Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

OneTrust: Toestemmingstool met grote valkuilen

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel als PDF
📄 Artikel als PDF (alleen voor abonnees van de nieuwsbrief)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

OneTrust is een zogenaamde toestemmingsoplossing voor websites. De provider komt uit de VS, of het VK, we weten het niet precies. De tool heeft naast het locatieprobleem nog andere valkuilen. CookieLaw en Optanon zijn uitlopers van OneTrust.

Inleiding

Een Consent Tool, vaak ook wel Cookie Consent genoemd, wordt op een website geïntegreerd om privacyregels na te leven. Tot zover de theorie. In de praktijk ziet het er anders uit. Dat geldt vooral voor OneTrust, omdat de aanbieder een flexibele locatie te hebben lijkt.

EenTrust heeft nog veel meer zwakke plekken. Om het vooruit te laten lopen: Het gebruik van dit hulpmiddel belooft al bijna een illegale website. Gelijktijdig zal ik uitleggen wat hiermee wordt bedoeld.

EenTrust lijkt ongeveer een tijdje geleden_Optanon en Cookie Law_ overgenomen te hebben. Alle drie de toenmalige aanbieders zijn tegenwoordig naar mijn mening onder_OneTrust_ verenigd. Dit merkt men onder andere aan de bestanden die het Consent Tool gebruikt.

Een onderzoek naar alle mij bekende, populaire Consent Tools heb ik ongeveer een paar weken geleden uitgevoerd en Cookiegeddon genoemd, omdat het resultaat zo desastreus what.

Flexibel toestemmingsverzoek

Gelijksoortig als bij het Google-concern weet men niet zo precies welke bedrijven de gegevens verwerken die men hen toevertrouwt. Zoals boven geschreven, geeft OneTrust twee locaties aan, maar noemt direct geen hoofdverantwoordelijke. De locatie in de VS is vanwege bekende redenen hoog problematisch (ongezekerd derde land, zie Artikel 44 GDPR). De locatie in het VK is sinds het Brexit niet meer zo goed als het what wat betreft gegevensbescherming. Tijdelijk is een overgangsperiode ingesteld. Hoe het verder gaat, weet niemand. Update: Het Verenigd Koninkrijk kreeg een adequaatheidsbesluit van de EU. Alleen

Nog flexibeler dan de locatie van de aanbieder is echter de vraag om toestemming zelf. OneTrust gebruikt een zogenoemde Geolokatie, om te bepalen uit welk land de huidige bezoeker waarschijnlijk afkomstig is. Hiervoor wordt in een variant van OneTrust de adres https://geolocation.onetrust.com/cookieconsentpub/v1/geo/location opgeroepen. De gegevens die bij de Geolokatie worden bepaald en aan de net bezochte website worden overgedragen, zijn in het bijzonder:

Locatie-informatie over de gebruiker opgeslagen in een OneTrust-cookie.

Dit alleen al lijkt allesbehalve privacy-vriendelijk en wekt niet bepaald vertrouwen in een toestemmingshulpmiddel. De lokalisatie what vrij nauwkeurig in mijn test, hoewel niet erg precies. De locatie die werd bepaald what hemelsbreed ongeveer 12 kilometer verwijderd van mijn werkelijke locatie.

Op 20 januari 2021 heeft de Europese Commissie in ieder geval een boete van 7,8 miljoen euro uitgevaardigd wegens wettelijk onrechtmatige Geoblocking-praktijken.

Als de gebruiker uit Duitsland komt, krijgt hij een volledige Consent Abfrage. Volledig betekent hier alleen dat OneTrust alles doet wat het hulpmiddel mogelijk maakt. En dat is jammer genoeg niet veel.

De gebruiker zou mogelijk geen toestemmingsvraag krijgen als hij zou zeggen uit bepaalde anderen landen te komen. Dit is al op zichzelf rechtsongelijk en creëert ernstige problemen met betrekking tot de bescherming van persoonsgegevens, zoals gemakkelijk kan worden aangetoond. Ik kon de landelijke afstemming niet reproduceren, maar ik kan het alleen vermoeden. In ieder geval is de zeer gedetailleerde locatiebepaling van een gebruiker door middel van een toestemmingsinstrument op zichzelf zeer twijfelachtig.

