Nach-Hause-telefonieren unterbinden = Lizenzverstoß? Eure Meinung?

[thorstenhirsch]

Disclaimer: Dies ist keine Anfrage nach Rechtsberatung - mir ist klar, dass ich die nur vom Anwalt bekomme.

Ich würde gerne Eure Meinung zu folgendem Sachverhalt hören: ein Unternehmen in Deutschland kauft 100 Unternehmenslizenzen einer Desktop-Anwendung und nutzt sie auf 100 Rechnern. Es gibt keinen Lizenz-Server. Der Hersteller ist ein US-Unternehmen und hat stattdessen in die Software eine Nach-Hause-Telefonieren-Funktion eingebaut, die bei jedem Start der Anwendung über das Internet an den Hersteller datenschutzrelevante Daten sendet (z.B. den Namen des Benutzers, wie er in Windows bzw. dem ActiveDirectory-Server hinterlegt ist) per HTTPS. Diese Funktion lässt sich in der Software nicht deaktivieren und der Hersteller sieht auch nicht ein, dass diese Funktion in Deutschland illegal sein könnte, sondern verweist stattdessen darauf, dass man dieser Funktion im Rahmen der Lizenzvereinbarung zugestimmt hätte.

Die Idee ist nun, im Unternehmens-Proxy (über den die HTTPS-Verbindung läuft) einen falschen DNS-Eintrag zu hinterlegen, damit der Verbindungsversuch nicht über den Proxy hinaus kommt. In einem Test konnte bereits bestätigt werden, dass diese Maßmahme funktionieren würde.

Meine Meinung: Das US-Unternehmen verkauft Softwarelizenzen in Deutschland, es gilt in diesem Fall deutsches Recht. Die Software ist daher als fehlerhaft einzustufen. Aber welche Lösungen gibt es und welche Folgen hätten diese, wenn der Hersteller keine Lösung anbietet?

a) Software nicht mehr einsetzen, auf Konkurrenzprodukt ausweichen. Klar, super Lösung, aber nehmen wir mal an, das wäre in diesem Fall nicht möglich.
b) Die Idee mit dem falschen DNS-Eintrag im Unternehmens-Proxy umsetzen. Hilft kurzfristig, bedroht aber den langfristigen Rechtsfrieden mit dem Hersteller - wahrscheinlich verkauft der keine weiteren Lizenzen mehr. Okay, kann man verkraften, aber ist das Vorgehen überhaupt erlaubt?
b-1) Ist es ein Lizenzverstoß oder war diese Lizenzklausel von Beginn an nichtig, weil sie gegen Datenschutz-Gesetze verstößt? Ich denke letzteres.
b-2) Nehmen wir an, dass die Lizenzklausel nichtig war, erlischt dann die komplette Nutzungslizenz oder darf der Käufer die Software weiterhin einsetzen, weil er ansonsten alle Klauseln der Lizenz eingehalten hat? Ich denke auch hier wieder letzteres.
b-3) Zählt das Vorgehen als verbotene Selbsthilfe/Selbstjustiz? Das ist mir gerade noch spontan eingefallen, davon hab' ich aber keine Ahnung. Die entsprechenden Wikipedia-Seiten helfen mir nicht weiter.
b-4) Achtung, krasser Perspektivenwechsel: Kann der Käufer den Hersteller verklagen auf Grund des Verstoßes gegen den Datenschutz? Ich würde das bejahen.

Was ist Eure Meinung?

 

[maba_de]

meine Meinung ist, dass es dem US Unternehmen egal sein kann, da es nicht an die DSGVO gebunden ist.
Du hast die Lizenzbestimmungen akzeptiert, die sind erst einmal bindend.
Die Datenschutz Frage hätte im Zuge der Vertragsverhandlungen geklärt werden müssen.

Edit: bei uns macht das der Konzern Datenschutz und das sind Juristen. Nur die können doch rechtssicher verhandeln in solchen Fragen.

