Vad är spårning? Definition och regler för dataskydd

Spårning eller webbspårning är en term som inte definieras mer detaljerat. Den juridiska definitionen kan härledas från den aktuella rättsliga situationen och stödjas av den tekniska definitionen. Min definition är inriktad på skyldigheten att inhämta samtycke.

När det gäller begreppet Trackings handlar det i grunden om om en Skyldighet att lämna samtycke föreligger.

En vanlig teknisk definition av begreppet webbtracking lyder:

Web Tracking är att identifiera och spåra användare i nätverk, med målet att utnyttja användardata utanför ett giltigt intresse.

Definition av spårning ur ett tekniskt perspektiv.

Från rättslig synvinkel kan en definition utifrån den nuvarande rättstillståndet, som jag tycker är väl fastslagen, härledas från följande frågor:

1. Används cookies som inte är tekniskt nödvändiga av tjänsten eller är tjänsten inte funktionellt nödvändig?
2. Överförs personuppgifter till tredje part utan ett berättigat intresse och utan någon annan rättslig grund?
3. Överförs personuppgifter till osäkra tredje länder som t.ex. USA?

Den första frågan underlägs av Artikel 5 § 3 i ePrivacy-förordningen. Den säger att en samtycke måste ges så snart som tillgången till informationer, som lagras på användarens enhet, sker. Det gäller förstås bara om processen inte är tekniskt nödvändig, som förordningen fortsätter att säga. Sedan december 2021 gäller i Tyskland § 25 TTDSG. Till dess gällde § 15 § 3 TMG (enligt BGH-dom i Planet49 lika med ePrivacy). Sedan mitten av 2024 har TTDSG övergått till TDDDG.

Den andra frågan omfattas av Artikel 5 GDPR (dataskydd), Artikel 25 GDPR (skydd genom teknisk utformning), Artikel 32 GDPR (säkerhet vid behandling) samt Artikel 6 GDPR (rättsliga grunder). En tredje part är varje annan enhet som inte har avslutat ett DPA o. s. Vid en besök på en webbplats hanteras alltid personuppgifter, eftersom den IP-adressen (nätverksadress) är en personuppgift. När en webbplats innehåller ett tjänst från en tredje part, till exempel en YouTube videospelare, överförs nätverkadressen för användaren vidare till den tredje parten. Dessutom kan man hänvisa till § 15 Abs. 3 TMG, där nutzprofilbildung behandlas. Nutzerprofildata är personuppgifterbara, så personuppgiftsbehandling. Alternativt kunde Device Fingerprint användas som en personuppgiftsbar information.

Den tredje frågan underläggs av Art. 44 (Principer för dataöverföring).

På grundval av detta anser jag att följande juridiska definition av spårning är användbar (formulerad språkligt som en datavetare):

Spårning på internet är en datatransfer, som måste underkännas, eftersom den utan giltigt intresse (och än mindre utan ytterligare rättslig grund) antingen får tillgång till informationer på användarens enhet, eller för att den är onödig eller kan undvikas, eller för att mottagaren inte kan ge tillräckliga garantier om att följa GDPR.

Definition av spårning ur ett juridiskt perspektiv.

Under tiden placerar tekniska definitionen av tracking fokus på datahanteringen, medan den juridiska definitionen redan har överföring av data som relevant. Därav uppstår en lucka som jag behandlar i ett annat inlägg. I definitionen spelar profilbildning för användare ingen direkt roll, utan hanteras indirekt genom onödiga eller undvikbara överföring av data, eftersom IP-adressen redan är en personuppgift som täcker upp den utökade överföringen vid profilbildning.

Web Tracking, oavsett om med eller utan cookies, är olagligt utan samtycke. Ett samtycke hämtas ofta (tyvärr) med hjälp av ett från min synvinkel obruktbart Consent-verktyg.

Google:s villkor kräver en samtycke innan man kan lägga in YouTube-videor. För att dessa villkor ska gälla måste en samtycke begäras innan data samlas in för reklamändamål. Tyvärr laddar det YouTube-skriptet alltid ner den reklam-följande spåraren DoubleClick (Senast uppdaterad: 30.12.2020). ([1])

För Google reCAPTCHA anges i Nutzungsbedingungen att man måste följa Direktiv om användarsamtycke i EU.

Google Tag Manager och andra tjänster som Google Maps tillhör Googles Google Marketing Platform (se till exempel här). ([1]) ([2])

Thesen

Inmatningen av flera verktyg för statistisk användaranalys bör betraktas som spårning.

Kakor-driven samtyckelösningar är oftast i sin natur olagliga och fungerar tekniskt inte utan djupgående anpassning av den webbplats som använder dem. Detta har jag visat med hjälp av en utförlig undersökning och fastställt objektiva samt praktiska skäl för detta.

Opt-Out Cookies_, som gör att analyseringsverktyg från tredje part ändå laddas, för att undvika insamling av data på grund av sådana cookies (hoppningsvis), är olovliga_

Användandet av tjänster som tillhandahålls av en okänd leverantör, eller som inte har någon eller en opålitlig sekretesspolicy och som inte ger några garantier är lagligt ogiltigt och även efter samtycke drabbat av rättsliga osäkerheter.

