Hinweis: IANAL
Im Enterprise spricht der WSUS-Server mit Microsoft. Dabei werden keine personenbezogenen Daten ĂŒbermittelt. Ergo kann man im Enterprise die Erfordernis von personenbezogenen Daten auch abschalten.
Im Nicht-Enterprise spricht der Rechner direkt mit dem Update-Server von Microsoft. Und damit existiert (in Deutschland! In anderen LĂ€ndern ist das anders!) nun einmal unabdinglich die Erfordernis der Erlaubnis, personenbezogene Daten an Microsoft zu ĂŒbermitteln.
Denn die IP-Adresse gehört in Deutschland zu den direkt personenbezogenen Daten (ist also eben genau kein pseudonymes Datum. Sage nicht ich, das sagt der EuGH).
Egal wie wir es also drehen oder wenden wollen, Win10 *muss* deshalb personenbezogene Daten an Microsoft ĂŒbermitteln weil es ohne IP die Updateserver nicht erreichen kann. Und das muss es immer. Da beiĂt die Maus hierzulande eben einfach keinen Faden ab.
(In anderen europĂ€ischen LĂ€ndern kann die IP ein pseudonymes Datum sein. Ob das so ist oder nicht weiĂ ich nicht. FĂŒr Deutschland aber gibt es hierzu eine klare, unmissverstĂ€ndliche und auch noch korrekte Feststellung des EuGH, nĂ€mlich dass IPs zu den personenbezogenen Daten zĂ€hlen.)
Dass dann neben solchen ggf. extrem sensiblen personenbezogenen Daten (bei IPv6 ist ggf. die MAC involviert und kann so ggf. einem Kind zugeordnet sein, was wiederum bedeutet, dass hier sogar die deutlich restriktiveren ErwĂ€gungsgrĂŒnde der DSGVO greifen) auch noch "weniger klar personenbezogene" Telemetriedaten mit ĂŒbermittelt werden, das ist in dieser Diskussion dann aber wirklich vollkommen unerheblich.
Wenn wir Microsoft diese erforderliche Ăbermittlung personenbezogener Daten untersagt wĂŒrden, dann muss Microsoft den automatischen Update abschalten.
Wollen wir das? Wollen wir, dass der NormalDAU sein Windows nicht mehr automatisch geupdatet bekommt? Wollen wir uns neben den Millionen IoT-Bots auch noch mit Millionen HeimanwenderPC-Bots herumschlagen mĂŒssen?
Nein, das wollen wir sicher nicht. Also *mĂŒssen* wir Microsoft gestatten, personenbezogene Daten zu ĂŒbermitteln, weil es , wegen der IP erforderlich ist.
Und genau so einfach liegt es meiner Meinung nach!
Erst wenn wir dafĂŒr sorgen wĂŒrden, dass die IP-Adresse in Deutschland nicht mehr zu den (ggf. sensiblen) personenbezogenen Daten gehört, erst dann könnten wir Microsoft diese Praxis untersagen.
Und, wird sich das mit der IP in Deutschland Àndern? Wird die IP in Deutschland irgendwann ein Pseudonymes Datum sein können?
Mit ziemlicher Sicherheit wird sich da ohne eine zwingend nicht abwendbare Notwendigkeit (z. B. Revolution, denn selbst Vertragsverletzungsverfahren der EU wirken in Deutschland eher schwach) in diesem Lande ĂŒberhaupt nichts Ă€ndern. Fridays-For-Future ĂŒbt nun schon lĂ€nger einen extrem hohen öffentlichen Druck auf die Politik aus. Entsprechend wenig hat sich geĂ€ndert. Und was sich geĂ€ndert hat sind eher reine NebensĂ€chlichkeiten. In den wichtigen Dingen (z. B. Braunkohleausstieg) hat sich entweder gar nichts bewegt oder ging es sogar rĂŒckwĂ€rts!
Die Juristen bei Microsoft sind nicht dumm. Im Gegenteil. Microsoft leistet sich die besten Juristen der Welt. Die sind sicher viel schlauer als ich, also sind sie mit absoluter Sicherheit auch auf eben diesen sehr einfachen und stichhaltigen Trichter gekommen.
Was mĂŒsste sich Ă€ndern?
Nun, meiner unmaĂgeblichen Meinung nach mĂŒssten die Staatsanwaltschaften in Deutschland erst einmal reorganisiert werden:
- Sie mĂŒssten von der Exekutive unabhĂ€ngig werden indem sie in die Jurisdiktion eingegliedert werden, so dass die Ermittlungsakten nicht mehr von der Exekutive gefĂŒhrt werden
- Und die Akteneinsicht der AnwĂ€lte mĂŒsste entsprechend beschrĂ€nkt werden.
