Windows 10: Chefs riskieren privat zu haften
Microsoft beendet den Support für Windows 10. Im Oktober 2025 ist Schluss. Viele der Geräte, auf denen das Betriebssystem installiert ist, dürften sich dann in Elektroschrott verwandeln. Der Grund: Sie lassen sich nicht mehr aktualisieren. Darauf müssen sich Geschäftsführer vorbereiten. Wer zu spät handelt, riskiert womöglich privat zu haften.
Ein kleiner Chip sorgt für großen Ärger. Bei vielen älteren Geräten fehlt er: der TPM-2-Chip. Windows 11 setzt ihn voraus. Darum stehen sowohl private Anwender, aber auch viele Unternehmen vor einem Problem: Sie können ihre mit Windows 10 betriebenen Computer nicht mehr weiter nutzen, wenn das Supportende kommt. Selbst Geräte, die noch einwandfrei funktionieren, müssen dann entsorgt werden. Das kommt immer mal wieder vor, nicht nur bei Produkten von Microsoft. Auch bei Apple fallen ältere Macs aus dem Support für die neuesten Betriebssysteme heraus. Und im Sommer hat Vodafone angekündigt, viele smarte Geräte nicht mehr zu unterstützen.
Windows 10: Weiterbetrieb ist keine Option
Vodafones Entscheidung betrifft beispielsweise GPS-Tracker oder SOS-Bänder. Dabei handelt es sich um Geräte, die nicht nur eine spielerische Funktion haben, sondern bei etwa Pflegediensten eingesetzt werden, um Patienten zu überwachen oder einen Notruf abzusetzen. Wer diese Produkte nutzt, muss sich schnellstens um Ersatz bemühen und dafür sorgen, dass sensible Daten von den Speichermedien verschwinden. Das können Festplatten sein, aber auch elektronische Speicher wie Flash Drives oder SIM-Karten. Es wird geschätzt, dass das Supportende von Windows 10 weltweit sogar bis zu 240 Millionen Computer betrifft.
Umwelt- und Verbraucherschützer kritisieren, dass dadurch eine gigantische Welle an Elektroschrott ausgelöst würde, die sich vermeiden ließe. Viele Unternehmen könnten sich überlegen, ob sie die Geräte einfach weiterverwenden. Doch das ist keine Option. Ein Supportende bedeutet, dass der Hersteller keine Sicherheitsupdates mehr anbietet und neu entdeckte Sicherheitslücken folglich nicht mehr geschlossen werden. Damit würde das Betriebssystem anfällig für Cyberangriffe und Datenlecks. Fließen wertvolle Geschäftsdaten, personenbezogene Daten oder andere Daten, die sensibel und darum besonders zu schützen sind, ab, drohen finanzielle Risiken.
Diese Risiken ergeben sich aus dem Gesetz, etwa der DSGVO, oder weil Konkurrenten geschäftskritische Informationen in die Hände fallen könnten. Dies würde es Hackern etwa ermöglichen Sicherheitslücken ausnutzen, um Ransomware auf die Geräte zu spielen und Geld zu erpressen. Auf den ersten Blick sind das Risiken, denen sich jedes Unternehmen ausgesetzt sieht. Doch hier wäre möglicherweise ein konkreter Schuldiger denkbar: Der Geschäftsführer, der zugelassen hat, dass veraltete Software im Unternehmen eingesetzt wird. Damit könnte er seine Pflicht verletzt haben, die sich aus § 43 GmbH-Gesetz ergibt. In solchen Fällen ist dieser verpflichtet, den Schaden zu erstatten. Er haftet er dem Unternehmen gegenüber persönlich und unbegrenzt mit seinem gesamten Privatvermögen („Organhaftung“).
Damoklesschwert: Beweislastumkehr
Erschwerend kommt hinzu, dass Geschäftsführer selbst nachweisen müssen, dass sie sich um alles gekümmert haben, was zu ihren Pflichten zählt. Dazu kann beispielsweise auch zählen, die Daten im Unternehmen angemessen zu schützen. Deshalb bleiben im Fall von Windows 10 bloß drei Optionen übrig, um zu gewährleisten, dass die Daten weiterhin sicher bleiben:
- Kostenpflichtig den Support verlängern. Microsoft bietet das für einen Zeitraum von drei Jahren an. Das Problem würde also in die Zukunft verlagert, aber nicht gelöst.
- Auf ein anderes Betriebssystem wechseln. Das scheidet meistens aus, weil die Nutzer an Windows gewöhnt sind oder weil Software von Dritt-Anbietern dieses Betriebssystem voraussetzen.
- Altgeräte entsorgen und neue beschaffen.
Die meisten Unternehmen dürften sich gezwungenermaßen dafür entscheiden, sich um neue Geräte zu kümmern und die alten zu entsorgen. Doch auch dabei kann viel falsch laufen. Computer bestehen üblicherweise aus einem Gehäuse, aus elektronischen Bauteilen, einem Akku und Datenträgern. Weil es sich bei Akkus um Gefahrenstoffe handelt und sich viele der elektronischen Bauteile recyceln lassen, müssen die Geräte zerlegt werden. Es ist nicht ausreichend, sie einfach bei der Wertstoffsammlung, im Handel oder bei einem IT-Dienstleister wieder abzugeben. Das geht schon deshalb nicht, weil die Datenträger physisch vernichtet werden sollten, sofern diese vorher nicht analog zu den Vorgaben des BSI verschlüsselt waren. In der Regel trifft dies im klassischen gewerblichen Fall nicht zu.
