Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Ochrona danych i zagadki: co mają ze sobą wspólnego? Więcej niż oczekiwano

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Ein klassisches Puzzle zu lösen, kann auch Auswirkungen auf den privacy haben. Lesen Sie hier, warum!

Ostatnio doszedłem do kilku ważnych i dalekosiężnych wniosków dotyczących ochrony danych w Internecie. Dla mnie te spostrzeżenia były najbardziej niezwykłymi rzeczami, na jakie udało mi się ostatnio wpaść. O ile mi wiadomo, niektóre z tych spostrzeżeń nie są w ogóle lub są bardzo mało znane.

Jakie były te realizacje i jak do nich doszło?

Ustalenia

Początek mojej długiej przeglądu narzędzi do zgody. Poddałem wszystkie tego rodzaju narzędzia, które uważam za powszechne, testowi praktycznemu. Ostateczny dokument ma ponad 90 stron A4. W tym celu obejrzałem strony internetowe, które używają tych zwanego "Cookie Popups". Tutaj mi się trochę trudno było dokonać oceny prawnej. Niemniej jednak tak wiele wyników badań, które można łatwo uznać za wady, powstało, że nazwałem wyniki Cookiegeddon.

Badania wysłałem do niezależnej organizacji ochrony danych noyb. noyb to skrót od None Of Your Business, co tłumaczy się na „To Ci nic”. Niedługo później zostałem poproszony, czy możliwa jest konferencja wideo. Zespół z noyb, w tym także adwokaci, potrzebował pomocy przy ocenie warunków technicznych, które są na stronach internetowych standardem.

Adwokat zapytał mnie, które informacje są przechowywane w urządzeniu użytkownika. Odpowiedź na tę pytanie jest fundamentalna, ponieważ dyrektywa ePrivacy w art. 5 pkt 3 określa ją jako kryterium dla obowiązku zgody. Z tej krótkiej dyskusji i dalszych badań wynikły momenty przełamania. Po nich stało się mi łatwiej możliwe, aby przeprowadzić techniczno-prawne oceny istotnych faktów na stronach internetowych.

Uświadomienie sobie: pliki cookie nie są plikami tekstowymi

Cookies nie są plikami tekstowymi: Ta deklaracja może wydawać się banalna, ale mówi wiele o rynku ochrony danych w Niemczech. Niektórzy, uważani za kompetentnych, wydają swoje rekomendacje lub stwierdzają coś. Wszyscy inni, zdaje się, ufają tym Ekspertom niemal bezgranicznie i piszą to, co im powiedziano.

Tak było również w przypadku plików cookies. W prawie każdej deklaracji ochrony danych można jeszcze znaleźć fałszywe twierdzenie dotyczące cookies: cookies są traktowane jak pliki tekstowe. Gdyż to nigdy nie było prawdą i dzisiaj jest to jeszcze bardziej błędne, dowodzi to moje wpis o cookies. Cookies nie są plikami tekstowymi. Są to zestawy danych.

Chociaż udowodniłem tam, że pliki cookie nie są plikami tekstowymi, musiałem wdać się w dyskusję z kimś, kto nadal trzyma się tego przekonania. Osoba ta, którą znam w połowie z długiej rozmowy telefonicznej i kilku e-maili, wierzy w to, jak przypuszczam, tylko dlatego, że jest to wygodne. Zbyt wiele niepoprawnych oświadczeń o ochronie danych musiałoby zostać poprawionych, gdyby ten błąd został przyznany. Myślę, że przyznanie się do błędu jest w porządku. W końcu yes też skopiowałem go niepoprawnie. Aby upewnić się, że to się nie powtórzy, od jakiegoś czasu prowadzę własne intensywne badania i ujawniam fałszywe informacje za pomocą dowodów. Podejście oparte na dowodach wynika również z faktu, że nie chcę już zmagać się z żmudnymi dyskusjami i występować w roli petenta, gdy ktoś popełnia naruszenia ochrony danych.

