Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Jakie usługi i pliki cookie na stronach internetowych są technicznie niezbędne i nie wymagają zatem zgody?

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

@@Wprowadzenie

W Art. 6 RODO są wymienione podstawy prawne, na których zależy możliwość przetwarzania danych. W przypadku stron internetowych istnieją w zasadzie tylko dwa powody, dla których przetwarzanie danych jest dopuszczalne.

Pierwszym powodem jest wolna, udzielona zgoda odwiedzającego strone internetową, która również nazywa się Consent i może być przez tego, kto ją udzielił, w każdej chwili cofnięta.

Drugi powód to prawo do działania właściciela strony internetowej.

Ponieważ uzyskanie zgody wiąże się z poważnymi formalnymi wymogami, a jej pobieranie często jest unikane, wiele stron stara się powołać na uzasadnione interesy jako podstawę prawną. To uzasadnienie jest również wykorzystywane jako wymówka, gdy nic innego nie przychodzi do głowy, na przykład w odpowiedzi na żądanie osoby, której dane dotyczą, lub w sporze sądowym.

W jakim celu wymagana jest zgoda?

Cookies

Zdecydowanie jest to sytuacja, gdy na stronie internetowej są stosowane pliki cookies, które nie są technicznie niezbędne. Do nich należą wszystkie pliki cookies, które nie są naprawdę absolutnie niezbędne. Jako naprawdę niezbędne można uznać np. pliki cookies do zarządzania sesją lub do rozliczania z VG Wort dla obliczenia prawnie uregulowanej opłaty autorskiej.

Wszystko, co służy do śledzenia użytkowników, czyli do liczenia użytkowników, musi najpierw zostać krytycznie zweryfikowane i moim zdaniem nie jest z pewnością niezbędne, jeśli czas ważności cookie przekracza 24 godziny.

Podstawa prawna dla konieczności zgody na użycie plików cookies określona jest w Art. 5 § 3 ePrivacy directive oraz w nowszych czasach w § 25 TTDSG. Zgodnie z tymi przepisami, pliki cookies służące do śledzenia użytkowników są technicznie niepotrzebne, ponieważ pliki sesji do liczenia użytkowników nie są potrzebne, "aby dostawca usługi telekomunikacyjnej mógł udostępnić użytkownikowi usługę telekomunikacyjną, którą ten wyraźnie życzy sobie." Takie samo stwierdzenie można znaleźć w ePrivacy directive, ponieważ TTDSG bardzo sięga poza te przepisy.

Niepotrzebne przesyłanie danych

W Art. 5 § 1 c RODO jest wymienione nakazanie minimalizacji danych. Zgodnie z tym, przetwarzanie danych musi być dostosowane do celu i ograniczone do tego, co jest niezbędne dla celów przetwarzania. Także Art. 25 RODO wymaga przyjaznej dla ochrony danych wydania.

Przykładem niepotrzebnych transferów danych są na stronie internetowej wpleczone obrazy, które są ładowane z serwera trzeciego. Naturalnie można umieścić obraz również na własnym serwerze. Podczas pobierania z innego serwera są przesyłane dane ruchowe wraz z adresem sieciowym użytkownika do trzeciej strony. Ponieważ adres IP jest uważany za dane osobowe, początkowo nie jest dopuszczalny takie transfer danych. Jest więc odwrotnie niż wielu się myśli: transfery danych do stron trzecich są w sobie samej niedopuszczalne i dopuszczalne jedynie w konkretnym przypadku.

Przesyłanie danych krytycznych

Jako krytyczne oceniam tutaj transfery danych do niebezpiecznych państw trzecich. Niebezpiecznym państwem trzecim jest każde państwo, dla którego nie ma zastosowania RODO, a Komisja Europejska nie wydała w jego sprawie decyzji o uznaniu odpowiedniego poziomu ochrony danych. Dotyczy to również, moim zdaniem, decyzji o uznaniu odpowiedniego poziomu ochrony danych, które wydają się wątpliwe. Na przykład żadna decyzja Komisji Europejskiej nie zmienia faktu, że Stany Zjednoczone przetwarzają dane obywateli europejskich niezgodnie z RODO.

Z firmami z niepewnych krajów trzecich można podpisać standardowe klauzule umowne (SCC) lub wiążące zasady korporacyjne (CBR), aby rozwiązać problem. Jednak to możliwe tylko wtedy, gdy prawo krajowe pozwala na takie porozumienia. W Stanach Zjednoczonych nie jest to przypadku. Tyle długo jak istnieją Cloud Act, FISA i EO 12333, odpowiedź na pytanie czy transfer danych do firm trzecich w USA bez zgody jest dopuszczalny, zawsze brzmi: Nie.