 

[lemonstre]

Was soll da schon passieren? Du bist der Kunde. Solange Du nur die Lizenzen nutzt die Du auch bezahlt hast würde ich mir keinen Kopf machen. Ausserdem sollte jedes Unternehmen mit 100 Arbeitsplätzen auch einen Rechtsbeistand kennen.

 

[maba_de]

Was soll da schon passieren? Du bist der Kunde. Solange Du nur die Lizenzen nutzt die Du auch bezahlt hast würde ich mir keinen Kopf machen.

na ja, im schlimmsten Fall kann die Software den Dienst quittieren. Das kann in den Nutzungsvereinbarungen stehen.

 

[lemonstre]

na ja, im schlimmsten Fall kann die Software den Dienst quittieren. Das kann in den Nutzungsvereinbarungen stehen.

Wenn man 100 Lizenzen kauft weiss man das aber hoffentlich vorher.

 

[maba_de]

Wenn man 100 Lizenzen kauft weiss man das aber hoffentlich vorher.

ja, das sollte man. Auch, welche Daten zu welchem Zweck übermittelt und gespeichert werden.
Ich kann keine Software kaufen, die eine personalisierte Lizenz und Online Prüfung voraussetzen und mich dann wundern, wenn personenbezogene Daten übermittelt werden.

Wobei der Softwarehersteller sollte hier natürlich klar darlegen, welche Daten wo und wie lange gespeichert werden. Manchmal ist das ja auch transparent - Adobe mit der Adobe ID z.B..

 

[MacEnroe]

Solche Daten übertragen doch sicher viele Programme. Kommt da immer ein Hinweis, dass jetzt
persönliche Daten übertragen werden? Habe ich jedenfalls noch nie erlebt, habe aber auch die letzten
3 Jahre keine größere Software mehr gekauft außer Affinity Produkte.

Also ich denke nicht, dass die Software da gegen den Datenschutz verstößt.

 

[thorstenhirsch]

Vielen Dank für Eure Beiträge. Auf ein paar angesprochene Themen will ich schon mal eingehen:

> US Unternehmen [...] nicht an die DSGVO gebunden

Soweit ich informiert bin, gilt beim internationalen Warenkauf das Recht des Erfüllungsorts (wenn nichts anderes vereinbart ist - ist es in meinem Fall nicht), daher deutsches Recht. Und somit muss das US-Unternehmen die DSGVO einhalten.

> Du hast die Lizenzbestimmungen akzeptiert, die sind erst einmal bindend.

Vertragsfreiheit - ja, aber nur im Rahmen der Gesetze. Eine Lizenz kann die DSGVO nicht aushebeln.

> im schlimmsten Fall kann die Software den Dienst quittieren

Tut sie nicht. Wurde in einem Test festgestellt. Wir könnten sie mit dem DNS-Trick einfach so weiter nutzen.

> Solche Daten übertragen doch sicher viele Programme.

Ja, auch die ersten Versionen von Windows 10 haben das getan (ohne die Zustimmung des Benutzers einzuholen) und man konnte es nicht deaktivieren. Daher haben viele Juristen damals gesagt, dass Windows 10 in Deutschland nicht legal genutzt werden kann. Microsoft hat das eingesehen und nachgebessert, die Übermittlung der Daten ist nun optional, das Einverständnis des Nutzers wird explizit abgefragt. Jetzt scheint es okay zu sein.
Davon abgesehen wird ein DSGVO-Verstoß natürlich nicht legal, nur weil andere auch gegen die DSGVO verstoßen.

> eine personalisierte Lizenz

Ist es ja nicht. Es ist eine Volumenlizenz. Bei anderen Herstellern gibt's Lizenzserver oder einen Prüfer, der alle paar Jahre mal vorbeischaut, aber bei dieser Software nicht.

Mich würde vor allem noch interessieren, was ihr von der Lösung mit dem falschen DNS-Eintrag haltet.

 

[Fl0r!an]

Ich sehe nicht so ganz, wieso es den Softwarehersteller stören sollte, dass ihr die Kommunikation unterbindet. Dass in großen Unternehmen die Kommunikation nach/von außen nur sehr beschränkt möglich ist, ist ja alles andere als selten, dass nun "zufällig" die Software geblockt wird ist eben so. Wie soll er denn jemals davon erfahren, dass ihr das blockt? Die Software läuft offensichtlich ja sogar offline...?

