Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Wat is tracking? Definitie en regels voor gegevensbescherming

0
Tracking
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel als PDF
📄 Artikel als PDF (alleen voor abonnees van de nieuwsbrief)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Tracking of webtracking is een term die niet nader is gedefinieerd. De juridische definitie kan worden afgeleid uit de huidige juridische situatie en ondersteund door de technische definitie. Mijn definitie is gericht op de verplichting om toestemming te verkrijgen.

Bij het begrip van Trackings gaat het in wezen om of een informatieplicht bestaat.

Een gangbare technische definitie van de term Web Tracking luidt:

Web Tracking is het identificeren en volgen van gebruikers in netwerken, met als doel de gebruikersgegevens buiten een gerechtvaardigd belang uit te buiten.

Definitie van tracking vanuit een technisch perspectief.

Vanuit rechtelijke gezichtspunten kan een definitie op basis van de huidige wetgeving, die naar mijn mening al lang stabiel is, als volgt worden afgeleid:

  1. Worden er door de service cookies gebruikt die technisch niet noodzakelijk zijn of is de service niet functioneel noodzakelijk?
  2. Worden persoonlijke gegevens zonder legitiem belang en zonder andere wettelijke basis doorgegeven aan derden?
  3. Worden persoonlijke gegevens doorgegeven aan onveilige derde landen zoals de VS?

De eerste vraag wordt ondersteund door Artikel 5, lid 3 van de ePrivacy Richtlijn. Het zegt dat er toestemming moet worden gegeven, zodra toegang tot informatie wordt verkregen die op het eindapparaat van de gebruiker is opgeslagen. Dit geldt natuurlijk alleen als dit proces technisch niet noodzakelijk is, zoals de richtlijn verder uitwijdt. Sinds december 2021 geldt voor Duitsland § 25 TTDSG. Tot dan toe gold § 15, lid 3 TMG (op basis van het uitspraak van de Hoge Raad over Planet49 eveneens als ePrivacy te interpreteren). Sinds midden 2024 is het TTDSG trouwens overgegaan in het TDDDG.

De tweede vraag wordt ondersteund door Artikel 5 GDPR (gegevensbesparing), Artikel 25 GDPR (gegevensbescherming door technische ontwerp), Artikel 32 GDPR (veiligheid van de verwerking) en Artikel 6 GDPR (wettelijke gronden). Een derde is elke andere instantie waarmee geen DPA o. dgl. is afgesloten. Bij een bezoek aan een website worden altijd persoonsgebonden gegevens verwerkt, omdat de IP-adres (netwerkadres) een persoonsgebonden datum is. Als een website een dienst van een derde inroept, bijvoorbeeld een YouTube Video Player, wordt het netwerkadres van de gebruiker daarbij doorgegeven aan de derde. Ook kan naar § 15 Abs. 3 TMG worden verwezen. Daar wordt de nuttigheid van profielen thematiseerd. Gebruikersprofielgegevens zijn persoonsgebonden, dus persoonsgebonden. Als alternatief zou het apparaatvingertype als persoonsgebonden informatie kunnen worden gebruikt.

De derde vraag wordt ondersteund door Artikel 44 (Grondslagen van de gegevensoverdracht).

Op basis hiervan vind ik de volgende juridische definitie van tracking nuttig (taalkundig geformuleerd als informaticus):

Tracking in het internet is een gegevensoverdracht, die met een toestemming moet worden gemarkeerd, omdat hij zonder gerechtvaardigd belang (en al helemaal zonder verdere wettelijke grondslag) wellicht op informatie op het eindapparaat van de gebruiker toegrijpt, of omdat hij onnodig of vermijdbaar is, of omdat de ontvanger geen voldoende garanties kan geven om de GDPR na te leven.

Definitie van tracking vanuit juridisch perspectief.

Tijdens de technische definitie van tracking staat de gegevensverwerking in het centrum, maar bij de juridische definitie is al het overdragen van gegevens relevant. Hieruit volgt een kloof die ik in een ander artikel bekijk. In de definitie speelt de gebruikersprofielvorming geen directe rol, maar wordt deze indirect afgehandeld via onnodige of te vermijden gegevensoverdrachten, omdat de IP-adres al een persoonsgerelateerd gegeven is, die dit uitgebreide gegevensoverdracht bij gebruikersprofielvorming quasi overdekt.

Is IST-tracking conform met de GDPR?

