Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Databeskyttelse og gåder: Hvad har de med hinanden at gøre? Mere end forventet

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel som PDF
📄 Artikel som PDF (kun for abonnenter på nyhedsbrevet)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Et klassisk puzzle at løse, kan også have konsekvenser for persondatoprotokollen. Læs herfor, hvorfor!!

For nylig nåede jeg frem til nogle vigtige og vidtrækkende erkendelser om databeskyttelse på internettet. For mig var disse indsigter de mest bemærkelsesværdige ting, jeg personligt har været i stand til at komme frem til for nylig. Så vidt jeg ved, er nogle af disse indsigter slet ikke eller kun meget lidt kendt.

Hvad var disse erkendelser, og hvordan opstod de?

Resultater

Den første del af min lange undersøgelse af Consent Tools. Jeg undersøgte alle disse typer af værktøjer, som jeg mente var meget udbredte, ved en praksistest. Det endelige dokument er over 90 DIN A4 sider lang. Dertil kiggede jeg på websteder, der bruger såkaldte cookie popups. Her gjorde jeg mig selv lidt besværet med at foretage en juridisk vurdering. Dog kom der så mange fund, som let kunne betegnes som mangler, til stede, at jeg gav resultatet navnet Cookiegeddon.

Den undersøgelse sendte jeg til den almennyttige Datasekretæs-organisation noyb. noyb er forkortelsen for None Of Your Business, hvilket betyder så meget som „Det går dig ikke an“. Lidt senere blev jeg spurgt, om en videokonference kunne være mulig. Holdet fra noyb, der også inkluderer jurister, havde brug for hjælp til at vurdere tekniske forhold, der er almindelige på websteder.

Advokaten spurgte mig, hvilke oplysninger der er gemt i enheden til brugeren. Svaret på denne spørgsmål er grundlæggende, fordi ePrivacy-direktivet i artikel 5 § 3 formulerer dette som krav til en samtykningspligt. Udgående fra denne ret kort diskussion og yderligere undersøgelser opstod Aha-momente. Efterfølgende var det mig pludselig let muligt at foretage en teknisk-juridisk vurdering af vigtige forhold på websteder.

Erkendelse: Cookies er ikke tekstfiler

Cookies er ikke tekstfiler: Udsagnet ser ud til at være en simpel påstand, men det siger meget om den danske marked for persondatabeskyttelse. Enkelte få, som anses kompetente, udtaler sig eller giver et råd. Alle andre, sådan synes det, har næsten blindt tillid til disse "eksperter" og skriver bare ned, hvad der er blevet sagt.

Så var det også med cookies. I næsten hver enkelt datasketchering var og er endnu en falsk påstand om cookies at læse: Cookies bliver sammenlignet med tekstfiler. At dette aldrig har været rigtigt og i dag er det endnu mere forkert, beviser min artikel til cookies. Cookies er ikke tekstfiler. Cookies er dataindstillinger.

Selv om jeg der beviste, at cookies ikke er tekstfiler, var jeg nødt til at diskutere med en person, som stadig holder fast i denne opfattelse. Personen, som jeg kender halvvejs fra en lang telefonsamtale og flere e-mails, tror kun på det, antager jeg, fordi det er bekvemt. Alt for mange forkerte databeskyttelseserklæringer ville skulle rettes, hvis denne fejl skulle indrømmes. Jeg synes, det er okay at indrømme fejlen. Jeg havde trods alt også kopieret det forkert. For at sikre, at det ikke sker for mig igen, har jeg i et stykke tid lavet min egen intensive research og afsløret falske oplysninger med beviser. Den bevismæssige tilgang kommer også af, at jeg ikke længere vil kæmpe mig igennem kedelige diskussioner og optræde som sagsøger, når nogen begår databeskyttelsesovertrædelser.

Indsigt: Oplysninger gemt i brugerens slutenhed

Die ePrivacy directive fast i artikel 5, afsnit 3, at der skal være en samtykke til at få adgang til oplysninger, som er gemt på brugerens enhed. Dette gælder, hvis ikke der er et berettiget interesse, hvilket kun bør nævnes i dette scenario, når det handler om administration af tilmeldte brugere eller lignende grundlæggende kernefunktioner.

