Hvis cookies indeholder personlige oplysninger, er det relevant på flere grunde. EU's dataskutzon (GDPR) regulerer kun omfanget af personlige eller tilknyttede data og ikke specifikt cookies. Begge aspekter er også relevante for tilsynsmyndighederne og muligvis deres bødeprivilegier.
Indledning
Artiklen opstod før bekendtgørelse og ikrafttræden af TTDSG. Jeg har tilpasnet den. Dens oprindelige form er i sig selv overdragelig på nutidens stand. Kun henvisningerne til TTDSG i stedet for ePrivacy eller TMG skal vurderes anderledes.
Det emne har Stephan Plesnik og jeg også taget op i privacy Deluxe-podcasten (Episode 18):
Det er kendt, at GDPR først og fremmest ikke gælder for cookies, men for personlige oplysninger. TTDSG siger imidlertid, at cookies kun må gemmes eller tilgås på en brugers enhed, hvis der er en samtykke fra den pårørte person (teknisk nødvendige cookies er udelukket herfra). Denne artikel blev skrevet før TTDSG trådte i kraft og henviser delvist til TMG. TTDSG er et særligt lov til GDPR, også kendt som lex specialis.
Er cookies personlige data?
Der BGH afgjorde midt i 2020 i Planet49-aflægningen, at § 15 Abs. 3 TMG skal tolkes i overensstemmelse med Art. 5 Abs. 3 ePrivacy directive. Den tyske lovgiver var igen meget langsom og havde ikke implementeret ePrivacy directive i nationale love, selv om det var en europæisk krav. Først den 01.12.2021 trådte med TTDSG det personlige dataskyddsforskrift for Tyskland i kraft, der udfyldte europæiske krav. I maj 2024 bliver TTDSG til TDDDG og TMG til DDG. De nye love er lige så gamle som de gamle og har kun en ny betegnelse (da nu "tjenester" i stedet for "medier" bliver taget hensyn til).
Inden for den 01.12.2021 var også § 15 Abs. 1 TMG spændende. Der stod oprindelig:
Tjenesteyderen må kun indsamle og bruge personlige oplysninger om en bruger, hvis det er nødvendigt for at tillade og afregne brug af telemedier (brugsoptegnelser).
§ 15 Abs. 1 TMG (Uddrag)
Denne passage er særligt relevant, når det handler om, om tyske myndigheder for dataskydd kan udstede bøder på grund af ulovligt brug af cookies. Det kommer her ved til at være afgørende, om cookies indeholder personlige oplysninger eller ej. Jeg ser ikke på de landsspecifikke love fra tyske myndigheder for dataskydd, selvom disse i enkelte tilfælde måske kunne gøre spørgsmålet om personbevægende cookies overflødige.
Hvad er cookies?
Cookies er dataarkiver. Et kik bliver administreret på brugerens enhed. En bruger er ejeren af en enhed. Når en bruger åbner en hjemmeside i sin browser, administrerer browseren for brugeren cookies fra besøgte hjemmesider. Cookiesne bliver gemt af browseren i et tilfældigt format.
Et cookie består af et datapar, der består af navn og værdi. Dette datapar sendes til hjemmesiden, når en bruger besøger siden. Hvis en hjemmeside indlæser plugins og disse plugins bruger cookies, får pluginene disse datapar. Der bliver ikke nogen cookies fra brugeren sendt til de hjemmesider, der er blevet opkaldt, men i stedet navn og værdi af hver cookie.
Cookies er "bare" en slags tilgang til enheden. Man kan også med JavaScript oprette en sådan tilgang. TTDSG omfatter endda enheder uden skærm, som sender deres målinger over et netværk. Til disse enheder kan opdateringer indsættes. Sådanne opdateringer er også tilgange på samme måde som kiks.
Personlige data?
TMG gav her ingen tilstrækkelig information. Selv i TTDSG finder man ikke meget herom. I stedet kan man prøve at finde det i BDSG og GDPR, der begge (jeg er ikke jurist) kunne være relevante for TTDSG. Mindst GDPR er dog relevant for dataskyddsmyndighederne. Og mindst enten BDSG eller GDPR er relevant for TTDSG, ifølge min naive mening. Bed venligst om at korrigere mig hvis jeg har ret i forkert.
