Windows-Telemetrie verstößt z.B. gegen die Europäische Datenschutzgrundverordnung.
dsgvo-gesetz dot de
Eine EU-"Verordnung" ist ein Gesetz der EU. Sie ist inkraft. Beachte auch z.B. die durchs Bundesverfassungsgericht festgestellten Grundrechte auf informationelle Selbstbestimmung und auf Vertraulichkeit und Integrität informationstechnischer Systeme.
Unten nenne ich wichtige verletzte Teile der Europäischen Datenschutzgrundverordnung. Ich beschränke mich auf die Basis-Telemetrie und diskutiere ich nicht die mit überschaubarem Aufwand abschaltbare Telemetrie für optionale Zusatzfunktionen (z.B. One Drive) jenseits des für den Betrieb eines Betriebssystems Notwendigen.
"Art. 5 (1) Personenbezogene Daten müssen [...] c) [...] auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ('Datenminimierung')"
Für den Zweck des Betriebs oder der Fehlerbeseitigung eines Betriebssystems auf einem PC bedeutet die Datenminimierung die
Nichtverwendung von Telemetrie, da Telemetrie für diese Zwecke nicht notwendig ist. Das ist bewiesen durch die Existenz von Betriebssystemen, bei denen die Zwecke ohne Telemetrie erfüllt werden, z.B. Windows 7 in seinen Varianten und Einstellungen betrieben ohne Telemetrie. Telemetrie erfüllt einen anderen Zweck (Kostensparung für Microsoft), der über das für die Verarbeitung notwendige Maß hinausgeht.
" f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ('Integrität und Vertraulichkeit')"
Das ist nicht gewährleistet für den Transportweg zwischen PC und Microsoftservern in den USA, da er nicht kontrolliert werden kann und Zugriff auf dem Transportweg durch Hacker möglich ist. Das gilt selbst für die Meta-Daten verschlüsselter Daten. Ein Mensch hat i.B. nach Grundgesetz das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme. Das umfasst auch die Meta-Daten, z.B. wann Daten zwischen PC und Microsoftservern transportiert werden. Das
Grundrecht ist ein Recht allein des den PC nutzenden Menschen - dieses Grundrecht ist nicht ersetzbar durch Microsofts Wunsch, Telemetrie zu betreiben oder Lizenzbestimmungen, die das Grundrecht durch Mircosofts Wunsch zu ersetzen vorgeben. Rechtswidrige Lizenzbestimmungen sind nichtig. Das ist nicht gewährleistet für die Datenarbeitung in den USA, also außerhalb der EU, da für die Datenarbeitung in den USA i.B. 1) Zugriff durch US-Geheimdienste gemäß US-Gesetzen möglich ist und 2) der den PC nutzende Mensch typischerweise seine (Grund)rechte nicht veräußert hat, indem er nur ein Betriebssysytem nutzt. Rechtswidrige Lizenzbestimmungen ändern daran
nichts, denn Microsoft ist nicht Legislative, die zudem die Legislativen der EU und Deutschlands überstimmte.
"Art. 6 (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt."
Am Beispiel meiner Person ist die Verarbeitung unrechtmäßig, da keine dieser Bedingungen erfüllt ist. I.B. gebe ich keine Einwilligkeit und ist rechtswidrige Knebelabnickvereinbarung (Hakensetzen bei Lizenzvereinbarung, um das Betriebssystem überhaupt installieren zu können) generell nichtig und i.B. nichtig, weil keine Option zur Datenminimierung (siehe Art. 5 (1)) vorliegt, um bei der Installation alle Telemetrie abzuwählen und damit hinsichtlich etwaiger Telemetrie Datenminimierung zu erreichen. Das Interesse Microsofts der Kostenminimierung ist kein "berechtigtes Interesse des Verantwortlichen oder eines Dritten", schon gar nicht, da Interessen oder Grundrechte und Grundfreiheiten meiner Person, die den Schutz personenbezogener Daten erfordern, überwiegen. I.B. o.g. Grundrechte des Grundgesetzes. Für einen anderen Menschen, der ein Kind ist, wäre außerdem dessen besondere Schutzbedürftigkeit als Kind wirksam ("insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt").
"(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden,
nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz [...] darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem [...] d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen"
Microsoft als "der Verantwortliche" hat also i.B. auch zu berücksichtigen die möglichen Folgen für die betroffenen Personen (die Computernutzer) der Weiterverarbeitung durch i.B. US-Geheimdienste aufgrund von US-Gesetzen, was ein anderer Zweck ist als derjenige, "zu dem die personenbezogenen Daten erhoben wurden", "nicht auf der Einwilligung der betroffenen Person" (d.i. nicht auf meiner Einwilligung) beruht und nicht "auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz [...] darstellt" beruht.
"Art. 7 (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. [...]"
Die Windows-Lizenzbestimmungen und Windows-Installations-GUIs sind nicht (hinreichend) verständlich, haben keine klare und einfache Sprache und das Ersuchen um Telemetrieeinwilligung ist beim Abnicken der Windows-Lizenzbestimmungen nicht klar von anderen Sachverhalten unterschieden. I.B. sind besonders alle möglichlicherweise Telemetrie (mit)betreffenden Passagen der Windows-Lizenzbestimmungen nicht in klarer und einfacher Sprache gehalten. Sie sind damit i.B. gegen diesen Artikel der EU-Datenschutzgrundverordnung rechtswidrig und daher nichtig.
"Art. 7 (2) [...] Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen."
Siehe oben.
"Art. 7 (4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind"
Für die Dienstleistung "Betrieb des Betriebssystems Windows" und die Erfüllung des Vertrags eben dazu ist Telemetrie nicht erforderlich. I.B. wird zu diesem Umstand nicht in größtmöglichem Umfang Rechnung getragen, ob die Einwilligung freiwillig erteilt wurde. Es bestehen gelinde gesagt Zweifel an der Freiwilligkeit der Einwilligung zu Telemetrie meinerseits als Windows-nutzen-wollende-Person; das ist hinreichend zur Feststellung, dass seitens Microsoft nicht im größtmöglichem Umfang Rechnung getragen wird, ob meine Einwilligung zu Telemetrie freiwillig erteilt würde beim Abnicken von Windows-Lizenzbestimmungen.
"Art. 12 Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen [...], die sich auf
die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. [...]"
Siehe oben.
"Art. 13 (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: [...] c) [...] die Rechtsgrundlage für die Verarbeitung"
Microsoft tut dies nicht. In Windows muss man Endnutzer erst genaue Telemetrieprotokollierung aktivieren. (Ob das nur in Windows 10 geht oder auch in Windows 7 weiß ich zudem nicht.) Auch dann umfasst die Telemetrieprotokollierung nicht die [EU-]Rechtsgrundlage für die Verarbeitung.
"Art. 13 (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten: a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer" Microsoft tut dies nicht.
"Art. 13 (2) b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten"
Microsoft tut dies nicht.
"Art. 44 Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. 2Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird."
Siehe oben. I.B. verletzt Microsoft diesen Artikel, weil andere Artikel der Verordnung verletzt werden.