Ist eine DSGVO-Einwilligung notwendig für "Angemeldet bleiben"-Cookie
Wenn der Benutzer beim Anmelden ein entsprechendes Häkchen bei "Angemeldet bleiben" setzt, müsste das ja eine Dienstleistung die explizit durch den Benutzer erwünscht ist sein ("service explicitly requested by the subscriber or user"), und somit keine weitere Einwilligung bzgl. der Speicherung dieser Daten auf dem Endgerät benötigen, richtig?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1274274489
Url: https://administrator.de/contentid/1274274489
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
14 Kommentare
Neuester Kommentar
Zitat von @Frank:
...beinhalten keine persönliche Daten. Somit braucht man dafür keine Cookie-Abfrage und sie sollten auch nicht unter die DSGVO fallen. Eine Rechtssicherheit kann ich dafür aber nicht geben.
...beinhalten keine persönliche Daten. Somit braucht man dafür keine Cookie-Abfrage und sie sollten auch nicht unter die DSGVO fallen. Eine Rechtssicherheit kann ich dafür aber nicht geben.
Hallo Frank,
da der Cookie dich identifiziert, würde ich schon sagen, dass es personenbezogene Daten sind.
Gruß,
Thomas
da der Cookie dich identifiziert
Wie soll das Cookie dich denn identifizieren? Wenn ich z.B. in das Cookie nur die Werte "true" oder "false" reinschreibe, kann man da nichts identifizieren. Es ist ein Irrglaube/Unwissenheit, dass ein Cookie jemanden generell identifizieren kann.
Das Cookie selbst hat keine Möglichkeit einer Identifizierung, es ist immer nur das was in dem Cookie drin steht, was jemanden identifizieren kann. Cookies die sich z.B. die Sortierung, einen Filter, oder halt irgendwas für die Benutzung merken, dienen nicht der Identifizierung.
Das passiert erst dann, wenn man eine eindeutige ID in das Cookie reinschreibt, diese ID dann zusätzlich in eine Datenbank schreibt und diese wiederum an Dritte weiter gibt. Die dritte Partei ruft z.B. ein Banner auf der entsprechenden Seite auf, erkennt die eindeutige ID wieder und reagiert dann entsprechend darauf.
Die Politik und die Werbefirmen haben Cookies leider verbrannt und verteufelt. Cookies sind aber in ihrer "normalen" Benutzung absolut harmlos und hilfreich um sich z.B. Einstellungen für die Seite zu merken.
Wenn die Cookies also keine eindeutige ID enthalten, die zusätzlich gespeichert werden, dann besitzen sie auch keine personenbezogene Daten. Damit fallen sie nicht unter die DSGVO.
Dabei muss man sich auch die Frage stellen was sind überhaupt personenbezogene Daten. Hier ein paar Beispiele (Quelle Europäischen Union):
- Name und Vorname;
- eine Privatanschrift;
- eine E-Mail-Adresse wie vorname.nachname@unternehmen.com;
- eine Ausweisnummer;
- Standortdaten (z. B. die Standortfunktion bei Mobiltelefonen)*;
- eine IP-Adresse;
- eine Cookie-Kennung
- die Werbekennung Ihres Telefons;
- Daten, die in einem Krankenhaus oder bei einem Arzt vorliegen, die zur eindeutigen Identifizierung einer natürlichen Person führen könnten.
Beispiele für nicht personenbezogene Daten:
- Handelsregisternummer;
- eine E-Mail-Adresse wie info@unternehmen.com;
- anonymisierte Daten.
Eine "Cookie-Kennung" ist kein Cookie generell, sondern ein Cookie, was man Wiedererkennen kann - und das geht nur wenn man eine eindeutige ID in das Cookie und eine DB speichert.
Daten für die "Einstellungen/Settings" von Webseiten (wie Sortierungen, Filter, Login merken, etc.) gehören damit nicht zu den personenbezogenen Daten (es sei denn, der Entwickler schreibt noch die User-Id oder ähnliches dazu, um den User zu identifizieren - was aber unnötig wäre).
Wir verschlüsseln unsere Cookie noch zusätzlich, so das nur wir den Inhalt lesen können. Das macht dann eine Nachverfolgung für Dritte komplett unmöglich. Damit anonymisierten wir die Daten komplett.
Das alles fällt damit aus unserer Sicht nicht unter die DSGVO und wir bräuchten dafür keinen Cookie-Hinweis. Da wir aber zusätzlich auch Werbebanner schalten und diese auch Cookie setzen (und wir nicht wissen, was sie damit machen) muss der Hinweis eingeblendet werden. Das machen wir aber nicht, damit wir beim Login die "Passwort merken" Funktion nutzen können.
