Upload
vuongdieu
View
221
Download
0
Embed Size (px)
Citation preview
Adfærdsbaseret reklame: I et juridisk og økonomisk
perspektiv
Behavioural Targeting: In a legal and economic
perspective
Bachelorafhandling, HA(jur.)
Skrevet af Maria Vestergaard Hansen, 527001
Vejleder: Thomas Neumann, Juridisk Institut
Aarhus School of Business and Social Sciences
Aarhus University
Maj 2015
Anslag: 94.252
The purpose of this thesis is to examine how the regulation of cookies protects the
consumer’s right to privacy in relation to behavioural advertising and to assess whether
the privacy protection in some areas is insufficient to protect the consumer accordingly
to the purpose of the regulation. The economic constraints of the regulation will be
examined and it will be analyzed whether the company can benefit from strengthening
consumer trust.
The use of cookies is regulated by three EU directives. These directives are harmonized
in Danish law, and therefore the thesis will be based on both the Danish and EU
regulation. The regulation states that the storing of information, or the gaining of
access to information already stored, in a consumers computer is only allowed on
condition that the consumer has given his or her consent, having been provided with
clear and comprehensive information. The examination of the Danish regulation
concludes that the consumer is insufficiently protected by the regulation, due to the
methods of consent. The methods of consent are not able to meet the regulatory
requirements, which states that the consumer must receive clear and comprehensive
information, before giving his or her consent and that the consent need to be voluntary,
specific and informed. In spite of the regulations attempt to strengthen consumer
protection, the companies are forcing the consumers into giving consent, by denying
them access to the website if they do not give their consent. The thesis show that several
Danish websites do not block third parties from storing cookies on the consumer’s
computer, despite the consumer lack of consent and knowledge of what they are being
subjected to, which is contradictory with the requirements for consent. The lack of
privacy protection presents a greater risk of identity theft and provides third parties
with better opportunities to collect personal information that could be misused for
commercial purposes.
By using behavioural advertising the company can target their advertising to only reach
consumers within the target group. The company uses this form of online advertising to
maximize company profit by being more cost effective compared to other online
advertising methods, by reaching a larger proportion of their target group. The
harmonization of the EU directives in Danish law, most likely caused the advertising
efficiency to decrease, and the directive made it clear that the interpretation of the law
should favor the right to privacy rather than the interest of the company. This can
potentially cause the company to suffer a financial loss. The regulation provides the
possibility of sanctions if the companies fail to meet the requirements and these
sanctions can help strengthen the protecting of privacy. Despite this, the supervisory
authorities have not used this opportunity, due to their lack of monitoring and this
creates a threat to the consumer’s right to privacy. The thesis concludes that the
company has the ability to increase the consumer’s purchase intent, by strengthening
consumer trust and thereby strengthen consumer engagement. The company can
strengthen consumer trust by creating a strong reputation and to make sure that they
comply with regulation. The regulation of cookies needs to be revised due to the
insufficient protection of the consumer’s right to privacy. By applying the principle
“Privacy by Design” the used technology has to be privacy friendly and along with a
more varied regulation, will this create a better protection of privacy.
Side 1 af 45
1. INDLEDNING .............................................................................................................................................................. 3
1.1. BAGGRUND OG PROBLEMIDENTIFIKATION ................................................................................................................ 3
1.2. PROBLEMFORMULERING ........................................................................................................................................... 4
1.3. AFGRÆNSNING ......................................................................................................................................................... 4
1.4. METODE ................................................................................................................................................................... 5
1.4.1. Juridisk metode ................................................................................................................................................ 5
1.4.1.1. EU harmonisering ........................................................................................................................................................5
1.4.1.2. Retskildelære og retskildeværdi ...................................................................................................................................5
1.4.2. Økonomisk metode .......................................................................................................................................... 6
1.5. BEGREBSFORKLARING .............................................................................................................................................. 7
2. GÆLDENDE RETSTILSTAND ................................................................................................................................. 7
2.1. DEFINITION AF COOKIES ........................................................................................................................................... 7
2.1.1. Session cookies og persistent cookies .............................................................................................................. 8
2.1.2. Førsteparts cookies og tredjeparts cookies ....................................................................................................... 8
2.2. DEFINITION AF ADFÆRDSBASERET REKLAME ........................................................................................................... 8
2.3. COOKIE-BEKENDTGØRELSEN .................................................................................................................................... 9
2.3.1. Afgrænsning af personoplysninger .................................................................................................................. 9
2.3.2. Reguleringens formål ..................................................................................................................................... 10
2.3.3. Cookiedirektivet artikel 5(3) .......................................................................................................................... 10
2.3.4. Cookie-bekendtgørelsens § 3, stk. 1 .............................................................................................................. 11
2.3.4.1 Informationskravet i § 3, stk. 2 .................................................................................................................................... 11
2.3.4.2. Samtykkekravet i § 3, stk. 1 ....................................................................................................................................... 13
2.3.4.3. Undtagelsen til information- og samtykkekravet i § 4 ................................................................................................ 14
2.4. DELKONKLUSION ................................................................................................................................................... 15
3. COOKIE-BEKENDTGØRELSENS SAMSPIL MED ØVRIG LOVGIVNING .................................................. 15
3.1. PERSONDATALOVEN ............................................................................................................................................... 15
3.1.1. Rækkevidden af beskyttelsen i cookie-bekendtgørelsen vs. persondataloven ............................................... 15
3.2. MARKEDSFØRINGSLOVEN ...................................................................................................................................... 16
3.2.1. Generalklausulen § 1 ...................................................................................................................................... 16
3.2.2. Uanmodet henvendelse § 6 ............................................................................................................................ 16
3.3. DEN EUROPÆISKE UNIONS CHARTER OM GRUNDLÆGGENDE RETTIGHEDER ........................................................... 17
3.4. DELKONKLUSION ................................................................................................................................................... 18
4. MANGELFULD BESKYTTELSE............................................................................................................................ 18
4.1. METODER TIL AFGIVELSE AF SAMTYKKE ................................................................................................................ 18
4.1.1. Opt-in og opt-out ............................................................................................................................................ 18
4.1.2. Accept igennem browserindstillinger ............................................................................................................ 20
Side 2 af 45
4.2. HJEMMESIDERNES OVERHOLDELSE AF KRAVENE ................................................................................................... 21
4.2.1. Eksperiment ................................................................................................................................................... 22
4.3. IDENTITETSTYVERI ................................................................................................................................................. 23
4.4. BØRN OG ANDRE UDSATTE BRUGERE ...................................................................................................................... 23
4.5. TREDJEPARTERS INDSAMLING AF OPLYSNINGER .................................................................................................... 24
4.6. MANGEL PÅ TILSYN ................................................................................................................................................ 24
4.7. DELKONKLUSION ................................................................................................................................................... 25
5. ANVENDELSE AF ADFÆRDSBASERET REKLAME ........................................................................................ 25
5.1. ONLINE TARGETING ................................................................................................................................................ 26
5.2. PROFILERING .......................................................................................................................................................... 27
5.3. ADFÆRDSBASERET REKLAME ................................................................................................................................. 27
5.3.1. Fordele ........................................................................................................................................................... 27
5.3.2. Ulemper ......................................................................................................................................................... 29
5.4. DELKONKLUSION ................................................................................................................................................... 31
6. ØKONOMISKE BEGRÆNSNINGER .................................................................................................................... 31
6.1. FALD I REKLAME EFFEKTIVITET.............................................................................................................................. 32
6.2. HENSYNET TIL BRUGERNE ...................................................................................................................................... 32
6.3. HÅNDHÆVELSE ...................................................................................................................................................... 32
6.3.1. Google sagen .................................................................................................................................................. 33
6.4. DELKONKLUSION ................................................................................................................................................... 34
7. FORSTÆRKET BEHOV FOR TILLID .................................................................................................................. 34
7.1 UNDERSØGELSE AF BESKYTTELSES AF PRIVATLIVETS FRED, TILLID OG ENGAGEMENT ............................................ 35
7.1.1. Forholdet mellem opt-in og opt-out ............................................................................................................... 36
7.2. DELKONKLUSION ................................................................................................................................................... 37
8. PROBLEMLØSNING ................................................................................................................................................ 37
9. KONKLUSION ........................................................................................................................................................... 38
10. LITTERATURLISTE .............................................................................................................................................. 41
Side 3 af 45
1. INDLEDNING
Det indledende afsnit vil bestå af en introduktion til baggrunden for valg af problemformulering, en
begrundet afgrænsning samt en beskrivelse af den valgte metode.
1.1. BAGGRUND OG PROBLEMIDENTIFIKATION
”One day in June 1994, Lou Montulli sat down at his keyboard to fix one of the biggest problems
facing the fledgling World Wide Web — and, as so often happens in the world of technology,
he created another one.”1
Forestil dig, at du står overfor et køb af en ny bil og du går ind på Audis hjemmeside og kigger på
de forskellige biler. Efterfølgende går du ind og læser dagens nyheder på Politikens hjemmeside, og
her ser du en reklame for Audi. Når du har læst nyhederne på Politikens hjemmeside, går du ind på
DMI’s hjemmeside for at tjekke vejret og her ser du så en reklame for Politikken. Denne
mekanisme skyldes cookies. Cookies er en lille tekstfil der bliver gemt på din computer når du
besøger en hjemmeside2. Lou Montulli skabte cookies for at kunne optimere hjemmesiders tjenester
og give brugerne en bedre brugeroplevelse, men virksomhederne har sidenhen fundet ud af hvordan
de kan anvende cookies til at optimere deres markedsføring, ved at målrette deres reklamer på
baggrund af brugernes adfærd på internettet. Dette fungerer ved at virksomheden placerer en cookie
på brugerens computer, og cookien sender herefter oplysninger til virksomheden, om hvad brugeren
foretager sig på internettet. Virksomhederne ved alt om brugernes adfærd på internettet, hvilket
vækker stor bekymring for beskyttelsen af brugernes privatliv. Dette skyldes bl.a. at cookies også
indsamler personoplysninger og disse personoplysninger kan anvendes til at identificere brugeren.
Det blev efterhånden tydeligt at der var et stort behov for en ny regulering på området, der kunne
sætte begrænsninger for virksomhedernes lagring og anvendelse af cookies i forbindelse med online
markedsføring. Europa-Parlamentet og Rådet indførte derfor et samtykkekrav med cookiedirektivet
i 2009. Direktivet blev med cookie-bekendtgørelsen3 harmoniseret i dansk ret i slutningen af 2011.
De nye lovregler giver brugerne mulighed for at fravælge cookies når de første gang besøger en
hjemmeside, men det tyder på at denne metode ikke giver brugerne en bedre beskyttelse af deres
privatliv. Cookie-bekendtgørelsen sætter begrænsninger for virksomhedens muligheder for at
indsamle oplysninger om brugerne ved brug af cookies, og konsekvensen heraf er at
virksomhederne mister profit. Virksomhederne har brug for at reagere på disse begrænsninger, så de
1 Schwartz, Giving the Web a Memory Cost Its Users Privacy
2 Stoltze, s. 317
3 Bekendtgørelse nr. 1148 af 9. december 2011
Side 4 af 45
kan beholde de muligheder der ligger i anvendelsen af adfærdsbaseret reklame. Det kunne på
baggrund heraf være interessant at undersøge om en styrkelse af brugernes tillid til virksomheden
vil være med til at gavne virksomhedens profit, og derved minimere de begrænsninger som
lovgivningen har medført.
1.2. PROBLEMFORMULERING
Hvilke konsekvenser har cookie-bekendtgørelsen for virksomhedens anvendelse af adfærdsbaseret
reklame, og beskyttelsen af brugernes ret til privatliv? Med fokus på følgende: Hvordan beskytter
cookie-bekendtgørelsen brugernes privatliv? Er der områder hvor denne beskyttelse er mangelfuld
ift. cookie-bekendtgørelsens formål? Hvilke økonomiske begrænsninger har cookie-
bekendtgørelsen for virksomheden, og kan virksomheden minimere disse begrænsninger ved at
styrke brugernes tillid til virksomheden?
1.3. AFGRÆNSNING
Denne opgave vil have fokus på cookie-bekendtgørelsens betydning for de virksomheder der
anvender adfærdsbaseret reklame. Opgaven vil derfor kun kort berøre data-marketing
virksomheder, der placerer tredjeparts cookies, i forbindelse med DR’s dokumentar ”Privatliv til
salg” i afsnit 4.5.
Opgaven vil omhandle både uidentificerbare personoplysninger og identificerbare
personoplysninger, men kun i relation til indsamling af sådanne personoplysninger via cookies.
Personoplysninger indsamlet via andre metoder er således uden for opgavens område.
Der er flere aktører involveret i forbindelse med adfærdsbaseret reklame. Dette er bl.a.
tjenesteudbydere, annoncører, reklamebureauer, mediebureauer og annoncenetværk. I opgaven vil
der ikke blive skelnet herimellem og begrebet virksomhed vil blive anvendt som et generelt begreb
der dækker over ovenstående.
Den EU-retlige regulering af cookies er harmoniseret i dansk ret, og opgaven vil derfor tage
udgangspunkt i den danske lovgivning. EU-retten vil blive inddraget hvor det synes naturligt. De
konklusioner der løbende vil blive udledt i opgaven vil, hvor det ikke fremhæves eksplicit, implicit
gælde for både den nationale ret og EU-retten.
Bestemmelsen i cookie-bekendtgørelsen § 3 gælder for både juridiske og fysiske personer, dog vil
opgaven kun omhandle juridiske personer der anvender adfærdsbaseret reklame.
Side 5 af 45
1.4. METODE
1.4.1. Juridisk metode
Den retsdogmatiske metode er god til at beskrive, analysere og fortolke gældende ret4. Denne
metode vil derfor blive anvendt til at forklare hvordan cookie-bekendtgørelsen beskytter brugernes
privatliv. Den retsdogmatiske metode vil endvidere blive anvendt til at gøre rede for de øvrige
nationale lovregler på området. I den forbindelse vil samspillet mellem disse lovregler og cookie-
bekendtgørelsen blive analyseret. På baggrund af ovenstående vil det blive vurderet om der er
områder hvor beskyttelsen af brugernes privatliv er mangelfuld.
Den retspolitiske metode er god i forbindelse med overvejelse af hvordan retsstillingen bør være,
herunder forslag til lovgiver om hvorvidt en lov bør ændres eller udformes5. Denne metode vil
derfor blive anvendt, såfremt det vurderes at beskyttelsen er mangelfuld, til at komme med forslag
på hvordan lovreglerne kan ændres, så brugerne opnår en bedre beskyttelse af deres privatliv.
1.4.1.1. EU harmonisering
Inden for EU er det databeskyttelsesdirektivet6, e-Privacy direktivet
7 og cookiedirektivet
8 der
regulerer anvendelsen af cookies. E-Privacy direktivet specificerer og supplerer
databeskyttelsesdirektivet9 og eventuelle uklarheder i e-Privacy direktivet skal således søges i
databeskyttelsesdirektivet10
. I november 2009 indførte Europa-Parlamentet og Rådet
cookiedirektivet der ændrer i e-Privacy direktivet. Direktivet blev i dansk ret harmoniseret ved
cookie-bekendtgørelsen der trådte i kraft i december 2011. Eventuelle uklarheder i cookie-
bekendtgørelsen skal som udgangspunkt søges løst ud fra de ovenfor nævnte direktiver11
.