Insight: Informacje przechowywane w urządzeniu końcowym użytkownika

Richtlinia ochrony prywatności w art. 5, § 3 odnosi się do tego, że dostęp do informacji przechowywanych na urządzeniu użytkownika wymaga zgody. Ma to zastosowanie, jeśli nie ma uzasadnionego interesu, co w tym scenariuszu powinno być podane tylko wtedy, gdy chodzi o zarządzanie zarejestrowanymi użytkownikami lub podobnych podstawowych funkcjach rdzeniowych. ([1])

Moim celem było ustalenie, które informacje są przechowywane w urządzeniu użytkownika. W trakcie tego badania odkryłem, że nie jest to adres IP, przynajmniej nie w sensie dyrektywy ePrivacy. W trakcie tego badania również odkryłem, że pliki cookies nie są plikami tekstowymi i dlaczego dyrektywa ePrivacy nazywana jest także dyrektywą dotyczącą plików cookie.

Realizacja: ciasteczkowa katastrofa

Katastrofa plików cookie spowoduje upadek popularnych narzędzi do wyrażania zgody, przynajmniej mam taką nadzieję. Znani dostawcy narzędzi do wyrażania zgody regularnie udają, że strony internetowe mogą być zgodne z RODO za pomocą ich cudownych narzędzi. Może tak być w bardzo rzadkich przypadkach. Przypadki te charakteryzują się przede wszystkim tym, że używanych jest bardzo niewiele łatwych w zarządzaniu narzędzi. Jednym z przykładów takiego łatwego w zarządzaniu narzędzia jest Matomo, najlepiej w instalacji lokalnej.

Jednocześnie, gdy strona internetowa korzysta z narzędzi od Google, Facebooka, Vimeo, Adobe czy innych firm tej kategorii, te narzędzia nie mogą działać w sposób niezawodny. Powody tego są często nawet udokumentowane i można je przeczytać w moim artykule o Cookie Popups.

Obok tej teoretycznej dowodzenia miałem udowodnić w praktyce nieudane działanie wszystkich znanych mi narzędzi do zgody i Piekarniada nazwałem. W moim testie blokad cookie sprawdziłem m.in. strony firm wielkich i dostawców takich narzędzi. Wszystkie zawiodły źle, jest to moje wnioski, co można udowodnić (sam nie jestem pewny, czy każdy byłby szczęśliwy, gdybym takie rzeczy powiedział).

Ktoś, kto chce wiedzieć, jak trudne jest stworzenie zgodnego z prawem pytania o zgodę, powinien przeczytać moją listę sprawdzającą dotyczącą pytań o zgodę na stronach internetowych.

Ktoś, kto chce mieć praktyczny przykład nieudolności znanych i zaufanych usługodawców oraz adwokatów, powinien przeczytać mój artykuł o Google Tag Managerze. Tam udowadniałem, także z pomocą wideo, że Google Tag Manager nie jest domeną bez plików cookies. Jest ono bowiem narzędziem – na to można było również bez mnie przyjść. Ponadto nie jest ono bez plików cookies – to już trochę trudniejsze do zrozumienia, ale powinno być znane adwokatom, którzy uważają się za ekspertów od ochrony danych na stronach internetowych. Dlaczego adwokaci tutaj uważani są za ekspertów, jest i był dla mnie wielkim zagadnieniem.

Insight: Wymóg zgody dla licznych narzędzi Google & Co.

Obiektywnie można wykazać, że wiele narzędzi Google włącznie z Google Maps i Google reCAPTCHA, a także wpleczone filmy Vimeo, wymagają zobowiązania do zgody. Nie jest to moje prywatne zdanie, ale raczej dowodnie i logicznie technicznie i prawnie wywodzące się. Zadbałem o potwierdzenie swojej dedukcji u prawnika IT. Także Google Analytics w standardowej wersji podlega zobowiązaniu do zgody. Nie musisz już więcej usprawiedliwiać się odwołaniami do opinii organów ochrony danych. Pokażcie to po prostu, studiując moje wpisy.

