Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Dataskydd och pussel: vad har de med varandra att göra? Mer än väntat

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Ett klassiskt pussel att lösa kan också ha påverkan på integritetskyddet. Läs här varför!!

Nyligen kom jag fram till några viktiga och långtgående insikter om dataskydd på Internet. För mig var dessa insikter det mest anmärkningsvärda som jag personligen har kunnat komma fram till på senare tid. Såvitt jag vet är en del av dessa insikter inte alls eller bara mycket lite kända.

Vilka var dessa insikter och hur kom de till?

Resultat

Jag började med en lång undersökning av Consent Tools . Jag testade alla verktyg av den här typen som jag tror är vanliga, i praktiken. Slutdokumentet är över 90 sidor långt på A4-format. Dessutom tittade jag på webbplatser som använder dessa så kallade cookie-pop-ups. Här hade jag svårt att göra en rättslig bedömning. Trots det kom det så många resultat, som lätt kan ses som brister, att jag gav namnet Cookiegeddon till resultaten. ([1])

Jag skickade studien till den ideella Dataskyddsföreningen noyb. noyb är en förkortning av None Of Your Business, vilket betyder ungefär "det är inte ditt problem". Lite senare frågades jag om det var möjligt att ha en videokonferens. Teamet från noyb, som även inkluderade jurister, behövde hjälp med att utvärdera tekniska förhållanden, vilka är vanliga på webbplatser.

Advokaten frågade mig vilka uppgifter som lagras i användarens enhet. Svaret på denna fråga är grundläggande, eftersom ePrivacy-direktivet i artikel 5 § 3 formulerar detta som kriterium för en samtyckesplikt. Från den här korta diskussionen och ytterligare undersökningar uppstod Aha-upplevelser. Därefter var det plötsligt lätt för mig att genomföra en teknisk-rättslig bedömning av viktiga händelser på webbplatser.

Insikt: Cookies är inte textfiler

Cookies är inte textfiler: Denna uttalande verkar enkelt sagt, men säger mycket om dataskyddsmarknaden i Tyskland. Enstaka få som anses kompetenta ger ett rekommendation eller gör ett uttalande. Alla andra tycks ha förtroendet för dessa "experter" nästan blind och skriver ner det som ges.

Så var det också med Cookies. I nästan varje integritetspolicy fanns och finns fortfarande en falsk påstående att läsa om Cookies: Cookies jämförs med textfiler. Att detta aldrig har varit rätt och idag är ännu mer felaktigt, bevisas av min artikel om Cookies. Cookies är inte textfiler. Cookies är uppsättningsdata.

Även om jag där bevisade att cookies inte är textfiler, var jag tvungen att inleda en diskussion med någon som fortfarande håller fast vid denna tro. Personen, som jag känner halvvägs från ett långt telefonsamtal och flera e-postmeddelanden, tror bara detta, antar jag, för att det är bekvämt. Alltför många felaktiga dataskyddsdeklarationer skulle behöva korrigeras om detta misstag skulle erkännas. Jag tycker att det är okej att erkänna misstaget. Jag hade trots allt också kopierat den felaktigt. För att se till att detta inte händer mig igen har jag sedan en tid tillbaka gjort egna intensiva efterforskningar och avslöjat falsk information med bevis. Bevismetoden kommer också från det faktum att jag inte längre vill kämpa mig igenom tråkiga diskussioner och agera som framställare när någon begår dataskyddsbrott.

Insight: Information som lagras i användarens slutenhet

Die ePrivacy-förordningen anger i artikel 5, §3 att en samtyckande handling krävs för tillgång till information som lagras på användarens enhet. Detta gäller så länge det inte finns ett berättigat intresse, vilket bara bör anföras om det handlar om hantering av inloggade användare eller liknande grundläggande kärnfunktioner.

Min strävan var att upptäcka vilka uppgifter som lagras i användarens enhet. Därvid upptäckte jag att detta inte är IP-adressen, åtminstone inte enligt ePrivacy-förordningen. Vidare upptäckte jag också att cookies inte är textfiler och varför ePrivacy-förordningen även kallas cookie-förordning.

