In der DSGVO heißt es sinngemäß der Wideruf muss so einfach sein wie die Einwilligung. Das ist in meinen Augen über den Browser nicht gegeben.
Allerdings finde ich es ok wenn man in den Datenschutzhinwiesen zwei Wege anbietet und die Nutzer informiert. So kann man aus der DSE bzw. aus dem Footer die Cookie Einstellungen aufrufen und editieren. Zum anderen kann man auch im Browser die Einstellungen anpassen und beim schließen des Browsers löschen etc.
Nur über den Browser würde ich als kritisch sehen - aber da kann man gerne abwarten was die Klage von NOYB bringt.
Eine Einwilligung ist nachweispflichtig. Wie will der Verantwortliche dem nachkommen, wenn Cookies auf dem Gerät des Betroffenen gespeichert sind? Mittels Hausdurchsuchung, Beschlagnahme des Gerätes und forensischer Analyse?
Der zweite Aspekt ist die Verlagerung der Verantwortlichkeit zum Betroffenen. Den Grundsatz der Datenminimierung anzuwenden, ist für den Betroffenen natürlich hilfreich, für den Verantwortlichen aber ist er verpflichtend. Das heißt, man kann von Anwendern durchaus erwarten, dass sie mit der Software umgehen und entsprechende Einstellungen vornehmen können. Jedoch kann ein Verantwortlicher die Datenverarbeitung nicht von der Fähigkeit zum Umgang mit Software abhängig machen. Bei den Rechtmäßigkeiten der Verarbeitung fehlt nämlich die Ausnahme, die Abs.1 für nicht anwendbar erklärt, wenn der Betroffene eine Verarbeitung durch Softwarekonfigurationen ermöglicht (zB Browsereinstellungen). Die Verantwortung für Technikgestaltung (data protection by design) liegt beim Verarbeiter. Es ist also völlig gleichgültig, welche Einstellungen gemacht wurden, da eine entsprechende Mitarbeit des Betroffenen von der DSGVO nicht gefordert wird. Ich denke auch nicht, dass der Sinn des Widerspruchsrechts im Nachverfolgen von n Cookie- oder Deaktivierungsmöglichkeiten liegt. Ein Betroffener müsste für die Alternativen einen erheblichen Aufwand zum Besuch einer einzigen Webseite betreiben. Wenn dieser Aufwand nicht bereits unverhältnismäßig ist, wird er es bei der zweiten oder dritten Webseite der gleichen Art. Die dahinter verborgene Verarbeitung soll mit datenschutzfreundlichen Voreinstellungen eingeschränkt werden (data protection by default) und die liegt ebenfalls in der Verantwortlichkeit des Verarbeiters (EG 78). Diese Praxis des Trackings und der Werbung ist völlig außer Kontrolle geraten, was allein das Nudging zeigt.
Die ganze Cookie-Geschichte wird mit dem Inkrafttreten vom TTDSG am 1.12.2021 sowieso nochmal grundlegend neu ausgerollt werden müssen. Hoffentlich wird es dann einfacher für Nutzer.
Die Datenschutzbestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, sollen an die DSGVO und die Richtlinie 2002/58/EG angepasst und in einem neuen Gesetz (Telekommunikation-Telemedien-Datenschutzgesetz – TTDSG) zusammengeführt werden.
BT-Drs. 19/27441
Im TMG selbst wird Abschnitt 5 (§§11-15d) aufgehoben und Abschnitt 6 zu Abschnitt 5; §16 wird mit einigen Änderungen zu §11. Die Impressumspficht aus §5 TMG bleibt bestehen.
Eine Frage von mir noch: ich habe nur eine private Webseite und baue weder Werbung ein, noch sammle ich Cookies von den Webseitenbesuchern. Darf ich dann bei der Datenschutzerklärung die Punkte “Reichweitenmessung & Cookies”, “Google Analytics” und “Nutzung von Social-Media-Plugins von Facebook” (hab mich an dem Musterbeispiel von Datenschutzerklärung für Website, Blog und Co.: Anforderungen und Hinweise orientiert) einfach rauslassen oder müssen sie trotzdem der Vollständigkeit drinbleiben?
Hallo Antonine,
die Muster zeigen Formulierungen als Besispiele. Es geht bei der Datenschutzerklärung ja darum, die Besucher der Webseite darüber zu informieren, welche Daten tatsächlich verarbeitet werden. Wenn also sicher keine Cookies verarbeitet (gesetzt oder ausgelesen) werden und sonstige Dienste (Google Analytics, Facebook usw.) nicht eingebunden sind, brauchen sie nicht genannt und erklärt werden.
Dabei aber Vorsicht: Hoster erheben (meistens) Daten der Besucher zu Zählung (=Reichweitenmessung) etc. In dem Fall findet eine Verarbeitung statt, die aufzuführen ist.
aktuell wäre das Setzen der Cookies ohne Einwilligung, aber nach korrekter Information in der DSE möglich.
(…Auch diese müssen transparent dargestellt…)
Jetzt kann man Matomo aber auch ohne Cookies konfigurieren und würde somit das Thema Cookie umgehen. Hierzu muss aber auch korrekt in der DSE informiert werden.
Genau dieser Fall ist für mich von Interesse.