1.4.1.2. Retskildelære og retskildeværdi
Cookie-bekendtgørelsen er en del af administrative forskrifter. Bekendtgørelsens retskildeværdi er
lavere end lovene og deres forarbejder, og som udgangspunkt viger en bekendtgørelse for en lov
som bekendtgørelsen står i modstrid med, jf. retskildelæren. Hvis bekendtgørelsen er udstedt med
hjemmel i lov får bekendtgørelsen ved kollision med andre love samme rang som den lov
4 Tvarnø & Nielsen, s. 30
5 Ibid., s. 497
6 Direktiv 95/46/EF. Direktivet har hjemmel i TEUF art. 16.
7 Direktiv 2002/58/EF.
8 Direktiv 2009/136/EF
9 Jf. art. 1, stk. 2
10 Der blev harmoniseret i dansk lovgivning med persondataloven
11 Jf. doktrinen om EU-rettens forrang, jf. sag 6/64, Costa mod ENEL
Side 6 af 45
bekendtgørelsen er udstedt i12
. Cookie-bekendtgørelsen er udstedt med hjemmel i lov nr. 169 af 3.
marts 2011 § 9, senere ændret ved LBK nr. 128 af 7. februar 201413
, og cookie-bekendtgørelsen har
ud fra denne betragtning derfor samme rang som en lov. Cookie-bekendtgørelsen er endvidere en
gennemførelse af et sæt lovregler fra flere EU direktiver, og ud fra samme betragtning som ovenfor
kan man antage at bekendtgørelsen har samme rang som direktiverne, jf. EU-rettens forrang.
Cookie-vejledningen14
er skrevet af Erhvervsstyrelsen. Vejledningen er en del af administrative
forskrifter og illustrerer den betydning som Erhvervsstyrelsen tillægger den EU-retlige regulering.15
Vejledningen er ikke bindende og dens retskildeværdi er dermed lav og er ikke særlig god til at sige
noget om gældende ret. Vejledningen vil blive anvendt i begrænset omfang da de danske
virksomheder har indrettet sig ifølge denne vejledning, og da vejledningen er bestemmende for
hvorledes tilsynsmyndighederne træffer afgørelser16
.
1.4.2. Økonomisk metode
Den retsøkonomiske metode egner sig godt i situationer hvor der er behov for en vurdering af de
økonomiske konsekvenser som lovgivningen har for virksomheden17
. Denne metode vil derfor blive
anvendt for at vurdere hvilke begrænsninger cookie-bekendtgørelsen har for virksomhedens brug af
adfærdsbaseret reklame. For at kunne vurdere de økonomiske konsekvenser af lovgivningen er det
nødvendigt forinden at redegøre for hvorfor virksomhederne anvender adfærdsbaseret reklame, og
at analysere hvilke økonomiske fordele dette har for virksomheden. For at kunne foretage denne
analyse vil det være nødvendigt at analyse hvorfor virksomheden anvender adfærdsbaseret reklame,
herunder med en analyse af fordele og ulemper. Under formodningen af at brugernes tillid til de
virksomheder der anvender cookies til adfærdsbaseret reklame er svækket, vil den amerikanske
undersøgelse ”Understanding online B-to-C relationships: An integrated model of privacy concerns,
trust, and commitment” blive analyseret for at vurdere om virksomhederne kan minimere
lovgivningens begrænsninger ved at styrke brugernes tillid til virksomheden. Undersøgelsens
omfang bestod af 2000 amerikanske husstande med adgang til internettet, og er valgt på baggrund
af at undersøgelsen er relativ ny. Ud fra en sammenligning af brugere i USA og Danmark vurderes
det at undersøgelsen ligeledes kan gælde for de danske brugere.
12
Tvarnø & Nielsen, s. 226 13
Erhvervs- og vækstministeren har nu bemyndigelse til at fastsætte nærmere regler, hvor det før var ministeren for
videnskab, teknologi og udvikling. Selve ordlyden i § 9 ændres ikke. 14
Vejledning nr. 9187af 24. april 2013 15
Blume, s. 121 16
Ibid., s. 122 17
Tvarnø & Nielsen, s. 484
Side 7 af 45
1.5. BEGREBSFORKLARING
Terminaludstyr forstås i cookie-bekendtgørelsen som ”Et produkt eller en relevant komponent heri,
der muliggør kommunikation, og som er beregnet til at blive direkte eller indirekte tilsluttet
nettermineringspunkter i offentlige elektroniske kommunikationsnet.”18
. I opgaven vil begrebet
computer blive anvendt, og vil ligeledes dække over samme definition som terminaludstyr.
Cookie-bekendtgørelsen definerer en slutbruger som ”Bruger af elektroniske kommunikationsnet
eller –tjenester […]”19
. I opgaven vil betegnelsen bruger blive anvendt, både for betegnelsen
slutbruger, forbruger og ”den registrerede”.
Der vil ikke blive skelnet mellem en virksomheds produkt eller ydelse, og betegnelsen produkt vil
blive anvendt for både produkt og ydelse.
Størstedelen af litteraturen til denne opgave er skrevet på engelsk, hvor begreberne behavioural
advertising og behavioural targeting anvendes til at beskrive adfærdsbaseret onlinemarkedsføring i
kommercielle sammenhænge. Jeg har valgt at anvende det danske begreb adfærdsbaseret reklame,
som dækker over både behavioural advertising og behavioural targeting.
2. GÆLDENDE RETSTILSTAND
Dette kapitel skal gøre rede for den gældende retstilstand i forhold til cookie-bekendtgørelsen,
herunder med inddragelse af cookiedirektivets artikel 5(3).
2.1. DEFINITION AF COOKIES
Når en bruger besøger en hjemmeside gemmes der en lille tekstfil på brugerens computer. Denne
tekstfil kaldes en cookie. Cookies formål er primært at indsamle anonyme oplysninger om brugeren,
såsom brugerens præferencer på hjemmesiden20
, log-in oplysning mm. Disse oplysninger anvender
virksomheden i forbindelse med web-statistikker og til forbedring af brugeroplevelsen21
.
Udover cookies primære formål kan cookies også anvendes til at indsamle oplysninger om
brugerne, der kan anvendes til adfærdsbaseret reklame22
. Oplysninger der anvendes til
adfærdsbaseret reklame er ofte oplysninger der ikke er af personlig karakter, dog kan det ikke
18
Cookie-bekendtgørelsens § 2, pkt. 1 19
Cookie-bekendtgørelsens § 2, pkt. 2 20
Brugerens præferencer kan bl.a. være brugerens valg af sprog og nationalitet 21
Chaffey & Ellis-Chadwick, s. 168 22
Ibid., s. 169
Side 8 af 45
undgås at virksomheden kommer i besiddelse af oplysninger der er personlige, og herved
identificerbare.
2.1.1. Session cookies og persistent cookies
Cookies kan have forskellig levetid. Der skelnes mellem to typer af cookies, persistent cookies og
session cookies. Persistent cookies bliver gemt på computeren og slettes ikke når brugeren lukker
browseren, hvorimod session cookies automatisk slettes når brugeren lukker browseren.23
Session
cookies anvendes til at huske brugerens indstillinger, foretage besøgsstatistik, huske varer i
indkøbskurven, styring af grafik mv., og anvendes ikke til adfærdsbaseret reklame. En persistent
cookie anvendes derimod til adfærdsbaseret reklame, da den er i stand til at tracke brugeren rundt
på internettet, og hermed afslører cookien brugerens adfærd på internettet.
2.1.2. Førsteparts cookies og tredjeparts cookies
Førsteparts cookies placeres på brugerens computer af hjemmesiden selv, og tredjeparts cookies
placeres af en tredjepart via hjemmesiden.24
Førsteparts cookies anvendes af hjemmesiden til bl.a.
webstatistik og forbedring af brugeroplevelsen, og kan bestå af både session cookies og persistent
cookies25
. Tredjeparts cookies anvendes af virksomheder til adfærdsbaseret reklame, og er typisk
persistent cookies26
. Cookies der anvendes til at tracke brugeren, uanset om de er gemt på
brugerens computer af hjemmesiden selv eller tredjepart, anses for mere indgribende i brugerens
privatsfære.27
2.2. DEFINITION AF ADFÆRDSBASERET REKLAME
Artikel 29-gruppen28
definerer adfærdsbaseret reklame som reklame der er baseret på observationer
af en persons adfærd over tid, og som forsøger at undersøge karakteren af denne adfærd igennem
brugerens aktivitet på internettet for at udvikle en specifik personprofil, og herved tilbyde denne
person reklamer der matcher personens interesser.29
The internet Advertising Bureau udtrykker
begrebet yderst godt og skriver således at ”Behavioural advertising seeks to customise advertising
23
Chaffey & Ellis-Chadwick, s. 168 24
Ibid., s. 658 og 672 25
Ibid., s. 168 26
Ibid., s. 168 27
Cookie-vejledningen, s. 4 28
Gruppen er nedsat i henhold til artikel 29 i databeskyttelsesdirektivet, og er et uafhængigt og rådgivende EU-organ.
Gruppen består af repræsentanter fra medlemsstaternes tilsynsmyndigheder. 29
Article 29 Working Party’s opinion on online behavioural advertising, s. 4
Side 9 af 45
to a group of internet users rather than individualise advertising to a particular user.”30
Reklamen
er således ikke designet til den pågældende bruger, men reklamen er særlig udvalgt til at blive
forevist for den pågældende bruger. Formålet med et adfærdsbaseret reklame-system er, at systemet
automatisk selv kan vælge hvilke reklamer der er mest relevant at vise en bestemt bruger ud fra
brugerens tidligere registrerede online adfærd.31
2.3. COOKIE-BEKENDTGØRELSEN
2.3.1. Afgrænsning af personoplysninger
Der er to forskellige typer af oplysninger der kan blive lagret i en cookie: identificerbare
personoplysninger og ikke-identificerbare personoplysninger.32
Databeskyttelsesdirektivet definerer
personoplysninger som ”enhver form for information om en identificeret eller identificerbar fysisk
person (”den registrerede”); ved identificerbar person forstås en person, der direkte eller indirekte
kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for
denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet.”33
Databeskyttelsesdirektivet definerer således personoplysninger som identificerbare
personoplysninger, og udtrykker hermed at databeskyttelsesdirektivet kun beskytter identificerbare
personoplysninger. Denne definition er harmoniseret i persondataloven, men persondataloven
tilføjer at ”det er uden betydning hvorvidt identifikationsoplysningen er alment kendt eller
umiddelbart tilgængelig. Også i de tilfælde, hvor det kun for den indviede vil være muligt at forstå,
hvem en oplysning vedrører, er omfattet af definitionen. […] Krypterede oplysninger er […] også
omfattet, så længe nogen kan gøre oplysningerne læsbare og dermed identificere de personer, som
oplysningerne vedrører.34
Ifølge persondataloven formulerer identificerbare personoplysninger som
et bredt begreb. Artikel 29-gruppen kom med følgende udtalelse i 2007: ”På internettet gør
redskaber til overvågning af internettrafikken det også let at identificere en maskines adfærd og,
bag ved maskinen, brugernes adfærd. Den enkeltes personlighed stykkes således sammen, at visse
beslutninger kan tillægges den pågældende […]. Med andre ord er muligheden for at identificere
en person ikke længere nødvendigvis lig med muligheden for at finde frem til den pågældendes
30
Office of Fair Trading Online Targeting of Advertising and Prices Market Study, Response by the internet
Advertising Bureau 31
Jaworska & Sydow, s. 63 32
Debusseré, s. 77. Ikke-personoplysninger kan f.eks. være brugerens hobbyer, musiksmag, interesseområder, hvilke
tjenester brugeren anvender på hjemmesiden mv. 33
Databeskyttelsesdirektivet, art. 2(a) 34
Persondataloven, kommentar 25
Side 10 af 45
navn. Definitionen af personoplysninger afspejler dette forhold.”35
Her argumenterer gruppen for,
at det er tilstrækkeligt at oplysningerne kan identificere brugerens adfærd og ikke nødvendigvis
brugerens identitet. Databeskyttelsesdirektivet og persondataloven afgrænser således
personoplysninger som personoplysninger der kan identificere brugeren, og Artikel 29-gruppen
udtrykker hertil at beskyttelsen ligeledes burde gælde for oplysninger der kun er i stand til
identificere brugerens adfærd.
2.3.2. Reguleringens formål
Databeskyttelsesdirektivets, herunder også E-privacy direktivets og cookiedirektivets, formål er at
etablere en balance mellem hensynet til privatlivets fred og fri bevægelighed af personoplysninger
på det indre marked36
. Cookie-bekendtgørelsen har til formål at beskytte brugerens privatliv når de
bevæger sig rundt på internettet, jf. § 1.37
Bekendtgørelsen forbyder ikke brugen af cookies, men
lovgivningen skal være med til at skabe en gennemsigtighed38
, så brugeren selv får muligheden for
at kontrollere hvad de indsamlede personoplysninger kan blive anvendt til, samt at brugeren får
mulighed for at fravælge cookies. Efter bekendtgørelsen blev der udsendt en vejledning der skulle
give rådgivning og information til virksomheder om hvordan cookie-bekendtgørelsen skulle
fortolkes, og hvordan virksomhederne kan sikre sig at de overholder reglerne.
Cookie-bekendtgørelsen omfatter kun den handling der finder sted når der lagres oplysninger eller
der opnås adgang til allerede lagerede oplysninger. Handlinger der er sket før eller efter lagringen af
eller adgangen til de lagerede oplysninger, er ikke omfattet af bekendtgørelsen. Sådanne handlinger
kan, hvis der er tale om personoplysninger, være beskyttet af persondataloven39
.
2.3.3. Cookiedirektivet artikel 5(3)
Artikel 5(3) i e-Privacy direktivet blev ændret med cookiedirektivets artikel 5(3). Den nye artikel
lyder således:
”Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der
allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af,
at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv
35
Article 29 Working Party’s opinion on the concept of personal data, s. 14 36
Nielsen, s. 50, samt direktivets artikel 1 og 2. Formålet er videreført i både E-privacy direktivet og cookiedirektivet. 37
Cookiedirektivet udtrykker det således: ” Dette direktiv tager sigte på […] beskyttelsen af de grundlæggende
rettigheder og frihedsrettigheder og navnlig retten til privatliv og fortrolighed i forbindelse med behandling af
personoplysninger inden for den elektroniske kommunikationssektor …”, jf. Art. 1(1) 38
European Commission, 2010, pkt. 2.1.2 39
Cookie-vejledningen, s. 5
Side 11 af 45
95/46/EF [databeskyttelsesdirektivet] at have modtaget klare og fyldestgørende oplysninger,
bl.a. om formålet med behandlingen. […]”
Cookiedirektivet tilføjer således et krav om samtykke fra brugeren. Der er nu tale om to betingelser
der skal være opfyldt, før der må foretages lagring af oplysninger eller opnåelse af adgang til
allerede lagrede oplysninger. Den første betingelse er at brugeren skal have modtaget klare og
fyldestgørende informationer om formålet med behandlingen af sådanne oplysninger. Den anden
betingelse er at brugeren skal have afgivet sit samtykke, inden der lagres oplysninger eller opnås
adgang til allerede lagrede oplysninger. Informationskravet er videreført fra den oprindelige art.
