Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch
Schlussbericht
(inkl. Anhang vom 25. Januar 2017 und Formulierungsvorschläge der Microsoft Corporation vom 30. November 2016) vom 19. August 2016
betreffend Abklärung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) gemäss Art. 29 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1)
im Zusammenhang mit der Datenbearbeitung der Microsoft Corporation im Rahmen
von Windows 10
2/38
Inhaltsverzeichnis 1. Einleitung ........................................................................................................................................... 3 1.1 Vorgeschichte ......................................................................................................................... 3 1.2 Umfang der Kontrolle ................................................................................................................ 3 1.3 Chronologie der Kontrolle ......................................................................................................... 4 2. Sachverhalt ........................................................................................................................................ 5 2.1 Sachverhaltsfeststellung vom 23. März 2016 ........................................................................... 5 2.2 Windows 10 als Online-Service ................................................................................................ 6 2.3 Erfasste und übermittelte Daten ............................................................................................... 7 2.4 Installationsprozess und dabei vermittelte Informationen ....................................................... 11 3. Datenschutzrechtliche Beurteilung ............................................................................................... 15 3.1 Bearbeitung von Personendaten und Persönlichkeitsprofilen ................................................ 15 3.2 Zweck der Datenbearbeitung .................................................................................................. 18 3.3 Bearbeitung nach Treu und Glauben / Transparenz .............................................................. 19 3.4 Verhältnismässigkeit der Datenbearbeitung ........................................................................... 23 3.4.1 Verhältnismässigkeit in inhaltlicher Hinsicht ................................................................. 23 3.4.2 Verhältnismässigkeit in zeitlicher Hinsicht .................................................................... 25 3.5 Rechtfertigungsgründe ............................................................................................................ 31 3.5.1 Überwiegendes privates Interesse ............................................................................... 31 3.5.2 Einwilligung ................................................................................................................... 31 3.5.3 Mögliche künftige Einwilligung der Betroffenen unter Behebung der festgestellten Transparenzmängel ...................................................................................................... 33 3.6 Datenübermittlung in die USA ................................................................................................. 33 4. Ergebnisse ....................................................................................................................................... 34 5. Verfahren und weiteres Vorgehen ................................................................................................. 38
3/38
1. Einleitung 1.1 Vorgeschichte Microsoft Corporation (nachfolgende „Microsoft“) hat am 29. Juli 2015 das Betriebssystem Windows 10 lanciert. Der EDÖB wurde durch die darauf erfolgte Medienberichterstattung sowie durch Anfragen von Bürgern darauf aufmerksam gemacht, dass Microsoft bei den Nutzern von Windows 10 möglicherweise übermässig viele Daten erhebe und dabei auch weitere Grundsätze des Datenschutzes nicht einhalte. So würden den Nutzern Schnelleinstellungen angeboten, welche eine umfassende Datenübermittlung standardmässig aktivieren, ohne dass dies für den Betrieb von Windows 10 notwendig wäre. Die Datenerfassung erfolge direkt auf den einzelnen Geräten, ohne dass die Nutzer ausreichend darüber informiert würden. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) klärt von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Bewahrheiteten sich die kolportierten Bedenken, wären die standardmässig umfassenden Datenerhebung und –übermittlungen im Rahmen von Windows 10 geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Dies hat den EDÖB am 18. August 2015 dazu veranlasst, eine Sachverhaltsabklärung gemäss Art. 29 des Bundesgesetzes über den Datenschutz (DSG; SR 235.1) einzuleiten und die Datenbearbeitungen auf ihre Konformität mit dem DSG hin zu überprüfen.
1.2 Umfang der Kontrolle Die Datenschutzkontrolle bezog sich auf die Datenbearbeitung im Rahmen des Betriebssystems Windows 10 (consumer version). Windows 10 als Betriebssystem zeichnet sich dadurch aus, dass es nicht als statisches Software-Programm auf dem Gerät installiert wird. Die Schlüsselkomponenten von Windows 10 basieren neu auf der Microsoft Cloud und ermöglichen so eine Datensynchronisierung zwischen unterschiedlichen Geräten. Sowohl Elemente in der Cloud als auch lokale Elemente von Windows werden regelmässig aktualisiert, um allen Benutzern die neuesten Verbesserungen und Features gleichzeitig zur Verfügung zu stellen. Zudem können die Benutzer mit Hilfe diverser Apps zusätzliche Funktionen nutzen. Gerade die starke Verknüpfung des Betriebssystems mit der Microsoft Cloud und diversen zusätzlichen Apps, aber auch die Einführung eines neuen persönlichen Assistenten – genannt „Cortana“ – bringen eine Reihe von neuen Datenbearbeitungen und Berührungspunkten mit den Persönlichkeitsrechten der betroffenen Nutzer mit sich. Microsoft bietet daher eine Reihe von Einstellungen an, mit denen man festlegen kann, wie Informationen für personalisierte Dienste und Angebote in Windows 10 genutzt werden dürfen. Vor diesem Hintergrund hat der EDÖB im Rahmen seiner Abklärungen den Fokus auf die Verhältnismässigkeit, die Transparenz und die Rechtfertigung der für die durchschnittlichen Benutzer erkennbaren Datenbearbeitung gelegt. Eine vertiefte technische Analyse der Programme und maschinellen Prozesse wurde nicht durchgeführt, zumal das neue Konzept des Betriebssystems ohnehin laufend Anpassungen und Änderungen von technischen Funktionen und Routinen erlaubt.
4/38
Der EDÖB hat folgende Aspekte der Datenbearbeitungen im Rahmen von Windows 10 geprüft:
1. Kategorien der erfassten und übermittelten Daten 2. Zweck der Datenbearbeitungen 3. Information über die Datenbearbeitungen 4. Einstellungsmöglichkeiten der Datenbearbeitung 5. Einwilligung der Betroffenen in die Datenbearbeitungen
Der EDÖB hat seine im Rahmen dieser Kontrolle gemachten Feststellungen schriftlich festgehalten (Sachverhaltsfeststellung vom 24. März 2016). Grundlage für den vorliegenden Schlussbericht bildet diese Sachverhaltsfeststellung. Er basiert daher auf den Erkenntnissen aus der Installation und dem Betrieb von Windows 10 Pro 32bit Produktversion 10.0.10240.16384, den auf der Webseite von Microsoft verfügbaren Informationen sowie den Antworten der Microsoft Corporation auf den Fragekatalog und die Ergänzungsfragen wie sie sich am EDÖB am 24. März 2016 präsentiert haben. Die nach diesem Datum über Update allfällig erfolgten Anpassungen in den Datenbearbeitungen wurden nicht überprüft. Datenbearbeitungen im Rahmen der Enterprise Versionen von Windows 10, weiterer Unterversionen (z.B. Mobile) oder der zusätzlich zum Betriebssystem verwendeten Apps und des Microsoft-Accounts waren nicht Gegenstand der vorliegenden Sachverhaltsabklärung.
1.3 Chronologie der Kontrolle 18.08.2015 Ankündigung der Sachverhaltsabklärung inkl. Fragekatalog 24.08.2015 Fristverlängerungsgesuch der Microsoft Corporation 28.08.2015 Fristverlängerung gewährt bis am 17.September 2015 16.09.2015 Fristverlängerungsgesuch der Microsoft Corporation 24.09.2015 Zustellung der Antworten der Microsoft Corporation auf den Fragenkatalog durch Microsoft Schweiz GmbH 01.12.2015 Schreiben von Microsoft Corporation betreffend fehlerhaftem Update für Windows 10 mit Erklärung der getroffenen Massnahmen 14.12.2015 Versand Ergänzungsfragen an Microsoft Corporation 14.01.2016 Fristverlängerungsgesuch der Microsoft Corporation 18.01.2016 Fristverlängerung gewährt bis am 4. Februar 2016 03.02.2016 Zustellung der Antworten der Microsoft Corporation1 auf die Ergänzungsfragen durch Microsoft Schweiz GmbH 24.03.2016 Versand Sachverhaltsfeststellung an Microsoft Corporation 03.05.2016 Zustellung der Korrektur-, Ergänzungs- und Änderungsanträge zur Sachverhaltsfeststellung der Microsoft Corporation durch Walder Wyss AG inkl. Vertretungsvollmacht 19.08.2016 Zustellung des Entwurfs des Schlussberichts an Microsoft Corporation zur Stellungnahme mit Ansetzung einer Frist von 30 Tagen nach Erhalt
1 Ergänzt mit Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. Dieser und die folgenden übernommenen Vorschläge und Ergänzungen sollen primär dem besseren Verständnis dienen.
5/38
2. Sachverhalt
2.1 Sachverhaltsfeststellung vom 24. März 2016 Der EDÖB hat seine Feststellungen zum Sachverhalt schriftlich festgehalten und Microsoft am 24. März 2016 zustellen lassen. Zwecks Ergänzung des in diesem Bericht wiedergegebenen Sachverhalts kann vollumfänglich auf diese Sachverhaltsfeststellung vom 24. März 2016 verwiesen werden. Microsoft hat dem EDÖB daraufhin ihre Änderungs- und Korrekturvorschläge mit Schreiben vom 2. Mai 2016 in englischer Sprache mitgeteilt. Diese Vorschläge wurden im vorliegenden Schlussbericht übernommen, sofern nachfolgend keine Differenz ausgewiesen wird. Differenzen bestehen noch hinsichtlich folgender Punkte:
1. Microsoft Corporation hat mitgeteilt, dass die Microsoft Schweiz GmbH nicht Dateninhaberin sei und keine Daten im Rahmen von Windows 10 bearbeite. Damit habe Microsoft Schweiz GmbH in diesem Zusammenhang keinerlei Verpflichtungen und erfülle lediglich die Aufgabe, den Schriftenwechsel mit dem EDÖB entgegen zu nehmen und weiterzuleiten. Gemäss bundesgerichtlichen Rechtsprechung2 muss für die Zuständigkeit des EDÖB in einer Angelegenheit ein überwiegender Anknüpfungspunkt zur Schweiz gegeben sein. Das Datenschutzrecht bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden3. Unter Bearbeitung von Personendaten ist nach Art. 3 lit. e DSG jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten zu verstehen. Dies ist vorliegend der Fall, da Informationen über Personen in der Schweiz durch ein in der Schweiz eingesetztes Betriebssystem erfasst und ins Ausland übermittelt werden. Dass die Informationen im Ausland weiterbearbeitet werden, ändert nichts daran, dass eine allfällige Persönlichkeitsverletzung mittels in der Schweiz erfassten Informationen in der Schweiz eintritt. Die Beurteilung solcher Verfahren gehören zum Aufgabenkreis des EDÖB4. Dazu gehört unter anderem auch die Bekanntgabe solcher Daten ins Ausland5. Somit erachtet sich der EDÖB für die Abklärung der Datenschutzkonformität der Datenbearbeitung von Microsoft Corp. als zuständig. Er nimmt von den Ausführungen zur Qualifikation der Microsoft Schweiz GmbH als „Briefbotin“ Kenntnis und behält sich vor, wenn nötig auch eine Empfehlung an diese zu erlassen.
2 BGE 138 II 346 E. 3.2f S. 352f. 3 Art. 1 DSG. 4 Art. 29 DSG. 5 Art. 6 Abs. 1 DSG; EPINEY/FASNACHT, in: Datenschutzrecht, Belser/Epiney/Waldmann [Hrsg.], 2011, S. 559 ff.; PHILIPPE MEIER, Protection des données, 2011, S. 436 ff.; ANDRÉ THALMANN, Zur Anwendung des schweizerischen Datenschutzgesetzes auf internationale Sachverhalte, sic! 13/2007 S. 341 f.
6/38
2. In Abweichung der ursprünglichen Angaben, wonach Daten zu installierten Updates während 13 Monaten gespeichert würden, hat Microsoft Corporation diese Speicherdauer in den Ausführungen vom 2. Mai 2016 gestrichen. Sie hat aber weder diese Streichung begründet noch eine neue Speicherdauer genannt. Daher muss der EDÖB in den nachfolgenden Ausführungen nach wie vor von einer Speicherdauer von 13 Monaten ausgehen. Die Frage nach der tatsächlichen Speicherdauer kann aber letztendlich offen bleiben, da sie sich nicht auf die rechtliche Beurteilung dieser Datenbearbeitung auswirkt. Die Differenz wird hier lediglich der Vollständigkeit halber aufgeführt.
