Indledning
I Artikel 6 GDPR nævner de retlige grundlag, efter hvilke en databehandling er tilladt. For hjemmesider findes der i hovedsagen kun to grunde, hvorfor en databehandling kan være tilladt.
Den første grund er en frivilligt givet samtykke fra besøgende på hjemmesiden. Dette kaldes også for Consent og kan trækkes tilbage af den, der har givet det, når som helst.
Den anden grund er en berechtiget interesse for hjemmesidens ejer.
Fordi der indhentning af samtykke er forbundet med betydelige formelle krav, og spørgsmålet om samtykke gerne undgås, forsøger mange at bruge berettiget interesse som retfærdiggørelse. Dette bruges også som en undskyldning, når man ikke kan komme på noget andet, f.eks. ved besvarelse af en forespørgsel fra en berørte part eller i en juridisk strid.
Hvad kræver egentlig en samtykke?
Køkkener
Det er ganske tydeligt, når der på en hjemmeside sættes cookies til brug, som ikke er teknisk nødvendige. Dertil hører alle cookies, der ikke virkelig absolut er nødvendige. Som virkelig nødvendigt kan f.eks. cookies til Sæsonadministration eller til Regnskab med VG Wort for beregning af en lovgivende forfatterhonorar anses være.
Alt, hvad der tjener til at spore brugere, altså til at tælle brugere, skal først og fremmest sættes under lup og anses med sikkerhed ikke være nødvendigt, hvis cookie-levetiden overstiger 24 timer.
Rechtsgrundlagene for brugen af cookies, hvor en samtykke er nødvendig, er reguleret i Artikel 5 § 3 ePrivacy directive eller nyere tider i § 25 TTDSG. TTDSG siger dog, at cookies til at følge brugeren teknisk ikke er nødvendige, fordi session-cookies til at tælle brugere er ikke nødvendige, "således at en leverandør af et telemedie-tjeneste kan tilbyde en fra brugeren udtrykkelig ønsket telemedie-tjeneste." Det samme gøres i ePrivacy directives, fordi TTDSG følger meget nøje efter ordlyden i nævnte direktiv.
Udligelige datatransferer
I Artikel 5, stk. 1 c GDPR nævnes den pligt til at minimere data. Dermed skal en databehandling være til formål passende og begrænset til det, der er nødvendigt for de formål, hvorfor dataene bliver behandlet. Også Artikel 25 GDPR kræver en dataskyddsvenlig udformning.
Et eksempel på overflødige datatransfers er billeder, der er indlejret i en hjemmeside og henter data fra en tredjeparts-server. Selvfølgelig kan et billede også være lagt op på den egne server. Ved at hente data fra en anden server bliver trafikdata samt netværksadressen af brugeren overført til en tredje part. Eftersom netværksadressen regnes som personbehandling, er en sådan datatransfer oprindelig ikke tilladt. Det er derfor anderledes end mange tror: Datatransfers til tredjeparter er i sig selv ikke tilladt og kun i det konkrete individuelle tilfælde muligt.
Kritiske datatransferer
Jeg betegner datatransfer til usikre tredjelande som kritisk. Et usikkert tredjeland er hvert land, hvorfor GDPR ikke gælder, og for hvilket der ikke findes en Angemessenhedsbeslutning fra Den Europæiske Kommission. Det gælder også, efter min vurdering, for Angemessenhedsbeslutninger, der ikke synes holdbare. For eksempel ændrer ingen beslutning fra Den Europæiske Kommission noget ved, at USA ifølge GDPR behandler europæiske borgers data ulovligt.
Med leverandører fra usikre tredjelande kan standardaftaleklausuler (SCC) eller bindende virksomhedsregler (CBR) indgås for at løse problemet. Dette går dog kun, hvis den nationale lovgivning tillader sådanne aftaler. I USA er dette ikke tilfældet. Så længe der findes Cloud Act, FISA og EO 12333, svarer man altid: Nej på spørgsmålet, om datatransfer til tredje part i USA uden samtykke er tilladt.
Artikel 44 GDPR og følgende artikler nævner kravene. En samtykke til risikofyldede dataoverførsler må kun undtagelsesvis og ikke varigt bygge på et samtykke, som artikel 49 GDPR afslører. Herimod overtræder næsten hver hjemmeside, der spørger om samtykke til værktøjer fra amerikanske leverandører, f.eks. for Facebook Pixel eller for Google Analytics.
