Als cookies personenbezogene gegevens zijn, is dat van meerdere redenen relevant. De GDPR regelt (alleen) de omvang met personenbezogen of personenbeziehbare gegevens, niet echter met cookies in het bijzonder. Beide zijn ook voor toezichthoudende autoriteiten en eventueel hun boeteprivilege relevant.
Inleiding
De artikel is geschreven voordat het TTDSG bekend what en in werking getreden what. Ik heb het aangepast. Zijn oorspronkelijke vorm is op zichzelf overdraagbaar naar de huidige stand van zaken. Alleen de verwijzingen naar TTDSG in plaats van ePrivacy of TMG zijn anders te beoordelen.
Het thema hebben Stephan Plesnik en ik ook in het privacy Deluxe-podcast aangehaald (aflevering 18):
De bekende wetgeving van de GDPR geldt eerst niet speciaal voor cookies, maar voor persoonsgegevens. Het TTDSG zegt echter dat cookies alleen in het eindapparaat van een gebruiker opgeslagen of toegespeeld mogen worden als er een toestemming is van de betrokken persoon (technisch noodzakelijke cookies zijn hieruit uitgezonderd). Deze bijdrage is voordat de TTDSG in werking trad ontstaan en verwijst in delen nog naar het TMG. Het TTDSG is een speciale wet voor de GDPR, ook wel lex specialis genoemd.
Zijn cookies persoonsgegevens?
De Hoge Raad besliste in het midden van 2020 in de Planet49-uitspraak dat § 15 lid 3 TMG conform is aan Artikel 5 lid 3 ePrivacy Richtlijn. De Duitse wetgever what weer eens heel langzaam en had de ePrivacy Richtlijn niet in nationaal recht omgezet, ondanks de Europese voorschriften. Pas op 01.12.2021 trad met het TTDSG het Datenschutzgesetz voor Duitsland in werking, dat de Europese voorschriften uitvoert. In mei 2024 wordt het TTDSG omgezet in het TDDDG en het TMG in het DDG. De nieuwe wetten zijn gelijk aan de oude en hebben alleen een nieuwe naam (omdat nu "diensten" in plaats van "media" worden meegenomen).
Tot voorbij de 01.12.2021 what ook § 15 Abs. 1 TMG spannend. Daar heet het aanvankelijk:
De dienstverlener mag persoonsgegevens van een gebruiker alleen verzamelen en gebruiken, zover dit noodzakelijk is om de inzet van telemedia mogelijk te maken en af te rekenen (gebruiksgegevens).
Artikel 15, lid 1 TMG (samenvatting)
Deze passage is vooral relevant als het gaat om de vraag of Duitse toezichthoudende autoriteiten voor het gebruik van illegale cookies boetes mogen opleggen. Hierbij speelt het antwoord op de vraag of cookies persoonsgegevens zijn een belangrijke rol. Ik beschouw hierbij niet de landelijke wetten die door de Duitse toezichthoudende autoriteiten gelden, hoewel deze in individuele gevallen mogelijk rechtstreeks de vraag naar het persoonsgebonden karakter van cookies kunnen maken overbodig.
Wat zijn cookies?
Cookies zijn gegevensopslag. Een cookie wordt op het apparaat van de gebruiker beheerd. Een gebruiker is een eigenaar van een apparaat. Als een gebruiker een website belt via zijn browser, beheert de browser voor de gebruiker de cookies van de bezochte website. De cookies worden door de browser in een willekeurig formaat opgeslagen.
Een cookie bestaat uit een gegevenspaar dat uit naam en waarde bestaat. Dit gegevenspaar wordt bij het oproepen van een website naar de website gestuurd. Bindt een website plugins in en maakt deze plugins gebruik van cookies, dan ontvangen de plugins deze gegevensparen. Er worden geen cookies van het eindapparaat van de gebruiker naar de opgeroepen mediakanalen gestuurd, maar naam en waarde van elk cookie.
Cookies zijn „niet meer“ dan een soort van toegang tot het apparaat. Ook met JavaScript kan zulke toegang plaatsvinden. Het TTDSG richt zich zelfs op apparaten zonder scherm, zoals sensoren die hun meetgegevens via een netwerk versturen. Voor dergelijke apparaten kunnen updates worden ingevoerd. Ook dergelijke updates zijn toegangen, vergelijkbaar met cookies.
Wat zijn persoonsgegevens?
