På næsten hver hjemmeside findes der links til andre hjemmesider. Når en besøgende klikker på en link, bliver personlige data automatisk overført. Er det et problem med dataskydd? Hvad med målene for links i usikre tredjelande som USA?
Indledning
En link eller en henvisning er en Hyperlink, der på HTML-sider er mulig. En HTML-side er det, hvad mange forstår under betegnelsen "websted". HTML står for HyperText Markup Language.
I HTML findes såkaldte Tags. En Tag er en anvisning. En Tag bestemmer udseendet eller adfærden af en tekst. Med taggen <b> kan fettstil aktiveres for en tekstpassage. Taggen <a> definerer i stedet en link. Eksempel på en linkdefinition:
<a href="https://www.ein-linkziel.de">Klik her for at gå til den anden hjemmeside</a>
Dagen_ bliver defineret ved et linkmål, altså en måladresse (URL) og en tekst indlejret i den med a-tag. Når brugeren klikker på teksten, bliver måladressen opkaldt.
Dataoverførsel ved klik på en link
Først når en bruger selv klikker på en link, finder en dataoverførsel sted. Først da finder der således en dataindsamling sted. En dataindsamling forekommer, så snart der på grund af et tilbud fra en ansvarlig person data modtages og faktisk kan nå frem til den anbødende eller en tredje part.
En ansvarlig er i tilfælde af et ekstern link den Udbyder af links, altså den ansvarlige for hjemmesiden, der indeholder det eksterne link.
De data, der overføres ved klik på en link, er teknisk nødvendige og bestemt af internettets protokol TCP. TCP står for Transmission Control Protocol.
Overførte data indeholder brugerens IP-adresse. IP-adressen som netværksadresse er en personlig værdi. Dette har EU-domstolen og Tysklands Højesteret fastlagt. Det gælder også for dynamiske IP-adresser, altså dem der regelmæssigt uddannes igen. Selv hvis en bruger hver dag får en ny IP-adresse fra sin internetleverandør, betragtes denne som personlig.
Hver gang du klikker på en ekstern link, bliver personlige oplysninger overført til en tredje part
Følge af Internettets protokol TCP
Databehandling ved målsted
Linkgiveren er ikke ansvarlig for databehandling, som linkmålet selv foretager. Det ville være anderledes, hvis der var en instruks fra linkgiveren. Selve også en fælles ansvarlighed mellem linkgiver og linkmål, der kan komme til stand ved et kontrakt, er en anden situation.
Linkmålet er selv ansvarlig for behandlingen af dataene, som det modtager på grund af klik på den eksterne link på hjemmesiden af linkgiveren.
Mål i et trygt tredje land
I et trygt tredjeland er en tilsvarende niveau af dataskydd ifølge GDPR i det mindste officielt og formelt sikret.
Er det linkmål ligger i et trygt tredje land, er linkgiveren kun ansvarlig for overførslen af data og indsamlingen af data, som han selv har igangsat. Overførslen er teknisk nødvendig. Der findes ikke noget, hvori nogen kunne være ansvarlig. En ansvarlighed kan være til stede. At være uden ansvar, er faktisk det samme som ikke at være ansvarlig.
Indsamlingen af data til linkmålet må kun ske i den udstrækning, der er tilladt på grund af DSGVO. Eksempelvis kan linkmålet udføre tiltag til sikring af systemerne mod hackerangreb, men ikke oprettelse af protokol om IP-adresser til markedsføringsformål. Herfor er linkmålet ansvarlig.
I dette tilfælde er linkgiveren i virkeligheden hverken ansvarlig på grund af datatransferet eller på grund af dataindsamlingen.
Der er i virkeligheden ingen ansvarlighed for en linkgiver ved links mål i sikre tredjelande.
Mål i usikker tredjeland
Et mere komplekst er at overveje ved linkmål i usikre tredjelande. USA er og bliver et usikkert tredjeland, så længe den amerikanske Cloud Act har gyldighed i sin nuværende form. Derved ændrer også enhver fastsættelse af EU ikke noget. Desværre har EU solgt vores grundrettigheder ved at indgå et rene politisk motiverede privatlivssikkerhedsaftale med USA, der hedder Data Privacy Framework (DPF). DPF bygger på en Executive Order af den amerikanske præsident, som kan tilbagekaldes når som helst. Uafhængigt herfra bliver EU-borgere ikke godt beskyttet mod US-espionnage. Den krone, der sættes på hele sagen, er, at et organ i USA betegnes som en domstol, men det er ikke en egentlig domstol, men snarere en scene. Uafhængigt herfra skal der undersøges, hvilke tredjelande, der kommer i spil, når en leverandør af tjenester bliver beskyttet med data. Især ved Google bliver ofte mange andre tredje partier fra andre tredjelande indflettet, hvor ofte ingen tilfredsstillende afgørelse findes.
