Hvordan persondata er personrelaterede og hvorfor cookies altid er personrelaterede, uafhængigt af cookie-værdierne, er emnet i denne artikel. En personbehandling findes oftere end mange tror. Personrelaterede data farver så at sige på andre data og gør dem til data med personbehandling.
Indledning
Persondata er sådanne data, der kan føre til en person. Derfor er f.eks. navnet på en person sammen med hendes adresse (gade, husnummer, postnummer, by, land, planet, galaksebetegnelse) et persondataværdi. I stedet for dataværdi taler man ofte om Dato. Datum er flertal af data.
Navnet på en person sammen med deres adresse opstår til direkte personbehandling. Men også data, som indirekte antyder en person, er personbehandlet. Det fremgår tydeligt af Art. 4 Nr. 1 GDPR. Denne lov taler ikke om direkte eller indirekte personbehandling, men om identificerede eller identifikable personer.
En person er identificerbart, så snart det objektivt muligt er, at man selv eller med hjælp fra andre kan opstille en personlig tilknytning. Dette kan f.eks. være telekommunikationsleverandører, efterretningsvæsen eller myndigheder. Det spiller ingen rolle, om disse tredje parter i øjeblikket kan blive spurgt om persondata af dig selv. Det er nok til at der objektivt set er mulighed for det. Eksempelvis kan en sådan mulighed åbnes ved straffeforfølgning. Det havde den Europæiske Domstol i dommen fra 19.10.2016 – C-582/14("Breyer", IP-adresser er persondata) fastlagt.
Sammen med det har den EU's Artikel 29-gruppe fastlagt, at en person også kan være identificerbar, hvis hun i en gruppe af personer kan adskilles fra de andre personer. Dette blev udtrykt i den såkaldte Opinion 4/2007. Artikel 29-gruppen for dataskydd er forgænger til det Europæiske Datatilsyn (EDSA) og nævnes endda i Artikel 94 GDPR. Den har derfor en betydende relevans.
Når er en person direkte identificerbar?
Ovenover har jeg allerede givet et eksempel med en persons navn og adresse. Denne dataindsamling tillader en fuldstændig, direkte identifikation af en person. Alle data, der direkte pege på en person, gør denne person direkte identificerbar.
Hvis i en selvstændig gruppe af anonyme alkoholikere er der en person med grå hår og de andre ikke har grå hår, så ville den ene person være adskilt fra de andre ved følgende dataværdi: „Den person, det drejer sig om, er i denne gruppe og har grå hår“.
Nun ville personen muligvis stadig ikke være direkte identificeret. For når jeg ser en person foran mig, ved jeg sjældent, hvem denne person er, hvordan han hedder og hvor denne person bor.
Men det kunne være muligt, at en person lider skade, fordi nogen misshandlet hendes data uden at det er kendt, hvor personen bor. Her står spørgsmålet, om det ikke ville være nok at have personen til stede i samme rum, for at have en direkte personlig forbindelse. Til denne spørgsmål går jeg her ikke nærmere ind på. Det ville være en selvstændig undersøgelse værd, som måske bedre kunne udføres af en jurist.
Hvad er en indirekte personreferens?
Skal der direkte personlige reference således nægtes, findes ofte en indirekte personlige reference. Dette skal altid bekræftes, når der er en objektive mulighed for at identificere personen fuldstændigt.
Eksemplet med den gamle kvinde i gruppen af anonyme alkoholikere viser, at der mindst er en indirekte personlig tilknytning. For hvis den gamle kvinde begår en straffbar handling i gruppen, kan det i forbindelse med efterforskningen fastslås hvem præcis den gamle kvinde er. Således er dato "Personen i gruppen er gammel" et personligt datum (selvfølgelig i nævnte sammenhæng). For der findes objektivt set mulighed for at
- Den gamle person vil begå en straffbar handling og
- Den strafferforskningsmuligheder i Tyskland tillader det at personen på grund af mistanke om begået en forbrydelse kan identificeres fuldstændigt.
