Om Cookies innehåller personuppgifter är det relevant från flera utgångspunkter. GDPR reglerar (bara) omfattningen av personuppgifter eller uppgifter som kan kopplas till en fysisk person, men inte specifikt Cookies. Både detta och Cookies är också viktiga för tillsynsmyndigheter och eventuellt deras straffavgiftsprivilegier.
Inledning
Artikeln skapades innan det var känt och trädde i kraft för TTDSG. Jag har anpassat den. Den ursprungliga formen är överförbar på dagens tillstånd. Endast referenser på TTDSG istället för ePrivacy eller TMG ska bedömas annorlunda.
Vi har också tagit upp ämnet i privacy Deluxe-podden (avsnitt 18):
Kända är att GDPR till en början inte gäller särskilt för Cookies utan för personuppgifter. TTDSG säger dock att Cookies bara får lagras eller åtkommas i användarens enhet om det finns ett samtycke från den berörda personen (tekniskt nödvändiga Cookies är undantagna). Denna artikel skapades innan TTDSG trädde ikraft och delvis hänvisar till TMG. TTDSG är en särskild lagstiftning för GDPR, även kallad lex specialis.
Är Cookies personuppgifter?
Högsta domstolen (BGH) beslutade i mitten av 2020 i Planet49-domen att § 15 Abs. 3 TMG ska tolkas enligt Artikel 5 Abs. 3 ePrivacy-direktivet. Den tyska lagstiftaren var igen mycket långsam och hade inte infört ePrivacy-direktivet i nationell lag trots den europeiska förordningen. Först den 1 december 2021 trädde med TTDSG det nya dataskyddslagen i kraft, som uppfyller den europeiska förordningen. I maj 2024 kommer TTDSG att ersätta TDDDG och TMG kommer att ersättas av DDG. De nya lagarna är lika gamla och har bara en ny benämning (eftersom nu "tjänster" istället för "medier" beaktas).
Före den 01 december 2021 var även § 15 Abs. 1 TMG spännande. Där står det i början:
Tjänsteleverantören får endast samla in och använda personuppgifter för en användare, i den utsträckning det är nödvändigt för att möjliggöra och fakturera tillgång till telemedier (användningsdata).
§ 15 Abs. 1 TMG (Utdrag)
Denna bestämmelse är särskilt relevant när det gäller frågan om tyska dataskyddsmyndigheter får föreskriva böter på grund av olagligt använda cookies. Detta beror i huvudsak på frågan om cookies innehåller personuppgifter eller inte. Jag betraktar här inte de landspecifika lagarna för tyska dataskyddsmyndigheter, även om dessa i enskilda fall skulle kunna göra frågan om cookies är personuppgiftsrelaterade obsolet. ([1])
Vad är Cookies?
Cookies är datalager. Ett cookie hanteras på användarens enhet. En användare är ägaren till en enhet. När en användare besöker en webbplats med sin webbläsare, hanterar webbläsaren för användaren cookies från den besökta webbplatsen. Cookies sparas av webbläsaren i ett slumpmässigt format.
Ett cookie består av ett datapar som utgörs av namn och värde. Detta datapar skickas till webbplatsen när den anropas. Om en webbplats innehåller plugins och dessa plugins använder cookies, får de dessa datapar. Inga cookies skickas från användarens enhet till de besökta medlen, utan namn och värde på varje cookie.
Cookies är "bara" en typ av åtkomst till enheterna. Även med JavaScript kan ett sådant intrång ske. TTDSG adresserar till och med enheter utan bildskärm, som skickar sina mätvärden över ett nätverk. För sådana enheter kan uppdateringar spelas in. Även sådana uppdateringar är åtkomster på samma sätt som Cookies.
Vad är personuppgifter?
TMG gav här tillräcklig information. Även i TTDSG hittar man inte mycket. Istället kan man dock ta reda på BDSG och GDPR, som båda (jag är ingen jurist) skulle kunna vara relevant för TTDSG. Åtminstone GDPR är till exempel relevant för dataskyddsmyndigheterna. Och åtminstone ett av dem, antingen BDSG eller GDPR, är min naiva mening, relevant för TTDSG. Korrigerar mig gärna om jag har fel.