Artikel 46 Nr. 1 BDSG stelt: Persoonsgegevens zijn …
… alle oplysninger, der henviser til en identificeret eller identificerbart naturlig person (berørte person); som identificerbart anses en naturlig person at være, hvis hun direkte eller indirekte, især ved henførelse til en identifikationsnummer som et navn, en identifikationsnummer, placeringsspecifikationer, en online-identifikationsnummer eller ét eller flere særlige træk, der udtrykker den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet af denne person, kan identificeres
§ 46 Nr. 1 BDSG (Uddrag)
Persondata er
alle oplysninger, der henviser til en identificeret eller identificerbart fysisk person (herunder 'den berørte person'); som identificerbart anses en fysisk person være, hvis den direkte eller indirekte kan identificeres, herunder ved hjælp af tilknytning til en identifikationsnummer såsom et navn, en identifikationsnummer, placeringsspecifikationer, en online-identifikationskode eller én eller flere særlige træk, der udtrykker den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet af denne fysisk person
Art. 4 Nr. 1 GDPR (Auszug)
Definitionerne fra BDSG og GDPR siger, at ud fra datoen er personbehandling af dato, hvilket betyder, at dette dato skal være anses som personrelateret. Hermed menes udelukkende fysiske personer.
Spørgsmålet om, om cookies repræsenterer personlige data, kan således reduceres til spørgsmålet om, om cookies repræsenterer personbehandlesbare data. Personbehandlesbare data er i hvert fald mere end personlige data. Dette fremgår af definitionen.
Er cookies personlige data?
Den egentlig relevante (enkelte) spørgsmål.
Hvad er cookies?
Cookies er dataindgange. Kiks er uden tvivl ikke tekstfiler, som mange påstår. Cookies er heller ikke tekstfiler, blot fordi man ikke kan komme på en bedre betegnelse, der efter GDPR skal være let at forstå. Der findes bedre betegnelser end tekstfil, selv om de stadig er lette at forstå. Eksempelvis informationskager i stedet for dataindgang, selv om jeg tror, at dataindgang er let at forstå. Det er bedre, hvis man beskriver, hvad kiks bruges til, nemlig til at gemme informationer på brugerens computer (eller på en endeanordning, som f.eks. et smart home-apparat).
Et cookie består af en tuple, altså et Wertepaar. Parret dannes af en Navn og en Værdi. At der er tale om en tuple spiller ingen rolle. En éndimensionel værdi er ekvivalent. Den kan opnås ved at føje sammen navn og værdi, som holdes adskilt af et defineret skillelement.
En Cookie opstår, når en tjeneste skaber den. En tjeneste er enten en hjemmeside, der selv kan skabe cookies, hvis det er nødvendigt. Ofte sker dette ved cookie-udskiftning til sessionshåndtering. Derved kan det følges op, om en bruger er logget ind eller ej. WordPress f.eks. bruger cookies til at gøre det muligt for brugeren at logge ind. Hermed kan kun såkaldte First-Party Cookies opstå, der både teknisk og fagligt hører hjemme hos den første part. Den første part er ejeren af hjemmesiden eller ansvarlig for hjemmesiden.
Desuden kan et cookie oprettes ved hjælp af JavaScript-logik. Her dannes også tekniske First-Party Cookies. I tilfælde af Google Analytics ligger der dog fagligt en Drittpartei-Cookie fordi det administreres af Google.
Sidst kan cookies opstå, når filer hentes fra en (andet) server. Eksempelvis opstår cookies, når Google reCAPTCHA henter filer fra en hjemmeside. Disse cookies er teknisk og fagligt tredjepartscookies.
| Sag | Technisch cookietype | Cookie type onderwerp-spefic |
|---|---|---|
| Hjemmeside forvalter egne cookies | First-Party | First-Party |
| JavaScript-logik til tredje person | First-Party | Third-Party |
| Filindlæg fra tredjeparts-server | Third-Party | Third-Party |
Cookies bliver af hver enkelt bruger separat håndteret af browseren. Hver enkelt bruger har således potentielt andre kiks på sin enhed end andre brugere. Cookies er den nuværende (gældende) information ifølge § 25 TTDSG, der gemmes i enheden af brugeren, når det drejer sig om websteder. På smartphones kommer f.eks. Apple og Googles reklame-ID til. Med Google FloC, en allerede mislykket forsøg fra Google på at være datenschutzvenligere, gemmes Kohorten-IDs i enheden af brugeren. Også Google Topics søger til enheden af brugeren.
Hvilke cookies der er gemt på et enhed, afhænger af hvilke websteder en bruger har besøgt før. Alene derved bliver det allerede tydeligt, at såkaldte Cookie Scanner aldrig kan fungere tilfredsstillende.
Hvad slags data gemmer cookies?