2.2 Windows 10 als Online-Service Microsoft hat Windows 10 dem modernen Nutzerverhalten angepasst und bietet Windows „as a Service“ an. Diesem Konzept liegt zugrunde, dass Funktionen einfach nachgerüstet werden können und dann sofort allen Nutzern gleichzeitig zur Verfügung stehen. So soll künftig den Nutzern das Betriebssystem 6 in der aktuellen Fassung bereitgestellt werden. Weiter kommt hinzu, dass - anders als noch vor ein paar Jahren - viele Nutzer mehrere und unterschiedliche Geräte im Einsatz haben: Nebst einem stationären PC oder einem Laptop benutzen sie Tablets und Smartphones, und es besteht das Bedürfnis, Daten über jedes dieser Geräte zu synchronisieren. So soll z.B. von überall her auf Dokumente und Kontaktdaten zugegriffen werden können, und diese sollten auf allen Geräten auf dem aktuellsten Stand sein. Zudem haben sich in den letzten Jahren gewisse Zusatzfunktionen stärker etabliert, darunter Freihandfunktionen oder die Steuerung von Geräten via Sprache. Windows 10 kommt diesen Bedürfnissen entgegen, indem es zwar im Kern als Betriebssystem mit lokal auf dem jeweiligen Gerät installierten Elementen funktioniert, andere Elemente aber in die Cloud ausgelagert sind. Die auf einem Gerät ursprünglich lokal bearbeiteten Daten stehen so via die Cloud auch auf den anderen Geräten zur Verfügung, und Funktionen wie die Personalisierung gewisser Dienste können für einen Nutzer über alle Geräte hinweg einheitlich durchgeführt werden. Zudem ist ein Datenaustausch mit zusätzlichen Apps möglich. Windows 10 ist damit nicht mehr einfach als klassisches Betriebssystem zu verstehen, sondern als ein System für verschiedene Gerätetypen, in dem Daten stärker miteinander verknüpft und abgeglichen werden können.
6 Gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016 wurde der Ausdruck „stets“ gelöscht.
7/38
2.3 Erfasste und übermittelte Daten Basierend auf den von Microsoft gemachten Angaben zur Datenbearbeitung im Rahmen von Windows 10 werden die folgenden Datenkategorien7 zu den jeweils beschriebenen Zwecken erfasst und übertragen:
Betriebssystem im engeren Sinne (Sicherheit) Hierbei handelt es sich um Daten, welche zur Bereitstellung des Betriebssystems und zu dessen Sicherheit bearbeitet werden. Feedback und Diagnosedaten Während der Verwendung von Windows 10 werden von Microsoft Diagnose- und Nutzungsdaten erfasst, mit deren Hilfe Microsoft Probleme identifiziert und behebt, die Produkte und Dienste verbessert und dem Benutzer personalisierte Funktionen bereitstellt. Die Diagnose- und Nutzungsdaten werden mit einer oder mehreren eindeutigen Kennungen versehen, an Microsoft gesendet und gespeichert. Sie helfen Microsoft dabei, einen einzelnen Benutzer auf einem einzelnen Gerät zu erkennen, Servicefälle des Gerätes zu verstehen und Nutzungsmuster zu speichern. Es gibt drei Ebenen von Diagnose-und Nutzungsdaten: „Vollständig“, „Verbessert“ und „Einfach“. Bei der Einstellung „Einfach“ werden u.a. Informationen zum verwendeten Gerät8, Daten zu System- und Anwendungsabstürzen, Infektionsbericht des Tools zum Entfernen bösartiger Software (MSRT), Daten vom Windows Defender, Informationen zum Windows Store und Informationen zum Systemzustand9 an Microsoft gesendet. Diese Informationen werden von Microsoft verwendet um zu ermitteln, welche Updates an das System übermittelt werden sollen. Bei der Einstellung „Verbessert“ werden zusätzlich zu den Daten, die bei der Einstellung „Einfach“ an Microsoft übermittelt werden, auch noch Hauptspeicherabbilder bei Systemabstürzen mit übertragen. In den Hauptspeicherabbildern können personenbezogene Daten sowie Dokumente, an denen die Benutzer kurz vor dem Absturz gearbeitet haben 10 enthalten sein. Bei der Einstellung „Vollständig“ – die von Microsoft empfohlen wird – werden alle Daten, die auch bei den Einstellungen „Einfach“ und „Verbessert“ gesendet werden, an Microsoft übermittelt. Zusätzlich ist es möglich, dass ein Microsoft-Mitarbeiter dem Telemetrie-Code Instruktionen hinzu-
7 Die detaillierten Datenelemente in den jeweiligen Datenkategorien sind in der Sachverhaltsfeststellung vom 24. März 2016 enthalten. 8 Prozessortyp, Massenspeichergrösse, Bildschirmauflösung, eindeutig identifizierende Nummer des Mobilfunkgeräts (IMEI). 9 Installierte Anwendungen/Apps, installierte Treiberversionen, installierte Updates, Zubehörgeräte, Systeminformationen, Qualitätsmetriken des Telemetrieclients, Qualitätsbezogene Informationen. 10 Gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016 wurden die Begriffe Passwörter und kryptographische Schlüssel mit folgender Begründung aus dem Text entfernt: Die Hauptspeicherabbilder enthalten alles, was zum Zeitpunkt des Absturzes gespeichert ist. Microsoft könnte theoretisch eine Vielzahl von Daten erfassen, und zwar abhängig davon, was ein Nutzer in ein bestimmtes Dokument integriert hat. Zum Beispiel könnte der Nutzer an einer Datei arbeiten, die „meine Passwörter“ heisst. Microsoft könnte dann unbeabsichtigt ein Passwort erfassen, das in diese Datei eingefügt wurde. Microsoft würde diese Information nicht in ihrer Eigenschaft als Passwort oder kryptographischer Schlüssel verwenden. Ausserdem findet keine regelmässige Erfassung von Passwörtern oder kryptographischen Schlüsseln statt. Zudem ist die Wahrscheinlichkeit, dass sich eine dieser Datenarten im Zeitpunkt des Absturzes auf dem Speicher befindet, äusserst klein.
8/38
fügt. Wenn sie im Rahmen des üblichen Ablaufs des Telemetriesystems ausgeführt werden, könnten solche Instruktionen zum Telemetrie-Code zusätzliche Diagnosedaten erfassen von Systemen, die Merkmale von Problemen feststellen oder aufweisen und welche Microsoft gerade abzuklären versucht. Diese zusätzlich erfassten Daten können den Nutzerinhalt enthalten, der das Problem ausgelöst hat.11 Anmerkung zum Windows Defender: Der Windows Defender sucht nach Schadsoftware und nach weiterer unerwünschter Software auf dem Gerät. Er wird zum Schutz des Gerätes automatisch aktiviert, sollte keine andere Antischadsoftware für den Schutz des Gerätes aktiviert sein. Sobald er aktiviert ist, überwacht er den Sicherheitsstatus des Gerätes und sendet automatisch Berichte an Microsoft, die Daten über vermutete Schadsoftware und weitere unerwünschte Software enthalten. Es werden auch Dateien gesendet, die Schadsoftware enthalten. Wenn ein Bericht mit hinreichender Wahrscheinlichkeit persönliche Daten enthält, dann wird dieser nicht automatisch gesendet. Ein entsprechender Hinweis wird angezeigt, und der Benutzer muss vor dem Versenden einwilligen.12 Der Benutzer kann die Übermittlung von Berichten und verdächtiger Malware an Microsoft deaktivieren.
Personalisierung Die benutzerspezifischen Anpassungen von Diensten, welche als erweiterte Funktionen von Windows 10 angeboten werden, bearbeiten folgende Datenkategorien. Position/Positionsverlauf Die Art der Positionsdaten (d.h.: des Standorts) hängt von der zur Verfügung stehenden Hardware des Geräts ab. Es kann sich dabei um Informationen über GPS, Mobilfunk- oder WLAN handeln, welche für die Standortermittlung herangezogen werden. Dazu werden die ermittelten Daten an Microsoft übertragen und in der von Microsoft betriebenen Standortdatenbank abgeglichen. Bei der Verwendung der Positionserkennung hilft der Nutzer Microsoft beim weiteren Ausbau der Standortdatenbank: bei jeder Anfrage werden die ermittelten Daten von Microsoft anonymisiert in der Standortdatenbank gespeichert, um die Standortermittlung zu verbessern. Weiter werden auf dem Gerät Daten über den aktuellen Positionsverlauf gespeichert. Spracherkennung, Freihand und Eingabe Für die Interaktion mit einem Windows-Gerät, z. B. durch Sprach-, Handschrift- oder Tastatureingabe, erfasst Microsoft diese Eingabe, einschliesslich Informationen zum Kalender sowie den Kontakten. Microsoft speichert und verwendet Daten über die Aussprache, den Schreibstil (Handschrift) und die Art, wie auf Windows-Geräten getippt13 wird, um den Algorithmus zur Erkennung der Eingaben zu verbessern. Dazu werden die Eingaben an Microsoft gesendet.
11 Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016 mit dem Hinweis, dass die Einstellung „Vollständig“ den Microsoft Technikern keinen Zugang zu den Systemen der Nutzer für das Troubleshooting ermöglicht. Erweiterte Diagnosedaten würden programmtechnisch erfasst, wenn ein auf Geräten ausgeführter Code die Merkmale eines Problems erfülle, das Microsoft gerade zu diagnostizieren versuche. 12 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 13 Darunter auch Leistungsdaten, wie z. B. Textänderungen, die der Benutzer manuell vornimmt, sowie Wörter, die dem Wörterbuch hinzugefügt wurden.
9/38
Berechtigungsmanagement Die nachfolgenden Kategorien gehören zum Berechtigungsmanagement und erlauben es dem Benutzer, die Zugriffsrechte für Hardwarefunktionen sowie für Kalender- und Kontaktdaten detailliert zu regeln. Im Rahmen der Betriebssystemfunktionen erfolgt bei diesen Kategorieneinstellungen14 keine Datenbearbeitung durch Microsoft. Aus datenschutzrechtlicher Sicht sind die Einstellungsmöglichkeiten insofern relevant, als dass sie dem Benutzer die Möglichkeit geben, die Einstellungen an einen Ort 15 vorzunehmen. Kontakte In der Kategorie „Kontakte“ kann der Benutzer festlegen, ob Apps Zugriff auf die Kontakte haben dürfen. Windows 10 selbst bearbeitet Daten aus den Kontakten nicht für die Funktion des Betriebssystems im engeren Sinne. Jedoch nutzen und benötigen Windows Dienste (wie die persönliche Assistentin „Cortana“) Informationen aus den Kontaktdaten. Kalender In der Kategorie „Kalender“ kann der Benutzer festlegen, ob Apps Zugriff auf den Kalender haben dürfen. Windows 10 selbst bearbeitet Daten aus dem Kalender nicht für die Funktion des Betriebssystems im engeren Sinne. Jedoch nutzen und benötigen Windows Dienste (wie die persönliche Assistentin „Cortana“) Informationen aus den Daten der Kalender. Sprachliste Die Verwaltung der Zugriffsrechte von Apps und Websites auf die Sprachlisten (Einstellungen für die Anpassung von Windows an verschiedene Sprachen) dient dazu, dass diese lokal relevante Inhalte dem Benutzer anzeigen können. Kamera In der Kategorie „Kamera“ kann der Benutzer festlegen, ob Apps generell Zugriff auf die Kamera erhalten dürfen. Windows 10 selbst bearbeitet Daten aus der Kamera nicht für die Funktion des Betriebssystems im engeren Sinne. Mikrofon In der Kategorie „Mikrofon“ kann der Benutzer festlegen, ob Apps generell Zugriff auf das Mikrofon erhalten dürfen. Windows 10 selbst bearbeitet Daten aus dem Mikrofon nicht für die Funktion des Betriebssystems im engeren Sinne. Systemzubehör wie der Windows-Sprachrekorder benötigen jedoch den Zugriff für ihre Funktion. Messaging In der Kategorie „Messaging“ kann der Benutzer festlegen, ob Apps Nachrichten (SMS) lesen und senden dürfen. Windows 10 selbst bearbeitet Daten des Messaging nicht für die Funktion des Betriebssystems im engeren Sinne. Funkempfang In der Kategorie „Funkempfang“ kann der Benutzer festlegen, ob Apps auf die Funkeinheit (z.B. Bluetooth) zugreifen dürfen. Windows 10 selbst bearbeitet Daten dieser Kategorie nicht für die Funktion des Betriebssystems im engeren Sinne. Weitere Geräte In der Kategorie „Weitere Geräte“ kann der Benutzer festlegen, ob Apps automatisch Daten mit anderen Geräten (bspw. XBox One, TV-Geräte, etc.) austauschen dürfen. Eine Überprüfung der
14 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 15 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016: „und nicht in jeder App gesondert“ wurde gestrichen, da eine App allenfalls noch immer eine vorgängige Einstellung in der App erfordert.
