Ist cookie-free nicht gleich consent-free? Voraussetzungen für consent-freie Seite

[chilly_bang]

Gerade sagte mir einer: cookie-free ist nicht gleich consent-free. Gleichzeitig fällt mir ein, dass die Aussagen von Etracker zu TTDSG §25 entgegen stehen.

Deshalb die Frage: was sind die Voraussetzungen für ein consent-freies Setup?

Mein Wissensstand aktuell:

• IP-Anonymisierung durch cookie-freies Tracking,

• keine technischen Cookies, wie Spracherkennung, Nutzerkonten usw.

• Privacy policy mit Informationen,

• Eigene Opt-Ins/Outs bei Prozeduren wie Newsletter Subscription.

Was würdet ihr sagen?

[staticweb]

Es gibt immer eine Grauzone bei den 3. Anbieter Ressourcen. Auch wenn das ohne Cookie abgeht wird doch die IP vom Client übermittelt und das ist aktuell in DE ein personenbezogenes Datum.

[chilly_bang]

die IP vom Client übermittelt.

Kommt darauf an, wohin. Wenn an Tracking - sollte doch kein Problem sein, wird ja anonymisiert. Wenn woanders - dann natürlich ja, is problematisch. Das ind aber wohl eher schwarze Schafe, die sich gut durch Netzwerk Monitoring festnageln lassen.

[Hanzo2012]

die IP vom Client übermittelt.

Kommt darauf an, wohin. Wenn an Tracking - sollte doch kein Problem sein, wird ja anonymisiert.

Übertragen wird sie aber erstmal nicht in anonymisierter Form, das geht technisch gar nicht anders.

Und dann versuch mal zu beweisen, dass der Tracking-Anbieter serverseitig wirklich sofort anonymisiert und niemals die Original-IP verarbeitet/speichert.

Das ist so wie "Wir schicken deine Kreditkartennummer im Klartext an unseren Tracking-Partner, aber keine Sorge, denn er hat versprochen, dass er sie anonymisiert!"

[staticweb]

> Und dann versuch mal zu beweisen, dass der Tracking-Anbieter serverseitig wirklich sofort anonymisiert und niemals die Original-IP verarbeitet/speichert.

Selbst wenn er anonymisiert und dir das in einem AV-Vertrag bestätigt wird, benötigst du die Einwilligung vom User wenn du sicher gehen willst.

Es gibt aber aktuell wohl Initiativen, die beim Thema IP-Adresse = personenbezogenes Datum etwas ändern wollen. Aber das kann dauern und der Ausgang ist ungewiss.

[Bodo99]

Es gibt aber aktuell wohl Initiativen, die beim Thema IP-Adresse = personenbezogenes Datum etwas ändern wollen. Aber das kann dauern und der Ausgang ist ungewiss.

Wäre schön. Eine IP Adresse kann technisch ja auch gar nicht personenbezogen sein, da es ja einfach nur eine zufällig generierte Nummer ist, für einen kurzen Zeitraum, die gar nichts aussagt, wer nun genau unter der IP im Netz ist. Können ja theoretisch hunderte/tausende sein. Ausnahme sind feste IP Adressen, aber das betrifft wohl die Wenigsten.

[Hanzo2012]

Es gibt aber aktuell wohl Initiativen, die beim Thema IP-Adresse = personenbezogenes Datum etwas ändern wollen. Aber das kann dauern und der Ausgang ist ungewiss.

Wäre schön. Eine IP Adresse kann technisch ja auch gar nicht personenbezogen sein, da es ja einfach nur eine zufällig generierte Nummer ist, für einen kurzen Zeitraum, die gar nichts aussagt, wer nun genau unter der IP im Netz ist. Können ja theoretisch hunderte/tausende sein. Ausnahme sind feste IP Adressen, aber das betrifft wohl die Wenigsten.

Eine IP-Adresse zusammen mit dem Zeitpunkt der Anfrage ermöglicht aber die Identifizierung des Anschluss-Inhabers. Entweder über den Provider (nur mit Gerichtsbeschluss?) oder indem man diese Information mit anderen Anbietern austauscht.

[Bodo99]

Eine IP-Adresse zusammen mit dem Zeitpunkt der Anfrage ermöglicht aber die Identifizierung des Anschluss-Inhabers. Entweder über den Provider (nur mit Gerichtsbeschluss?) oder indem man diese Information mit anderen Anbietern austauscht.

Ohne Gerichtsbeschluss, in Deutschland, kann die Adresse und der Klarname des Anschlussinhabers von Dritten nicht identifiziert werden. Insofern kann für 99,99999% der IP Abfragen niemand identifiziert werden. Und der Anschlussinhaber sagt wiederum nichts aus, wer tatsächlich zu der Zeit mit der IP auf Seite XYZ war. Schließlich könnte das jeder gewesen sein, der Zugang (auch illegal) über diesen Anschluss hatten, was sehr viele Menschen umfassen könnte.

Ein Austausch der IP Adresse führt auch nicht zur Identifizierung einer Person, sondern berechnet nur statistische Wahrscheinlichkeiten: z.B. wahrscheinlich männlich, wahrscheinlich zwischen 40-50 Jahren alt, wahrscheinlich gutes Einkommen, usw. Aber den Klarnamen mit Adresse kann auch diese statistische Berechnung nicht liefern.