Het TMG geeft hierop geen voldoende inzage. Ook in het TTDSG vindt men weinig hiervan. In plaats daarvan kan men het BDSG en de GDPR aanspreken, die beide (ik ben geen jurist) voor het TTDSG van toepassing zouden kunnen zijn. Ten minste de GDPR is in elk geval relevant voor de toezichthouder op het gebied van privacy. En ten minste het BDSG of de GDPR zijn voor het TTDSG van toepassing, zo is mijn naïeve mening. Kunt u mij corrigeren als ik me vergis.
In § 46 Nr. 1 BDSG steht: Personenbezogene Daten sind …
… alle informatie die zich op een geïdentificeerde of te identificeren natuurlijke persoon (betrokken persoon) betrekking heeft; als identificeerbaar wordt een natuurlijke persoon beschouwd die rechtstreeks of onrechtstreeks, in het bijzonder door toewijzing aan een identificatienummer zoals naam, identificatienummer, locatiegegevens, online-identificatienummer of één of meerdere specifieke kenmerken die uitdrukking geven aan de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van deze persoon, kan worden geïdentificeerd
Artikel 46, lid 1 van de Wet bescherming persoonsgegevens (BDSG) (samenvatting)
Persoonsgebonden gegevens zijn…
alle informatie die zich op een geïdentificeerde of identificeerbare natuurlijke persoon (in het vervolg 'betreffende persoon') betrekking heeft; als identificeerbaar wordt een natuurlijke persoon beschouwd die rechtstreeks of onrechtstreeks, in het bijzonder door toewijzing aan een identificatienummer zoals naam, identificatienummer, locatiegegevens, online-identificatienummer of één of meerdere specifieke kenmerken kan worden geïdentificeerd die uitdrukking geven aan de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van deze natuurlijke persoon zijn
Art. 4 Nr. 1 GDPR (Auszug)
De definities uit het BDSG en de GDPR zeggen dat uit de persoonsaangiftigheid van een datum volgt dat dit als persoonsgegeven wordt beschouwd. Hiermee worden uitsluitend natuurlijke personen bedoeld.
De vraag of cookies persoonsgegevens zijn, kan dus worden teruggebracht tot de vraag of cookies gegevens zijn die op een persoon kunnen worden aangestuurd. Persoonsaanduidende gegevens zijn in elk geval eerder persoonsaanduidend dan persoonsbezwaard. Dat staat alvast vast uit de definitie.
Zijn cookies persoonsgebonden gegevens?
De daadwerkelijk relevante (eenvoudigere) vraag.
Wat zijn cookies?
Cookies zijn gegevenssets. Cookies zijn bewezen niet tekstbestanden, zoals velen beweren. Cookies zijn ook geen tekstbestanden, alleen omdat je geen betere term bedacht hebt die volgens de GDPR eenvoudig te begrijpen is. Er zijn betere termen dan "tekstbestand" die nog steeds eenvoudig zijn. Bijvoorbeeld informatiehapjes in plaats van gegevensset, hoewel ik denk dat gegevensset eenvoudig is. Het is beter als wordt beschreven wat cookies worden gebruikt voor, namelijk het opslaan van informatie op de computer van de gebruiker (of op een eindtoestel zoals een smart home-apparaat).
Een cookie bestaat uit een tuple, dus uit een Waardenpaar. Het paar wordt gevormd uit een Naam en een Waarde. Dat een tuple aanwezig is, speelt geen rol. Een eendimensionale waarde is equivalent. Men kan deze bereiken door naam en waarde met elkaar te verbinden, welke door een gedefinieerd scheidingsteken van elkaar worden gehouden.
Een Cookie ontstaat, wanneer een dienst het creëert. Een dienst is wellicht een website, die haar eigen cookies kan genereren als er behoefte aan is. Vaak gebeurt dit voor de generatie van cookies voor sessiebeheer. Hiermee kan worden nagegaan of een gebruiker ingelogd is of niet. WordPress bijvoorbeeld maakt gebruik van cookies om de gebruikersinlog in te maken. Hierbij kunnen alleen zogenaamde First-Party Cookies ontstaan, die zowel technisch als fysiek toebehoren aan de eerste partij. De eerste partij is de beheerder van de website ofwel de verantwoordelijke voor de website.
Bovendien kan een cookie worden gegenereerd door JavaScript-logica. Hierbij ontstaan ook technische First-Party Cookies. In het geval van Google Analytics ligt echter feitelijk een Drittpartei-Cookie voor, omdat het wordt beheerd door Google.