I § 46 nr 1 BDSG står följande: Personuppgifter är …
… alla uppgifter som avser en identifierad eller identifierbar fysisk person (berörda person); som identifierbar anses en fysisk person vara, som direkt eller indirekt, särskilt genom hänvisning till en identifierare såsom ett namn, en identifikationsnummer, platsuppgifter, en online-identifierare eller ett eller flera särpräglande drag, uttryck för den fysiska, biologiska, genetiska, psykologiska, ekonomiska, kulturella eller sociala identiteten hos denna person, kan identifieras
§ 46 Nr. 1 BDSG (Utdrag)
Personuppgifter är
alla uppgifter som avser en identifierad eller identifierbar fysisk person (nedan benämnd "berörda person"); som identifierbar anses en fysisk person vara, som direkt eller indirekt, särskilt genom hänvisning till en identifierare såsom ett namn, en identifikationsnummer, lägeuppgifter, en online-identifierare eller ett eller flera särpräglande drag kan identifieras, vilka uttrycker den fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identiteten hos denna fysiska person
Art. 4 Nr. 1 GDPR (Auszug)
Definitionerna i BDSG och GDPR säger att från den personuppgiftsbehandling som gäller för en person följer att datumet ska anses vara personuppgift. Här avses endast fysiska personer.
Frågan om Cookies utgör personuppgifter kan alltså reduceras till frågan om Cookies innehåller uppgifter som är personbetecknande. Uppgifter som är personbetecknande är i varje fall mer än personuppgifter. Så mycket står klart av definitionen.
Är Cookies personuppgifter?
Den egentligen relevanta (enklare) frågan.
Vad är Cookies?
Cookies är uppgifter. Kakor har bevisats inte vara textfiler, som många påstår. Cookies är också inte textfiler, bara för att ingen bättre term kommer i huvudet på en, som enligt GDPR ska vara lätt att förstå. Det finns bättre termer än textfil som ändå är begripliga. Till exempel informationsbitar istället för uppgift, även om jag tror att uppgift är lätt att förstå. Bättre är det när man beskriver vad Cookies används till, dvs för att spara information på användarens dator (eller på en enhet, som ett smart hemutrustning).
Ett cookie består av ett par, alltså ett värdepar. Paret bildas av en namn och ett värde. Att det är ett par spelar ingen roll. En endimensionell värde är likvärdig. Man kan uppnå detta genom att sätta namn och värde i rad, vilka skiljs åt med ett definierat skiljetecken.
En Cookie skapas, när en tjänst skapar den. En tjänst är antingen en webbplats som kan skapa sina egna cookies när det behövs. Det händer ofta för att skapa cookies för sessionshantering. Då kan man följa upp om en användare är inloggad eller inte. WordPress använder cookies för att möjliggöra inloggning. Här kan endast så kallade First-Party Cookies skapas, som både tekniskt och fackligt tillhör den första parten. Den första parten är webbplatsens ägare eller ansvarige för webbplatsen.
Utöver det kan ett cookie skapas med hjälp av JavaScript-logik. I så fall uppstår också tekniska First-Party Cookies. I fallet med Google Analytics ligger dock enligt saklig mening ett Drittpartei-Cookie för, eftersom det hanteras av Google.
Senast kan cookies uppstå när filer hämtas från en (annan) server. Till exempel uppstår cookies när Google reCAPTCHA hämtar filer från en webbplats. Dessa cookies är tekniskt och fackligt tredjepartscookies.
| Process | Tekniskt kexkonst | Kokoskonst på ett tekniskt plan |
|---|---|---|
| Hemsida hanterar egna Cookies | First-Party | First-Party |
| JavaScript-logik tredje | First-Party | Third-Party |
| Filer från tredjeparts-server | Third-Party | Third-Party |
Cookies hanteras separat av varje användares webbläsare. Varje användare har därmed potentiellt andra cookies på sin enhet än andra användare. Cookies är den enda (vanliga) informationen enligt § 25 TTDSG, som lagras på användarens enhet, när det gäller webbsidor. På mobiler kommer till exempel Apple och Googles reklam-ID att läggas till. Med Google FloC, ett redan misslyckat försök från Google att vara mer dataskyddsvänliga, lagras kohort-IDs på användarens enhet. Även Google Topics tar tillgång till användarens enhet.
Vilka Cookies som lagras på ett enhet hänger av vilka webbsidor en användare har besökt tidigare. Bara det visar att så kallade Cookie Scanner aldrig kan fungera tillförlitigt.
Vilka data lagras i cookies?
Den här frågan kan inte besvaras i stora drag. Potentiellt kan alla möjliga data sparas i ett eller flera Cookies. Här är några exempel på värden för Cookies. Endast värden anges, eftersom namnen avgör tolkningen och betydelsen av värdena ges i översikten.
| Värde | Typisk betydelse |
|---|---|
| X | Cookie-popupen har bekräftats (”Ja/Nej”-information) |
| ab6729cc92027fd165442 | Unik identifierare för en användare |
| 2021-12-07 12:51:22 | Tidstämpel, ungefär sista besöket på webbplatsen |
| UA-4711-4712 | Google Analytics-konto för webbplatsägaren |
| 7777-8888-9999-aaaa-2222 | Användarens Google-ID som är inloggad på ett Google-konto |
| 8,56829, 50,22336 | Användarplats |
De fettryckta värdena är direkt personuppgiftsrelaterade. Om ett i ett cookie lagrat värde är personuppgiftsrelaterat, så är det logiskt att även cookies som datalagringsmedium är personuppgiftsrelaterade. Dessutom överförs värdet av cookies vid varje dataåtkomst med tillhörande domän och kan läsas ut.