Artykuł 44 RODO i następne artykuły wymieniają wymagania. Zgoda na ryzykowne przesyłanie danych może być tylko wyjątkowo i nie trwale oparta na zgadzie, jak wynika z art. 49 RODO. Wszystkie strony internetowe, które proszą o zgodę na narzędzia amerykańskich dostawców, np. Facebook Pixel lub Google Analytics, łamią to prawo.

Przykładowy krytyczny transfer danych następuje np. przy pobieraniu pliku z serwera dostawcy amerykańskiego. W takim przypadku zawsze jest przesyłana adres IP użytkownika jako dane osobowe.

Wyjazd: Rozwiązania zgodności z ustawieniami

Widmo tego, że wielu nie chce o tym wiedzieć, czy też nie wie. To jest tak samo złe: Narzędzia do zgody od OneTrust i UserCentrics mogą potencjalnie wysyłać dane do USA, a to następuje wtedy, gdy skrypty do budowy formularza zgody są załadowane (patrz praktyczne testy, które pokazują, że w praktyce OneTrust i UserCentrics powinny być oceniani jako sprzeczni z RODO).

Oznacza to, że pytania o zgodę od OneTrust i UserCentrics same wymagały zgody, zanim ten nieprzyjemny i często mocno wadliwy tzw. okienko z cookies zostało wyświetlone.

Technicznie niezbędne usługi

Usługa cyfrowa jest również nazywana Narzędzie. Usługi w tym sensie są np. Matomo, Google Maps, OpenStreetMap lub zewnętrzne czcionki. Oznaczenie usługi jest tutaj użyte w najszerszym sensie i obejmuje również zewnętrzne obrazy. Oznaczenie to może być uzasadnione przez angielskie słowo "to serve". Serwer jest więc służącym lub obsługującym. Każdy dostęp do zewnętrznego serwera oznacza w pewnym sensie korzystanie z usługi. W tym zakresie wchodzi również po prostu wysyłanie danych na serwer, przy czym nie spodziewa się odpowiedzi od serwera (przykład: wysyłanie danych śledczych przez Google Analytics na Google Server).

Cyfrowy serwis to każda komunikacja z serwerem.

Szeroki zakres definicji pojęcia "usługi" w kontekście ochrony danych osobowych w sieci

Obecnie odwiedzana strona internetowa może być również traktowana jako usługa. Dostarczenie strony internetowej, która została zażądana w przeglądarce, jest wyraźnie niezbędne technicznie, jeśli ktoś chce ją oferować. W tym przypadku nie jest wymagana zgoda.

Arbitrary file retrievals from your own server, which do not involve data sharing with third parties or any additional data processing beyond what is already permitted by providing the website, are unobtrusive and do not require consent.

W przeciwnym razie nie ma innych technicznie niezbędnych usług. Każda strona internetowa może działać bez dodatkowych usług. Jeśli strona internetowa integruje system zarządzania terminami innego dostawcy, może to być uzasadnione z punktu widzenia celu strony internetowej. W takim przypadku należy jednak oczekiwać, że zawarto umowę o przetwarzaniu danych (DPA) z dostawcą systemu zarządzania terminami i że dostawca w pełni i gwarantowanym zakresie podporuje się RODO. Dostawcy z niepewnych krajów trzecich nie kwalifikują się w tym przypadku, chyba że zostanie pozyskana zgoda.

Bardzo mało usług jest technicznie niezbędnych dla strony internetowej

Wgląd wynikający z dokładnej analizy anatomii strony internetowej

Jeśli absolutnie niezbędna jest zarządzanie terminami, to właściciel strony internetowej musi poszukać dostawcy, który działa zgodnie z przepisami o ochronie danych. Jeśli takiego dostawcy nie znajdzie, właściciel strony internetowej musi albo zrezygnować z zarządzania terminami, albo samemu je rozwinąć. To ostatnie, moim zdaniem, jest do przyjęcia. A właściwie, ta ocena ostatecznie nie ma znaczenia. Jeśli nie znajdziesz miejsca parkingowego, aby dojść do supermarketu i zrobić zakupy, nie musisz parkować nielegalnie. Nie ma znaczenia, czy nie możesz zrobić zakupów z powodu braku regularnego miejsca parkingowego. Najwyżej w pojedynczym przypadku można argumentować, że parkowanie niezgodne z przepisami jest tolerowane. Jednak taki pojedynczy przypadek rzadko zdarza się na stronach internetowych, ponieważ strona internetowa, całym swoim publicznie dostępnym oferowaniem, automatycznie zawsze kieruje się do licznych potencjalnych użytkowników.