Davon abgesehen würde ich die Datenschutzbelange und Lizenzvereinbarungen genauso bewerten wie du, aber ich bin kein Jurist.

 

[maba_de]

Soweit ich informiert bin, gilt beim internationalen Warenkauf das Recht des Erfüllungsorts (wenn nichts anderes vereinbart ist - ist es in meinem Fall nicht), daher deutsches Recht. Und somit muss das US-Unternehmen die DSGVO einhalten.

und genau hier liegst du meiner Meinung nach falsch. Ich hätte es in diesem Fall einfach, ich würde unsere Juristen fragen Und genau das empfehle ich dir, kläre das mit Juristen, alles andere ist nicht wirklich sinnvoll.

Das die DNS Geschichte funktioniert ist gut für Euch, würde ich machen.
ABER, der Hersteller kann euch den Zugang zu Patches und Updates abschneiden, auch wenn die Software funktioniert.
Und dann bist du sehr schnell im Lizenzstreit, der mit US Firmen echt Spass macht.

 

[Phrasenbieger]

US-Unternehmen

Ohne Niederlassung in D?
Mit der würde ich mal Kontakt aufnehmen.

Ansonsten gilt b1)

Oder c):
Du lässt das senden zu, sorgst aber dafür dass nur Max Mustermann übertragen wird.

 

[thorstenhirsch]

> Ohne Niederlassung in D?

Guter Punkt - sie haben zwar keine in D, aber eine Niederlassung in Wien, sehe ich gerade, die sich um das EU-Geschäft kümmert. Mit denen werde ich mal Kontakt aufnehmen, Danke!

> ABER, der Hersteller kann euch den Zugang zu Patches und Updates abschneiden, auch wenn die Software funktioniert.

Das ist mir klar. Der hat schließlich auch Vertragsfreiheit und muss keine Geschäfte mir so einem unliebsamen Kunden wie mir machen.

> ich würde unsere Juristen fragen

Tun wir einfach mal so, als ob ich das schon getan hätte und die Antwort darauf derart war, dass ich sie hier nicht wiederholen kann. Jedenfalls ist das derzeit kein Weg um einer Lösung näher zu kommen. Ich muss erst mal selbst ein bisschen Expertise einholen, bevor ich das Thema an Profis übergeben kann.

 

[maba_de]

die Antwort darauf derart war, dass ich sie hier nicht wiederholen kann. Jedenfalls ist das derzeit kein Weg um einer Lösung näher zu kommen.

oha, ich glaube, wir haben die selben Juristen .
Ohne 26 Grundsatzurteile ist es schwer, eine eindeutige/brauchbare Aussage zu bekommen.

 

[icetiger991]

Werde mich zwar nicht an der Diskussion beteiligen, aber da ihr über die GDPR diskutiert sollte man diese vielleicht auch verlinken: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&rid=1

Article 3

Territorial scope

1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

 

[maba_de]

mmh, die GDPR hilft hier nur bedingt.
Die GDPR regelt den Umgang mit personenbezogenen Daten, aber verhindert doch nicht grundsätzlich deren Übermittlung.
Ich kann keine Software kaufen, die die Übertragung personenbezogener Daten voraussetzt (Mailadresse etc.) und anschließend die GDPR als Ausrede nehmen, dass ich personenbezogene Daten nicht übermitteln möchte.
Damit würde man sicher nicht durchkommen, sofern man dem Hersteller der Software keinen GDPR Verstoß im Umgang mit diesen Daten nachweisen kann.

 

[mj]

Ich bin mir ehrlich gesagt nicht sicher, ob allein der Benutzername wie er im Active Directory hinterlegt ist bereits als personenbezogenes Datum im Sinne der DSGVO gilt. Denn nirgends ist gesagt, dass Max Mustermann im AD auch Max Mustermann heißen muss - er kann Erika Seibolt heißen, oder Station 593, oder oder oder. Ich würde den Weg einschlagen und Kontakt mit der offiziellen EU-Niederlassung aufnehmen. Da diese Firma eine Niederlassung in Wien hat gilt für sie auch EU-Recht solange sie Geschäfte mit in der EU ansässigen natürlichen oder rechtlichen Personen macht.