Mit min bedste intention var det at finde ud af, hvilke oplysninger der er gemt på brugerens enhed. Heroppe modte jeg, at dette ikke er IP-adressen, i hvert fald ikke efter ePrivacy- direktivet. Jeg fandt også ud af, at cookies ikke er tekstfiler og hvorfor ePrivacy-direktivet også kaldes cookie-direktivet.

Realisering: Kagekatastrofen

Cookie-katastrofen vil få de populære samtykkeværktøjer til at kollapse, det håber jeg i hvert fald. De kendte udbydere af samtykkeværktøjer foregiver jævnligt, at hjemmesider kan gøres GDPR-kompatible med deres mirakelværktøjer. Det kan være tilfældet i meget sjældne tilfælde. Disse tilfælde er primært kendetegnet ved, at der anvendes meget få, let håndterbare værktøjer. Et eksempel på et sådant let håndterbart værktøj er Matomo, helst i en lokal installation.

Så snart en hjemmeside dog bruger værktøjer fra Google, Facebook, Vimeo, Adobe eller andre selskaber i denne kategori, kan disse værktøjer ikke pålideligt fungere. Grunde derfor er delvist endda beviste og kan læses i mit artikel om Cookie Popups.

Bortset fra denne teoretiske bevisførelse har jeg også bevist i praksis, at alle de Consent Tools, som jeg kender, fejler, og Kikskeggen har jeg givet navn til dette. I min praktiske test af Cookie Blocker blev bl.a. hjemmesider fra store firmaer samt hjemmesider fra leverandørerne af disse Consent Tools undersøgt nærmere. Alle fejlede katastrofalt, og det er mit konklusion, hvilket også kan bevises (slet ikke fordi jeg ville være glad for at sige sådan noget).

Den, der vil vide, hvor svært det er til at skabe en retsligt korrekt samtykningsfråge, bør se på min checkliste for samtykningsfråger på hjemmesider.

Hvis du vil have et praktisk eksempel på, hvordan de kendte og tillidsværdige tjenesteydere og advokater ikke lever op til deres egen standard, skal du læse min artikel om Google Tag Manager. Der viser jeg med hjælp af et video, at Google Tag Manager ikke er en cookiefri domæne. I stedet er det et værktøj – noget, man også kunne være kommet til uden mig. Desuden er det ikke cookiefrit – det er lidt sværere at forstå, men skulle have været kendt af de såkaldte eksperter i webbaseret privatlivsbeskyttelse. Hvorfor advokater her bliver anset som eksperter, er og var mig et stort mysterium.

Indsigt: Krav om samtykke til de mange værktøjer fra Google & Co.

Objektiv kan man vise, at mange værktøjer fra Google inklusive Google Maps og Google reCAPTCHA, men også indbundne Vimeo videoer, kræver nødvendigvis en samtykke. Dette er ikke min private mening, men beviselig teknisk og juridisk udledet. Jeg har ladet mig mine udledelser bekræftet af en IT-advokat. Selv Google Analytics i standardudgave falder nødvendigvis under samtykkeskyldigheden. I skal ikke længere redegøre for referencer til myndighedernes mening om privatlivets beskyttelse. Bevis det bare efter at have studeret mine artikler.

Indsigt: Krav om samtykke til Google Fonts og andre hjælpefiler

Tilladelsepligt for Google Fonts kan føres tilbage til Art. 5 GDPR, dataminimering, og det er tydeligt. Hvis man bringer hastighedsargumentet frem, skal man selv bruge en filserver eller leje et GDPR-compliantt CDN. Det gælder også for andre slags hjælpefiler, der ikke ligger på en andens server, med hvem der er indgået en gyldig aftale om behandling af personoplysninger mv. Under hjælpefiler forstå jeg følgende eksterne filer:

  • Skrifttyper
  • Billeder
  • Stilfiler (CSS)
  • Videoer
  • JavaScript-Bibliotheken

Selv YouTube videoer uden cookies kræver på grund af principperne for dataminimering en samtykke. Ingen kan troværdigt forklare, at der uden at spille en indlejret video sker flere dataoverførsler til flere adresse (domæner). Præcis det kan man dog bevise, hvis YouTube videoer indsættes via et script.

Puslespil skærper sanserne (billedet blev automatisk oversat).

