News Telemetriedaten: Windows 10 lässt sich konform zur DSGVO nutzen

[Strikerking]

Kannst du welche empfehlen? Wenn ja, dann gerne hier teilen

Das sind die 6 Standard Blocklists welche bei der Installation mit dabei sind. Welche ich auch verwende.

Spoiler: Standard Blocklist

https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts

https://mirror1.malwaredomains.com/files/justdomains

http://sysctl.org/cameleon/hosts

https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt

https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt

https://hosts-file.net/ad_servers.txt

Diese Blocklists habe ich noch zusätzlich hinzugefügt.

Spoiler: Zusätzliche Listen

https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt

block spam sites:
https://hosts-file.net/grm.txt

block exploit sites:
https://hosts-file.net/exp.txt

block malware sites:
https://hosts-file.net/emd.txt

block phishing sites:
https://hosts-file.net/psh.txt

Open source ad blocker for Android devices:
https://adaway.org/hosts.txt

Block advertising domains, trackers, malwares and other unsafe domains
https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt

block fraud sites:
https://hosts-file.net/fsa.txt

block hijack sites:
https://hosts-file.net/hjk.txt

block misleading marketing sites:
https://hosts-file.net/mmt.txt

Microsoft Domains welche Daten sammeln wie:

Spoiler

mobile.pipe.aria.microsoft.com
browser.pipe.aria.microsoft.com
v10.events.data.microsoft.com
settings-win.data.microsoft.com
web.vortex.data.microsoft.com
watson.telemetry.microsoft.com
etc.

werden geblockt.


Um Probleme zu vermeiden wird diese Whitelist Empfohlen welche 194 Domains beinhaltet.
Diese Liste kann per Script importiert werden. Man muss danach den Pi-Hole Neustarten.

Installation and Usage:
anudeepND's curated whitelist


@AncapDude
Hier findest du eine Liste welche OS unterstützt werden. Ich selber nutze einen Raspberry Pi 4 mit Raspbian.
https://docs.pi-hole.net/main/prerequesites/#supported-operating-systems

 

[ayngush]

MS sammelt doch daten von seinen kunden und speichert und verarbeitet diese. das ist doch schon selbst ein verstoß. und selbst falls du es schaffst dieses sammeln der daten durch die von dir beschrieben maßnahmen zu unterbinden, ist bereits die erfordernis, dass du aktiv das sammeln unterbinden must ein verstoß gegen die DSGVO.

Nein, das ist falsch herum dargestellt. Die DSGVO nimmt die Betreiber einer Datenverarbeitungsanlage in die Pflicht und Verantwortung und nicht die Hersteller oder Programmierer der Anlage. Du als Betreiber so einer Anlage musst technische und organisatorische Maßnahmen ergreifen und eine Produktauswahl begründen, damit du keine Verstöße gegen die DSGVO begehst.

 

[Lübke]

ich glaube wir reden aneinander vorbei. du hast zwar recht was das angeht, der punkt ist unstrittig, aber du bist auch gleichzeitig selbst kunde von MS und in dem verhältnis ist MS in der pflicht, nämlich dir gegenüber. deine beziehung zu deinen kunden meine ich damit gar nicht, sondern konkret MS als anbieter und dich als endkunden.
hab ich das so verständlich ausgedrückt?

 

[ayngush]

Ist immer noch falsch. Microsoft ist nicht der Betreiber deines Windows.

 

[new Account()]

Das bedeutet für mich ich muß nachvollziehen können, wann und wo die Daten gespeichert und von wem ggf eingesehen werden können.

Abteilungsgenau für die einzelnen Daten?

Ein statement "...werden auf MS servern gespeichert und von zuständigen Mitarbeitern ausgewertet" reicht da mMn nicht aus.

Ich kenne kein Unternehmen, das die Daten Abteilungsgenau aufschlüsseln würde.

