Sind Sitzungscookies gemäß GDPR von der Zustimmung ausgenommen?

8

Sitzungscookies - Cookies, die nur für die Dauer der aktuellen Sitzung gültig sind - sind im Sinne der Datenschutzbemühungen der EU wohl kein Tracking-Tool.

Nach den alten EU-Cookie-Regeln schienen sie von der Verpflichtung zur Einwilligung des Benutzers ausgenommen zu sein:

Cookies, die laut EU-Beratungsgremium zum Datenschutz eindeutig von der Einwilligung ausgenommen sind - WP29pdf:

  • Benutzereingabe-Cookies (Sitzungs-ID), z. B. Erstanbieter-Cookies, um die Benutzereingaben beim Ausfüllen von Online-Formularen, Einkaufswagen
    usw. für die Dauer einer Sitzung zu verfolgen, oder dauerhafte Cookies, die
    in einigen Fällen auf einige Stunden begrenzt sind
  • Authentifizierungs-Cookies, um den Benutzer nach der Anmeldung für die Dauer einer Sitzung zu identifizieren
  • Benutzerzentrierte Sicherheitscookies, die zur Erkennung von Authentifizierungsmissbräuchen für eine begrenzte Dauer verwendet werden
  • Cookies für Multimedia-Content-Player, mit denen technische Daten für die Wiedergabe von Video- oder Audioinhalten für die Dauer einer Sitzung gespeichert werden
  • Cookies zum Lastenausgleich für die Dauer der Sitzung
  • Anpassungscookies für die Benutzeroberfläche, z. B. Sprach- oder Schriftarteneinstellungen, für die Dauer einer Sitzung (oder etwas länger)
  • Cookies zum Teilen von Inhalten von Drittanbietern für angemeldete Mitglieder eines sozialen Netzwerks.

Mir ist klar, dass es einige Dinge gibt, die man mit Sicherheit über die DSGVO sagen kann, aber gibt es Hinweise darauf, wie Sitzungscookies nach dem neuen Gesetz behandelt werden?

Pekka
quelle

Antworten:

7

Ich habe mir das auch angesehen und glaube, dass sie unter die Kategorie der pseudonymousDaten fallen (die meisten Informationen stammen von dieser hilfreichen Seite ):

Artikel 4 Absatz 5
„Pseudonymisierung“ bezeichnet die Verarbeitung personenbezogener Daten so, dass die personenbezogenen Daten ohne Verwendung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und Gegenstand sind technische und organisatorische Maßnahmen, um sicherzustellen, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden;

Und zum Umgang mit pseudonymen Daten:

Erwägungsgrund 26 (Auszug)
Personenbezogene Daten, die einer Pseudonymisierung unterzogen wurden und die einer natürlichen Person durch die Verwendung zusätzlicher Informationen zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise wahrscheinlich verwendet werden, z. B. das Herausgreifen entweder durch den für die Verarbeitung Verantwortlichen oder durch eine andere Person, um die natürliche Person direkt oder indirekt zu identifizieren. Um festzustellen, ob Mittel vorhanden sind Es ist vernünftigerweise wahrscheinlich, dass zur Identifizierung der natürlichen Person alle objektiven Faktoren wie die Kosten und die für die Identifizierung erforderliche Zeit berücksichtigt werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und die technologischen Entwicklungen zu berücksichtigen sind.

Meine Interpretation lautet:

  • Eine Session - Cookie könnte möglicherweise mit den Web - Server gespeicherten Daten gepaart wird identifizierbar (pseudonyme) zu werden.
  • In Anbetracht der erforderlichen Mittel, des Zeitaufwands und des geringen Nutzens können wir dies als nicht wahrscheinlich erachten , daher ist eine Sitzungs-ID nicht identifizierbar.

Mehr aus Erwägungsgrund 26 Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, nämlich Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder auf personenbezogene Daten, die anonymisiert wurden, so dass die betroffene Person nicht oder nicht mehr identifizierbar ist . Diese Verordnung betrifft daher nicht die Verarbeitung solcher anonymer Informationen, auch nicht zu statistischen oder Forschungszwecken.

Sie regulieren dich nicht, wenn the data subject is not or no longer identifiable.

Dies müsste natürlich von Cookie zu Cookie bewertet werden. Die persönlichen Informationen, um die es geht, unterscheiden sich stark zwischen einem Webserver-Sitzungscookie und einem Google- oder Facebook-Tracking-Cookie und reasonably likelyändern sich daher .

Verweise

Online-PDF der vollständigen offiziellen Bestimmungen:
http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&qid=1490179745294&from=de

Online-Viewer für die Regulierung:
https://gdpr-info.eu/

Seite über Anonymisierung und Pseudonymisierung:
https://iapp.org/news/a/looking-to-comply-with-gdpr-heres-a-primer-on-anonymization-and-pseudonymization/

Ian
quelle