it-swarm.com.de

Sind Sitzungscookies gemäß DSGVO von der Zustimmung ausgenommen?

Session-Cookies - Cookies, die nur für die Dauer der aktuellen Sitzung gültig sind - sind im Sinne der EU-Datenschutzbemühungen wohl kein Tracking-Tool.

Unter alten EU-Cookie-Regeln schienen sie von der Anforderung, die Zustimmung des Benutzers einzuholen, ausgenommen zu sein:

Cookies, die laut EU-Beratungsgremium für Datenschutz-WP29pdf eindeutig von der Zustimmung ausgenommen sind, umfassen:

  • benutzereingabe-Cookies (Sitzungs-ID), z. B. Erstanbieter-Cookies, mit denen die Benutzereingaben beim Ausfüllen von Online-Formularen, Warenkörben,
    etc., für die Dauer einer Sitzung oder dauerhafte Cookies beschränkt auf
    in einigen Fällen einige Stunden
  • authentifizierungs-Cookies, um den Benutzer zu identifizieren, sobald er sich angemeldet hat, und zwar für die Dauer einer Sitzung
  • benutzerorientierte Sicherheits-Cookies, die zur Erkennung von Authentifizierungsmissbrauch für eine begrenzte Dauer verwendet werden
  • cookies für Player für Multimedia-Inhalte, in denen technische Daten für die Wiedergabe von Video- oder Audioinhalten für die Dauer einer Sitzung gespeichert werden
  • lastausgleichs-Cookies für die Dauer der Sitzung
  • anpassungscookies für die Benutzeroberfläche, z. B. Sprach- oder Schrifteinstellungen, für die Dauer einer Sitzung (oder etwas länger)
  • cookies zum Teilen von Inhalten durch Social Plug-Ins von Drittanbietern für eingeloggte Mitglieder eines sozialen Netzwerks.

Mir ist klar, dass es einige Dinge gibt, die man mit Sicherheit über die DSGVO sagen kann, aber gibt es Hinweise darauf, wie Session-Cookies nach dem neuen Gesetz behandelt werden?

7
Pekka 웃

Ich habe mir das auch angesehen und glaube, dass sie unter die Kategorie pseudonymous fallen (die meisten Informationen stammen von dieser hilfreiche Seite ):

Artikel 4 Absatz 5
„Pseudonymisierung“ bezeichnet die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen separat aufbewahrt werden und Gegenstand dieser Informationen sind technische und organisatorische Maßnahmen, um sicherzustellen, dass die personenbezogenen Daten keiner bestimmten oder bestimmbaren natürlichen Person zugeordnet werden;

Und zum Umgang mit pseudonymen Daten:

Erwägungsgrund 26 (Auszug)
Personenbezogene Daten, die einer Pseudonymisierung unterzogen wurden und durch die Verwendung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die mit vernünftiger Wahrscheinlichkeit eingesetzt werden, z. B. das Herausgreifen entweder durch den für die Verarbeitung Verantwortlichen oder durch eine andere Person, um die natürliche Person direkt oder indirekt zu identifizieren Es ist vernünftigerweise wahrscheinlich, dass zur Identifizierung der natürlichen Person alle objektiven Faktoren wie die Kosten und der Zeitaufwand für die Identifizierung berücksichtigt werden, wobei die zum Zeitpunkt der Verarbeitung und der technologischen Entwicklung verfügbare Technologie zu berücksichtigen ist.

Meine Interpretation lautet wie folgt:

  • Ein Sitzungscookie könnte möglicherweise mit Daten gepaart werden, die vom Webserver gespeichert werden, um identifizierbar (pseudonym) zu werden.
  • In Anbetracht der erforderlichen Mittel, des Zeitaufwands und des geringen Nutzens können wir davon ausgehen, dass dies nicht wahrscheinlich ist , weshalb eine Sitzungs-ID nicht identifizierbar ist .

Mehr aus Erwägungsgrund 26 Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, nämlich für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder für personenbezogene Daten, die auf solche Weise anonymisiert werden, dass die Daten Betreff ist nicht oder nicht mehr identifizierbar. Diese Verordnung betrifft daher nicht die Verarbeitung solcher anonymer Informationen, auch nicht zu statistischen oder Forschungszwecken.

Sie regulieren dich nicht, wenn the data subject is not or no longer identifiable.

Dies müsste natürlich Cookie für Cookie bewertet werden. Die personenbezogenen Daten, um die es geht, unterscheiden sich erheblich zwischen einem Webserver-Sitzungscookie und einem Google- oder Facebook-Tracking-Cookie, sodass sich reasonably likely ändert.

Verweise

Online PDF der vollständigen amtlichen Regelung:
http://eur-Lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&qid=1490179745294&from=de

Online-Viewer zur Regulierung:
https://gdpr-info.eu/

Seite über Anonymisierung und Pseudonymisierung:
https://iapp.org/news/a/looking-to-comply-with-gdpr-heres-a-primer-on-anonymization-and-pseudonymization/

7
Ian