Zoals laatst, kunnen cookies ontstaan wanneer bestanden van een (ander) server worden opgeroepen. Bijvoorbeeld Google reCAPTCHA, wanneer bestanden van een webpagina worden opgeroepen. Deze cookies zijn technisch en fachelijk derde-partij-cookies.
| Rechtszaak | Technical cookie-art | Koekjeskunst vaktechnisch |
|---|---|---|
| Website beheert eigen cookies | First-Party | First-Party |
| JavaScript-logica van derden | First-Party | Third-Party |
| Bestandsgroep aanroep van externe server | Third-Party | Third-Party |
Cookies worden afzonderlijk door elk browser gebruikt. Elke gebruiker heeft dus potentieel andere cookies op zijn eindapparaat dan andere gebruikers. Cookies zijn de enige (gangbare) informatie volgens § 25 TTDSG, die in het eindapparaat van de gebruiker wordt opgeslagen, als het gaat om websites. Op smartphones komt bijvoorbeeld de advertentie-Id van Apple en Google daarbij. Met Google FloC, een al eerder gefaald poging van Google om vriendelijker te zijn voor de gegevensbescherming, worden Kohorten-IDs in het eindapparaat van de gebruiker opgeslagen. Ook Google Topics raakt in het eindapparaat van de gebruiker aan.
Welke cookies op een apparaat zijn opgeslagen, hangt af van welke websites een gebruiker eerder heeft bezocht. Alleen al daaruit wordt duidelijk dat zogenaamde Cookie Scanner nooit betrouwbaar kunnen functioneren.
Wat voor soort gegevens slaan cookies op?
In het algemeen kan deze vraag niet beantwoord worden. Potentiëel kunnen alle mogelijke gegevens in één of meerdere cookies opgeslagen worden. Hier zijn een paar voorbeelden van waarden van cookies. Alleen de waarden zijn vermeld, omdat de namen door de interpretatie van de waarden worden bepaald en de betekenis van de waarden is in het overzicht aangegeven.
| Waarde | Voorbeeldige betekenis |
|---|---|
| X | Cookie pop-up is bevestigd (“Ja/Nee” informatie) |
| ab6729cc92027fd165442 | Unieke identificatiecode voor een gebruiker |
| 2021-12-07 12:51:22 | Tijdstempel, ongeveer laatste bezoek aan de website |
| UA-4711-4712 | Google Analytics account van de websitebeheerder |
| 7777-8888-9999-aaaa-2222 | Google-Id van de gebruiker die ingelogd is bij het Google-account |
| 8,56829, 50,223355557 | Gebruikerslocatie |
De vetgedrukte waarden zijn direct persoonsgerelateerd. Is dus een in een cookie opgeslagen waarde persoonsgerelateerd, dan is het logisch dat ook het cookie als gegevensopslagruimte persoonsgerelateerd is. Immers wordt de waardeuitzetting van het cookie bij elke gegevensoverdracht met passende domein overgedragen en kan worden gelezen.
Een cookie met een persoonsgerelateerde waarde is persoonsgerelateerd en wordt daarom alleen om die reden als persoonsgegeven beschouwd.
Mijn conclusie over cookies.
Ob cookies inderdaad worden gelezen, is voor de vraag of er sprake is van een gegevensverwerking in twee van de drie bovenstaande cookie-soorten relatief onbelangrijk. Een gegevensinwinning ligt al voor als (objectieve) kennisname van de gegevens plaatsvindt, wanneer deze inwining op basis van een aanbod is geschied. Een aanbod vindt bij een website altijd plaats. Minstens één impliciete gegevensverwerking vindt bij Third Party Cookies steeds plaats. Hetzelfde geldt voor First Party Cookies van de bezochte website zelf, die worden overgedragen bij het opzoeken van bestanden. De persoonsaanspraken zijn hier alleen alwege aanwezig door het communicatiekanaal, naast andere redenen.
Het is bij cookies zoals die van Google Analytics helemaal duidelijk. De waarden hiervan worden Duidelijk door een JavaScript-logica gelezen, om vervolgens naar een Google-server te worden gestuurd, die overigens altijd in de VS staat.
Nu naar de vraag, wat met cookies is die geen persoonsgebonden kenmerken hebben. Zijn dus cookies als gegevensbehouders, die op een eindapparaat van een persoon zijn opgeslagen, persoonsgebonden?