@GrueneSosseMitSpeck
Nee, dass gibt es nicht. Du kann in jedem Browser in der "Entwickler"-Ansicht genau sehen, was gesendet oder empfangen wird.
Browser senden von sich aus keine eindeutigen ID an irgendwelche Clouddienste. Es gibt die Möglichkeit eines Device fingerprints aber das ist aufwendig und nicht sehr genau.
Die EFF hat eine Seite dazu, um das zu testen und das Thema hier in ein PDF zusammengefasst: How Unique Is Your Web Browser?
Wenn, dann sind es immer die Webseiten selbst (oder die inkludierten Dienste (z.B. ein Werbebanner)), die eine eindeutige ID erzeugen, speichern und ggf. dann versenden. Auch Chrome-Addons können eine eindeutige ID erzeugen, warum ich persönlich niemals einen Chromebrowser nutzen werde.
pseudonymisiert... über eine GUID, die aber möglicherweise vom Browser an irgendwelchen zentralen Clouddienste gesendet werden.
Nee, dass gibt es nicht. Du kann in jedem Browser in der "Entwickler"-Ansicht genau sehen, was gesendet oder empfangen wird.
Browser senden von sich aus keine eindeutigen ID an irgendwelche Clouddienste. Es gibt die Möglichkeit eines Device fingerprints aber das ist aufwendig und nicht sehr genau.
Die EFF hat eine Seite dazu, um das zu testen und das Thema hier in ein PDF zusammengefasst: How Unique Is Your Web Browser?
Wenn, dann sind es immer die Webseiten selbst (oder die inkludierten Dienste (z.B. ein Werbebanner)), die eine eindeutige ID erzeugen, speichern und ggf. dann versenden. Auch Chrome-Addons können eine eindeutige ID erzeugen, warum ich persönlich niemals einen Chromebrowser nutzen werde.
Hallo Frank,
hier geht es um die Funktion des angemeldet bleiben. Es muss eine eindeutige Kennung vorhanden sein, da sonst eine automatische Anmeldung unter dem richtigen User doch nicht möglich sein sollte? Wenn die Seite erneut aufgerufen wird, weiß sie, dass der User Mustermann angemeldet werden soll und der Anmeldevorgang wird übersprungen.
Viele Grüße,
Thomas
hier geht es um die Funktion des angemeldet bleiben. Es muss eine eindeutige Kennung vorhanden sein, da sonst eine automatische Anmeldung unter dem richtigen User doch nicht möglich sein sollte? Wenn die Seite erneut aufgerufen wird, weiß sie, dass der User Mustermann angemeldet werden soll und der Anmeldevorgang wird übersprungen.
Viele Grüße,
Thomas
hier geht es um die Funktion des angemeldet bleiben. Es muss eine eindeutige Kennung vorhanden sein, da sonst eine automatische Anmeldung unter dem richtigen User doch nicht möglich sein sollte? Wenn die Seite erneut aufgerufen wird, weiß sie, dass der User Mustermann angemeldet werden soll und der Anmeldevorgang wird übersprungen.
Nein, muss es nicht. Es reicht ein Cookie wo entweder "true" (bleib angemeldet) oder "false" (immer wieder neu anmelden) drin steht. Das Cookie ist eine Datei, die im Browser-Cache abgelegt wird. Wird ein Wert in ein Cookie gesetzt, wird diese Datei bei dir lokal gespeichert. Damit kann diese Datei nur von dir (deinem Profil) und von deinem jeweiligen Browser geöffnet werden. Damit ist die Identifizierung für das "merken" in der Regel auch schon abgeschlossen. Ist die entsprechende Cookie-Datei vorhanden (mit true im Wert) überspring man den Login Prozess und fertig ist der automatische Login.
Will man den Vorgang etwas sicherer gestalten, kann man das Cookie zusätzlich verschlüsseln. Mann kann das Cookie natürlich noch mit zufällig generierten IDs absichern, die aus meiner Sicht aber rein technischer Natur sind und nicht zu den persönlichen Daten gehören (da man sie nicht an Dritte weitergibt und sie technisch nötig sind). In der Regel laufen diese "Merken" Cookies nach einer gewissen Zeit aus bzw. löschen sich dann selbst.
Aber letztendlich reicht die Tatsache, das es das Cookie mit dem Wert "true" und den entsprechenden Namen auf deinem Rechner gibt, um sich automatisch anzumelden. Man muss keine User-ID oder andere persönlichen Daten dazu nutzen.