Webtracking is GDPR-conform als de gebruiker toestemming heeft gegeven en alle feiten over de gegevensverwerking bekend waren toen de toestemming werd gevraagd.

Web Tracking, egal, of met of zonder cookies, is zonder toestemming onrechtmatig. Een toestemming wordt vaak (helaas) met behulp van een uit mijn oogpunt onbruikbaar consent tool gevraagd.

De Google Gebruiksvoorwaarden eisen een toestemming YouTube Video's voordat ze worden geïntegreerd. Want volgens deze voorwaarden moet er eerst toestemming gevraagd worden voordat er gegevens worden verzameld voor reclame-doelen. Jammer genoeg laadt het YouTube Script altijd de reclame-tracker DoubleClick in (Staan: 30.12.2020).

Voor Google reCAPTCHA is in de gebruiksvoorwaarden opgenomen dat de richtlijn voor EU-gebruikersinformatie moet worden nageleefd.

De Google Tag Manager en andere diensten zoals Google Maps worden door Google ondergebracht in het Google Marketing Platform (zie bijvoorbeeld hier).

Thesen

De inbedding van meerdere tools voor statistische gebruikersanalyse is als tracking te waarderen.

Cookie-getriebene Einwilligungslösungen zijn meestal in hun aard onwettig en functioneren technisch zonder diepgaande aanpassing van de gebruikte website niet. Dit heb ik met behulp van een uitgebreide onderzoek laten zien en objectieve alsmede praktische redenen daarvoor vastgesteld.

Opt-Out Cookies_, die ervoor zorgen dat analyse-tools van derden nog steeds geladen worden, om de gegevensverzameling op basis van dergelijke cookies (hopelijk) te laten stoppen, zijn onrechtmatig_

De inzet van diensten waarvan de aanbieder onbekend is, of geen of een ondoorzichtige gegevensbeschermingsverklaring heeft en geen garanties biedt, is wettelijk niet toegestaan en zelfs met toestemming voorbehouden aan juridische onzekerheden.

De integratie van willekeurige bestanden van derden op websites zonder enig bewijs dat deze derden de daarmee verkregen persoonsgegevens in overeenstemming met de AVG behandelen (dus geen tracking uitvoeren), is niet verenigbaar met de AVG.

Populäre Tracking Tools

Afhankelijk van hoe men tracking definieert, vallen diensten in deze categorie of niet. In het volgende zijn daarom meerdere categorien van tracking tools genoemd. Landelijk wordt onder het tracking het na-vervolgen van gebruikers verstaan, om hen beter te leren kennen en hun conversieraten te verbeteren.

Hier een selectie van zeer wijdverspreide tracking-tools, bedoeld voor het volgen van gebruikers:

  • Google Analytics
  • Facebook Pixel
  • DoubleClick, DoubleClick Remarketing voor Google Analytics; DoubleClick wordt onder andere gebruikt door YouTube Video's Player
  • Google Ads Conversion Tracking
  • Sociale media plugins van Facebook, Twitter enz.
  • Google +1 (zonder functie voor de websitebeheerder)
  • Omniture Analytics (Adobe Analytics)
  • Salesviewer
  • Xiti Monitoring Traffic (AT Internet)
  • Matomo (in bepaalde configuraties en voor gebruik in de cloud in plaats van lokale installatie)

Verborgen trackingtools

Ik noem ze hier zo, omdat de kernfunctie niet het Tracking moet zijn, maar de desbetreffende toolaanbieder biedt deze tools in werkelijkheid (ook) om Tracking uit te voeren.

  • Google Maps: Maakt gebruik van het NID cookie, dat wordt gezet bij inloggen met een Google-account. Laadt Google Schriften op
  • YouTube Video Script: Lädt DoubleClick nach
  • Google reCAPTCHA: Zie Google Maps
  • Microsoft Forms: Laadt script van Bing naar (hoort ook bij Microsoft, is echter voor Forms kennelijk overbodig)

Traceren via Google Tools

Ik ga ervan uit dat de bedrijvengroep Google verbindingsgegevens die worden gegenereerd bij het gebruik van onder andere de volgende diensten, voor eigen doeleinden analyseert of aan derden ter beschikking stelt:

  • Google Tag Manager*: Google gebruikt behaalde gebruikersgegevens voor eigen doeleinden, onder meer om reclame te optimaliseren ([1])
  • Google Web Fonts: zie Google Tag Manager ([1])
  • Elke andere bestand, die van een Google Server wordt opgehaald ([1]) ([2])
  • Google DNS Server (8.8.8.8 = Google Public DNS Server). Dit is een veronderstelling zonder diepe bewijzen. Wie handvatenbewijzen kan leveren, krijgt van mij een beloning! Jedenlijk bevestigt Google slechts, dat de door het DNS-server verkregen persoonsgegevens (alleen) niet worden gebruikt voor doelgerichte advertentie-uitzending. Het is dus mogelijk om gebruikers te volgen en deze informatie door te geven aan derden, die op basis daarvan (zelfstandig) hun advertenties optimaliseren.

