Wiele narzędzi może być używanych wyłącznie po wyrażeniu zgody przez użytkownika. Poniższy przegląd pokazuje, które z bardziej znanych narzędzi wymagają zgody.
Zawsze pojawia się pytanie, czy pewne narzędzie, takie jak np. Google Maps, może być stosowane na stronie internetowej w sposób prosty i bez przeszkód.
Zasadniczo istnieją trzy podstawy prawne, które można wykorzystać do podjęcia decyzji, czy zgoda musi zostać uzyskana:
- Czy dane osobowe są przetwarzane bez uzasadnionego interesu?
- Czy dane osobowe są przekazywane do niezabezpieczonych krajów trzecich, takich jak USA?
- Czy pliki cookie, które nie są niezbędne, są używane przez usługę lub czy usługa nie jest funkcjonalnie niezbędna?
Przetwarzanie, o którym mowa w punkcie 1, należy w większości przypadków utożsamiać z przekazywaniem danych. Uzasadnionego interesu nie można zakładać w szczególności wtedy, gdy transferu danych można uniknąć. Transfer danych jest wyraźnie możliwy do uniknięcia, na przykład podczas pobierania zewnętrznych czcionek.
Już sama adres IP jest danymi osobowymi, każdy pobór pliku (obrazu, skryptu, filmu wideo, czcionki itp.) z adresu zewnętrznego jest działaniem mającym znaczenie prawnie dotyczące ochrony danych.
Niepewne trzecie państwa, które są w grze, nie mogą być zawsze ustalone za pomocą WHOIS-Abfrage. Ponieważ jednak odpowiedzialny za stronę musi udowodnić, że nie komunikuje się z niepewnymi trzecimi państwami, należy przyjąć najgorszy scenariusz.
Jednocześnie niefunkcjonalne pliki cookie (lub ich wartości) mogą być przenoszone, obowiązuje tu ePrivacy directive. Zakłada ona zgodę niezależnie od tego, czy dane osobowe są przechowywane w pliku cookie czy nie. ePrivacy directive dotyczy również Niemiec, jak orzekł Trybunał Konstytucyjny. To, że rodzaj danych jest dla wymogu zgody bez znaczenia, zostało ustalone przez Trybunał Sprawiedliwości Unii Europejskiej w wyroku w sprawie Planet49.
Przegląd pokazuje, które narzędzia wymagają zgody na użytkowanie zgodne z prawem i skąd można ją uzyskać. W przypadku niektórych narzędzi istnieją specjalne artykuły, które dostarczają jeszcze więcej informacji. Narzędzia te są opatrzone linkiem w tabeli.
| Narzędzie | Czy zgoda jest konieczna? |
|---|---|
| Google Analytics | Tak, patrz Konfiguracje Google Analytics (ePrivacy i art. 5 i 6 RODO) |
| Google Maps | Tak, ponieważ w grę wchodzą pliki cookie (ePrivacy) |
| Google Schriften | Tak, ponieważ można uniknąć przekazywania danych i ponieważ dane są potencjalnie rozpowszechniane na całym świecie (art. 5 i 6 RODO i inne) |
| Google reCAPTCHA | Tak, ponieważ w grę wchodzą pliki cookie (ePrivacy) |
| Fast Fonts (Fonts.com) | Tak, ponieważ piksel śledzący musi być zintegrowany i ponieważ dostawca ma siedzibę w USA (art. 6 i 44 i nast. RODO) |
| Google Tag Manager | Tak, ponieważ w grę wchodzą pliki cookie (nawet jeśli wiele osób nie chce w to uwierzyć. Mój wkład w Tag Managera to udowadnia) oraz dlatego, że transferu danych przed wyrażeniem zgody można uniknąć (ePrivacy i art. 5 i 6 RODO) |
| Obrazy zewnętrzne | Tak, ponieważ przekazania danych można łatwo uniknąć (art. 5 RODO) |
| SoundCloud Audio Player | Tak, ponieważ w grę wchodzą pliki cookie (ePrivacy) |
| YouTube Video | Tak, ponieważ w grę wchodzą albo pliki cookie, albo szeroko zakrojone śledzenie bez plików cookie (ePrivacy i art. 6 RODO) |
| Vimeo Videos | Tak, ponieważ ma miejsce przekazywanie danych, którego można uniknąć, a dostawca ma siedzibę w USA (art. 6 i 44 i nast. RODO) |
| OneTrust | Tak, ponieważ dostawca tego narzędzia do wyrażania zgody ma siedzibę w Stanach Zjednoczonych (art. 44 i nast. RODO). |
| Cloudflare Dateien | Tak, ponieważ operator tej sieci dostarczania treści nie traktuje poważnie ochrony danych i ponieważ transferu danych można uniknąć lub ponieważ istnieją centra danych przyjazne dla ochrony danych (art. 6 i 44 i nast. RODO) |
| Font Awesome | Tak, ponieważ ma miejsce transfer danych, którego można uniknąć, a dostawca ma siedzibę w USA (art. 5 i 6 oraz art. 44 i nast. RODO) |
| Facebook Pixel | Tak, ponieważ … wszystko przemawia przeciwko temu z punktu widzenia ochrony danych. To samo dotyczy wtyczek Facebooka, wtyczek Twittera. Wtyczek Pinterest itp. W szczególności: W przypadku trackingu obowiązuje wymóg zgody (art. 5 i 6 RODO). Jeśli używane są pliki cookie, nadal obowiązuje dyrektywa o prywatności i łączności elektronicznej. |
Ktoś, kto myśli o rozwiązaniu opartym na zgodzie, powinien przeczytać moją obszerną pracę dotyczącą narzędzi do uzyskiwania zgody. Według mnie wszystkie one są w praktyce niepraktyczne, ponieważ pozostawiają stronę nielegalną. Cały ten problem nazwałem Cookiegeddon, dlatego że wynik jest tak zawstydzałym.
Ktoś, kto jeszcze potrzebuje narzędzia do uzyskania zgody, dostanie się w ciężkie sprawy. Moja lista kontrolna dla pytań o zgodę wyjaśnia dlaczego.
Poniższa procedura jest lepsza:
- Niezabędne narzędzia usunąć. Tak prosto życie czasem może być (kto teraz będzie wściekił się, powinien poważnie zajmować się korzyściami niektórych narzędzi, np. Google Maps lub Google Analytics)
- Skorzystaj z alternatywnych rozwiązań, zobacz także moje artykuły na temat narzędzi w tabeli (przykład: czcionki Google można zintegrować lokalnie, filmy można zastąpić lokalną kopią lub obrazem podglądu z linkiem zewnętrznym)
Pod wszystkimi subskrybentami mojego newslettera rozdaję czasem darmowe sprawdzanie stron internetowych. Jeśli chcesz mieć pierwszą ocenę, napisz mi krótkie słowo. Daję Ci krótkie, przydatne feedback do Twojej strony.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.