Cookiebot + Datenspeicher in den USA

    So langsam wird die Luft dünner und dünner..... Gut, ich nutze Cookiebot nicht, da zu teuer, aber die werden eigentlich von allen als die besten auf dem Markt beschrieben, auch von deutschen Datenschutzbehörden. Naja, man sollte wohl sagen, wurden .....

    Cookiebot ist nur eine Marke, Betreiber ist Cybot aus Dänemark. Alles ok, sollte man meinen. Leider nein.

    https://www.heise.de/news/Gericht-D…en-6288818.html

    Es ist also gar nicht mehr die Frage nach dem "darf ich Cookies setzen ja / nein", sondern Cookies aus den USA sind komplett untersagt. Und wenn man das ganze mal durchliest, dann geht es im Grunde noch nicht mal um Cookies, sondern den Datentransfare dahin, also Zugriff auf den Cookiebot. Dieser liegt in der Cloud, in der Cloud von Akamais und die sind eine US-Firma und da greif das "Cloud Act", egal wer der Anbieter der Software überhaupt ist.

    Aber das ist wohl nur ein Vorbote. Heise beschreibt es ja sehr schön. Cloudflare, Google, Amazon, Microsoft, also alle großen Cloud-Anbieter sind US-Firmen. Ist also auch hier wurscht, wenn man einen deutschen Anbieter hat, der aber eine der Clouds nutzt.

    Mir dämmert da was, auch wenn das noch ein anderes Thema ist. Routing von DNS-Anfragen über GoDaddy. Bin mal gespannt, wann das auch verboten ist.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Nachtrag.... Vor einigen Monaten gab es eine Fusion. Cookiebot und Usercentrics gehören nun zusammen. Letztere ist aus München. Beide waren die Top2 der Anbieter in Europa. Bei Heise wird auch was erwähnt, was ich oben erläutern wollte.... Usercentrics schreibt in seiner Hilfe direkt auf der Startseite:

    "... Dennoch befinden sich alle Server, die Consents erhalten und verarbeiten, in der EU."

    Das ist das, was Heise auch schrieb. In der EU, ja, aber Anbieter ist Akamais und dann ist es egal, wo die Server stehen, der "Cloud Act" greift. Also genauso wie z.B. Cloudflare, die rund um den Globus Rechenzentren haben, man sagen könnte, "die Daten sind nur in Europa", aber Betreiber ist dennoch eine US-Firma.

    Und in eigener Sache. Wenn ich Server in Falkenstein habe, Webseiten dort liegen, DNS-Anbieter in Sachsen ansässig ist, mit DNS-Servern in Frankreich und Frankfurt, dann hört sich das gut an. Wenn der aber für die Verbindung Infrastruktur von GoDaddy nutzt, dann ist da ein US-Unternehmen beteiligt, auch wenn alles andere in DE oder EU ist. Ok, anderes Thema, wie gesagt. Die unterliegen nicht dem "Cloud Act", aber wohl nur eine Frage der Zeit, bis was ähnliches kommt.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Schwieriges Thema.

    So man denn von "Schuld" sprechen will; es sind nicht die Gerichte und die Gesetzgeber schuld, sondern die, welche glauben sich an europäische Normen nicht halten zu müssen.

    Gut, diese Datensammler haben halt das Problem, dass, wenn sie sich an die Gesetze halten ihnen die Geschäftsgrundlage wegbricht. An die Gesetze halten heisst in diesem Fall die User vollumfänglich aufzuklären worauf sie sich einlassen.

    Es zeichnet sich schon länger der Trend ab, dass Wissen nicht mehr "kostenlos" sein soll, dass der Zugang zum Wissen nur noch gegen Preisgabe persönlicher Daten möglich sein soll. Eine schleichende, kaum bemerkte Eskalation. Wie halt immer im Internet, am Anfang ist alles kostenlos und dann, wenn das Wissen gebündelt ist, werden die Schrauben angezogen.

    Was Heise im Artikel verschweigt ist, dass sie davon auch betroffen sind, genauso wie die sonstigen Postillien. Auch die verlangen schwammig formuliert die Zustimmung, dass Daten im Ausland verarbeitet werden dürfen. Heise gestattet den Usern ja noch eine gegebene Zustimmung zur Datenvereinbarung per Mausklick zeitnah zu widerrufen. Bei anderen, wie der FAZ, muss man das schriftlich an irgendeine Redaktion richten. Das ist genau das, was durch die neuen Regelungen zu den "Dark pattern" nun unterbunden werden soll: Zustimmung leicht gemacht, Widerrufen nur unter kompliziertesten Bedingungen.