En kritisk datatransfer finder f.eks. sted ved at hente en fil fra en server hos en amerikansk leverandør. Her gælder det, at der altid overføres netværksadressen af brugeren som persondata.
Udflugt: Sammenfattende løsninger
Det synes, at mange ikke ønsker at blive informeret eller ved det overhovedet. Begge er lige dårligt: Consent Tools fra OneTrust og UserCentrics sender potentielt data til USA, når skriptene til opbygning af tilladelsesfrågestillinger bliver lastet (se de her linkede praksistester, der viser at i praksis er OneTrust og UserCentrics mod GDPR).
Da disse samtykningsforspørgsler fra OneTrust og UserCentrics selv skal have en samtykke, før dette irriterende og ofte stærkt mangelfulde såkaldte cookie popup bliver vist.
Tekniske nødvendige tjenester
En digital tjeneste bliver også kaldt Værktøj. Tjenester i denne forstand er f.eks. Matomo, Google Maps, OpenStreetMap eller eksterne skrifttyper. Begrebet tjeneste her er i videst forenklede og omfatter også eksterne billeder. Begrebet kan gennem det engelske ord "to serve" forklaret blive. En server er således en tjener eller betjenter. Hver gang der trækkes data fra en ekstern server, indebærer det brugen af en tjeneste. Heri indgår også blot at sende data til en server uden at vente på svar (eksempel: Sendelse af tracking-data til Google-serveren via Google Analytics).
En digital tjeneste er enhver kommunikation med en server.
Bred definition af begrebet tjeneste i den digitale databeskyttelses kontekst
Den aktuellet besøgte hjemmeside kan også betragtes som en tjeneste. At levere en hjemmeside, der bliver anmodet af browseren, er åbenbart teknisk nødvendigt, hvis nogen ønsker at tilbyde denne hjemmeside. Hertil er ingen samtykke påkrævet.
Hvilke vilkår for filindhentning fra en egen server, der hverken indebærer videresending af data til tredjeparter eller yderligere databehandling end det, der allerede lovligt er tilladt i forbindelse med leveringen af hjemmesiden, anses for ufarlige og kræver derfor ikke samtykke.
Ellers er der ingen yderligere tjenester teknisk nødvendige. Hver hjemmeside kommer i første omgang uden yderligere tjenester. Binder en hjemmeside en terminverwaltung fra en anden leverandør, kan dette på grund af hjemmesidens formål muligvis være teknisk nødvendigt. Det forventes dog, at en DPA er indgået med leverandøren af terminverwaltung, og at leverandøren fuldstændigt og garanteret underordner sig GDPR. Leverandører fra usikre tredjelande udelukkes derfor, hvis man ikke ønsker at indhente samtykke.
Sjelden er en tjeneste for en hjemmeside teknisk nødvendig
Indsigt fra nøje betragtelse af en webside's anatomi
Hvis en terminverwaltung er absolut nødvendig, skal webstedsbetjenten finde en leverandør, der er databeskyttelsesoverensstemmende. Finderes ingen sådan leverandør, skal webstedsbetjenten enten opgive terminverwaltung eller udvikle en selv. Sidstnævnte kan, i min optik, forventes. Eller denne vurdering spiller i sidste ende ingen rolle. Hvis du ikke finder en parkeringsplads til at gå fra til supermarkedet og handle, må du ikke parkere forkert. Det spiller ingen rolle, om du ikke kan handle på grund af manglende regulær parkeringsplads. Kun i en nødsituation kunne man i enkeltstående tilfælde argumentere for, at forkert parkering er tolerabelt. Dette enlige tilfælde sker næsten aldrig på websteder, da et websted automatisk altid retter sig til mange potentielle brugere med hele sit offentligt tilgængelige tilbud.
Cookiebot tilbyder selv ingen DPA, fordi leverandøren Cybot mener, det ville være uundværligt, da der ikke ville blive behandlet nogen personlige oplysninger ved hjælp af Cookiebot. Det er selvfølgelig løgn og viser en meget stor manglende kendsgerning til dataskyddsspørgsmål.
