@JWiemann01:
Ich wollte mich halt erst mal vergewissern ...
Aber da Du jetzt (auch wenn es in diesem Thread tatsächlich um eine Labor-Version geht) solche Fehler mit dem Labor-Status erklären willst, sollte so etwas in einer Release-Version ja dann nicht mehr passieren, oder?
Willst Du erleben, wie das aber in der Realität aussieht, nimm Dir einfach eine 153.07.00 und das dazu passende Gerät, am besten eines mit "1und1"-Branding. Dieses setzt Du dann auf die Werkseinstellungen zurück und dann wirst Du auf der allerersten Seite von der Firmware (nach der Anmeldung) gefragt, ob Du die Funktion "Diagnose und Wartung" nutzen möchtest - die Entscheidung wurde Dir von AVM dann auch netterweise bereits so weit abgenommen, daß Du gar nichts mehr tun mußt, außer auf "OK" zu drücken:
Schon das paßt nicht zur DSGVO und zwar zum Satz 3 im (erläuternden) Erwägungsgrund 32 - bleibt vielleicht noch die Frage zu klären, inwieweit es sich hier um die Einwilligung in die Verarbeitung personenbezogener Daten handelt ... was angesichts der Möglichkeiten von "argo" auch nicht lange strittig sein wird und auch hier rede ich wieder von einer Release- und nicht von einer Labor-Version und der (immer noch vorhandenen) Übermittlung der "SerialNumber" im Environment im Rahmen der Telemetrie, die bei allen diesen Versionen erfolgt.
Um der Frage zuvorzukommen, was das im Folgenden geschilderte Problem mit der zuvor erwähnten MyFRITZ!-Anmeldung zu tun hat, die ja auch von anderer Seite durchaus als mißverständlich und "Trickserei" seitens AVM angesehen wird: Das sind alles zusammen Symptome dafür, wie ernst man Datenschutz und die Umsetzung in der Firmware nimmt und welchen Stellenwert man der Notwendigkeit einräumt, daß der Kunde seine Zustimmung auch tatsächlich erteilen muß.
Denn es kommt bei der von mir geschilderten Situation dann zu noch größeren Merkwürdigkeiten und auch wenn es hier OT ist, weil es die 7580 konkret betrifft, dürfte sich das durch alle Modelle ziehen und damit gehört es
auch wieder zur 7490 - zumindest kann man es als Anregung meinerseits interpretieren, dieselben Tests einfach mal mit einer 7490 umzusetzen.
Was geschieht nun genau? Ich will es nur mal "anreißen", weil ich das schon noch genauer dokumentiere und dann in einem eigenen Thread thematisieren will.
Entfernt man jetzt den Marker aus der Checkbox und fährt mit der Einrichtung fort, würde sicherlich jeder "normale Kunde" davon ausgehen, daß AVM nunmehr die Telemetrie (was "argo" ist und macht bzw. machen kann, habe ich schon an anderen Stellen geschrieben) auch abgeschaltet hat und unmittelbar am Beginn des nächsten Schrittes ist das tatsächlich auch so, wovon man sich auf der Basis des Inhalts der "juis_boxinfo.xml" überzeugen kann:
Code:
vidar:/home/GitHub/YourFritz # wget -qO- http://192.168.178.1/juis_boxinfo.xml;echo
<e:BoxInfo xmlns:e="http://juis.avm.de/updateinfo" xmlns:q="http://juis.avm.de/request">
<q:Name>FRITZ!Box 7580 (UI)</q:Name>
<q:HW>225</q:HW>
<q:Major>153</q:Major>
<q:Minor>7</q:Minor>
<q:Patch>0</q:Patch>
<q:Buildnumber>59665</q:Buildnumber>
<q:Buildtype>1</q:Buildtype>
<q:Serial>E0286DBEEF00</q:Serial>
<q:OEM>1und1</q:OEM>
<q:Lang>de</q:Lang>
<q:Country>049</q:Country>
<q:Annex>B</q:Annex>
<q:Flag>crashreport</q:Flag>
<q:Flag>avm_acs</q:Flag>
<q:Flag>mesh_master_no_trusted</q:Flag>
<q:UpdateConfig>2</q:UpdateConfig>
<q:Provider></q:Provider>
<q:ProviderName></q:ProviderName></e:BoxInfo>
vidar:/home/GitHub/YourFritz #
So sehen die Einstellungen
vor dem Druck auf "OK" in der ersten Seite aus - die "Flags" mit den Namen "crashreport" und "avm_acs" sind gesetzt ... ihre Bedeutung habe ich auch an anderer Stelle schon erläutert. Das ist damit auch erst einmal bereits "eingeschaltet", selbst wenn - mangels Internetverbindung - noch keine Daten an AVM geleakt werden können. Gibt es jetzt - neben dem Abruf der Informationen - noch andere Stellen in der Firmware, wo anhand dieser Einstellungen Daten "gesammelt" werden, dürfte das auch schon ohne Internetverbindung möglich sein und wohl auch erfolgen.
