Många verktyg får endast användas efter att användaren har gett sitt samtycke. Följande översikt visar vilka av de mer välkända verktygen som kräver samtycke.
Om man får använda ett visst verktyg, som till exempel Google Maps, på en webbplats utan att fråga.
Det finns i huvudsak tre rättsliga grunder som kan användas för att avgöra om samtycke måste inhämtas:
- Behandlas personuppgifter utan berättigat intresse?
- Överförs personuppgifter till osäkra tredje länder som t.ex. USA?
- Används cookies som inte är nödvändiga av tjänsten eller är tjänsten inte funktionellt nödvändig?
Den behandling som nämns under 1. är i de flesta fall att likställa med en överföring av uppgifter. Ett berättigat intresse kan i synnerhet inte antas om överföringen av uppgifter skulle kunna undvikas. En dataöverföring kan uppenbarligen undvikas, t.ex. vid hämtning av externa teckensnitt.
Redan om IP-adressen är ett personuppgiftsrelaterat datum, är varje hämtning av en fil (bild, skript, video, teckensnitt osv.) från en extern adress en dataskyddslagstiftningsrelevant händelse.
Oäkta tredjeländer i spelet är svåra att avgöra, även med en WHOIS-undersökning. Men eftersom ansvarig för en webbplats måste visa att man inte kommunicerar med oäkta tredjeländer, bör man anta det värsta.
Så fort icke-funktionella cookies (eller deras värden) skulle kunna överföras, gäller den ePrivacy-direktivet. Den kräver en samtycke oavsett om personuppgifter lagras i cookie eller inte. Eftersom ePrivacy-direktivet även gäller för Tyskland, som domstolen har fastställt, är det irrelevant vilken typ av data som kräver samtycke. Att arten av datan är ointressant för kravet på samtycke har EU-domstolen fastställt i Planet49-domen.
Översikten visar vilka verktyg som kräver samtycke för att kunna användas på ett lagligt sätt och varifrån detta kan hämtas. För vissa verktyg finns det särskilda artiklar som ger ännu mer information. Dessa verktyg är försedda med en länk i tabellen.
| Verktyg | Krävs samtycke? |
|---|---|
| Google Analytics | Yes, se Konfigurationer av Google Analytics (ePrivacy och art. 5 och 6 GDPR) |
| Google Maps | Yes, eftersom cookies är inblandade (ePrivacy) |
| Google Schriften | Yes, eftersom dataöverföring kan undvikas och eftersom data potentiellt kan distribueras över hela världen (artikel 5 och 6 i GDPR och andra) |
| Google reCAPTCHA | Yes, eftersom cookies är inblandade (ePrivacy) |
| Fast Fonts (Fonts.com) | Yes, eftersom en spårningspixel måste integreras och eftersom leverantören är baserad i USA (art. 6 och 44 ff. GDPR) |
| Google Tag Manager | Yes, eftersom cookies är inblandade (även om många människor inte vill tro det. Mitt bidrag till Tag Manager bevisar det) och eftersom dataöverföring före samtycke kan undvikas (ePrivacy och art. 5 och 6 GDPR) |
| Externa bilder | Yes, eftersom dataöverföringen lätt kan undvikas (artikel 5 i GDPR) |
| SoundCloud Audio Player | Yes, eftersom cookies är inblandade (ePrivacy) |
| YouTube Video | Yes, eftersom antingen cookies är inblandade eller omfattande spårning utan cookies (ePrivacy och art. 6 GDPR) |
| Vimeo Videos | Yes, eftersom undvikbara dataöverföringar äger rum och eftersom leverantören är baserad i USA (artikel 6 och 44ff. GDPR) |
| OneTrust | Ja, eftersom leverantören av detta samtyckesverktyg är baserad i USA (art. 44ff. GDPR). |
| Cloudflare Dateien | Yes, eftersom operatören av detta innehållsleveransnätverk inte tar dataskydd på allvar och eftersom dataöverföringen kan undvikas eller eftersom det finns datacenter som är anpassade till dataskydd (artikel 6 och 44ff. GDPR) |
| Font Awesome | Yes, eftersom en undvikbar dataöverföring äger rum och eftersom leverantören är baserad i USA (art. 5 och 6 samt 44ff. GDPR) |
| Facebook Pixel | Yes, för att … allt talar emot det ur ett dataskyddsperspektiv. Detsamma gäller för Facebook-plugins, Twitter-plugins. Pinterest-plugins etc. Specifikt: För tracking gäller samtyckeskravet (art. 5 och 6 GDPR). Om cookies används fortsätter ePrivacy-direktivet att gälla. |
Den som tänker på en lösning med samtycke bör läsa min omfattande undersökning till Consent Tools. Enligt dem är alla i praktiken oanvändbara, eftersom de lämnar efter sig olagliga webbsidor. Hela saken har jag kallat Cookiegeddon, för att resultatet är så skämsenligt.
Den som fortfarande behöver ett Consent Tool, får mycket arbete. Min checklista för samtyckesfrågor avslöjar varför.
Följande förfarande är bättre:
- Avlägsna onödiga verktyg. Så enkelt kan livet ibland vara (vem som nu blir arg, borde nog allvarligt ta reda på nytta med vissa verktyg, till exempel Google Maps eller Google Analytics)
- Använd alternativ, se även mina artiklar om verktygen i tabellen (exempel: Google-teckensnitt kan integreras lokalt, videor kan ersättas med en lokal kopia eller en förhandsgranskningsbild med en extern länk)
Under alla abonnenterna till min nyhetsbrevsservice ger jag ibland bort gratis webbsidorkontroller. Om du vill ha en första bedömning, skriv då kort till mig. Jag ger dig ett kort och hjälpsamt feedback till din webbplats.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.