Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Quali servizi e cookie sui siti web sono tecnicamente necessari e quindi non richiedono il consenso?

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Introduzione

In Art. 6 GDPR sono indicate le basi giuridiche per cui è consentita la trattazione dei dati. Per i siti web esistono in sostanza solo due motivi per cui è consentita la trattazione dei dati.

Il primo motivo è una consenso liberamente espresso del visitatore del sito web Consent. Questa può essere revocata dall'Ernesto ogni volta che lo desideri.

Il secondo motivo è l'interesse legittimo del gestore di un sito web.

Poiché le concessioni di consenso comportano significative esigenze formali e la richiesta di consenso viene spesso evitata, molti cercano di invocare l'interesse legittimo come legittimazione. Questo viene anche utilizzato come scusa quando non si riesce a pensare a nulla di meglio, ad esempio nella risposta a una richiesta di un interessato o in una controversia legale.

Per cosa è in realtà necessaria il consenso?

Cookie

La situazione è abbastanza chiara quando su un sito web vengono utilizzati cookie che non sono tecnologicamente necessari. Ciò include tutti i cookie che non sono assolutamente necessari. Come veramente necessari possono essere considerati, ad esempio, i cookie per la gestione delle sessioni o per l'accordo con la VG Wort per il calcolo di un'autorizzazione legittimamente prevista per gli autori.

Tutto ciò che serve a tracciare gli utenti, quindi a contare il numero di utenti, deve essere prima di tutto messo in discussione e, secondo la mia opinione, non è garantitamente necessario se la durata di vita del cookie supera le 24 ore.

La base giuridica per la necessità di un consenso nell'uso dei cookie è regolata nel Art. 5 comma 3 della direttiva ePrivacy o, più recentemente, nel § 25 del TTDSG. Il TTDSG afferma tuttavia che i cookie per la tracciatura degli utenti sono tecnici non necessari, poiché i cookies di sessione per il conteggio degli utenti sono non necessari, "in modo che l'editore di un servizio di media online possa fornire un servizio di media online richiesto esplicitamente dall'utente." Lo stesso vale per la direttiva ePrivacy, poiché il TTDSG si basa molto fedelmente sul testo della citata direttiva.

Trasferimenti di dati non necessari

In Art. 5 comma 1 c GDPR è richiesto il principio di minimizzazione dei dati. In base a ciò, la trattazione dei dati deve essere conforme al fine e limitata al minimo necessario per le finalità della trattazione. Anche Art. 25 GDPR richiede una configurazione amichevole con il diritto alla protezione dei dati.

Un esempio di trasferimenti di dati non necessari sono le immagini inserite in una pagina web che vengono caricate da un server terzo. Naturalmente, un'immagine può essere anche memorizzata sul proprio server. Al momento del caricamento di un altro server vengono trasmessi i dati di traffico inclusa l'indirizzo di rete dell'utente a un terzo. Poiché l'indirizzo di rete viene considerato come dato personale, inizialmente non è consentito tale trasferimento di dati. Quindi è diverso da quanto molti credono: i trasferimenti di dati verso terzi sono in sé non consentiti e solo nel caso specifico individuale potrebbero essere ammissibili.

Trasferimenti critici di dati

Considero critici i trasferimenti di dati verso paesi terzi non sicuri. Un paese terzo non sicuro è ogni paese per il quale il GDPR non è applicabile e per il quale non esiste un decisione di adeguatezza rilasciata dalla Commissione Europea. Inoltre, secondo la mia opinione, vale lo stesso per le decisioni di adeguatezza che non appaiono sostenibili. Ad esempio, nessun decisione della Commissione Europea può cambiare il fatto che gli Stati Uniti, secondo il GDPR, elaborano illegalmente i dati dei cittadini europei.

Con gli operatori di servizi da paesi non sicuri è possibile stipulare clausole contrattuali standard (SCC) o regole d'impresa vincolanti (CBR) per risolvere il problema, a condizione che la legislazione nazionale accetti tali accordi. Ciò non è possibile negli Stati Uniti. Finché ci sono l'Act Cloud, FISA e EO 12333, la risposta alla domanda se i trasferimenti di dati verso terzi negli Stati Uniti siano consentiti senza autorizzazione sia sempre: no.