10/38
Datenbearbeitung durch die weiteren Geräte wurde nicht getätigt. Windows 10 selbst bearbeitet Daten dieser Kategorie nicht für die Funktion des Betriebssystems im engeren Sinne. Hintergrund Apps In der Kategorie „Hintergrund-Apps“ kann der Benutzer konfigurieren, welche Apps im Hintergrund Informationen senden und empfangen dürfen. Windows 10 selbst bearbeitet Daten dieser Kategorie nicht für die Funktion des Betriebssystems im engeren Sinne. Kontoinformationen Können die vom Benutzer eingegebenen Informationen wie angezeigter Name, Vor- und Nachnamen, Foto, Kontoanbieter, Domainname des Benutzers, URL für Instant Messaging sowie ein für Xbox spezifisches Feld enthalten. Werbungs-ID Windows generiert für jeden Benutzer eines Gerätes eine unverwechselbare Werbungs-ID. Diese kann von App-Entwicklern und Werbenetzwerken dazu verwendet werden, eine relevantere Werbung anzubieten. Die Werbungs-ID ist optional und kann vom Benutzer jederzeit ausgeschaltet werden.16 Verwendet man unter Windows 10 ein Microsoft-Konto und nutzt dieses Microsoft- Konto auch auf anderen Geräten (Xbox, Windows Phone-Mobiltelefon, etc.), so kann die Analyse des Nutzungsverhaltens auch geräteübergreifend erfolgen.
Weitere Komponenten Im Rahmen der Installation von Windows 10 können auch die Datenbearbeitungen für Apps aktiviert werden, resp. es werden Einstellungsmöglichkeiten von Programmen angeboten, welche nicht zum Betriebssystem im engeren Sinne gehören.17 Microsoft beschreibt diese im Rahmen des Installationsprozesses ebenfalls auf der Seite „Schnell einsteigen“ und bietet auf der Seite „Einstellungen anpassen“ Konfigurationsmöglichkeiten an. Daher werden folgenden Datenbearbeitungen nur betreffend dieser Einstellungen betrachtet, eine weitergehende Analyse von weiteren Datenbearbeitungen dieser Apps wurde im Rahmen der vorliegenden Sachverhaltsabklärungen nicht durchgeführt. Bei den betrachteten Einstellungen handelt es sich um die Datenbearbeitungen im Zusammenhang mit der WLAN-Optimierung und der Internetbrowserfunktionalitäten SmartScreen-Filter, Autosuchen, Suchvorschläge, Seitenvorhersage und vorgeschlagene Sites. WLAN Optimierung Mit WLAN-Optimierung können sich Nutzer automatisch an WLAN-Netzwerken in der Umgebung anmelden, was das Datenaufkommen des Mobiltelefons reduziert und den Benutzern mehrere Verbindungsmöglichkeiten zur Verfügung stellt. Sobald sie aktiviert wird, verbindet sich das Gerät automatisch mit ungeschützten WLAN-Netzwerken. Es wird so auch möglich, den Zugriff auf passwortgeschützte WLAN-Netzwerke mit Kontakten auszutauschen. Die Netzwerkschlüssel werden dabei nur übertragen, wenn der Benutzer mit einem Microsoft-Konto angemeldet ist und ein Opt-In in die Sync Einstellung erfolgt ist. Microsoft kann ihrerseits die Netzwerkschlüssel nicht entschlüsseln, hierzu sind nur die durch den Benutzer als vertrauenswürdig bezeichneten Geräte in der Lage.18
16 Hinzugefügt gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 17 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 18 Bemerkung der Microsoft Corporation vom 30. November 2016: „Die Fähigkeit den Zugriff auf Zugänge zu passwortgeschützten WLAN-Netzwerken mit Kontakten auszutauschen, wurde im Anniversary Update (August 2016) von Windows 10 entfernt. Die Funktion der automatischen Verbindung zu offenen WLAN-Netzwerken besteht nach wie vor.“
11/38
SmartScreen-Filter Der SmartScreen-Filter untersucht besuchte Webseiten auf potentiell unsichere Inhalte und heruntergeladene Dateien auf potentielle19 Schadsoftware. Dazu werden beim Browsen im Web die Internetadressen (URLs) einer kleinen Teilmenge der angefragten Webseiten an Microsoft zur Überprüfung gesendet.19 Bei der Überprüfung einer Datei werden Daten zu dieser an Microsoft gesendet, einschliesslich des Dateinamens, eines Hashs19 der Inhalte der Datei und der digitalen Zertifikate dieser Datei. Browser und Browserverlauf Bei der ersten Verwendung von Microsoft Edge und Internet Explorer werden verschiedene Funktionen eingeschaltet, welche eine Datenübermittlung zur Folge haben. Eine Deaktivierung ist jederzeit möglich. Dazu gehören: AutoSuchen und Suchvorschläge: Diese Funktionen senden im Internet Explorer automatisch Informationen, die in die Adresszeile des Browsers des Standardsuchanbieters (wie z. B. Bing) eingegeben werden. Während der Eingabe des Suchbegriffes, wird eine Suchempfehlung angezeigt. In Microsoft Edge versendet diese Funktion die Eingaben automatisch an Bing, und dies selbst dann, wenn ein anderer Standardsuchanbieter ausgewählt wurde. Seitenvorhersage: Diese Funktion sendet den Browserverlauf an Microsoft und verwendet aggregierte Browserverlaufsdaten, um vorherzusagen, welche Seiten der Nutzer sich wahrscheinlich als nächste anschauen wird und lädt diese Seiten proaktiv im Hintergrund, um eine schnellere Browserfunktion zu ermöglichen. Vorgeschlagene Sites: Die Funktion empfiehlt Webinhalte, die den Benutzer interessieren könnten, basierend auf dem Such- und Browserverlauf.
2.4 Installationsprozess und dabei vermittelte Informationen Der Ablauf des Updates oder der Neuinstallation von Windows 10 ist in verschiedene Schritte gegliedert, welche unterschiedlicher Interaktionen der Nutzer bedürfen. Microsoft informiert dabei laufend mit kurzen Texten über ausgesuchte Aspekte der Datenbearbeitungen und Einstellungsmöglichkeiten. Weitergehende Informationen sind dabei allenfalls über verlinkte Seiten erhältlich, die aber nur dann abrufbar sind, wenn das Gerät mit einem Netzwerk mit Internetzugriff verbunden ist. Eingabe des Product Key, Zugriff auf Datenschutz- und Lizenzbestimmungen Zum Starten einer Neuinstallation muss der Nutzer den Product Key eingeben. Führt der Nutzer hingegen ein Upgrade durch, wird kein Product Key benötigt. Im Eingabefenster verweist ein in der linken unteren Ecke platzierter Link auf die Datenschutzbestimmungen. Folgt man diesem Link, erscheint ein neues Fenster mit folgendem Text:
„Datenschutzbestimmungen von Microsoft Die Microsoft Datenschutzerklärung kann hier einsehen werden: http://go.microsoft.com/fwlink/?LinkId=521839 Sie können verknüpfte Begriffe überprüfen, indem Sie die Vorwärtsverknüpfung in Ihr Browser Fenster einfügen, sobald die Software läuft. EULAID:T1C_P1_1_PR_de-de“.
19 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016.
12/38
Der Zugriff auf die Datenschutzerklärung ist in diesem Stadium der Installation jedoch noch nicht möglich, da das Gerät noch nicht mit dem Internet verbunden ist. Eine Internetverbindung kann erst in einem späteren Installationsstadium hergestellt werden. In der Folge müssen die mehrseitigen Microsoft-Software-Lizenzbestimmungen akzeptiert werden. Diese enthalten unter anderem folgendes:
„Durch die Annahme dieses Vertrages oder durch die Nutzung der Software erklären Sie sich mit allen diesen Bestimmungen einverstanden und stimmen der Übertragung bestimmter Informationen während der Aktivierung und während Ihrer Nutzung der Software gemäss der in Ziffer 3 beschriebenen Datenschutzerklärung zu. Wenn Sie diese Bestimmungen nicht akzeptieren und nicht einhalten, dürfen Sie die Software oder deren Features nicht verwenden.“ […] 3. Datenschutz; Einwilligung zur Datennutzung. Der Schutz Ihrer Privatsphäre ist uns wichtig. Einige der Softwarefeatures senden oder empfangen bei ihrer Verwendung Informationen. Viele dieser Features können über die Benutzeroberfläche deaktiviert werden, oder Sie können sich entscheiden, sie nicht zu verwenden. Durch die Annahme dieses Vertrages und die Nutzung der Software erklären Sie sich damit einverstanden, dass Microsoft dazu berechtigt ist, die Informationen wie in der Microsoft-Datenschutzerklärung unter (aka.ms/Privacy) und möglicherweise in der mit den Softwarefeatures verbundenen Benutzeroberfläche beschrieben zu erfassen, zu verwenden und offenzulegen. …“
Auch hier ist noch kein Zugriff auf die erwähnte Datenschutzerklärung möglich. Die Installation kann erst nach Akzept dieser Lizenzbestimmungen fortgesetzt werden. Nächster Schritt im Installationsprozess ist die Wahl der Installationsart und des Installationsortes, bevor die notwendigen Dateien kopiert und installiert werden. Danach hat der Nutzer die Möglichkeit, ein Netzwerk zur Verbindung mit dem Internet zu wählen. Er kann die Installation aber auch offline fortsetzen. Nach Erstellen einer Netzwerkverbindung wäre der Zugriff auf die Datenschutzbestimmungen zwar möglich, der hierzu nötige Link wird auf dieser Seite jedoch nicht angezeigt. Persönliche Einstellungen zur Datenerfassung und -übermittlungen Nun hat der Nutzer die Möglichkeit, persönliche Einstellungen zur Datenerfassung und -übermittlung vorzunehmen. Zunächst kommt er auf die Seite „Schnell einsteigen“, die sich wie folgt präsentiert:
„Schnell einsteigen Sie können die Einstellungen jederzeit ändern. Durch Express-Einstellungen können Sie: Sprache, Eingabe und Freihand personalisieren, indem Kontakt- und Kalenderdetails mit zugehörigen Eingabedaten an Microsoft gesendet werden. Microsoft darf diese Informationen zur Verbesserung der Plattformen für Vorschläge und Spracherkennung nutzen. Windows und Apps die Abfrage Ihrer Positionsdaten, einschliesslich Positionsverlauf, sowie die Nutzung Ihrer Werbe-ID erlauben, um die Benutzeroberfläche für Sie zu personalisieren. Einige Positionsdaten zur Verbesserung der Positionsdienste an Microsoft und vertrauenswürdige Partner senden. Bietet Schutz von schadhaften Webinhalten und nutzt die Seitenvorhersage, um das Browsen zu beschleunigen sowie das Lesen und die gesamte Nutzung von Windows-Browsern zu verbessern. Ihre Browserdaten werden an Microsoft gesendet. Automatisch eine Verbindung mit vorgeschlagenen öffentlichen Hotsports und freigegebenen Netzwerken herstellen. Nicht alle Netzwerke sind sicher.“
13/38
Klickt der Nutzer auf den unter diesem Text rechts platzierten Button „Express-Einstellungen verwenden“, wird Windows 10 in der Folge mit den von Microsoft vordefinierten Standardeinstellungen zur Datenerfassung und –übertragung verwendet. Mit diesen Einstellungen werden sämtliche unter Ziffer 2.3 vorstehend aufgeführten Daten erfasst und, sofern das System online verwendet wird, an Microsoft übermittelt. Die Einstellungen können nachträglich jederzeit angepasst werden. Links neben diesem Button befindet sich ein weiterer Button, „zurück“. Klickt der Nutzer auf diesen, springt er um eine Seite zurück und hat erneut die Möglichkeit, eine Netzwerkverbindung herzustellen.20 In der linken unteren Ecke sind zwei Links aufgeführt, „Weitere Informationen“ und „Einstellungen anpassen“. Die für diese Links verwendet Schrift ist deutlich kleiner als diejenige für den Informationstext oder die beiden Buttons und setzt sich farblich nur schwach vom Hintergrund ab.20
Über den Link „Weitere Informationen“ wird ein Pop-up-Fenster mit einem weiteren Informationstext geöffnet:
„Hilfe und Support Intro-Zusammenfassung Microsoft respektiert Ihren Datenschutz. Beim Einrichten von Windows können Sie eine Reihe von Express-Einstellungen festlegen, die Ihnen eine persönliche Erfahrung ermöglichen, um dazu beizutragen, dass Ihr Gerät zuverlässiger und sicherer wird und um bei der Verbesserung der Microsoft-Dienste zu helfen. Falls Sie möchten, können Sie diese Einstellungen später ändern. Die folgenden Informationen erläutern, welche Daten von Microsoft gesammelt und wie diese verwendet werden, sobald Sie die Express-Einstellungen auswählen. Bitte stellen Sie sicher, dass Sie die vollständige Microsoft-Datenschutzerklärung (aka.ms/privacy) zu weitere Informationen darüber durchsehen, welche Art von Daten durch Microsoft gesammelt und wie diese verwendet werden, wenn Sie Windows einsetzen. Wenn Sie Ihre Einstellungen anpassen möchten, dann wählen Sie auf dem Einstellungenanpassen-Bildschirm anstatt Weiter Express-Einstellungen Verwenden aus.“
Klickt der Nutzer den Link „Einstellungen anpassen“ an, erhält er die Möglichkeit, das Erfassen und Übertragen der unter Ziffer 2.3 vorstehend aufgelisteten Datenkategorien individuell einzustellen. Hierzu werden dem Nutzer die Datenkategorien nach Themen geordnet angezeigten, versehen mit einem kurzen Informationstext, der oberflächlich über die Art und die Verwendung der jeweiligen Daten Auskunft gibt. Zudem wird bei jeder Datenkategorie ein Schalter angezeigt, der standardmässig auf „Ein“ steht. Durch Klicken auf diese Schalter kann der Nutzer das Erfassen und Übermitteln jeder einzelnen Datenkategorie abschalten und so ein differenziertes Opt-Out vornehmen. Weiterführende Informationen werden hier nicht angezeigt, und es gibt an dieser Stelle auch keinen Link auf die Datenschutzerklärung von Microsoft. Als nächster Schritt folgt die Einrichtung eines Kontos für den PC. Falls der Computer mit dem Internet verbunden ist, hat der Benutzer die Möglichkeit, sich mit einem bestehenden Microsoft-Konto einzu-
20 Bemerkung der Microsoft Corporation vom 30. November 2016 zum Sachverhalt: „Die Nutzererfahrung für diese Buttons und Links hat sich seit dem Anniversary Update (August 2016) verändert. Der Button „Einstellungen Anpassen“ wurde zwischen den Buttons „Express-Einstellungen verwenden“ und „zurück“ eingefügt. Alle Buttons haben nun die gleiche Grösse und Schrift. Zudem wurde der „Weitere Informationen“-Link stärker hervorgehoben.“
14/38
loggen, ein neues Konto zu erstellen oder diesen Schritt zu überspringen und ein „lokales“ Konto einzurichten. Hat der Computer keine Netzwerkverbindung, so wird der Benutzer direkt aufgefordert, ein „lokales“ Konto für den PC zu erstellen. Bevor das Betriebssystem verwendet werden kann, werden durch Windows 10 noch die Apps eingerichtet. Hierzu ist keine Aktion des Benutzers notwendig.