Außerdem ist der Cookie-Hinweis aktuell nur dann nötig, wenn der Betreiber Daten weitergibt, so dass die User von Dritten identifizieren werden können (Tracking). Wenn die Cookies technisch intern notwendig sind (wie bei der "Merken" Funktion) braucht man dafür keinen Hinweis. Wenn irgendwann mal die "ePrivacy-Verordnung" kommt, ändert sich das bestimmt wieder.
Jetzt tritt am 01.12.2021 erst mal das neue TTDSG in Kraft. Das Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) soll dann mit dem Nebeneinander von DSGVO, Cookie-Richtlinie, TMG und TKG aufräumen.
Dann erst ist gesetzlich festgeschrieben: Wenn Sie Cookies (oder vergleichbare Informationen) setzen möchten, brauchen Sie eine echte und informierte Einwilligung.
Ausnahmen:
- technisch zwingend notwendige Cookies
- Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.
Warten wir mal ab, was "technisch zwingend notwendige Cookies" vor Gericht überhaupt sind.
Man kann also zusammenfassen:
Immer, wenn Daten durch Marketing-, Third Party- oder Tracking-Cookies erhoben und diese verarbeitet und ausgewertet werden, besteht Cookie Banner Pflicht.
Die Nutzung von technischen und Funktionalen-Cookies ist jedoch auch ohne Einwilligung möglich. Da keine Daten erhoben oder weitergegeben werden und keine Einwilligung erforderlich ist, ist somit rechtlich gesehen auch kein Cookie Banner nötig.
Wie immer, das ist keine Rechtsberatung, sondern nur unsere persönliche Meinung und Erfahrung.
P.S: Und ja, wird diese "Anmeldung merken" Cookie-Datei geklaut (z.B. Session highjacking oder direkter Zugang zum Rechner) kann man sich damit woanders einloggen. Dafür gibt es dann aber weitere technische Möglichkeiten um das Cookie abzusichern (das würden den Kommentar hier aber sprengen).
Hey,
ich muss hier nochmal genauer nachhaken. So wie du es beschreibst ist kann ein Autologin doch nicht funktionieren? Anhand eines einfachen "true" weiß der Server doch nicht, wer hier anzumelden ist. Serverseitig muss es etwas wie eine Session ID geben, die ebenfalls im Cookie hinterlegt ist und abgeglichen wird. Die Session ist wiederum deinem User zugeordnet. Damit der Autologin funktioniert, muss es eine Verbindung von Benutzerprofil der Website zum Benutzer Browser geben.
Ich habe zwar eine Quelle gefunden, die sagt, dass Session Cookies eine Notwendigkeit sind und deshalb eine Ausnahme wären, aber ohne Angabe einer Grundlage und deshalb fragwürdig. Quelle (letzter Absatz): Quelle Session Cookies
@solarium328
Das Setzen des Hakens kann als Einwilligung gesehen werden (Art 6 a). Die Einwilligung muss aber informiert erfolgen damit der Betroffene eine sachliche Entscheidung treffen kann.
Gruß,
Thomas
ich muss hier nochmal genauer nachhaken. So wie du es beschreibst ist kann ein Autologin doch nicht funktionieren? Anhand eines einfachen "true" weiß der Server doch nicht, wer hier anzumelden ist. Serverseitig muss es etwas wie eine Session ID geben, die ebenfalls im Cookie hinterlegt ist und abgeglichen wird. Die Session ist wiederum deinem User zugeordnet. Damit der Autologin funktioniert, muss es eine Verbindung von Benutzerprofil der Website zum Benutzer Browser geben.
Außerdem ist der Cookie-Hinweis aktuell nur dann nötig, wenn der Betreiber Daten weitergibt, so dass die User von Dritten identifizieren werden können (Tracking). Wenn die Cookies technisch intern notwendig sind (wie bei der "Merken" Funktion) braucht man dafür keinen Hinweis. Wenn irgendwann mal die "ePrivacy-Verordnung" kommt, ändert sich das bestimmt wieder.
Beziehst du dich da auf andere Verordnungen als die DSGVO? Die DSGVO "kennt" keine Cookies und regelt klar, dass bei Verarbeitung von personenbezogenen Daten eine Informationspflicht besteht (Art 13 Abs. 1) . Ob die Daten dabei ins Ausland gehen oder nicht, spielt keine Rolle. Wo finde ich den Verweis auf "die technische Notwendigkeit" enthebt von der Informationspflicht?Ich habe zwar eine Quelle gefunden, die sagt, dass Session Cookies eine Notwendigkeit sind und deshalb eine Ausnahme wären, aber ohne Angabe einer Grundlage und deshalb fragwürdig. Quelle (letzter Absatz): Quelle Session Cookies
@solarium328
Das Setzen des Hakens kann als Einwilligung gesehen werden (Art 6 a). Die Einwilligung muss aber informiert erfolgen damit der Betroffene eine sachliche Entscheidung treffen kann.