Man kan ikke sige det her i almindelighed. Alle mulige data kunne potentielt gemmes i ét eller flere cookies. Her er nogle eksempler på værdier af cookies. Kun værdierne er angivet, fordi navnene bestemmer den tolkning og betydningen af værdierne er nævnt i oversigten.
| Værdi | Eksempelværdig betydning |
|---|---|
| X | Cookie pop-up is bevestigd (“Ja/Nee” informatie) |
| ab6729cc92027fd165442 | Unik identifikator for en bruger |
| 2021-12-07 12:51:22 | Tidsstempel, omkring sidste besøg på hjemmesiden |
| UA-4711-4712 | Google Analytiks-konto til webstedets ejer |
| 7777-8888-9999-aaaa-2222 | Brugernøglen til Googles bruger, der er logget ind på et Google-konto |
| 8.56829,50.22336 | Brugerens placering |
De fet skrevne værdier er direkte personbevidste. Er derfor en værdi, der er gemt i et cookie, personbevidst, så følger det logisk også, at cookie som data-beholder er personbevidst. I hvert fald bliver værdien af cookie overført til passende domæne hver gang data bliver læst og kan derefter læses ud.
Et cookie med en personligt knyttet værdi er personligt knyttet og derfor alene på grund af det at betragte som en personlig oplysning.
Min konklusion til cookies.
Cookie-typerne er i virkeligheden ikke af betydning, når man skal afgøre, om en databehandling foregår, hvis de faktisk bliver læst ud. En dataindsamling finder allerede sted ved objektiv kendskab til dataene, hvis denne indsamlingsprocess udføres på grund af et tilbud. Et tilbud findes altid på en hjemmeside. Mindst én implikerede databehandling foregår ved Third Party Cookies altid. Det samme gælder for First Party Cookies fra den besøgte hjemmeside selv, der overføres ved filindlæsninger. Personenreferencen består her alene på grund af kommunikationskanalen, tilføjet til yderligere grunde.
Det er helt tydeligt med cookies som Google Analytics. Værdierne af disse bliver eksplizit læst ud af en JavaScript-logik, for derefter at blive sendt til en Google-server, der altid ligger i USA.
Nu til spørgsmålet om hvad der sker med cookies, som ikke indeholder personlige værdier. Er så cookies som Databehåller, der er gemt på et endeværkt til en person, personbezirende?
Til at begynde med er det teknisk bevist, at cookies har en Personreferens. Jo, de bliver i enhver enhed af en bruger, altså en person, administreret.
Vi har specifikke cookies, der hver gang kan tildeles en person via hendes enhed, og jeg synes, at disse også er personbevarende. Ifølge min mening omfatter dette også e-privatighedsdirektivet, som siden december 2021 i Tyskland er blevet implementeret eksplizit over § 25 TTDSG. Dette gælder ifølge min mening også, hvis e-privatighedsdirektivet sætter beskyttelse af enhederne i forgrunden.
Analog gælder det også for "Trafikdata" (metadatablad), der med over 90 % sandsynlighed kan føres tilbage til en person. Se henvisningerne i slutningen af artiklen.
Trafikdata forstås her i teknisk forstand. Der er også en juridisk betydning af begrebet, som jeg ikke behandler her!
Med trafikdata mener jeg her den digitale fingerabtryk af en bruger, der benytter en browser. Dertil hører skærmens opløsning, versionen af operativsystemet, tidszonen og andre data, selv IP-adressen. Med IP-adressen er sandsynligheden endnu meget større, at man kan trække konklusion om en individuel person. Selv uden denne netværksadresse lykkes det at tilordne hvilke som helst trafikdata til en person med en sandsynlighed på over 90 %.
Ikke uden grund havde EU-domstolen i domen til IP-adresser fastlagt, at selv dynamiske IP-adresser kan regnes som personoplysningsdata. Dynamiske adresser kan skifte dagligt eller endda oftere (som et eksempel kunne være Reconnect, altså genopforbindelsen).
Når cookies læses ud, følger nødvendigvis alltid brugerens IP-adresse med ved læsningen. Således er cookies, selv om de alene ikke ville være personbevarende (hvad de dog efter min beskrivelse og mening er), altid forbundet med det personbevarende dato for netadressen. Selv hvis netadressen anonymiseredes, blev den først nødvendigvis indhentet. Det er jo også grund til, at efter artikel 12 i GDPR hver hjemmeside skal indeholde en beskrivelse af dataskydd (så længe hjemmesiden ikke er tom, dvs. hvis den udbyder et tilbud). Anonymiseringen som behandlingsgang skulle være mulig, men det er ikke så let at retfærdiggøre, som man spontant kunne tro. ([1])
Cookies og den af højesterets afgørelse personlige netværksadresse til en person er altid sammen tilgængelig. Alene derfor synes kiks at være personbevidst.
Logisk følge af en teknisk givenhed
Konklusion
Efter alt det kommer jeg til følgende konklusion: Cookies er i sig selv, i deres funktion som dataarkiver, altid placeret på en persons enhed, personbehandlende og dermed personbehandling af data, fordi adgangen til kiks kun kan ske i forbindelse med den personbehandlende netværksadresse.
| Faktum | Argument for personlig tilknytning |
|---|---|
| Personligt cookie-værdi | Personligt tilhørende cookie-værdi |
| Lagringsted for alle cookies | Brugeregenskab kan via placering/GPS-signal, identifikator (annoncør-id o.s.v.) og netværksadresse til en person knyttet være |
| Netværksadresse ligger altid sammen med cookies foran | Netværksadresse indeholder personrelateret information |
| Ligning af cookies til trafikdata og IP-adresser | Trafikdata er personrelaterede, IP-adresser er endda personlige |
Til cookies med personbehandling over værdiformidling spørger man sig selv ikke længere, hvad der er personbehandlet ifølge min mening.
