Hinweis: IANAL
Im Enterprise spricht der WSUS-Server mit Microsoft. Dabei werden keine personenbezogenen Daten ĂĽbermittelt. Ergo kann man im Enterprise die Erfordernis von personenbezogenen Daten auch abschalten.
Im Nicht-Enterprise spricht der Rechner direkt mit dem Update-Server von Microsoft. Und damit existiert (in Deutschland! In anderen Ländern ist das anders!) nun einmal unabdinglich die Erfordernis der Erlaubnis, personenbezogene Daten an Microsoft zu übermitteln.
Denn die IP-Adresse gehört in Deutschland zu den direkt personenbezogenen Daten (ist also eben genau kein pseudonymes Datum. Sage nicht ich, das sagt der EuGH).
Egal wie wir es also drehen oder wenden wollen, Win10 *muss* deshalb personenbezogene Daten an Microsoft ĂĽbermitteln weil es ohne IP die Updateserver nicht erreichen kann. Und das muss es immer. Da beiĂźt die Maus hierzulande eben einfach keinen Faden ab.
(In anderen europäischen Ländern kann die IP ein pseudonymes Datum sein. Ob das so ist oder nicht weiß ich nicht. Für Deutschland aber gibt es hierzu eine klare, unmissverständliche und auch noch korrekte Feststellung des EuGH, nämlich dass IPs zu den personenbezogenen Daten zählen.)
Dass dann neben solchen ggf. extrem sensiblen personenbezogenen Daten (bei IPv6 ist ggf. die MAC involviert und kann so ggf. einem Kind zugeordnet sein, was wiederum bedeutet, dass hier sogar die deutlich restriktiveren Erwägungsgründe der DSGVO greifen) auch noch "weniger klar personenbezogene" Telemetriedaten mit übermittelt werden, das ist in dieser Diskussion dann aber wirklich vollkommen unerheblich.
Wenn wir Microsoft diese erforderliche Ăśbermittlung personenbezogener Daten untersagt wĂĽrden, dann muss Microsoft den automatischen Update abschalten.
Wollen wir das? Wollen wir, dass der NormalDAU sein Windows nicht mehr automatisch geupdatet bekommt? Wollen wir uns neben den Millionen IoT-Bots auch noch mit Millionen HeimanwenderPC-Bots herumschlagen mĂĽssen?
Nein, das wollen wir sicher nicht. Also *mĂĽssen* wir Microsoft gestatten, personenbezogene Daten zu ĂĽbermitteln, weil es , wegen der IP erforderlich ist.
Und genau so einfach liegt es meiner Meinung nach!
Erst wenn wir dafür sorgen würden, dass die IP-Adresse in Deutschland nicht mehr zu den (ggf. sensiblen) personenbezogenen Daten gehört, erst dann könnten wir Microsoft diese Praxis untersagen.
Und, wird sich das mit der IP in Deutschland ändern? Wird die IP in Deutschland irgendwann ein Pseudonymes Datum sein können?
Mit ziemlicher Sicherheit wird sich da ohne eine zwingend nicht abwendbare Notwendigkeit (z. B. Revolution, denn selbst Vertragsverletzungsverfahren der EU wirken in Deutschland eher schwach) in diesem Lande überhaupt nichts ändern. Fridays-For-Future übt nun schon länger einen extrem hohen öffentlichen Druck auf die Politik aus. Entsprechend wenig hat sich geändert. Und was sich geändert hat sind eher reine Nebensächlichkeiten. In den wichtigen Dingen (z. B. Braunkohleausstieg) hat sich entweder gar nichts bewegt oder ging es sogar rückwärts!
Die Juristen bei Microsoft sind nicht dumm. Im Gegenteil. Microsoft leistet sich die besten Juristen der Welt. Die sind sicher viel schlauer als ich, also sind sie mit absoluter Sicherheit auch auf eben diesen sehr einfachen und stichhaltigen Trichter gekommen.
Was müsste sich ändern?
Nun, meiner unmaĂźgeblichen Meinung nach mĂĽssten die Staatsanwaltschaften in Deutschland erst einmal reorganisiert werden:
- Sie müssten von der Exekutive unabhängig werden indem sie in die Jurisdiktion eingegliedert werden, so dass die Ermittlungsakten nicht mehr von der Exekutive geführt werden
- Und die Akteneinsicht der Anwälte müsste entsprechend beschränkt werden.