15/38
3. Datenschutzrechtliche Beurteilung
Vorbemerkungen Art. 12 und 13 DSG legen die Voraussetzungen fest, nach welchen die Bearbeitung von Personendaten durch Private rechtmässig ist. Wer im privaten Bereich Personendaten bearbeitet, darf nach Art. 12 Abs. 1 DSG dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Gemäss Art. 12 Abs. 2 DSG darf er insbesondere nicht:
a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten; b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten; c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt geben.
In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat21. Die nachfolgenden Ausführungen sollen klären, ob die Datenbearbeitung durch Microsoft bzw. die Datensammlung von Microsoft datenschutzkonform ausgestaltet sind. Dabei stehen die allgemeinen Datenschutzgrundsätze, namentlich der Grundsatz der Erkennbarkeit, der Bearbeitung nach Treu und Glauben und der Verhältnismässigkeit gemäss Art. 4 Abs. 2 bis 4 DSG, im Zentrum.
3.1 Bearbeitung von Personendaten und Persönlichkeitsprofilen Personendaten Das DSG findet dort Anwendung, wo Personendaten i.S.v. Art. 3 lit. a DSG bearbeitet werden. Als Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürliche oder juristische) Person beziehen. Die im Rahmen von Windows 10 durch die Softwarefeatures bearbeiteten Daten, welche Rückschlüsse auf einen Nutzer resp. dessen Gerät erlauben, sind Personendaten im Sinne des DSG. Einige dieser Daten können direkt einer bestimmten Person zugeordnet werden, z.B. Kontakte oder Kalenderdaten. Dadurch, dass die Daten aber innerhalb eines bestimmten Nutzer-Accounts oder hinsichtlich eines bestimmten Geräts bearbeitet werden, lassen sich auch an sich unpersönliche Daten wie z.B. Position, Feedback und Diagnose einer bestimmten Personen zuordnen, womit sie als Personendaten zu qualifizieren sind. Besonders schützenswerte Personendaten Besondere Vorschriften sieht das DSG in Art. 3 lit. c für die Bearbeitung von Daten vor, welche die Persönlichkeit von Personen besonders stark berühren. Die Kategorien der besonders schützenswerten Personendaten sind abschliessend in Ziffer 1-4 aufgezählt. Hierzu gehören religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten und Tätigkeit, insb. Mitgliedschaften in entsprechenden Vereinigungen22, weiter Angaben über die Gesundheit, die Intimsphäre oder die Rassenzu-
21 Art. 12 Abs. 3 DSG. 22 Art. 3 lit. c Ziff. 1 DSG.
16/38
gehörigkeit23, Massnahmen der sozialen Hilfe24 und administrative oder strafrechtliche Verfolgungen und Sanktionen25. Es ist davon auszugehen, dass z.B. Kalenderinhalte besonders schützenswerte Personendaten beinhalten können, wie (wiederkehrende) Spezialarzttermine, Besuche religiöser Veranstaltungen oder gewerkschaftliche oder politische Treffen. Weiter lässt sich auch bei den Daten zur Position (insb. zum Positionsverlauf) nicht ausschliessen, dass daraus Rückschlüsse, z.B. aus Kirchen-, Moscheen- oder Synagogenbesuchen auf religiöse Ansichten oder Tätigkeiten oder aus Aufenthalten in einer Spezialklink zur Gesundheit, ableiten lassen. Weiter können auch in den Browserdaten (Benutzereingaben und Browserverlauf) oder Informationen zum Smart Screen besonders schützenswerte Daten, wie zur Gesundheit oder Intimsphäre, enthalten sein. Es muss daher davon ausgegangen werden, dass es sich zumindest bei einem Teil der erfassten Informationen (insb. Kalender, Position, Browserdaten) um besonders schützenswerte Personendaten gemäss Art. 3 lit. c DSG handeln kann. Da es nicht möglich ist, besonders schützenswerte Personendaten vor deren Erfassen als solche zu erkennen und separat zu bearbeiten oder von einer Bearbeitung auszunehmen, muss für die Bearbeitung aller Daten der für besonders schützenswerte Personendaten geltende strengere Massstab zur Anwendung gelangen. Persönlichkeitsprofile Weil Microsoft über verschiedene Applikationen von Windows 10 die Interaktionen des Benutzers aufzeichnen kann und Zugriff auf persönliche Daten wie Kontakte und Kalender hat, muss im vorliegenden Fall weiter geprüft werden, ob die erfassten Daten der Benutzer in ihrer Gesamtheit ein Persönlichkeitsprofil i.S.v. Art. 3 lit. d DSG darstellen. Nicht jede Kombination von Daten ergibt ein Persönlichkeitsprofil. Gemäss Legaldefinition von Art. 3 lit. d DSG stellt ein Persönlichkeitsprofil eine Zusammenstellung von Daten dar, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Anhaltspunkte, was unter dem Begriff „Persönlichkeitsprofil“ zu verstehen ist, geben die Botschaft zum DSG26 sowie Lehre und Rechtsprechung. Gemäss Botschaft27 ist ein Persönlichkeitsprofil eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Entscheidend ist, dass die systematische Zusammenstellung von an sich nicht besonders schützenswerten Daten28 eine Beurteilung wesentlicher Aspekte der Persönlichkeit zulässt. Nach herrschender Lehre muss die Zusammenstellung der Daten nicht ein Gesamtbild der Persönlichkeit ergeben. Es genügt, wenn von wichtigen Teilaspekten29 ein Persönlichkeitsbild entsteht30. Von einem Persönlichkeitsprofil ist jedoch erst dann auszugehen, wenn für die betroffene Person ein Risi-
23 Art. 3 lit. c Ziff. 2 DSG. 24 Art. 3 lit. c Ziff. 3 DSG. 25 Art. 3 lit. c Ziff. 4 DSG. 26 Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz (BBl II 1988 413). 27 BBl II 1988 447. 28 Z. B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten. 29 Z. B. Konsumverhalten, Profile von Kreditkartenbenutzern zur Verhinderung von Betrügereien, Eignungstest, Kreditdossiers, etc. 30 BSK-DSG, Urs Belser, Art. 3 N 21.
17/38
ko entsteht, dass „sie sich in der Gesellschaft nicht mehr so darstellen kann, wie sie es für richtig hält“31. Gemäss Rechtsprechung32 hängt die Erstellung eines Persönlichkeitsprofils von der Menge, dem Inhalt sowie der Zeitdauer der zusammengestellten Daten ab. Demnach sind Personendaten, die über einen längeren Zeitraum zusammengetragen werden und dadurch gleichsam ein biografisches Bild ergeben, indem sie eine Entwicklung, einen Werdegang, also eine Art „Längsprofil“ der betroffenen Person aufzeigen, eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Momentaufnahme, ein „Querprofil“, darstellen. Aber, selbst wenn von einem wesentlichen Teilbild der Persönlichkeit ausgegangen wird, muss letztlich der konkrete Zusammenhang, in dem die Daten verwendet werden, mit entscheidend dafür sein, ob der qualifizierte gesetzliche Schutz, den der Gesetzgeber für die Persönlichkeitsprofile vorgesehen hat, zum Tragen kommen soll oder nicht. Durch die Auswertungsmöglichkeiten der automatischen Datenverarbeitung und durch die Verknüpfung automatisierter Datenbestände ist die Erstellung von Persönlichkeitsprofilen heutzutage einfacher und häufiger geworden. Das Problem von Persönlichkeitsprofilen liegt darin, dass sie die Vielfalt und Komplexität der menschlichen Persönlichkeit (zu) sehr vereinheitlichen und schematisieren und dabei den betroffenen Personen nicht gerecht werden. Sodann haben betroffene Personen meist keine Kenntnis vom Bestehen eines Persönlichkeitsprofils. Damit können sie dessen Richtigkeit und Verwendung nicht kontrollieren. Einmal erstellt, können Persönlichkeitsprofile betroffene Personen der Selbstbestimmung berauben, sich so darzustellen, wie sie es für richtig halten. Damit vermögen Persönlichkeitsprofile die Entfaltung der Persönlichkeit wesentlich zu beeinträchtigen. Deshalb hat der Gesetzgeber festgelegt, dass Persönlichkeitsprofile gleich wie besonders schützenswerte Personendaten zu behandeln sind und nur unter bestimmten Voraussetzungen erstellt und bearbeitet werden dürfen. Insbesondere müssen gemäss Art. 14 DSG betroffene Personen informiert werden, wenn über sie Persönlichkeitsprofile erstellt werden. Diese Informationspflicht gilt nicht nur für die Beschaffung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen, sondern auch, wenn Daten beschafft werden, die sich erst zu einem späteren Zeitpunkt zu einem Persönlichkeitsprofil verdichten33. Weiter müssen die Betroffenen für der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen nach angemessener Information ausdrücklich einwilligen34. Microsoft beschreibt auf der Seite „Schnell einsteigen“, dass Sprache, Eingabe und Freihand u.a. personalisiert werden, indem Kontakt- und Kalenderdaten mit zugehörigen Eingabedaten an Microsoft gesendet werden. Ebenfalls zur Personalisierung der Benutzeroberfläche werden Positionsdaten einschliesslich Positionsverlauf und Werbungs-ID durch Windows 10 und Apps verwendet. Unter Personalisierung ist ein Prozess zu verstehen, im Rahmen dessen das System die Eigenheiten (z.B. Sprach- oder Schriftmuster für Freihand- oder Spracheingaben) und Vorlieben (z.B. spezifische Interessen aufgrund von Kalendereinträgen) eines Nutzers „kennenlernt“, um seine Funktionen entsprechend zu optimieren. Je mehr Informationen über einen Nutzer vorliegen, desto genauer kann sich das System dessen Eigenheiten anpassen und künftiges Verhalten antizipieren. Dies gilt sowohl in inhaltlicher als auch in zeitlicher Hinsicht. Der Zweck der Personalisierung zielt damit direkt auf die Bildung eines Persönlichkeitsprofils: Das System möchte sich mit Hilfe der gesammelten Informationen schnell ein wesentliches Teilbild der betroffenen Person machen. Dies wirkt sich für die betroffene
31 BSK-DSG, Urs Belser, Art. 3 N 22 mit Hinweis auf VPB 65.48, E. 2.d. 32 VPB 65.48, E. 2.b. 33 Bundesamt für Justiz, Bundesgesetz über den Datenschutz, Änderung vom 24. März 2006: Häufig gestellte Fragen zur Umsetzung bei der Datenbearbeitung durch Private, Ziff. 22. 34 Art. 4 Abs. 5 DSG.