Als men een website met OneTrust opgeknapt heeft in de Tor Browser, die vriendelijk is voor privacy, wordt de vraag om toestemming niet getoond. Het kan ook niet aan het land liggen dat de Tor Browser aan het Consent Tool vertelt, maar aan een Sicherheitseinstellung in de browser:

Problemen met het laden van OneTrust in een beveiligde browser zoals Tor (per 21/09/2021).

Een opgave voor een inwilligingsoplossing moet natuurlijk zo zijn dat ook bij niet-functioneren van de "oplossing" een GDPR-compliante website wordt gevonden. In het ergste geval zou namelijk helemaal geen tool worden geladen. Met OneTrust wordt echter in het ergste geval het Consent Tool niet geladen, wat ertoe leidt dat alle inwilligingsplichtige tools direct worden geladen. De zogenaamde Cookie Blocker is tenslotte bedoeld om problematische tools opnieuw te laden en niet om bestaande problemen te reduceren.

De reden hiervoor is dat OneTrust "bovenop" zet. In plaats van dat de laadverklaringen op de website voor ingebouwde tools in het algemeen worden aangepast, wordt geprobeerd om het laden van tools kunstmatig te onderdrukken. Falt dan de onderdrukker (het Consent Tool), wordt ook niets onderdrukt.

Hier zijn geen excuses voor. Elke website moet zo worden ontworpen dat ongeoorloofde gegevensoverdracht vanaf het begin tot nader order is uitgesloten.

Gegevens ophalen uit een onveilig derde land?

Het wordt nog moeilijker gemaakt dat om het venster van instemming op te bouwen de domeinnaam onetrust.com wordt aangevraagd. Dit lijkt afhankelijk te zijn van de vormgeving of geïnstalleerde versie van OneTrust en heeft waarschijnlijk te maken met de ambivalente eigenschappen van het hulpmiddel (zie boven: Optanon, Cookie Law).

Volgens WHOIS-Abfrage is de domeinnaam onetrust.com geregistreerd bij een bedrijf met vestiging in Panama:

Zie https://www.namecheap.com/domains/whois/result?domain=onetrust.com

Voor de domein werd een zogenaamde WhoisGuard gebruikt, die de echte identiteit van de domeineigenaar verbergt. Daarvoor draagt in het onzekere de verantwoordelijke van de website, die OneTrust gebruikt. Zie Artikel 12 GDPR (transparante informatie). Veel plezier bij het ontdekken wie de domeineigenaar van onetrust.com is, als iemand ooit naarvraagt en een antwoord vraagt.

In elk geval volgens https://www.onetrust.com/ is de domeinnaam toegekend aan het bedrijf OneTrust, LLC (zie voetnoot van de website). De rechtsvorm geeft aan dat het om een Amerikaans bedrijf gaat.

Gegevensoverdrachten naar de VS zijn zonder toestemming onwettig. Zie Artikel 44 GDPR en het vonnis van het EHRM over Privacy Shield.

Wanneer de website onetrust.de wordt geopend, wordt Google Tag Manager zonder toestemming geladen (per: maart 2022). Dit lijkt mij ongepast gezien de buitensporige gegevensverwerking door Google.

Cookiewet

Een tak van Onetrust is Cookie Law. Het hulpmiddel werd blijkbaar overgenomen door OneTrust en is technisch in grote mate identiek aan OneTrust. Bij mijn testmatige oproep van een website die Cookie Law gebruikt, wordt bij het laden van Cookie Law scripts de IP-adres 104.16.148.64 opgeroepen. Een IP-locatiedienst lokaliseert deze netwerkadres als volgt:

Netwerkadres waarvan bestanden worden opgehaald door Cookiewet

Het lijkt erop dat een gegevensaanvraag plaatsvindt die in verband staat met de VS, een onzekere derde landen. Dit is volgens Artikel 44 GDPR zonder toestemming problematisch.

Als toestemming vereist is voor een toestemmingsverzoek, dan is het voordeel van de dienst voor het toestemmingsverzoek waarvoor toestemming vereist is, bijna nul.

Het toestemmingsvenster van OneTrust

Het uiterlijk en de inhoud van OneTrust kunnen zeker worden aangepast. Ik heb een willekeurig voorbeeld gekozen dat er zo uitziet:

Toestemmingsaanvraag op euronics.de, status: 25/01/2021

In mijn praktijktest van populaire Consent Tools zijn er twee andere voorbeelden van OneTrust.