Nach dem Abschalten (Checkbox
deaktivieren deselektieren und "OK" drücken) sieht es dann (richtigerweise) so aus:
Code:
vidar:/home/GitHub/YourFritz # wget -qO- http://192.168.178.1/juis_boxinfo.xml;echo
<e:BoxInfo xmlns:e="http://juis.avm.de/updateinfo" xmlns:q="http://juis.avm.de/request">
<q:Name>FRITZ!Box 7580 (UI)</q:Name>
<q:HW>225</q:HW>
<q:Major>153</q:Major>
<q:Minor>7</q:Minor>
<q:Patch>0</q:Patch>
<q:Buildnumber>59665</q:Buildnumber>
<q:Buildtype>1</q:Buildtype>
<q:Serial>E0286DBEEF00/q:Serial>
<q:OEM>1und1</q:OEM>
<q:Lang>de</q:Lang>
<q:Country>049</q:Country>
<q:Annex>B</q:Annex>
<q:Flag>mesh_master_no_trusted</q:Flag>
<q:UpdateConfig>2</q:UpdateConfig>
<q:Provider></q:Provider>
<q:ProviderName></q:ProviderName></e:BoxInfo>
vidar:/home/GitHub/YourFritz #
Die betreffenden Flags sind nicht mehr gesetzt.
Darf man jetzt (auch in Deinen Augen) bei einer Release-Version davon ausgehen, daß der Kunde
einmal seine Entscheidung getroffen hat und diese von AVM
gespeichert und
akzeptiert wurde? Ich denke: Ja, das darf man durchaus.
Was geschieht im nächsten Schritt? Es startet der Einrichtungsassistent und da es sich hier um ein Modell mit 1&1-Branding handelt (wie man oben in der "juis_boxinfo.xml" auch sehen kann), ist es der für die Benutzung der FRITZ!Box im 1&1-DSL-Netz:
Entscheidet man sich jetzt für "DSL" oder "WAN" als Zugangsweg (Mobilfunk habe ich noch nicht getestet), folgt die (zweimalige) Eingabe des 1&1-Startcodes:
Anschließend versucht die Box, die Verbindung zum Provider herzustellen ... was in meinem Falle immer scheitern muß ("Ich bin gar kein 1&1-Kunde, Senorita."), aber keinen Einfluß auf die zwischenzeitlichen Abläufe hat.
Denn ... o Wunder ... zusammen mit dem "prov_acs"-Flag, welches anzeigt, daß die Box mit dem Provider TR-069-Klüngeleien betreiben darf (das ist die Folge der Auswahl von "1&1" als Provider und wird inzwischen sogar korrekterweise als "nicht abzubedingen" im GUI gekennzeichnet, weil die betreffende Einstellung nicht änderbar ist - zumindest solange keine Konfiguration von 1&1-Seite erfolgte und wie es danach aussieht, kann ich - wieder mangels Account - nicht mehr testen:
), hat AVM hier einfach auch das "avm_acs"-Flag für "argo" wieder gesetzt, was dann zu folgendem Bild in der Seite "AVM-Dienste" führt:
Wer genau hinsieht, erkennt den Marker in der deaktivierten Checkbox und auch an weiteren Stellen sind die Anzeichen für diese (erneute und vom Kunden eigentlich abgelehnte) Aktivierung nicht zu übersehen:
Code:
vidar:/home/GitHub/YourFritz # wget -qO- http://192.168.178.1/juis_boxinfo.xml;echo
<e:BoxInfo xmlns:e="http://juis.avm.de/updateinfo" xmlns:q="http://juis.avm.de/request">
<q:Name>FRITZ!Box 7580 (UI)</q:Name>
<q:HW>225</q:HW>
<q:Major>153</q:Major>
<q:Minor>7</q:Minor>
<q:Patch>0</q:Patch>
<q:Buildnumber>59665</q:Buildnumber>
<q:Buildtype>1</q:Buildtype>
<q:Serial>E0286DBEEF00</q:Serial>
<q:OEM>1und1</q:OEM>
<q:Lang>de</q:Lang>
<q:Country>049</q:Country>
<q:Annex>B</q:Annex>
<q:Flag>prov_acs</q:Flag>
<q:Flag>avm_acs</q:Flag>
<q:Flag>mesh_master_no_trusted</q:Flag>
<q:UpdateConfig>2</q:UpdateConfig>
<q:Provider>1und1</q:Provider>
<q:ProviderName>1&1 Internet</q:ProviderName></e:BoxInfo>
vidar:/home/GitHub/YourFritz #
Die Portfreigabe wird ggf. erst dann angezeigt, wenn tatsächlich eine WAN-Verbindung besteht, da sie vorher halt nicht per PCP eingerichtet werden kann (falls es jemand nachstellen möchte).
