Follow

Meine Untersuchung zeigt: Vor allem Onlineshops sind teilweise weit vom Gesetz entfernt. Bei der Einwilligung wird hart getrickst und bevor man den OK-Button klickt, sollte man wirklich mal genauer nachlesen.
rufposten.de/blog/2020/06/22/t

Zum Beispiel bei Zalando: Hier willigt man auf der Startseite ein, dass die Verhaltensdaten auf der Website mit der E-Mail an Facebook und Google hochgeladen werden dürfen 😱

Show thread

@rufposten
Wie viele Besucher werden das aktivieren? Ach nee, ist ja schon die detailliertere Version unter "Einstellungen".

D., der die Seite gerade zum Nachvollziehen in 2 Browsern aufgerufen hat.

Mit uBlock Origin wird die Abfrage nicht angezeigt, aber auf der Startseite und auch in der Datenschutzerklärung würden gern Google Analytics und Tag Manager aktiv sein.

Im anderen drängelt sich die Nudging-Abfrage ins Bild. "Geht klar" ist viel breiter und ansprechender als "Einstellugnen".

@rufposten

> Über die Hälfte schaltet zumindest die fünf untersuchten Tracker aus, wenn keine Einwilligung vorliegt.

ÜBER DIE HÄLFTE na meine Güte, das klingt ja paradisisch, dass sich die Mehrheit ans Recht hält.

man stelle sich so eine (scheinbar positive) Formulierung mal in anderen Zusammenhängen vor:

"Über die Hälfte der Supermarktkunden klauen gar nichts"
"Über die Hälfte der Polizisten hat noch nie jemanden tot geprügelt" oder
"Über die Hälfte alle Lehrer bewerten ihre Schüler fair"

@rufposten
1/2
Hallo Matthias, ich habe zwei Rückfragen.

Irrtum #1: Alle anderen möglichen Maßnahmen einmal bei Seite - Kann 1st-party-isolation in FF ein Schutz gegen das Verbinden eines Logins innerhalb des gleichen Browsers mit den Aktivitäten innerhalb der anderen Tabs sein?

@rufposten 2/2
Google Analytics:
Da ich ungern meine Haube hochfahre (FF dicht mit uBo, DNSCrypt-client mit Wildcard-Filtern, DNSForge &co), würde mich bei Deiner Einschätzung, ob ein GA "Tracker" aktiv ist, interessieren, ob Du Dir angesehen hast in welcher Art Google Analytics genutzt wird? Ob z.B. in der Datenschutzerklärung auf die Nutzung der "Anonymisierungsoption" oder dem Nichtteilen der Ergebnisse für Google-eigene Zwecke hingewiesen wird.

@rufposten 3/2 ;-)
Fast einstimmige Meinung der Juristen:
Die Nutzung von GA und GA-Cookies ist auch nach dem Planet49-Urteil, zu reinen Analyse-Zwecken des Website-Betreibers ohne Einwilligung der Betroffenen möglich.
tbc - Urteilstext steht aus ...

@obs Das kann ich mir nicht vorstellen. Bin kein Jurist, aber habe den Eindruck, das manche sich das als Theorie-Idee schönreden. Google kann nicht per AGB eine Riesenliste von Tracking zulassen und dann behaupten, man ist mit dem Häkchen "Daten werden nicht für Verbesserung von Google Diensten verwendet" wieder raus aus der eigenen Nutzung und AV.

Hinzu kommt nach wie vor die fehlende Umsetzung der Auskunftspflichten.

Bestätigt auch die letzte Stellungnahme der DSK: datenschutzkonferenz-online.de

@rufposten Ich habe mir das DSK-Papier gerade noch einmal angesehen: Behandelt nur die Standard-Voreinstellungen GA. * Neben dem Auftragsverarbeitungsverhältnis wird auf das (Fußnote 5) Controller to Controller Verhältnis in den Google Measurement Controller-Controller Data Protection Terms verwiesen. Ob dieses greift, wird nicht klar. Aber klar wird, (Fußnote 6) dass auch das DSK-Papier noch einmal auf die "zu eigenen Zwecken"-Option eingeht. Diese lässt sich deaktivieren und man bleibt im...

@rufposten Rahmen einer Auftragsverarbeitung. So zumindest könnte eine Vermutung sein. * Das DSK-Papier bringt unter IV. Maßnahmen auch den Hinweis auf „_anonymizeIp(). Die Implementierung lässt sich auch gut auf HPs checken.

@rufposten Es ist also durchaus möglich GA so zu nutzen, dass die Bewertung der DSK keine Hilfe ist.

Eine große Unklarheit besteht aber auch unabhängig davon weiter. Betroffenenrechte werden "selbstverständlich" eher nicht gewahrt. Das ist ein Problem und trifft gemäß DSGVO letzlich den Verantwortlichen, den Website-Betreiber, falls kein C2C entsteht.

@obs Ja, stimmt zwar, steht so im DSK-Papier drin, aber die Beurteilung, dass man nicht per Häkchen zum Auftragsverarbeiter wird, hat ja gerade fürs Deaktivieren Gültigkeit. Die Meinung teilt auch hier der RA Peter Hense.

twitter.com/JoNehlsen/status/1

@rufposten Herr Hense macht deutlich, dass man im angelsächsischen oft personalidentifiable information (PII) mit personal data der GDPR verwechselt. Da bin ich voll dabei.

Auch wenn ich, wie wohl viele außer Google, kann nicht sagen, ob ausschließlich eine Auftragsverarbeitung bei GA stattfindet.
Lassen wir das offensichtlich nichtvertrauenswürdige Google bei Seite.
Ich finde, das taucht auch im Thread auf, die wie so oft sehr ausführliche Analyse von Fr. Diercks gut: diercks-digital-recht.de/2020/

@rufposten Sie kommt zu dem Schluss, und darauf zielte ich am Anfang ab, dass eine reine Auswertung des Website-Betreibers wie z.B. Besucherströme etc. immer noch auf der Rechtsgrundlage berechtigtes Interesse fußen kann.
Es muss ja nicht Google sein. Es kann ja auch ein nicht selbstgehostetes Matomo sein. Das Planet49-Urteil hat Klarheit wie eine Einwilligung auszusehen hat gebracht. Leider hat es uns aber nicht weitergebracht in der Frage wann eine Einwilligung nötig ist.

@obs Ja, das stimmt, das sehe ich ebenfalls so, bzw. da kann ich die Rechtsmeinung nachvollziehen.

@obs Und das AV-Konstrukt ist soooo dünnes Eis. Überleg mal, der Websitebetreiber muss belegen, dass er den AV kontrolliert und dass der sicher keine Daten für eigene Zwecke verwendet. Vor Gericht kann er aber aber nur sagen: "Naja, hab zwar Google zunächst erlaubt, Daten für "Zwecke zur "Bereitsstellung" zu verwenden, dann aber Häkchen raus bei "Verbesserung von Diensten". Aber was das bedeutet, weiß ich nicht. :mastolaughing:

Datenschutzrecht und Datenverarbeitung liegen oft sehr weit auseinander. Leider.
Und das liegt genau an der Schnittstelle. Nicht alle Juristen können die Technik verstehen und nicht alle Techies können Jura verstehen. Da muss einfach mehr Zusammenarbeit passieren, dann könnte sich (noch) mehr bewegen.

@obs Jein, das sollte in der Masse der Ad-Tech-Firmen meist reichen, da ich noch kein Werbetracking mit Fingerprinting belegen konnte. Habe aber einen Verdacht auf IP-Heuristiken.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!