Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Vilka tjänster och cookies på webbplatser är tekniskt nödvändiga och behöver därför inte samtycke?

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Introduktion

I Artikel 6 GDPR är de rättsliga grunderna som nämns, enligt vilka en behandling av personuppgifter är tillåten. För webbplatser finns det i huvudsak bara två skäl varför en behandling av personuppgifter kan vara tillåten.

Den första anledningen är en från besökaren av webbplatsen frivilligt givna samtycke. Denna blir också kallad Consent och kan från den som har gett sin samtycke återtagas när som helst.

Den andra grunden är det berechtigta intresse av webbplatsägaren.

Eftersom samtycken har omfattande formella krav och att fråga om samtycke gärna undviks, försöker många hävda berättigat intresse som legitimation. Detta används också som ursäkt när man inte kan komma på något annat, till exempel vid svar på en begäran från en berörd part eller i en juridisk strid.

För vad behövs egentligen ett samtycke?

Cookies

Det är ganska tydligt när cookies används på en webbplats som inte är tekniskt nödvändiga. Dessa inkluderar alla cookies som inte är absolut nödvändiga. Som absolut nödvändig kan till exempel cookies för Sessionshantering eller för Fakturering med VG Wort betraktas, vilket används för att beräkna en lagstadgad författaravgift.

Allt som används för att spåra användare, alltså för att räkna användare, måste först granskas kritiskt och är enligt min mening inte garanterat nödvändigt om cookieläget överstiger 24 timmar.

Den rättsliga grunden för att en samtyckesförklaring krävs vid användning av Cookies regleras i Artikel 5 § 3 ePrivacy direktiv respektive nyligen i § 25 TTDSG. Det TTDSG säger dock att Cookies för att spåra användare är tekniskt inte nödvändiga, eftersom session-kakor för att räkna antalet användare är inte nödvändiga, "så att leverantören av ett telemedie kan tillhandahålla en från användaren uttryckligen önskad telemedie." Liknande är nämnda i ePrivacy direktiv, eftersom TTDSG anpassar sig mycket nära till ordalydelsen i den nämnda direktiven.

Obehövliga datatransfer

I Artikel 5, punkt 1 c GDPR är det krav som heter dataminimering nämnd. Enligt detta ska en datahantering vara till ändamålsenlig och begränsad till vad som är nödvändigt för de syften den sker inom. Även Artikel 25 GDPR kräver en dataskyddsvänlig utformning.

Ett exempel på onödiga datatransfer är bilder som är inbundna på en webbsida och laddas från ett tredjeparts-server. Naturligtvis kan man också spara bilden på sin egen server. När man hämtar en bild från en annan server överförs trafikdata inklusive den användares nätverksadress till en tredje part. Eftersom nätverksadressen betraktas som ett personuppgiftsdatum är sådan datatransfer i sig inte tillåtet och endast möjligen tillåtet i det specifika enskilda fallet.

Kritiska datatransfereringar

Jag anser att dataöverföringar till otrygga tredjeländer är kritiska. Ett otryggt tredjeland är varje land för vilket GDPR inte gäller och för vilket ingen beslut om tillräcklig skyddsnivå från den europeiska kommissionen finns. Detta gäller även, enligt min uppfattning, för beslut om tillräcklig skyddsnivå som inte verkar hållbara. Till exempel ändrar inget beslut från den europeiska kommissionen något på det faktum att USA enligt GDPR behandlar data från europeiska medborgare på ett olagligt sätt.

Med leverantörer från osäkra tredjeländer kan standardavtalsklausuler (SCC) eller bindande företagsregler (CBR) upprättas för att lösa problemet. Detta går dock bara om den nationella lagstiftningen respekterar sådana överenskommelser. I USA är detta inte fallet. Så longe som det finns Cloud Act, FISA och EO 12333 gäller svaret på frågan om datatransfer till tredje part i USA utan samtycke alltid: Nej.