Grund der Verarbeitung wird benannt.
Grund der Übermittlung an Dritte wird genannt.
(Zeitpunkt müsste man nochmal nachsehen)


Ist natürlich jetzt diskussionwürdig, ob das ausreicht?

beleidigend werden ist bei dir eine chance geben? interessante sichtweise.

Ich denke nicht, dass ich dich beleidigt habe. Falls es so rübergekommen ist, tut mir das Leid.

und niemand kann dich eines besseren überzeugen solange du nur akzeptierst was mit deiner meinung konform geht

was ich zuvor schon verneint habe

dass dieser artikel ganz konkret auf die datenschutzrechtlichen probleme von win10 eingeht und klipp und klar schreibt, dass nur in der enterprise-edition überhaupt eine möglichkeit zur einhaltung dieser gegeben ist, scheint dich dabei nicht im geringsten zu stören.

Das steht dort gar nicht.
Dort steht, dass durch die Einstellung Windows in Unternehmen problemlos DSGVO konform einsetzbar ist und die Option, welche einen DSGVO konformen Einsatz für die Unternehmen ermöglicht, für Privatnutzer nicht verfügbar ist.
Mehr steht da nicht, wenn ich mich nicht täusche (so lange ist der Artikel nun auch wieder nicht).
BTW. was spricht dagegen, Windows Home ganz einfach offline zu verwenden im Unternehmen? Somit dürfte DSGVO konformer Einsatz auch schon vor dem Anbieten dieses Levels möglich gewesen sein.

 

[Crowbar]

Nein, das ist falsch herum dargestellt. Die DSGVO nimmt die Betreiber einer Datenverarbeitungsanlage in die Pflicht und Verantwortung und nicht die Hersteller oder Programmierer der Anlage. Du als Betreiber so einer Anlage musst technische und organisatorische Maßnahmen ergreifen und eine Produktauswahl begründen, damit du keine Verstöße gegen die DSGVO begehst.

Wohin sendet Windows die ausgespähten Daten denn? Liegt die Einverständniserklärung zur Datenspeicherung vor?

 

[Lübke]

Ich denke nicht, dass ich dich beleidigt habe. Falls es so rübergekommen ist, tut mir das Leid.

ich habe mich schon angegangen gefühlt dass du mein wissen auf grundlage meiner schulungen so niedergemacht hast.

Das steht dort gar nicht.
Dort steht, dass durch die Einstellung Windows in Unternehmen problemlos DSGVO konform einsetzbar ist und die Option, welche einen DSGVO konformen Einsatz für die Unternehmen ermöglicht, für Privatnutzer nicht verfügbar ist.
Mehr steht da nicht, wenn ich mich nicht täusche (so lange ist der Artikel nun auch wieder nicht).
BTW. was spricht dagegen, Windows Home ganz einfach offline zu verwenden im Unternehmen? Somit dürfte DSGVO konformer Einsatz auch schon vor dem Anbieten dieses Levels möglich gewesen sein.

warum sollte win10 denn nicht im umgang mit kunden DSGVO-konform einsetzbar sein, wohlaber für eigene zwecke? es gibt doch nur zwei möglichkeiten: DSGVO-relevante daten werden erhoben, oder DSGVO-relevante daten werden nicht erhoben. im umgang mit kunden des nutzers hätte ich sogar weniger bedenken als für den nutzer selbst, da das gros der gesammelten daten doch wohl den nutzer des systems beleuchtet und weniger die datensätze, die er speichert. siehst du das anders?

 

[Zero_Point]

Microsoft kann nur durch ihr Produkt gar nicht gegen die DSGVO verstoßen, der Betreiber des Microsoft Produktes verstößt dagegen, wenn keine Maßnahmen umgesetzt werden. Wir haben halt Enterprise LTSC im Einsatz und, wie ein paar Beiträge früher zu sehen, eine URL-Blacklist für die bekannten Telemetrie-Schnittstellen, die durch mich auch regelmäßig kontrolliert und ggf. ergänzt wird. Das sind halt wenige von gaanz vielen weiteren technischen und organisatorischen Maßnahmen, um einen DSGVO-Konformen Betrieb unserer IT-Anlage und unserer Geschäftsprozesse zu gewährleisten. Microsoft ist da jedoch "aus dem Schneider". Es ist schlicht nicht deren Problem, sondern unseres.