18/38
Person unter Umständen stark aus, werden doch dadurch nicht nur ergänzende oder untergeordnete Funktionen zum Betriebssystem beeinflusst, sondern möglicherweise Art und Inhalt von Suchvorschlägen oder Angeboten etc. Entsprechend können betroffene Personen dadurch in der selbstbestimmten Entfaltung ihrer Persönlichkeit wesentlich beeinträchtigt werden. Da präzise35 Informationen zu Position und Suchverlauf gemäss genereller Richtlinie35 während sechs Monaten, Sprachdaten während 18 Monaten sowie der Browserverlauf während 45 Tagen gespeichert werden ist davon auszugehen, dass sogenannte Längsprofile erstellt werden können. Aufgrund der Qualität und der Quantität der durch Windows 10 erfassten Daten ist folglich davon auszugehen, dass Persönlichkeitsprofile gemäss Art. 3 lit. d DSG bearbeitet werden. Der EDÖB hält zusammenfassend fest, dass Microsoft im Rahmen von Windows 10 Personendaten, darunter auch besonders schützenswerte Personendaten und Persönlichkeitsprofile, bearbeitet.
3.2 Zweck der Datenbearbeitung Jede Bearbeitung von Personendaten stellt einen Eingriff in das Recht auf informationelle Selbstbestimmung gemäss Art. 13 Abs. 2 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 199936dar. Daher bedarf die Bearbeitung einer besonderen Rechtfertigung. Praktikabilitätserwägungen oder allgemeine Kundenfreundlichkeit stellen grundsätzlich keine ausreichende Rechtfertigung für die Bearbeitung dar. Mit Windows 10 hat Microsoft ein Betriebssystem mit einem neuen Konzept umgesetzt, welches sich von den Bisherigen grundlegend unterscheidet. Entgegen den früheren Versionen ist Windows 10 als Online Service konzipiert37. Damit soll die Integration von Geräten, Software, Service und Plattformen möglich sein. Wie bei anderen Systemen, z.B. OS von mobilen Geräten, benötigt Windows 10 Basisinformationen (Basic telemetry data), um dem Gerät die zum Betrieb des Betriebssystems notwendigen Updates zur Verfügung zu stellen. Microsoft hält in Bezug auf die Daten der Telemetrie (Feedback und Diagnose) fest, dass sowohl ein Interesse der Kunden und als auch eines von Microsoft besteht, die Dienste effizient, sicher und frei von illegalen Inhalten und Aktivitäten zu halten. Neben den Daten zur Telemetrie werden, wie unter Ziffer 2.3 hiervor ausgeführt, die weiteren erfassten Personendaten38 zur Personalisierung und Verbesserung von Diensten und Benutzeroberfläche (inkl. des neuen persönlichen Assistenten, „Cortana“) verwendet. Microsoft lernt mit Hilfe dieser Daten einen Nutzer besser kennen und kann gewisse Dienste und die Benutzeroberfläche den Bedürfnissen dieses Nutzers anpassen. So werden beispielsweise Freihand- und oder Spracheingaben laufend besser erkannt und zuverlässiger umgesetzt. Dies kann nicht mehr unter den ursprünglichen Zweck subsumiert werden. Vielmehr werden dem Nutzer damit Funktionalitäten angeboten, die über den Kern des Betriebssystems hinausgehen. In den nachfolgenden Ausführungen wir daher unterschieden zwischen dem primären Zweck, dem Anbieten eines sicheren und effizienten Betriebssystems, und den weiteren Zwecken, insb. der Personalisierung und der erweiterten Fehler- und Problemanalyse.
35 Hinzugefügt gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 36 SR 101. 37 Vgl. Ziffer 2.2 vorstehend. 38 Sprache, Eingabe, Freihand, Positionsdaten einschliesslich Positionsverlauf, Browserdaten, Kontakte, Kalenderdaten.
19/38
Darüber hinaus ist es in Windows 10 möglich, bestimmten Apps den Zugriff auf erhobene Daten oder Hardwarefunktionen zu gewähren. Diese Apps gehören nicht mehr direkt zum Betriebssystem Windows 10, ergänzen dieses aber allenfalls durch zusätzliche Funktionalitäten. So benötigen Navigationsanwendungen zwingend Zugriff auf die Position des Gerätes oder VOIP Anwendungen Zugriff auf das Mikrofon, für Videotelefonie zudem auf die Kamera. Auch die in diesem Rahmen erfolgenden Datenbearbeitungen dienen nicht mehr dem Anbieten eines sicheren und effizienten Betriebssystems, sondern den jeweils spezifischen Zwecken der einzelnen Apps oder der Vergabe von Zugriffsberechtigungen. Die Datenbearbeitungen dieser Apps richten sich nach deren Datenschutzbestimmungen. Microsoft hat für Apps aus dem Windows Store vorgesehen, dass die Entwickler für Apps, welche Personendaten erheben, eine Datenschutzerklärung aufstellen und diese einhalten müssen. Weiter sind die Zugriffe auf Hardwarefunktionen (z.B. Kamera, Mikrofon) und Daten (z.B. Fotos, Kontakte, Kalender) in der Beschreibung zu den einzelnen Apps auszuweisen. Da Apps nicht Gegenstand der vorliegenden Kontrolle waren, wird auf detailliertere Ausführungen dazu verzichtet. Zusammenfassend bearbeitet Microsoft Personendaten im Rahmen von Windows 10 in erster Linie zum Zweck, das Betriebssystem aktuell und damit effizient, sicher und frei von illegalen Inhalten und Aktivitäten zu halten. In zweiter Linie werden Daten für die Personalisierung und die Verbesserung von Diensten und Benutzeroberfläche bearbeitet. Hinzu kommen die jeweils spezifischen Zwecke einzelner Apps, welchen Zugriff auf solche Daten gewährt wird, sowie die Verwaltung der Zugriffsberechtigungen.
3.3 Bearbeitung nach Treu und Glauben / Transparenz Die Transparenz und Information der betroffenen Personen in Bezug auf die Beschaffung und Verwendung der Daten bilden die eigentlichen Eckpfeiler einer Datenbearbeitung39. Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen40. Daten sollen nicht in einer Art erhoben und bearbeitet werden, mit der die betroffene Person aus den Umständen heraus nicht rechnen musste und mit der sie nicht einverstanden gewesen wäre. Gegen diesen Grundsatz verstösst beispielsweise derjenige, der Daten nicht erkennbar bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen41. Demzufolge muss eine Datenbearbeitung für die betroffenen Personen transparent erfolgen. Dies bedeutet gemäss Art. 4 Abs. 4 DSG, dass für betroffene Personen die Datenbeschaffung und jede weitere Datenbearbeitung42, der Zweck jeder (weiteren) Datenbearbeitung, die Identität des Datenbearbeiters und – bei einer Datenbekanntgabe an Dritte – die Kategorien von möglichen Datenempfängern erkennbar sein müssen43. Die Anforderungen, welche an die Erkennbarkeit gestellt werden, sind nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen44. Unter dem
39 Botschaft vom 19. Februar 2003 zur Änderung des Bundesgesetzes über den Datenschutz (DSG) und zum Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll vom 8. November 2001 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung (BBl 2003 2126). 40 Art. 4 Abs. 2 DSG. 41 BBl 1988 II 449. 42 BSK-DSG, Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 8. 43 BBl 2003 2125. 44 BBl 2003 2125.
20/38
Gesichtspunkt der Verhältnismässigkeit dieser Anforderung ist zu prüfen, in welchem Mass die betroffene Person auf die wesentlichen Rahmenbedingungen der Beschaffung aufmerksam gemacht werden muss, welche Mittel dem Inhaber der Datensammlung zur Verfügung stehen, um diese Rahmenbedingungen erkennbar zu machen, und in welchem Umfang von ihm erwartet werden kann, dass er diese Mittel auch einsetzt, namentlich unter Berücksichtigung ihrer Kosten, Bedienungsfreundlichkeit und Wirksamkeit. Zu berücksichtigen sind ferner die in der Branche oder für die betreffende Art von Datenbearbeitungen geltenden Usanzen. Für die einfachen Vorgänge des täglichen Lebens, die so geartet sind, dass die Beschaffung und ihr Zweck sowie die Identität des Inhabers der Datensammlung für die betroffene Person auf Anhieb leicht und deutlich erkennbar sind, bringt Art. 4 Abs. 4 DSG keine neue Verpflichtung mit sich. Ist eine Beschaffung auf Grund der Umstände hingegen weniger deutlich erkennbar, muss die betroffene Person mit angemessenen Mitteln auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werden. Im Internet ist ein Hinweis auf dem Eingangsportal in einer genügend sichtbaren Rubrik, der auf weitere Angaben zur Beschaffung und Verwendung der Daten verweist, in den meisten Fällen ein einfaches und angemessenes Informationsmittel45 Vorstellbar sind in diesem Zusammenhang aber auch Pop-Ups mit oder Links zu den einschlägigen Informationen. Wie eingangs unter Ziffer 1.2 und 3.2 dargelegt, folgt Microsoft mit Windows 10 einem neuen Konzept, das eine Reihe neuer Datenbearbeitungen mit sich bringt. Die wenigsten Nutzer dürften mit den technischen Details eines Betriebssystems oder gar mit dieser Neuausrichtung vertraut sein. Es kann also nicht davon ausgegangen werden, dass diese Datenbearbeitungen als Vorgänge des täglichen Lebens allgemein bekannt sind. Microsoft muss folglich mit geeigneten Mitteln über diese Datenbearbeitungen informieren. Microsoft informiert die Nutzer an verschiedenen Orten über die Datenbearbeitungen im Rahmen von Windows 10. Bei der Installation des Betriebssystems wird auf der Eingabeseite für den Product-Key sowie in den Lizenzbestimmungen auf die Datenschutzerklärung von Microsoft hingewiesen. Zudem wird den Benutzern auf der Seite „Schnell einsteigen“ eine Zusammenfassung der unter der Standardkonfiguration erfassten Daten und deren Bearbeitungszwecken angezeigt sowie einleitend angemerkt, dass die Einstellungen jederzeit geändert werden können. Die Übernahme dieser Standardeinstellungen wird mit dem unten rechts angezeigten Button „Express-Einstellungen verwenden“ bestätigt. Der Zugriff auf die Einstellungsmöglichkeiten der Datenübermittlungen findet der Benutzer über einen Link im unteren Bereich der linken Hälfte, ebenso wie den Link auf die verfügbaren weiteren Informationen. Nachfolgend wird untersucht, ob Microsoft mit diesen Informationen den Anforderungen an eine transparente Datenbearbeitung genügt, und zwar sowohl in Bezug auf die Auffindbarkeit dieser Informationen als auch hinsichtlich deren Inhalts.
a) Eingabe Product Key und Akzept Lizenzbestimmungen Microsoft weist die Nutzer bereits bei der Eingabe des Product Keys oder in den vor einer Installation zu akzeptierenden Lizenzbestimmungen pauschal auf die ausgedruckt rund 30 A4 Seiten umfassende Datenschutzerklärung hin. Der Zugriff auf diese Erklärung mit dem Gerät ist jedoch erst nach Abschluss der Installation und mit aktiver Internetverbindung möglich. Daher müsste der Aufruf der Datenschutzerklärung über ein anderes mit dem Internet verbundenes Gerät erfolgen.
45 BBl 2003 2126.
21/38
Die ohne den Zugriff auf die Datenschutzerklärung vorliegenden Informationen geben nur unzureichend Auskunft und erfüllen die unter dem Gesichtspunkt der Transparenz gestellten Anforderungen nicht. Dementsprechend müsste die Datenschutzerklärung offline verfügbar gemacht werden, damit der interessierte Nutzer sich bereits vor der eigentlichen Installation über alle relevanten Aspekte der mit Windows 10 verbundenen Datenbearbeitungen informieren kann.
b) Seite „Schnell einsteigen“ Seitenaufbau Der Seitenaufbau ist für die Beurteilung der Transparenz wesentlich, da von ihm wesentlich abhängt, ob eine betroffene Person die relevanten Informationen zur Datenbearbeitung im Rahmen von Windows 10 wahrnimmt. Wesentlich zu dieser Wahrnehmbarkeit beitragen würde ein Seitentitel, der auf die Art und Inhalte dort abrufbaren Informationen schliessen liesse. Aus dem Seitentitel „Schnell einsteigen“ geht vorliegend für die Betroffenen leider nicht hervor, dass dort Informationen zur Übermittlung diverser Datenkategorien folgen und dass man bei einem Klick auf den Button diese standardmässig aktiviert. Die Anpassungsmöglichkeiten finden sich zudem nicht wie gewohnt bei den Buttons im Bereich unten rechts. Vielmehr sind sie über den Link „Einstellungen anpassen“ in kleiner, hellblauer Schrift auf blauem Hintergrund im linken unteren Bereich der Seite zu suchen. Die Aufmerksamkeit der Benutzer wird durch diesen Seitenaufbau und den Titel auf den grössten Button unten rechts gelenkt, was das Auffinden der datenschutzrelevanten Informationen und Funktionen erschwert. Die Anforderungen an eine transparente Information und an eine Datenbearbeitung nach Treu und Glauben werden so nur ungenügend erfüllt. Um diese zu erfüllen, müsste der Titel der Seite auf die Bearbeitung von Personendaten Bezug nehmen. Insbesondere darf er nicht suggerieren, dass es sich um zu überspringende Produkteinformationen handelte. In besonderem Masse gefördert wird dieser falsche Eindruck durch die sich in der untersten Zeile befindenden Buttons „zurück“ und „Express-Einstellungen“. Inhalt Der EDÖB begrüsst, dass Microsoft versucht, den Benutzern die Information über die Datenbearbeitungen in einer komprimierten Form zu präsentieren und nicht über das pauschale Anzeigen von mehrseitigen Datenschutzerklärungen. Leider werden mit der Zusammenfassung der Datenbearbeitung die Vorgaben an die Information über eine Datenbearbeitung dennoch nicht vollumfänglich erfüllt. So fehlen Informationen zur Speicherdauer der übermittelten Daten, zum Inhalt von Browserdaten oder zum Inhalt der vollständigen Übermittlung von Feedback- und Diagnosedaten. Letztere fehlten in der geprüften Version gänzlich und wurden erst zu einem späteren Zeitpunkt eingefügt46. Auch wird im Einleitungsabschnitt in keiner Weise auf die Möglichkeit der unmittelbaren Anpassung der Einstellungen mittels des untenstehenden Links hingewiesen. Der EDÖB kommt zum Schluss, dass der Seitenaufbau und der Inhalt der Seite „Schnell einsteigen“ nur beschränkt den Anforderungen an eine transparente Information und an eine Datenbearbeitung nach Treu und Glauben genügen. Damit verletzt Microsoft bei Datenbearbeitungen im Rahmen von Windows 10 das Transparenzprinzip.