Google geeft zelfs toe dat het gegevens gebruikt die elders zijn verzameld. Hier zijn twee Google-bronnen:

Gebruik van verzamelde gegevens door Google voor advertenties. Bron: https://adssettings.google.com/authenticated?hl=de. (afbeelding is automatisch vertaald).

Exploitanten van websites en apps geven daarom gegevens door aan Google, zodat Google gepersonaliseerde advertenties kan weergeven op zijn eigen websites en die van derden. Gepersonaliseerde advertenties vereisen dat een persoon wordt geïdentificeerd of aan een persoon kan worden gekoppeld.

Een extra gegevensvrijgave stelt Google in staat om activiteiten op het internet te verwerken om advertenties te personaliseren. Bron: https://myactivity.google.com/activitycontrols?settings=search&utm_source=my-activity&facs=1&hl=de. (afbeelding is automatisch vertaald).

Naar mijn mening handelen Google en ook beheerders van websites die zonder toestemming gebruik maken van Google-diensten hier onrechtmatig, omdat het pad er volgens mij als volgt uitziet:

  1. Een gebruiker A bezoekt een website X
  2. Google-diensten zijn geïntegreerd op website X
  3. Google ontvangt dus gegevens over gebruiker A van website X
  4. Als gebruiker A toestemming heeft gegeven voor het gebruik van zijn gegevens op een heel andere plaats dan op website X, namelijk bij Google (zie schermafbeeldingen), gebruikt Google de gegevens die over gebruiker A zijn verkregen via website X voor andere doeleinden die niet noodzakelijkerwijs overeenkomen met die van website X
  5. Website X heeft hier (meestal) geen toestemming voor gevraagd of ik heb nergens gezien dat de integratie van Google Maps of Google Fonts op websites wordt verklaard door het feit dat gegevens worden doorgegeven aan Google om te worden gebruikt voor gepersonaliseerde reclame.
  6. Op zijn minst is de beheerder van website X verantwoordelijk, omdat deze persoonlijke gegevens van gebruiker A doorgeeft. Google is waarschijnlijk ook verantwoordelijk. Google Signals combineert bijvoorbeeld gegevens uit verschillende bronnen om gebruikersprofielen te maken.

Toestemmingsverplichting voor gegevensoverdracht

Het is mogelijk dat er geen tracking wordt uitgevoerd door de volgende tools (voorbeelden gegeven). Voor de overdracht van gegevens naar onveilige derde landen zoals de VS lijkt echter toestemming nodig te zijn (en naar mijn mening is dat ook duidelijk het geval):

  • Font Awesome lettertypen
  • Fast Fonts (Fonts.com): Gebruik van een trackingpixel voornamelijk voor factureringsdoeleinden (gebruiksquota)
  • MailChimp
  • MyFonts
  • MapBox (gebruikt OpenStreetMap)
  • SoundCloud Audio Player
  • CloudFlare (content delivery network voor bestanden)

In twijfelgevallen moet de verantwoordelijke voor de gegevensverzameling het bewijs van rechtmatigheid leveren. Verantwoordelijk is meestal degene die een website beheert, tenzij hij zijn verantwoordelijkheid succesvol heeft overgedragen aan iemand anders. Bij bedrijven die wereldwijd opereren wordt de verantwoordelijkheid graag toegeschoven aan een bedrijf met geschikte vestigingsplaats.

Het is ook niet zonder risico om een afbeelding van een externe server van een derde partij te laden in plaats van de afbeelding direct in te sluiten. De derde partij zal in de regel geen gebruikers analyseren op basis van de ontvangen verkeersgegevens, maar zou dit wel kunnen doen.

Geselecteerde hulpmiddelen
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

YouTube-Videos als Datenschutzfalle auf Webseiten