Opsummeret

Mine resultater fra de sidste par uger er:

  • Cookies er ikke tekstfiler. Jeg afkræfter dermed en meget udbredt misforståelse
  • Samtykkeværktøjer virker ikke i praksis. Dette modbeviser, hvad hundredtusindvis af webstedsoperatører tror er sandt
  • Samtykkeværktøjer virker ikke i teorien
  • I henhold til e-databeskyttelsesdirektivet gemmes cookies primært på brugerens slutenhed, men ikke på IP-adressen
  • Alle værktøjer er potentielt behæftet med cookies. Alt, hvad der skal til, er et enkelt websted i hele verden for at bringe en sådan cookie i spil
  • De mest populære værktøjer til hjemmesider kræver obligatorisk samtykke
  • Overførsel af data til usikre tredjelande behøver normalt ikke at blive brugt som et argument, når det skal afgøres, om et værktøj kræver samtykke
  • Samtykkeanmodninger kan næppe gøres juridisk sikre

Det synes jeg er bemærkelsesværdigt. Hvis du ser anderledes på det, så skriv til mig! Jeg er åben for argumenter.

Vejen til realisering

Hvad har det hele med at gøre med legpuzzler? Det første, der ikke er noget. Den spørgsmål, der kom til mig: Hvorfor får jeg disse indsigt og de tilhørende beviser / eller hvorfor netop nu og ikke tidligere? Jeg har i flere år intensivt beskæftiget mig med digital privatlivsskydd.

Det tager lang tid at forstå alle juridiske krav. Bl.a. måtte jeg tilbagekalde mig nogle brugsvilkår fra værktøjer som Google reCAPTCHA, før jeg kunne fortsætte.

Tilsyneladende skal man beskæftige sig med et komplekst emne i længere tid, før der opstår nye tanker og indsigter.

Udfordring med en tredjepart, der gerne vil vide præcis

Hvad der bestemt var nyttigt, var diskussionen med en advokat fra noyb, som udspurgte mig for at forstå mere om det tekniske ved hjemmesider. Det var vigtigt for ham for at kunne forberede en klage over en databeskyttelsesforbryder. Vi var enige om, at det at tro på noget og det at kunne bevise noget er to forskellige ting. Jeg tog derfor hans spørgsmål om videolinket op og besvarede det, så godt jeg kunne. Det var nok til at sætte en stopper for spørgsmålet.

Som databeskyttelsesrådgiver eller person med interesse for databeskyttelse kender du sikkert denne situation: Du er personligt helt sikker på, at noget er forkert og overtræder databeskyttelsesreglerne, men du kan ikke gøre det troværdigt over for din modpart (kunde, dialogpartner, indsigelse mod databeskyttelse, …).

Det var tilsvarende længe. Nu er en status nået, hvor ikke mere diskuteret behøves. Den faktagivne situation er overvældende. Det bliver blot at vente og se, hvad den nye ePrivacy-rettighed bringer, der dels viser positive udviklinger, men også nogle tilbagegang. Det vil i hvert fald tage lidt tid, før den nye version af rettigheden er blevet aftalt og træder i kraft.

Men selv efter det er der stadig nogle fakta, der gælder:

  • Der skal gives gennemsigtige, letforståelige og omfattende oplysninger om alle behandlingsaktiviteter.
  • Adgang til oplysninger på brugerens slutenhed (normalt via cookies) er kun tilladt inden for snævre grænser.
  • Cookies er ikke tekstfiler og vil aldrig blive det.
  • For at værktøjer fra populære udbydere skal være underlagt cookies og derfor potentielt være underlagt samtykke alene af denne grund, er det tilstrækkeligt, at der er et enkelt websted i værktøjets domæne på verdensplan, som genererer cookies. Det kan ikke siges ofte nok, for konsekvenserne af dette udsagn ryster hele cookiemarkedet.

Puslespil skærper opfattelsen og kombinationsevnen

Nu til gåderne og forbindelsen til databeskyttelse.

Jo længere tid du arbejder på et bestemt puslespil, jo mere sandsynligt er det, at du direkte kan genkende de mindste farveforskelle. Det, der virkede utænkeligt i starten, bliver en selvfølge efter et par timer. Det var også tilfældet for mig, da jeg forsøgte at udlede forpligtelsen til at indhente samtykke til Google Analytics og andre værktøjer på en vandtæt måde, hvilket i sidste ende lykkedes for mig. Det tog mig et par uger og mere end 100 A4-sider med tekst at præsentere resultaterne af min forskning.