Der einzige Grund, der mir gegen die technische Lösung mit dem Proxy einfallen würde, wäre die Tatsache, dass zumindest sämtliche Software die mir persönlich bekannt ist nach einer bestimmten Zeit die Funktion einstellt, wenn die Lizenz nicht regelmäßig verifiziert werden kann. Sprich: beim ersten Mal passiert noch nichts, auch beim zweiten, dritten oder vierten Mal. Aber wenn nach einem bestimmten Zeitraum X die Lizenz weiterhin nicht verifiziert werde kann verweigert die Software mit einem entsprechenden Hinweis darauf den Start.

 

[maba_de]

ob allein der Benutzername wie er im Active Directory hinterlegt ist bereits als personenbezogenes Datum im Sinne der DSGVO gilt.

Selbst die IP Adresse ist ein personenbezogenes Datum.

 

[mj]

Die IP-Adresse kann auch eindeutig einem Standort und ggf. sogar einer Person zugeordnet werden. Aber wer steckt hinter dem Benutzernamen station593.versand oder e_bieder? Darauf will ich hinaus: ein Benutzername ist frei wählbar, eine IP-Adresse nicht.

Aber wie gesagt: das ist eine Frage für die Juristen, die kann ich nicht endgültig beantworten. Will ich ehrlich gesagt aber auch gar nicht, da ich die komplette DSGVO/GDPR für eine gigangische Shitshow halte bei der die EU wieder mal, in bester Tradition, meilenweit über das eigentliche Ziel hinausgeschossen ist.

 

[JeanLuc7]

Ich denke, Ihr betrachtet das ganze von der falschen Seite. Es ist natürlich richtig, dass deutsche Unternehmen die DSGVO beachten müssen. US-Unternehmen und deren Produkte müssen das erst einmal nicht. Es ist aber nun so, dass nicht der Softwaregersteller, sondern das einsetzende Unternehmen in der Pflicht ist, nicht gegen die DSGVO zu verstoßen. Wenn es Software einsetzt, die der DSGVO zuwider läuft, dann befolgt es die DSGVO offenbar nicht - oder anders gesagt: dein Unternehmen dürfte die Software gar nicht nutzen. Das Ändern des DNS-Eintrags ist eine Krücke, die wohl keinen Kläger finden dürfte - sofern die Software dann noch einwandfrei läuft. Der Lizenzvertrag von Software ist nach deutschem Recht nicht bindend, wenn man ihn erst nach dem Kauf einsehen kann. Das ist in den meisten Fällen bei US-Software so, weil deren Recht da anders gestrickt ist*.

Ob nun seitens der oben genannten Software tatsächlich ein Verstoß gegen die DSGVO vorliegt, hängt vom speziellen Fall ab. Wird "zuhause" lediglich ein Zähler betätigt und die IP-Adresse danach wieder "vergessen", ist das wohl eher unkritisch - so, wie auch die Versuche vieler Programme, Updates zu suchen und zu laden, als unkritisch angesehen werden. Auch da wird eine IP-Adresse übertragen. Wenn hingegen detailliert aufgezeichnet wird, wer das Programm wann mit welcher IP wie lange benutzt, ist das nach der DSGVO nicht zulässig - solche Software darf in europäischen Firmen dann eigentlich nicht zum Einsatz kommen.

*Deshalb kann man in Deutschland auch problemlos Hackintoshs bauen und mit macOS bestücken, sofern man es gekauft hat.

 

[MacEnroe]

Müssen die Mitarbeiter ihre Rechner eigentlich unter ihrem persönlichen Namen betreiben?

Man könnte die Namen auch mit „Mitarbeiter1“ „Mitarbeiter2“ usw. nehmen, dann wird auch kein
persönlicher Name übertragen.

Oder eben irgendwelche anderen fiktiven Namen wählen.