Alle personenbezogenen Daten in einer Akte hätten dann Richtervorbehalt, d. h. es kann zwar Klage eingereicht werden, aber das Gericht schützt die beklagte Person, sie kann sich dann ggf. anonym vor Gericht durch einen Anwalt vertreten lassen und alle Kommunikation läuft nur über diesen Anwalt.
So lange das nicht so ist und jeder eine IP-Adresse über das Mittel einer Anzeige bei der Polizei depseudonymisieren kann (hier ist unerheblich ob das Erfolg hat, es reicht wenn es die Möglichkeit gibt, dass man Erfolg hat), kann die IP-Adresse eben kein pseudonymes Datum gem. DSGVO sein.
Und so lange die IP-Adresse nicht pseudonymisiert ist, ist es erforderlich, dass Win10 personenbezogene Daten an Microsoft überträgt.
Ihr könnt das nun gut finden oder nicht. Aber so liegt es. Vielleicht irre ich mich auch, dann bitte ich um konstruktive Kritik. Aber ein "es darf nicht sein weil das nicht sein kann"-Argument zieht hier einfach nicht. Verwendet Google. Schaut euch die Urteile vom EuGH an. Versucht die DSGVO besser zu verstehen als ich. Und dann erst übt Kritik.
Und noch wichtiger:
Sagt das, was ihr hier gelesen habt nicht laut! Ihr wisst von nichts!
Denn wenn die IP ein sensibles personenbezogenes Datum ist, dann darf dieses erst mit *vorher* erteilter Erlaubnis oder Vorliegen einer Auftragsverarbeitung verwendet werden, da eine konkludente Einwilligung bei einer Weitergabe von personenbezogenen Daten an Dritte (jedenfalls nach meinem Verständnis der DSGVO) nicht möglich ist. Sprich, bevor ihr die personenbezogene IP an Dritte weitergebt, z. B. das Datenpaket an den Default-Router des ISP sendet, müsst ihr gerichtsfest vorweisen können, dass der Betroffene entweder zugestimmt hat (was ihr im Regelfall niemals könnt) oder (im Fall einer Auftragsverarbeitung) ihr den Betroffenen vor Weitergabe der IP entsprechend über das Bestehen einer Auftragsverarbeitung aufgeklärt habt (was mangels IP ja nicht geht).
Genau das ist aber auch das Problem. Da 99,9% der Nutzer im Internet gar nicht wissen, wie das Internet funktioniert, kann man eben nicht davon ausgehen, dass diese über die Verwendung der IP aufgeklärt sind. Das ist bei Paketsendungen (Adresse) beispielsweise vollkommen anders. Da wissen die Leute, dass das Paket vom Postboten gebracht wird und es nicht der Laden persönlich vorbeibringt, bei dem sie bestellt haben. Außerdem können die Leute ja durchaus sehen, wer ihnen die Post bringt. Genau diese Argumente zählen eben nicht im Internet! Weil die Leute eben überhaupt gar keine Ahnung haben, und selbst wenn man versucht, es ihnen zu erklären, dann können sie es immer noch nicht verstehen. Jedenfalls alle NormalDAUs, also die überwiegende Menge der Nutzer. Und deshalb muss man sie eben vor der Datennutzung aufklären. So sieht es die DSGVO vor. Ob sie DAS dann verstehen ist unerheblich, wichtig ist, dass man nachweisen kann, dass man sie aufgeklärt hat.
Und wie soll man das bitte tun? Bei Protokollen wie DNS? Wenn jemand einen Home-Router habt, der selber das Resolving durchfĂĽhrt (z. B. Pi-Hole)?
In der DSGVO ist eben unerheblich, was die Betroffenen Leute tun. In der DSGVO zählt nur, was man im konkreten Fall nachweisen kann. Und das ist im Normalfall bei der Nutzung der IP und Protokollen wie DNS genau eben gar nichts. Das wiederum ist aber der DSGVO herzlich egal. Wenn Du es nicht nachweisen kannst darfst Du es einfach nicht tun. Sprich: Die IP darf nicht weitergegeben werden.
Microsoft ist da fein raus. Sie haben sich dafĂĽr die Erlaubnis eingeholt.
Microsoft. Und alle anderen? Na?
-Tino