Art. 44 DSGVO definerer almindelige principper for dataoverdragelse. Disse principper siger, at en overdragelse af personlige oplysninger_, „_som allerede er blevet behandlet eller skal blive behandlet efter overdragelsen til et tredjeland eller en international organisation“ kun er tilladt under bestemte betingelser.
Overførslen af data til USA er kun tilladt efter tidligere samtykke fra en berørt person. En behandling af de overførte data ved linkkilden har ikke allerede fundet sted.
Derved opstår flere spørgsmål ved eksterne links.
Klikker en bruger på en sådan link, har han så givet samtykke? Et samtykke er ifølge Art. 4 Nr. 11 DSGVO „hver frivillig og udtrykkelig afgivet viljestænkt erklæring eller anden tydelig bekræftende handling, hvorved den pårørte person forstår sig til at være enig i, at der foretages behandling af de personoplysninger, som angår hende“.
En klassisk samtykke, som man kender fra såkaldte Cookie Popups, er anderledes udformet. Der klikkes på Tilladelse eller Afgørelse. En afvisning er der i det bedste tilfælde lige så let som en tilladelse. En samtykke ved klik på en link forekommer ifølge min mening, hvis brugeren først blev informeret. Fordi en samtykke kræver et klik, mens afvisning ikke kræver et klik, altså ikke mere arbejde, men faktisk mindre.
En information til brugeren kan i virkeligheden kun ske, hvis en ekstern link er tydeligt erkendelig. Mange hjemmesider viser interne og eksterne links på samme måde. Det er ikke nok ifølge min vurdering for at informere brugeren. Fordi brugeren kunne være bange for at klikke på en ekstern link, yes sådan at de muligvis ikke klikker på nogen link overhovedet. Dette kunne måske blive afhjulpet ved tilsvarende tydelige linktekster eller ved en generel oplysning om, at ingen eksterne links anvendes eller disse indebærer dataoverførsel til usikre tredje lande.
Når en bruger klikker på en link, der viser til USA, så skal efter Art. 44 DSGVO data efter overdragelse i USA blive behandlet? Ja, fordi en behandling allerede finder sted ved en opsamling af data. En opsamling af data sker næsten altid, når en hjemmeside bliver besøgt (undtagen hvis hjemmesidenes besøg blokeres eller ikke finder sted på grund af sjældne årsager, f.eks. på grund af en forbindelsesafbrudning).
Hvor lander dataene, når man klikker på en link?
Spørgsmålet om hvornår en dataoverførsel til et usikkert tredjeland finder sted, hænger sammen med hvem der er modtager af dataene. På internettet er det ikke så let at svare på dette spørgsmål.
Vejen fra data er præget af en start- og en slutpunkt. Startpunkten er brugerens browser på en hjemmeside. Slutpunkten er serveren, der modtager brugerens anmodning, i vores tilfælde serveren, der repræsenterer linkmålet.
Normalt er der en server, hvor en hjemmeside, altså et linkmål, findes. Men ikke sjældent sker der en lastfordeling. Især større virksomheder som Google bruger denne metode. Men også hjemmesider fra tyske online butikker bruger ofte en lastfordeling til sikring mod fald, fx via et Content Delivery Network (CDN) som Cloudflare.
Hvad er målet?
Under en lastfordeling kan den Domain Name Service (DNS) være med til at bestemme, hvilken server der faktisk bliver valgt. Den DNS kan endda selv vælges af brugeren. Forskellige DNS kan teoretisk set returnere forskellige målservers for en forespørgsel til samme adresse på samme tidspunkt.
Der er ikke nødvendigvis kun det land, hvor en server befinder sig, der er relevant for, om f.eks. den amerikanske efterretningstjeneste har adgang til den. Man skal i stedet se på hele organisationen. En filial af en amerikansk central, som sidder i Tyskland, og hvor centralen selv har anførselsrettigheder, kan efter min mening også blive bedt om at udleverer data af amerikanske myndigheder. Enten overtræder så centralen amerikansk eller europæisk lov. Jeg ville gætte, at hjemlige firmaer hellere holder sig til nationale love end tilfredsstiller udenlandske instanser eller personer.
Kurzum: De ved ofte ikke, hos hvem dataene lander, der udspringer fra en link. Så snart den ansvarlige på en hjemmeside får kendskab til dette, opstår spørgsmålet om han så ikke også er ansvarlig for at viderelede til linkmålet.