Faktumet, at Cookies på en brugers enhed, der er tilknyttet en person, bliver lagt, viser også, at Cookies har en personlig dimension.
Den faktum, at den potentielt altid personenbezogene Netzwerkadresse alt også i Zugriff er, når en cookie sættes eller læses ud, viser videre personbezug af cookies.
Selv om det faktum, at ePrivacy-richtlinien cookies, uanset værdien af dem, erklærer som en forpligtende accept (se også EuGH-dom i Planet49), kunne være et indikator på personbehandling af cookies. Jeg blev dog opmærksomt på, at ePrivacy-richtlinien først og fremmest har til formål at beskytte beskytter enheden af en bruger. Enheden af en bruger er åbenlyse personbehandlet, fordi den kan tilknytnes en bestemt person, der ejer den. ePrivacy-richtlinien beskytter især privatlivet. Privatlivet er direkte forbundet med personbehandling, synes jeg. Dette bliver også tydeligt i Rn. 24 af richtlinien. I Rn. 25 henvises dog også til brug af en enhed af flere brugere.
Selv kendskab til trafikdata fra en bruger uden kendskab til hans IP-adresse er tilstrækkelig til at med over 90 % sandsynlighed trække en enkelt person op.
Ligesom dommen fra EU-domstolen, at selv dynamiske IP-adresser er persondata, er et indikator for, at cookies har en tilknytning til en person. Fordi dommen sætter den tilknytningspunkt meget tidligt. Selv om det næsten ingen kan gøre, at man på basis af en IP-adresse kan trække en person ud, spiller dette ikke nogen rolle ifølge EU-domstolen. Også Tysklands Højesteret har nyligt klaret op (Dom fra 15.06.2021, Az. VI ZR 576/19), at begrebet persondata eller personbezirkende data er bredt forstået. Højestereten skriver, at begrebet persondata omfatter potentielt alle slags informationer, både objektiv og subjektiv natur i form af udtalelser eller vurderinger, under den betingelse, at det drejer sig om informationer om den pågældende person. Den sidste nævnte betingelse er opfyldt, hvis informationen på basis af sin indhold, dens formål eller dets virkning er forbundet med en bestemt person..
Cookies er persondata.
Min konklusion, som jeg gerne vil diskutere.
Jeg følger derfor med, at cookies altid skal betragtes som persondata. Selvfølgelig er jeg åben for modargumenter og klar til at revidere eller korrigere min mening, hvis der er rationelle grunde til det.
Følgende gældte før TTDSG trådte i kraft: Alene allerede efter det nævnte kunne også tyske tilsynsmyndigheder ifølge § 15 Abs. 1 TMG udbetale bøder på grund af ulovligt anvendte cookies, og dette i den værste mulige juridiske situation.
Tyve tyske myndigheder synes ikke at være parat til dette på bred front. Hvad kan det være grundet? Det kan ikke længere være den kompleksitet af emnet. Mange ting burde nu endelig være kendt og afgjort, eller hvis nødvendigt ført til en dommer for at blive afgjort.
Referencer til fingeravtrykning
Fingerprinting er en mulighed for at fra trafikdata til et system på en brugers computer at trække konklusioner omkring den enkelte bruger, og således kunne denne bruger forskellige fra andre brugere. Ved Fingerprinting behøves ikke engang et faktisk personligt dato at være til stede. I stedet giver summen af de kendte træk på en brugers system en meget god mulighed for at trække konklusioner omkring et individ. Således er den (digitale) fingerabdrud af en bruger et personenbezogen, altså personligt dato.
Jeg sammenligner hermed følgende kilder:
- aepd (Spanische Datenschutzbehörde): Survey on Device Fingerprinting (ohne Datum, spätestens Jahr 2018): https://www.aepd.es/sites/default/files/2019-09/estudio-fingerprinting-huella-digital-EN.pdf
- Henning Tillmann: Diplomarbeit: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen (20.10.2013): http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf ; siehe auch online Demo: https://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/
- Electronic Frontier Foundation, Peter Eckersley: How Unique Is Your Web Browser: https://panopticlick.eff.org/static/browser-uniqueness.pdf . Online Test: https://panopticlick.eff.org/
- Google Patent til Device Fingerprinting
- Yderligere Google Patent til enhedsfingeravtryk
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
