Sorry, aber es wird immer bekloppter, wobei ich mich konkret auf "Schmerzensgeld" beziehe.
Och, das mit dem Schmerzensgeld kann ich sogar irgendwo verstehen - die Nutzung von Google Fonts verursacht mitunter durchaus Schmerzen (weil optisch ggf. besch... und oft lahm)
Spaß beiseite: Man kann das Urteil durchaus beknackt finden, aber im Grunde ist es folgerichtig.
Wenn eine IP Adresse personenbezogen ist (wovon Juristen i.d.R. ausgehen, wobei das natürlich technisch fragwürdig ist), dann unterliegt diese den Bestimmungen der DSGVO.
Demnach darf deren Verarbeitung also einer Legitimation nach Art. 6.
Da es Privacy Shield nicht mehr gibt und Standard-Vertragsklauseln bei einem Dienst den jeder frei nutzen kann auch nicht zum Zuge kommen sieht es mit Art. 6 Abs. 1 lit f eben recht düster aus, insbesondere da es ja eine mehr oder weniger einfache Alternative gibt: Selber hosten.
Das Urteil geht daher IMHO völlig in Ordnung.
Problematisch ist vielmehr dass die DSGVO handwerklich schlecht gemacht ist - ein technisch zwangsweise immer übermitteltes Datum wie eine IP Adresse nicht gesondert zu betrachten ist IMHO dämlich bis weltfremd.
Natürlich kann man aus jeder Website eine Insel machen (und z.B. bei jedem XenForo 2x etliche Tausend Emoji-Bildchen vorhalten damit diese nicht von einem 3rd Party CDN geladen werden) - oder aber man geht ein wenig in sich und sägt nicht an der Grundstruktur des WWW.
Pragmatisch wäre: Technisch notwendige Übermittlung der IP-Adresse (ist grundsätzlich technisch notwendig wenn 3rd Party Inhalte geladen werden) ist immer erlaubt, der "Empfänger" darf diese aber zu nichts anderem verarbeiten als zur Bereitstellung des Dienstes (incl. Sicherstellung des fehlerfreien Betriebs) erforderlich ist.
Ja, das bringt nichts gegen Google & Co. im Non-EU Ausland aber dann ist das einfach so, wem es nicht gefällt der kann ja einen Browser nutzen der alles externe blockt/nachfragt.
Das generelle Quasi-Verbot von technisch nicht notwendigen Cookies finde ich auch problematisch.
Wenn ich einen realen Supermarkt betreibe, mir vor den Eingang einen StudentX stelle und diesen beauftrage jedem Kunden der erstmals am Tag den Laden betritt eine Flyer mit den Angeboten der nächsten Woche auszuhändigen (so der dies denn möchte, festgestellt dadurch dass KundX den entgegengehaltenen Flyer mitnimmt oder nicht), dann ist das Datenschutzrechtlich wohl eher unproblematisch und die KundX kriegen (je nachdem wie gut StudentX sich Personen merken/identifizieren kann) 1 Werbung/Tag.
Wie mache ich das bei einem Online-Supermarkt ohne Cookie und/oder Verarbeitung der IP-Adresse?
Wir kriegen den Geist nicht wieder in die Flasche.
Es gibt keine kostenlosen Angebote, irgendjemand hat immer Kosten.
Und wenn der Anbieter diese nicht selbst tragen möchte (kommt vor, aber in Sumne doch eher selten), dann muss dies ein anderer tun - im Regelfall der Nutzer direkt durch Geld oder indirekt durch Daten.
Das muss so langsam mal in allen Köpfen ankommen.
Just my 0.02 €