Gruß,
Thomas
Beziehst du dich da auf andere Verordnungen als die DSGVO?
Art 6 (1), insbesondere b) und f)"die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;"
Das ist die technische Notwendigkeit.Um den korrekten Warenkorb anzeigen zu können, muss die Session eindeutig identifizierbar sein.
Hallo Drohnald,
woher leitest du daraus ab, dass die Pflichten der DSGVO nicht notwendig wären? Daraus ergibt sich meiner Meinung nach nur, dass die Daten erfasst werden dürfen, denn grundsätzlich gilt, dass personenbezogenen Daten nicht erfasst werden dürfen. Du kannst dich in Art 13 Abs 1 lit. c bei der Angabe der Notwendigkeit auf Art 6 Abs. 1 lit. b beziehen.
Gruß,
Thomas
woher leitest du daraus ab, dass die Pflichten der DSGVO nicht notwendig wären? Daraus ergibt sich meiner Meinung nach nur, dass die Daten erfasst werden dürfen, denn grundsätzlich gilt, dass personenbezogenen Daten nicht erfasst werden dürfen. Du kannst dich in Art 13 Abs 1 lit. c bei der Angabe der Notwendigkeit auf Art 6 Abs. 1 lit. b beziehen.
Gruß,
Thomas
Hallo @Thomas2,
du hast natürlich völlig recht, der Entfall der Informationspflicht lässt sich daraus nicht direkt ableiten (sondern nur der Entfall der expliziten Zustimmung, weil die Berechtigung schon durch die technische Notwendigkeit kommt).
Insofern war meine Aussage an der Frage vorbei.
Spontan würde ich dann auch sagen: Informieren muss ich den User, dieser muss aber nur "OK, habe verstanden" sagen und nicht "OK, das erlaube ich dir".
du hast natürlich völlig recht, der Entfall der Informationspflicht lässt sich daraus nicht direkt ableiten (sondern nur der Entfall der expliziten Zustimmung, weil die Berechtigung schon durch die technische Notwendigkeit kommt).
Insofern war meine Aussage an der Frage vorbei.
Spontan würde ich dann auch sagen: Informieren muss ich den User, dieser muss aber nur "OK, habe verstanden" sagen und nicht "OK, das erlaube ich dir".
Zitat von @Thomas2:
Hey,
ich muss hier nochmal genauer nachhaken. So wie du es beschreibst ist kann ein Autologin doch nicht funktionieren? Anhand eines einfachen "true" weiß der Server doch nicht, wer hier anzumelden ist. Serverseitig muss es etwas wie eine Session ID geben, die ebenfalls im Cookie hinterlegt ist und abgeglichen wird. Die Session ist wiederum deinem User zugeordnet. Damit der Autologin funktioniert, muss es eine Verbindung von Benutzerprofil der Website zum Benutzer Browser geben.
Hey,
ich muss hier nochmal genauer nachhaken. So wie du es beschreibst ist kann ein Autologin doch nicht funktionieren? Anhand eines einfachen "true" weiß der Server doch nicht, wer hier anzumelden ist. Serverseitig muss es etwas wie eine Session ID geben, die ebenfalls im Cookie hinterlegt ist und abgeglichen wird. Die Session ist wiederum deinem User zugeordnet. Damit der Autologin funktioniert, muss es eine Verbindung von Benutzerprofil der Website zum Benutzer Browser geben.
Session-IDs und Cookies sind erst mal zwei komplett unterschiedliche Dinge. Eine Session-ID wird vom Server erzeugt und einer Browser-Sitzung zugeordnet. Wo sich beide überschneiden, ist die Art der Speicherung: Die Session-ID wird in einem eigenen Cookie gespeichert. Die Session-ID wird aber nicht in jedem Cookie gespeichert sondern nur in einem Cookie (oft mit dem Namen PHPSESSID). Sie beinhaltet eine eindeutige ID für die jeweilige Browser-Sitzung. Sie wird meist für den Login-Prozess genutzt.
Schließt man das Fenster oder den Browser ist diese Session-ID nicht mehr vorhanden. Sie wird durch eine neue Session-ID beim erneuten Öffnen ersetzt.
