Google Analytics und die EU-Cookie-Richtlinie. Wer wird gegen das Gesetz verstoßen? Google oder der Entwickler?

16

Daher verwendet Google Cookies, um die üblichen Aufgaben zur Verfolgung von Nutzern auf einer Website zu erfüllen. Das ist es aber nur; Google setzt die Cookies und nicht Ihre Website als solche. Dies liegt daran, dass das JS von Google gehostet und lediglich in Ihre Webseite aufgenommen wird.

Wolf Software, die ein jQuery-Plugin veröffentlicht haben, um die Zustimmung eines Benutzers einzuholen, bevor GA zugelassen wird, scheint zu implizieren, dass es sich um das Entwicklerproblem auf der zugehörigen Webseite handelt.

Ist dies dann möglicherweise das Problem von Google, wenn der ICO klopft, oder sollte der Entwickler GA nicht implementiert haben, wenn er das potenzielle Cookie-Problem kennt?

Treffynnon
quelle

Antworten:

10

Die kurze Antwort lautet: Niemand weiß es noch.

Die lange Antwort lautet, dass Cookies von Drittanbietern ein trüber Bereich sind. Aus der Richtlinie (PDF) geht nicht hervor, wer wegen Nichteinholung der Zustimmung zum Speichern von Cookies von Drittanbietern strafrechtlich verfolgt wird.

Die aktuelle Interpretation und Empfehlung des ICO, veröffentlicht in "Änderungen der Regeln zur Verwendung von Cookies ..." , räumt ein, dass sie nicht wissen, wie die Richtlinie auf Cookies von Drittanbietern angewendet wird:

"Der Prozess, um die Zustimmung für diese Cookies von [Drittanbietern] zu erhalten, ist komplexer, und wir sind der Ansicht, dass jeder eine Rolle spielen muss, um sicherzustellen, dass der Benutzer weiß, was von wem gesammelt wird."

Betonung meiner. Sie sagen nicht, wer dafür verantwortlich ist, nur, dass jemand dafür verantwortlich ist. Darüber hinaus sagen sie, dass sie versuchen, diese Regeln zu klären:

"Cookies von [Drittanbietern] können die größte Herausforderung für die Einhaltung der neuen Vorschriften darstellen. Wir arbeiten mit der Industrie und anderen europäischen Datenschutzbehörden zusammen, um bei der Behebung von Komplexitäten und der Suche nach den richtigen Antworten behilflich zu sein."

Sie erwarten, dass diese Dienste von Dritten

... wird sich ohne Zweifel anpassen, um die Einhaltung der neuen Regel zu erreichen ...

Ein möglicher Hinweis auf die Haltung des ICO besteht darin, dass Google Analytics-Cookies in seinen eigenen Datenschutzbestimmungen als nicht wesentlich aufgeführt werden und Google Analytics nur verwendet wird, wenn Sie der Speicherung von Cookies zustimmen. Ich denke, dass dies den Ton angibt für jede Klarstellung, die sie anbieten könnten. Sie können durchaus sagen: "Sie müssen auch um Erlaubnis für Cookies von Drittanbietern bitten, da Sie die Wahl haben, ob Sie diese Dienste nutzen oder nicht." Aber wir wissen es noch nicht genau.

Diese Unsicherheit ist ein Grund dafür, dass die Frist für die Einhaltung der Vorschriften auf den 25. Mai 2012 verlängert wurde. Das Beste, was britische Webmaster in Bezug auf die Auswirkungen tun können, ist, die Website des ICO im Auge zu behalten und auf deren Klärung zu warten. In der Zwischenzeit sollten Sie den restlichen Ratschlägen in den Richtlinien für Cookies, die Sie selbst ausstellen, folgen.

Nick
quelle
Ich habe meine Antwort gelöscht, weil ich das bei Cookies von Drittanbietern nicht bemerkt habe. Wie lautet Ihre Quelle für die Fristverlängerung?
Paulmorriss
2
Es ist in der aktualisierten Durchsetzungs-PDF der ICO enthalten : "[Der Kommissar] wird ... Organisationen innerhalb von 12 Monaten die Möglichkeit geben, Maßnahmen zu entwickeln, um die Cookie-Anforderungen zu erfüllen, die im Mai 2012 enden werden." Kurz gesagt, es wurde am 25. Mai 2011 britisches Gesetz, wird aber erst am 25. Mai 2012
Nick
1
Dies ist eine gute Antwort, es ist jedoch von entscheidender Bedeutung, dass diese Antwort für das Vereinigte Königreich spezifisch ist, wohingegen die Richtlinie selbst EU-weit gilt. Das heißt, jedes Land setzt sich auf seine eigene Weise für die Durchsetzung ein. Die Tatsache, dass Großbritannien die Durchsetzung um ein Jahr verzögert, bedeutet nicht, dass andere Länder dasselbe tun.
Yahel
1
Guter Punkt. Meines Wissens ist das ICO die erste EU-Datenschutzbehörde, die Richtlinien zu dieser Richtlinie herausgibt. Wenn jedoch Personen Links zu Hinweisen anderer Mitgliedstaaten in Bezug auf Fristen und Cookies von Drittanbietern bereitstellen möchten, aktualisiere ich die Antwort entsprechend .
Nick
Update für die britische Situation: ico.gov.uk/news/blog/2011/…
paulmorriss
4

Bevor wir das Plug-in für Wolf Software geschrieben haben, haben wir uns tatsächlich mit dem ICO in Verbindung gesetzt, um die Position zu überprüfen. Aufgrund dieser Konsultation sollten wir davon ausgehen, dass GA als nicht wesentlich angesehen werden sollte und eine solche Zustimmung erforderlich ist.