Cookiebot sam nie oferuje DPA , ponieważ dostawca Cybot uważa, że nie jest to konieczne, ponieważ żadne dane osobowe nie są przetwarzane przez Cookiebot. Jest to oczywiście bzdura i świadczy o istotnej nieznajomości kwestii ochrony danych. ([1])

Krótko mówiąc, rzadko zdarzają się usługi technicznie niezbędne. W zależności od rodzaju strony internetowej, niektóre funkcje mogą być istotne, ale muszą być wówczas wdrożone zgodnie z zasadami ochrony danych. Argument, że brak pełnej ochrony danych wynika z rzekomo ważnej funkcji, nie jest dopuszczalny.

Niezbędne technicznie pliki cookie

Większość cookie nie jest absolutnie niezbędna. Zaczyna się to od tego, że cookie nie istnieją po prostu tak, ale są generowane i wykorzystywane przez usługi. Te usługi, jak już opisano, w większości przypadków nie są technicznie niezbędne. Dlatego też zdecydowana większość cookie nie jest technicznie niezbędna.

Cookies są prawie zawsze technicznie niepotrzebne

Istnieje tylko kilka wyjątków

Technicznie niezbędne pliki cookie można policzyć na mniej niż jednej ręce. Należą do nich:

  • Cookies do zarządzania sesją
  • Cookies VG Wort służące rozliczeniu tantiem dla autorów
  • Cookies służące do przechowywania ustawień użytkownika, takich jak język
  • Aby zabezpieczyć, mogą być niezbędne pliki cookie, ale niekoniecznie bezpośrednio spowodowane przez jakąś akcję. Zobacz CSRF Tokens
  • Na razie nic więcej mi do głowy nie przychodzi

Zarządzanie sesją obejmuje możliwości logowania się dla redaktorów, administratorów, a także użytkowników sklepu internetowego. Obejmuje również zarządzanie koszykiem zakupowym.

Cookies VG Wort są niezbędne, aby móc wykrywać zarówno oszustwa, jak i podwójne rejestrowanie szybkich, następujących po sobie dostępy przez tę samą osobę (z pewnym stopniem skuteczności).

Dla wielojęzycznej strony internetowej użycie cookie do zapamiętania wybranego języka może być również rozsądne. Sterowanie językiem byłoby możliwe również bez cookie, ale mogłoby być wtedy bardziej skomplikowane i wymagałoby od razu wyboru odpowiedniej struktury strony. Na przykład ścieżki URL prowadzące do treści musiałyby być tak dobrane, aby język był kodowany w ścieżce. Z drugiej strony dla każdej strony musiałoby istnieć wydanie dla każdej oferowanej wersji językowej, aby zawsze było jasne, w jakim obszarze językowym znajduje się użytkownik.

Inne ustawienia, które użytkownik może wprowadzić na stronie internetowej, również są możliwe. Należą do nich również decyzje dotyczące ustawień prywatności (zgody). Natomiast pliki cookie Opt-Out, odczytywane przez podmioty trzecie, uważam za niedozwolone. Ponieważ opcjonalny usługodawca zewnętrzny, który jest ładowany, aby następnie nie wykonywać żadnych czynności, nie ma sensu i nie jest niezbędny. Nie powinien być w ogóle ładowany, jeśli użytkownik tego nie chce.

Wnioski

Do chwili obecnej twierdzę, że wszystkie cookies od podmiotów trzecich zawsze wymagają zgody. Umówienie o udostępnianiu danych (DPA) jest już minimum, czego można oczekiwać. Wtedy bowiem podmiot trzeci nie jest już takim, lecz pierwszym. Proszę o napisanie do mnie, jeśli zauważysz przypadek, w którym cookie od podmiotu trzeciego jest niezbędne z technicznego punktu widzenia, gdy nie ma DPA!

Tak samo dotyczy to pobierania danych od innych stron. Nie przypominam sobie żadnego przykładu, który byłby zgodny z prawem bez DPA, ponieważ byłoby ono nieuniknione. Proszę, napiszcie mi, jeśli znacie jakiś przykład.

Ten artykuł ma na celu wywołanie dyskusji i (jeszcze) nie pretenduje do uwzględnienia wszystkich przypadków. Podejrzewam jednak, że jestem co najmniej blisko prawdy, jeśli nie trafiłem w nią już bezpośrednio.

Kluczowe wnioski tego artykułu

Strony internetowe mogą przetwarzać dane tylko wtedy, gdy jest to technicznie konieczne lub użytkownik wyraża na to zgodę, lub istnieje inna podstawowa prawna.

Transfer danych do krajów spoza UE jest często zabroniony, jeśli te kraje nie posiadają wystarczających przepisów o ochronie danych.

Większość cyfrowych usług na stronach internetowych nie jest technicznie niezbędna i musi być wdrażana zgodnie z zasadami ochrony danych.

Większość plików cookie nie jest technicznie niezbędna i dlatego wymaga zgody użytkownika.

Ogólne stwierdzenia związane z tymi informacjami
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Website-Cookies: Was darf ohne Zustimmung verwendet werden?