Insight: Wymóg zgody na czcionki Google i inne pliki pomocnicze

Zobowiązanie do zgody w przypadku Google Fonts wynika z art. 5 RODO, czyli minimalizacji danych, oraz jest wyraźnie uzasadnione. Kto przynosi argument o szybkości, powinien używać własnego serwera plików lub wynająć CDN zgodne z RODO. To samo dotyczy innych rodzajów plików pomocniczych, które nie są przechowywane na serwerze innego podmiotu, z którym został zawarty ważny umowa o przetwarzanie danych. Przez pliki pomocnicze rozumie się następujące pliki zewnętrzne:

  • Czcionki
  • Zdjęcia
  • Pliki stylów (CSS)
  • Filmy
  • JavaScript-Bibliotheken

Także filmy na YouTubie bez plików cookies wymagają zgody z powodu zasady minimalizacji danych. Nikt nie może wiarygodnie wyjaśnić, że już przed odtworzeniem wideo wielokrotnych transferów danych do kilku adresów (domen) odbywa się. To samo można udowodnić, jeśli filmy na YouTubie są załączane przy pomocy skryptu.

Puzzle wyostrzają zmysły (obraz został przetłumaczony automatycznie).

Podsumowanie

Moje wnioski z ostatnich kilku tygodni są następujące:

  • Pliki cookie nie są plikami tekstowymi. W ten sposób obalam bardzo rozpowszechnione błędne przekonanie
  • Narzędzia do wyrażania zgody nie działają w praktyce. Obala to to, co setki tysięcy operatorów stron internetowych uważa za prawdę
  • Narzędzia do wyrażania zgody nie działają w teorii
  • W rozumieniu dyrektywy o prywatności i łączności elektronicznej pliki cookie są przede wszystkim przechowywane na urządzeniu końcowym użytkownika, ale nie na adresie IP
  • Każde narzędzie może być potencjalnie zainfekowane plikami cookie. Wystarczy jedna strona internetowa na całym świecie, aby wprowadzić taki plik cookie do gry
  • Większość popularnych narzędzi dla stron internetowych wymaga obowiązkowej zgody
  • Przekazywanie danych do niebezpiecznych krajów trzecich zwykle nie musi być wykorzystywane jako argument przy podejmowaniu decyzji, czy narzędzie wymaga zgody
  • Żądania zgody nie mogą być prawnie bezpieczne

Uważam to za niezwykłe. Jeśli widzisz to inaczej, napisz do mnie! Jestem otwarty na argumenty.

Droga do realizacji

Co ma to wszystko wspólnego z puzzlami? Nic, przynajmniej na pierwszy rzut oka. Pytanie, które mnie nawiedziło: Jak mogą mi te odkrycia i dowody sięgnąć oraz dlaczego właśnie teraz a nie wcześniej? Ostatecznie zajmuję się od kilku lat intensywnie digitalnym ochroną danych osobowych.

Trwa długo, zanim wszystkie przepisy prawne są zrozumiane. W tym celu musiałem sobie wyjaśnić kilka warunków korzystania narzędzi takich jak Google reCAPTCHA.

Najwyraźniej trzeba dłużej zajmować się złożonym tematem, zanim pojawią się nowe myśli i spostrzeżenia.

Wyzwanie z osobą trzecią, która chce dokładnie wiedzieć

Z pewnością pomocna była dyskusja z prawnikiem z noyb, który przepytał mnie, aby lepiej zrozumieć techniczne aspekty stron internetowych. Było to dla niego ważne, aby przygotować skargę przeciwko sprawcy naruszenia ochrony danych. Byliśmy tego samego zdania: wiara w coś i możliwość udowodnienia czegoś to dwie różne rzeczy. W związku z tym podjąłem jego pytanie dotyczące linku wideo i odpowiedziałem na nie najlepiej, jak potrafiłem. To wystarczyło, aby położyć kres pytaniu.