Da es sich hier tatsächlich noch um Fehler in der Release-Version handelt, wird man zwar diese unerwünschte Funktion auch relativ leicht wieder los ... auch wenn die Checkbox in der Seite "AVM-Dienste" deaktiviert ist, führt das "Übernehmen" zur Auswertung der darüber befindlichen Checkbox "Diagnosedaten" und wenn diese nicht ausgewählt wurde, wird (richtigerweise) auch das "Diagnose und Wartung" wieder abgeschaltet.
Die Frage ist nur, wieviele FRITZ!Box-Besitzer werden sich wohl in diese Seite "verirren" und dann dort - entgegen der suggerierten Schlußfolgerung, die jeder normale Nutzer wohl aus dem Umstand ableiten würde, daß bei nicht ausgewählter Checkbox "Diagnosedaten" die darunterliegenden HTML-Elemente alle "disabled" sind - auf "Übernehmen" anstelle von "Abbrechen" drücken?
Welche "Erklärung" hättest Du denn hier für die "Laxheit" im Umgang mit dem Datenschutz anzubieten? Wenn ich als Hersteller eine gesetzliche Pflicht habe, bestimmte Funktionen umzusetzen, dann umfaßt diese eben auch den (eigenen(!) und ausführlichen, ja sogar den in Einzelschritten dokumentierten) Test, daß alles tatsächlich so arbeitet, wie es die Gesetzeslage erfordert - ansonsten habe ich bei einer Klage recht schlechte Karten.
Und genau an dieser Stelle sehe ich Defizite bei AVM und diese erstrecken sich auf Labor-Versionen genauso, wie auf Release-Versionen und die Tatsache, daß sich jemand bereiterklärt, als Beta-Tester für einen Hersteller tätig zu werden, beraubt ihn noch nicht automatisch aller anderen persönlichen Rechte und sie impliziert auch keine automatische Akzeptanz von Datensammlungen, solange der Kunde nicht seine informierte(!) Einwilligung erteilt hat.
Dieses Einholen der Einwilligung des Kunden wurde nämlich - zumindest in meinen Augen und ich bin gerne bereit, diesen Standpunkt anhand des Lua-Codes zu verteidigen - so "flüchtig" umgesetzt (ich will nicht "dilettantisch" schreiben, obwohl das ja eigentlich nur ein Synonym für "nicht sachgerecht" ist), daß so mancher Kunde (nach dem Update auf 07.00) diese Seite niemals zu Gesicht bekommen wird. Steigt man nämlich über ein entsprechendes Lesezeichen im eigenen Browser in die FRITZ!Box ein (was ich ständig mache, weil ich (a) auf eine bestimmte Startseite will und (b) einen Benutzernamen vorbelegt haben möchte, der nicht immer der letzte sein muß, der sich angemeldet hat - so macht es ja das FRITZ!OS), kriegt man diese "Einwilligung" in die Datensammelei nie zu sehen und aktiviert ist sie (wir erinnern uns an die "Vorbelegung" seitens AVM) trotzdem.
Daher ist es - für die rechtliche Beurteilung - ziemlich egal, ob es sich bei einem solchen Fauxpas um eine Beta-Version oder irgendetwas anderes handelt ... ja, es wäre geradezu widersinnig, wenn sich ein Hersteller mit dem Verweis, er würde doch nur Beta-Versionen unters Volk bringen, von den Verpflichtungen "freikaufen" könnte, die ihm die Gesetzeslage auferlegt ... und dazu gehört nun mal auch die Gesetzgebung zum Thema "Datenschutz".