Eerst is het technisch bewezen dat cookies een Personenbezog hebben. Immers worden ze in het apparaat van een gebruiker, dus een persoon, beheerd.
Weil specifieke cookies elk altijd aan een persoon gekoppeld kunnen worden via hun eindapparaat, zijn ze naar mijn mening ook altijd persoonsgerelateerd. Deze gedachte wordt volgens mij door de ePrivacy Richtlijn opgepakt, die sinds december 2021 in Duitsland expliciet is omgezet in § 25 TTDSG. Dit geldt naar mijn mening ook als de ePrivacy Richtlijn de bescherming van eindapparaten in het vooruitzicht stelt.
Analog gaat het ook met "Verkeersgegevens" (metagegevens), die met een waarschijnlijkheid van meer dan 90 % terug te voeren zijn op een persoon. Zie hiervoor de verwijzingen aan het einde van dit artikel.
Verkeersgegevens worden hier in de technische zin begrepen. Er is waarschijnlijk ook een juridische betekenis van het begrip, die ik hier niet aansprek!
Met verkeersgegevens bedoel ik hier de digitale vingerafdruk van een gebruiker, die een browser gebruikt. Daarbij horen de beeldschermresolutie, de versie van het besturingssysteem, de tijdzone en andere gegevens, zelfs IP-adres. Met IP-adres is de kans nog veel hoger om op een individu terug te schakelen kunnen. Ook zonder deze netwerkadres lukt de toewijzing van alle verkeersgegevens aan een persoon met een waarschijnlijkheid van meer dan 90 %.
Niet zonder reden had het EHRM in vonnis over IP-adressen vastgesteld dat zelfs dynamische IP-adressen als persoonsgegevens gelden. Dynamische adressen kunnen dagelijks of nog vaker wisselen (als een korte omschrijving zij het Reconnect, oftewel de herstelverbinding genoemd).
Wanneer cookies worden gelezen, ligt bij het lezen noodzakelijkerwijs altijd de IP-adres van de gebruiker voor. Hierdoor zijn cookies, zelfs als ze alleen niet persoonsgerelateerd zouden zijn (wat ze echter naar mijn mening wel zijn), altijd verbonden met het persoonsgerelateerde datum van de netwerkadres. Ook al is de netwerkadres geanonimiseerd, werd het eerder noodzakelijk opgehaald. Dat is ook de reden waarom volgens artikel 12 GDPR elke website een privacyverklaring moet bevatten (mits de website "niet leeg" is, dus een aanbod voorstelt). De anonimisering als verwerkingsvorgang zou mogelijk moeten zijn, maar dat is niet zo eenvoudig te rechtvaardigen, zoals men spontaan zou kunnen vermoeden. ([1])
Cookies en de persoonlijk gerichte netwerkadres van een persoon zijn altijd samen toegankelijk. Alleen daarom lijken cookies persoonsgericht.
Logische consequentie uit een technische gegevenheid
Conclusie
Na al die dingen kom ik tot de volgende conclusie: Cookies zijn op zich, in hun functie als gegevensopslag, altijd aanwezig in het eindapparaat van een persoon en zijn daardoor personenbezonderd en vormen dus personenbezige gegevens, omdat toegang tot cookies alleen mogelijk is in combinatie met de personenbezondere netwerkadres.
| Feitelijkheid | Argument voor persoonlijkheid |
|---|---|
| Persoonlijk cookie-gegevenswaarde | Persoonlijkheid van de cookie-waarde |
| Opslaglocatie voor alle cookies | Apparaat van de gebruiker kan via locatie/GPS-signaal, identificator (advertentie-Id etc.), netwerkkoppelingsadres e.d. aan een persoon gekoppeld worden |
| Netwerkadres staat altijd samen met cookies voor | Netwerkadres bevat persoonsgegevens |
| Analogie tussen cookies en verkeersgegevens en IP-adressen | Verkeersgegevens zijn persoonsgerelateerd, IP-adressen zijn zelfs persoonlijk gerelateerd |
Bij cookies met Personenbezig over de waardeuiting stelt zich de vraag naar het personenbezig mijns inziens niet verder.
De feit dat Cookies op het eindapparaat van een gebruiker, dat aan een persoon is toegekend, wordt afgelegd, laat zien dat cookies ook een relatie hebben met personen.
De feit dat de potentieel altijd personenbezogene netwerkadressen ook in gebruik zijn, wanneer een cookie wordt ingesteld of gelezen, laat zien dat cookies nog steeds persoonsgericht zijn.
