Vilka data är personuppgifter och varför kakor alltid är personuppgifter, oavsett vad de innehåller, är ämnet för detta inlägg. En persons anknytning till data förekommer oftare än många tror. Personenbehandling färgar på så sätt på andra data och gör dem till personuppgiftsdata.
Inledning
Personuppgifter är sådana uppgifter som kan leda till en person. Således är till exempel ett persons namn, tillsammans med deras adress (gata, husnummer, postnummer, ort, land, planet, galaxnamn) en personuppgiftsvärde. Istället för värde talas ofta om datum. Datum är pluralformen av data.
Namnet på en person tillsammans med deras adress utgör ett direkt personligt samband. Men även data som indirekt antyder att det rör en person är personbehandlingar. Det framgår tydligt av Artikel 4 nr 1 i GDPR. GDPR talar inte om direkt eller indirekt personligt samband, utan om identifierade eller identifierbara personer.
En person är identifierbar, så snart det objektivt är möjligt att man själv eller med hjälp av tredje part kan skapa en personsamband. Tredje parter kan till exempel vara telekommunikationsleverantörer, underrättelsetjänster eller myndigheter. Det spelar ingen roll om dessa tredje parter för närvarande kan begäras av dig att fråga efter personuppgifter. Det räcker med den objektivt planerade möjligheten. Till exempel kan en sådan möjlighet öppnas genom utredning. Det hade EU-domstolen i domen från 19 oktober 2016 – C-582/14 ("Breyer", IP-adresser är personuppgifter) fastställt. ([1])
Samtidigt har den EU:s Artikel 29-grupp fastställt att en person också betraktas som identifierbar om hon eller han kan skiljas från andra personer i en grupp. Detta uttrycktes i den så kallade Opinion 4/2007. Artikel 29-gruppen för dataskydd är föregångaren till Europaparlamentets och rådets beslut om ett europeiskt dataskyddsförbud (EDSA) och nämns faktiskt i Artikel 94 GDPR. Den har alltså en betydande relevans.
När är en person direkt identifierbar?
Ovan har jag redan gett ett exempel med en persons namn och adress. Denna data lag gör att man kan identifiera en person fullständigt och direkt. Alla data som direkt pekar på en person, gör den personen direkt identifierbar.
Om i en självhjälpsgrupp för anonyma alkoholister har en person grå hår och de andra inte har några grå hår, så skulle den ena personen kunna skiljas från de andra med hjälp av följande data: "Den person som det handlar om är i denna grupp och har grått hår".
Om man nu skulle identifiera personen med det, så hade man ändå inte direkt identifierat den. För om jag ser någon framför mig vet jag oftast inte vem denne är, hur denne heter och var denne bor.
Men det kan vara så att en person lider skada av att någon missbrukar deras data utan att det är känt var personen bor. Här uppstår frågan om det då inte räcker att ha den personen personligen framför sig för att upprätta ett direkt samband med personen. På denna fråga går jag här inte närmare in. Det vore en egen undersökning värd, som kanske bäst kunde skrivas av en jurist.
Vad är en indirekt personlig anspelning?
Om direkt personligt samband därför ska nekas, finns det ofta ett indirekt personligt samband. Detta är alltid att bekräfta när det finns en objektiva möjlighet att fullständigt identifiera personen.
Det exempel med den gråhäriga personen i gruppen av anonyma alkoholister visar att det finns ett indirekt samband mellan en person och datumet. För om den gråhäriga personen begår en brottslig handling kan man inom ramen för utredningen fastställa vem som exakt är den gråhäriga personen. Således är datumet "Person i gruppen är gråhärig" ett personbehandlat datum (naturligtvis i det angivna sammanhanget). För att det objektivt finns möjlighet till detta
- Den gråhäriga personen kommer att begå en brottslig handling och
- Den strafföreläggningsmöjligheterna i Tyskland tillåter att personen på grund av en misstanke om att begå ett brott kan identifieras fullständigt.