Das Problem, dass es der 1. oder 3. ist, ist strittig, da es nur der "nicht wesentliche" Teil ist, der es vom Gesetz erfasst.

Wir meinen nicht, dass das Problem die Webmaster sind, wie oben angegeben. Wir haben den Webmastern eine einfache Lösung für dieses Problem gegeben, falls sie es verwenden möchten. Wir glauben, dass letztendlich der Eigentümer der Website dafür verantwortlich ist.

Wir haben außerdem beim ICO überprüft, ob das von uns veröffentlichte Plug-In für diesen Zweck geeignet ist und die neuen gesetzlichen Anforderungen in Bezug auf GA erfüllt.

Es geht in erster Linie darum, dass wir, wenn Sie es wollen, nichts über das Gesetz aussagen, sondern nur eine einfache, kostenlose Lösung für einen Aspekt anbieten.

HINZUGEFÜGT:

In Bezug auf die ICO haben wir ihnen einen Link zur Demo geschickt und sie einfach gefragt, ob sie der Meinung sind, dass sie für den Zweck geeignet sind. In den Augen der ICO wurde uns mitgeteilt, dass das Plugin "für den Zweck geeignet und mit dem neuen Gesetz konform" ist.

Wolf
quelle
3
+1 Kannst du ihnen deine aktuelle Frage und ihre schriftliche Antwort mitteilen? Eine Aufzeichnung von beiden wäre ein großer Beitrag zu Ihrer Antwort.
Nick
Vielen Dank für Ihren Beitrag zu dieser Frage und dafür, dass Sie etwas zur Verfügung stellen, das Webmaster unterstützt und die Debatte anregt. Wie bei @Nick, denke ich, wäre es großartig, wenn Sie einen Teil Ihrer tatsächlichen Kommunikation mit dem ICO teilen könnten. Ich habe ICO eine URL zu dieser Frage per E-Mail geschickt und auch deren Eingabe angefordert.
Treffynnon
3

Ich habe jetzt eine Antwort von der ICO erhalten, obwohl es nicht mehr ganz relevant ist, da die Einführung zurückgedrängt und das Gesetz und die Leitlinien in der Zwischenzeit möglicherweise präzisiert wurden.

Vielen Dank für Ihre Korrespondenz bezüglich der neuen Bestimmungen zum Datenschutz und zur elektronischen Kommunikation.

Zunächst möchte ich darauf hinweisen, dass ich meine Antwort nicht auf der von Ihnen vorgeschlagenen Website veröffentlichen werde. Sie können die hier enthaltenen Informationen jedoch gerne verbreiten. Ich möchte auch feststellen, dass die rhetorische erste Ihrer beiden Fragen nicht eine ist, die ich beantworten kann.

Weiter fragen Sie:

Google Analytics und die EU-Cookie-Richtlinie. Wer wird gegen das Gesetz verstoßen? Google oder der Entwickler? '

Die neue Vorschrift in Bezug auf Cookies lautet einleitend, dass das Vereinigte Königreich Änderungen der bestehenden EU-Rechtsvorschriften umsetzt. Vor der Verabschiedung der Rechtsvorschriften auf EU-Ebene fand eine europaweite Konsultation statt. Nach der Verabschiedung der EU-Cookie-Richtlinie (Richtlinie 2009/136 / EG) sind alle EU-Mitgliedstaaten gesetzlich verpflichtet, einheimische Gesetze zu verabschieden, die den Bestimmungen dieser Richtlinie entsprechen. Im Vereinigten Königreich wurden die Änderungen vom Ministerium für Kultur, Medien und Sport (DCMS) ausgearbeitet, und das ICO ist die mit der Überwachung der neuen Vorschriften beauftragte Stelle - die als Änderungen der geltenden Bestimmungen zum Datenschutz und zur elektronischen Kommunikation von 2003 verabschiedet wurden ( PECR).

Wenn Sie es noch nicht gelesen haben, können Sie den Brief von Ed Vaisey im Namen von DCMS als Minister für Kultur, Kommunikation und Kreativwirtschaft zur Erklärung des Ansatzes des DCMS bei der Umsetzung dieser EU-Richtlinie heranziehen. Der offene Brief ist verfügbar unter: http://www.culture.gov.uk/images/publications/cookies_open_letter.pdf .