    „Arme Kinder sind genauso schlau und so talentiert wie weiße Kinder.“ :thumbup:

    US-Präsident Biden 2019 in einer Rede in Iowa,

    Geht etwas am Thema vorbei. Es geht im Grunde nicht um den Cookiehinweis oder ob der gut oder schlecht ist, sondern darum, dass da eine US-Firma involviert ist und es ausreichend ist, dass die involviert ist, obwohl alles andere in DE oder EU ist und eben die Gesetze eingehalten werden.

    Das ist ein Fass ohne Boden. Woher soll ein normaler Mensch denn wissen, was und wer alles dahinter steckt? Das Internet ist nunmal global. Und die "Großen" betreiben ja extra schon Rechenzentren in DE oder EU, genau deswegen. Aber das reicht laut dem Artikel bzw. Urteil nicht aus, weil die Betreiber eben in den USA sind. Aber woher weiß das ein normaler Mensch?

    Das Problem ist nur, welche Alternativen gibt es denn? Also nicht wegen Cookiehinweis, sondern wegen "Produkt und Anbieter". Du könntest wahrscheinlich auch nicht mit Sicherheit sagen, dass Anrufe bei Dir nicht auch irgendwie über ein US-Unternehmen geroutet werden, auch wenn man von EU nach EU anruft.

    Mit dem, was da steht und gesagt wurde, geht es ja nicht mehr um den Standort der Sache / Dienstleistung, sondern um den Firmenbetreiber. Ist also im Grunde wie Host-Europe. Deutsches Unternehmen, deutsche Server, aber Inhaber mittlerweile ein Ami. Also würden die auch rausfallen.

    Ich frage mich, wo das alles noch hinführen soll. Wie gesagt, Internet ist global.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    So lese ich das nicht Syno, aber ich schaue mir die Entscheidung später nochmal genauer an.

    Ob jemand Ami ist oder nicht spielt keine Rolle, es geht um den Standort der Server und darum, dass die wegen des Standorts ausserhalb europäischen Zugriffs und ausserhalb europäischer Normen sind, sich bei der zu beurteilenden Rechtslage auf den Standort der Server berufen.

    Trotz Globlität: Wer glaubt sich den Normen eines Rechtsgebiets entziehen zu müssen, muss halt damit rechnen, dass er aussen vor ist. Nachfolger, die alle Normen erfüllen werden sich schnell finden.

    Globalität ist juristisch kein Argument das greift und, meine Meinung, das ist auch gut so. Diese Datenkraken sind lange genug mit dem Argument durchgekommen, dass sie der Auffassung sind, dass überall us-amerikanisches Recht gilt, egal wo sie Umsatz machen. Das wäre ungefähr so, als würde ich argumentieren, dass ich in ganz Europa Vollgas fahren darf, weil ich in Deutschland lebe und mein Auto in Deutschland zugelassen ist.

    Diese Ära der schrägen Argumente geht jetzt langsam aber sicher zuende.

    „Arme Kinder sind genauso schlau und so talentiert wie weiße Kinder.“ :thumbup:

    US-Präsident Biden 2019 in einer Rede in Iowa,

    Hm, was lese ich da dann nun falsch?

    "Selbst wenn sich der entsprechende Server möglicherweise in der EU befinde, habe der US-Konzern Zugriff darauf, sodass das US-Gesetz Cloud Act mit breiten Abfragemöglichkeiten für US-Behörden greife."

    Und eben...

    "dass der Einwilligungsmanager des dänischen Anbieters Cybot Daten wie seine IP-Adresse auf einen Server des in den USA ansässigen Cloud-Unternehmens Akamai Technologies übermittle"

    Nicht die Server sind in den USA, sondern das Betreiberunternehmen.

    Und es geht ja um den "Cloud Act" und der ist unabhängig davon, wo sich der Server befindet. Eine Cloud mit Servern in DE, der einem US-Unternehmen gehört, unterliegt dem Cloud Act auch.

    Also so habe ich das gelesen und genau das ist für mich das Fass ohne Boden. Der Sinn einer Cloud oder eben eines CDN ist ja, dass die Server verteilt sind. Ist es ein US-Unternehmen, dann unterliegen alle dem Cloud Act. Ist es ein deutsches Unternehmen, dann dürfte das wohl gar nicht so einfach Server in den USA oder sonstwo betreiben, denn dann greifen ja unsere Gesetze.