5(3). Ifølge e-Privacy direktivets art. 6(3) havde brugeren ret til at trække et allerede afgivet
samtykke tilbage og denne ret er videreført med cookiedirektivet.
2.3.4. Cookie-bekendtgørelsens § 3, stk. 1
Cookie-bekendtgørelsens § 3, stk. 1 lægger sig tekstnært op af art. 5(3), og stiller således ikke
strengere krav40
. Cookie-bekendtgørelsens § 3, stk. 1, siger at
”Fysiske eller juridiske personer må ikke lagre oplysninger eller opnå adgang til oplysninger, der
allerede er lagret, i en slutbrugers terminaludstyr eller lade en tredjepart lagre oplysninger eller
opnå adgang til oplysninger, hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget
fyldestgørende information om lagringen af eller adgangen til oplysningerne.”
Udbyderne af hjemmesiderne er derfor forpligtet til (i) at give brugeren fyldestgørende information,
for derefter (ii) at opnå brugerens samtykke. Betingelserne er kumulative, da fyldestgørende
samtykke, kun kan opnås ved at brugeren har modtaget fyldestgørende information.
2.3.4.1 Informationskravet i § 3, stk. 2
Cookie-bekendtgørelsens § 3, stk. 2 opstiller en række krav, der som minimum skal være opfyldt
før der kan være tale om fyldestgørende information. Der kan godt være tale om at der stilles
yderligere krav til tjenesteudbyderen, hvis dette er nødvendigt for at brugeren kan træffe et reelt
valg.
Informationen skal fremstå i et klart, præcist og letforståeligt sprog, jf. § 3, stk. 2, nr. 1. Teksten
skal således formuleres så alle brugere er i stand til at forstå informationen og det vil derfor ikke
være tilladt at formulere teksten på teknisk eller juridisk sprog41
. Der er ikke stillet krav til hvilket
40
Cookie-vejledningen, s. 3 41
Ibid., s. 7
Side 12 af 45
sprog teksten skal udformes på, men sproget burde vælges ud fra en hensynstagen til de brugere
hjemmesiden er rettet til42
. Kommissionen udtrykker endvidere at informationen skal gives, så den
er gennemsigtig, da ”transparency is a fundamental condition for enabling individuals to exercise
control over their own data and to ensure effective protection of personal data.”.43
At
informationen er gennemsigtig betyder at informationen ikke må være tvetydig eller vildledende,
samt at informationen skal indeholde alle væsentlige oplysninger der er nødvendige for at brugeren
kan afgive et samtykke.
Informationen skal indeholde oplysninger om, til hvilket formålet lagringen af eller adgangen til
oplysninger sker, jf. § 3, stk. 2, nr. 2. Dette er et grundlæggende krav, da brugerens viden om
formålet til lagringen er nødvendigt for at brugeren kan afgive et fyldestgørende samtykke. Hvis en
hjemmeside eller tredjepart lagrer oplysninger til flere formål, skal brugeren oplyses om alle
formålene. Det er ikke nødvendigt at oplyse brugeren om formålet hver gang der lagres en
oplysning44
. Det er således tilstrækkeligt at brugeren gøres opmærksom på formålet én gang. Dette
skyldes hensynet til brugerne, da brugerne søger brugervenlighed på hjemmesiderne.
Informationen skal sætte brugeren i stand til at kunne identificere enhver juridisk person, der
foranstalter lagringen af eller adgangen til oplysninger, jf. § 3, stk. 2, nr. 3. For at brugeren skal
være i stand til at afgive et fyldestgørende samtykke, er det nødvendigt at brugeren får
informationer om hvem der lagrer eller opnår adgang til oplysninger, da det sjældent er
gennemskueligt for brugeren om det er udbyderen af hjemmesiden eller en tredjepart der
foranstalter lagringen.
Informationen skal give umiddelbar adgang til at brugeren kan afslå samtykke eller tilbagekalde et
allerede afgivet samtykke, jf. § 3, stk. 2, nr. 4. Brugeren skal have muligheden for at tilbagekalde et
allerede afgivet samtykke, da brugeren skal have kontrol med de oplysninger der indsamles, også
efter indsamlingen er sket. Hertil kræves det, at der skal være en klar, præcis og letforståelig
vejledning til tilbagekaldelse af samtykke, som er umiddelbart tilgængelig for brugeren, jf. § 3, stk.
2, nr. 4.
Informationen skal være umiddelbart tilgængelig for brugeren ved samlet og tydeligt at blive
meddelt denne, jf. § 3, stk. 2, nr. 5. Heri ligger der et krav om at brugeren ikke selv skal søge denne
information, og det kan således antages at informationen skal vises direkte på hjemmesiden når
42
Cookie-vejledningen, s. 7f 43
European Commission, 2010, pkt. 2.1.2 44
Cookie-vejledningen, s. 7
Side 13 af 45
brugeren tilgår denne45
. Denne fortolkningen støttes af Artikel 29-gruppen, der udtaler at
”providing a minimum of information directly on the screen, interactivily, easily, visiable and
understandable, would be the most effective way to comply with the principle”46
. Informationen
skal endvidere være tilgængelig for brugeren, efter afgivelse af samtykke, ved en direkte og tydelig
markeret adgang på hjemmesiden, jf. § 3, stk. 2, nr. 5. Hvis informationen indeholder mange
detaljerede informationer er det muligt at have de detaljerede informationer på en underside,
såfremt at der linkes til denne underside når brugeren bliver meddelt den generelle information
forud for samtykke.47
2.3.4.2. Samtykkekravet i § 3, stk. 1
Cookie-bekendtgørelsens § 2, stk. 1, nr. 8 definerer samtykke som ”Enhver frivillig, specifik og
informeret viljetilkendegivelse […]”. Der er således krav om at samtykket skal være frivilligt, og i
denne frivillighed ligger der at samtykket ikke må være afgivet under tvang48
. Såfremt brugeren
skal afgive samtykke for at erhverve en vare eller en offentligretlig ydelse, vil samtykket under et
ideelt perspektiv ikke være frivilligt.49
At samtykket skal være specifikt betyder at brugeren skal
være klar over hvilke former for behandling oplysningerne skal anvendes til, og til hvilke formål.50
Det skal således klart og utvetydigt fremgå, hvad brugeren afgiver samtykke til.51
Brugeren skal
informeres, og heri ligger der et krav om at brugeren skal vide hvad samtykket indebærer, herunder
identiteten på databehandleren, hvilket formål oplysningerne anvendes til samt hvilke former for
behandling der kan forekomme.52
Frivillighed, specificering og information skal være med til at
fremme gennemsigtigheden inden for databeskyttelse.53
I frivilligheden ligger også at brugerne skal
have muligheden for at tilbagekalde et allerede afgivet samtykke, jf. § 3, stk. 2, nr. 4. Ved at afgive
et samtykke får brugeren kontrolleren over hvilke oplysninger der indhentes, og hvad disse
oplysninger kan bruges til.
Stiltiende eller indirekte samtykke kan ikke anvendes i forbindelse med behandling af
personoplysninger, da brugerens samtykke skal være udtryk for en viljestilkendegivelse samt at et
45
Se U.2010B.319, s. 2 46
Article 29 Working Party’s opinion on online behavioural advertising, s. 18 47
Cookie-vejledningen, s. 17 48
U2000B.77, s. 2 og Waaben & Nielsen, s. 125 49
U2000B.77, s. 2 50
Ibid., s. 2f 51
Waaben & Nielsen, s. 126 52
U2000B.77, s. 3 og Waaben & Nielsen, s. 127 53
U2000B.77, s. 3
Side 14 af 45
samtykke skal være udtrykkeligt, jf. persondatalovens § 6, stk. 2.54
I Justitsministeriets besvarelse af
19. august 1998 af spørgsmål nr. 81-82 vedrørende lovforslag L 82, fremgår det at formuleringen
udtrykkeligt er anvendt i loven for at understrege, at der ikke kan opnås stiltiende eller indirekte
samtykke.55
2.3.4.3. Undtagelsen til information- og samtykkekravet i § 4
I cookie-bekendtgørelsens § 4, stk. 1, nr. 1 og 2 er der to undtagelser til informations- og
samtykkekravet. § 4, stk. 1, nr. 1 siger således, at lagringen af eller adgangen til oplysninger er
tilladt såfremt formålet med dette er at overføre kommunikation via et elektronisk
kommunikationsnet. Lagringen af eller adgangen til oplysninger er ligeledes tilladt hvis
oplysningerne er påkrævet for at hjemmesiden kan levere en tjeneste, som brugeren udtrykkeligt har
anmodet om, jf. nr. 2. Undtagelsen i nr. 1 handler alene om opkobling til internettet og
vedligeholdelse heraf. Lagring af eller adgangen til allerede lagrerede oplysninger i forbindelse med
opkobling til internettet og vedligeholdes heraf er således undtaget fra bestemmelsen i § 3.
Præambel betragtning nr. 22 i e-Privacy direktivet udtrykker således at ”Det er ikke tanken, at
forbuddet […] skal omfatte enhver automatisk, mellemliggende og kortvarig lagring af denne
information, når blot lagringen udelukkende sker med henblik på gennemførelse af transmissionen i
de elektroniske kommunikationsnet, og oplysningerne ikke lagres længere end det tidsrum, der er
nødvendigt for transmissionen og af hensyn til trafikstyringen, forudsat at sikkerhedsbeskyttelsen af
oplysningerne i lagringsperioden forsat er garanteret”. Der tilføjes herved et krav om, at
oplysningerne ikke må være lagret i længere tid end det tidsrum hvor det er nødvendigt, samt at
oplysningerne skal være sikkerhedsbeskyttet i lagringsperioden.
For at undtagelsesbestemmelsen i § 4, stk. 1, nr. 2 finder anvendelse skal brugeren udtrykkeligt
have anmodet om tjenesten, samt lagringen af eller adgangen til oplysningerne skal være
nødvendigt for at hjemmesiden kan levere denne tjeneste. Kravene er kumulative. Cookie-
bekendtgørelsens § 4, stk. 2 indeholder bestemmelsen om hvornår lagring af eller adgangen til
oplysninger er påkrævet, og bestemmelsen siger at lagringen af eller adgangen til oplysninger er
tilladt såfremt dette er en teknisk forudsætning for at hjemmesiden kan levere den tjeneste, der
fungerer i overensstemmelse med hjemmesidens formål. Heri ligger der et indirekte krav om, at
cookien skal være en teknisk nødvendighed for at levere tjenesten og at tjenesten ikke kan fungere
54
Waaben & Nielsen, s. 128 55
Ifølge Waaben & Nielsen, s. 128
Side 15 af 45
uden cookien eller lignende teknologi.56
Eksempelvis kan elektroniske indkøbskurve og log-in
informationer være undtagelser efter § 4. Undtagelserne er nødvendige for at kunne bibeholde en
optimal brugervenlighed på hjemmesiderne.
2.4. DELKONKLUSION
Cookie-bekendtgørelsen søger at beskytte brugernes privatliv når de bevæger sig rundt på
internettet, og denne beskyttelse søges opnået igennem informationskravet og samtykkekravet.
Dette indebærer at brugeren skal have modtaget fyldestgørende information, før at brugeren kan
afgive sit samtykke til at tjenesteudbyderen eller tredjepart må lagre oplysninger på brugerens
computer. Tjenesteudbyderens lagring af oplysninger er undtaget såfremt denne lagring er
nødvendig for at tjenesteudbyderen er i stand til at foretage den handling, som brugeren
udtrykkeligt anmoder om, eller at lagringen har til formål at overføre kommunikation via et
elektronisk kommunikationsnet.
3. COOKIE-BEKENDTGØRELSENS SAMSPIL MED ØVRIG LOVGIVNING
I dette kapitel vil der blive set på cookie-bekendtgørelsens samspil med persondataloven § 6,
markedsføringsloven § 1 og § 6 samt Den Europæiske Unions charter om grundlæggende
rettigheder artikel 7 og 8.
3.1. PERSONDATALOVEN
Persondataloven harmoniserer databeskyttelsesdirektivet i dansk ret. Da cookie-bekendtgørelsen
skal fortolkes i forhold til reglerne om beskyttelses af personoplysninger57
, vil det være relevant at
afgrænse rækkevidden af beskyttelsen i de to regelsæt i forhold til hinanden.
3.1.1. Rækkevidden af beskyttelsen i cookie-bekendtgørelsen vs. persondataloven
Beskyttelsen i persondataloven omfatter alle personoplysninger, hvor cookie-bekendtgørelsen
beskytter alle oplysninger – personlige som ikke-personlige – dog kun såfremt de lagres på en
brugers terminaludstyr. Såfremt de indsamlede oplysninger indeholder personoplysninger, vil begge
regelsæt kunne finde anvendelse, og i så fald er det relevant at undersøge, hvilket regelsæt der skal
finde anvendelse.
E-Privacy direktivet udtrykker, at databeskyttelsesdirektivet finder anvendelse på alle forhold i den
elektroniske kommunikationssektor vedrørende beskyttelse af grundlæggende rettigheder og
56
Cookie-vejledningen s. 11 57
Cookie-vejledningen, s. 2 og e-Privacy direktivet art. 1, stk. 2
Side 16 af 45
frihedsrettigheder, som ikke særligt er omfattet af bestemmelserne i e-Privacy direktivet58
. Forhold
der er særlig omfattet af cookie-bekendtgørelsen er dermed lex specialis iht. persondataloven59
.
Derimod vil persondataloven kunne finde anvendelse på de områder, der ikke er særlig beskyttet af
cookie-bekendtgørelsen. På baggrund heraf er persondatalovens § 6, stk. 1 er umiddelbart ikke
relevant60
.
3.2. MARKEDSFØRINGSLOVEN
3.2.1. Generalklausulen § 1
Adfærdsbaseret reklame kan principielt være i strid med markedsføringslovens § 161
. § 1 siger, at
erhvervsdrivende skal udvise god markedsføringsskik under hensyntagen til forbrugerne,
erhvervsdrivende og almene samfundsinteresser, jf. § 1, stk. 1. Endvidere må markedsføring ikke
være egnet til mærkbart at forvride brugernes økonomiske adfærd, jf. § 1, stk. 2. Generalklausulen
virker som et supplement til specialbestemmelserne, og de forhold der falder uden for
specialbestemmelserne falder umiddelbart indenfor generalklausulens anvendelsesområde.
I betænkningen til markedsføringsloven anføres det at ”Generalklausulen kan som hidtil benyttes til
indgreb mod alle former for uønskværdige salgs- og reklameforanstaltninger samt […] beskyttelse
af den personlige integritet og privatlivets fred o.s.v.”62
Generalklausulen beskytter brugerens
privatliv og alle dispositioner inden for adfærdsbaseret reklame der krænker brugerens privatliv vil
således være i strid med generalklausulen. Jesper Løffler Nielsen opstiller i U.2010B.319, 4
kriterier for vurderingen af om adfærdsbaseret reklame er i strid med god markedsføringsskik.63
Disse er 1) antallet og omfanget af usynligt indsamlede oplysninger, 2) om der informeres om
behandling på en lettilgængelig og overskuelig måde, 3) om brugeren har forstået og accepteret
behandlingen inden den foretages, og 4) om brugeren reelt har et valg mht. accepten af vilkårene for
anvendelse af hjemmesiden.