Man kunde identifiera den gråhäriges person också utan brottsbeteckning, till exempel om hon körde ett bil som var licensierat för henne och med vilket hon hade åkt till mötet i självhjälpsgruppen. En bil måste enligt vägtrafiklagen ha ett Kfz-kennzeichen fastsatt (det finns kanske bilar som inte uppfyller detta, men det är inte vad vi ska tala om här). Kfz-kennzeichenet är återigen kopplat till personen, alltså hennes namn och adress. Kraftförsäkringsmyndigheten känner till denna koppling. När bilen nu blivit inblandad i en olycka kan ägaren identifieras. En olycka är vanligtvis inte ett brott. Det kan faktiskt vara så att den gråhäriges förare av självhjälpsgruppen inte var skyldig till olyckan. Olycksorsaken måste i alla fall ge upp sina adressuppgifter åt den gråhäriges person för att säkerställa en ordentlig olycksutredning. Även om det är något som kallas "flykt från platsen" vill olycksorsaken undvika detta och skriver i tviveläget upp registreringsnumret på den skadade bilen, om denne inte kan hittas vid sin bil.
Om någon dock teoretiskt kan bli inblandad i en olycka, så är varje person som du möter faktiskt identifierbar. Det innebär att varje datavärde till en person som befinner sig fysiskt nära dig skulle vara ett personuppgiftsdatum. I alla fall gäller detta för personer som surfar på internet. Se till exempel avsnittet "Cookies" nedan. När du pratar med någon och den personen talar med dig från sin privata anslutning eller eget mobiltelefon, är också all data om din samtalspartner ett personuppgiftsdatum. GDPR gäller dock endast när data sparats eller delautomatiserat hanteras (se Artikel 2 nr 1 GDPR). Såvitt jag vet är signalöverföringen vid telefonier automatiserad.
Det är också sannolikt att man kan följa en person inom ramen för lagens rådighet för att se var hon har tagit vägen, kanske hem till sin bostad. Det bara för inspirationens skull.
Även platsen där en person befinner sig kan göra henne identifierbar. Man tänk bara på GPS-signal från mobilen. Jag hade läst någonstans att en strafförd kvinna överfördes, eftersom hennes Google-konto utvärderades. I mitt mobiler är i alla fall GPS-signalen nästan alltid avstängd (men inte för att jag hade tänkt begå någon brottslig handling, utan för att det stör mig att någon vet var jag befinner mig eller har varit).
Cookies
Laut Dataskyddsförordningen för elektronisk kommunikation spelar det ingen roll om kakor innehåller personuppgifter eller inte. ePrivacy-Richtlinien gäller ändå. I Tyskland är den främst genom § 25 TTDSG verkliggjord. TTDSG är ett särskilt lag som tillämpar GDPR. När TTDSG gäller utövar det sperrverkan mot GDPR. Först när den rättsliga prövningen enligt § 25 TTDSG beträffande kakor och andra slutanvändarens åtkomster är positivt avslutad, kommer enligt GDPR att prövas.
Uppdatering maj 2024: TTDSG heter nu TDDDG. Eftersom många läsare bara känner till TTDSG, används här fortsättningsvis den ursprungliga benämningen.
Lagring av kakor på din enhet (t.ex. i ditt mobiltelefon eller dator) och åtkomst till kakor som lagrats på din enhet är bara tillåten utan samtycke, om kakorna är obetingeligen nödvändiga. De flesta kakor är inte obetingeligen nödvändiga. Här spelar det ingen roll, om cookie-värderna är personuppgiftsrelaterade eller ej. Det är likgiltigt vilka värden som lagras i kakan; TTDSG gäller alltid härvid.
Nu sparas ett cookie på enheten och läses sedan ut igen. Därefter vill man säkert arbeta med cookievärdet, annars hade man kunnat radera cookie-talet lika väl. Denna Arbetet med cookievärdet faller under reglerna i GDPR. GDPR gäller bara för personuppgifter, till vilka även personidentifierbara uppgifter hör. Som ovan skrivits är det alla uppgifter som direkt eller indirekt kan peka ut en person.
Om ett cookies värde inte är personligt? Låt oss ta ett exempel som "xyz123". Även då är cookievärdet personligt. Vissa vill inte se detta eller hävdar motsatsen, för att det skulle vara fördelaktigt för deras kunder. För min förklaring till varför cookies värden alltid är personliga måste jag något utöka.
Alla data som förekommer i samband med personuppgifter är personuppgiftsliknande och därmed personuppgifter.