Ett Cookies med en personuppgiftsvärde är personuppgiftsliknande och därmed i sig att betrakta som en personuppgift.
Min slutsats om Cookies.
Om cookies faktiskt läses ut är det i sig relativt ointressant för att avgöra om en dataverkstad sker, när man talar om de tre Cookie-typer som nämndes tidigare. En datinsamling sker redan vid (objektiv) kännedom av data, om denna insamling skedde på grund av ett erbjudande. Ett erbjudande föreligger alltid på en webbplats. Minst en implikerad dataverkstad föreligger alltid vid Third Party Cookies. Samma gäller för First Party Cookies från den besökta webbplatsen själv, som överförs vid filanrop. Personenkoppling sker här redan på grund av kommunikationskanalen, tillkommer ytterligare orsaker.
Det är helt uppenbart med cookies som Google Analytics. Värdena för dessa läses Öppenhetsgrad ut av en JavaScript-logik, för att sedan skickas till en Google-server, som alltid befinner sig i USA.
Nu till frågan om vad som händer med Cookies som inte har några värden som är kopplade till en specifik person. Är då Cookies, som Behållare för data som lagras på ett slutet enhet hos en person, personuppgiftsrelaterade?
Först är det tekniskt bevisat att cookies har en Personbehandling. I själva verket hanteras de i enheten hos en användare, alltså en person.
Vi har specifika cookies som alltid kan tilldelas en person via deras enhet, vilket gör att jag anser dem vara personbehandling. Enligt min mening omfattar detta också ePrivacy-direktivet, som till sist implementerades i Tyskland § 25 TTDSG sedan december 2021. Detta gäller enligt min mening även om ePrivacy-direktivet sätter skyddet för enheter i fokus.
Analogt gäller det också för "Trafikdata" (metainformation), som med över 90 % sannolikhet kan spåras tillbaka till en person. Se referenser längst ned i artikeln.
Traffikdata här förstås på ett tekniskt sätt. Det finns också en rättslig betydelse av begreppet som jag inte tar upp här!
Med trafikdata menar jag här den digitala fingeravtrycket av en användare som använder en webbläsare. Där tillhörande är skärmupplösning, versionen av operativsystemet, tidszonen och andra data, även IP-adressen. Med IP-adressen är sannolikheten ännu mycket högre att kunna dra slutsatsen om en individ. Även utan denna nätverksadress lyckas man med att koppla ihop alla trafikdata till en person med ett över 90-procentigt sannolikhetsvärde.
Inga tillfälligheter hade domstolen i EU fastslagit i domen om IP-adresser att även dynamiska IP-adresser betraktas som personuppgifter. Dynamiska adresser kan bytas ut varje dag eller ännu oftare (som ett påminnelse om Reconnect, det vill säga återanslutning, ska kallas).
Om cookies läses ut, ligger vid utläsningen alltid IP-adressen till användaren framför sig. Därmed är cookies, även om de i sig inte vore personuppgiftsrelaterade (vilket jag menar att de ändå är), alltid kopplade till den personuppgift som utgör nätverksadressen. Även om nätverksadressen anonymiserats, har den tidigare nödvändigtvis upphävts. Det är ju också orsaken till att enligt artikeln 12 i GDPR varje webbplats måste innehålla en dataskyddsinformation (om det inte är ett tomt webbplats, alltså om det utgör ett erbjudande). Anonymiseringen som behandlingsåtgärd borde vara möjlig, men är inte så lätt att försvara, som man spontant skulle kunna tänka sig. ([1])
Cookies och den personliga nätverksadress som enligt högsta domstolens beslut är personbunden, är alltid tillgänglig tillsammans. Därför framträder Cookies som personbundna.
Logisk följd av en teknisk förutsättning
Sammandrag
Efter allt detta kommer jag till följande slutsats: cookies är i sig, i sin funktion som datalagring, alltid belägna på en persons enhet och personbehandlade data eftersom åtkomsten till cookies endast kan ske i samband med den personbundna nätadressen.
| Faktsituation | Argument för personligt tillhörande |
|---|---|
| Personligt cookie-värde | Personligt innehåll i cookies värde |
| Skrivplats för alla Cookies | Användarens enhet kan via plats/GPS-signal, identifierare (annons-ID osv.) och nätverksadress mha en person tilldelas |
| Nätadressen finns alltid tillsammans med Cookies | Nätadress innehåller personuppgiftsrelaterad information |
| Analogi mellan Cookies och trafikdata samt IP-adresser | Trafikdata är personuppgiftsliknande, IP-adresser är till och med personuppgifter |
När det gäller cookies med Personenbezug över den värderingsprocess tycker jag att frågan om personuppgiftsinsats inte är relevant längre.