Selbst wenn as so wäre, hast du schon mal was von marktbeherrschender Stellung und Monopol gehört? Sollen Firmen jetzt auf Schiefertafeln und Rauchzeichen umsteigen?

Also die Dienste sind hier unter (Pro) deaktiviert. Ich gehe nicht davon aus, dass MS unter Pro andere Dienste als unter Enterprise nutzt. Wir könnten ggf. dafür mal einen Community-Test beantragen. Laut BSI wäre die Telemetrie komplett deaktiviert. Ich aber habe keinen Bock, das weiter zu überprüfen. Das kann einer mit seiner dedizierten OS-Firewall machen!

Nochmal: ich hätte dafür gerne einen Link. Nichts gegen dich, aber du als einzige Quelle bist mit nicht vertrauenswürdig genug.

Das mit der Überschrift ist so gewollt, die CB Redakteure müßen ja schließlich auch noch von etwas leben,
neutralität muß man sich halt auch leisten können

Genau deshalb ist bei mir auch uBlock Origin aktiviert. Blockt nebenbei auch Tracker wie Google Analytics.

 

[ayngush]

Das ist übrigens nicht unterschiedlich zu bewerten: Personaldaten sind selbstverständlich ebenfalls zu schützen, genau so wie Daten von Kunden des Unternehmens.

Einzig als Privatperson, auf deinen PC kannst du für dich entscheiden, ob du damit einverstanden bist, was Microsoft da ohne weitere Maßnahmen in ihren Produkten übermittelt, oder halt nicht.
Wenn nicht haftet aber nicht Microsoft sondern du als Betreiber deiner Anlage. Du müsstest dich also selbst anzeigen, weil du deine Daten auf deinen PC nicht DSGVO-Konform verarbeitest.
Das ist unrealistisch und demnach auch gar kein Problem.

Selbst wenn as so wäre, hast du schon mal was von marktbeherrschender Stellung und Monopol gehört? Sollen Firmen jetzt auf Schiefertafeln und Rauchzeichen umsteigen?

Ja, habe ich. Das Kartellrecht ist jedoch keine Angelegenheit der EU-DSGVO. Und wie man das als Firma DSGVO-Konform betreibt habe ich ja an unseren Beispiel dargestellt: Ordentliche Firewall anschaffen, die bekannten und dokumentierten URLs im Webproxy blacklisten, das Windows-Telemetrielevel auf das niedrigst mögliche einstellen und regelmäßig den Erfolg dieser Maßnahme überprüfen (das musst du im Rahmen der DSGVO ohnehin mit allen Maßnahmen durchführen!) und - je nach Größe unterschiedlich aufwendig - muss man ohnehin angemessene Schutzmaßnahmen für seine IT-Infrastruktur ergreifen, wobei unangemessen nicht zu komplex bedeutet, sondern lediglich zu teuer (unwirtschaftlich)!

Du musst also auch als Einmannbetrieb eine kleine Firewall betreiben, kostet nicht viel und wenn dir die Konfiguration dafür zu komplex ist halt einen IT-Fachbetrieb mit der Einrichtung und Konfiguration beauftragen - kostet auch nicht viel - sind notwendige Betriebsausgaben.

Fragt euch lieber mal, wie ihr mit der Telemetrieübermittlung in den Treibern umgeht, die "neuerdings" stattfindet. Die kann man nämlich nicht so einfach via Gruppenrichtlinie reduzieren. Die muss man via Webproxy blockieren oder halt akzeptieren (Risikobeurteilung...).

