Webbanalys i tider av den nya dataskyddslagen TTDSG

Avsnitt 25 TTDSG handlar faktiskt om åtkomst till användarnas terminalutrustning. Cookies är bara en möjlighet till denna åtkomst. Även annan teknik omfattas av TTDSG. Exempelvis kan avläsning av systemvariabler i användarens webbläsare via JavaScript vara en sådan åtkomst.

TTDSG föreskriver att medgivande måste erhållas från användaren om det finns åtkomst (cookie eller läsning av en systemvariabel) som inte är nödvändig (i § 25 (2) TTDSG är det något mer exakt, men längre och mer obegripligt för den juridiska lekmannen).

Tidigare var det endast cookies för marknadsföringsändamål och användarprofilering som omfattades av samtyckesregleringen i telemedielagen. TTDSG gör det nu ännu mer utmanande att räkna besökare om detta ska göras utan samtycke.

Spårning och räkning av besökare

Begreppet "spårning" är inte exakt definierat. Spårning avser vanligtvis spårning av användare över flera sessioner och webbplatser. Ett välkänt verktyg som spårar användare på ett sådant invasivt sätt är Google Analytics. Inte bara av detta skäl, utan också på grund av de cookies som används, kräver Google Analytics samtycke. Du skulle därför behöva visa en irriterande cookie-popup varje gång någon besöker din webbplats. Dessa cookie-popup-fönster är dock inte bara irriterande, utan leder ofta till olagliga webbplatser (se min undersökning av Cookiegeddon).

För enkelhetens skull använder vi i denna artikel även begreppet tracking för att referera till besöksräkning, vilket inte är kritiskt i sig. Att räkna besökare innebär att en användare måste kunna särskiljas från andra användare. Om denna distinktion saknas räknas antingen för få eller för många besök. Att räkna en användare två gånger i kategorin Unik besökare om de besöker två sidor i följd snedvrider statistiken. Att räkna två användare endast en gång totalt när de besöker samma webbplats låter inte heller som en exakt vetenskap.

Frågan är därför hur användarna kan särskiljas från varandra. Protokollet http, som används för att komma åt webbplatser, erkänner inte själv någon status. Statlösa användare kan inte särskiljas ad hoc. Det är som om någon inte har något minne och tror att det är någon annan varje gång samma person går förbi.

Detta minne brukade vara cookies. Men de är nu föremål för samtycke, även för den ofarliga räkningen av besökare. Åtminstone är det så TTDSG kan förstås. Det talas om „absolut nödvändigt“. Cookies för besöksräkning är inte absolut nödvändiga av två skäl. För det första är exakt besöksräkning redan inte absolut nödvändig (detta kan ifrågasättas, även om jag ser fler chanser till förmån för den strikta uppfattningen). För det andra är cookies inte nödvändiga för att räkna besökare. Det är denna andra punkt som nu är aktuell.

Hur kan användare särskiljas från varandra?

Cookies är inte ett alternativ om man vill undvika en begäran om samtycke.

Även utan cookies kan man enkelt skilja användare från varandra. För detta ändamål kan metadata användas, som överförs från en användares webbläsare till destinationen för en webbplats vid varje http-anslutning.

Tekniker hänvisar ofta till dessa metadata som anslutningsdata eller trafikdata. Juridiska experter kan dock använda de två sistnämnda termerna i en annan betydelse. Vi hänvisar därför till metadata mer allmänt här.

De metadata som alltid överförs från användaren till en besökt webbplats omfattar

• Typ av webbläsare och webbläsarversion. Exempel: Mozilla Firefox version 95.3, underversion 47.11
• Typ och version av operativsystem. Exempel: Microsoft Windows 10, 64 bitar
• Önskat språk. Exempel: tyska
• Nätverksadress (IP-adress)
• Cache-inställning
• Begärd sida. Exempel: https://dr-dsgvo.de/
• Tidpunkt för hämtning (skickas inte direkt, men är logiskt tillgänglig när förfrågan tas emot)

Om dessa metadata används för att skilja användare från varandra utan cookies kallas detta för browser fingerprinting.

Fingerprinting kan göras ännu mer exakt om ytterligare information om JavaScript-åtkomst fastställs. Detta inkluderar till exempel

• Skärmupplösning. Exempel: 1920×1080
• Storlek på webbläsarfönstret. Exempel: 1788×910
• Exempel: 24 bit
• Tidszon: Exempel: GMT+1

Dessa fingeravtrycksdata måste uttryckligen efterfrågas, medan de ovannämnda metadata är direkt tillgängliga (eftersom de är obligatoriska) och därför inte behöver efterfrågas. Även om skärmupplösningen enligt min mening inte lagras i användarens slutenhet, kan tolkningen av TTDSG motsäga detta. Ett av de argument som jag använder för min ståndpunkt är att orienteringen av en smartphone, dvs. stående eller liggande format, uppenbarligen inte behöver lagras i slutenheten eftersom denna enhetsorientering kan ändras ständigt. Dessutom beror bildformatet (stående eller liggande) efter att smarttelefonen har slagits på igen inte på hur det var innan den stängdes av, utan på hur användaren håller sin smarttelefon.

Tekniker som canvas fingerprinting kan användas för att få ytterligare uppgifter om användaren, vilket bidrar till att göra dem ännu mer särskiljbara från andra användare. Canvas fingerprinting är dock utan tvekan en tillgång som kräver samtycke.