Kort sagt, er der antal teknisk nødvendige tjenester begrænset. Afhængigt af websidetypen kan der være en eller anden nødvendig funktion, der er vigtig, men den skal derefter implementeres i overensstemmelse med databeskyttelsesregler. Fuldstændig privatliv på grund af en påstået vigtig funktion er i hvert fald ikke et gyldigt argument.
Tekniske nødvendige cookies
De fleste cookies er absolut ikke nødvendige. Det starter allerede med, at cookies ikke bare eksisterer, men bliver skabt og brugt af tjenester. Disse tjenester er dog, som beskrevet ovenfor, i de fleste tilfælde ikke teknisk nødvendige. Derfor er også de aller fleste cookies ikke teknisk nødvendige.
Cookies er næsten altid ikke teknisk nødvendige
Der er kun meget få undtagelser
De teknisk nødvendige cookies kan tælles på færre end én hånd. Disse omfatter:
- Cookies til sessionsstyring
- VG Wort cookies til beregning af forfattergodtgørelse
- Cookies til opbevaring af brugerindstillinger, f.eks. sprog
- Til sikring kan cookies være nødvendige, men ikke nødvendigvis uden anledning. Se CSRF Tokens
- Der kommer mig ikke umiddelbart andet ind på
Sessionsstyring omfatter muligheder for redaktører, administratorer og også brugere af en online butik at logge ind. Sessionsstyring omfatter også administration af en indkøbskurv.
VG Wort-cookies er derfor nødvendige for at både kunne opdage bedrageri og dobbelt registrering af hurtigt efter hinanden følgende adgang fra samme person (relativ effektivt).
For en flersproget hjemmeside kan det også være nyttigt med et cookie til at gemme den valgte sprog. Denne sprogstyring ville også være mulig uden cookies, men ville muligvis være mere besværlig og kræve en passende struktur for hjemmesiden fra starten. For eksempel skulle URL-stier til indhold vælges således, at sprog er kodet i stien. På den anden side skulle der for hver side være en udgave pr. tilbudt sprog, så det altid er klart, hvilket sprogs område en bruger befinder sig i.
Også andre indstillinger, som en bruger kan foretage på en hjemmeside, er tænkelige. Hertil hører også afgørelsen om databeskyttelsesindstillinger (samtykke). Opt-out cookies, der læses af tredjeparter, mener jeg ikke er tilladelige. Fordi en valgfri tredjeparts tjeneste, der indlæses for derefter ikke at gøre noget, ikke har mening og derfor ikke er nødvendig. Den må ikke indlæses overhovedet, hvis brugeren ikke ønsker det.
Konklusion
Jeg hævder indtil videre, at alle tredjeparts-cookies altid kræver samtykke. En DPA er allerede det mindste, der forventes. Derefter er tredjeparten ikke længere en sådan, men en første. Skriv venligst til mig, hvis du ser et tilfælde, hvor et tredjeparts-cookie er teknisk nødvendigt, hvis altså ingen DPA er til stede!
Det gælder også for dataopkald fra tredjeparter. Jeg kan ikke tænke mig noget eksempel på, hvor et dataopkald uden DPA ville være tilladt, fordi det ville være umiddelbar, bortset fra VG Wort tællpixel eller lignende konstellationer, der er gennemført i lovbestemte rammer. Bed venligst mig om et eksempel, hvis du kender til noget.
Denne artikel har til formål at iværksætte en diskussion og påstår ( endnu) ikke at have taget alle situationer med. Jeg formoder dog, at jeg er mindst tæt på sandheden, hvis ikke jeg allerede har ramt den.
Kernelementer i denne artikel
Websites må kun behandle data, hvis det er teknisk nødvendigt, eller hvis brugeren giver samtykke, eller hvis der er en anden retlig grundlag.
Overførslen af data til lande udenfor EU er ofte forbudt, hvis disse lande ikke har tilstrækkelige databeskyttelsesregler.
De fleste digitale tjenester på hjemmesider er ikke teknisk nødvendige og skal implementeres i overensstemmelse med databeskyttelsesregler.
De fleste cookies er ikke teknisk nødvendige og kræver derfor brugerens samtykke.
Over disse grundlæggende påstande
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.