Insbesondere wird in diesem Brief auf Ihre Kommentare zur Verwendung eines Webbrowsers eingegangen, um die Präferenzen eines Benutzers anzugeben. Die Verwendung eines Browsers auf diese Weise ist etwas, was die geänderte PECR zulässt. Wir sind jedoch der Meinung, dass die derzeitige Technologie nicht so weit fortgeschritten ist, dass dies praktikabel ist (siehe sowohl den oben genannten Brief als auch unsere Anleitung: Lesen Sie die Hinweise des ICO Organisationen, wie sie sich auf die neuen Regeln für Cookies vorbereiten können).

Für Analysetools wie Google Analytics gibt es keine spezifische Ausnahme. Die einzige Ausnahme von der grundlegenden Cookie-Regel ist diejenige, die sich auf Cookies bezieht, die für einen vom Benutzer angeforderten Dienst "unbedingt erforderlich" sind. Diese Ausnahme ist aufgrund des zweiten Teils ("für einen vom Benutzer angeforderten Dienst") eng gefasst. Aus unserer Anleitung geht hervor, dass die Ausnahme nicht für Cookies gilt, mit denen statistische Informationen über Benutzer von Websites erfasst werden oder die über das Internet verfügen Ziel der Verbesserung des allgemeinen Erscheinungsbilds der Website.

In Bezug auf "andere Marketing-Netzwerk-Cookies" gelten die gleichen Regeln hinsichtlich der Zustimmung und der strengen Notwendigkeit wie oben beschrieben.

Der PECR selbst legt die Definition von "Einwilligung" für die Zwecke der Cookie-Regel nicht fest. Die Definition des Begriffs "Einwilligung", auf die wir uns verlassen, ist die in der Richtlinie 95/46 / EG - Datenschutzrichtlinie (auf die Sie online zugreifen können unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ. do? uri = CELEX: 31995L0046: en: HTML ). In der Richtlinie wird die Zustimmung in Artikel 2 Buchstabe h definiert. An dieser Stelle haben wir keine zusätzlichen Leitlinien zu dem, was im Kontext der neuen Regel für Cookies als Zustimmung gilt, herausgegeben - unter der Voraussetzung, dass dies nicht anders ist als die bestehenden Leitlinien zur Zustimmung. Weitere Informationen zur Einwilligung finden Sie auf unserer Website unter: http://www.ico.gov.uk/for_organisations/data_protection/the_guide/conditions_for_processing.aspx (Scrollen Sie nach unten zur Überschrift "Einwilligung").

Wie Sie zweifellos bereits gesehen haben, werden in unserer Cookie-Anleitung verschiedene Möglichkeiten zur Erlangung einer Einwilligung geprüft. Da in Bezug auf diese neue Regel für Cookies weitere Fortschritte erzielt werden, können wir unseren bestehenden Leitlinien weitere Leitlinien hinzufügen.

Es beantwortet nicht wirklich die Frage, was ich sehen kann. Es gibt keinen Unterschied zwischen Cookies, die ausdrücklich vom Entwickler festgelegt wurden, und solchen, die von anderen Diensten im Auftrag des Entwicklers in der Antwort festgelegt wurden.

Treffynnon
quelle
+1 für eine Antwort von der ICO selbst ... aber leider eine, die sehr wenig verdeutlicht.
Marcus Downing
1

In der obigen Antwort wird detailliert auf Cookies von Drittanbietern eingegangen, und es ist richtig, dass das ICO noch keine Anleitung dazu gibt. Dies ist jedoch umstritten, da Google Analytics im Gegensatz zum ursprünglichen Beitrag Erstanbieter-Cookies verwendet.

Stephen
quelle
Was macht sie First-Party-Cookies? GA ist ein Dienst von Drittanbietern, daher ist mit Sicherheit jedes von ihm gesetzte Cookie ein Cookie von Drittanbietern.
Treffynnon
1
Sie haben Recht, dass Google Analytics Erstanbieter-Cookies in dem technischen Sinne verwendet, in dem sie für Ihre eigene Domain festgelegt sind. Nach meiner Interpretation der ICO- Richtlinien unter "Drittanbieter-Cookies" bedeutet dies jedoch, dass ein Drittanbieter die Entscheidung trifft setzen sie, und dass sie von Code gehostet auf Ihrer Domain nicht gesetzt: „Einige Websites erlauben dritten Cookies richten auf das Gerät eines Benutzers“
Nick
0

Interessante Diskussion - es sieht so aus, als ob ein einfaches Analytic-Tracking-Cookie unter das Gesetz fällt.

Dies ist eine wirklich schlecht durchdachte Gesetzgebung. Während ein sehr kleiner Prozentsatz der Besucher gestört ist, sind es im Allgemeinen diese Personen, die wissen, wie man die Einstellungen für Browser-Cokkies verwendet. Alle anderen möchten nur, dass eine Website funktioniert.

Ich frage mich, wie lange es dauern wird, bis ein Browser-Plug-in angezeigt wird, der automatisch auf die Schaltfläche "Akzeptieren" in allen Popup-Warnungen für Cookies klickt.

Spleißen
quelle