Annuleringsmelding

Zoals je kunt zien, is de lettergrootte vrij klein en is de hoeveelheid tekst op de eerste afbeelding vrij groot. Dit zou bekritiseerd kunnen worden (als je ooit voor de rechter staat of te maken krijgt met een toezichthoudende autoriteit). In ieder geval is het geschreven:

Met behulp van de naaststaande knoppen kunt u uw cookievoorkeuren, die u altijd kunt wijzigen, vastleggen bij een bezoek aan onze website.“ .

Dit is geen rechtsgeldige annuleringsverklaring:

  1. De "aangrenzende knoppen" zijn er niet meer nadat je toestemming hebt gegeven, omdat het venster toch sluit
  2. Voor mij zijn veranderen en annuleren twee verschillende dingen
  3. Waar de intrekking opgeroepen kan worden wordt niet vermeld, maar dat is volgens artikel 7 GDPR wel voorgeschreven.

Afwijzen in plaats van toestemmen

Hoe uit het Consent Popup te zien is, kan een afwijzing niet direct mogelijk zijn. Dat alleen al vind ik al voor rechtswijdig. Zie daarvoor Artikel 4 Nr. 11 GDPR en de Bijlage 42: „Men mag er pas van uitgaan dat zij hun toestemming vrijwillig hebben gegeven, als zij een echte of vrije keuze hebben en dus in staat zijn om de toestemming te weigeren of terug te trekken, zonder nadeel te ondervinden“.

Onvoldoende informatie

Er zijn zoveel valse beweringen en onjuiste voorstellingen van zaken dat hier slechts een selectie kan volgen. Voorbeeld één:

Wie zal de Aanbieder van __cfduid zijn? Zo ver als ik weet, is onetrust.com geen bedrijfsnaam.

Ik heb __cfduid eigenlijk een cookie, een dienst of een Ding? Fairerweise moet men zeggen dat de aanduiding pas na het klikken op Cookies tonen verschijnt. Bedoeld zijn dus wel cookies. Maar wat is dan de dienst (het hulpmiddel), waartoe het cookie behoort?

Wat betekent "4 jaar"? Ik begrijp het wel, maar een Duitstalige burger hoeft geen Engels te kunnen.

De beschrijving is ook op Engels en dus niet beschikbaar.

Wie iemand die betekenis van 3rd Party weet, weet alleen iemand die zich met gegevensbescherming bezighoudt. ([1])

Voorbeeld nummer twee:

Ik ben niet zeker of de naam S correct is. Een cookie van Google met deze naam heb ik nog niet gezien. Met de vraag om contact op te nemen, als het dit cookie officieel heeft.

Aanbieders en doelstellingen ontbreken opnieuw. In plaats van Sitzung te schrijven, wordt de Engelse term Session gebruikt.

Informatie over of gegevens worden doorgegeven aan onveilige derde landen ontbreekt ook, net als informatie over de bijbehorende dienst.

In deze zin kan bijna elke verklaring van OneTrust gekritiseerd worden. Ik ben op dit punt zo streng, als het in een rechtszaal zou zijn.

Gereedschap laden zonder toestemming

De kroon op een Consent Tool: De beweerlijk beveiligde website laadt een tool zonder toestemming, dat wel toestemming nodig heeft. Het wordt nog slechter als het Consent Tool zelfs vraagt om toestemming voor een tool en het tool toch zonder toestemming geladen wordt. Een voorbeeld hiervan is een geladen YouTube Video Script, ook nog met cookies. Dat met de cookies had men makkelijk kunnen voorkomen…

Conclusie

EenTrust slikt en doet meer kwaad dan goed, is mijn mening. Dit waag ik ook te schrijven omdat de leverancier zelf het met zijn eigen tool niet weet te doen. Hier de bewijs voor de website onetrust.de, die na taalkeuze Duits op onetrust.com wordt aangevraagd:

Toestemmingspop-up op onetrust.de, Staan: 25.01.2021

De screenshot laat minstens de volgende fouten zien:

  • Het cookie _ga wordt als eerste aanbieder-cookie klassifiziert. Dat is alleen technisch gezien correct en interesseert niemand buiten mij en een paar anderen. Rechtstreeks wordt het cookie van Google Analytics gebruikt.
  • We zijn op de Duitstalige website. Toch zijn de beschrijvingen overwegend in het Engels.
  • De aanbiedersbenoeming ontbreekt weer
  • De beschrijving ontbreekt, omdat ze op Engels is en dus voor een Duitstalige lezer onbegrijpelijk lijkt
  • De gegevens zijn onduidelijk: 1 jaar, Eerste Partij

Je kunt bijna niet meer fout doen in een toestemmingsonderzoek.

Afsplitsing van OneTrust

Optanon en Cookie Law werden blijkbaar overgenomen door OneTrust en zijn technisch bijna gelijk aan OneTrust.

Volgens mijn waarnemingen zit het enige verschil in de technische details voor de eerste oproep van de Consent Tool. Elk van de drie uitlopers gebruikt zijn eigen identificatienummer en zijn eigen type technische implementatie om deze identificatie te definiëren.

Hier twee voorbeelden. Allereerst de definitie van de cookie-id van Cookie Law, zoals het vaak wordt genoemd:

consent2.setAttribute('data-domain-script', 'xxxxxxxxx-xxxx-xxxx-xb97-xxxxxxxxxxxx');

In plaats van het x-teken zijn in de echte identificatie hexadecimale cijfers gekodet.

Voor Optanon ziet de technische implementatie van de ID er zo uit:

<script type="text/javascript" src="[https://cdn.cookielaw.org/consent/xxxxxxxx-xxxx-xxxx-x752-](view-source:https://cdn.cookielaw.org/consent/d5bb5995-9e5d-4971-a752-c49709ede890-test/OtAutoBlock.js)xxxxxxxxxxxx\-test/OtAutoBlock.js"></script>

Voor Cookie First_ is er trouwens ook een zekere gelijkenis, hoewel de hoofddata op een andere manier georganiseerd lijken te zijn dan bij OneTrust. De ID heeft in ieder geval dezelfde structuur.

<script src="[https://consent.cookiefirst.com/banner.js](view-source:https://consent.cookiefirst.com/banner.js)" data-cookiefirst-key="xxxxxxxx-xxxx-xxxx-x225-xxxxxxxxxxxx"></script>

Naarmate de ID is vastgelegd, hoe dan ook, worden gegevens opgehaald voor het weergeven van het consent-pop-up. Dit lijkt altijd op dezelfde manier te gebeuren. De retourinhoud en de structuur van het resultaat waren in ieder geval in mijn tests voor de takken van OneTrust steeds gelijk.

Alles wat voor OneTrust geldt, geldt naar mijn ervaring ook voor Optanon en Cookie Law. De logica van mijn tool, dat consentvragen op een website automatisch kan uitlezen, is in elk geval hetzelfde voor deze twee varianten zodra de Cookie-ID is vastgesteld.

Conclusie

Wie je iemand OneTrust op zijn website gebruikt, is hij verkeerd geadviseerd of heeft hij pech gehad bij het zoeken. Gelukkig kan bijna elke fout worden hersteld. Het beste is om de website meteen aan te passen en OneTrust te verwijderen.

Naar aanleiding hiervan is het de moeite waard om na te denken, welke tools echt nog nodig zijn welke tools echt nog nodig zijn.

Wilt u zelf onderzoeken of uw Consent Tool rechtmatig is? Kijk dan eens naar mijn checklist voor toestemmingsvragen op websites.

Als u werk wilt besparen, leest u eerst de artikel vijf redenen waarom cookie pop-ups niet betrouwbaar kunnen zijn. Daarin vindt u feiten en bewijzen voor deze stelling.

Binnenkort zal er een tool beschikbaar zijn die kan worden gebruikt voor het genereren van een onderzoek naar de betrokken persoon voor websites met toestemmingshulpmiddelen. Dit verzoek bevat alle gevonden gebreken en twijfelachtige teksten. Voor populaire toestemmingsoplossingen levert de tool vrijwel met één druk op de knop een goed onderbouwd verzoek om informatie, inclusief de benodigde rechtsgrondslag.

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

OneTrust: Consent Tool mit großen Tücken