Den högsta graden av rättssäkerhet uppnås om inga metadata alls läses av från användaren.

Utmaningen här är att ha en tillräckligt hög datakvalitet för att kunna räkna besökare på rätt sätt.

Räkna besökare utan samtycke

Trackboxx visar att den mildaste varianten av spårning fungerar utan cookies, utan åtkomst till enheten och därmed utan samtycke.

De metadata som Trackboxx använder är endast de data som ändå alltid finns tillgängliga varje gång en webbplats besöks. Detta innebär att ingen åtkomst till användarens webbläsare utförs. Samtycke skulle krävas för denna åtkomst om TTDSG tolkas strikt.

Trackboxx använder inte heller några cookies, inte ens sessionscookies (om inte kunden konfigurerar verktyget på annat sätt). Om en cookie bara är giltig under en session är den definitivt mindre kritisk än en cookie som varar i till exempel en månad (detta kallas också den funktionella varaktigheten eller livstiden). TTDSG gör dock ingen juridisk åtskillnad mellan sessionscookies och permanenta cookies, utan skiljer endast mellan nödvändiga och icke-nödvändiga cookies eller åtkomster.

Eftersom ingen åtkomst i den mening som avses i TTDSG äger rum, är användningen av Trackboxx inte föremål för samtycke ur ett TTDSG-perspektiv.

GDPR och TTDSG

Men nu gäller även GDPR, även om den först träder i kraft efter att TTDSG (för cookies och andra åtkomster) har behandlats. GDPR står för General Data Protection Regulation och stavas juridiskt sett DS-GVO. Bindestrecket utelämnas ofta i texter som riktar sig till icke-jurister.

GDPR gäller för personuppgifter och personligt identifierbara uppgifter. En uppgift är också personlig om användarna kan särskiljas från varandra. EU-domstolen slog redan 2016 fast att nätverksadresser (IP-adresser) är att betrakta som personuppgifter. BGH bekräftade denna dom 2017.

Av denna anledning får användarens IP-adress inte lagras hur som helst, åtminstone inte för att bättre kunna räkna användaren. Om IP-adressen skulle lagras okrypterad skulle samtycke förmodligen behöva inhämtas enligt artikel 6 i GDPR.

För att undvika samtyckeskravet även här lagrar Trackboxx inte IP-adresserna. Istället pseudonymiseras varje IP-adress, inte ens direkt, utan genom att den kombineras med andra värden.

För detta ändamål används en tidsbegränsad nyckel. Denna nyckel tillämpas nu på kombinationen av IP-adress, webbläsarversion, operativsystemversion och aktuell dag i kalendern. Det finns därför ingen IP-adress i Trackboxx databas. Endast om en användare besöker webbplatsen igen under samma dag kan IP-adressen (teoretiskt sett) hämtas från de krypterade uppgifterna. Detta är dock inte nödvändigt, eftersom användarens IP-adress ändå är (återigen) uttryckligen tillgänglig vid ett senare besök. Dataskyddsförordningen är därmed uppfylld och lagring av pseudonymiserade uppgifter kan motiveras utifrån ett berättigat intresse. Berättigat intresse är en av de rättsliga grunder som erbjuds av GDPR utöver samtycke.

I motsats till samtycke kräver berättigat intresse inte någon irriterande cookie-popup. En annan fördel, utöver det faktum att användarna inte längre irriteras av en begäran om samtycke, är den större rättssäkerheten. Detta beror på att popup-fönster för cookies omfattas av ett stort antal bestämmelser, inklusive de som följer av artikel 7 i GDPR och artikel 13 i GDPR. Om samtycke begärs måste till exempel information också lämnas om var och hur samtycket kan återkallas. Om du tittar på popup-fönster för cookies på olika webbplatser kommer du att märka att denna lagstadgade information ofta saknas.

IP-adresser ändras vanligtvis över tiden. Detta verkar hända mer sällan med kabelansluten Internetåtkomst än med DSL. Nätverksadresserna ändras dock inte exakt när en användare går in på en webbplats. I det avseendet kan användaren med mycket stor sannolikhet identifieras inom en dag. I företagsnätverk är det inte lika lätt att känna igen användare om man använder en synkroniserad uppdateringsmekanism för de anställdas datorer. Detta beror på att uppdateringen säkerställer att de anställdas webbläsare och operativsystem ser likadana ut för omvärlden. Praxis visar dock att den oskärpa som företagsnätverk medför inte är betydande.

Slutsats

Registrering av besökare och optimering av innehåll fungerar helt utan cookies och utan irriterande och felaktiga popup-fönster med cookies. Verktyg som Trackboxx erbjuder en dataskyddsvänlig lösning som uppfyller kraven i TTDSG och GDPR.

Datakvaliteten är så bra att man inte behöver vara rädd för några kompromisser jämfört med cookie-baserad besöksräkning. Alla cookie-baserade lösningar har trots allt en annan svaghet utöver den juridiska osäkerheten. Som vi alla vet kan vem som helst helt enkelt radera cookies i sin webbläsare. Det finns till och med verktyg för detta, t.ex. CCCleaner eller antivirusprogram. En raderad cookie berövar de integritetsfientliga trackarna deras minne. De fungerar då inte bättre än Trackboxx, men kräver fortfarande samtycke. Cookie-baserade trackers är inte heller bättre när det gäller företagsnätverk. I större företag raderas nämligen cookies regelbundet automatiskt från de anställdas datorer på grund av säkerhetsriktlinjer.