Ein Cookie ist permanent, eine kleine Datei und dem jeweiligen OS- oder Browserprofil zugeordnet (bis man es löscht oder es zeitlich abläuft). Egal ob du den Browser schließt oder ein neues Fenster öffnest. Ein Cookie funktioniert anhand seiner Existenz. Ist das Cookie (bzw. das Cookie-File) in deinem Browser vorhanden, dann kann der Wert des Cookies ausgelesen werden. Damit ist die Zuordnung schon gegeben. Würde man ein Cookie in ein anderes Profil deines Betriebssystems kopieren, würde auch dort der jeweilige Wert gelten.
Setze ich also ein Cookie, ist die Zuordnung zu deinem Browser bereits gegeben. Man braucht daher nicht zwingend eine User-ID um ein Autologin zu realisieren.
Da das Verfahren aber gerade beim Login nicht besonders sicher ist, erweitert man das "Merken"-Cookie in der Regel mit einer zufällig generierten ID und speichert diese verschlüsselt in das Cookie und der eigenen Datenbank auf dem Server (mit der Zuordnung zum jeweiligen User). Wird das Cookie nun aufgerufen, wird diese ID ausgelesen, mit dem Server verglichen und bei Erfolg durch eine neue ID und ein neues Cookie ersetzt. Damit hat man dann die Zuordnung zum User. Die Session-ID hat damit nichts zu tun. Auch mit dem beschriebenen sicheren Verfahren werden keine personenbezogenen Daten vom User oder ähnliches auf dem Client bzw. Browser oder Cookie gespeichert.
Außerdem ist der Cookie-Hinweis aktuell nur dann nötig, wenn der Betreiber Daten weitergibt, so dass die User von Dritten identifizieren werden können (Tracking). Wenn die Cookies technisch intern notwendig sind (wie bei der "Merken" Funktion) braucht man dafür keinen Hinweis. Wenn irgendwann mal die "ePrivacy-Verordnung" kommt, ändert sich das bestimmt wieder.
Beziehst du dich da auf andere Verordnungen als die DSGVO? Die DSGVO "kennt" keine Cookies und regelt klar, dass bei Verarbeitung von personenbezogenen Daten eine Informationspflicht besteht (Art 13 Abs. 1) . Ob die Daten dabei ins Ausland gehen oder nicht, spielt keine Rolle. Wo finde ich den Verweis auf "die technische Notwendigkeit" enthebt von der Informationspflicht?Ich habe zwar eine Quelle gefunden, die sagt, dass Session Cookies eine Notwendigkeit sind und deshalb eine Ausnahme wären, aber ohne Angabe einer Grundlage und deshalb fragwürdig. Quelle (letzter Absatz): Quelle Session Cookies
Die DSGVO verlangt, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden. Die DSGVO regelt aber das Problem "Cookies" und "Cookiebanner" nicht ausdrücklich. Das sollte eigentlich die ePrivacy-Verordnung tun. Diese ist aber weiterhin nicht in Kraft. Es gibt EuGH Urteile, nachdem sich aktuell gerichtet wird, aber mehr Rechtssicherheit gibt es wohl erst am 01.12.2021, wenn die TTDSG gilt (wobei ich diese auch nicht für wirklich gut gelungen halte).
Generell geht es nicht darum, ob Daten ins Ausland gehen, sondern ob Daten an Dritte rausgegeben werden (egal wo die sitzen).
Die "Cookiebanner" oder Cookie-Abfragen, so wie sie heute sind, beziehen sich alle auf ein Urteil vom EuGH zu Cookies und dem Facebook Like-Button (Urteil vom 1. Oktober 2019, Az. C-673/17). Das hat erst mal nichts mit der DSGVO zu tun, die regelt nur die Informationspflicht für Cookies in der Datenschutzerklärung nicht aber die Cookie Popup-Hinweise dazu. Das macht aktuell noch das EuGH-Urteil.
Da die meisten "Sharing"-Buttons, Tools und Plug-Ins, vor allem von US-amerikanischen Diensten, ungefragt Nutzerdaten übertragen, gilt das EuGH Urteil entsprechend auch für diese Dienste.
Wenn man das EuGH Urteil genauer betrachtet, geht es im Kern um die Weitergabe von Daten durch Tracking. Nicht mehr, nicht weniger.
Im EuGH Urteil findet man dann auch die Hinweise, was noch erlaubt ist: First Party Cookies, die für die reibungslose Darstellung und Nutzung der Website erforderlich sind, dürfen auch ohne Zustimmung gesetzt werden. Zu diesen zählen z.B.:
- Warenkorb-Cookies
- Cookies für LogIns
- Cookies die eine Länder- oder Sprachauswahl betreffen
- Cookies zum Sortieren
- etc.
Session-Cookies und auch normale Cookies sind davon nicht betroffen, weil hier keine persönlichen Daten erfasst oder verarbeitet werden. Was persönliche Daten sind habe ich oben ja schon erläutert (mit Quellenangabe: Europäischen Union).