Hier würde mich interessieren, ob das schon jemand entsprechend in seiner DSE beschrieben hat.
Die Informationspflichten betreffen die Verarbeitung von pb Daten. Werden keine Daten verarbeitet (ohne Cookies), soll über welche Verarbeitung informiert werden? Will man die User darauf aufmerksam machen, dass keine Cookies eingesetzt werden, genügt der Satz: “Wir setzen keine Cookies.” Oder verstehe ich etwas falsch?
Bin ich bei dir. (Ihnen)
Matomo ohne Cookies nutzt aber trotzdem pdaten, auch wenn zeitnah eine Anonymisierung
erfolgt. (IP-Adresse) sowie Browser und Betriebssystem. (Meine auch Auflösung vom Monitor)
Die IP-Adresse wird nach dem lokalisieren anonym gespeichert
Hier wäre es für mich hilfreich, eine “Ausformulierung” von jemanden zu erhalten, der ggf. tiefer im Matomo Thema ist und dies schon erstellt hat.
Die Strato AG schreibt dazu für Website – Betreiber:
„Wenn Sie unsere Webseite besuchen oder unsere Dienste nutzen übermittelt das Gerät, mit dem Sie die Seite aufrufen, automatisch Log-Daten (Verbindungsdaten) an unsere Server. Das ist insbesondere der Fall, wenn Sie bestellen, wenn Sie sich einloggen oder wenn Sie Daten hoch- oder runterladen.
Log-Daten werden von unseren Servern auch erfasst, wenn Besucher Ihre Webseiten aufrufen. Folgende Log-Daten werden bei diesem Prozess erhoben: Kunden-Domain, Anonymisierte Client-IP, Request-Zeile, Timestamp, Status Code, Größe des Response Bodies, Referer, der vom Client gesendet wurde, User Agent, der vom Client gesendet wurde, Remote User. Eine genauere Erläuterung finden Sie hier: hier . Zur Erkennung von Angriffen speichern wir nicht anonymisierte IP-Adressen maximal sieben Tage. Danach werden sie unwiderruflich anonymisiert. Kunden können IP-Adressen jedoch ausschließlich und dauerhaft anonymisiert einsehen. Wir stützen uns dabei auf die Rechtsgrundlage der berechtigten Interessen, Art. 6 Abs. 1 lit. f DSGVO.“
und zu der anonymisierten IP-Adresse (nicht ganz zu unrecht):
„Anonymisierte Client-IP: Um zu erkennen, von wo aus unsere Server gegebenenfalls angegriffen werden, erheben wir IP-Adressen. Diese speichern wir branchenüblich maximal sieben Tage lang. Danach werden sie anonymisiert.Aus Datenschutzgründen kannst Du jedoch die IP-Adressen in dem Logfile von Beginn an nur anonymisiert einsehen. Ein Beispiel: Aus 123.456.789.001 wird anon-123-456-165-41.invalid. „
Bitte werft TTDSG und DS-GVO nicht durcheinander. Und nach TTDSG sprechen wir ja nicht mehr nur von Cookies, sondern jeglichen Arten des Zugriffs auf Endeinrichtungen, vereinfacht würde ich jetzt aber trotzdem von Cookies sprechen, meine aber alles.
Nach dem TTDSG bedarf das Setzen unbedingt erforderlicher Cookies keiner Einwilligung. Eine Reichweitenmessung (wir reden nicht von Tracking/Analytics!) wird man hier zu den (technisch) notwendigen Tools zum Betrieb der Webseite zählen können, auch wenn Cookies gesetzt werden. Daher ist hier keine Einwilligung notwendig. Dennoch entbindet euch das nicht, einen Passus in euren Datenschutzhinweisen zu haben, dass eben pb Daten verarbeitet werden, auch wenn das ausschließlich serverseitig passiert. Denn eine IP-Adresse ist ein pb Datum. Auch wenn diese ano-/pseudonymisiert wird, stellt die Ano-/Pseudonymisierung für sich schon einen Verarbeitungsvorgang dar.
Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat eine Leitfaden online gestellt.
Dort wird auf Seite 82 erwähnt das
…Auch die Einbindung von Trackingtools zur Analyse des Nutzerverhal- tens, insbesondere, wenn dies webseitenübergreifend erfolgt und die Daten an Dritte zu deren eigenen Zwecken weitergeben werden, ist nur mit vorheriger Einwilligung der Nutzer zulässig. Das gilt sowohl für Trackingtools, die Cookies setzen als auch für das sogenannte Device Fingerprinting…
Hiernach wäre auch eine Einwilligung für Matomo ohne Cookies notwendig (Device Fingerprint)
Aktuell bin ich der Auffassung das über 6.1.f zu argumentieren.
Parallel ist es nur schwer möglich diesen Fingerprint ohne Einwilligung zu verhindern.
(technisch nicht möglich zu verhindern das eine IP verarbeitet wird)
Entweder verrenne ich mich (Urlaubsreif) oder ich übersehe was.
Du beantwortest es dir selbst. Tracking ist Messung des Nutzerverhaltens, aber keine Reichweitenmessung. In dem Dokument taucht weder Matomo noch Piwik auf. Du bist urlaubsreif
