Als cookies personenbezogene gegevens zijn, is dat van meerdere redenen relevant. De GDPR regelt (alleen) de omvang met personenbezogen of personenbeziehbare gegevens, niet echter met cookies in het bijzonder. Beide zijn ook voor toezichthoudende autoriteiten en eventueel hun boeteprivilege relevant.
Inleiding
De artikel is geschreven voordat het TTDSG bekend what en in werking getreden what. Ik heb het aangepast. Zijn oorspronkelijke vorm is op zichzelf overdraagbaar naar de huidige stand van zaken. Alleen de verwijzingen naar TTDSG in plaats van ePrivacy of TMG zijn anders te beoordelen.
Het thema hebben Stephan Plesnik en ik ook in het privacy Deluxe-podcast aangehaald (aflevering 18):
De bekende wetgeving van de GDPR geldt eerst niet speciaal voor cookies, maar voor persoonsgegevens. Het TTDSG zegt echter dat cookies alleen in het eindapparaat van een gebruiker opgeslagen of toegespeeld mogen worden als er een toestemming is van de betrokken persoon (technisch noodzakelijke cookies zijn hieruit uitgezonderd). Deze bijdrage is voordat de TTDSG in werking trad ontstaan en verwijst in delen nog naar het TMG. Het TTDSG is een speciale wet voor de GDPR, ook wel lex specialis genoemd.
Zijn cookies persoonsgegevens?
De Hoge Raad besliste in het midden van 2020 in de Planet49-uitspraak dat § 15 lid 3 TMG conform is aan Artikel 5 lid 3 ePrivacy Richtlijn. De Duitse wetgever what weer eens heel langzaam en had de ePrivacy Richtlijn niet in nationaal recht omgezet, ondanks de Europese voorschriften. Pas op 01.12.2021 trad met het TTDSG het Datenschutzgesetz voor Duitsland in werking, dat de Europese voorschriften uitvoert. In mei 2024 wordt het TTDSG omgezet in het TDDDG en het TMG in het DDG. De nieuwe wetten zijn gelijk aan de oude en hebben alleen een nieuwe naam (omdat nu "diensten" in plaats van "media" worden meegenomen).
Tot voorbij de 01.12.2021 what ook § 15 Abs. 1 TMG spannend. Daar heet het aanvankelijk:
De dienstverlener mag persoonsgegevens van een gebruiker alleen verzamelen en gebruiken, zover dit noodzakelijk is om de inzet van telemedia mogelijk te maken en af te rekenen (gebruiksgegevens).
Artikel 15, lid 1 TMG (samenvatting)
Deze passage is vooral relevant als het gaat om de vraag of Duitse toezichthoudende autoriteiten voor het gebruik van illegale cookies boetes mogen opleggen. Hierbij speelt het antwoord op de vraag of cookies persoonsgegevens zijn een belangrijke rol. Ik beschouw hierbij niet de landelijke wetten die door de Duitse toezichthoudende autoriteiten gelden, hoewel deze in individuele gevallen mogelijk rechtstreeks de vraag naar het persoonsgebonden karakter van cookies kunnen maken overbodig.
Wat zijn cookies?
Cookies zijn gegevensopslag. Een cookie wordt op het apparaat van de gebruiker beheerd. Een gebruiker is een eigenaar van een apparaat. Als een gebruiker een website belt via zijn browser, beheert de browser voor de gebruiker de cookies van de bezochte website. De cookies worden door de browser in een willekeurig formaat opgeslagen.
Een cookie bestaat uit een gegevenspaar dat uit naam en waarde bestaat. Dit gegevenspaar wordt bij het oproepen van een website naar de website gestuurd. Bindt een website plugins in en maakt deze plugins gebruik van cookies, dan ontvangen de plugins deze gegevensparen. Er worden geen cookies van het eindapparaat van de gebruiker naar de opgeroepen mediakanalen gestuurd, maar naam en waarde van elk cookie.
Cookies zijn „niet meer“ dan een soort van toegang tot het apparaat. Ook met JavaScript kan zulke toegang plaatsvinden. Het TTDSG richt zich zelfs op apparaten zonder scherm, zoals sensoren die hun meetgegevens via een netwerk versturen. Voor dergelijke apparaten kunnen updates worden ingevoerd. Ook dergelijke updates zijn toegangen, vergelijkbaar met cookies.
Wat zijn persoonsgegevens?
Het TMG geeft hierop geen voldoende inzage. Ook in het TTDSG vindt men weinig hiervan. In plaats daarvan kan men het BDSG en de GDPR aanspreken, die beide (ik ben geen jurist) voor het TTDSG van toepassing zouden kunnen zijn. Ten minste de GDPR is in elk geval relevant voor de toezichthouder op het gebied van privacy. En ten minste het BDSG of de GDPR zijn voor het TTDSG van toepassing, zo is mijn naïeve mening. Kunt u mij corrigeren als ik me vergis.
In § 46 Nr. 1 BDSG steht: Personenbezogene Daten sind …
… alle informatie die zich op een geïdentificeerde of te identificeren natuurlijke persoon (betrokken persoon) betrekking heeft; als identificeerbaar wordt een natuurlijke persoon beschouwd die rechtstreeks of onrechtstreeks, in het bijzonder door toewijzing aan een identificatienummer zoals naam, identificatienummer, locatiegegevens, online-identificatienummer of één of meerdere specifieke kenmerken die uitdrukking geven aan de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van deze persoon, kan worden geïdentificeerd
Artikel 46, lid 1 van de Wet bescherming persoonsgegevens (BDSG) (samenvatting)
Persoonsgebonden gegevens zijn…
alle informatie die zich op een geïdentificeerde of identificeerbare natuurlijke persoon (in het vervolg 'betreffende persoon') betrekking heeft; als identificeerbaar wordt een natuurlijke persoon beschouwd die rechtstreeks of onrechtstreeks, in het bijzonder door toewijzing aan een identificatienummer zoals naam, identificatienummer, locatiegegevens, online-identificatienummer of één of meerdere specifieke kenmerken kan worden geïdentificeerd die uitdrukking geven aan de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van deze natuurlijke persoon zijn
Art. 4 Nr. 1 GDPR (Auszug)
De definities uit het BDSG en de GDPR zeggen dat uit de persoonsaangiftigheid van een datum volgt dat dit als persoonsgegeven wordt beschouwd. Hiermee worden uitsluitend natuurlijke personen bedoeld.
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