PS: Seid froh, dass Microsoft so eindeutige Telemetrie-URLs verwendet. Wären das keine Subdomains sondern https://microsoft.com/watson/v10/telemetrie/, dann könnte man die nicht so leicht (ohne MITM-Angriff auf den TLS-Datenverkehr) blockieren, ohne "komplett" microsoft.com stillzulegen.

 

[new Account()]

warum sollte win10 denn nicht im umgang mit kunden DSGVO-konform einsetzbar sein, wohlaber für eigene zwecke?

Meine derzeitige Hypthese (gehört zum Halbwissen):
Unternehmen:

• verarbeitet Kundendaten
• hat keine Zustimmung von den Kunden zur Weitervermittlung sämtlicher Kundendaten an MS
• Kundendaten könnten aber versehentlich durch Telemetrie o.ä. bei MS landen

-> Entweder Telemetrie u.ä. verbannen oder Zustimmung vom Kunden einholen

Privat:
- ich gebe MS Zustimmung zur Nutzung meiner Daten beim installieren
-> Zustimmung für betreffende Daten schon vorhanden

Der Unterschied ist, dass das Unternehmen durch Kundendaten mit Daten von Dritten zu tun hat.*


Offenes Thema: Privatnutzung und persönliche Daten von Freunden (vgl. Kontaktliste Problem bei Facebook)

Ergänzung (6. Februar 2020)

Offenes Thema: Privatnutzung und persönliche Daten von Freunden (vgl. Kontaktliste Problem bei Facebook)

Interessant:

Zum Glück muss man sich hier eher keine Sorgen machen: Dank Artikel 2 Paragraph 2c der DSGVO findet „diese Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“. Das bedeutet, dass wenn man WhatsApp rein privat nutzt, alles ok sein sollte. Klasse, oder?

*Und die DSGVO privat irrelevant ist, s.o.

 

[U-L-T-R-A]

Nach Art. 13 und 14 muss jeder betroffenen Person bei einer Datenerhebung in einer Datenschutzerklärung umfangreich Auskunft unter anderem über Zweck, Empfänger und Verantwortliche der Datenverarbeitung, Dauer der Datenspeicherung, Rechte zur Berichtigung, Sperren und Löschen und Verwendung der Daten für Profiling-Zwecke gegeben werden. Wenn sich der Zweck ändert, ist die betroffene Person aktiv zu informieren.

Also den Empfänger als MS Deutshland Irland zu betiteln reicht da mMn nicht aus.
Das beim Empfänger jetzt nicht namentlich jede Person aufgeführt wird - O.K.
aber der Empfänger wäre für mich der server und die verantwortlichen für die Verarbeitung zumindest die Abteilung.
Sonst sind wir bei dem "...an Dritte... ...an unsere Partner..." und das wiederspräche dem Grundsatz der Nachvollziehbarkeit.

• Nach Art. 15 hat jede Person das Recht auf Auskunft über alle sie betreffenden Daten.
• Die Informationen darüber sind laut Art. 12 in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu liefern

Präzise heißt nicht irgendwo in Europa

Und wie gesagt nachvollziehbar is von wo nach wo, warum und wieso (für mich zumindest).

https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung

Ich bin kein Jurist und es mag ein Gericht anders auslegen aber vom Grundsatz her...
Wenn man nicht in der Lage ist (warum auch immer) die Daten DSGVO-gerecht zu "lagern" sollte man vll einfach keine erheben (was ja wie gesagt auch geht).

Das eine Datenübermittlung ggf auch Vorteile haben kann, will ich nich bestreiten.
Aber es sollte den Leuten halt freigestellt bzw die entsprechend für ihre Mitarbeit vergütet werden.
Bevor (zumindest bei Pro) man die updates verschieben konnte war man auch im Bezug auf Patche n reiner Betatester für die Enterprise-Kunden.
So gesehen hab ich auch hier das Gefühl, dass MS einfach nur die "Infos" der "Privatkunden" nutzen will um die bugs für die "Industriekunden" zu fixen.