Man kunne også identificere den gråhårede uden strafbar handling, f.eks. hvis personen kører i et køretøj, der er tilmeldt til en selvhildegenskabsgruppe og har kørt til mødet med dette køretøj. Efter Straßenverkehrsordningen skal på et køretøj være anbragt et Køretøjskendemærke (der måske ikke gælder for alle køretøjer, men det er her ikke om). Det license plate er igen tilknyttet personen, dvs. hendes navn og adresse, på en unik måde. Den myndighed, der står for trafiksager, kender denne tilknytning. Hvis køretøjet nu bliver med i en ulykke, kan ejeren identificeres. En ulykke er som regel ikke strafbar. Det kunne endda være, at den gråhårede fører af selvhildegenskabsgruppen ikke var skyldig i ulykken. Den, der forårsagede ulykken, måtte dog alligevel give sin adresse til den gråhårede kvinde, så hun kunne få en ordentlig afvikling af sagen. Derudover ville den, der forårsagede ulykken, også gerne undgå at blive anklaget for "førerflugt" og skrev i tvivlsomme tilfælde selv hendes adresse ned, hvis hun ikke var til at finde ved hendes køretøj.
Når nogen dog teoretisk kan blive involveret i en ulykke, så er hver person, du møder, i sidste ende identificerbar. Dermed ville hver data værdi til en person, der fysisk er i din nærhed, være et personligt datum. I hvert fald gælder dette for personer, der surfer på internettet. Se herfor afsnittet "Cookies" nedenfor. Når du taler med nogen og denne person taler med dig fra sin privatadresse eller eget smartphone, så er også alle data til din samtalepartner personlige. GDPR gælder dog kun, hvis data mindst er gemt eller delautomatiserede behandlet (se Artikel 2 § 1 GDPR). Så vidt jeg ved, er signaloverførslen på telefoner dog automatiseret.
Desuden er det sandsynligvis muligt at følge en person inden for lovens rammer, for at finde ud af hvor hun er kørt hen. Måske yes til hendes hjemsted. Det kun til inspiration.
En persons adresse kan også gøre hende identificerbar. Man tænker blot på GPS-signalet fra mobiltelefonen. Jeg havde engang læst, at en kriminel kvinde blev overfaldet, fordi hendes Google-konto blev udvurderet. I mit mobiltelefon er det GPS-signal næsten altid slået til (men ikke, fordi jeg har tænkt på at begå en kriminalitet, men fordi det irriterer mig, hvis nogen ved, hvor jeg er eller har været, på grund af elektroniske signaler).
Cookies
ePrivacy-Richtlinie: Det gør ikke noget, om cookies indeholder personlige oplysninger eller ej. Den ePrivacy-Richtlinie træder dog i kraft alligevel. I Tyskland er den især gennem § 25 TTDSG tilføjet. TTDSG er en særlig lov, der følger med GDPR. Når TTDSG gælder, udfører det en blokerende virkning over for GDPR. Kun når den juridiske prøve efter § 25 TTDSG vedrørende cookies og andre endinrichtungszugriffe er positivt afsluttet, bliver der føjet efter GDPR. Jeg skriver her ud fra undtagelse til at skrive "GDPR" rigtigt. I øvrigt bruger man meget ofte den mere begribelige betegnelse uden bindestreg, altså "GDPR". GDPR er dog ikke en lov, men en forordning. Det gør dog ingen forskel for alle bortset fra jurister.
Opdatering maj 2024: TTDSG hedder nu TDDDG. Fordi mange læsere kun kender til TTDSG, bruges her fremdeles den oprindelige betegnelse.
Lagring af cookies på din enhed (såsom på din smartphone eller desktop pc) og adgang til cookies, der er gemt på din enhed, er kun tilladelsefrit, hvis cookiesene er absolut nødvendige. De fleste cookies er ikke absolut nødvendige. Her spiller det ingen rolle, om cookie-værdierne er personbevarende eller ej. Det er ligegyldigt, hvilke værdier der gemmes i cookiesen; TTDSG gælder herfor altid.
Nu gemmer man et cookie på enheden og læser det senere igen ud. Herefter vil man gerne arbejde sikker med værdien af cookie, da man ellers kunne have fjernet cookieen lige fra start. Denne Arbejde med cookie-værdien falder under reglerne i GDPR. GDPR gælder dog kun for persondata, herunder også de persondatarelaterede data. Som ovenover nævnt er dette alle data, der direkte eller indirekte kan henvise til en person.
Hvad sker der, hvis en cookie-værdi ikke er personbevidst? Lad os tage et eksempel som værdien "xyz123". Selv da er cookie-værdien personbevidst. Nogle vil ikke se det eller påstå det modsatte, fordi det ville være godt for deres kunder. For at forklare, hvorfor alle cookie-værder altid er personbevidste, skal jeg gå lidt i detaljer.
Alle data, der forekommer i forbindelse med persondata, er personrelaterede og derfor persondata.