Jako inspektor ochrony danych lub osoba zainteresowana ochroną danych, prawdopodobnie znasz tę sytuację: osobiście jesteś pewien, że coś jest nie tak i narusza zasady ochrony danych, ale nie możesz uwiarygodnić tego swojemu kontrahentowi (klientowi, partnerowi w dialogu, osobie zgłaszającej sprzeciw w zakresie ochrony danych, …).

Przez długi czas było podobnie. Teraz osiągnięto status, w którym nie trzeba już dyskutować. Stan faktyczny jest przekonywający. Pozostaje czekać na nowelizację dyrektywy o prywatności elektronicznej, która częściowo wykazuje pozytywny rozwój, ale także niektóre wsteczne kroki. W każdym razie trzeba poczekać, aż nowa wersja dyrektywy zostanie przyjęta i wejdzie w życie.

Ale nawet po tym, niektóre fakty nadal mają zastosowanie:

  • Należy zapewnić przejrzyste, łatwo zrozumiałe i wyczerpujące informacje na temat wszystkich operacji przetwarzania.
  • Dostęp do informacji na urządzeniu końcowym użytkownika (zwykle za pośrednictwem plików cookie) jest dozwolony tylko w wąskich granicach.
  • Pliki cookie nie są plikami tekstowymi i nigdy nimi nie będą.
  • Aby narzędzia od popularnych dostawców podlegały plikom cookie, a zatem potencjalnie podlegały zgodzie tylko z tego powodu, wystarczy, że na całym świecie istnieje jedna strona internetowa w domenie narzędzia, która generuje pliki cookie. Nie można tego powtarzać wystarczająco często, ponieważ implikacje tego stwierdzenia wstrząsają całym rynkiem plików cookie.

Puzzle wyostrzają percepcję i umiejętności łączenia

Przejdźmy teraz do zagadek i związku z ochroną danych.

Im dłużej pracujesz nad daną łamigłówką, tym bardziej prawdopodobne jest, że będziesz w stanie bezpośrednio rozpoznać najdrobniejsze różnice kolorystyczne. To, co na początku wydawało się nie do pomyślenia, po kilku godzinach staje się oczywistością. Tak też było w moim przypadku, gdy próbowałem w sposób wodoszczelny wyprowadzić obowiązek uzyskiwania zgody na korzystanie z Google Analytics i innych narzędzi, co ostatecznie mi się udało. Przedstawienie wyników moich badań zajęło mi kilka tygodni i ponad 100 stron A4 tekstu.

Nie jestem pewien, czy układanie puzzli wyostrzyło moje zmysły, czy był to przypadek, czy ciężka praca. W każdym razie jestem pewien, że łamigłówki bardzo pomagają w wyostrzeniu umysłu i umiejętności percepcyjnych. W każdym razie mogę gorąco polecić taką poboczną aktywność.

Jeśli również interesujesz się czymś innym niż ochroną danych i chcesz zacząć rozwiązywać puzzle, oto kilka Tipów do rozwiązania puzzli:

  • W rzeczywistości układanie puzzli polega na rozbiciu złożonego problemu na możliwe do rozwiązania podproblemy. Układanie puzzli oznacza celowe ich rozbijanie, a następnie składanie z powrotem.
  • W bardzo dobrych warunkach oświetleniowych intuicja często wygrywa z mechanicznymi próbami i błędami (analogicznie do gry w golfa).
  • Najpierw znajdź elementy krawędzi.
  • Krawędzie można znaleźć szybciej, jeśli elementy układanki zostaną odwrócone.
  • Posortuj elementy układanki według koloru lub obszaru.
  • Po przyjrzeniu się kilku elementom można zobaczyć, które kolory i wzory są wystarczająco powszechne, ale nie zbyt powszechne, aby umieścić je w stosie (lub obok siebie; stosy są złym pomysłem w przypadku elementów układanki).
  • Prawdopodobnie tylko absolutni profesjonaliści są w stanie przeprowadzić złożony proces sortowania niemal bezbłędnie. Dlatego zalecam skupienie się tylko na jednym lub dwóch kryteriach naraz, aby uniknąć pomyłek. Na przykład, najpierw znajdź elementy krawędzi, a następnie posortuj kolory, a nie oba za jednym razem. Jest to z pewnością zła strategia na mistrzostwa świata w układaniu puzzli. Dla przeciętnego śmiertelnika jest to bardziej zabawne i daje mniej błędów, które zniszczyłyby początkowo osiągniętą produktywność.
  • Plastikowe pojemniki nadają się do sortowania, podobnie jak pokrywki puzzli (nie używaj pokrywki z obrazkiem na okładce aktualnej układanki, chyba że lubisz wyzwania).
  • Elementy układanki najlepiej rozpoznać na białych kartkach papieru. Format A3 lub większy.
  • Jeśli element układanki pasuje wyjątkowo dobrze, nawet jeśli ostatecznie nie pasuje, istnieje duże prawdopodobieństwo, że znajdzie swoje ostateczne miejsce w pobliżu zakładanej lokalizacji.
  • W zależności od jakości puzzli, może się nawet zdarzyć, że elementy krawędzi będą pasować tylko w jednej pozycji.
  • Niedokończone puzzle można transportować na arkuszach papieru z materiałów dla artystów. Aby to zrobić, umieść puzzle na takim arkuszu lub użyj kartonu lub płótna artysty. Maty do puzzli są często zbyt drogie.
  • Lampa dzienna jest najlepszym wyborem po świetle dziennym. Jeśli masz tylko lampę podłogową, umieść ją na stole tak, aby odległość między lampą a powierzchnią układanki była jak największa.
  • Zacznij od rozwiązywania łamigłówek 500-elementowych, a następnie 1000-elementowych. Lub zacznij bezpośrednio w parach z 1000-elementową łamigłówką
  • Oprócz koloru części, konstrukcja wybrzuszeń i wypukłości jest często dobrym kryterium rozróżniającym. Czasami można znaleźć część tylko dlatego, że ma szczególnie charakterystyczny kształt.
  • Pod koniec gry, gdy zostanie tylko kilka elementów, warto posortować je zgodnie z ich podstawowym kształtem. Istnieje sześć podstawowych kształtów elementów układanki.

Czy ty też układasz puzzle? Chętnie dowiem się więcej na ten temat, a także o Twoich doświadczeniach z ochroną danych lub sugestiach dotyczących artykułów. Wkrótce zostanie opublikowany artykuł, w którym przyjrzymy się, kiedy korzystanie z narzędzi do wyrażania zgody może być przydatne. Należy jednak powstrzymać się od korzystania z dobrze znanych narzędzi do obsługi plików cookie. Wkrótce udostępnię darmowe narzędzie, które jest bardziej skuteczne i uczciwe niż obietnice reklamowe, które prawdopodobnie wszyscy znacie.

Nawiasem mówiąc, zalecałbym, aby bardziej znane sklepy z puzzlami bardzo krytycznie przyjrzały się swoim stronom internetowym pod kątem przepisów o ochronie danych. Być może wkrótce ktoś się z nimi skontaktuje i w najlepszym przypadku poprosi o informacje na temat procedur przetwarzania danych. Wkrótce będzie dostępne narzędzie do tego celu, za pomocą którego takie żądania mogą być tworzone niemal automatycznie dla wielu stron internetowych.

Również interesujące

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Obowiązek umieszczania danych kontaktowych w e-mailach i newsletterach