Faktumet att cookies lagras på en användares enhet, som är tilldelad en person, visar också att cookies har ett personligt innehåll.
Fakten om att den potentiellt alltid personenbezogene Netzwerkadresse också är tillgänglig när ett Cookies satts eller lästs, visar ytterligare på personuppgiftsanknytningen av Cookies.
Även om faktum att ePrivacy-direktivet deklarerar cookies som enwillningsskyldiga, oavsett deras värdeuttryckande (se även Eu-domstolens dom i Planet49), kunde detta vara ett tecken på personuppgiftsbehandling av cookies. Jag blev dock informerad om att ePrivacy-direktivet främst syftar till att skydda användarens enhet. Användarens enhet är tydligt personbunden, eftersom den kan kopplas till en viss person som äger den. EPrivacy-direktivet skyddar särskilt privatlivet. Privatlivet är direkt förknippat med personuppgiftsbehandling, tror jag. Detta framgår också i punkt 24 av direktivet. I punkt 25 nämns dock även användningen av en enhet av flera användare.
Även kunskap om trafikdata från en användare utan att veta hans IP-adress är tillräckligt för att med över 90 % sannolikhet spåra tillbaka till en enskild person.
Liksom domen från EU-domstolen, att även dynamiska IP-adresser är personuppgifter, är ett tecken på att cookies har en anknytning till personer. För det är domen som sätter den anknytningen redan tidigt. Trots att det nästan ingen lyckas med att dra slutsatsen om en persons identitet utifrån en IP-adress, spelar detta enligt EU-domstolen ingen roll. Även Högsta domstolen har nyligen klargjort (Dom den 15 juni 2021, Az. VI ZR 576/19), att begreppet personuppgifter eller personuppgiftsliknande data är bredt förstått. Högsta domstolen skriver att begreppet personuppgifter … omfattar potentiellt alla typer av information, såväl objektiva som subjektiva natur i form av utlåtanden eller bedömningar, under förutsättningen att det rör den aktuella personen. Den sistnämnda förutsättningen är uppfylld om informationen på grund av sin innehåll, sitt syfte eller sina konsekvenser kopplas till en viss person….
Cookies är personuppgifter.
Min slutsats som jag vill diskutera.
Jag följer därför med att cookies alltid ska betraktas som personuppgifter. Naturligtvis är jag öppen för motargument och redo att revidera eller korrigera min uppfattning om det finns sakliga skäl till det.
Följande gällde innan TTDSG trädde i kraft: Enbart enligt det som sagts ovan skulle även tyska tillsynsmyndigheter enligt § 15 §1 TMG kunna utdöma böter för olaglig användning av cookies, och detta i den mest allvarliga juridiska formen.
Tyvärr är tyska myndigheter tydligen inte redo till breda omfattning. Vad ligger bakom det? Kan det vara att ämnet blivit för komplext? Många saker borde väl nu äntligen vara kända och utredda eller åtminstone överlämnade till en domare för utredning vid behov.
Referenser till fingeravtryckning
Fingerprinting är en möjlighet att från trafikdata till ett system hos en användare kunna dra slutsatsen om vem den är, och därmed skilja denne från andra användare. Vid Fingerprinting behöver inte ens ett verkligt personuppgiftsdatum förekomma. Istället ger summan av de kända egenskaperna till en användaresystem en mycket bra möjlighet att dra slutsatsen om vem individen är. Således är den (digitale) fingerprint av en användare ett personuppgiftsdatum, alltså personbezogen.
Jämför härmed följande källor:
- aepd (Spanische Datenschutzbehörde): Survey on Device Fingerprinting (ohne Datum, spätestens Jahr 2018): https://www.aepd.es/sites/default/files/2019-09/estudio-fingerprinting-huella-digital-EN.pdf
- Henning Tillmann: Diplomarbeit: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen (20.10.2013): http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf ; siehe auch online Demo: https://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/
- Electronic Frontier Foundation, Peter Eckersley: How Unique Is Your Web Browser: https://panopticlick.eff.org/static/browser-uniqueness.pdf . Online Test: https://panopticlick.eff.org/
- Googles patent för enhetsfingerprinting
- Ytterligare Google patent för enhetsfingerprinting
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