Målformning
Men det er ikke nok af usikkerheden: Lad os antage, at du linker til en hjemmeside X. Serveren for dette ligger i Tyskland, og ejeren er en ren tysk virksomhed. Så vidt er alt godt. Nu kan dog ejeren af hjemmesiden (domænet) opgive adresse, hvorpå en tredje person kan overtage denne. Eller ejeren beslutter sig for at omlede adresse X til adresse Y. Y kan ligge på hvilken server som helst.
Så snart linkgiveren bliver klar over, at der er tale om et nyt mål, kan det for hamme føre til en ansvarlighed.
Vejen til målet
Desuden spørger man sig, hvilken vej dataen tager fra start til slutpunkt. Går dataen igennem en amerikansk knudepunkt, er adgangen til af en amerikansk efterretningstjeneste mulig. Denne spørgsmål stilles også for links, der viser på en side af den netsted, man lige har besøgt. Derfor kan dette spørgsmål ifølge mig (til videre) betragtes som irrelevant, da det er for langt førende.
Her gælder min vurdering også, at kendskabet til vejen fra linkkilde til linkmål af linkgiveren kunne betyde en ansvarlighed for vejene med data.
Hvad for en ansvarlig omfang kan opstå?
Til at begynde med skal det fastslås, at linkgiveren ikke indsamler data fra en linkklik på sin egen side. Den situation, hvor dette kunne ske, skal her ikke videreudvikles, fordi det ville være et tilfælde, som linkgiveren selv skulle stå til regnskab for.
Databehandling ved linkmålet ligger ikke i ansvarligheeden af linkgiveren. Han ville være muligvis alene eller sammen ansvarlig, hvis databehandling ved linkmålet også var sket ud fra eget interesse af linkgiveren eller hvis der var en kontrakt mellem linkgiver og linkmål.
På hjemmesider skal eksterne links være tydelige og deres risici nævnt.
Min anbefaling
Overførslen af data til et usikkert tredje land på grund af klik på en ekstern link skal først tilskrives linkgiveren som ansvarlig. Ansvarligheden kan kun reduceres eller elimineres ved, at brugeren ved klik på en ekstern link har kendskab til de risici, der følger med det.
Er linkgiveren i kendseligt opmærksom på kritiske omstændigheder, opstår herfra ifølge min mening yderligere spørgsmål vedrørende ansvarlighed.
Hvis ansvarlig person ikke markerer eksterne links korrekt eller informerer brugeren tilstrækkeligt om mulige risici, er han således ansvarlig for de privatlivsrelaterede problemer, der kan opstå på grund af overførslen af data til usikre tredjelande.
Andre ansvarligheder
Blandt dataskyddsspørgsmål stilles også indholdsmæssige og rettighedsrelaterede spørgsmål, når der henvises til tredje part.
En linkgiver er ansvarlig for at fjerne en link, så snart han får kendskab til ulovlige indhold på målområdet. Dette har ikke med dataskydd at gøre og vil herfor ikke viderebeskrives.
Desuden bliver sager her ikke videre undersøgt, hvor linkgiveren har forbindelse til linkmålet, f.eks. gennem en aftale.
Konklusion
En ansvarlighed for eksterne links, der viser til hjemmesider i sikre tredjelande, kan næsten udelukkes. Dog består et lille restrisiko på grund af den evige mulighed for, at linkmålet leder videre til et nyt mål. Desuden kan en datterselskab af en amerikansk moder tilskrives, hvormed placeringen af det egentlige linkmål ikke længere alene er afgørende.
Bortset fra spørgsmålene, der DSGVO opstiller, er en bestemmelse i Telemediengesetzen faldet mig op. Den har en vis ekspansionskraft.
§ 13 Abs. 5 TMG lyder:
Overførslen til en anden serviceleverandør skal meddeles brugeren.
§ 13 Abs. 5 TMG -> § 13 stk. 5 TMG
I hvilken udstrækning TMG erstatter DSGVO, skal det nøje overvejes. Har loven ikke været i stand til at implementere europæiske krav, kan man antage, at en med europarettens konform udgave af TMG skal foretages. Det blev dog afgjort i BGH-Udvalget Planet 49 for § 15 Abs. 3 TMG. Denne bestemmelse fra TMG skal derfor efter Art. 5 Abs. 3 ePrivacy-directive tolkes. Derved opstår en samtykningskrav efter directives, som ikke er nævnt i TMG.
Så længe jeg tror, at § 13 TMG i det mindste delvist erstattes af DSGVO. Dermed er videreoverførsel til en anden tjenesteyder ikke nødvendigvis at være eksplicit anført. Af ovennævnte årsager er dette dog meget at anbefale eller måske endda indirekte følge af. Det er også muligt, at kun en del af § 13 TMG erstattes af DSGVO, ikke dog afsnit 5. Det lyder for mig realistisk, da en strengere tysk reglementering går op i europæiske DSGVO ikke imod.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