Se artikel for detaljer.
IP-adresser er personlige oplysninger. Dette har EU-domstolen og Tysklands Højesteret fastlagt i deres Breyer-afgørelser i 2016 og 2017 (se ovenfor for henvisning til dommen). Det gælder også dynamiske IP-adresser.
Cookies bliver dumt nok altid sendt sammen med besøgende hjemmesides IP-adresse til hjemmesiden. IP-adressen er personbevidst, så er også hver enkelt anden (potentielt betydende) værdi, der optræder sammen med IP-adressen, personbevidst.
Kiks værdier er derfor altid personbevidste. Dermed gælder for behandlingen af kiksværdier altid GDPR, selv om nogle gerne ville diskutere dette væk.
Konklusion
Databaser er personrelaterede, hvis de direkte eller indirekte henviser til en person. Ifølge Juridisk definition skal personrelaterede data være sammenlignet med persondata.
En dataværdi, der forekommer sammen med en personbevidst dato, bliver automatisk personbevidst og således personbevidst. Dette må muligvis kun være tilfældet, hvis den dataværdi ikke har nogen betydning, hverken objektivt eller subjektivt. Subjektivt mener her, at den dataværdi selv for alle tænkelige data-mottagere ikke har nogen betydning. Men der stilles så spørgsmålet, hvorfor den dataværdi eksisterer overhovedet. Muligvis findes der et meningsfuldt eksempel; jeg kan dog lade være med at tænke på noget i øjeblikket.
Det er i tvivlsomhed ligeglad, hvor længe en dataværdi X eksisterer sammen med en personbevidst dataværdi, før den dataværdi X regnes som personbevidst. Det havde selv den ikke kendte for sin strengthed irske dataskyddsmyndighed fastlagt i sagen mod WhatsApp.
Det er også ligegyldigt, om data bliver gemt eller ikke, så længe dataene bliver behandlet delvist eller fuldstændig automatisk. Er dataerne til tiden for deres eksistens personbezirkede, så er de personbezirkede. Datafremstilling begynder allerede fra den objektive "viljestrengte" erkendelse af noget, hvad med Datenerhåndtering betegnes.
Tilfældigvis er IP-adresser for Google på grund af personbevisbarhed potentielt altid personbevisbare, og det er sandsynligvis globalt og uafhængigt af hvordan straffelovstjenesten i det enkelte land også må være. Fordi en bruger benytter sig af en Google-tjeneste som Gmail eller har et Android-mobiltelefon, kan denne bruger objektivt identificeres. Et mobiltelefon har naturligvis en telefonnummer. Dette nummer er (mindst i nogle lande) registreret på en person. I Tyskland skal dette være tilfældet (i hvert fald gælder det efter min viden for privattelefoner, og det drejer sig her om private individer og ikke om virksomheder). Gmail er igen en mailing-tjeneste. Der skal være mennesker der modtager post til deres Gmail-adresse, hvor navn og adresse på den person som ejer Gmail-adressen er nævnt.
Denne spørgsmål havde jeg undersøgt i forbindelse med Google Fonts Abmahnungen, for at vise, at IP-adressen også i Østrig potentielt altid har en personlig tilknytning til Google.
I tvivlsomme tilfælde bør data betragtes som personrelaterede. Tvivlen opstår ofte blot, fordi forestillingen mangler om, at en dataværdi kan henvise til en person. I anvendelser af kunstig intelligens er spørgsmålet omkring personbevægelsen af et dataværdi ikke så let at besvare. Fordi hvis der for 100 datapunkter endnu ikke findes nogen personbevægelse, kan det være meget anderledes ved 100 millioner datapunkter.
Tilfældigvis opstår ikke altid et problem eller en sag ved brug af persondata, der er tilknyttet en specifik person. Hvis to mennesker på gaden snakker sammen, så falder samtalen ikke under GDPR, fordi den ikke bliver automatisk behandlet eller gemt i en filsystem. Såvel brugen af offentligt tilgængelige oplysninger som også brugen af persondata er ofte mulig indenfor rammerne af et berettiget interesse. Får man tilføjende data, sådan at persondata bliver tilknyttet en specifik person, og hvis det objektivt ikke er muligt for en bestemt enhed (X) at få fat i disse tilføjende data, så handler det ikke om persondata. Dette sker især, når tilføjende data ligger udenfor den egne kontekst, f.eks. ved virksomheder, som enheden X har ingen relation til og som enheden X muligvis overhovedet ikke kender.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