Und in diesem Thread habe ich das auch nur noch einmal deshalb angesprochen, weil die "Problemlösung", die von
@Sam Hot gefunden wurde (einfach MyFRITZ! aktivieren), wohl genau diese eine ist, die AVM sehr gefallen dürfte ... wenn sich ein Fehler so bemerkbar macht, daß es am Ende dem Hersteller eher "nützt" (zum Thema der "Erkennbarkeit" der wahren Absichten bei der Abfrage zur Aktivierung des MyFRITZ!-Services beim Update und in den finalen Versionen, haben andere schon genug geschrieben, auch nachdem sie in der Final-Version erstmalig mit dem Thema in Verbindung kamen), dann darf man auch schon mal die Vermutung hegen, daß es mit dem Test und der Behebung des Problems nicht ganz so genau genommen wurde.
Das würde
ich dann eher als "schräg" ansehen, daß es hier nur sehr wenige sichtbare Fortschritte gab, obwohl das Thema DSGVO kaum an AVM vorbeigegangen sein kann und die Frage, wohin uns diese ganze Datensammelei bei AVM am Ende bringen wird (komischerweise bemerkt man das bei MS für Windows 10 mit großem Tamtam, beim FRITZ!OS von AVM ist das aber eher kein Thema), ist für mich noch lange nicht geklärt. Die "Offenheit" bei AVM, daß man sich die "anonyme" Datenzusammenstellung (in der "Support-Seite") ansehen kann, bedeutet leider noch lange nicht, daß ausschließlich diese Daten abgerufen werden können.
Man muß sich nur mal den Text der Datenschutzerklärung richtig durchlesen:
Zur Verbesserung Ihres Produkts und für den sicheren Betrieb an Ihrem Anschluss sendet Ihr FRITZ!-Produkt im Bedarfsfall technische Diagnosedaten an AVM:
Die Optionen "Diagnose" und "Diagnose und Wartung" sind im Rahmen der Installation aktiviert. Um die Sicherheit und den zuverlässigen Betrieb Ihres Produkts sicherzustellen, empfehlen wir, diese Einstellungen aktiviert zu lassen. Sie können diese Optionen jedoch auch im Rahmen der Installation ändern. Sie können beide Optionen nachträglich unter "Internet / Zugangsdaten / AVM-Dienste" einzeln ändern. Weitere Informationen dazu finden Sie auf der Hilfeseite unter "AVM-Dienste".
Mit der Option "Diagnose" werden technische Diagnosedaten zu Fehlern (Fehlerberichte) oder bei Missbrauchsverdacht durch Dritte bei konkretem Anlass von Ihrem FRITZ!-Produkt an AVM zur Analyse übermittelt.
Mit der Option "Diagnose" ist Ihre FRITZ!-Produkt für AVM zu Diagnosezwecken erreichbar. AVM kann im Einzelfall ausgewählte technische Diagnosedaten abrufen, etwa zur Fehleranalyse oder zu Supportzwecken. AVM kann im Einzelfall eine Zusammenfassung der Diagnosedaten abrufen, etwa zur Fehleranalyse oder zu Supportzwecken. Diese Zusammenfassung können Sie sich unter "Internet / Zugangsdaten / AVM-Dienste" ansehen. AVM erhebt von einer Stichprobe von FRITZ!-Produkten statistisch relevante Daten zu Qualität, Einsatzszenarien und Umgebungsparametern. Dies dient dazu, technische Probleme zu erkennen, sinnvolle Weiterentwicklungen einzusteuern und qualitative Verbesserungen messbar zu gestalten. Bei aktivierter Option "Diagnose und Wartung" wird ein zufällig ausgewählter, zugriffsgeschützter Port auf dem FRITZ!-Produkt zur Kommunikation mit dem FRITZ!-Produkt zum alleinigen Zweck der Übertragung der Diagnosedaten geöffnet.
Dieser "Einzelfall" (im von mir hervorgehobenen Text) ist offensichtlich nicht mit dem "Einzelfall" aus dem davor stehenden Satz identisch (ansonsten wäre es schlicht eine Wiederholung) und woraus diese "ausgewählten technischen Diagnosedaten" nun genau bestehen, die AVM da "abrufen" kann, bleibt weiterhin "geheim" ... um die erwähnte "Zusammenfassung" dürfte es sich dabei jedenfalls eher nicht handeln und da hier auch ausdrücklich beschrieben wird, daß die FRITZ!Box durch die Option "Diagnose"
erreichbar ist, kann es sich auch nicht nur um die (schon ältere) Funktion der "crashreports" handeln, denn diese werden nur automatisch von der Box an den Hersteller gesendet und damit ist die Box keineswegs "erreichbar" für AVM.
Ich hoffe also, Du siehst es mir nach, wenn ich beim Thema "Datenschutz und AVM" meinerseits keine Unterscheidung zwischen Labor- und Release-Versionen mache ... es gibt - in meinen Augen - gar keinen Grund dazu.