Artikel 44 GDPR och följande artiklar där nämner kraven. En samtyckande för riskfyllda datatransfer kan bara undantagsvis och inte permanent bygga på en samtyckande, som Artikel 49 GDPR avslöjar. Här motståndet nästan varje webbplats som en samtyckande för verktyg från amerikanska leverantörer begärs, till exempel Facebook Pixel eller för Google Analytics.

En kritisk datatransfer sker till exempel när man hämtar en fil från ett server hos en amerikansk leverantör. Även här gäller det att alltid nätverkets IP-adress överförs som personuppgift.

Upplevelse: Lösningar för samtyckesåtkomst

Det verkar som om många inte vill ta reda på eller vet om detta. Båda är lika illa: Consent Tools från OneTrust och UserCentrics kan potentiellt skicka data till USA, och det händer då scripten för att bygga en begäran om samtycke har laddats (se de här länkade praktiska testerna som visar att i praktiken OneTrust och UserCentrics är mot GDPR).

Enligt detta bedömde de samtygskrav som ställdes av OneTrust och UserCentrics själva ett samtycke krävas innan det irriterande och ofta starkt bristfälliga så kallade cookiesnödpop-up visas.

Tekniskt nödvändiga tjänster

En digital tjänst kallas också för Verktyg. Tjänster i detta syfte är till exempel Matomo, Google Maps, OpenStreetMap eller externt skriftsystem. Beteckningen tjänst är här i vidaste mening och omfattar även externa bilder. Beteckningen kan motiveras med det engelska ordet "to serve". En server är således en tjänare eller förvaltare. Varje åtkomst till en extern server innebär i förlängningen användning av en tjänst. Härin ingår även att rent ut skicka data till en server, där ingen svar från servern förväntas (exempel: Skicka spårningsdata genom Google Analytics till ett Google-server skicka).

En digital tjänst är varje kommunikation med en server.

Bred definition av begreppet tjänst i digital dataskydd

Den aktuella besökta webbplatsen kan också betraktas som en tjänst. Att leverera en webbplats som begärs i webbläsaren är uppenbarligen tekniskt nödvändigt om någon vill erbjuda denna webbplats. Detta kräver ingen samtycke.

Godtyckelse behövs inte för godtyckliga filförfrågningar från en egen server, förutsatt att det inte innebär någon vidarebefordran av data till tredje part eller någon ytterligare databearbetning utöver den som redan är tillåten i samband med webbplatsens tillhandahållande.

Annars är inga ytterligare tjänster tekniskt nödvändiga. Varje webbplats klarar sig i grunden utan ytterligare tjänster. Binder en webbplats en tidsbokning från en annan leverantör, kan detta på grund av webbplatsens syfte eventuellt vara tekniskt nödvändigt. Man bör dock förvänta sig att en avtal om databehandling (DPA) har upprättats med leverantören av tidsbokningen och att leverantören fullständigt och garanterat lyder under GDPR. Leverantörer från osäkra tredjeländer utesluts därför här om inget samtycke ska inhämtas.

Nästan ingen tjänst är tekniskt nödvändig för en webbplats

Insikt från en noggrann analys av en webbsidas anatomi

Om en webbplats absolut måste ha en bokningshantering, måste ägaren leta en leverantör som är dataskyddsanpassad. Finns ingen sådan leverantör måste ägaren antingen avstå från bokningshanteringen eller utveckla en egen. Sistnämnda kan jag tycka att man kan förvänta sig. Eller så spelar denna bedömning i slutändan ingen roll. Om du inte hittar en parkeringsplats för att gå till mataffären och handla, får du inte parkera fel. Det spelar ingen roll om du inte kan handla på grund av att det inte finns någon vanlig parkeringsplats. Högst i ett undantagsfall skulle man kunna argumentera att felparkering är tolerabelt. Men detta enskilda fall förekommer nästan aldrig på webbplatser, eftersom en webbplats automatiskt riktar sig till många potentiella användare med hela sitt offentligt tillgängliga utbud.

Cookiebot erbjuder inte någon DPA, eftersom leverantören Cybot menar att detta inte är nödvändigt, eftersom inga personuppgifter skulle behandlas av Cookiebot. Detta är naturligtvis fullkomligt nonsens och visar på en omfattande brist i kunskap inom dataskydd.