3.2.2. Uanmodet henvendelse § 6
Adfærdsbaseret reklame falder ind under kategorien ”direkte markedsføring” og
markedsføringslovens § 6 vil derfor godt kunne finde anvendelse på adfærdsbaseret reklame.
Bestemmelsen siger at den erhvervsdrivende ikke må rette henvendelse til brugeren, medmindre
58
e-Privacy direktivet, betænkning 10 59
Se også U.2010B.319, s. 3 60
U.2010B.319, s. 3 61
Ibid., s. 3 62
Betænkning nr. 1236-1992, s. 23 63
U.2010B.319, s. 3
Side 17 af 45
den pågældende forudgående har anmodet om det. Forudgående anmodningen kan tilsidestilles med
brugerens samtykke. Cookie-direktivet art. 13(1) udtrykker således ”[…] med henblik på direkte
markedsføring kan kun tillades over for abonnenter eller brugere, som forudgående har givet deres
samtykke hertil.”, og art. 13(1) udtrykker klart et krav om samtykke forud for en uopfordret
henvendelse. Lagring af eller adgang til oplysninger, uden brugerens forudgående samtykke vil
således også være i strid med markedsføringslovens § 6.
3.3. DEN EUROPÆISKE UNIONS CHARTER OM GRUNDLÆGGENDE
RETTIGHEDER
Den Europæiske Unions charter om grundlæggende rettigheder af 7. december 2000, senere
tilpasset i 2007, anerkendes af medlemsstaterne og har samme retskildeværdi som traktaterne, jf.
TEU art. 6. E-Privacy direktivet søger at overholde de grundlæggende rettigheder og
frihedsrettigheder, og prøver især at sikre fuld overholdelse af artikel 7 og 8 i EU charter om
grundlæggende rettigheder.64
EU charter om grundlæggende rettigheder artikel 8 omhandler
beskyttelse af personoplysninger og giver brugeren ret til beskyttelse af personoplysninger, der
vedrører den pågældende bruger, samt at disse oplysninger skal behandles rimeligt, til udtrykkeligt
angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov
fastsat grundlag. Endvidere giver artikel 8 brugeren retten til adgang til indsamlede oplysninger, der
vedrører den pågældende bruger. Artikel 8 indeholder ikke et direkte informationskrav, men
udtrykker at personoplysningerne skal behandles til udtrykkeligt angivne formål.
Artikel 7 i EU charter om grundlæggende rettigheder omhandler respekten for privatliv og
familieliv, og udtrykker således at enhver borger har ret til respekt for sit privatliv og familieliv, sit
hjem og sin kommunikation. Databeskyttelsesdirektivet udtrykker denne rettighed som retten til
beskyttelse af privatlivets fred65
. Databeskyttelsesdirektivet udtrykker at behandlingen af
personoplysninger skal sikre overholdelse af artikel 8 i Konventionen om menneskerettigheder og
andre frihedsrettigheder66
, og denne artikel er identisk med artikel 7 i EU charter om
grundlæggende rettigheder. Artiklerne giver ikke brugeren yderligere beskyttelse end brugeren har
ifølge cookie-bekendtgørelsen.
64
E-Privacy direktivet, betænkning 2. Dette blev videreført i cookie direktivet, jf. betænkning 51 65
Betænkning 56 66
Databeskyttelsesdirektivet, betænkning 10
Side 18 af 45
3.4. DELKONKLUSION
Persondataloven finder ikke anvendelse på områder der er særlig beskyttet af cookie-
bekendtgørelsen, og derfor er persondatalovens § 6, stk. 1 ikke umiddelbart relevant iht.
anvendelsen af cookies. Generalklausulen beskytter brugerens privatliv, og alle dispositioner inden
for adfærdsbaseret reklame der krænker brugerens privatliv, vil være i strid med generalklausulen.
Generalklausulen kan således anvendes i de tilfælde hvor cookie-bekendtgørelsen og
persondataloven ikke finder anvendelse. Markedsføringslovens § 6 og EU charter om
grundlæggende rettigheder artikel 7 og 8 giver brugeren den samme grundlæggende beskyttelse af
brugernes privatliv. Det kan således konkluderes at ingen af de ovenstående bestemmelser er i
modstrid med cookie-bekendtgørelsen.
4. MANGELFULD BESKYTTELSE
Dette kapitel vil indeholde en analyse og vurdering af om der er områder, hvor beskyttelsen af
brugernes privatliv er mangelfuld ift. cookie-bekendtgørelsens formål. Der vil først blive set på
anvendelsen af tre metoder til afgivelse af samtykke. Dernæst vil der blive set på behovet for bedre
beskyttelse til børn og andre udsatte brugere, forhøjet risiko for identitetstyveri og tredjeparters brug
af indsamlede oplysninger samt manglende tilsyn fra myndighederne.
4.1. METODER TIL AFGIVELSE AF SAMTYKKE
4.1.1. Opt-in og opt-out
Opt-in er en metode, hvor brugeren aktivt vælger at tillade cookies. Tjenesteudbyderne må således
ikke indsamle oplysninger om brugeren, før de har fået tilladelse, som aktivt er afgivet af brugeren.
I praksis vil dette betyde, at hvis brugeren ikke foretager sig noget aktivt, vil lagring af cookies ikke
være tilladt.
Opt-out er en metode, hvor brugeren passivt vælger at tillade cookies eller hvor brugeren aktivt
vælger at trække tilladelsen af cookies tilbage. Tjenesteudbyderne må således gerne indhente
oplysninger om brugeren uden at brugeren har afgivet et aktivt samtykke, men må indstille
indsamlingen af oplysninger i så fald brugeren aktivt vælger cookies fra, uanset om samtykket er
afgivet passivt eller aktivt. Dette betyder i praksis, at hvis brugeren ikke foretager sig noget aktivt,
vil tilladelsen være givet stiltiende, og brugen af cookies vil være tilladt.
Side 19 af 45
En aktiv handling skal forstås således, at den aktive handling bygger på et ønske fra brugeren.
Cookie-bekendtgørelsens § 3, stk. 1 indeholder et krav om at brugeren skal afgive sit samtykke,
inden der lagres eller opnås adgang til allerede lagrede oplysninger. § 3, stk. 1 foreskriver således,
at man skal acceptere lagring af oplysninger ved brug af opt-in princippet. Den gamle art. 5(3) i e-
Privacy direktivet indeholdt et krav om, at udbyderen skulle give brugeren muligheden for at afvise
samtykke, og man er således gået fra et opt-out system til et opt-in system67
. Der er et eksplicit
ønske fra lovgivers side om at samtykke skal være udtrykkelig, og kan således ikke være stiltiende
eller indirekte, hvilket er tilfældet med et opt-out system. Cookie-bekendtgørelsens § 3, stk. 2, nr. 4,
indeholder dog en opt-out mulighed, da brugerne skal have mulighed for til at tilbagekalde et
allerede afgivet samtykke. I praksis betyder dette, at udbyderen af hjemmesiden skal informere og
bede om samtykke, når brugeren tilgår hjemmesiden, og brugeren får herved mulighed for at træffe
et oplyst valg. I praksis er det dog ofte ikke tilfældet at brugeren kan træffe et reelt valg, da
brugeren afgiver et tvunget samtykke for at kunne anvende hjemmesiden. Dette har den betydning
at opt-in systemet bliver til et opt-out system i praksis, og det hul som Europa-Parlamentet og Rådet
prøvede at lappe med cookiedirektivet er således ikke lykkedes.
Brugeren skal have adgang til at afslå samtykke eller tilbagekalde et allerede afgivet samtykke, jf. §
3, stk. 2, nr. 4. Ved det nuværende samtykke system får brugerne valget mellem at afgive samtykke
eller at blive udelukket fra anvendelse af hjemmesiden, da hjemmesiden sjældent tilbyder
anvendelse af tjenesterne ved fravalg af cookies. At blive udelukket fra brug af en hjemmeside i den
digitale verden vi har i dag, er en mulighed som få brugere vil vælge, da dette vil fratage dem deres
naturlige rettighed til at være en del af den virtuelle verden på internettet. Erhvervsstyrelsen og
IDA’s undersøgelsen viser, at kun 2 % af brugerne forlader hjemmesiden hvis de ikke kan fravælge
cookies, og at hele 29 % vælger cookies fra, såfremt hjemmesiden tilbyder brugeren denne
mulighed.68
Endvidere viser undersøgelsen, at 38 % af brugerne vælger ikke at blokere for cookies
da det begrænser adgangen til hjemmesiderne.69
Brugerne bliver således ofte tvunget til at afgive
deres samtykke for at kunne anvende hjemmesiden. Årsagen til at virksomheden er nødsaget til at
nægte brugerne adgang til hjemmesiden, i så fald brugerne ikke afgiver deres samtykke, skyldes at
tjenesteudbyderen ofte ikke er i stand til at tilbyde brugerne tjenesten uden anvendelsen af cookies.
67
Sml. e-Privacy direktivet art. 5(3) og cookie direktivet art. 5(3). Cookie direktivet videreførte kravet om information
fra e-Privacy direktivet, og indførte samtykkekravet og herved blev opt-out systemet udskiftet med et opt-in system. Se
også U.2010B.319 s. 2 68
Erhvervsstyrelsen og IDA’s rapport om befolkningens adfærd på nettet, s. 7 69
Ibid., s. 8
Side 20 af 45
I princippet vil opt-in metoden leve op til samtykkekravet og derfor blev denne metode valgt af
lovgiver, men da opt-in princippet i dens nuværende form ikke fungerer i praksis, lever metoden
ikke op til samtykkekravet. Dette betyder at virksomhederne indsamler og anvender
personoplysninger i forbindelse med online markedsføring, og dette har brugeren været tvunget til
at afgivet samtykke til. Erhvervsstyrelsen og IDA’s undersøgelse viser, at 77 % af brugerne mellem
18 år og 70 år mener, at det er et indgreb i privatlivet hvis virksomhederne anvender
personoplysninger uden at have opnået samtykke hertil.70
Brugerne mente også, at det er en
krænkelse af privatlivet hvis virksomheden anvender personoplysninger uden brugerens tilladelse i
forbindelse med markedsføring.71
4.1.2. Accept igennem browserindstillinger
Lovgivningen stiller sig klar i forhold til hvilke krav brugerens samtykke skal overholde, men den
er ikke klar iht. hvilke metoder brugeren kan anvende når accepten skal afgives. Præambel
betragtning nr. 66 i cookie-direktivet siger at brugeren kan anvende passende browserindstillinger
eller andre applikationer til at afgive samtykke, forudsat at de relevante bestemmelser i
databeskyttelsesdirektivet overholdes. Direktivet giver ikke yderligere forklaring på hvad der menes
med passende browserindstillinger, eller hvilke krav der stilles hertil, for at samtykkekravet er
opfyldt. Som konkluderet tidligere skal et samtykke være eksplicit. Ved at brugeren giver sit
samtykke igennem browserindstillinger vil samtykket være implicit, med mindre brugeren eksplicit
gennemgår alle de enkelte cookies den vil acceptere/afvise. Kommissionen vurderer at accept
igennem browserindstillinger er med til at skabe en uklarhed i forhold til hvad der udgør ”freely
given, specific and informed concent”72
.
I det efterfølgende vil der blive set på anvendelse af Internet Explorer og Google Crome til
afgivelse af samtykke. Ved anvendelse af Internet Explorer er det muligt at vælge imellem seks
forskellige beskyttelsesniveauer, og det fremgår tydeligt hvilke typer af cookies man kan
accepterer/afvise. Brugeren skal dog selv aktivt vælge hvilket niveau brugeren ønsker, og
browseren er som udgangspunkt indstillet til at acceptere cookies. Ved anvendelse af Google
Chrome, der også er indstillet til at acceptere cookies, får brugeren ikke muligheden for at vælge
beskyttelsesniveau. Browseren giver en ”Do-not-track” mulighed, som først og fremmest ikke er
umiddelbart tilgængelig for brugeren. Når brugeren vælger denne mulighed kommer der en
70
Erhvervsstyrelsen og IDA’s rapport om befolkningens adfærd på nettet, s. 9 71
Ibid., s. 9 72
European Commission, 2010, s. 22
Side 21 af 45
tekstboks op med en beskrivelse af hvad denne mulighed har af betydning. Brugeren får her
muligheden for at trykke på et link hvor der findes yderligere informationer og her bliver brugeren
gjort opmærksom på følgende: ”At this time, most web services, including Google's, do not alter
their behavior or change their services upon receiving Do Not Track requests”. Ved anvendelse af
”Do-not-track” får brugeren den opfattelse at han/hun har fravalgt cookies, men dette er ikke
tilfældet. Ud over ”Do-not-track” muligheden kan brugeren også blokere for tredjeparts cookies,
men denne mulighed er heller ikke umiddelbart overskuelig at finde. Anvendelsen af
browserindstillinger til at afgive samtykke er ikke i overensstemmelse med informationskravet, da
brugeren kan acceptere/afvise cookies på baggrund af typen af cookies, uden at brugeren får
information fra de berørte hjemmesider. Artikel 29-Gruppen udtrykker således at”Consent in bulk
for any future processing without knowing the circumstances surrounding the processing cannot be
valid concent”.73
Ligeledes argumenterer Jesper Løffler Nielsen at browserindstillinger ikke er en
”teknisk mulig og effektiv” måde for brugeren at afgive sit samtykke på.74
Lovgivers ønske om at
gøre samtykke processen nemmere for brugeren er ikke lykkes, og forvirringen omkring implicit
samtykke eksisterer således stadig.
4.2. HJEMMESIDERNES OVERHOLDELSE AF KRAVENE
Når man tilgår en dansk hjemmeside eller en udenlandsk hjemmeside der henvender sig til det
danske marked, er kutymen (i) at brugeren bliver gjort opmærksom på at hjemmesiden anvender
cookies, (ii) at brugeren bliver gjort opmærksom på at hvis brugeren klikker videre vil dette være
ensbetydende med et samtykke og (iii) at brugeren bliver henvist til en underside, via link, hvis
brugeren har behov for yderligere informationer før afgivelse af samtykke. Går man ind på
Politikkens hjemmeside, får man præsenteret følgende boks i bunden af browseren:
Brugeren kan vælge at afgive sit samtykke ved at klikke på OK eller vælge at fortsætte på
hjemmesiden, og herigennem afgive sit samtykke. Hvis brugeren trykker på OK forsvinder boksen,
men hvis brugeren fortsætter på hjemmesiden følger boksen med. Andre hjemmesider har valgt en
anden tilgang hvor de skriver at brugeren accepterer cookies ved at klikke videre på hjemmesiden,
og i sådanne et tilfælde forsvinder boksen, hvis brugeren klikker videre.