Införande av vilka som helst tredje parters filer på webbplatser utan bevislig garantier, att dessa tredje parterna behandlar de personuppgifter man får genom detta enligt GDPR (dvs. inte spårar), är inte förenligt med GDPR.

Populära spårningsverktyg

Beroende på hur man definierar tracking faller tjänster inom denna kategori eller inte. I följande är flera kategorier av tracking verktyg nämnda. Landetligt förstås under Tracking att spåra användare för att bättre lära känna dem och öka konverteringshastigheten.

Här en utvalda av bredelvis spridda spårnings-verktyg, som är tänkt för att följa användare:

• Google Analytics
• Facebook Pixel
• Dubbelklick, Dubbelklick Remarketing för Google Analytics …; Dubbelklick används bland annat av YouTube Videos Player
• Google Ads Conversion Tracking
• Sociale medias plugins från Facebook, Twitter o.s.v.
• Google +1 (utan funktion för webbplatsoperatören)
• Omniture Analytics (Adobe Analytics)
• Försäljare
• Xiti Monitoring Traffic (AT Internet)
• Matomo (i vissa konfigurationer och för molndrift i stället för lokal installation)

Dolda spårningsverktyg

Jag kallar dem här så, eftersom den centrala funktionen inte ska vara Tracking, men den respektive tillverkaren av verktygarna erbjuder dessa verktyg i själva verket (även) därför för att kunna bedriva Tracking.

• Google Karta: Använder sig av NID -cookies, som satts när man loggat in på ett Google-konto. Laddar Google Skriftsystemet
• YouTube Video Script: Laddar DoubleClick nu ([1])
• Google reCAPTCHA: Se Google Karta
• Microsoft Forms: Laddar skript från Bing till (hörer också till Microsoft, men tycks vara onödigt för Forms )

Spårning genom Google Tools

Jag antar att Google-koncernen analyserar anslutningsdata som genereras när du använder följande tjänster, bland annat för sina egna ändamål eller gör dem tillgängliga för tredje part:

• Google Tag Manager: Google använder de uppgifter som man har fått från användarna för sina egna syften, bl.a., för att optimera annonser
• Google Web Fonts: se Google Tag Manager ([1])
• Varje annan fil som hämtas från ett Google Server ([1]) ([2])
• Google DNS Server (8.8.8.8 = Google Public DNS Server). Detta är en spekulation utan djupgående bevis. Vem som helst kan ge mig bevis, och jag ger dem en belöning! I alla fall bekräftar Google endast, att de personuppgifter (bara) som erhållits via DNS-servern inte används för målinriktad annonsering. Det är således möjligt att spåra användare och dela dessa uppgifter med tredje part, vilka på grund av detta (självständigt) kan optimera deras annonser.

Google medger till och med att man använder data som samlats in på annat håll. Här är två Google-källor:

Operatörer av webbplatser och appar överför därför data till Google så att Google kan visa personlig reklam på sina egna och tredje parts webbplatser. Personanpassad reklam förutsätter att en person identifieras eller kan kopplas till en person.

Enligt min mening agerar Google och även operatörer av webbplatser som använder Googles tjänster utan samtycke olagligt här, eftersom vägen förefaller mig vara följande:

1. En användare A besöker en webbplats X
2. Googles tjänster är integrerade på webbplatsen X
3. Google tar därmed emot uppgifter om användaren A från webbplatsen X
4. Om användaren A har samtyckt till att hans uppgifter används på ett helt annat ställe än på webbplatsen X, nämligen hos Google (se skärmdumpar), använder Google de uppgifter som erhållits om användaren A via webbplatsen X för andra ändamål som inte nödvändigtvis motsvarar dem på webbplatsen X
5. Webbplats X har (vanligtvis) inte inhämtat samtycke till detta eller så har jag inte någonstans sett att integreringen av Google Maps eller Google Fonts på webbplatser förklaras med att uppgifter vidarebefordras till Google för att användas för personanpassad reklam.
6. Åtminstone är operatören av webbplatsen X ansvarig, eftersom den vidarebefordrar personuppgifter från användaren A. Google är förmodligen också ansvarigt. Google Signals kombinerar t.ex. data från olika källor för att skapa användarprofiler.

Samtyckeskrav på grund av överföring av uppgifter

Det är möjligt att ingen spårning utförs av följande verktyg (exempel ges). Överföring av uppgifter till osäkra tredjeländer som USA verkar dock kräva samtycke (och gör det enligt min mening helt klart):

• Font Awesome-teckensnitt
• Fast Fonts (Fonts.com): Användning av en spårningspixel främst för faktureringsändamål (användningskvot)
• MailChimp
• MyFonts
• MapBox (använder OpenStreetMap)
• SoundCloud Audio Player
• CloudFlare (nätverk för leverans av innehåll för filer)

I tvivel måste den ansvarige för insamlingen av data visa beviset för lagligheten. Ansvarig för en webbplats är vanligtvis webbplatsens ägare, om han inte lyckades överföra sin ansvarighet till en annan enhet. Vid globala företag försöker man gärna att lägga ansvaret på ett passande företags säte.

Det är inte heller möjligt att utan risk ladda en bild från en extern server hos en tredje part i stället för att bädda in bilden direkt. Som regel kommer den tredje parten inte att analysera användare baserat på de trafikdata som tas emot, men skulle kunna göra det.