Realisation: Katastrofen med Cookies

Cookie-katastrofen kommer att leda till att de populära samtyckesverktygen kollapsar, åtminstone hoppas jag det. De välkända leverantörerna av samtyckesverktyg låtsas regelbundet att webbplatser kan göras GDPR-kompatibla med deras mirakelverktyg. Detta kan vara fallet i mycket sällsynta fall. Dessa fall kännetecknas i första hand av att det är mycket få och lätthanterliga verktyg som används. Ett exempel på ett sådant lätthanterligt verktyg är Matomo, företrädesvis i en lokal installation.

Så fort en webbplats använder verktyg från Google, Facebook, Vimeo, Adobe eller andra företag i samma kategori kan dessa verktyg inte fungera tillförlitigt. Orsakerna till detta är delvis rent bevisbara och kan läsas om i min artikel om cookie popups.

Utöver denna teoretiska bevisföring har jag även visat att alla konsent-verktyg som jag känner till också misslyckats i praktiken och Kakkekatastrofen gett namn åt. I min Cookie Blocker Praxistest undersöktes bland annat webbplatser från stora företag och leverantörerna av dessa konsent-verktyg. Alla misslyckades katastrofalt, enligt min bedömning, vilket också är bevisbart (bl.a. för att det inte är säkert att alla är glada över att jag påstår detta).

Den som vill veta hur svårt det är att skapa en rättsligt korrekt samtyckesfråga, bör titta på min checklista för samtyckesfrågor på webbplatser.

Om du vill ha ett praktiskt exempel på hur de mer kända och trovärdiga tjänsteleverantörerna och advokaterna misslyckats, bör du läsa min artikel om Google Tag Manager. Där visar jag med hjälp av en video att Google Tag Manager inte är en cookielös domän. Istället är det ett verktyg – något som man också kunnat komma fram till utan mig. Dessutom är det inte cookielöst – det är svårare att förstå, men det borde vara känt av de som påstår sig vara experter på webbplatsers integritet. Varför advokater här betraktas som experter är ett stort mysterium för mig.

Insikt: Samtyckeskrav för de många verktygen från Google & Co.

Objektiv kan man visa att många verktyg från Google inklusive Google Maps och Google reCAPTCHA, men även inlagda Vimeo-videor, kräver ett samtycke. Detta är inte min personliga åsikt, utan bevisbar respektive logiskt tekniskt och rättsligt härledbar. Jag har låtit en IT-rådgivare bekräfta min härledning. Även Google Analytics i standardutförande faller under kravet på samtycke. Ni behöver inte längre försvara er åsikter genom hänvisningar till yttranden från dataskyddsmyndigheter. Bevisa det enkelt efter studiet av mina inlägg.

Insikt: Samtyckeskrav för Google Fonts och andra hjälpfiler

Samtyckesplikten för Google Fonts kan tydligt härledas från Artikel 5 GDPR, som gäller minimisering av data. Den som använder snabbhetsargumentet borde i stället använda en egen filserver eller hyra ett GDPR-kompatibelt CDN. Samma sak gäller för alla andra slags hjälpfiler som inte ligger på en server hos någon annan än den man själv har ett giltigt avtal med om uppgiftshanterande åtgärder etc. Hjälpfiler kallar jag här följande externa filer:

  • Typsnitt
  • Photos
  • Stilfiler (CSS)
  • Videor
  • JavaScript-Bibliotheken

Även YouTube-videor utan Cookies kräver på grund av principen för dataminimering en samtyckande handling. Ingen kan trovärdigt förklara att flera dataöverföranden till flera adresser (domäner) sker redan innan ett inlagt video spelas upp. Precis detta kan man bevisa, om YouTube-videor läggs in via ett script.

Pussel skärper sinnena (bilden översattes automatiskt).