73
Article 29 Working Party’s opinion on online behavioural advertising, s. 14 74
U.2010B.319, s. 2
Side 22 af 45
Cookie-bekendtgørelsen opstiller følgende tre krav til tjenesteudbyderne; (i) at brugeren skal have
modtaget fyldestgørende information forud for brugerens samtykke, (ii) at brugeren skal give et
samtykke der er et udtryk for ”enhver frivillig, specifik og informeret viljetilkendegivelse”75
, og (iii)
at brugeren skal henvises direkte til en underside med yderligere informationer, såfremt brugeren
ikke er blevet præsenteret for alle informationer ved tilgangen til hjemmesiden. Hvis man tager
Politikken som eksempel for hvordan hjemmesiderne generelt giver brugerne information kan det
ses at Politikken informerer brugeren om at de anvender cookies til at huske brugerens indstilling
og målrette annoncer, og henviser til en underside for yderligere information. Om disse
informationer lever op til fyldestgørende information er tvivlsomt. For at brugeren kan træffe et
informeret valg er det nødvendigt at brugeren er klar over hvilke konsekvenser både et samtykke og
fravalg af samtykke har for brugeren. For en bruger der besøger Politikkens hjemmeside er det
nødvendigt at brugeren klikker sig ind og læser resten af Politikkens cookie-politik for at være i
stand til at foretage et velinformeret valg. Det er de færreste brugere der har tid og kapacitet til læse
hver enkelt tjenesteudbyders cookie-politik, og dette betyder at brugernes samtykke ikke vil være
baseret på et velinformeret valg til trods for at hjemmesiden umiddelbart overholder lovens krav.
4.2.1. Eksperiment
For at se hvor godt hjemmesiderne beskytter brugernes privatliv, foretog jeg et eksperiment.
Browseren Google Chrome er blevet anvendt til eksperimentet, og følgende hjemmesider blev
undersøgt: www.politikken.dk, www.bilbasen.dk, www.dmi.dk og www.ekstrabladet.dk.
I eksperimentet blev der udelukkende set på tredjeparts cookies. For at udelukke førsteparts
cookies, tjekkede jeg hvilke cookies der blev lagret på min computer ved fravælgelse af tredjeparts
cookies i browseren, og jeg kunne så trække disse fra de cookies der blev lagret på min computer
ved tilvalg af tredjeparts cookies i browseren. Først nulstillede jeg browserens cookieliste76
,
hvorefter jeg gik ind på en af de ovenstående hjemmesider. Jeg hverken klikkede videre på siden
eller afgav mit samtykke. Herefter tjekkede jeg browserens cookieliste igen for at se hvilke og hvor
mange cookies der blev lagret, før hjemmesiden havde modtaget mit samtykke. I hvert forsøg var
cookielisten overraskende fyldt med cookies. Udover førsteparts cookies sat af hjemmesiden selv,
bugnede cookielisten med tredjeparts cookies. Ved mit besøg på Politikkens hjemmeside havde den
sat 192 tredjeparts cookies. Bilbasen havde sat 22 tredjeparts cookies, DMI havde sat 24 tredjeparts
cookies og Ekstra Bladet havde sat 185 tredjeparts cookies. Disse tredjeparts cookies var blevet
75
Cookie-bekendtgørelsens § 2, stk. 1, pkt. 8 76
Browser indstillinger blev ligeledes nulstillet, så mine personlige indstillinger blev slettet.
Side 23 af 45
lagret på min computer uden mit samtykke. Eksperimentet viser at hjemmesiderne betragter det, at
brugeren tilgår hjemmesiden som samtykke, og dette foregår inden brugeren har fået fyldestgørende
information.
4.3. IDENTITETSTYVERI
De etiske problemstillinger der ligger i anvendelsen af cookies til adfærdsbaseret reklame, ligger
ikke i selve indsamlingen af oplysninger, men i hvad virksomhederne kan anvende disse
oplysninger til77
. Det er derfor vigtigt at lovgiver har fokus på beskyttelsen af brugernes privatliv.
Når virksomhederne indsamler og opbevarer personlige og identificerbare oplysninger om
brugerne, skaber det en stor risiko for identitetstyveri, da hackere nemt kan opnå adgang til disse
oplysninger. Det viser sig således, at hele 59 % af brugerne mellem 18 år og 70 år er bekymret for
at blive udsat for identitetstyveri på internettet.78
The German Federal Court in the Judgement of the
First Senate of 27 February 2008 udtrykte at “The use of information technology has taken on a
significance for the personality and the development of the individual which could not have been
predicted. Modern information technology provides the individual with new possibilities, whilst at
the same time entailing new types of endangerment of personality.”79
Udviklingen af den
teknologiske verden, kræver en bedre beskyttelse af brugernes privatliv, for at brugerne er tilpas
sikret imod identitetstyveri.
4.4. BØRN OG ANDRE UDSATTE BRUGERE
I Europa-Parlamentets beslutning om reklamers påvirkning af forbrugernes adfærd pointeres det, at
særligt sårbare, herunder børn, teenagere, ældre mv. i særdeleshed skal beskyttes, og at målrettede
reklamer ikke må henvende sig til børns specielle interesseområder.80
Hidtil har der ikke været
skelnet mellem de forskellige typer brugere, men det er vigtigt at understrege, at børn og andre
udsatte brugere særligt har behov for beskyttelse. Børn og andre udsatte brugere har ikke brug for
en bredere beskyttelse, da beskyttelsen er bred generelt, men børn og andre udsatte brugere har
nødvendigvis ikke de samme forudsætninger for at forstå konsekvenserne ved et tilvalg/fravalg af
cookies, og derfor bør det sikres at virksomhederne tager hensyn til disse brugere, når de designer
deres metode til afgivelse af information og indhentning af samtykke.
77
Debusseré, s. 77 78
Erhvervsstyrelsen og IDA’s rapport om befolkningens adfærd på nettet, s. 16
79 C-595/07, BvR 370, præmis 104.
80 Europa-Parlamentets beslutning om reklamers påvirkning af forbrugernes adfærd, pkt. K og nr. 30, samt Europa-
Parlamentets beslutning om en global metode til beskyttelse af personoplysninger i Den Europæiske Union, pkt. M.
Side 24 af 45
4.5. TREDJEPARTERS INDSAMLING AF OPLYSNINGER
Et stort etisk problem opstår i forbindelse med data-marketing virksomheder. Data-marketing
virksomheder er virksomheder der lever af at indsamle oplysninger fra brugerne, og så sælge disse
oplysninger videre til andre virksomheder, både nationalt og internationalt. I DR’s dokumentar
”Privatliv til salg”81
undersøges alle 98 kommuners hjemmesider, og det viste sig, at der på de fleste
af hjemmesiderne var placeret cookies af tredjeparter (data-marketing virksomheder), men kun få af
disse kommuner var klar over at dette var tilfældet, og de var ligeledes ikke klar over hvad de
indsamlede oplysninger bliver anvendt til. Vejle kommune udtalte bl.a. at de ikke havde ressourcer
eller kompetencerne til at tjekke hvem der fik adgang til hvilke oplysninger, og hvad disse
oplysninger anvendes til. Endvidere fortalte journalisten i programmet at Datatilsynet i en
telefonsamtale havde oplyst at de aldrig havde undersøgt eller ført tilsyn med virksomheder der
indsamler personoplysninger via cookies. Det er særdeles problematisk at kommunerne ikke er klar
over hvem der indsamler oplysninger fra deres hjemmesider, og endnu mere problematisk at de ikke
har ressourcerne eller kompetencerne til at holde tilsyn hermed. Kommunale hjemmesider anvendes
ofte i forbindelse med personlige sager, hvor der er mange personlige og identificerbare
oplysninger, og at disse oplysninger kan indhentes af tredjeparter er særdeles bekymrende.
4.6. MANGEL PÅ TILSYN
Erhvervsstyrelsen fører tilsyn med at reglerne i cookie-bekendtgørelsen overholdes og Datatilsynet
fører tilsyn med at reglerne i persondataloven overholdes. Indtil nu har der ikke været ført sager om
virksomheder, der ikke har overholdt lovgivningen iht. reguleringen af cookies, og som det blev
oplyst i ”Privatliv til salg” har Datatilsynet aldrig ført tilsyn herom. Om Erhvervsstyrelsen har ført
tilsyn er tvivlsomt, især da de i cookie-vejledningen lægger op til en ønsket selvregulering82
. I sag
C-518/07 mellem Kommissionen og Tyskland udtalte Domstolen, at ”For at sikre denne beskyttelse
[beskyttelsen af grundlæggende rettigheder og frihedsrettigheders] skal tilsynsmyndighederne sikre
en ligevægt mellem på den ene side overholdelsen af den grundlæggende ret til privatlivets fred og
på den andens side de hensyn, der styrer den frie udveksling af personoplysninger.”83
Endvidere
udtrykte Europa-Parlamentet at ”fejlagtig anvendelse […] af personoplysninger […] bør være
strafbare handlinger underlagt passende og strenge sanktioner…”84
og at de ”anser det for at være
81
Vist på DR1 den 16. marts 2015 82
Cookie-vejledningen, s. 12ff 83
Sag C-518/07, European Commission v. Germany, præmis 24 84
Europa-Parlamentets beslutning om en global metode til beskyttelse af personoplysninger i Den Europæiske Union,
pkt. D
Side 25 af 45
af altafgørende betydning, at de registreredes rettigheder kan håndhæves…”85
Erhvervsstyrelsen
og Datatilsynet skal således sikre en ligevægt imellem hensynet til brugerne og hensynet til et
effektivt indre marked, men det virker ikke til at denne ligevægt eksisterer. Lovgiver har etableret
en regulering der har til formål at beskytte brugerne, men denne beskyttelse rækker ikke langt hvis
der ikke føres tilsyn med virksomhederne. Myndighedernes tilsyn med virksomheden og
anvendelsen af straf og sanktioner, er nødvendige hvis lovgivningen skal have den tilsigtede
beskyttelse.
4.7. DELKONKLUSION
Hverken opt-out eller accept gennem browserindstillinger er metoder der overholder kravet til
fyldestgørende samtykke, og metoderne er derfor ikke anvendelige til at afgive samtykke.
Anvendelsen af opt-out metoden betyder, at et samtykke vil være implicit og et samtykke afgivet
ved brug af browserindstillinger er et uklart og ligeledes implicit samtykke. Opt-in metoden, som
lovgivningen lægger op til, er bedre at anvende, men om denne metode kan eksistere i praksis er
uvis. Trods lovgivers forsøg på at øge beskyttelsen af brugernes privatliv, er dette ikke lykkedes, og
dette kan man bl.a. se i mit eksperiment, da hjemmesiderne tillader tredjeparter at lagre oplysninger,
til trods for at brugeren ikke har afgivet sit samtykke hertil, eller at brugeren er blevet gjort
opmærksom herpå. Opt-out metoden gør det muligt for tjenesteudbyderne at tvinge brugerne til at
afgive samtykke, og der er herved uoverensstemmelse imellem hvordan lovgiver har ønsket at
beskytte brugerne, og hvordan brugerne i praksis er beskyttet. Mangel på beskyttelse af brugernes
privatliv øger risikoen for identitetstyveri samt risikoen for at de indsamlede oplysninger bliver
misbrugt af tredjeparter. Endvidere er beskyttelsen mangelfuld ift. børn og andre særlige udsatte
brugere, da denne gruppe har brug for mere klarhed om konsekvenserne for deres valg af samtykke
eller mangel heraf.
5. ANVENDELSE AF ADFÆRDSBASERET REKLAME
I dette kapitel vil der blive redegjort for hvorfor virksomheden anvender cookies til adfærdsbaseret
reklame, og herunder foretages der en vurdering af hvilke fordele denne reklameform har for
virksomheden. Dette afklares for at kunne foretage en vurdering af hvilke begrænsninger cookie-
bekendtgørelsen har for virksomhedens brug af cookies til adfærdsbaseret reklame.
85
Europa-Parlamentets beslutning om en global metode til beskyttelse af personoplysninger i Den Europæiske Union,
pkt. 32
Side 26 af 45
Mange hjemmesider er afhængige af online markedsføring for at kunne eksistere. Hjemmesider som
nyhedssider, blogs, webmail, søgemaskiner og sociale sider som Facebook mv. ville ikke eksistere,
hvis de ikke anvendte online markedsføring. Sådanne hjemmesider tjener oftest ikke på deres
tjenester, og hjemmesiderne lever således for den indtjening de får igennem online markedsføring.
Der findes mange forskellige former for online markedsføring, og herunder flere forskellige former
for online targeting. I det efterfølgende afsnit vil der kort blive redegjort for online targeting for at
give læseren en generel forståelse for, hvorfor tjenesteudbyderne vælger at anvende adfærdsbaseret
reklame frem for andre former for online targeting.
5.1. ONLINE TARGETING
Internettet er blevet et populært markedsføringsmedie og Konkurrence- og forbrugerstyrelsens
undersøgelse fra 2011 viste, at 20-38 % af marketingsbudgettet blev anvendt på online
markedsføring. Beløbet blev forventet til at stige med 28-42 % indenfor de efterfølgende 2-3 år. Af
onlinemarketingsbudgettet anvendes 4-15 % af budgettet på adfærdsbaseret reklame, og denne
andel blev forventet til at stige til 13-28 % inden for de efterfølgende 2-3 år.
Targeting kan karakteriseres således: ”The concept of target marketing involves the delivery of a
marketing message to the segment most likely to purchase the product.”86
Der findes flere former
for online targeting, såsom geografisk targeting, kontekstuel targeting og adfærdsbaseret targeting.
Geografisk targeting er når virksomheden anvender brugernes geografiske placering for at ramme et
bestemt segment87
. Kontekstuel targeting er når virksomheden placerer en reklame på en
hjemmeside, hvor det der reklameres for og hjemmesiden fremstår i samme kontekst88
. Et eksempel
på kontekstuel targeting kan være en reklame for babyudstyr på en hjemmeside for gravide. Begge
metoder er udbredte og effektive targeting metoder, men adfærdsbaseret targeting går skridtet
videre. Med udgangspunkt i eksemplet ovenfor, kan adfærdsbaseret targeting gøre virksomheden i
stand til at placere en reklame for babyudstyr på en hjemmeside for biler, men hvor kun formodede
gravide kvinder bliver modtagere af reklamen. Adfærdsbaseret targeting giver endvidere mulighed
for pris targeting, frekvensstyring og retargeting. Pris targeting anvendes når virksomheden gerne
vil tilbyde en bestemt bruger en pris, der adskiller sig fra den pris de øvrige brugere bliver tilbudt89
.
Frekvensstyring gør at virksomheden kan bestemme hvor ofte en bruger skal eksponeres for en
86
Gay et al., s. 188 87
Ibid., s. 192 88
Ibid., s. 191 89
Alreck & Settle, s. 1
Side 27 af 45
bestemt reklame90
, og retargeting er bl.a. hvor brugeren bliver vist en reklame for et produkt, som
brugeren har vist interesse i91
.
5.2. PROFILERING
For at virksomhederne kan være i stand til at anvende adfærdsbaseret reklame, skal de opbygge
profiler af brugerne. Artikel 29-Gruppen anerkender to typer af brugerprofiler og disse er Predictive
profiler og explicit profiler.92
Predictive profiler opbygges på baggrund af observationer af
individuel og kollektiv adfærd over tid.93
Der fokuseres især på hvilke hjemmesider der besøges og
hvilke reklamer der ses og trykkes på. Predictive profiler er som udgangspunkt ikke et problem i sig
selv, da de som udgangspunkt ikke indeholder identificerbare personoplysninger. Explict profiler
opbygges på baggrund af personoplysninger som brugeren selv giver tjenesteudbyderen, fx ved at
brugeren registrerer sig på hjemmesiden, foretager et køb med kreditkort, udfylder et spørgeskema
eller lignende.94
Profilen indeholder således identificerbart information som navn, adresse, mv.