L'articolo 44 GDPR e gli articoli successivi indicano le richieste. Un consenso per trasferimenti di dati a rischio può essere concesso solo in via eccezionale e non duraturo, come rivela l'articolo 49 GDPR. A ciò si scontra quasi ogni sito web che chiede un consenso per strumenti di fornitori americani, ad esempio il Facebook Pixel o Google Analytics. ([1]) ([2]) ([3])

Un trasferimento di dati critico si verifica ad esempio al caricamento di un file da un server di un fornitore americano. Anche in questo caso, sempre viene trasmessa l'indirizzo del network dell'utente come dato personale. ([1])

Escursione: soluzioni di consenso

Sembrano volerlo molti non prendere conoscenza, o non saperlo. Entrambi sono ugualmente nefasti: gli strumenti di consenso di OneTrust e UserCentrics inviano potenzialmente dati negli Stati Uniti, e ciò avviene quando i script per l'installazione della richiesta di consenso vengono caricati (vedere i test pratici qui collegati, che mostrano come in pratica OneTrust e UserCentrics siano da valutare in base alla GDPR).

Dem resto delle richieste di consenso di OneTrust e UserCentrics serviva a sua volta una consapevolezza, prima che questo fastidioso e spesso fortemente difettoso cosiddetto popup dei cookie venisse visualizzato.

Servizi tecnicamente necessari

Un servizio digitale viene anche chiamato Strumento. I servizi in questo senso sono ad esempio Matomo, Google Maps, OpenStreetMap o fonti esterne. La denominazione di servizio è qui intesa nel senso più largo e include anche immagini esterne. La denominazione può essere giustificata dal termine inglese "to serve". Un server quindi è un servo o un addetto. Ogni richiesta a un server esterno significa in questo senso l'utilizzo di un servizio. Incluso in ciò è anche il semplice invio di dati a un server, senza che si aspetti una risposta dal server (ad esempio: inviare dati di tracciamento a Google Analytics su un server Google).

Un servizio digitale è qualsiasi comunicazione con un server.

Ampia definizione del termine "servizio" nel contesto della protezione dei dati digitali

Anche la pagina Web che si sta visitando può essere considerata un servizio. La fornitura di una pagina Web richiesta dal browser è evidentemente tecnicamente necessaria se qualcuno desidera offrire tale pagina Web. Per questo non è richiesta alcuna consenso.

L'accesso a qualsiasi file da un proprio server, che non comporta la condivisione di dati con terzi né un'ulteriore elaborazione dei dati oltre a quella già consentita dalla semplice fornitura del sito web, è irrilevante e non richiede il consenso.

In caso contrario, inizialmente non sono necessari altri servizi tecnici. Ogni sito Web, in sé, può funzionare inizialmente senza altri servizi. Se un sito Web integra un sistema di gestione appuntamenti di un altro fornitore, questo potrebbe essere tecnicamente necessario in base allo scopo del sito Web. Tuttavia, in tal caso, è lecito aspettarsi che sia stato stipulato un DPA con il fornitore del sistema di gestione appuntamenti e che quest'ultimo si sottoponga completamente e garantitamente al GDPR. I fornitori provenienti da paesi terzi non sicuri sono quindi esclusi, salvo che non venga ottenuta il consenso.

Quasi nessun servizio è tecnicamente necessario per un sito web

Conoscenza derivante da un'attenta analisi dell'anatomia di un sito web

Se è assolutamente necessario un sistema di gestione appuntamenti, il gestore del sito web deve cercare un fornitore conforme alla normativa sulla privacy. Se non si trova un tale fornitore, il gestore del sito web deve o rinunciare alla gestione degli appuntamenti o svilupparne uno autonomo. Quest'ultimo, a mio avviso, è un onere ragionevole. O questa valutazione, in definitiva, non ha importanza. Se non trovi un parcheggio per camminare al supermercato e fare la spesa, non dovresti parcheggiare in modo scorretto. Non importa se non puoi fare la spesa perché non c'è un parcheggio regolare. Al massimo, in casi eccezionali, si potrebbe sostenere che un parcheggio abusivo è tollerabile. Tuttavia, questo caso singolo è quasi inesistente per i siti web, poiché un sito web, con l'intero suo pubblico e accessibile offerta, si rivolge automaticamente a numerosi potenziali utenti.

In ogni caso, Cookiebot non offreDPA (Autorizzazione di Valutazione della Vulnerabilità) perché l'azienda Cybot sostiene che non sia necessario, poiché Cookiebot non elaborerebbe affatto dati personali. Ciò è ovviamente una sciocchezza e dimostra un'estrema ignoranza delle questioni relative alla protezione dei dati.