Und die DSGVO privat irrelevant ist, s.o.

Naja wer hat Informationen über Leute gespeichert mit denen er nix zu tun hat/haben will?
Leute mit denen Du regelmäßig kommunizierst isses dann ggf wie bei Whatsapp - jeder verstößt irgendwo vll gegen die Regeln und es hebt sich quasi auf.
Wenn doch dann vermutlich um sie gewinnbringend zu nutzen und dann isses wohl nich mehr "privat".

 

[DeusoftheWired]

Dass manche Leute nicht verstehen, dass man auch mit einem Linux gegen die DSGVO verstoßen kann...

Der Grundzustand ist entscheidend, die Einstellungen zur Datenübermittlung ab Werk. Abgesehen davon, daß die sich in allen Versionen außer eben Edu und Enterprise die Einstellung nicht vornehmen lassen. Zeig mir bitte ein Distri, die im Grundzustand DSGVO-relevante Daten irgendwohin überträgt. Und bevor du mit dem berüchtigten Amazon-Launcher in Ubuntu kommst: den gibt es ab 20.04/18.04.4 nicht mehr: https://www.heise.de/newsticker/mel...erschwindet-aus-Ubuntu-20-04-LTS-4644250.html

Selbstverständlich kann man aber auch auf einem Lunix-System DSGVO-relevante Daten speichern und von dort zu Dritten übertragen, die sie nach DSGVO nicht empfangen oder verarbeiten dürften. Dafür muß man aber selbst Hand anlegen – und genau darum geht es.

Firmen zahlen fuer den Support und haben andere, professionellere Moeglichkeiten. Der 0815 Computernutzer hat vom Computer und Betriebssystem gerade so viel Ahnung, dass er weiss, dass diesen Button zu druecken, jenes ausloest.

Nur weil Firmen diese Möglichkeit haben, macht das ihre Daten nicht automatisch schützenswerter als die von Privatpersonen. Außerdem verwenden auch Firmen zu einem ordentlichen Teil Programme, die ebenso von Privatpersonen genutzt werden, nämlich die Bordwerkzeuge. Das Zeichen hier ist doch „Das DAU-Fußvolk versorgt uns mit kostenlosen Bugreports und Telemetrie noch und nöcher. Ihr aber, liebe Geschäftskunden, könnt euch davon freikaufen.“.

Anscheinend hast auch du den Beitrag von Yuuri ueberlesen. Ist oben zitiert. Man kann es wohl sogar selber einsehen. Wenn Microsoft irgendwas angeben wuerde, waerst du doch der erste der denen vorwirft, dass sie nicht alles nennen.

Anscheinend hast du meinen Beitrag mit dem Link dagegen nicht gelesen: https://www.heise.de/newsticker/mel...tsbedenken-gegenueber-Windows-10-3971133.html

Der Diagnostic Data Viewer ist laut MS seit dem 04.12.2017 verfügbar. Der heise-Artikel stammt vom 16.02.2018. Wie erklärt sich das?

Microsoft speichert und verwertet, laut eigenen Angaben, keine E-Mailadressen. Microsoft speichert und verwertet, laut eigenen Angaben, generell keine personenbezogenen Daten.
Micorsoft erhebt, laut eigenen Angaben, Telemetriedaten anonymisiert, überträgt diese verschlüsselt und wertet sie aus.

Der war gut!

https://privacy.microsoft.com/de-de/privacystatement → von allen Kategorien „Weitere Infos“ ausklappen

 

[Micha45]

Der war gut!

Diese Datenschutzbestimmungen gelten für die Interaktionen von Microsoft mit Ihnen und für die im Folgenden aufgeführten Microsoft-Produkte sowie für andere Microsoft-Produkte, die diese Datenschutzbestimmungen enthalten.