Eksplicit profilering er ikke et problem i sig selv, men det kan blive et problem hvis profilen
kombineres med en predictive profil, da de identificerbare personoplysninger således kobles
sammen med brugerens adfærd på internettet. En kombinering af disse to profiltyper er i strid med
reguleringen, medmindre brugeren udtrykkeligt har givet sit samtykke til at disse to profiler må
kombineres, hvilket er usandsynligt.
5.3. ADFÆRDSBASERET REKLAME
For at besvare hvorfor virksomheden anvender adfærdsbaseret reklame, og hvilke økonomiske
fordele dette har for virksomheden, har jeg valgt at redegøre for de fordele og ulemper
adfærdsbaseret reklame giver virksomheden. Analysen inddrager bl.a. Konkurrence- og
Forbrugerstyrelsens forbrugerpanelundersøgelse fra 2011, der havde til formål at undersøge de
danske forbrugeres holdning til adfærdsbaseret reklame og anvendelsen heraf på de danske
hjemmesider.
5.3.1. Fordele
Ved at tracke brugernes adfærd på internettet kan virksomhederne opbygge profiler for hver enkelt
bruger, for herefter at vise hver enkelt bruger udvalgte reklamer som den pågældende bruger ifølge
90
Tran et al., s. 1 91
Alreck & Settle, s. 1 92
Article 29 Working Party’s opinion on online behavioural advertising, s. 7 93
Ibid., s. 7 94
Ibid., s. 7
Side 28 af 45
profilen, er interesseret i. Teknologien har således givet virksomhederne bedre muligheder for at
ramme deres målgruppe end ved andre former for online targeting. I en amerikansk undersøgelse
fra 2007 udtrykte Alreck og Settle det på følgende måde, ”With conventional target marketing, the
assumption is that it is more lucrative to gain deeper penetration in specific segments than to attain
only shallow penetration among the entire market by trying to be ”all things to all people”.”95
Ved
anvendelse af adfærdsbaseret reklame sparer virksomheden mange reklamepladser, da reklamerne
kun forevises for de brugere der er en del af målgruppen. Dette gør at reklamens effektivitet, også
kaldt CTR, stiger. CTR er relationen mellem antallet af brugernes klik på en reklame og antallet af
gange reklamen bliver vist på en hjemmeside96
. I et polsk undersøgelse fra 2008 viste det sig at
adfærdsbaseret reklame, effektivt øger CTR i næsten alle testede tilfælde. I mange tilfælde var det
muligt at øge CTR med over 20 %, og i enkelte tilfælde blev CTR øget med 40 %.97
Med en
stigning i CTR vil der, alt andet lige, være en stigning i antallet af køb, så adfærdsbaseret reklame
giver herved potentiale for større profit. Ifølge denne teori vil det føre til, at adfærdsbaseret reklame
har en højere pris-effektivitet end andre former for online targeting, da der skal vises færre reklamer
for at opnå samme effektivitet, som for andre former for online targeting. Herved sparer
virksomheden på antallet af reklamepladser, hvilket er årsag til større profit.
Virksomhederne har mulighed for at anvende retargeting. Hvis en bruger ser på et bestemt produkt,
og måske vælger at komme produktet i den virtuelle indkøbskurv, men fortryder og vælger ikke at
købe produktet, kan virksomheden vise brugeren reklamer for dette produkt, og på den måde prøve
at overtale brugeren til at foretage et køb. En undersøgelse har vist at retargeting reklamer er op til
6 gange så effektive som generelle online reklamer98
. Virksomhederne har ligeledes mulighed for at
anvende pris targeting, da brugeren vil være mere tilbøjelig til at købe produktet hvis brugeren får
en rabat eller f.eks. gratis fragt. Hvis dette kombineres med frekvensstyring vil dette også være med
til at overtale brugeren til at foretage et køb.
Muligheden for at identificere brugerne på internettet giver virksomheden gode muligheder for at
skaffe nye kunder. Ved at identificere brugerne og sortere de brugere fra, der tidligere har købt hos
virksomheden, kan virksomheden prøve at overtale de brugere der endnu ikke har købt produktet
ved at give særlige rabatter, fri fragt eller lignende. Dette er baseret på teorien om, at det er
sandsynligt at en bruger kommer tilbage og køber igen, til priser der er mere indbringende for
95
Alreck & Settle, s. 1 96
Jaworska & Sydow, s. 66 97
Ibid., s. 72 98
Tran et al., s. 1f
Side 29 af 45
virksomheden. Det er også muligt for virksomheden at ”forkæle” de brugere der tidligere har købt
produkter hos virksomheden, og på den måde kan virksomheden vinde brugernes loyalitet.99
Andelen af danske familier med adgang til internet i hjemmet er steget fra 82 % i 2008 til 93 % i
2014,100
og 89 % af den danske befolkning har adgang til internettet i hjemme101
. Det er således
blevet nemmere for virksomheden at nå sin målgruppe over internettet. Dette er dog en mulighed
for online markedsføring som helhed, og ikke specifikt for adfærdsbaseret reklame.
Ifølge Konkurrence- og Forbrugerstyrelsens undersøgelse forventer mediebureauer,
reklamebureauer og annoncører en større etisk accept af adfærdsbaseret reklame i fremtiden med
henholdsvis 50 %, 47 % og 30 %.102
En større etisk accept skulle gerne lede til, at brugerne er mere
villige til at deltage aktivt, og at færre brugere sletter deres cookies, eller udøver andre
foranstaltninger der påvirker indsamlingen af oplysninger negativt. I 2010 udtrykte Europa-
Parlamentet at de ”er overbevist om, at en ansvarlig holdning fra erhvervslivets side, kendetegnet
ved respekt for princippet om virksomhedens sociale ansvar, konkurrencereglerne og forbrugernes
økonomiske interesser, vil bidrage til at øge tilliden hos forbrugerne.”103
Virksomhederne har
mulighed for at skubbe til brugernes holdninger til adfærdsbaseret reklame ved at de tydeligt
markerer, at reklamen er adfærdsbaseret. Forbrugerundersøgelsen viser således, at hvis det tydeligt
fremgår at den pågældende reklame er adfærdsbaseret, ændrer det 29 % af deltagernes holdning til
adfærdsbaseret reklame i en positiv retning. En anden og mere effektiv mulighed for at ændre
brugernes holdning er, at der udvikles et sæt generelle retningslinjer for hvad det indsamlede
materiale må bruges til, og at hjemmesiderne gør brugerne opmærksomme på at de overholder disse
retningslinjer104
. Det største problem med adfærdsbaseret reklame er truslen imod brugerens
privatliv, så hvis brugerne får en garanti for at de indsamlede oplysninger ikke vil blive anvendt på
en uetisk måde, ville dette positivt kunne ændre op til 61 % af brugernes holdning til adfærdsbaseret
reklame. 105
5.3.2. Ulemper
For at virksomhederne kan anvende adfærdsbaseret reklame på en effektivt måde kræver det at
virksomheden kan lave retvisende profiler for brugerne, og mængden af oplysninger er afgørende
99
Alreck & Settle, s. 1 100
Statistikbanken tabel: FABRIT01 101
Statistikbanken tabel: BEBRIT01 102
Konkurrence- og forbrugerstyrelsens forbrugerundersøgelse, s. 59 103
Europa-Parlamentets beslutning af 9. marts 2010 om forbrugerbeskyttelse, pkt. 6 104
Konkurrence- og forbrugerstyrelsens forbrugeranalyse, s. 22 105
Ibid., s. 23
Side 30 af 45
for en retvisende profil. Anvendelsen af adfærdsbaseret reklame kan således kun være så god som
de indsamlede oplysninger, både iht. kvalitet og kvantitet. Hvis de indsamlede oplysninger er
misvisende for brugerens interesser vil dette betyde at brugeren får forevist reklamer, som brugeren
ikke er interesseret i, og reklamen vil derfor miste sin effektivitet. Effektiviteten af adfærdsbaseret
reklame afhænger derfor af kvaliteten og kvantiteten af de indsamlede oplysninger.
I dag har de fleste brugere deres egen computer, men det sker alligevel tit, at man skal låne en
anden brugers computer. Når den samme computer bliver anvendt af flere brugere, kan
virksomhederne ikke skelne imellem de forskellige brugere. Profilen der repræsenterer brugeren af
computeren, vil således være baseret på to eller flere brugere, og profilen vil derfor ikke stemme
overens med den bruger som er primær bruger af computeren. Virksomhederne kan ligeledes ikke
skelne mellem brugerens intentioner, da brugeren f.eks. kan anvende computeren til både privat
brug og i erhvervsmæssig sammenhæng. Profilen vil således ikke være retvisende for brugerens
interesser.
Ifølge Konkurrence- og Forbrugerstyrelsens undersøgelse er 38 % af brugerne ikke interesserede i
at se adfærdsbaseret reklamer.106
Den generelle opfattelse er dog at brugerne ønsker adfærdsbaseret
reklame, da brugerne hellere vil se reklamer der er relevante for dem, end reklamer der er
irrelevante for dem. Undersøgelsen viser at kun 11 % ønsker at se adfærdsbaseret reklamer i høj
grad og 1 % ønsker det i meget høj grad. Halvdelen ønsker kun at se adfærdsbaseret reklamer i
mindre eller nogen grad. Dette skyldes muligvis at visningen af reklamer er baseret på en ukorrekt
profil, og brugeren er derfor ikke reelt interesseret og brugeren bliver således irriteret over at blive
overeksponeret for den pågældende reklame. Det forekommer også at en bruger overeksponeres
med reklamer fra en virksomhed, hvor brugeren f.eks. har foretaget et køb, og på baggrund heraf er
brugeren naturligvis ikke længere interesseret i at se reklamer for produktet. Hvis en bruger
overvejer et køb, og brugeren undersøger markedet, og herefter vælger ikke at købe det pågældende
produkt, bliver brugeren også overeksponeret af reklamer, ofte fra flere virksomheder, og dette kan
skabe en irritation fra brugerens side.
I undersøgelsen blev deltagerne spurgt til deres holdning til, at reklamer på internettet kan målrettes,
på baggrund af brugerens adfærd på internettet. Hele 54 % var negative eller meget negative, 38 %
var neutrale og kun 8 % var positive eller meget positive.107
Undersøgelsen viser således, at
brugerne er skeptiske overfor brugen af adfærdsbaseret reklame. Når brugerne har en negativ
holdning til adfærdsbaseret reklame, betyder dette at brugerne sletter deres cookies regelmæssigt.
106
Konkurrence- og forbrugerstyrelsens forbrugeranalyse, s. 18 107
Ibid., s. 21
Side 31 af 45
Faktisk sletter hele 58 % deres cookies, og heraf sletter 30 % deres cookies mindst én gang om
måneden.108
Dette er en hindring for virksomhederne, da de er afhængige af gode oplysninger, for at
kunne anvende adfærdsbaseret reklamer, der kan nå ud til virksomhedens respektive målgruppe.
Hvis brugerne sletter deres cookies, skal virksomhederne starte forfra med at opbygge en profil af
brugeren. Dette tager lang tid og hvis brugerne sletter deres cookies jævnligt, er det ikke muligt at
opbygge en god profil. Hvis virksomhederne anvender en misvisende profil, kan de ikke opnå de
fordele der ligger i adfærdsbaseret reklame.
5.4. DELKONKLUSION
Grundlæggende anvender virksomheden adfærdsbaseret reklame for at maksimere deres profit.
Dette er muligt da adfærdsbaseret reklame, i de fleste situationer, er mere priseffektiv end andre
former for online targeting. Ved adfærdsbaseret reklame anvender virksomheden IT-systemer der er
i stand til at udvælge de brugere, der er en del af målgruppen for produktet der reklameres for. Dette
gør at virksomheden sparer reklameomkostninger, da reklamerne kun forevises for de brugere der er
en del af målgruppen. Ligeledes giver det også virksomheden mulighed for at få flere kunder, da
virksomheden kan henvende sig til flere brugere inden for den respektive målgruppe, sammenlignet
med andre former for online targeting.
6. ØKONOMISKE BEGRÆNSNINGER
Dette kapitel vil indeholde en vurdering af hvilke begrænsninger cookie-bekendtgørelsen har for
virksomhedens brug af cookies til adfærdsbaseret reklame.
Lovgivningen skaber en trussel for anvendelsen af adfærdsbaseret reklame, da cookie-
bekendtgørelsen stiller krav til hjemmesidernes brug af cookies i forbindelse med indsamling af
oplysninger. Hjemmesiderne skal således informere brugeren om formålet med indsamlingen, samt
de skal bede om samtykke fra brugeren før de må indsamle oplysningerne, og de skal endvidere
have en cookie-politik, som brugerne let kan opnå adgang til via deres hjemmeside. Cookie-
politikken skal indeholde en beskrivelse af, hvilke former for oplysninger hjemmesiden indsamler,
og hvad dette materiale bliver anvendt til, samt om der bliver indsamlet oplysninger af tredjeparter.
Efter indførelsen af cookie-bekendtgørelsen er brugerne blevet mere bevidste om cookies, og
virksomhedernes indsamling af oplysninger kan derfor ikke længere foregå i det skjulte.
108
Konkurrence- og forbrugerstyrelsens forbrugeranalyse, s. 24. Erhvervsstyrelsen og IDA’s undersøgelse fra 2015,
viser at 39 % altid sletter cookies, og 19 % sletter cookies ofte (s. 7).
Side 32 af 45
6.1. FALD I REKLAME EFFEKTIVITET
I 2009 blev der udgivet en amerikansk undersøgelse, der havde til formål at undersøge hvordan
markedet var blevet påvirket ved indførelsen af opt-out princippet med e-Privacy direktivet i
2002109
. Ifølge undersøgelsen faldt reklame effektiviteten i Europa med 65 % i gennemsnit i forhold
til resten af verden. Ligeledes viser undersøgelsen at hjemmesider med et generelt indhold som
nyhedssider mv., oplevede et større fald i reklame effektivitet frem for hjemmesider med et
specifikt indhold.110
Dette skyldes at hjemmesider med et specifikt indhold kan have reklamer der
relaterer sig til indholdet på hjemmesiden, og stadig opnå en lige så stor reklameeffektivitet som
hvis der var anvendt adfærdsbaseret reklame. Dette betyder at effektivitet af adfærdsbaseret reklame
på hjemmesider med generelt indhold falder til niveauet for andre former for online targeting og
virksomheden vil derfor opleve et fald i deres profit. Cookie-bekendtgørelsens eller
cookiedirektivets påvirkning på reklameeffektiviteten er ikke blevet undersøgt, men det kan antages
at der ligeledes her, er sket et fald i reklameeffektiviteten. Dog er det usikkert hvor meget
reklameeffektivteten er faldet og om dette fald er mærkbart.
6.2. HENSYNET TIL BRUGERNE
I takt med den teknologiske udvikling er der et stort behov for at sikre at reguleringen lever op til de
udfordringer som teknologien medfører, og det har været yderst vigtigt at sørge for at reguleringen
beskytter brugernes privatliv. Ferretti pointerer at ”All the same, in the drafting of the law the EU
consistently took a rigorous “fundamental human rights” approach. This stance was particularly
important, because it meant that data protection automatically trumped other interest and could not
be traded-off for economic benefits.”111
Ifølge Ferretti har denne tilgang en konsekvens for de
økonomiske fordele der ligger i bl.a. adfærdsbaseret reklame, da hensynet til brugernes privatliv er
prioriteret højere end hensynet til virksomheden.