46 Microsoft hat in Annex A der Rückmeldung vom 24. März 2016 diese Ergänzung vorgebracht.
22/38
c) Seite „Einstellungen anpassen“ Inhalt Der EDÖB begrüsst, dass Microsoft auch auf der Seite „Einstellungen anpassen“ versucht, die Information über die Datenbearbeitungen den Benutzern in einer komprimierten Form zu präsentieren und nicht über das pauschale Anzeigen der mehrseitigen Datenschutzerklärungen. Leider werden jedoch die Vorgaben an die Information über eine Datenbearbeitung auch mit den Informationen zu den einzelnen Einstellungsmöglichkeiten auf dieser Seite nur beschränkt eingehalten. Es fehlen auf der Seite Informationen resp. der Zugang zu Informationen zur Speicherdauer der übermittelten Daten sowie zum Inhalt von Browserdaten sowie von Feedback- und Diagnosedaten. Insbesondere wird den Benutzern keine Möglichkeit geboten, direkt auf die für die jeweilige Einstellung relevante Passage in der Datenschutzerklärung direkt, z.B. über einen Link, zuzugreifen. Bei der Einstellung des SmartScreen- Onlinediensts erfolgt, im Gegensatz zu den anderen aufgeführten Datenbearbeitungen, keine Information, dass dazu Daten an Microsoft gesendet werden. Weiter wird bei Einstellung der Übermittlung von Fehler- und Diagnosedaten an Microsoft der Anschein erweckt, dass diese vollständig ausgeschaltet werden kann. Dies ist jedoch technisch nicht möglich, die Übermittlung lässt sich nur auf die Feedback- und Diagnosedaten in der Konfiguration „Einfach“ reduzieren. Ein Hinweis auf diese Einschränkung und die Datenkategorien dieser standardmässigen Übermittlung fehlt. Der EDÖB kommt zum Schluss, dass der Inhalt der Seite „Einstellungen anpassen“ den Anforderungen für eine transparente Information nur teilweise genügt. Im Vergleich zu den Informationen und Einstellungsmöglichkeiten nach der Installation47 sind sowohl die Informationen zu den Datenbearbeitungen als auch die Einstellungsmöglichkeiten nicht annährend so detailliert. Die Ergänzung der Seite „Einstellungen anpassen“ würde sich umso mehr anbieten, als sie für diese nachträgliche Anpassung bereits technisch umgesetzt ist, sodass diese ohne grösseren Aufwand möglich wäre. Zusammenfassend kann festgehalten werden, dass Microsoft mit den vor der Installation zur Verfügung gestellten Informationen die Anforderungen an eine transparente Information der betroffenen Personen nur unzureichend erfüllt. So ist der Zugriff auf die Datenschutzerklärung von Microsoft unzureichend gewährleistet. Die Seite „Schnell einsteigen“ macht nicht klar, welche umfassenden Datenbearbeitungen und –übermittlungen mit der Wahl dieser Einstellungen möglich sind und informiert unzureichend über die Datenbearbeitungen. Zudem werden die Nutzer nicht angemessen über die bestehenden Wahlmöglichkeiten auf der Unterseite „Einstellungen anpassen“ in Kenntnis gesetzt. Auch auf der Seite „Einstellungen anpassen“ werden die relevanten Informationen nur unvollständig wiedergegeben, ohne dass hier ein direkter Zugriff auf die relevanten Passagen in den Datenschutzbestimmungen möglich wäre. Damit verletzt Microsoft bei Datenbearbeitungen im Rahmen von Windows 10 das Transparenzprinzip.
47 Vgl. Ziffer 3.4 der Sachverhaltsfeststellung.
23/38
3.4 Verhältnismässigkeit der Datenbearbeitung
Die Bearbeitung von Personendaten hat sich am Grundsatz der Verhältnismässigkeit auszurichten48. Verhältnismässigkeit bedeutet, dass ein Datenbearbeiter nur diejenigen Daten bearbeiten darf, die zur Erreichung eines bestimmten Zwecks objektiv geeignet und tatsächlich erforderlich sind, und dass die Nachteile, die mit der Bearbeitung verbunden sind, in einem angemessenen Verhältnis zu den Vorteilen stehen müssen. Die Datenbearbeitung muss für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel zumutbar sein (d.h. verhältnismässig i.e.S.). Dazu muss geprüft werden, ob zwischen dem Bearbeitungszweck und einer im Hinblick darauf nötigen (d.h. durch die Art und Weise der Bearbeitung gegebenenfalls bewirkte) Persönlichkeitsbeeinträchtigung ein vernünftiges Verhältnis besteht49. Es hat also eine Abwägung von Zweck und Wirkung des Eingriffs stattzufinden und es ist zu prüfen, ob nicht ein milderes Mittel ebenso zum Ziel führt. Die Prüfung der Verhältnismässigkeit verlangt eine Gesamtwürdigung aller Umstände.
3.4.1 Verhältnismässigkeit in inhaltlicher Hinsicht Eine Datenbearbeitung ist dann verhältnismässig, wenn sie inhaltlich auf das absolut Notwendige beschränkt wird, um ein bestimmtes Ziel zu erreichen. Die inhaltliche Verhältnismässigkeit fordert einen möglichst schonenden Umgang mit Personendaten. Dies bedingt auch, dass keine für den verfolgten Zweck nicht benötigten Überschussinformationen anfallen dürfen. Ebenso ist es unzulässig, Personendaten auf Vorrat zu erheben, sofern der damit verfolgte Zweck dies nicht unabdingbar erfordert50. Da die Prüfung der Verhältnismässigkeit somit stets eine Gegenüberstellung der fraglichen Datenbearbeitung mit dem damit verfolgten Zweck erfordert, gilt es in diesem Zusammenhang zu beachten, dass Microsoft im Rahmen von Windows 10 Daten zu unterschiedlichen Zwecken bearbeitet51. Der primäre Zweck besteht darin, das Betriebssystem als Online Service effizient, sicher und frei von illegalen Inhalten und Aktivitäten anzubieten.
a) Primärer Zweck – Anbieten eines aktuellen und sicheren Betriebssystem Zum primären Zweck hält Microsoft in Bezug auf die Daten der Telemetrie (Feedback und Diagnose) fest, dass ein Interesse der Kunden und von Microsoft besteht, die Dienste effizient, sicher und frei von illegalem Inhalt und Aktivitäten zu halten. Um dies auch bei ungeübten Anwendern sicherzustellen, ist es für private Benutzer nur möglich, die Übermittlung von Feedback- und Diagnosedaten auf die Stufe „einfach“ (basic telemetry data) einzuschränken. Komplett deaktiviert werden, können sie indessen nicht. Würden ungeübte private Nutzer die Möglichkeit haben, die Übermittlung der basic telemetry data vollständig auszuschalten, könnten notwendige ergänzende Sicherheitsmassnahmen unterlassen werden, wodurch das System zu wenig geschützt wäre. Dies hätte zwar primär Auswirkungen auf die Sicherheit und Performance der eigenen Systeme. Sekundär bedrohen infizierte und nicht vollständig
48 Art. 4 Abs. 2 DSG. 49 BBl 1988 II 450. 50 BGE 125 II 473 E. 4.b S. 476. 51 Vgl. Ziffer 3.2 vorstehend.
24/38
geschützte Systeme jedoch auch die Geräte anderer Nutzer in der gesamten Windows 10 Systemlandschaft, weshalb dieser Sicherheitsmechanismus nicht von der Wahl des einzelnen Benutzers abhängig sein darf. Im Gegensatz zu den Versionen für Private bietet die Enterprise Version die Möglichkeit, die Übermittlung vollständig zu unterbinden. Diese professionellen Anwender werden jedoch durch technisch ausgebildete Personen betreut, die mit einem Set von Enterprise-Management Tools die Sicherheit und Zuverlässigkeit des Systems selbständig und zuverlässig aufrechterhalten können. Daher ist bei der Enterprise-Version der automatisierte Minimal-Sicherheitsmechanismus nicht zwingend notwendig. Vor diesem Hintergrund erweist sich das Bearbeiten der Feedback- und Diagnosedaten auf der Stufe „einfach“ (basic telemetry data) zur Erreichung des primären Zwecks für die Consumer Version, die Gegenstand der vorliegenden Sachverhaltsklärung ist, als geeignet und erforderlich.
b) Über den primären Zweck hinausgehende Datenbearbeitungen Die weiteren Datenbearbeitungen jedoch gehen über das für den primären Zweck Notwendige hinaus. Sie stehen jeweils im Zusammenhang mit der Personalisierung der angebotenen Dienste und der Benutzeroberfläche sowie den zusätzlich verwendeten Apps oder der erweiterten Fehler- und Problemanalyse. Zum Zweck der Personalisierung ist es entscheidend, dass Informationen zum Benutzer in genügender Quantität und Qualität vorhanden sind. Damit z.B. die Assistentin die Benutzereingaben richtig versteht und interpretieren kann, muss diese auf eine Sammlung von Sprachmustern und persönlicher Daten Zugriff haben. So sind die Windows Datenkategorien (Sprache, Eingabe, Freihand, Positionsdaten einschliesslich Positionsverlauf, Browserdaten, Kontakte, Kalenderdaten) geeignet und erforderlich, um die Dienste in der gewünschten Qualität zu erbringen. Demzufolge sind diese Datenbearbeitungen für den Zweck der Personalisierung und die weiterführenden Funktionen verhältnismässig. Ausgehend vom primären Zweck, ein sicheres und effizientes Betriebssystem anzubieten, sind die darüber hinausgehenden Datenbearbeitungen jedoch unverhältnismässig: Für die jeweils spezifischen Zwecke zwar geeignet und erforderlich, sind die für den primären Zweck nicht notwendigen Daten als Überschussinformation zu qualifizieren. Eine zwingende Verknüpfung von unterschiedlichen Zwecke würde daher, aus datenschutzrechtlicher Sicht, zu problematischen Resultaten führen. Da der Nutzer eigentlich ein Betriebssystem erwirbt, muss es folglich stets möglich sein, dieses ohne die Bearbeitung von Überschussinformationen betreiben zu können. Er muss die Wahl haben zwischen einer Vollnutzung, inklusive der zusätzlichen Funktionen, und einer Teilnutzung, die sich auf das für das Betriebssystem Notwendige beschränkt. Dass durch die Einschränkung der Datenbearbeitung die zusätzlichen Dienste möglicherweise nur teilweise oder gar nicht funktionieren, muss der Nutzer dabei allerdings in Kauf nehmen. Beides ist bei Windows 10 in der untersuchten Version dem Grundsatz nach der Fall: So lassen sich die über die Grundfunktionalitäten hinausgehenden Datenbearbeitungen resp. die dazugehörigen Dienste deaktivieren. Damit kann der Nutzer quasi zwei verschiedene Produktevarianten einsetzen: Das Betriebssystem mit eingeschränktem erweitertem Funktionsumfang sowie das Betriebssystem mit den darüber hinausgehenden Funktionen. Der Benutzer hat mit anderen Worten, die Möglichkeit, zu den über die das Betriebssystem im engeren Sinne hinausgehenden Datenbearbeitungen eine Einwilligung abzugeben oder nicht.