Sollte ein Geschäftsführer später in Anspruch genommen werden, weil Daten aus dem Unternehmen abgeflossen sind und im Raum steht, dass Pflichten verletzt wurden, muss er nachweisen können, dass er sich korrekt verhalten hat. Korrektheit setzt in der Regel voraus, dass ein Prozess im Unternehmen implementiert wurde, der strukturiert darstellt, wie mit sensiblen Daten umgegangen wird – und das schließt die Entsorgung der Daten mit ein. Dieser Aspekt wird häufig übersehen. Viel wichtiger scheinen den Verantwortlichen oftmals die klassischen Vorgaben zum Datenschutz, etwa im Marketing, in der Personalabteilung oder bei Veranstaltungen. Auch an Schutzfolien wird häufig gedacht, damit an öffentlichen Orten oder beim Arbeiten in der Bahn niemand auf den Bildschirm schauen kann. Doch all das reicht noch nicht.
Windows 10: Vor der Haftung schützen
Geschäftsführer, die sich vor der persönlichen Haftung schützen wollen, sollten sich um alle Aspekte des Datenschutzes kümmern. Dazu gehört:
- Regelmäßig informieren: Auch wenn es einen Datenschutzbeauftragten gibt, sollten sich Geschäftsführer stets über die aktuellen Vorgaben auf dem Laufenden halten.
- Schutzkonzept entwickeln: Unternehmen sollten dokumentieren, welche Daten im Umlauf sind, wer Zugang zu ihnen hat und wie sie geschützt werden.
- Mitarbeiter schulen: Jeder im Unternehmen muss wissen, welche Vorgaben gelten und wie er sich korrekt verhält, wenn es um sensible Daten geht.
- Software überwachen: Software muss stets auf dem aktuellen Stand sein und daraufhin überprüft werden, ob sie von einem vertrauenswürdigen Hersteller stammt.
- Geräte überwachen: Geht etwas an einem Gerät kaputt, müssen die Datenträger entfernt und zerstört werden, damit sich keine Daten mehr wiederherstellen lassen.
- IT-System einführen: In einem IT-System lässt sich dokumentieren, welche Geräte und Software im Einsatz sind und an welche Prozesse sich das Unternehmen hält.
- Datenvernichtung planen: Geräte oder Software, die an ihr Lebensende gelangen, müssen ordnungsgemäß entsorgt werden.
All diese Aufgaben müssen Geschäftsführer nicht selbst erledigen. Sie können dafür, wie für alle anderen anfallenden Tätigkeiten auch, jemanden bestimmen. Was sich aber nicht delegieren lässt, ist die Haftung. Wer etwa einen IT-Dienstleister beauftragt, um seine Mitarbeiter mit den nötigen Arbeitsmitteln auszustatten, muss trotzdem dafür sorgen, dass die Datenträger beispielsweise nach den aktuell gültigen Normen (DIN oder ISO) vernichtet werden.
In der Praxis heißt das, Service Level Agreements oder, je nach Art der Beauftragung AV-Verträge, zu vereinbaren, um nachweisen zu können, dass dieser Verantwortung genüge getan wurde. Am besten lassen sich Unternehmen normgerecht nachweisen, welche Datenträger mit welcher Seriennummer wann und wie vernichtet worden sind.
Je nachdem, um welche Art Datenträger es sich handelt, kommen unterschiedliche Verfahren zum Einsatz. Mikrofilme oder Röntgenbilder werden anders vernichtet als Akten oder Speichermedien. Wie genau, das regelt die Normen DIN 66399 beziehungsweise die gleich lautende ISO 21964, nach denen zuverlässige Datenvernichtungsbetriebe in Deutschland zertifiziert werden. Über sogenannte Schutzklassen von 1 bis 3 wird zudem eingestuft, um welche Datenkategorie es sich handelt beziehungsweise, wie hoch der Schutzbedarf ausfällt. Personenbezogene Daten genießen beispielsweise einen hohen Schutzbedarf, geheime Informationen sogar einen sehr hohen. So gibt die SK 2 H etwa an, dass es sich um Daten mit hohem Schutzbedarf auf einer magnetischen Festplatte (HDD) handelt.
Mit diesen Informationen sowie Angaben darüber, wie häufig und in welcher Menge bestimmte Datenträger vernichtet werden sollen, lassen sich professionelle Anbieter beauftragen oder Service Level Agreements mit IT-Dienstleistern abschließen.
Fazit
Das Supportende von Windows 10 betrifft zahlreiche Unternehmen in Deutschland. Diese müssen sich damit beschäftigen, wie sie Geräte ersetzen, falls sie sich nicht auf die aktuelle Version 11 von Windows updaten lassen, oder wie sie die Geräte entsorgen und dabei auf den Datenschutz achtgeben. Geschäftsführer könnten wegen der gesetzlichen Organhaftung mit ihrem eigenen Portemonnaie haften, falls sie sich nicht rechtzeitig oder nicht ausreichend darum kümmern, für sichere IT-Systeme und aktuelle Software im Unternehmen zu sorgen. Auf Nummer sicher geht, wer von vornherein die Datenvernichtung in sein Schutzkonzept aufnimmt und dokumentiert, wann Datenträger beschafft und wieder vernichtet worden sind.
Einen kompletten Überblick bietet das Whitepaper „Datenvernichtung: 7 Dinge, die Datenschützer nicht wissen“, das unter kostenfrei zum Download bereitsteht.