Ich denke, die Auffassung, was personenbezogene Daten sind und was nicht ist hier der Knackpunkt. Nicht alles was ein User angibt sind gleich personenbezogene Daten und nicht alles was wir intern für die Verarbeitung benutzen sind personenbezogene Daten.
Die Funktion "Passwort merken" kann komplett ohne personenbezogene Daten realisiert werden. Da in dem Fall sowieso keine Daten an Dritte fürs Tracken etc. weitergegeben werden, benötig es auch kein Cookie-Banner.
Cookies gehören im Allgemeinen weder zur DSGVO noch zu dem EuGH Urteil. Das hat die Politik nur ungeschickt ausgedrückt. Cookies sind weder persönlich, noch gut oder böse. Es sind lediglich kleine Textdateien, die über eine Webseite im Internetbrowser eines Nutzers gespeichert werden können. Sie sind am Anfang zustandslos und besitzen keine Eindeutigkeit. Erst wenn man zuordbare IDs in Cookies speichert und damit ein Tracking realisiert, greift die DSGVO und auch das EuGH Urteil.
Aus technischer Sicht, wäre eine Authentifizierung im Internet ohne Session-ID oder Cookies (AUTH2) nicht möglich, daher sind sie auch nach TTDSG weiterhin ohne Zustimmung als technisch zwingend notwendige Ausnahmen erlaubt.
Puh, das war jetzt echt viel. Wenn es gefallen oder geholfen hat, dann freue ich mich über einen Klick auf das "Herz"-Symbol. Danke
Guten Morgen zusammen,
Danke für die Erklärung, ich denke, mir ist jetzt einiges klarer und wir reden an einigen Punkten aneinander vorbei.
Der Punkt ist für mich ziemlich klar. Es geht im Topic explizit um die Funktion des Autologins, was nur in Verbindung personenbezogenen Daten geht, da du sonst nicht das entsprechende Nutzerprofil aufrufen kannst. Ohne einen Bezug zwischen Anwender und Websiteprofil kannst du den Autologin nicht machen. Jegliche Kennung, die ich zur Identifizierung (direkt oder indirekt) einer Person nutzen kann, ist ein personenbezogenes Merkmal. Die Kennung erzeugt zwar der Dienstleister selber, aber das macht eine Firma mit einer Personalnummer auch. Die Kennung hinterlegst du in einem Cookie (oder wo auch immer) und diese wird beim Aufruf der Website abgeglichen und bei Treffer wird der Browser mit dem dazu verknüpften Benutzerprofil automatisch angemeldet. Dein zitiertes Urteil sieht das genauso (Abschnitt 45, Verweis).
Lassen wir den Begriff Cookie einfach weg da die technische Art und Weise, wie die Daten gespeichert werden keine Rolle spielt und einigen wir uns darauf, dass eine personenbezogene Information gespeichert wird. Die Verwendung erfolgt ohne Weitergabe an Dritte (Keine Ahnung, warum ich oben "Ausland" geschrieben, du hast natürlich Recht mit Dritte") ist auch eindeutig beim Autologin. Wenn ich personenbezogene Daten verarbeiten möchte, muss ich die DSGVO beachten. Eine Möglichkeit, mir das Recht auf eine Verarbeitung zu holen ist über eine Zustimmung des Betroffenen. Diese Zustimmung ist nicht notwendig, wenn technisch erforderlich (Richtlinie 2002/58/EG Art. 5 Abs. 3).
Damit habe ich nur einen Teil der DSGVO erfüllt und darauf versuche ich hinzuweisen. Es gibt noch weitere Pflichten die zu erfüllen sind:
Auszug aus Wikipedia:
Wikipedia
Dies gilt jedoch nicht für Cookies welche für den Betrieb einer Internetseite zwingend erforderlich sind. Dies sind zum Beispiel Cookies zur Speicherung eines Warenkorbes in einem Online-Shop, eines Logins in einem Content-Management-System oder von Anzeigeeinstellungen wie Schriftgröße oder Kontrast im Rahmen der Barrierefreiheit.[15][16] Diese können auch ohne Zustimmung der betroffenen Person auf deren Endgerät gespeichert werden. Dennoch muss in den Datenschutzinformationen auf die Verwendung dieser Cookies hingewiesen werden.
Der letzte Satz entspricht meinem Standpunkt der Dinge.
Ich nehme an, der Begriff "Cookie-Banner" wird ausschließlich für Informationsblöcke verwendet, die eine Zustimmung des Anwenders einfordern. Deshalb wäre ein Cookie-Banner in diesem Sinne nicht notwendig, aber dann muss die Informationspflicht anderweitig erfüllt werden.
