2019 der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in seiner Pressemitteilung mit, dass der Einsatz von Office 365 in den Schulen datenschutzkonform nicht möglich und damit unzulässig wäre.
Nachdem intensive Gespräche mit Vertretern von Microsoft stattgefunden hatten, teilte der HBDI in seiner zweiten Stellungnahme mit, dass Microsoft viele Bedenken, die bis dahin bestanden haben, habe entkräften können, so dass der Einsatz der Cloud-Anwendung Office 365 in der Version ab 1904 (namentlich wurden dabei Office 365 ProPlus, Office 365 Online sowie Office 365 Apps genannt) auf Vertrauenserwägungen basierend geduldet werden könne. Da sich auch diese Aussage auf Schulen bezog, in denen die Daten besonders schutzwürdiger Personen (Minderjährige) verarbeitet werden, gehen wir davon aus, dass sie für „normale“ Unternehmen erst recht gilt.
Eines der größten Probleme, warum die Anwendungen von Office 365 zum Teil nicht datenschutzkonform eingesetzt werden können, ist, dass Microsoft durch die Verwendung von personenbezogenen Daten für eigene Zwecke selbst zum Verantwortlichen wird und die Datenverarbeitung auf der Grundlage eines Auftragsverarbeitungsvertrages nicht abgewickelt werden kann. Diesbezüglich liegt stattdessen eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DSGVO vor. Für diesen Fall wäre gemäß Art. 26 DSGVO eine Vereinbarung zu schließen, die von Microsoft aktuell jedoch nicht angeboten wird. Bei diesem Punkt hat Microsoft nach Informationen von Heise angekündigt, nachzubessern. Künftig sollen mit neuen Vertragsbedingungen die bestehenden Schwachstellen im Bereich des Datenschutzes geschlossen werden, den Kunden eine datenschutzkonforme Nutzung der Systeme ermöglicht werden und dafür die erforderlichen datenschutzrechtlichen Instrumente (gegebenenfalls auch eine Vereinbarung nach Art. 26 DSGVO) zur Verfügung gestellt werden. Bisher ist jedoch nicht bekannt, in welcher Form diese Schwachstellen geschlossen wurden. Der Einsatz der Systeme von Microsoft und insbesondere von Office 365 ist daher aktuell aus datenschutzrechtlicher Sicht mit gewissen Risiken verbunden.
Soweit Office 2010 nach dem Supportende nicht durch ein Produkt von Microsoft ersetzt werden soll, bietet der Markt auch andere Office-Anwendungen, die teilweise sogar kostenlos im gewerblichen Bereich eingesetzt werden können. Diese könnten durch regelmäßige Updates nicht nur für Sicherheit, sondern auch für erhebliche Kosteneinsparungen in einem Unternehmen sorgen. Zu nennen wären hier beispielhaft solche Lösungen wie OpenOffice und LibreOffice. Diese Office-Anwendungen sind für verschiedene Betriebssysteme verfügbar. Dazu gehören auch die Betriebssysteme von Microsoft. Soweit keine Funktionen, die nur in den Office-Anwendungen enthalten sind, genutzt werden müssen, können die Alternativen Open- und LibreOffice ein guter Ersatz für die Microsoft Produkte sein.
Fazit
Mit dem erweiterten Supportende enden zwar die kostenlosen Updates für die Betriebssysteme Windows 7 und Server 2008/R2, jedoch können Verantwortliche die Systeme zumindest für einige Jahre noch – wenn auch kostenpflichtig – mit Sicherheitsupdates im Rahmen des ESU-Programms versorgen.
Dabei ist zu bedenken, dass die Systeme, spätestens wenn das ESU-Programm nicht mehr angeboten wird, aktualisiert werden müssen. Anderenfalls drohen den Verantwortlichen insbesondere bei Datenpannen, die aufgrund der veralteten Systeme entstehen, erhebliche Bußgelder und gegebenenfalls Schadensersatzansprüche betroffener Personen. Es kann den Verantwortlichen nur empfohlen werden, die Systeme innerhalb der „Verlängerungszeit“ zu aktualisieren, um nicht ähnlich wie damals bei der Einführung der DSGVO am 25.05.2018 ein böses Erwachen zu erleben, als dann vielen plötzlich klar wurde, dass es die Übergangsfrist bereits abgelaufen war.
Sie möchten Ihr bestehendes IT-Management auf Herz und Nieren prüfen? Sprechen Sie uns an, wir helfen Ihnen gerne!