Wenn Sie aufgefordert werden, personenbezogene Daten zur Verfügung zu stellen, können Sie dies jederzeit ablehnen.

Personenbezogene Daten also erst nach Aufforderung, mit der Option für den Benutzer, dies abzulehnen.
Das entspricht also voll den gesetzlichen Vorgaben.

Ich wurde bisher noch nie dazu aufgefordert, der Erhebung von personenbezogenen Daten zuzustimmen. Weder von Microsoft, noch von sonstwem.

Also, steck den Colt wieder ins Holster, Buffalo Bill.

 

[DeusoftheWired]

Ich wurde bisher noch nie dazu aufgefordert, der Erhebung von personenbezogenen Daten zuzustimmen.

Dann hat MS die Erklärung wohl nur pro forma online und erhält tagtäglich nicht Myriaden von Datensätzen.

Nur zwei Sätze geht es übrigens so weiter:

Wenn Sie sich dazu entscheiden, die notwendigen Daten, die für eine Bereitstellung eines Produkts oder einer Funktion erforderlich sind, nicht anzugeben, werden Sie das Produkt oder die Funktion nicht nutzen können. Wir müssen ebenfalls personenbezogene Daten gesetzlich sammeln, wenn wir einen Vertrag mit Ihnen unterzeichnen oder eingehen. Wenn Sie keine Daten angeben möchten, können wir mit Ihnen keinen Vertrag eingehen. Sollte sich dies auf ein vorhandenes Produkt beziehen, das Sie verwenden, müssen wir die Nutzung anhalten oder abbrechen.

Mit anderen Worten: Friß oder stirb.

 

[new Account()]

Mit anderen Worten: Friß oder stirb.

Wenn folgendes so gemeint ist wie es da steht, dann bleibt auch MS da gar nichts übrig (wenn man mal kurz nachdenkt ):

Wenn Sie sich dazu entscheiden, die notwendigen Daten, die für eine Bereitstellung eines Produkts oder einer Funktion erforderlich sind, nicht anzugeben, werden Sie das Produkt oder die Funktion nicht nutzen können.

Ist irgendwie wie in der Cloud ein Dokument abzuspeichern ohne die Daten in die Cloud zu senden

 

[DeusoftheWired]

Da liegt der Teufel in der Formulierung. Natürlich muß Cortana wissen, wo ich gerade bin, um mir das aktuelle Wetter sagen zu können. Ob OneDrive aber wissen muß, welche Programme ich auf meinem Rechner installiert habe, um mich eine Datei dort speichern zu lassen? MS wird seine eigene Vorstellung von „notwendig“ haben.

 

[vander]

Ich bin also gezwungen auf Linux zu wechsel oder bei Win7 zu bleiben.

Wurde die Telemetrie nicht in Win7 per Update nachgereicht?

 

[Zero_Point]

Wurde die Telemetrie nicht in Win7 per Update nachgereicht?

Alles was nachgereicht wurde blieb abschaltbar.

 

[1080p Master]

Sollte es hier jemanden interessieren:
Bei der Windows Edition: Windows 10 Enterprise 2015 LTSB,
konnte man über den Editor für lokale Gruppenrichtlinien
die Computerconfiguration: "Telemetrie zulassen" aktivieren,
und dort heisst die Einstellung 0 - Aus (nur Enterprise).

Ich interpretiere die News nun so, das "Aus" eben nicht ganz aus war.
Das es nun "Security" heisst statt aus, der Level der gleiche aber
der gleiche (0) geblieben ist, hat mMn ein "Geschmäckle"...

 

[pedder59]

Wurde die Telemetrie nicht in Win7 per Update nachgereicht?

Ensprechende KBs hab ich nicht installiert, nur das allernotwendigste.
Ich bin keiner von den ewig gestrigen, die damals schon immer das nur allerneueste haben wollten