De feit dat de ePrivacy Richtlijn cookies, ongeacht hun waarde, als eenwilligungsplichtig beschouwt (zie ook EuG-uitspraak over Planet49), zou kunnen duiden op het persoonsgebonden karakter van cookies. Ik werd echter gewezen op het feit dat de ePrivacy Richtlijn voornamelijk gericht is op de bescherming van het apparaat van een gebruiker. Het apparaat van een gebruiker is duidelijk persoonsgebonden, omdat het toebehoreert aan een bepaalde persoon. De ePrivacy Richtlijn beschikt vooral over de privacy. De privacy staat rechtstreeks in verband met een persoonsgebonden karakter, denk ik. Dit wordt ook in Rn. 24 van de richtlijn duidelijk. In Rn. 25 wordt echter ook aandacht besteed aan het gebruik van een apparaat door meerdere gebruikers.
Alleen al de kennis over verkeersgegevens van een gebruiker zonder kennis van zijn IP-adres is voldoende om met meer dan 90% zekerheid terug te schakelen naar één enkel persoon.
Even het von de Europese Rechtbank (EuGH) dat zelfs dynamische IP-adressen persoonsgegevens zijn, is een indicator voor de persoonlijke aard van cookies. Want het von stelt al heel vroeg de persoonlijke aard vast. Het lukt bijna niemand om op basis van een IP-adres naar een persoon te zoeken. Dit speelt volgens de EuGH echter geen rol. Ook heeft de Duitse Hoge Raad (Bundesgerichtshof, BGH) onlangs bevestigd (von 15 juni 2021, Az. VI ZR 576/19), dat het begrip van persoonsgegevens of persoonsbezige gegevens „zeer ruim moet worden opgevat“ is. De BGH schrijft: de term persoonsgegevens „… omvat alle soorten informatie, zowel objectief als subjectief in vorm van verklaringen of beoordelingen, onder de voorwaarde dat het gaat om informatie over de betreffende persoon. De laatste voorwaarde is vervuld wanneer de informatie op basis van inhoud, doel of uitwerking met een bepaalde persoon wordt verbonden …“.
Cookies zijn persoonsgebonden gegevens.
Mijn conclusie, waar ik graag over wil discussiëren.
Ik volg dus op dat cookies altijd als persoonsgegevens moeten worden beschouwd. Natuurlijk ben ik open voor tegenargumenten en bereid om mijn mening te herzien of in delen te corrigeren, mocht er sprake zijn van een redelijke grond hiertoe.
Vóór inwerkingtreding van het TTDSG gold het volgende: Alleen al op grond van hetgeen hiervoor is gezegd konden ook Duitse toezichthoudende autoriteiten overeenkomstig § 15 lid 1 TMG boetes opleggen wegens onrechtmatige gebruikte cookies, en dit in het ergste geval juridisch vaststellen.
Helaas zijn Duitse autoriteiten kennelijk niet bereid om dit op grote schaal te doen. Waarschijnlijk ligt dat niet aan de complexiteit van het onderwerp. Veel dingen zouden nu al bekend en uitgeklaard moeten zijn of, als dat nodig is, aan een rechter voorgelegd worden.
Referenties voor fingerprinting
Fingerprinting is een mogelijkheid om uit verkeersgegevens naar een systeem van een gebruiker terug te schakelen, deze dus recht eenduidig van andere gebruikers te onderscheiden kunnen. Bij Fingerprinting hoeft niet eens een echt personenbezige datum voor te liggen. In plaats daarvan geeft de som der bekende kenmerken aan een gebruiker-systeem een zeer goede conclusiemogelijkheid op een individu. Daarmee is het (digitale) vingerafdruk van een gebruiker een personenbezige, dus personenbezige datum.
Vergelijk dit met de volgende bronnen:
- aepd (Spanische Datenschutzbehörde): Survey on Device Fingerprinting (ohne Datum, spätestens Jahr 2018): https://www.aepd.es/sites/default/files/2019-09/estudio-fingerprinting-huella-digital-EN.pdf
- Henning Tillmann: Diplomarbeit: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen (20.10.2013): http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf ; siehe auch online Demo: https://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/
- Electronic Frontier Foundation, Peter Eckersley: How Unique Is Your Web Browser: https://panopticlick.eff.org/static/browser-uniqueness.pdf . Online Test: https://panopticlick.eff.org/
- Google-patent voor device fingerprinting
- Verdere Google-patenten over device fingerprinting
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