25/38
Zur Frage, inwiefern die einwilligenden Erklärungen angesichts der festgestellten Transparenzmängel rechtlich zu beurteilen sind und in welchen Konstellationen darüber hinaus eine explizite Einwilligung nötig ist, verweisen wir auf Ziff. 3.5 dieses Berichts.
3.4.2 Verhältnismässigkeit in zeitlicher Hinsicht Das Erfordernis der Verhältnismässigkeit begrenzt die Datenbearbeitung auch in zeitlicher Hinsicht. Sofern personenbezogene Daten für den verfolgten Zweck nicht mehr gebraucht werden, sind sie zu vernichten oder zu anonymisieren. Dabei ist eine frühest mögliche Löschung/Anonymisierung vorzusehen. Die uns von Microsoft im Rahmen der Sachverhaltsabklärung bekannt gegebenen Aufbewahrungsfristen der übermittelten Daten werden für die einzelnen Datenkategorien unterschiedlich festgelegt. Die Beurteilung der Aufbewahrungsdauer einzelner Komponenten erfolgt aufgeteilt nach dem jeweiligen Zweck (Betriebssystem im engeren Sinne, Personalisierung, Berechtigungsmanagement und weitere Komponenten):
Betriebssystem im engeren Sinne (Sicherheit) Feedback- und Diagnosedaten Die Daten zur Telemetrie und Fehlermeldungen (Diagnose und Feedback) werden zum Zweck des Anbietens eines effizienten und sicheren Betriebssystems, das frei von illegalem Inhalt und Aktivitäten ist, gemäss genereller Richtlinie52 für 60 Tage aufbewahrt. Eine Einschränkung des zeitlichen Umfangs der Datenspeicherung würde die Identifizierung und Analyse dieser Probleme erschweren oder gar verunmöglichen. Einerseits müssen für die Erkennung von Sicherheits- und Funktionsproblemen Stichproben in einem gewissen Umfang bestehen, andererseits können nicht alle Fehler- und Problemmeldungen sofort bearbeitet werden. Weiter zu berücksichtigen ist, dass nur rund 1% aller Rückmeldungen von Telemetriedaten weiter bearbeitet werden. Damit schränkt Microsoft den Kreis der von der Datenbearbeitung betroffenen Personen sehr stark ein. Unter diesen Voraussetzungen ist die Speicherdauer von 60 Tagen für diese Daten verhältnismässig. Bei der erweiterten Aufbewahrungsdauer von 13 Monaten für Informationen zu installierten Updates gilt es zu beachten, dass der Eingriff in die Persönlichkeit der Betroffenen durch die Bearbeitung dieser Daten marginal ist. Weiter ist für die Analyse von Inkompatibilitäten bei Updates bei speziellen Konstellationen von Hardware und Software die Kenntnis über die während eines Jahres installierten Updates unter Umständen notwendig und damit auch verhältnismässig. Die Aufbewahrungsdauer der Feedback- und Diagnosedaten zum Zweck der Bereitstellung eines aktuellen und damit sicheren Betriebssystems in Relation zum Eingriff in die Persönlichkeit ist damit verhältnismässig.
52 Hinzugefügt gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016.
26/38
Personalisierung Für die Personalisierung der Dienste und der Benutzeroberfläche sowie zur Verbesserung der Plattformen und Positionsdienste ist es entscheidend, dass Informationen zum Benutzer in einer genügenden Quantität und Qualität vorhanden sind. Neben der inhaltlichen Breite der Daten hat auch die zeitliche Komponente einen entscheidenden Einfluss auf die Qualität der Personalisierung. Dies ist bei der Beurteilung der Verhältnismässigkeit in zeitlicher Hinsicht zu berücksichtigen. Für die Datenkategorien Position/Positionsverlauf, Spracherkennung, Freihand und Eingabe, welche zum Zweck der Personalisierung von Diensten und der Benutzeroberfläche sowie zur Verbesserung der Plattformen und Positionsdienste bearbeitet werden, ist die Aufbewahrungsdauer in Abhängigkeit von der dazugehörigen Datenbearbeitung unterschiedlich festgelegt.
Position/Positionsverlauf Die Positionsdaten werden im Rahmen der Windows 10 Funktion „Cortana“ bearbeitet. Zur Personalisierung von „Cortana“ erfolgt bei den an Microsoft übermittelten Positionsdaten nach 90 Tagen eine Reduktion der Genauigkeit auf rund 300 Meter. Nach 18 Monaten werden die Daten gelöscht. Der Zweck der standortbezogenen Personalisierung von „Cortana“ benötigt Positionsdaten über einen längeren Zeitraum. Wird der Zeitraum zu knapp bemessen, kann keine qualitativ ansprechende Personalisierung erfolgen. So könnten zum Beispiel keine jahreszeitabhängigen Interessen abgeleitet werden. Daher ist die Aufbewahrungsdauer nach der Reduktion der Genauigkeit zum Zweck der Personalisierung von „Cortana“ verhältnismässig. Zudem kann der Benutzer die Positionserkennung jederzeit deaktivieren53, was jedoch Auswirkungen auf „Cortana“ hat. Zusätzlich kann der Benutzer Apps von Dritten den Zugriff auf die Position und den Positionsverlauf der letzten 24 Stunden erlauben. In diesem Fall gelten die Datenschutzbestimmungen des App Anbieters. Eine Beurteilung der Verhältnismässigkeit der Aufbewahrungsdauer dieser Apps erfolgt daher nicht im Rahmen dieser Sachverhaltsabklärung.
Spracherkennung Die Sprachdaten werden mit einer eigenen Gerätekennung gespeichert, welche nach 18 Monaten entfernt wird. Der Benutzer hat jederzeit die Möglichkeit, über die Einstellung „Kennenlernen beenden“ die Erfassung zu beenden54. Dabei wird auch die zugewiesene Gerätekennung zurückgesetzt. Der Zweck der Bearbeitung von Sprachdaten ist die Optimierung und Verbesserung der Spracherkennung für den Benutzer. Eine funktionierende Spracherkennung ist essentielle Voraussetzung für digitale Assistenten: Wenn der Assistent nicht versteht, was der Benutzer von ihm möchte, kann er auch keine ordentliche Antwort geben. Microsoft bedient sich bei „Cortana“ einer ähnlichen Cloud-Technik wie Apple bei Siri: Stimmeingaben werden nicht lokal verarbeitet, sondern als Audiostream zum Microsoft-Sprachserver übermittelt, dort analysiert und die entsprechenden Aktionen an den PC des Anwenders übertragen. Dabei werden Wissensdatenbanken einbezogen. Um eine qualitativ gute Spracherkennung anbieten zu können, muss diese trainiert werden. Derzeit kann grob zwischen zwei Arten der Spracherkennung unterschieden werden: Sprecherunabhängige Spracherkennung (a) und sprecherabhängige Spracherkennung (b).
53 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3. 54 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3.
27/38
Charakteristisch für die sprecherunabhängige Spracherkennung (a) ist die Eigenschaft, dass der Benutzer ohne eine vorhergehende Trainingsphase sofort mit der Spracherkennung beginnen kann. Der Wortschatz ist jedoch auf einige tausend Wörter begrenzt. Sprecherabhängige Spracherkennungen (b) müssen vom Benutzer vor der Verwendung auf die eigenen Besonderheiten der Aussprache trainiert werden. Ein Einsatz in Anwendungen mit häufig wechselnden Benutzern ist damit nicht möglich. Der Wortschatz ist im Vergleich sehr viel grösser als der der sprecherunabhängigen Spracherkennungssoftware. Damit die Qualität der Spracherkennung gesteigert werden kann, benötigt diese eine sehr grosse Anzahl von Sprachmustern. Diese werden von Microsoft bis 18 Monate gerätebezogen abgespeichert, um die benutzerspezifischen Merkmale der Spracheingaben in die Spracherkennung einfliessen zu lassen. Nach 18 Monaten wird die Geräte-ID entfernt. Bei einer kürzeren Aufbewahrungsdauer würde die Qualität der Erkennung empfindlich abnehmen und die aktuellen Anforderungen der Benutzer an eine nahezu fehlerfreie Interaktion mit einer digitalen Assistentin wären nicht erfüllen. Daher ist die gerätebezogene Aufbewahrung dieser Daten über 18 Monate zum Zweck des Anbietens einer auf einen Benutzer angepassten Spracherkennung verhältnismässig.
Freihand und Eingabe Bei der Funktion Eingabe und Freihand werden die getippten und handgeschriebenen Worte erfasst, um ein personifiziertes Benutzerwörterbuch anzubieten, das dem Benutzer helfen soll, mit einer besseren Zeichenerkennung auf dem Gerät zu tippen oder zu schreiben und diesen während des Tippens oder Schreibens mit Textvorschlägen ersorgt. Mit dem Tippen wird eine Stichprobe von durch die Benutzer eingegebenen Buchstaben und Wörtern erfasst. Damit die Qualität der Erkennung gesteigert werden kann, benötigt diese eine sehr grosse Anzahl von Eingabemustern. Wie bei den Sprachdaten haben die Benutzer auch bei den Daten zu Eingabe und Freihand jederzeit die Möglichkeit, über die Einstellung „Kennenlernen beenden“ die Erfassung zu beenden. Zudem können die Benutzer die für die Eingabenpersonalisierung gespeicherten Informationen jederzeit im Microsoft Konto einsehen und löschen. Dieses Konto wird gemäss Ziff. 4 a (ii) des Microsoft-Servicevertrags nach fünfjähriger Inaktivität gelöscht. Die erfassten Daten werden von Microsoft weiter auch zur Verbesserung der Verarbeitung der Eingaben verwendet. Hierzu werden die Daten bis 10 Jahre aufbewahrt, jedoch nicht in der ursprünglich erhobenen Form. Von den erfassten Daten werden in einem mehrstufigen Prozess die vom Microsoft als sensibel eingestuften Daten (wie E-Mail-Adressen, Passwörter und Alphanumerische Daten) entfernt und schliesslich die Wörter in mehrere Teile zerlegt. Damit soll keine Möglichkeit mehr bestehen, die Informationen zu identifizieren und die Trennung rückgängig zu machen. Wichtig ist hierbei, dass die Benutzer jederzeit die Möglichkeit haben, die Spracherkennung zu deaktivieren55. Unter diesen Voraussetzungen ist diese Datenbearbeitung in zeitlicher Hinsicht verhältnismässig.
Berechtigungsmanagement Kontakte und Kalender Windows 10 bietet den Benutzern jeweils an einem Menüpunkt in den Einstellungen die Verwaltung aller Zugriffsberechtigung von Apps auf Kontakte und Kalender an. Windows 10 als Betriebssystem bearbeitet jedoch keine Daten in den Kategorien Kontakte und Kalender selbst. Die Bearbeitung der Kontakt- und Kalenderdaten richtet sich nach den für die jeweilige Apps geltenden Da-
55 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3.
28/38
tenschutzbestimmungen und bildet daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung. Im vollständigen Funktionsumfang von Windows 10 ist auch die Assistentin „Cortana“ enthalten. Diese benötigt für die Eingabenpersonalisierung ebenfalls Zugriff auf die Kontakt- und Kalenderdaten, damit Menschen und Ereignisse besser erkannt werden, wenn der Benutzer Nachrichten oder Dokumente diktiert. Ohne die Kenntnisse über die Kontakte und vergangene und anstehende Ereignisse sinkt die Qualität der Erkennung der Eingabe (Sprach und Freihand) und erfüllt die aktuellen Anforderungen der Benutzer an eine nahezu fehlerfreie Interaktion mit einer digitalen Assistentin nicht. Die Kontakt- und Kalenderdaten werden durch „Cortana“ solange bearbeitet, wie diese aktiviert ist. Die Benutzer haben jederzeit die Möglichkeit, die Zugriffe in den Einstellungen zu deaktivieren56 und die auf dem Gerät gespeicherten Daten zu löschen. Weiter können die Benutzer die für die Eingabenpersonalisierung gespeicherten Informationen jederzeit im Microsoft Konto einsehen und löschen. Dieses Konto wird gemäss Ziff. 4 a (ii) des Microsoft-Servicevertrags nach fünfjähriger Inaktivität gelöscht. Auch dies erweist sich als verhältnismässig.
Sprachliste Unter Sprachliste erfolgt die Verwaltung der Zugriffsrechte auf die Sprachliste (Einstellungen des Benutzers zur Sprache des Betriebssystems und der Eingabegeräte). Die Einstellung löst keine Datenbearbeitung im Zusammenhang mit dem Betriebssystem Windows 10 in engeren Sinn aus und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung. Die Aufbewahrungsdauer der erfassten Daten richtet sich nach den für das zugriffsberechtige Programm geltenden Datenschutzbestimmungen.