Sammanfattat

Mina slutsatser från de senaste veckorna är:

  • Cookies är inte textfiler. Jag motbevisar därmed en mycket utbredd missuppfattning
  • Samtyckesverktyg fungerar inte i praktiken. Detta motbevisar vad hundratusentals webbplatsoperatörer tror är sant
  • Samtyckesverktyg fungerar inte i teorin
  • I enlighet med direktivet om integritet och elektronisk kommunikation lagras cookies främst på användarens slutenhet, men inte på IP-adressen
  • Alla program är potentiellt behäftade med cookies. Allt som krävs är en enda webbplats över hela världen för att en sådan cookie ska komma i spel
  • De mest populära verktygen för webbplatser kräver obligatoriskt samtycke
  • Överföring av uppgifter till osäkra tredjeländer behöver vanligtvis inte användas som ett argument när man beslutar om ett verktyg kräver samtycke
  • Begäran om samtycke kan knappast göras rättssäkert

Jag tycker att det är anmärkningsvärt. Om du ser det på ett annat sätt, skriv till mig! Jag är öppen för argument.

Vägen till förverkligande

Vad har allt det här med pussel att göra? Först och främst ingenting alls. Frågan som kom upp för mig: Hur lyckades jag få tillgång till dessa upplysningar och de tillhörande bevisen respektive varför just nu och inte tidigare? Till sist har jag ägnat mig åt digitala dataskydd i några år.

Det tar lång tid att förstå alla rättsliga krav. Bland annat måste jag ha lärt mig några användningsvillkor från verktyg som Google reCAPTCHA för att kunna fortsätta.

Uppenbarligen måste du hantera ett komplext ämne under en längre tid innan nya tankar och insikter dyker upp.

Utmaning med en tredje part som vill veta exakt

Det som verkligen var till hjälp var diskussionen med en advokat från noyb, som frågade ut mig för att jag skulle förstå mer om de tekniska aspekterna av webbplatser. Detta var viktigt för att han skulle kunna förbereda ett klagomål mot en person som bryter mot dataskyddsförordningen. Vi hade samma inställning: att tro på något och att kunna bevisa något är två olika saker. Jag tog därför upp hans fråga om videolänken och besvarade den så gott jag kunde. Det räckte för att få slut på frågan.

Som dataskyddsombud eller person som är intresserad av dataskydd känner du säkert till den här situationen: du är personligen helt säker på att något inte står rätt till och bryter mot dataskyddsreglerna, men du kan inte göra det trovärdigt för din motpart (kund, dialogpartner, dataskyddsinvändare, …).

Mir gick det länge likt. Nu är en status uppnådd, där inte längre diskuteras måste. Den fakta som är överväldigande. Förblir att vänta på vad novellen av ePrivacy-rapporten bringar, som delvis en positiv utveckling, men också några bakslag syns. Det tar i alla fall först ett tag innan den nya versionen av direktivet är överenskommna och träder i kraft.

Men även efter det gäller vissa fakta fortfarande:

  • Transparent, lättbegriplig och heltäckande information ska lämnas om all behandling.
  • Åtkomst till information på användarens slutenhet (vanligtvis via cookies) är endast tillåten inom snäva gränser.
  • Cookies är inte textfiler och kommer aldrig att bli det.
  • För att verktyg från populära leverantörer ska omfattas av cookies och därmed potentiellt omfattas av samtycke enbart av detta skäl, räcker det med att det finns en enda webbplats i verktygets domän över hela världen som genererar cookies. Detta kan inte sägas tillräckligt ofta, eftersom konsekvenserna av detta uttalande skakar om hela cookiemarknaden.

Pussel skärper uppfattningsförmågan och kombinationsförmågan

Nu till pusslen och kopplingen till dataskydd.

Ju längre du arbetar med ett specifikt pussel, desto mer sannolikt är det att du direkt kan känna igen de finaste färgskillnaderna. Det som verkade otänkbart i början blir en självklarhet efter några timmar. Så var också fallet för mig när jag försökte härleda skyldigheten att inhämta samtycke för Google Analytics och andra verktyg på ett vattentätt sätt, vilket jag till slut lyckades med. Det tog mig några veckor och mer än 100 A4-sidor med text att presentera resultaten av min forskning.

