Mange værktøjer må kun bruges, når brugeren har givet sit samtykke. Følgende oversigt viser, hvilke af de mere kendte værktøjer der kræver samtykke.
Altid igen står der spørgsmål, om et bestemt værktøj, som f.eks. Google Maps, kan bruges på en hjemmeside uden videre.
Der er hovedsageligt tre juridiske grundlag, der kan bruges til at afgøre, om der skal indhentes samtykke:
- Behandles personoplysninger uden en legitim interesse?
- Overføres persondata til usikre tredjelande som fx USA?
- Bruges cookies, der ikke er nødvendige, af tjenesten, eller er tjenesten ikke funktionelt nødvendig?
Den under 1. nævnte behandling er i de fleste tilfælde at sidestille med en dataoverførsel. En legitim interesse kan især ikke antages, hvis dataoverførslen kunne have været undgået. En dataoverførsel kan helt klart undgås, f.eks. når der hentes eksterne skrifttyper.
Da allerede IP-adressen er personlige oplysninger, er hver gang en fil (billede, script, video, skrifttype osv.) hentes fra en ekstern adresse, en dato, der har betydning for dataskyddet.
Usikre tredjelande i spillet er ikke med sikkerhed kunne besvare ved hjælp af en WHOIS-afspørgning. Eftersom den ansvarlige for en hjemmeside skal bevise, at de ikke kommunikerer med usikre tredjelande, bør man regne med det værste.
Så snart ikke-fungerende cookies (eller deres værdier) kan overføres, gælder den e-privatighedsretlige direktive. Den kræver en samtykke, uanset om persondata er gemt i cookie eller ej. E-privatighedsretlige direktive gælder også for Tyskland, som Bundesgerichtshof har fastsat . At arten af data ikke er relevant for kravet til samtykke, har EuGH fastsat i dom over Planet49.
Oversigten viser, hvilke værktøjer der kræver samtykke for at blive brugt i overensstemmelse med loven, og hvor det kan hentes fra. For nogle værktøjer er der særlige artikler, der giver endnu flere oplysninger. Disse værktøjer er forsynet med et link i tabellen.
| Værktøj | Er samtykke nødvendigt? |
|---|---|
| Google Analytics | Ja, se Konfigurationer af Google Analytics (ePrivacy og artikel 5 og 6 i GDPR) |
| Google Maps | Ja, fordi cookies er involveret (ePrivacy) |
| Google Schriften | Ja, fordi dataoverførsel kan undgås, og fordi data potentielt distribueres over hele verden (artikel 5 og 6 i GDPR og andre) |
| Google reCAPTCHA | Ja, fordi cookies er involveret (ePrivacy) |
| Fast Fonts (Fonts.com) | Ja, fordi der skal integreres en sporingspixel, og fordi udbyderen er baseret i USA (art. 6 og 44ff. GDPR) |
| Google Tag Manager | Ja, fordi cookies er involveret (selv om mange ikke vil tro på det. Mit bidrag til Tag Manager beviser det), og fordi dataoverførsel før samtykke kan undgås (ePrivacy og artikel 5 og 6 i GDPR) |
| Eksterne billeder | Ja, fordi dataoverførslen let kan undgås (art. 5 GDPR) |
| SoundCloud Audio Player | Ja, fordi cookies er involveret (ePrivacy) |
| YouTube Video | Ja, fordi der enten er tale om cookies eller omfattende sporing uden cookies (ePrivacy og art. 6 GDPR) |
| Vimeo Videos | Ja, fordi der finder undgåelige dataoverførsler sted, og fordi udbyderen er baseret i USA (art. 6 og 44ff. GDPR) |
| OneTrust | Ja, fordi udbyderen af dette samtykkedokument er beliggende i USA (art. 44ff. GDPR). |
| Cloudflare Dateien | Ja, fordi operatøren af dette indholdsleveringsnetværk ikke tager databeskyttelse alvorligt, og fordi dataoverførslen kan undgås, eller fordi der findes databeskyttelsesvenlige datacentre (art. 6 og 44ff. GDPR) |
| Font Awesome | Ja, fordi der finder en undgåelig dataoverførsel sted, og fordi udbyderen er baseret i USA (art. 5 og 6 samt 44ff. GDPR) |
| Facebook Pixel | Ja, fordi … alt taler imod det ud fra et databeskyttelsesperspektiv. Det samme gælder for Facebook-plugins, Twitter-plugins. Pinterest-plugins osv. Specifikt: For tracking gælder kravet om samtykke (art. 5 og 6 i GDPR). Hvis der anvendes cookies, gælder ePrivacy-direktivet fortsat. |
Den, der over en samtykningsløsning tænker, bør læse min omfattende undersøgelse til Consent Tools. Ifølge den er de alle i praksis uanvendelige, fordi de efterlader ulovlige hjemmesider. Det hele har jeg Cookiegeddon kaldt, fordi resultatet er så skamfuldt.
Den, der stadigvæk skal bruge et Consent Tool, får meget arbejde. Min checklist for samtykningsspørgsmål afslører, hvorfor.
Følgende procedure er bedre:
- Fjern ikke nødvendige værktøjer. Så enkelt kan livet være (hvem der nu bliver vred, bør alvorligt beskæftige sig med nytten af nogle værktøjer, f.eks. Google Maps eller Google Analytics)
- Brug alternativer, se også mine artikler om værktøjerne i tabellen (eksempel: Google-skrifttyper kan integreres lokalt, videoer kan erstattes af en lokal kopi eller et preview-billede med et eksternt link)
Under alle mine abonnenter af nyhedsbreve giver jeg fra tid til anden gratis websejeskontroller. Hvis du ønsker en første vurdering, skriv bare til mig. Jeg giver dig et kort og hjælpsomt feedback til din hjemmeside.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.