Molti strumenti possono essere utilizzati solo dopo il consenso dell'utente. La seguente panoramica mostra quali sono gli strumenti più noti che richiedono il consenso.
Sempre di nuovo si pone la domanda se un certo strumento, come ad esempio Google Maps, possa essere utilizzato semplicemente così su una pagina web.
Esistono essenzialmente tre basi giuridiche che possono essere utilizzate per decidere se è necessario ottenere il consenso:
- I dati personali sono trattati senza un interesse legittimo?
- I dati personali vengono trasferiti in paesi terzi non sicuri come gli Stati Uniti?
- I cookie non necessari sono utilizzati dal servizio o il servizio non è funzionalmente necessario?
Il trattamento di cui al punto 1 è nella maggior parte dei casi assimilabile a un trasferimento di dati. Non si può ipotizzare un interesse legittimo, in particolare se il trasferimento dei dati era evitabile. Un trasferimento di dati è chiaramente evitabile, ad esempio, quando si recuperano font esterni.
Da già l'indirizzo IP è un dato personale, ogni richiesta di una risorsa (immagine, script, video, font etc.) da un indirizzo esterno è un evento rilevante per la protezione dei dati.
Paesi terzi non sicuri nel gioco sono, può anche con una richiesta WHOIS non essere risposto in modo affidabile. Ma poiché il responsabile di un sito web deve dimostrare che non comunica con paesi terzi non sicuri, dovresti considerare l'ipotesi peggiore.
Non appena non funzionali cookie (o i loro valori) potrebbero essere trasferiti, si applica la direttiva ePrivacy. Essa richiede il consenso, indipendentemente dal fatto che i dati personali siano memorizzati nel cookie o meno. La direttiva ePrivacy è anche applicabile in Germania, come stabilito dal Corte federale di giustizia. Il fatto che la natura dei dati sia irrilevante per l'esigenza di consenso è stato stabilito dalla Corte di Giustizia dell'Unione Europea nel sentenza in Planet49.
La panoramica mostra quali strumenti richiedono il consenso per un uso legalmente conforme e da dove può essere ricavato. Per alcuni strumenti esistono articoli speciali che forniscono ulteriori informazioni. Questi strumenti sono indicati con un link nella tabella.
| Strumento | È necessario il consenso? |
|---|---|
| Google Analytics | Sì, vedi Configurazioni di Google Analytics (ePrivacy e Art. 5 e 6 GDPR) |
| Google Maps | Sì, perché sono coinvolti i cookie (ePrivacy) |
| Google Schriften | Sì, perché il trasferimento dei dati è evitabile e perché i dati sono potenzialmente distribuiti in tutto il mondo (art. 5 e 6 GDPR e altri) |
| Google reCAPTCHA | Sì, perché sono coinvolti i cookie (ePrivacy) |
| Fast Fonts (Fonts.com) | Sì, perché deve essere integrato un pixel di tracciamento e perché il fornitore ha sede negli Stati Uniti (art. 6 e 44 e segg. GDPR) |
| Google Tag Manager | Sì, perché i cookie sono coinvolti (anche se molti non vogliono crederci. Il mio contributo a Tag Manager lo dimostra) e perché il trasferimento dei dati prima del consenso è evitabile (ePrivacy e art. 5 e 6 GDPR) |
| Immagini esterne | Sì, perché il trasferimento dei dati è facilmente evitabile (art. 5 GDPR) |
| SoundCloud Audio Player | Sì, perché sono coinvolti i cookie (ePrivacy) |
| YouTube Video | Sì, perché si tratta di cookie o di un tracciamento esteso senza cookie (ePrivacy e art. 6 GDPR) |
| Vimeo Videos | Sì, perché si verificano trasferimenti di dati evitabili e perché il fornitore ha sede negli Stati Uniti (art. 6 e 44 e segg. del GDPR) |
| OneTrust | Sì, perché il fornitore di questo strumento di consenso ha sede negli Stati Uniti (art. 44 e segg. GDPR) |
| Cloudflare Dateien | Sì, perché il gestore di questa rete di distribuzione di contenuti non prende sul serio la protezione dei dati e perché il trasferimento dei dati è evitabile o perché ci sono centri dati che rispettano la protezione dei dati (art. 6 e 44 e seguenti del GDPR) |
| Font Awesome | Sì, perché si verifica un trasferimento di dati evitabile e perché il fornitore ha sede negli Stati Uniti (artt. 5 e 6 e 44 e segg. del GDPR) |
| Facebook Pixel | Sì, perché… tutto è contrario dal punto di vista della protezione dei dati. Lo stesso vale per i plugin di Facebook, Twitter. plugin di Pinterest, ecc. In particolare: per il tracking si applica il requisito del consenso (art. 5 e 6 GDPR). In caso di utilizzo di cookie, continua ad applicarsi la direttiva ePrivacy. |
Chi riflette su una soluzione di consenso dovrebbe leggere la mia ampia indagine sui Consent Tools. Secondo cui sono tutti inutilizzabili nella pratica, perché lasciano siti web illegali. Tutto questo l'ho chiamato Cookiegeddon, perché il risultato è così imbarazzante.
Chiunque ancora debba utilizzare uno strumento di consenso riceverà molto lavoro. La mia checklist per le richieste di consenso rivela il perché.
La procedura seguente è migliore:
- Rimuovere gli strumenti non necessari. La vita può essere così semplice (chi si arrabbia ora dovrebbe occuparsi seriamente del vantaggio di alcuni strumenti, ad esempio con Google Maps o Google Analytics)
- Utilizzare alternative, vedi anche i miei articoli sugli strumenti della tabella (ad esempio: i font di Google possono essere integrati localmente, i video possono essere sostituiti da una copia locale o da un'immagine di anteprima con un link esterno)
Tra tutti i miei abbonati al mio newsletter, distribuisco di tanto in tanto gratuitamente controlli web. Se desiderate una prima valutazione, scrivetemi brevemente. Vi darò un breve e utile feedback sulla vostra pagina web.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.