Alle personenbezogenen Daten in einer Akte hĂ€tten dann Richtervorbehalt, d. h. es kann zwar Klage eingereicht werden, aber das Gericht schĂŒtzt die beklagte Person, sie kann sich dann ggf. anonym vor Gericht durch einen Anwalt vertreten lassen und alle Kommunikation lĂ€uft nur ĂŒber diesen Anwalt.
So lange das nicht so ist und jeder eine IP-Adresse ĂŒber das Mittel einer Anzeige bei der Polizei depseudonymisieren kann (hier ist unerheblich ob das Erfolg hat, es reicht wenn es die Möglichkeit gibt, dass man Erfolg hat), kann die IP-Adresse eben kein pseudonymes Datum gem. DSGVO sein.
Und so lange die IP-Adresse nicht pseudonymisiert ist, ist es erforderlich, dass Win10 personenbezogene Daten an Microsoft ĂŒbertrĂ€gt.
Ihr könnt das nun gut finden oder nicht. Aber so liegt es. Vielleicht irre ich mich auch, dann bitte ich um konstruktive Kritik. Aber ein "es darf nicht sein weil das nicht sein kann"-Argument zieht hier einfach nicht. Verwendet Google. Schaut euch die Urteile vom EuGH an. Versucht die DSGVO besser zu verstehen als ich. Und dann erst ĂŒbt Kritik.
Und noch wichtiger:
Sagt das, was ihr hier gelesen habt nicht laut! Ihr wisst von nichts!
Denn wenn die IP ein sensibles personenbezogenes Datum ist, dann darf dieses erst mit *vorher* erteilter Erlaubnis oder Vorliegen einer Auftragsverarbeitung verwendet werden, da eine konkludente Einwilligung bei einer Weitergabe von personenbezogenen Daten an Dritte (jedenfalls nach meinem VerstĂ€ndnis der DSGVO) nicht möglich ist. Sprich, bevor ihr die personenbezogene IP an Dritte weitergebt, z. B. das Datenpaket an den Default-Router des ISP sendet, mĂŒsst ihr gerichtsfest vorweisen können, dass der Betroffene entweder zugestimmt hat (was ihr im Regelfall niemals könnt) oder (im Fall einer Auftragsverarbeitung) ihr den Betroffenen vor Weitergabe der IP entsprechend ĂŒber das Bestehen einer Auftragsverarbeitung aufgeklĂ€rt habt (was mangels IP ja nicht geht).
Genau das ist aber auch das Problem. Da 99,9% der Nutzer im Internet gar nicht wissen, wie das Internet funktioniert, kann man eben nicht davon ausgehen, dass diese ĂŒber die Verwendung der IP aufgeklĂ€rt sind. Das ist bei Paketsendungen (Adresse) beispielsweise vollkommen anders. Da wissen die Leute, dass das Paket vom Postboten gebracht wird und es nicht der Laden persönlich vorbeibringt, bei dem sie bestellt haben. AuĂerdem können die Leute ja durchaus sehen, wer ihnen die Post bringt. Genau diese Argumente zĂ€hlen eben nicht im Internet! Weil die Leute eben ĂŒberhaupt gar keine Ahnung haben, und selbst wenn man versucht, es ihnen zu erklĂ€ren, dann können sie es immer noch nicht verstehen. Jedenfalls alle NormalDAUs, also die ĂŒberwiegende Menge der Nutzer. Und deshalb muss man sie eben vor der Datennutzung aufklĂ€ren. So sieht es die DSGVO vor. Ob sie DAS dann verstehen ist unerheblich, wichtig ist, dass man nachweisen kann, dass man sie aufgeklĂ€rt hat.
Und wie soll man das bitte tun? Bei Protokollen wie DNS? Wenn jemand einen Home-Router habt, der selber das Resolving durchfĂŒhrt (z. B. Pi-Hole)?
In der DSGVO ist eben unerheblich, was die Betroffenen Leute tun. In der DSGVO zÀhlt nur, was man im konkreten Fall nachweisen kann. Und das ist im Normalfall bei der Nutzung der IP und Protokollen wie DNS genau eben gar nichts. Das wiederum ist aber der DSGVO herzlich egal. Wenn Du es nicht nachweisen kannst darfst Du es einfach nicht tun. Sprich: Die IP darf nicht weitergegeben werden.
Microsoft ist da fein raus. Sie haben sich dafĂŒr die Erlaubnis eingeholt.
Microsoft. Und alle anderen? Na?
-Tino