    Hier ist auch keine Rede davon, dass die Daten unmittelbar in die USA übertragen werden oder die Server dort stehen, nur, dass die Firma dort ist und sie drauf zugreifen könnte. Oder eben muss, per Cloud Act.

    https://verwaltungsgerichtsbarkeit.hessen.de/pressemitteilungen/cookie-dienst

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    So, hab mir das jetzt mal angeguckt Syno. Der Hauptknackpunkt ist, dass mit einen Opt-aut und nicht einem Opt-in gearbeitet wurde, die Zustimmung also nicht europäischen Normen entspricht.

    Hab mal aus dem langen Urteil die Hauptphrasen herauskopiert:

    Der Antragsteller führt bezüglich des Dienstes „G[xxx] Tag Manager“ aus, dass hierdurch seine IP-Adresse bei jedem Seitenaufruf an Server des Unternehmens G. übermittelt werde, ohne dass hierfür eine Einwilligung erteilt worden sei. Daneben lese G. infolge der durch die Antragsgegnerin veranlassten Kontaktaufnahme des Nutzerrechners mit dem G.-Server weitere Informationen über die Hard- und Software des Nutzer-Endgerätes aus und könne diese auswerten.

    Bezüglich des Dienstes „C[xxx]bot“, einem Einwilligungsmanager des dänischen Anbieters Cy. A/S, führt der Antragsteller aus, dass dieselben Daten wie bei dem „G. Tag Manager“ an C[xxx]bot übermittelt würden. Dieser Dienst werde zwar von einem in Dänemark ansässigen Unternehmen angeboten. Die Zieldomain consent.c[xxx]bot.com verweise jedoch auf einen Server mit einer IP-Adresse, die auf das in den USA ansässige Cloud-Hosting-Unternehmen Ak. Technologies Inc. registriert sei.

    Nach dem Cloud-Act könnten US-Regierungsbehörden personenbezogene Daten bei US-Unternehmen einseitig, ohne Gerichtsbeschluss und ohne Rechtshilfeabkommen anfordern.

    Somit setze der Antragsgegner als Verantwortlicher personenbezogene Daten des Antragstellers der Gefahr unbefugter Zugriffe aus, was eine Verletzung der Vertraulichkeit gemäß Art. 32 Abs. 1 lit. b DS-GVO darstelle.

    Schließlich bezweifelt er die Notwendigkeit des Einwilligungsmanagers „C[xxx]bot“. Denn die Einwilligungen für Cookies, die der Dienst einhole, seien unwirksam, weil das Einwilligungs-Häkchen bei „Statistik“ standardmäßig voreingestellt sei und damit keine unmissverständliche Einwilligung i. S. d. Art. 4 Ziff. 11 DS-GVO erzeugt werde. Die Einwilligung könne auch nicht widerrufen werden, da der entsprechende Banner nach erteilter Einwilligung ausgeblendet werde.

    ..............

    Du hast also insofern Recht, alsdass ein us-amerikanischer Bürger, Firma, gezwungen werden kann Daten herauszugeben, sofern die Möglichkeit besteht auf einen Server Zugriff zu nehmen, egal wo er steht. Er muss allerdings dazu befugt sein.

    Das aber, durch Verschiebung der Verantwortlichkeiten, zu ändern dürfte ein leicht zu lösendes Problem sein.

    Das ändert aber grundsätzlich nichts daran, dass jeder nach wie vor alles machen kann, wenn er den User aufklärt, statt mit Tricksereien zu vernebeln und sich die explizite Zustimmung des Users für sein Tun einholt. Und geht nicht gibts in diesem Fall nicht, es geht alles, aber dann halt mit der Gefahr, dass viele ablehnen.

    Ein Knackpunkt ist halt auch die fehlende Transparenz. Jeder kann seine Zustimmung dazu geben, dass seine Daten in Timbuktu oder bei Putin oder in China gespeichert werden, es muss ihm halt nur klar gesagt werden, wer und wo. Und das vorher. Es muss endlich Schluss damit sein, dass jeder glaubt mit unseren Daten machen zu können was er will, so tut, als wären unsere Daten weltweites Allgemeineigentum, an dem sich jeder bedienen kann.

    Und es ist wie Lunte in anderer Beziehung sagte: Es ist traurig, dass erst immer Gesetze her müssen, Gerichte beschäftigt werden müssen, weil einige meinen besonders schlau und listig zu sein.

    „Arme Kinder sind genauso schlau und so talentiert wie weiße Kinder.“ :thumbup:

    US-Präsident Biden 2019 in einer Rede in Iowa,

    Klar, in dem Fall ging es noch um andere Punkte, aber eben spezielle auch um den des Anbieters.