6.3. HÅNDHÆVELSE
Databeskyttelsesdirektivet kapitel 3 regulerer hvilke retsmidler og sanktioner medlemslandene kan
anvende i tilfælde af overtrædelse af databeskyttelsesdirektivet, e-Privacy direktivet og cookie
direktivet. Databeskyttelsesdirektivet pålægger medlemsstaterne at fastsætte hvilke sanktioner, der
skal finde anvendelse i tilfælde af overtrædelse af direktiverne, jf. art. 24. Af cookie-
bekendtgørelsens § 5 fremgår det, at overtrædelse af § 3 straffes med bøde, og at juridiske personer
109
Goldfarb & Tucker, Privacy Regulation and Online Advertising 110
Goldfarb & Tucker, s. 58 111
Ferretti, s. 852 og case C-465/00 Rechnungshof v. Osterreichischer Rundfunk and others
Side 33 af 45
kan pålægges strafansvar efter reglerne i straffelovens 5. kapitel. Den danske lovgivning sætter
hermed ikke en øvre grænse for bødens størrelse. Der har endnu ikke været nationale sager,
vedrørende overtrædelse af lovgivningen iht. cookies. Der har været enkelte sager i andre
europæiske lande, og i det følgende vil der blive set på sagen om Google.
6.3.1. Google sagen
I marts 2012 erstattede Google over 60 af deres privatpolitikker med én privatpolitik der skulle
dække alle deres tjenester, som f.eks. YouTube, Gmail, og deres søgemaskine.112
Med denne
ændring begyndte Google at kombinere de indsamlede brugeroplysninger på tværs af deres
tjenester, for at kunne anvende disse brugeroplysninger til at sælge annoncer.113
Tilsynsmyndighederne i England, Frankrig, Tyskland, Italien, Spanien og Holland gik herefter
sammen med det formål, at hvert land selvstændigt skulle pålægge Google bøder for overtrædelse
af databeskyttelsesreglerne.114
Under den franske undersøgelse konkluderede de franske
tilsynsmuligheder (CNIL), at en enkelt privatpolitik ikke var i overensstemmelse med den
europæiske lovgivning.115
Samarbejdet førte til at Spanien i slutningen af 2013 pålagde Google en
bøde på €900.000 for ikke at have indsamlet brugernes samtykke, eller gjort nok for at forklare
brugerne hvad de indsamlede oplysninger blev anvendt til.116
Endvidere mente den spanske
tilsynsmyndighed, at Google gjorde det svært for brugerne at forstå deres privatpolitik samt at de
gemte oplysningerne i for lang tid og gjorde det svært for brugerne at slette de oplysninger der var
indsamlet om dem.117
Holland konkluderede ligeledes at Googles praksis var i strid med
databeskyttelsesreglerne, og tilføjede at Google skulle arbejde hårdere for at skaffe entydig
samtykke, og at de ikke havde gjort nok for at sikre at indsamlingen på tværs af deres tjenester blev
foretaget på lovlig vis.118
Googles metode gør at en bruger, der ikke vil give sit samtykke til
indsamlingen, ikke kan anvende nogle af deres tjenester. Med over 60 tjenester, herunder mange
populære, vil et fravalg være hæmmende for brugerne og disse brugere vil derfor være tvunget til at
give deres samtykke.
Virksomheder som Google, der vælger ikke at overholde databeskyttelsesreglerne, pålægges ikke
kun en bøde, men mister også tilliden fra dens brugere. En virksomhed er afhængig af tilliden fra
112
Google facing regulatory action in six EU countries over privacy issues 113
ICOMP, Quotes and Questions on Google’s New Privacy Policy 114
Google facing regulatory action in six EU countries over privacy issues 115
Ibid. 116
BBC NEWS, Spain levies maximum fine over Google privacy policy 117
Ibid. 118
BBC NEWS, Google violated Dutch data protection laws says watchdog
Side 34 af 45
deres brugere, for hvis brugerne ikke har tillid til virksomheden, vil der være færre der anvender
virksomhedens tjeneste/hjemmeside.
6.4. DELKONKLUSION
I lyset af de økonomiske konsekvenser der fulgte med indførelsen af e-Privacy direktivet i 2002,
kan det konkluderes at reklameeffektiviteten ved adfærdsbaseret reklame er faldet efter indførelsen
af cookie-bekendtgørelsen i 2011. Det er dog uklart hvor meget reklameeffektivteten eventuelt er
faldet, og om dette fald er mærkbart. Indførelsen af cookie-bekendtgørelsen betød at hensynet til
brugernes privatliv fremadrettet vil blive vægtet højere end hensynet til virksomheden.
Cookie-bekendtgørelsen giver endvidere tilsynsmyndighederne mulighed for at straffe
virksomheder økonomisk, hvis virksomhederne ikke overholder bekendtgørelsens regler. Dog er
denne mulighed ikke blevet anvendt i Danmark, men derimod i flere andre europæiske lande.
7. FORSTÆRKET BEHOV FOR TILLID
Reelle bekymringer for beskyttelsen af brugerens privatliv formodes at have resulteret i at
brugerens tillid til virksomheden er svækket, og derfor vil dette kapitel bestå af en analyse af den
amerikanske undersøgelse ”Understanding online B-to-C relationships: An integrated model of
privacy concerns, trust, and commitment”, for at undersøge om virksomheden kan minimere de
økonomiske begrænsninger cookie-bekendtgørelsen har medført ved at styrke brugernes tillid til
virksomheden.
Da lovgivningen gør det mere besværligt og dyrere for virksomhederne at anvende adfærdsbaseret
reklame, kan det være en fordel for virksomhederne hvis de implementerer sikkerhedsforanstalt-
ninger der beskytter brugerne. Hvis virksomheden viser at de er interesseret i beskyttelsen af
brugernes privatliv kan de herigennem styrke brugernes tillid til virksomheden og skabe loyalitet.
Europa-Parlamentet udtrykte således at ”[…] en effektiv beskyttelse af privatlivets fred er afgørende
for at vinde den enkeltes tillid […]”119
Virksomhedens overholdelse af lovgivningen samt deres
hensyntagen til brugerne styrker ligeledes virksomhedens omdømme. Dette vil skabe en økonomisk
fordel, da virksomheden er afhængig af brugernes tillid og loyalitet.120
119
Europa-Parlamentets beslutning om en global metode til beskyttelse af personoplysninger i Den Europæiske Union,
pkt. 24 120
Se bl.a. Wang, s. 742 og 756
Side 35 af 45
7.1 UNDERSØGELSE AF BESKYTTELSES AF PRIVATLIVETS FRED, TILLID OG
ENGAGEMENT121
I 2003 lavede tre amerikanske professorer en undersøgelse, der havde til formål at undersøge
hvordan bekymringer om privatlivets fred, tillid og engagement spiller sammen i et B-to-C forhold.
Undersøgelsens omfang bestod af 2000 amerikanske husstande med adgang til internettet.
Husstandene var tilfældigt udvalgt, og de udvalgte skulle udfylde et spørgeskema. Undersøgelsen er
bygget op på fem hypoteser, som i det efterfølgende vil blive analyseret.
H1. Consumers’ privacy concerns will negatively influence their trust
in a service e-tailer.
H2. Consumers’ privacy concerns will negatively affect their purchase
intent toward a service e-tailer
Begge hypoteser blev bekræftet med beta-værdier på hhv. -0,50 og -0,23, med et signifikansniveau
på 1 %. Undersøgelsen viste, at hvis brugeren af en hjemmeside har bekymringer om hvorvidt
beskyttelsen af privatlivet bliver respekteret vil dette have en negativ effekt på tilliden til denne
virksomhed, og det vil ligeledes have en negativ effekt på brugerens købsintentioner overfor denne
virksomheds produkter. Effekten er stærkest angående indflydelsen på brugerens tillid til
hjemmesiden. Dette skyldes bl.a. at brugeren godt kan have intentioner om at købe virksomhedens
produkter, til trods for at brugeren ikke har tillid til virksomheden. Dette gælder især hvor
virksomhedens produkter ikke kan købes andre steder. Brugernes bekymringer om deres privatliv
har således en lavere effekt på deres købsintentioner for virksomhedens produkter end på deres tillid
til virksomheden.
H3. Consumers’ trust in a service e-tailer will positively influence their
commitment toward the e-tailer.
H4. Consumers’ commitment toward a service e-tailer will positively
influence their purchase intent towards the e-tailer.
Begge hypoteser blev bekræftet med beta-værdier på hhv. 0,86 og 0,47, med et signifikansniveau på
1 %, og viser således en positiv sammenhæng mellem brugernes tillid til virksomheden, brugerens
engagement i forhold til virksomheden og brugerens købsintentionen overfor virksomhedens
121
Eastlick et al. Undersøgelsen blev publiceret i 2006.
Side 36 af 45
produkter. Brugerens tillid til virksomheden resulterer i et større engagement, som endvidere
resulterer i en forøgelse af brugerens købsintentioner overfor virksomhedens produkter.
H5a. Consumers’ perception of a strong reputation in a service e-tailer
will positively influence their trust in the e-tailer.
H5b. Consumers’ perception of a strong reputation in a service e-tailer
will negatively influence their privacy concerns.
Begge hypoteser blev bekræftet med beta-værdier på hhv. 0,64 og -0,28, med et signifikansniveau
på 1 % for hypotese 5a, og et signifikansniveau på 5 % for hypotese 5b. Undersøgelsen viste, at
hvis brugeren er af den opfattelse, at virksomheden har et stærkt omdømme har dette en positiv
effekt på brugerens tillid til virksomheden, og en negativ effekt på brugerens bekymringer for
beskyttelsen af brugernes privatliv. Hypoteserne udelukker hinanden og skaber validitet, da
styrkelsen af tilliden til virksomheden ikke negativt kan påvirke bekymring for beskyttelsen af
brugerens privatliv.
Virksomhederne bag hjemmesiderne skal, ifølge undersøgelsen, have fokus på at skabe et stærkt
omdømme, da dette giver en positiv effekt på brugerens tillid til virksomheden. Brugernes tillid til
virksomheden styrker brugerens engagement og dette forøger brugerens købsintentioner overfor
virksomhedens produkter. Virksomhederne kan forstærke denne effekt ved at træffe
foranstaltninger der skal minimere brugernes bekymring for beskyttelsen af deres privatliv, da
brugernes bekymringer har en negativ effekt på både tilliden til virksomheden, men også en negativ
effekt på brugerens købsintentioner. Undersøgelsen bekræfter at virksomhederne kan drage nytte af
at de sikre sig at de lever op til lovgivningens krav, herunder at give brugerne fyldestgørende
information og sikre at brugerne er indforstået med konsekvenserne, når de afgiver deres samtykke.
7.1.1. Forholdet mellem opt-in og opt-out
Undersøgelsen undersøgte ligeledes om muligheden imellem opt-in og opt-out havde en betydning
for brugernes tillid til virksomhederne, samt brugernes bekymringer for beskyttelsen af deres
privatliv. Undersøgelsen viste, at valget mellem en opt-in metode eller en opt-out metode ikke
havde en væsentlig effekt på brugernes tillid til virksomheden eller brugernes bekymringer for
beskyttelsen af deres privatliv. Cookie-direktivet indførte opt-in metoden i et forsøg på at styrke
beskyttelsen af brugernes privatliv, men undersøgelsen indikerer at en opt-in metode ikke har en
bedre effekt sammenlignet med en opt-out metode. Det er tidligere i opgaven blevet konkluderet at
Side 37 af 45
til trods for, at cookie-direktivet indførte et opt-in princip er dette ikke lykkedes, og derfor anvendes
der stadig et opt-out system i praksis. Denne undersøgelse viser dog at der skal findes en ny metode,
frem for et opt-in eller opt-out princip, hvis databeskyttelsen skal styrkes effektivt.
7.2. DELKONKLUSION
Undersøgelsen viser at virksomhederne har mulighed for at forøge brugernes købsintentioner ved at
styrke brugernes tillid, og herigennem styrke brugerens engagement. Virksomhederne skal således
træffe foranstaltninger der forstærker brugerens tillid, herunder sikrer at hjemmesiderne lever op til
kravene i lovgivningen. Endvidere demonstrerer undersøgelsen, at en opt-in metode ikke vil have
en bedre effekt sammenlignet med en opt-out metode.
8. PROBLEMLØSNING
Da det er konkluderet at cookie-bekendtgørelsen og den øvrige lovgivning på nogle områder giver
en mangelfuld beskyttelse af brugernes privatliv, gives der i dette afsnit forslag til hvad lovgiver
kan gøre for at give brugernes privatliv en bedre beskyttelse.
I slutningen af 2014 kom Erhvervs- og vækstministeriet med en publikation122
der skulle give 30
forslag til hvordan man kan forbedre det indre marked i EU. Et af forslagene er at der indføres en
mere nuanceret cookieregulering, da ”reglerne virker […] ikke efter hensigten og illustrerer, at
samtykkekravet i sin nuværende form ikke er velegnet til at løse spørgsmålet om tillid på nettet”.123
Regeringen vil på baggrund heraf arbejde på en mere nuanceret cookieregulering med fokusering på
hvilke typer af cookies der kan gribe ind i brugernes privatliv. At skelne mellem cookie-typen er
relevant da der findes mange cookies, der ikke udgør en trussel for brugernes privatliv. Det vil
således kun være nødvendigt at hjemmesiden anmoder om accept til de typer af cookies der udgør
en trussel, og dette kan i længden betyde at tjenesteudbyderne ikke vil være nødsaget til at kræve
samtykke for at brugeren kan anvende hjemmesiden.
I 2010, kun et år efter at e-Privacy direktivet blev ændret med cookiedirektivet, udsendte Europa-
Parlamentet deres beslutning om reklamers påvirkning af brugernes adfærd, hvor de foreslog
følgende ændringer til cookiedirektivet124
: 1) Anvendelse af teknik, der gør det muligt at adskille
cookies anvendt til tracking, fra de cookies der er tilladt ifølge cookie-bekendtgørelsens § 4, 2) at
122
Danmark i Europa, 30 veje til et bedre indre marked 123
Ibid., s. 18 124
Europa-Parlamentets beslutning om reklamers påvirkning af forbrugernes adfærd, pkt. 25
Side 38 af 45
der anvendes det såkaldte ”Privacy by design”. Dette princip indebærer at der skal benyttes
privatlivsvenlig teknologi samt at hele miljøet omkring persondatabehandling skal være egnet til
understøtte en optimal databeskyttelse125
og 3) at der skal udvikles et EU-mærkningssystem, der
viser brugerne, at hjemmesiden overholder reglerne for databeskyttelse. I U.2010B.298 argumenter
Peter Blume og Janne Rothmar Herrmann for, at det næppe er sandsynligt at denne ordning kan
gennemføres, da ordningen må betragtes for indgribende i forhold til de dataansvarlige.126
I Juli 2011 udsendte Europa-Parlamentet deres beslutning om en global metode til beskyttelse af
personoplysninger i Den Europæiske Union, hvor de igen udtrykte at der var behov for yderligere
revidering af lovgivningen, bl.a. på baggrund af den teknologiske udvikling og at den nuværende
regulering ikke har tilstrækkelig virkning. At anvende en teknik der kan adskille tracking cookies
fra andre cookies er det samme princip som regeringen ønsker at implementere. ”Privacy by
design” giver brugeren en bedre beskyttelse ved at den nyinstallerede browser fra starten vil være
indstillet til at beskytte brugeren, hvor browseren på nuværende tidspunkt er sat til at acceptere alle
typer cookies. Dette vil gøre, at de uoplyste børn og andre udsatte brugere mv. vil have bedre
muligheder for at få deres privatliv beskyttet. Anvendelsen af et EU-mærkningssystem vil som
beskrevet i afsnit 5.3.1. ændre brugernes holdning til adfærdsbaseret reklame, jf. Konkurrence- og
Forbrugerstyrelsens forbrugerundersøgelse, og ligeledes vil det være med til at styrke tilliden fra
brugeren, og dette vil positivt gavne virksomheden.