Se inlägg för detaljer.
IP-adresser är personuppgifter. Detta har EU-domstolen och Tysklands högsta domstol (Bundesgerichtshof) i sina Breyer-diskussioner 2016 respektive 2017 fastställt (se ovan för hänvisning till domarreferenser). Även dynamiska IP-adresser gäller detta.
Kakor skickas alltid dumt nog tillsammans med besökarens IP-adress till en webbplats. IP-adressen är personuppgift, så är också alla andra (potentiellt betydelsebelagda) värden som visas tillsammans med IP-adressen personuppgifter.
Kakor är alltså alltid personuppgifter. Det gäller därför alltid GDPR vid behandling av kakovärden, även om vissa vill diskutera bort det.
Sammandrag
Datablad är personuppgifter om de direkt eller indirekt hänvisar till en person. Enligt Rättslig definition ska personuppgiftsliknande data likställas med personuppgifter.
En datavärde som förekommer tillsammans med ett personligt datum blir automatiskt personuppgiftslik och därmed personuppgiftsbehandling. Detta kan kanske bara gälla om den datavärdet inte har någon betydelse, vare sig objektivt eller subjektivt. Subjektivt menas här att datavärdet självt för alla tänkbara mottagare av data inte har någon betydelse. Men då uppstår frågan varför datavärdet existerar överhuvudtaget. Kanske finns det ett meningsfullt exempel; jag kan tyvärr inte komma på något just nu.
Det är i stort sett likgiltigt hur länge en datavärde X existerar tillsammans med ett personuppgiftsrelaterat datavärde för att det ska räknas som personuppgifter. Detta hade till och med den inte kända för sin strenghet irländska dataskyddsförvaltningen i ärendet mot WhatsApp fastställt.
Det är också ointressant om data sparas eller inte, så länge de delvis eller helt automatiskt bearbetas. Om data vid tidpunkten för sin existens är personbehandling, är de personbehandling. Datenhantering börjar redan från den objektiva "önskade" kunskapsmöjligheten, som betecknas med Datenerhebung.
Överhuvudtaget är IP-adresser för Google på grund av personlighetsidentifierbarheten potentiellt alltid personlighetsidentifierbara, och det är sannolikt världen över oavsett hur straffrättsliga möjligheterna ser ut i varje land. För att en användare använder ett Google-tjänst som Gmail eller har ett Android-mobiltelefon kan denna användare objektivt identifieras. Ett mobiltelefon har ju en telefonnummer. Denna nummer är (i vissa länder) registrerad på en person. I Tyskland måste detta vara så (åtminstone gäller det för privattelefoner, och det handlar i denna artikel om privatpersoner och inte om företag). Gmail är återigen ett mejl-tjänst. Det ska finnas människor som får post till sin Gmail-adress, där namn och adress på den personen finns som äger Gmail-adressen.
Denna fråga hade jag redan undersökt i samband med Google Fonts avböner, för att visa att IP-adressen även i Österrike potentiellt alltid har en personlig anknytning.
Om man är osäker bör data anses som personuppgifter. Ofta uppstår tvivel bara för att man saknar förmågan att föreställa sig hur en datavärde skulle kunna hänvisa till en specifik person. I tillämpningar av artificiell intelligens är frågan om ett datavärdes personuppgiftsstatus inte lika lätt att besvara. För 100 datapunkter kan det vara oklart om de innehåller personuppgifter, men för 100 miljoner data punkter kan situationen vara helt annorlunda.
Ist man sich auf gatan underhåller, då faller samtalet inte under GDPR, eftersom det inte automatiskt hanteras eller sparas i ett filsystem. Även användningen av allmänt tillgängliga uppgifter är ofta möjlig inom ramen för den berättigade intresset. Förlitar sig Ytterligare uppgifter, så att personuppgifterna blir personbehandlingar, och det är objektivt inte möjligt för en viss plats X att få dessa Zusatzdaten, då handlar det inte om personuppgifter och därmed inte heller om personbehandlingar. Detta fall kommer särskilt till uttryck när Zusatzdaten ligger utanför den egna kontexten, t.ex. vid företag som plats X har inget samband med och som plats X kanske inte ens känner till.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
