Hallo Auge,

hm, das ist durchaus bedenkenswert. Ist eine Farbauswahl kein personenbezogenes Datum? DSGVO Artikel 4:

„personenbezogene Daten“ (sind) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Wenn der Besucher nicht weiter identifiziert wird und NUR die Farbauswahl gespeichert wird, könnte man sagen: es handelt sich nicht um personenbezogene Daten. Wenn der Benutzer nachträglich identifiziert wird, dann wieder schon, d.h. man muss den Gesamtablauf im Blick haben, um zu entscheiden, ob die Speicherung oder Verarbeitung erlaubt ist oder ob man nachfragen und eine Datenschutzerklärung vorlegen muss.

Wird zum Beispiel die Farbauswahl verwendet, um zur Farbe passende Werbung zu generieren, findet eine automatische Verarbeitung von Daten statt, die der Benutzer eingegeben hat. Hat man nur 3 User, kann ein Farbprofil identifizierend sein. Bei 3000 Usern eher nicht. Da im Grenzfall ein Richter entscheidet, sollte man immer darauf achten, in Richtung der vorsichtigen Seite zu irren. Weswegen uns die Welt mit Keksbannern zuschmeißt.

Aber wie gesagt: sessionStorage statt localStorage führt zu einer temporären Speicherung, so wie ein Session Cookie, und da kann ich problemlos Daten speichern. Die sind im Hoheitsbereich des Users und nicht persistent. Ich muss nur aufpassen, ob und wie sie verarbeitet werden - da kommen dann weitere DSGVO-Anforderungen ins Spiel.

Rolf