9. KONKLUSION
Formålet med denne opgave var dels at undersøge reguleringen af cookies, og om der er områder
hvor denne regulering er mangelfuld iht. cookie-bekendtgørelsens formål, dels at undersøge hvilke
økonomiske begrænsninger cookie-bekendtgørelsen har for virksomheden, og om virksomheden
kan minimere disse begrænsninger ved at styrke forbrugernes tillid.
Cookie-bekendtgørelsen regulerer brugen af cookies på danske hjemmesider og søger at beskytte
brugernes privatliv når de bevæger sig rundt på internettet. Denne beskyttelse består af et
informationskrav og et samtykkekrav, der begge skal være opfyldt. Dette indebærer at brugeren skal
have modtaget fyldestgørende information af tjenesteudbyderen før at brugeren kan afgive sit
samtykke til at tjenesteudbyder eller tredjepart må lagre oplysninger på brugerens computer.
125
U.2010B.298, s. 2 126
Ibid., s. 2
Side 39 af 45
Cookie-bekendtgørelsen bliver suppleret af persondataloven, markedsføringsloven og EU charter
om grundlæggende rettigheder, der ikke indeholder regler der ikke er i modstrid med reglerne i
cookie-bekendtgørelsen. Der findes tre metoder hvor brugeren kan afgive sit samtykke, opt-in, opt-
out og accept gennem browserindstillinger. Det har dog vist sig at opt-in metoden, som cookie-
bekendtgørelsen lægger op til ikke fungerer i praksis, og bliver således til en opt-out metode. Om
opt-in metoden kan eksistere i praksis er uvis. Opt-out metoden og accept gennem
browserindstillinger er metoder der ikke overholder lovens krav til samtykke, da anvendelsen af
opt-out metoden betyder at et samtykke vil være implicit, og et samtykke afgivet ved brug af
browserindstillinger er et uklart og ligeledes implicit samtykke. Samtykke metoderne er ikke i stand
til at give brugerne den beskyttelse de har krav på ifølge lovgivningen, da metoderne ikke sikrer at
brugeren afgiver sit samtykke eksplicit og med forståelse for konsekvenserne. Ligeledes tillader
flere hjemmesider at der sættes tredjeparts cookies, til trods for at brugeren ikke har afgivet sit
samtykke hertil, eller at brugeren bliver gjort opmærksom herpå. Ved anvendelse af den nuværende
metode er det muligt for tjenesteudbyderne at tvinge brugerne til at afgive samtykke, og der er
herved uoverensstemmelse imellem hvordan lovgiver har ønsket at beskytte brugerne, og hvordan
brugerne i praksis er beskyttet. Manglen på beskyttelse af brugernes privatliv øger risikoen for
identitetstyveri samt tredjeparters misbrug af oplysninger. Børn og andre særlige udsatte brugere
har især brug for en bedre beskyttelse, idet denne gruppe har brug for mere klarhed om
konsekvenserne for deres valg af samtykke, eller mangel heraf, inden de kan afgive deres samtykke.
Trods lovgivers forsøg på at øge beskyttelsen af brugernes privatliv kan det konkluderes, at der er
flere områder hvor beskyttelsen af brugernes privatliv er mangelfuld, og det er således ikke
lykkedes lovgiver at beskytte brugerne som ønsket.
Virksomheden anvender adfærdsbaseret reklame for at maksimere deres profit, og dette er muligt da
adfærdsbaseret reklame, i de fleste situationer, er mere priseffektiv end andre online targeting.
Virksomheden er således i stand til at målrette deres reklamer, til kun de brugere der er en del af
virksomhedens målgruppe. Dette betyder at virksomheden sparer reklameomkostninger, da
virksomheden kan nå ud til den samme mængde brugere ved brug af færre reklamer.
Reklamemetoden giver også virksomheden mulighed for at få flere kunder, da virksomheden kan
henvende sig til flere brugere indenfor af den respektive målgruppe. Indførelsen af cookie-
bekendtgørelsen har med stor sandsynlighed betydet at reklameeffektiviteten er faldet, dog er det
uklart hvor meget effektiviteten er faldet, og om dette fald er mærkbart. Indførelsen af cookie-
bekendtgørelsen betyder at hensynet til brugernes privatliv fremadrettet vil blive vægtet højere end
Side 40 af 45
hensynet til virksomheden, og dette kan give virksomheden økonomiske konsekvenser fremadrettet.
Cookie-bekendtgørelsen giver endvidere tilsynsmyndighederne mulighed for at straffe
virksomheder økonomisk hvis virksomhederne ikke overholder bekendtgørelsens regler. Denne
mulighed er ikke blevet anvendt i Danmark endnu, men derimod i flere andre europæiske lande. På
baggrund af de økonomiske begrænsninger blev der set på, om virksomheden kunne minimere disse
begrænsninger ved at styrke brugernes tillid til virksomheden, og det blev konkluderet at
virksomheden har mulighed for at forøge brugerens købsintentioner ved at styrke brugernes tillid og
herigennem styrke brugerens engagement. Det er nødvendigt at virksomheden træffer
foranstaltninger der forstærker brugerens tillid, herunder sikrer at virksomheden overholder
lovgivningen. I kontrast til forudindtagede forventninger til opt-in metoden viste det sig, at den ikke
ville have en bedre effekt sammenlignet med en opt-out metode, og der er derfor et behov for at
indføre nye regler for afgivelse af samtykke for at brugeren opnår en bedre beskyttelse.
Beskyttelsen af brugernes privatliv vil ligeledes forbedres hvis tjenesteudbyderne skelner mellem
cookies der er egnet til tracking og andre typer af cookies, da brugerne får større mulighed for at
anvende hjemmesiden uden at de skal afgive deres samtykke.
Side 41 af 45
10. LITTERATURLISTE
Alreck, Pamela L.; Settle, Robert B., Consumer Reactions to Online Behavioral Tracking and
Targeting, Journal of Database Marketing & Consumer Strategy Management, vol. 15, Iss. 1,
2007, side 11-23.
Article 29 group, Data Protection Working Party: Opinion 2/2010 on online behavioural
advertising, 22. June 2010.
Article 29 group, Data Protection Working Party: Opinion 4/2007 on the concept of personal data,
20. June 2007.
BBC NEWS, Spain levies maximum fine over Google privacy policy, http://www.bbc.com/news
/technology-25461353 (Tilgængelig d. 27.04.15)
BBC NEWS, Google violated Dutch data protection laws, says watchdog, http://www.bbc.com/
news/technology-25154252 (Tilgængelig d. 27.04.15)
Betænkning nr. 1236-1992, vedrørende markedsføringsloven
Blume, Peter, Juridisk metodelære, Jurist- og Økonomiforbundets Forlag, 5. udgave, 2009.
C-595/07, The German Federal Court in the Judgement of the First Senate of 27 February 2008,
BvR 370. http://www.bundesverfassungsgericht.de/entscheidungen/rs20080227
_1bvr037007en.html (Tilgængelig d. 27.04.15)
C-518/07, European Commission v. Germany
Chaffey, Dave; Ellis-Chadwich, Digital Marketing: Strategy, Implementation and Practice, Fiona,
Pearson, 5. udgave, 2012.
Cookie-bekendtgørelsen, Bekendtgørelse nr. 1148 af 09/12/2011 om krav til information og
samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr
Side 42 af 45
Cookie-vejledningen, Vedledning 2013-04-24 nr. 9187 til bekendtgørelse om krav til information
og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr
Danmarks Statistik, Familiernes adgang til pc og internet i hjemmet efter type, region, indkomst,
antal børn Pct af alle familier, http://www.statistikbanken.dk/fabrit01 (Tilgængelig d.
27.04.15)
Danmarks Statistik, Internetadgang i hjemmet - apparater med internetadgang,
http://www.statistikbanken.dk/BEBRIT01 (Tilgængelig d. 27.04.15)
Debusseré, Frederic, The EU E-privacy Directive: A Monstrous Attempt to Starve the Cookie
Monster?, International Journal of Law and Information Techonology, Vol. 13, no. 1, Oxford
University Press, 2005, side 70-97.
Eastlick, Mary Ann; Lotz, Cherry L.; Warrington, Patricia, Understanding online B-to-C
relationships: An integrated model of privacy concerns, trust, and commitment, Journal of
Business Research 59, 2006, side 877-886
Erhvervsstyrelsen og Ingeniørforeningens(IDA) rapport om befolkningens adfærd på nettet, Marts
2015. https://erhvervsstyrelsen.dk/sites/default/files/media/befolkningens_adfaerd_paa
_nettet_tilgaengelig.pdf (Tilgængelig d. 27.04.15)
Erhvervs- og vækstministeriet, Danmark i Europa, 30 veje til et bedre indre marked, 2014.
http://www.evm.dk/publikationer/2014/~/media/oem/pdf/2014/2014-publikationer/
10-12-14-30-veje-til-et-bedre-indre-marked/danmark-i-europa-pdfa.ashx (Tilgængelig d.
27.04.15)
Europa-Parlamentets beslutning af 9. marts 2010 om forbrugerbeskyttelse, P7_TA(2010)0046
Europa-Parlamentets beslutning af 15. december 2010 om reklamers påvirkning af forbrugernes
adfærd, P7_TA(2010)0484
Side 43 af 45
Europa-Parlamentets beslutning af 6. juli 2011 om en global metode til beskyttelse af
personoplysninger i Den Europæiske Union, P7_TA(2011)0323
Europa-Parlamentet og Rådet, Direktiv 2009/136/EF af 25. november 2009
Europa-Parlamentet og Rådet, Direktiv 2002/58/EF af 12. juli 2002
Europa-Parlamentet og Rådet, Direktiv 95/46/EF af 24. oktober 1995
Europa-Parlamentet, Rådet og Kommissionen, Den Europæiske Unions charter om grundlæggende
rettigheder, 2000/C 364/01
European Commission, Communication from the Commission to the European Parliament, the
Council, the Economic and Social Committee and the Committee of the regions; A
comprehensive approach on personal data protection in the European Union, Bussels,
4.11.2010. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52010DC0609
(Tilgængelig d. 27.04.15)
Ferretti, Federico, Data Protection and the Legitimate Interest of Data Controllers: Much Ado
About Nothing or the Winter of Rights, Kluwer Law International, 2014, s. 852
Gay, Richard; Charlesworht, Alan; Esen, Rita, Online Marketing: a customer-led approach, Oxford
University Press, 2007
Goldfarb, Avi; Tucker, Catherine E., Economic and Business Dimensions: Online Advertising,
Behavioral Targeting, and Privacy, Communications of the ACM, May 2011, Vol. 54, No. 5,
side 57-71
Google facing regulatory action in six EU countries over privacy policy issues, http://www.out-
law.com/en/articles/2013/april/google-facing-regulatory-action-in-six-eu-countries-over-
privacy-policy-issues/ (Tilgængelig d. 27.04.15)
Side 44 af 45
ICOMP, Quotes and Questions on Google’s New Privacy Policy, http://www.i-comp.org/au/
wp-content/uploads/sites/4/2013/08/Quotes-and-Questions-on-Google%E2%80
%99s-New-Privacy-Policy.pdf (Tilgængelig d. 27.04.15)
Jaworska, Joanna; Sydow, Marcin, Behavioural Targeting in On-line Advertising: An Empirical
Study, Web Information System Engineering, WISE 2008, Bind 5175, side 62-76.
Konkurrence- og Forbrugerstyrelsens forbrugeranalyse: Adfærdsbaseret reklame på internettet,
2011
Lissabontraktaten om ændring af traktaten om Den Europæiske Union og traktaten om oprettelse af
Det Europæiske Fællesskab, 2007/C 306/01
Markedsføringsloven, Bekendtgørelse nr. 1216 af 25/09/2013 af lov om markedsføring
Menneskerettighedskonventionen, Konventionen om menneskerettigheder og andre
frihedsrettigheder
Nielsen, Ruth, E-Handelsret, Jurist- og Økonomiforbundets forlag, 3. reviderede udgave, 2011
Office of Fair Trading (OFT) Online Targeting of Advertising and Prices Market Study: Response
by the Internet Advertising Bureau, 2010. Undersøgelsen kan findes på http://www.iabuk.net/
sites/default/files/IABresponsetoOFTmarketstudyintoOnlineTargetingofAdvertisingand
Prices_6012_0.pdf. (Tilgængelig d. 27.04.15)
Persondataloven, Lov nr. 429 af 31/05/2002 om behandling af personoplysninger
“Privatliv til salg”, DR dokumentar. Udsendelsen er ikke længere tilgængelig på deres hjemmeside.
Schwartz, John. Giving the Web a Memory Cost Its Users Privacy, The New York Times,
(September 4, 2001), https://www.law.upenn.edu/law619/f2001/week12/nytimes_cookies_
Side 45 af 45
series.pdf (Tilgængelig d. 27.04.15)
Stoltze, Lars, Internet Ret, Nyt Juridisk forlag, 1. udgave, 2001
Tran, Minh-Dung; Acs, Gergely; Castelluccia, Claude, Retargeting without tracking, 2014.
http://arxiv.org/abs/1404.4533 (Tilgængelig d. 27.04.15)
Tvarnø, Christina D.; Nielsen, Ruth, Retskilder og retsteorier, Jurist- og Økonomiforbundets Forlag,
3. reviderede udgave, 2011. (Bogen er senere udkommet i en 4. udgave i 2014, men det har
ikke været muligt at fremskaffe denne)
U.2000B.77, Samtykke i databeskyttelsesretten, Peter Blume (dr.jur.).
U.2010B.298, Retlig regulering af privatlivsbeskyttelsens infrastruktur, Peter Blume (dr.jur.) og
Janne Rothmar Herrmann (adjunkt, ph.d.)
U.2010B.319, Cookies og internetmarkedsføring – regulering og (manglende) håndhævelse, Jesper
Løffler Nielsen (advokatfuldmægtig).
Wang, Faye Fangfei, Personal Data Breach Notification System in the European Union:
Interpretation of “Without Undue Delay”, European Business Law Review, Bind 22, hæfte 1,
December 2011, side 741-757.
Waaben, Henrik; Nielsen, Kristian Korfits, Lov om behandling af personoplysninger, Jurist- og
Økonomiforbundets forlag, 2. udgave, 2008.