Jeg er ikke sikker på, om puslespil skærpede mine sanser, om det var tilfældigt eller hårdt arbejde. Under alle omstændigheder er jeg sikker på, at puslespil hjælper meget med at skærpe sindet og de perceptuelle færdigheder. Under alle omstændigheder kan jeg varmt anbefale sådan en sideaktivitet.

Hvis du også er interesseret i andre emner end privatliv og ønsker at begynde at løse et puzzle, her en del Tipps til at løse et puzzle:

  • I virkeligheden handler puzzling om at nedbryde et komplekst problem til håndterbare delproblemer. At lægge et puslespil betyder, at man bevidst bryder det ned og derefter sætter det sammen igen.
  • Under meget gode lysforhold overtrumfer intuition ofte mekaniske forsøg og fejl (ligesom når man spiller golf).
  • Find først kantstykkerne.
  • Kantbrikker kan findes hurtigere, hvis puslespillet vendes om.
  • Sorter puslespilsbrikkerne efter farve eller område.
  • Når du har kigget på et par brikker, kan du se, hvilke farver og mønstre der er almindelige nok, men ikke for almindelige, til at lægge dem i en bunke (eller ved siden af hinanden; bunker er en dårlig idé til puslespilsbrikker).
  • Det er nok kun absolutte fagfolk, der er i stand til at udføre en kompleks sorteringsproces næsten fejlfrit. Derfor anbefaler jeg, at man kun fokuserer på et eller to kriterier ad gangen for at undgå at blive forvirret. Find f.eks. først kantbrikkerne og sorter derefter farverne, men ikke begge dele på én gang. Det er helt sikkert den forkerte strategi til et verdensmesterskab i puslespil. For den almindelige dødelige er det sjovere og giver færre fejl, som ville ødelægge den produktivitet, der oprindeligt blev opnået.
  • Plastikbeholdere er velegnede til sortering, og det samme er puslespilslåg (brug ikke låget med forsidebilledet af det aktuelle puslespil, medmindre du kan lide udfordringer).
  • Puslespilsbrikker genkendes bedst på hvide ark papir. A3-format eller større.
  • Hvis en puslespilsbrik passer bemærkelsesværdigt godt, selv om den ikke passer til sidst, er der stor sandsynlighed for, at den vil finde sin endelige plads i nærheden af det formodede sted.
  • Afhængigt af puslespillets kvalitet kan det endda ske, at kantbrikkerne kun ser ud til at passe i én position.
  • Ufærdige puslespil kan transporteres på papirark fra kunstnerartikler. Læg puslespillet på et sådant ark, eller brug pap eller et kunstnerlærred. Puslespilsmåtter er ofte for dyre.
  • En dagslyslampe er det bedste valg efter dagslyset. Hvis du kun har en gulvlampe, skal du placere den på bordet, så afstanden mellem lampen og puslespillets overflade er så stor som muligt.
  • Start med at løse 500-brikker-puslespil, derefter 1000-brikker-puslespil. Eller start direkte i par med et puslespil på 1000 brikker
  • Ud over farven på en del er udformningen af buler og fremspring ofte et godt kendetegn. Nogle gange kan man kun finde en del, fordi den har en særlig karakteristisk form.
  • I slutspillet, når der kun er få brikker tilbage, hjælper det at sortere brikkerne efter deres grundform. Der er seks grundformer for puslespilsbrikker.

Lægger du også puslespil? Jeg vil meget gerne høre fra dig om dette, samt om dine erfaringer med databeskyttelse eller forslag til artikler. Der kommer snart en artikel om, hvornår det kan være nyttigt at bruge samtykkeværktøjer. Du bør dog afholde dig fra at bruge de velkendte cookie-værktøjer. Jeg vil snart stille et gratis værktøj til rådighed, som er mere effektivt og ærligt end de reklameløfter, du sikkert alle kender.

I øvrigt vil jeg anbefale, at de mere kendte puslespilsbutikker tager et meget kritisk kig på deres hjemmesider med hensyn til databeskyttelsesreglerne. Det kan være, at nogen snart kontakter dem og i bedste fald vil have oplysninger om databehandlingsprocedurerne. Der vil snart være et værktøj til rådighed til dette formål, hvormed sådanne anmodninger kan oprettes næsten automatisk for mange websteder.

Også interessant

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Impressumspflicht i emails og nyhedsbreve