In breve, ci sono pochi servizi tecnicamente necessari. A seconda del tipo di sito web, una o più funzioni potrebbero essere importanti, ma devono comunque essere implementate in modo conforme alla protezione dei dati. Nessun pieno rispetto della privacy a causa di una funzione ritenuta importante non può essere considerato un argomento valido.

Cookie tecnicamente necessari

La maggior parte dei cookie non è assolutamente necessaria. Questo inizia già dal fatto che i cookie non esistono semplicemente così, ma vengono creati e utilizzati da servizi. Questi servizi, però, come descritto sopra, nella maggior parte dei casi non sono tecnicamente necessari. Pertanto, anche la stragrande maggioranza dei cookie non è tecnicamente necessaria.

I cookie sono quasi sempre non necessari dal punto di vista tecnico

Ci sono solo pochissime eccezioni

I cookie tecnicamente necessari si possono contare sulle dita di una mano. Tra questi ci sono:

  • Cookie per la gestione della sessione
  • Cookie VG Wort per il calcolo della remunerazione degli autori
  • Cookie per la memorizzazione delle impostazioni dell'utente, ad esempio della lingua
  • Per la sicurezza possono essere necessari i cookie, ma non sempre senza un motivo specifico. Vedi Token CSRF
  • Non mi viene in mente altro per ora

La gestione delle sessioni include le possibilità che redattori, amministratori e anche gli utenti di un negozio online possano accedere. Include inoltre la gestione del carrello della spesa.

I cookie di VG Wort sono quindi necessari affinché sia possibile rilevare sia l'inganno sia il doppio registrazione di accessi rapidi e consecutivi effettuati dalla stessa persona (in modo abbastanza efficace).

Per un sito web multilingue, un cookie per memorizzare la lingua scelta può essere utile. Questa gestione della lingua sarebbe anche possibile senza cookie, ma potrebbe essere più complessa e richiederebbe fin dall'inizio una struttura adeguata del sito web. Ad esempio, i percorsi URL dei contenuti dovrebbero essere scelti in modo che la lingua sia codificata nel percorso. D'altra parte, per ogni pagina dovrebbe esistere una versione per ogni lingua offerta, in modo che sia sempre chiaro in quale area linguistica si trovi l'utente.

Anche altre impostazioni che un utente può apportare su un sito web sono possibili. Tra queste figurano anche le decisioni relative alle impostazioni sulla privacy (consenso). I cookie Opt-Out, invece, letti da terzi, li ritengo non consentiti. Perché un servizio di terze parti opzionale, caricato per poi non fare nulla, non ha senso ed è quindi non necessario. Non dovrebbe essere caricato affatto se l'utente non lo desidera.

Conclusione

affermo, fino a nuovo avviso, che tutti i cookie di terze parti richiedano sempre il consenso. Un DPA è già il minimo che ci si può aspettare. In tal caso, il terzo non è più tale, ma diventa un primo. Per favore, scrivimi se vedi un caso in cui un cookie di terze parti sia tecnicamente necessario, ovvero quando non è presente un DPA!

Lo stesso vale per i richiami di dati da terzi. Mi viene in mente solo il Pixel di conteggio VG Wort o simili configurazioni regolate dal diritto, che non conosco un esempio di richiamo di dati senza DPA che sarebbe consentito perché inevitabile. Per favore nominatemi un esempio se lo conoscete.

Questo articolo mira a stimolare il dibattito e (ancora) non pretende di aver considerato tutte le situazioni possibili. Tuttavia, credo di essere almeno abbastanza vicino alla verità, se non addirittura di averla già raggiunta.

Principali punti chiave di questo articolo

I siti web possono elaborare dati solo se è tecnicamente necessario o se l'utente acconsente o se esiste un'altra base giuridica.

Il trasferimento di dati in paesi al di fuori dell'UE è spesso vietato se tali paesi non dispongono di adeguate normative sulla protezione dei dati.

La maggior parte dei servizi digitali sui siti web non sono tecnicamente necessari e devono essere implementati in conformità con la privacy.

La maggior parte dei cookie non sono tecnicamente necessari e pertanto richiedono il consenso dell'utente.

Sui punti chiave di cui sopra
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Website-Cookies: Was darf ohne Zustimmung verwendet werden?