Jag är inte säker på om pussel skärpte mina sinnen, om det var av en slump eller hårt arbete. I vilket fall som helst är jag säker på att pussel hjälper mycket till att skärpa sinnet och perceptuella färdigheter. I vilket fall som helst kan jag varmt rekommendera en sådan sidoaktivitet.

Om du också är intresserad av andra saker än dataskydd och vill börja pussla, här är några Tips för att lösa pussel:

  • I själva verket handlar pussel om att bryta ner ett komplext problem till hanterbara delproblem. Att lägga ett pussel innebär att man medvetet bryter ner det och sedan sätter ihop det igen.
  • I mycket goda ljusförhållanden är intuitionen ofta bättre än mekaniskt prövande (ungefär som när man spelar golf).
  • Hitta först kantbitarna.
  • Kantbitar kan hittas snabbare om pusselbitarna vänds.
  • Sortera pusselbitarna efter färg eller område.
  • Efter att ha tittat på några bitar kan du se vilka färger och mönster som är tillräckligt vanliga, men inte för vanliga, för att lägga dem i en hög (eller bredvid varandra; högar är en dålig idé för pusselbitar).
  • Förmodligen är det bara absoluta proffs som kan genomföra en komplex sorteringsprocess nästan felfritt. Därför rekommenderar jag att du bara fokuserar på ett eller två kriterier åt gången för att undvika att bli förvirrad. Till exempel, hitta först kantbitarna och sortera sedan färgerna, men inte båda på en gång. Det här är verkligen fel strategi för ett världsmästerskap i pussel. För den genomsnittlige dödlige är det roligare och ger färre misstag som skulle förstöra den produktivitet som ursprungligen uppnåddes.
  • Plastbehållare är lämpliga för sortering, liksom pussellock (använd inte locket med omslagsbilden till det aktuella pusslet, såvida du inte gillar utmaningar).
  • Pusselbitarna känns bäst igen på vita pappersark. A3-format eller större.
  • Om en pusselbit passar anmärkningsvärt bra, även om den inte passar i slutändan, är det stor sannolikhet att den kommer att hitta sin slutliga plats nära den antagna platsen.
  • Beroende på pusslets kvalitet kan det till och med hända att kantbitarna bara verkar passa i ett läge.
  • Oavslutade pussel kan transporteras på pappersark från konstnärernas förnödenheter. För att göra detta, placera pusslet på ett sådant ark, eller använd kartong eller en konstnärsduk. Pusselmattor är ofta för dyra.
  • En dagsljuslampa är det bästa valet efter dagsljus. Om du bara har en golvlampa, placera den på bordet så att avståndet mellan lampan och pusselytan blir så stort som möjligt.
  • Börja med att lösa 500-bitars pussel, sedan 1000-bitars pussel. Eller börja direkt i par med ett 1000-bitars pussel
  • Förutom färgen på en del är utformningen av utbuktningar och utsprång ofta ett bra särskiljningskriterium. Ibland kan du bara hitta en del för att den har en särskilt distinkt form.
  • I slutspelet, när det bara finns ett fåtal bitar kvar, är det bra att sortera bitarna efter deras grundform. Det finns sex olika grundformer för pusselbitar.

Gör du också pussel? Jag skulle gärna höra från dig om detta, liksom om dina erfarenheter av dataskydd eller artikelförslag. Inom kort kommer en artikel att publiceras som handlar om när det kan vara bra att använda samtyckesverktyg. Du bör dock avstå från att använda de välkända cookie-verktygen. Jag kommer snart att tillhandahålla ett gratis sådant som är mer effektivt och ärligt än de reklamlöften som ni förmodligen alla känner till.

För övrigt skulle jag vilja rekommendera de mer välkända pusselbutikerna att ta en mycket kritisk titt på sina webbplatser med avseende på dataskyddsbestämmelserna. Det kan hända att någon snart kommer att kontakta dem och i bästa fall be om information om databehandlingsförfarandena. Det kommer snart att finnas ett verktyg för detta ändamål, med vilket sådana förfrågningar kan skapas nästan automatiskt för många webbplatser.

Också intressant

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Integritetsplikt i e-post och nyhetsbrev