Mein Standpunkt zu diesem Thema ist, um es klarer zum Ausdruck zu bringen, dass die DSGVO nicht außer Kraft gesetzt wird, nur weil die Speicherung der personenbezogenen Daten technisch notwendig ist und ich z.B. der Informationspflicht nachkommen muss, wenn ich diese Daten erfasse und zwar, bevor ich dies tue.
Ich hoffe, dass mein Standpunkt jetzt klarer ist.
viele Grüße,
Thomas
Danke für die Erklärung, ich denke, mir ist jetzt einiges klarer und wir reden an einigen Punkten aneinander vorbei.
Ich denke, die Auffassung, was personenbezogene Daten sind und was nicht ist hier der Knackpunkt. Nicht alles was ein User angibt sind gleich personenbezogene Daten und nicht alles was wir intern für die Verarbeitung benutzen sind personenbezogene Daten.
Lassen wir den Begriff Cookie einfach weg da die technische Art und Weise, wie die Daten gespeichert werden keine Rolle spielt und einigen wir uns darauf, dass eine personenbezogene Information gespeichert wird. Die Verwendung erfolgt ohne Weitergabe an Dritte (Keine Ahnung, warum ich oben "Ausland" geschrieben, du hast natürlich Recht mit Dritte") ist auch eindeutig beim Autologin. Wenn ich personenbezogene Daten verarbeiten möchte, muss ich die DSGVO beachten. Eine Möglichkeit, mir das Recht auf eine Verarbeitung zu holen ist über eine Zustimmung des Betroffenen. Diese Zustimmung ist nicht notwendig, wenn technisch erforderlich (Richtlinie 2002/58/EG Art. 5 Abs. 3).
Damit habe ich nur einen Teil der DSGVO erfüllt und darauf versuche ich hinzuweisen. Es gibt noch weitere Pflichten die zu erfüllen sind:
Auszug aus Wikipedia:
Wikipedia
Dies gilt jedoch nicht für Cookies welche für den Betrieb einer Internetseite zwingend erforderlich sind. Dies sind zum Beispiel Cookies zur Speicherung eines Warenkorbes in einem Online-Shop, eines Logins in einem Content-Management-System oder von Anzeigeeinstellungen wie Schriftgröße oder Kontrast im Rahmen der Barrierefreiheit.[15][16] Diese können auch ohne Zustimmung der betroffenen Person auf deren Endgerät gespeichert werden. Dennoch muss in den Datenschutzinformationen auf die Verwendung dieser Cookies hingewiesen werden.
Der letzte Satz entspricht meinem Standpunkt der Dinge.
Ich nehme an, der Begriff "Cookie-Banner" wird ausschließlich für Informationsblöcke verwendet, die eine Zustimmung des Anwenders einfordern. Deshalb wäre ein Cookie-Banner in diesem Sinne nicht notwendig, aber dann muss die Informationspflicht anderweitig erfüllt werden.
Mein Standpunkt zu diesem Thema ist, um es klarer zum Ausdruck zu bringen, dass die DSGVO nicht außer Kraft gesetzt wird, nur weil die Speicherung der personenbezogenen Daten technisch notwendig ist und ich z.B. der Informationspflicht nachkommen muss, wenn ich diese Daten erfasse und zwar, bevor ich dies tue.
Ich hoffe, dass mein Standpunkt jetzt klarer ist.
viele Grüße,
Thomas
Hi Thomas,
Der Abschnitt 45 im EuGH Urteil bezieht sich auf eine permanente ID, die fest dem Datensatz zugeordnet ist. Das wäre bei dem oben beschriebenen Autologin aber nicht der Fall. Die IDs, die erzeugt werden, sind temporär, ändern sich permanent und werden dann wieder gelöscht. Es sind Einmalschlüssel. Die eigentliche User-ID wird dabei nie verwendet, übertragen oder angezeigt. Die zufällig erzeugten IDs können von niemanden interpretiert oder zugeordnet werden.
Leider habe ich zu Einmalschlüssel oder temporären personenbezogenen Zuordnungen kein EuGH Urteil oder ähnliche Rechtsverbindlichkeiten gefunden. Letztendlich sagt die DSGVO nur, dass verschlüsselte Daten unter das Datenschutzrecht fallen können: Je nach Technik und Stand variiert das Thema. Ob aber Einmalschlüssel jetzt personenbezogenen Daten sind, kann ich abschließend nicht beurteilen. Interessant wäre es aber, da jegliche Logins im Internet per AUTH Variante (Einmalschlüssel in den Auth-Cookies oder Auth-Headern) dann personenbezogene Daten wären (AUTH funktioniert ähnlich wie oben das beschriebene Autologin und erzeugt Einmalschlüssel mit temporären Bezug auf den jeweiligen User). Vorstellen kann ich es mir nicht, aber das müsste jemand per Urteil oder Gesetz festlegen.