Insofern kann eine IP Adresse niemals, außer für Gerichte mit einem Gerichtsbeschluss, die tatsächlichen personenbezogenen Daten ermitteln. Meine Meinung. Ich weiss, andere Autoritäten sehen das anders. In meinen Augen liegen sie hier aber falsch.

[staticweb]

> Eine IP-Adresse zusammen mit dem Zeitpunkt der Anfrage ermöglicht aber die Identifizierung des Anschluss-Inhabers.

Genau das ist der entscheidende Fakt. Da gab es übrigens letztens ein interessantes Urteil bzw. Entscheidung des EUGH, bezüglich FIN und personenbezogenem Datum.

[Hanzo2012]

Ein Austausch der IP Adresse führt auch nicht zur Identifizierung einer Person, sondern berechnet nur statistische Wahrscheinlichkeiten: z.B. wahrscheinlich männlich, wahrscheinlich zwischen 40-50 Jahren alt, wahrscheinlich gutes Einkommen, usw. Aber den Klarnamen mit Adresse kann auch diese statistische Berechnung nicht liefern.

Insofern kann eine IP Adresse niemals, außer für Gerichte mit einem Gerichtsbeschluss, die tatsächlichen personenbezogenen Daten ermitteln. Meine Meinung. Ich weiss, andere Autoritäten sehen das anders. In meinen Augen liegen sie hier aber falsch.

Sagen wir mal, du hast einen Account bei XYZ, z. B. Google, Apple, Microsoft, Facebook, Twitter, irgendwelche Shops etc. und dort ist dein Name, Adresse usw. hinterlegt. Nun weiß ein solcher Anbieter: Hans Müller, geboren am 13.11.1982, wohnhaft in der Burgstraße 17 in Würzburg, war um 14:53:18 mit der IP 80.162.212.78 unterwegs und hat den Browser XYZ benutzt. Kommt nun kurze Zeit später ein Nutzer mit derselben IP (und demselben Browser) woanders hin, dann könnten die Anbieter theoretisch die Informationen austauschen und so mit recht hoher Wahrscheinlichkeit ermitteln, wer das ist.
Klar gibt es immer Fälle, wo das nicht klappt, weil viele User sich eine IP teilen (z. B. Uni, Arbeitgeber). Aber ich würde behaupten, dass es im Großteil der Fälle klappen würde.

[Bodo99]

Wenn du dich irgendwo mit Klarnamen anmeldest und darunter im Netz bist, dann gibst du ja freiwillig deine Daten raus und solltest dich über eine weitere Verarbeitung nicht wundern. Wer das nicht will, operiert nicht mit Klarnamen im Netz. Dies obligt einzig und allein in der eigenen Willensbekundung. Ich versuche dies, soweit wie möglich, zu vermeiden, mit Klarnamen unterwegs zu sein. Mich stören daher auch keine Cookies. Mich stören vielmehr diese ständigen Cookie Consent Popups. Wobei ich immer alles akzeptiere, schon aus der Fairness heraus, dass kostenlose Inhalte nunmal mit Werbung finanziert werden müssen. Denn ansonsten gibt es bald nur noch PayWalls im Netz. Ich will das nicht.

[Hanzo2012]

Wer das nicht will, operiert nicht mit Klarnamen im Netz. Dies obligt einzig und allein in der eigenen Willensbekundung.

Schwierig, wenn man nicht auf Dinge wie Online-Shopping, Online-Banking etc. verzichten will.

[Bodo99]

Ja, schwierig. Meine Oma und meine Mutter meistern es seit Jahren mit Bravour. Kaufen daheim im Laden und gehen zur Bank mit Überweisungsträger. Und mir wäre auch neu, dass die Sparkasse Hintertupfingen beim Online Banking die IP Adressen an Dritte aus Übersee weiter gibt. VPN solls ja auch noch geben, habe ich gehört. Viele Wege führen nach Rom, wenn man denn will.

[Hanzo2012]

Und mir wäre auch neu, dass die Sparkasse Hintertupfingen beim Online Banking die IP Adressen an Dritte aus Übersee weiter gibt.

Ja, dürfen sie ja auch nicht (ohne Einwilligung), eben weil IP-Adressen personenbezogene Daten sind.

Wären sie keine personenbezogenen Daten, so wie du es forderst, dann könnten sie ohne Einwilligung z. B. Google Analytics nutzen und Google bekäme dann die vollständige IP-Adresse + URL und könnte daraus ableiten, dass Nutzer X (den sie anhand der IP, Zeitpunkt, User Agent etc. mit großer Wahrscheinlichkeit einem Google-Account zuordnen können) ein Konto bei der Sparkasse Hintertupfingen hat. Als einzelne Information nicht so dramatisch, aber die Menge macht's.

Schlimmer wär's, wenn sich jemand z. B. auf einer Seite über schwere Krankheiten informiert und Google dann daraus ableitet, dass die Person krank ist, und diese Information IP-basiert an private Krankenversicherer verkauft wird (als Service à la "sag mir eine IP und einen Zeitstempel, und wir geben dir Infos über den Gesundheitszustand der Person"). Und schwupps kriegt jemand keine Versicherung mehr angeboten oder nur mit schlechten Konditionen, weil er vorher auf den "falschen" Seiten gesurft hat.

Es wäre auch gar nicht nötig, dass Analytics eingesetzt wird, da heute eh die meisten Leute Chrome benutzen. Wären IP-Adressen keine personenbezogenen Daten, dann könnte Google einfach das komplette Surfverhalten IP-basiert tracken, direkt aus dem Chrome heraus, und daraus alles mögliche ableiten.