Kort sagt, finns det knappt några tekniskt nödvändiga tjänster. Beroende på webbplatsens typ kan en eller annan funktion vara viktig, men måste då implementeras i enlighet med dataskyddsförordningen. Ingen fullständig integritet på grund av en påstådd viktig funktion är i alla fall inte ett giltigt argument.

Tekniskt nödvändiga cookies

De flesta cookies är absolut inte nödvändiga. Det börjar redan med att cookies inte bara existerar, utan skapas och används av tjänster. Dessa tjänster är dock, som tidigare beskrivet, i de flesta fall inte tekniskt nödvändiga. Därför är också de allra flesta cookies tekniskt inte nödvändiga.

Cookies är i praktiken nästan alltid inte tekniskt nödvändiga

Det finns bara väldigt få undantag

De tekniskt nödvändiga cookies kan räknas på en hand. De inkluderar:

  • Cookies för sessionshantering
  • VG Wort Cookies för beräkning av författareavgiften
  • Cookies för att lagra användarinställningar, till exempel språk
  • För att säkra kan cookies vara nödvändiga, men inte alltid anledningsvis. Se CSRF Tokens
  • Just nu kommer inget annat till mig

Sessionhanteringen möjliggör att redaktörer, administratörer och även användare av en e-handel kan logga in. Sessionhanteringen omfattar även hanteringen av en varukorg.

VG Wort-cookies är därför nödvändiga för att både bedrägerier och dubbelregistrering av snabbt efter varandra gjorda tillgångar av samma person (halvt effektivt) ska kunna upptäckas.

För en webbplats på flera språk kan det också vara praktiskt med en cookie för att spara den valda språket. Denna språkstyrning skulle även vara möjlig utan cookies, men skulle då kanske bli mer komplicerad och kräva en lämplig struktur för webbplatsen från början. Till exempel skulle URL-sökvägar till innehåll behöva väljas så att språket är kodat i sökvägen. Å andra sidan skulle det då behöva finnas en version för varje sida för varje erbjudna språk, så att det alltid är tydligt vilket språkområde användaren befinner sig i.

Även andra inställningar som en användare kan göra på en webbplats är möjliga. Härtill hör även beslut om dataskyddsinställningar (samtycke). Opt-out-cookies som läsas ut av tredje parter anser jag dock inte vara tillåtna. För ett valfritt tredjeparts-tjänst som laddas för att sedan inte göra något har ingen mening och är därför inte nödvändig. Den får inte ens laddas om användaren inte vill det.

Slutsats

Jag hävdar hittills att alla tredjepartscookies alltid kräver samtycke. En DPA är redan det minsta som förväntas. Då är nämligen tredje parten inte längre en sådan utan en första. Skriv till mig om du ser ett fall där ett tredjepartscookie är tekniskt nödvändigt, om det alltså inte finns någon DPA!

Samma gäller för dataupphämt från tredje part. Jag kan inte komma på något exempel, utöver VG Worts räknappare eller liknande konstellationer som är förenat med lagstadgade bestämmelser, där ett dataupphämt utan DPA skulle vara tillåtet eftersom det är oundvikligt. Berätta för mig om du känner till något exempel.

Denna artikel syftar till att initiera en diskussion och gör (ännu) inte anspråk på att ha beaktat alla situationer. Jag antar dock att jag åtminstone är nära sanningen, om inte redan direkt träffat den.

Huvudpunkter i denna artikel

Webbplatser får endast behandla data om det är tekniskt nödvändigt eller om användaren samtycker eller om det finns en annan rättslig grund.

Överföring av data till länder utanför EU är oftast förbjudet om dessa länder inte har tillräckliga dataskyddsförordningar.

De flesta digitala tjänster på webbplatser är inte tekniskt nödvändiga och måste genomföras i enlighet med dataskyddsförordningen.

De flesta cookies är inte tekniskt nödvändiga och kräver därför användarens samtycke.

Om dessa huvudpoänger
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Website-Cookies: Was darf ohne Zustimmung verwendet werden?