Das sehe ich genauso, daher gibt es ja die Datenschutzerklärung, wo man laut DSGVO über den Einsatz bzw. die Benutzung von Cookies informieren muss.
Die ursprüngliche Frage war aber, ob eine DSGVO-Einwilligung notwendig sei. Gut eine "DSGVO-Einwilligung" gibt es generell nicht, aber ich denke der Autor meinte die Cookie-Banner Abfrage (die es nur wegen des oben genannten EuGH Urteils gibt, aber nicht wegen der DSGVO Verordnung).
Das ist aus meiner Sicht aber nicht der Fall, es reicht wenn die Informationspflicht nach DSGVO in der Datenschutzerklärung eingehalten wird. Man braucht für den Autologin keine Cookie-Banner für die Einwilligung. Außerdem liegt die Einwilligung in dem Moment vor, wenn der User selbst auf "Merken" klickt. Aber wie schon gesagt, dass ist nur meine persönliche Meinung und keine Rechtsberatung.
Klar, dafür ist die Datenschutzerklärung ja da.
Gruß
Frank
Jegliche Kennung, die ich zur Identifizierung (direkt oder indirekt) einer Person nutzen kann, ist ein personenbezogenes Merkmal.
Der Abschnitt 45 im EuGH Urteil bezieht sich auf eine permanente ID, die fest dem Datensatz zugeordnet ist. Das wäre bei dem oben beschriebenen Autologin aber nicht der Fall. Die IDs, die erzeugt werden, sind temporär, ändern sich permanent und werden dann wieder gelöscht. Es sind Einmalschlüssel. Die eigentliche User-ID wird dabei nie verwendet, übertragen oder angezeigt. Die zufällig erzeugten IDs können von niemanden interpretiert oder zugeordnet werden.
Leider habe ich zu Einmalschlüssel oder temporären personenbezogenen Zuordnungen kein EuGH Urteil oder ähnliche Rechtsverbindlichkeiten gefunden. Letztendlich sagt die DSGVO nur, dass verschlüsselte Daten unter das Datenschutzrecht fallen können: Je nach Technik und Stand variiert das Thema. Ob aber Einmalschlüssel jetzt personenbezogenen Daten sind, kann ich abschließend nicht beurteilen. Interessant wäre es aber, da jegliche Logins im Internet per AUTH Variante (Einmalschlüssel in den Auth-Cookies oder Auth-Headern) dann personenbezogene Daten wären (AUTH funktioniert ähnlich wie oben das beschriebene Autologin und erzeugt Einmalschlüssel mit temporären Bezug auf den jeweiligen User). Vorstellen kann ich es mir nicht, aber das müsste jemand per Urteil oder Gesetz festlegen.
Deshalb wäre ein Cookie-Banner in diesem Sinne nicht notwendig, aber dann muss die Informationspflicht anderweitig erfüllt werden.
Das sehe ich genauso, daher gibt es ja die Datenschutzerklärung, wo man laut DSGVO über den Einsatz bzw. die Benutzung von Cookies informieren muss.
Die ursprüngliche Frage war aber, ob eine DSGVO-Einwilligung notwendig sei. Gut eine "DSGVO-Einwilligung" gibt es generell nicht, aber ich denke der Autor meinte die Cookie-Banner Abfrage (die es nur wegen des oben genannten EuGH Urteils gibt, aber nicht wegen der DSGVO Verordnung).
Das ist aus meiner Sicht aber nicht der Fall, es reicht wenn die Informationspflicht nach DSGVO in der Datenschutzerklärung eingehalten wird. Man braucht für den Autologin keine Cookie-Banner für die Einwilligung. Außerdem liegt die Einwilligung in dem Moment vor, wenn der User selbst auf "Merken" klickt. Aber wie schon gesagt, dass ist nur meine persönliche Meinung und keine Rechtsberatung.
Mein Standpunkt zu diesem Thema ist, um es klarer zum Ausdruck zu bringen, dass die DSGVO nicht außer Kraft gesetzt wird, nur weil die Speicherung der personenbezogenen Daten technisch notwendig ist und ich z.B. der Informationspflicht nachkommen muss, wenn ich diese Daten erfasse und zwar, bevor ich dies tue.
Klar, dafür ist die Datenschutzerklärung ja da.
Gruß
Frank