2018年4月26日,德国数据保护当局(德国DPA)会议发布了一份关于德国远程信息统计法(TMA)2018年5月25日之后的适用性的高度批评的立场文件(姓名纸,德国人提供 这里)。该位置纸张显然指出,现在需要预先入选的追踪和分析饼干。

位置纸

WebTracking受到一般数据保护规范(GDPR)以及eprivacy指令的管辖。目前正在修订Eprivacy指令。一个新的eprivacy监管应该在2018年5月25日与GDPR一起生效,但它被推迟,我们在2019年底之前我们不指望在2019年底之前生效。由于德国立法者尚未更新TMA即将到来的eprivacy监管。

该位置纸概述了德国DPAS关于GDPR和TMA的关系的看法及其对使用饼干的后果。职位纸张指出,除非国家法律,由于开放条款或法律冲突规则,否则GDPR应采取先例。 GDP第95条是这种法律冲突规则。它规定,GDPR不得施加有关在公共交流网络中提供公共交通网络中的公共通信服务的处理数据的额外义务,他们有关他们在Eprivacy指令中规定的特定义务所涉及的特定义务。然而,德国DPA解释了GDPR第95条不适用于管理跟踪和达到衡量的TMA中的规定。

接下来,定位纸指出,使用饼干在GDPR下需要合法理由,特别是在第6(1)条GDPR中,然后区分:

  • 严格必要的Cookie可以通过GDPR(合同履行)的第6(1)(B)(合同履行)或GDP(合法利益)第6(1)(F)表示合理;和
  • 跟踪和分析饼干需要了解情况前后的同意(GDPR的第6(1)(a)条)。在获得此类同意之前,饼干可能不会被删除。

实施德国DPA所示的要求

为了实现在位置文件中规定的要求,组织必须使用cookie如下:

  • 用户访问网站时才能删除严格必要的cookie。当用户访问网站时,其他跟踪和分析饼干无法立即丢弃。
  • 必须在网站上获得选择同意,例如,使用包含“接受”按钮的cookie横幅。只有在用户点击“接受”按钮后,只能删除跟踪和分析cookie。
  • 用户必须能够获取有关如何在网站上使用cookie的信息,例如,在cookie策略中。

对立场纸的批评

该位置纸已经获得了很多批评。例如,信息技术,电信和新媒体协会Bitkom发布了意见(可用 这里)并且指出位置纸仅列出了政治所需的结果。为什么TMA将不再适用,为什么位置文件只考虑为跟踪和分析饼干的法律依据。

在分析定位文件中,德国广告协会至关重要,即德国DPA要求以无差别和抽象的方式同意所有跟踪和分析饼干。相反,德国广告协会表明,合法兴趣也可能是一个法律依据,考虑到个人数据的类别,使用的技术,技术和组织安全措施,处理,用例,对每个特定的数据和透明度的透明度曲奇饼。

由其他监督机构和组织对定位文件的反应

其他监督当局尚未提供(更新)关于使用饼干的法律理由的指导。例如,英国数据保护机构的信息专员办公室已独立实施了退出解决方案 网站和一个cookie工具一起。

没有许多组织尚未实施定位纸上所列的指导 - 由于案例文件的出版以来的短暂时间以及对立场文件提出的许多问题和批评。选择退出同意似乎仍然是大多数组织适用的最佳实践。

评论

德国DPA的意图在出版的位置纸上不到一个月前的月份日期,作为“替补立法者”的行为原因并不是很清楚。我们还明白它不是德国DPA发布了定位文件的一致决定。

位置纸在许多零件中是模糊的。德国DPA仅为他们的观点提供简短的法律推理。虽然它们说明该跟踪和分析饼干需要选择选择,但不提供逐个案例分析的空间,但德国DPA没有定义跟踪和分析饼干。它们还没有提供任何指导,如何获得同意。然而,饼干横幅陈述的时间“通过继续在我们的网站上冲浪,您接受使用饼干”将结束。

此外,该立场纸将迫使德国视图应用于国际一级。组织可能不会为德国用户的网站和其他国家的用户提供不同的解决方案。

德国DPA现在已经对许多利益攸关方的批评作出反应,并开始与利益攸关方就该立场文件执行(见德国DPAS的新闻稿 这里)。咨询期将于2018年6月29日结束。