Mit Erstaunen stellen wir fest, dass ein sehr großer Teil der IT Welt mehr oder weniger offensichtlich unter einer Art Microsoft-Skotom^[1][2] leiden muss. Dies betrifft nicht nur die Tatsache, dass diese Firma es schafft, dass nahezu sämtliche Gesetze und Regelungen bezüglich Beschaffungsmaßnahmen und Ausschreibungen extrem tolerant ausgelegt werden, sondern auch, dass wir bisher nur wenige Artikel oder Bericht gelesen haben, in dem z.B. die online Patch/Hilfe/Suche Problematik (mit Bezug zur DSGVo) auch nur angesprochen wird. Dies betrifft zwar nahezu alle aktuellen Systeme, aber die Windows-Produkte sind da am weitesten entwickelt (ok - von Alexa abgesehen...).

Wie verhält es sich denn nun, wenn ich mich um alle Belange der Datensicherheit von personenbezogenen Daten gekümmert habe, ich die Daten schön - wie in meinem Verzeichnis dokumentiert - sicher auf einem Server ablege, alte Daten lösche,
... und dieser Server (und alle Rechner im Netz) von Update-Routinen gescannt werden und sich mit externen Systemen in Verbindung setzen, um Patches zu laden.

Und das zu Zeiten, die vom Benutzer kaum zu definieren sind^[3]?
Jeder kennt das: "Ich bin für heute fertig mit meiner Arbeit! Oh mein PC installiert gerade Updates...".

Mehr noch: Die Desktop-Suche (wie gesagt - Sie suchen Daten auf Ihrem PC) von Windows 10 überträgt Daten an externe Server.
Sie tippen im Suchfeld z.B. "Rechnung Peter Müller" ein, dabei werden - per default und natürlich verschlüsselt - Daten an externe Microsoft Cloud Server übertragen.
Dies ist kein ein Witz - jeder, der in der Lage ist, ausgehende Datenpakete zu überwachen, kann dies nachvollziehen. Da die Übertragung allerdings 'Betriebsgeheimnis' ist, kann keiner - außer der Hersteller - sagen, was da wirklich übertragen wird. Nachlesen kann man dies in verschiedenen Berichten von Verbraucherzentralen und Verlagen wie Heise, Welt, Chip u.s.w.. Leider erschöpfen sich diese Artikel meist in technischen Tipps, um bei jeder neuen Version diverse Schalter umzulegen. Konsequenzen scheint der Vorgang (im Hinblick auf eine valide DSGVO- Bewertung) aber kaum zu haben.

Wie man dies aber nicht als klare 'Auftragsverarbeitung' sehen kann, erscheint schleierhaft. Denn - wie weiter oben beschrieben - reicht die Möglichkeit aus, Daten lesen zu können, um in die Kategorie "Verarbeitung" eingestuft zu werden.

...und wie ist eine Bewertung von Virenscannern? ... Der Google Suche?

Als absolutes Minimum muss dieser Vorgang zumindest in der Risikobewertung Beachtung finden.

Die unausgesprochene ewige Begründung 'weil alle XXXX benutzen, bleibt uns nichts anderes übrig...' wird einem wie auch immer gearteten Datenschutz in keiner Weise gerecht.

[1] eigentlich müssten alle System, die online Daten übertragen auf eine Vertraulichkeit untersucht werden.
[2] siehe Wikipedia: Blinder Fleck
[3] ...ja, dies kann man über gefühlte 100 Schalter der Policy anpassen (die scheinbar bei jedem Patch variieren). Dabei ist man bitte durch 0.01%-0,1 der User zu ersetzen.