    Und nein, leider nicht so einfach wie Du meinst. Das Problem besteht ja schon vor dem Script, also vor der Einwilligung. Das Problem, eines davon, ist ja, dass das Script auf EU-Servern einer US-Firma läuft. Selbst wenn alles andere richtig wäre, also auch die Voreinstellungen etc, also wirklich alles, auch kein G-Tag-Manager etc., das Script würde ja dennoch auf einem von US-Anbieter betriebenen Server laufen und somit der Cloud-Act greifen. Und genau bei dem schreiben sie ja, dass das in Verbindung mit DSGVO (hier nicht Übertragung, sondern Offenlegung) nicht möglich ist. Klar, weil eben andere durch den Cloud-Act Zugriff HABEN KÖNNTEN, was laut DSGVO ohne entsprechende staatliche Maßnahmen nicht möglich sein darf. "Maßnahmen" der EU-Staaten, nicht der USA.

    Und genau hier dreht man sich ja im Kreis. Wo soll das Script denn sonst liegen? In einer rein deutschen Cloud? Einem weltweit verteilten CDN, das nur in Deutschland ist? Hä? Weltweit und nur in DE, das geht nicht. Gibt es überhaupt eine rein deutsche Cloud? Telekom hat eine, in Kooperation mit Google, also "rein"? Nee.

    Nach Deinem Text oben müsste man also eine Abfrage starten, ob das Cookie-Script geladen werden darf oder nicht. Denn sobald es geladen wird, gibt es Zugriff auf die Server eines US-Unternehmens. Nur, von wo kommt dann das erste Script, das die Erlaubnis für das zweite Script abfragt? Das ist doch Unsinn. Genauso wie das "ich will keine Cookies", aber genau dafür muss man ein Cookie setzen, denn wie soll man die Einstellung sonst speichern?

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Syno, mit den technischen Spitzfindigkeiten bin ich nicht vertraut.

    Aber es ist ja kein Naturgesetz, dass es ein Server sein muss von jemandem der sich dem Cloud-Act beugen muss.

    Man kann über Gesetze und Vorschriften verschiedenster Meinung sein, aber sie sind nunmal in der Welt. Jemand der im Einzugsbereich des Cloud-Acts agiert könnte sich ja was einfallen lassen, aber ich denke, dass wollen die gar nicht, dass die keine Probleme damit haben Daten herauszurücken. Die wollen in Europa Geld verdienen, aber sonst nichts damit zu tun haben. Aber so funktioniert das weltweit immer weniger.

    Aber selbst in Europa, ich finde hier dauernd Websites mit TLD ES, COM sowieso, anonym bei Godaddy oder 1&1 gehostet, kein Impressum, keine Datenschutzerklärung, nichts.

    „Arme Kinder sind genauso schlau und so talentiert wie weiße Kinder.“ :thumbup:

    US-Präsident Biden 2019 in einer Rede in Iowa,

    Ich hab mir das Ganze jetzt mal etwas näher angeguckt. Hier geht es ja um eine spezielle Konstellation, aber eigentlich müsste der Threadtitel "Datenübertragung an Drittländer ausserhalb der EU" lauten.

    Im Grunde geht es lediglich darum, dass die Forderung ist: Wenn akzeptierbare Datenübertragung in Länder ausserhalb der EU, dann nur in Länder, deren datenschutzrechtliche Bestimmungen denen der EU entsprechen.

    Das ist in den USA nicht der Fall und in vielen anderen Ländern auch nicht. Wie die aussereuropäischen Anbieter das dann lösen, wenn sie denn in Europa auftreten und verkaufen wollen, ist mehr oder weniger deren Problem. Machbar ist es auf alle Fälle, ist etwas mehr Aufwand und kostet auch. "Kooperationen" z. B. mit in der EU ansässigen Firmen, deren Verantwortliche Europäer sind und sich deshalb aussereuropäischen Begehrlichkeiten nicht beugen müssen, sind ja keine nicht machbaren Utopien.

    Was bei der Berichterstattung und den Kommentaren völlig untergeht ist, ob die bisherige, gewohnte Handhabung beibehalten werden kann, wenn ein User vollumfänglich aufgeklärt wird, sich deshalb der Risiken bewusst sein muss und trotzdem seine Zustimmung erteilt, denn auch in der EU ist die Vertragsfreiheit immer noch gegeben. Dann müssten aber, beim "Weiterverkauf", die Interessenten ebenfalls vollumfänglich zu den Risiken, welchen sie sich aussetzen, aufgeklärt werden und explizit zustimmen.

    „Arme Kinder sind genauso schlau und so talentiert wie weiße Kinder.“ :thumbup:

    US-Präsident Biden 2019 in einer Rede in Iowa,