Kamera und Mikrofon Über die Einstellungen Kamera und Mikrofon können die Zugriffsberechtigungen auf Kamera und Mikrofon eingestellt werden. Die Aufnahmen über Mikrofon und Kamera werden durch das Betriebssystem nicht auf Vorrat gespeichert. Die Aufnahme erfolgt in Echtzeit direkt durch die zugriffberechtigten Apps. Die Aufbewahrungsdauer der erfassten Daten richtet sich nach den für das zugriffsberechtige Programm geltenden Datenschutzbestimmungen und bildet daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung. Microsoft hat aber den Zugriff auf Kamera und Mikrofon standardmässig aktiviert, jedoch kann der Zugriff für alle Apps zusammen oder für jedes einzelne App separat eingestellt werden. Möchten Apps Zugriff auf Kamera und Mikrofon, müssen sie dies gemäss den Windows Store-Richtlinien deklarieren und eine Datenschutzerklärung anbieten und diese einhalten.
Messaging Unter Messaging erfolgt die Verwaltung der Zugriffsrechte auf die Messaging Funktionalitäten (Lesen und Senden von Nachrichten (SMS und MMS)). Die Datenbearbeitung erfolgt durch die zugriffberechtigten Apps. Die Aufbewahrungsdauer der erfassten Daten richtet sich nach den für diese Apps geltenden Datenschutzbestimmungen und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung.
56 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3.
29/38
Funkempfang Unter diesem Menüpunkt wird die Verwaltung der Zugriffsrechte auf die Funktechnik des Geräts durch Apps ermöglicht. Die Einstellung löst keine Datenbearbeitung im Zusammenhang mit dem Betriebssystem Windows 10 in engeren Sinn aus und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung.
Weitere Geräte Es wird unter diesem Menüpunkt die Verwaltung der Rechte für Apps ermöglicht, welche mit anderen Geräten Daten austauschen dürfen. Die Einstellung löst keine Datenbearbeitung im Zusammenhang mit dem Betriebssystem Windows 10 in engeren Sinn aus und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung.
Hintergrund Apps Unter diesem Menüpunkt wird die Verwaltung von Rechten für Apps ermöglicht, welche Daten empfangen und senden dürfen, auch wenn sie nicht genutzt werden. Die Einstellung löst keine Datenbearbeitung im Zusammenhang mit dem Betriebssystem Windows 10 in engeren Sinn aus und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung.
Kontoinformationen Unter diesem Menüpunkt werden die Zugriffsrechte für Apps auf die Kontoinformationen verwaltet. Eine Datenbearbeitung durch Windows 10 im engeren Sinne wird nicht ausgelöst. Der Verwendungszweck der Kontoinformationen richtet sich nach den für das jeweilige Programm geltenden Datenschutzbestimmungen
Werbungs-ID Mit der Einstellung Werbungs-ID erfolgt keine weitere Datenbearbeitung durch Windows 10. Die Werbungs-ID ist eine eindeutige ID, welche von Windows für jeden Benutzer eines Gerätes vergeben wird, wenn der Benutzer die Werbungs-ID aktiviert57. Der Benutzer kann während dem Windows Setup wählen, die Werbungs-ID nicht zu aktivieren57 und den Zugriff auf diese Kennung jederzeit in den Geräteeinstellungen deaktivieren. Sobald die Verwendung der Werbungs-ID erneut aktiviert wird, wird eine neue Kennung erzeugt. Die Kennung ist auf dem Gerät gespeichert und wird durch dieses App-Entwicklern, die die Werbungs-ID verwenden58, zur Verfügung gestellt.
Weiter Komponenten WLAN Optimierung Die WLAN-Optimierung ist nur in Verbindung mit einem Microsoft Konto möglich. Die Netzwerkschlüssel werden dabei nur übertragen, wenn ein Opt-In in die Sync Einstellung erfolgt ist. Microsoft kann die Netzwerkschlüssel nicht entschlüsseln, hierzu sind nur die durch den Benutzer als vertrauenswürdig eingestuften Geräte in der Lage. Weiter kann die Funktion durch den Benutzer jederzeit deaktiviert werden. Windows 10 selbst bearbeitet Daten dieser Kategorie nicht für die Funktion des Betriebssystems im engeren Sinne und ist daher nicht Bestandteil der vorliegenden Sachverhaltsabklärung.
57 Hinzugefügt gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 58 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016.
30/38
SmartScreen-Filter Der SmartScreen-Filter ist eine Schutzfunktion in den Internetbrowsern Microsoft Edge und Internet Explorer sowie in Windows generell (bezüglich den heruntergeladenen Dateien) und untersucht besuchte Webseiten auf potentiell unsichere Inhalte und heruntergeladene Dateien auf potentielle Schadsoftware.59 Er vergleicht dabei aus dem Web heruntergeladene Dateien mit einer Liste von Dateieigenschaften, die mit Schadsoftware und Programmen assoziiert sind, die unsicher sein könnten.59 Wenn eine Übereinstimmung gefunden wird, zeigt der SmartScreen-Filter die Warnung an, dass der Download aus Sicherheitsgründen blockiert wurde. Dazu werden beim Browsen im Web die Internetadressen (URLs) einer kleinen Teilmenge der angefragten Webseiten an Microsoft zur Überprüfung gesendet.59 Bei der Überprüfung einer Datei werden Daten zu dieser Datei an Microsoft gesendet, einschliesslich des Dateinamens, eines Hashs60 der Inhalte der Datei und der digitalen Zertifikate dieser Datei. URLs und heruntergeladene Dateien, die bösartig sein könnten, werden mit nicht an Nutzer geknüpfte Identifikatoren gespeichert, um Microsoft zu helfen, akkurate Metriken und Modelle zu entwickeln.60 Einige URLs und Dateien sehen bei der ersten Prüfung vielleicht nicht bösartig aus, können aber später als bösartig identifiziert werden.61 Der SmartScreen-Filter lässt sich in den erweiterten Einstellungen von Edge konfigurieren. Standardmässig ist der Schutz eingeschaltet62, wenn der Benutzer die Express-Einstellungen verwendet. Dabei erfolgt keine personenbezogene Speicherung der übermittelten Daten. Somit werden die Daten im frühest möglichen Zeitpunkt anonymisiert. Die Datenbearbeitung in zeitlicher Hinsicht ist daher verhältnismässig.
Browserdaten und Browserverlauf AutoSuchen, Suchvorschläge, Seitenvorhersage und vorgeschlagene Sites sind weitere Funktionen von Microsoft Edge, welche eine Datenübermittlung zur Folge haben. Diese nutzen die Browserdaten und den Browserverlauf für ihre Personalisierung. AutoSuchen und Suchvorschläge senden im Internet Explorer automatisch Informationen, die in die Adresszeile des Browsers des Standardsuchanbieters (wie z. B. Bing) eingegeben werden. Während der Eingabe des Suchbegriffes, wird eine Suchempfehlung angezeigt. In Microsoft Edge versenden diese Funktionen die Eingaben automatisch an Bing, und dies selbst dann, wenn ein anderer Standardsuchanbieter ausgewählt wurde. Eine Deaktivierung ist jederzeit möglich63. Die Funktion Seitenvorhersage sendet den Browserverlauf an Microsoft und verwendet aggregierte Browserverlaufsdaten, um vorherzusagen, welche Seiten der Nutzer sich wahrscheinlich als nächste anschauen wird und lädt diese Seiten proaktiv im Hintergrund, um eine schnellere Browserfunktion zu ermöglichen. Eine Deaktivierung ist jederzeit möglich64. Die Funktion Vorgeschlagene Sites empfiehlt Webinhalte, die der Nutzer interessieren könnten, basierend auf dem Such- und Browserverlauf. Eine Deaktivierung ist jederzeit möglich65.
59 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 60 Angepasst gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 61 Hinzugefügt gemäss Formulierungsvorschlag der Microsoft Corporation vom 30. November 2016. 62 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3. 63 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3. 64 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3. 65 Zur Frage von Opt-In und –Out s. nachfolgende Ziff. 3.5.3.
31/38
Beim Browserverlauf werden maximal 45 Tagen nach der Erfassung die Identifikatoren entfernt. Für die Datenbearbeitung zum Zweck der Funktionen AutoSuchen und Suchvorschläge, Seitenvorhersage, Vorgeschlagene Sites sind Information über den Browserverlauf und die Eingaben notwendig, um diese Funktionen mit einer brauchbaren Qualität anzubieten. Daher ist die Datenbearbeitung mit Speicherdauer von 45 Tage verhältnismässig. Eine kürzere Aufbewahrungsdauer würde die Qualität stark beeinflussen. Weiter haben die Benutzer jederzeit den Zugriff auf die gespeicherten Daten samt der Möglichkeit, diese zu löschen. Die Datenbearbeitung in zeitlicher Hinsicht ist daher verhältnismässig. Zusammenfassend kann festgehalten werden, dass die Datenbearbeitungen im Rahmen von Windows 10 in inhaltlicher Hinsicht verhältnismässig sind, soweit sie den primären Zweck, ein sicheres und effizientes Betriebssystem anzubieten, betreffen. Darüber hinausgehende Bearbeitungen sind nicht verhältnismässig und müssen mit einem Rechtfertigungsgrund legitimiert werden. In zeitlicher Hinsicht kann festgehalten werden, dass die Datenbearbeitungen im Rahmen von Windows 10 verhältnismässig sind.
3.5 Rechtfertigungsgründe Wie ausgeführt verletzt Microsoft mit den Datenbearbeitungen im Rahmen von Windows 10 insbesondere den Grundsatz der Transparenz66 und, ausgehend vom primären Zweck der Datenbearbeitung, auch den Grundsatz der Verhältnismässigkeit67. Nachfolgend muss daher geprüft werden, ob Microsoft Rechtfertigungsgründe hat, welche diese Datenbearbeitungen trotzdem legitimieren würden68. Das Bundesgericht hat im Urteil BGE 136 II 508 vom 8. September 2010 in E.5.2.4, zu den Rechtfertigungsgründen betreffend Art. 12 Abs. 2 lit. a DSG Folgendes festgehalten: Eine strikt systematische Auslegung, wonach lediglich bei lit. b und c, nicht aber bei lit. a von Art. 12 Abs. 2 DSG die Geltendmachung eines Rechtfertigungsgrunds zulässig sein soll, erweist sich als verfehlt. Art. 12 Abs. 2 lit. a DSG ist daher so auszulegen, dass eine Rechtfertigung der Bearbeitung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG zwar nicht generell ausgeschlossen ist, dass Rechtfertigungsgründe im konkreten Fall aber nur mit grosser Zurückhaltung bejaht werden können. Im vorliegenden Fall sind weder gesetzliche Grundlagen noch überwiegende öffentliche Interessen ersichtlich, weshalb nur ein überwiegendes privates Interesse oder die Einwilligung der Betroffenen als Rechtfertigungsgründe in Frage kommen.
3.5.1 Überwiegendes privates Interesse Der Rechtfertigungsgrund des überwiegenden privaten Interessens verlangt eine wertende Abwägung der Interessen im Einzelfall. Eine gegen die Bearbeitungsgrundsätze verstossende Datenbearbeitung ist nur dann gerechtfertigt, sofern und soweit die berechtigten Interessen an der Datenbearbeitung überwiegen.
66 Vgl. Ziff. 3.3 vorstehend. 67 Vgl. Ziff. 3.4 vorstehend. 68 Art. 13 i.V.m. Art. 12 Abs. 2 lit. a DSG.
32/38
Verstoss gegen das Transparenzprinzip Wie erwähnt ist das Transparenzprinzip ein Grundpfeiler des Schweizerischen Datenschutzrechts69. Die Rechtfertigung einer dagegen verstossenden Datenbearbeitung ist daher nur schwer vorstellbar. Insbesondere auch im Lichte der oben zitierten bundesgerichtlichen Rechtsprechung, wonach Rechtfertigungsgründe bei Verletzungen der Bearbeitungsgrundsätze nur mit Zurückhaltung anzunehmen sind, sind keinerlei private Interessen ersichtlich, welche vorliegend einen derartigen Verstoss rechtfertigen könnten. Verstoss gegen das Verhältnismässigkeitsprinzip Wie bereits ausgeführt70 erachtet der EDÖB die Bearbeitung der Feedback- und Diagnosedaten auf der Stufe „einfach“ zur Bereitstellung eines sicheren und effizienten Betriebssystems als verhältnismässig. Die darüber hinaus gehenden Datenbearbeitungen (sowohl inhaltlich auch hinsichtlich weiterer Zwecke) stuft er jedoch, in Bezug auf den primären Zweck, als unverhältnismässig ein. Auch hier sind keine privaten Interessen ersichtlich, welche diesen Verstoss rechtfertigen könnten.
3.5.2 Einwilligung Die Anforderungen an die Einwilligung in eine Datenbearbeitung ergeben sich aus Art. 4 Abs. 5 DSG. Diese ist n