OneTrust er en såkaldt samtykke-løsning til hjemmesider. Udbyderen kommer fra USA eller Storbritannien, vi ved det ikke rigtigt. Værktøjet har andre faldgruber ud over placeringsproblemet. CookieLaw og Optanon er udløbere af OneTrust.
Indledning
Et Consent Tool, ofte også kaldet Cookie Consent, bliver indsat på en hjemmeside for at overholde datasketchets regler. Så vidt teorien går. I praksis ser det anderledes ud. Det gælder især for OneTrust, fordi leverandøren synes at have en flexibel adresse.
OneTrust har dog stadig mange svagheder. For at forudse: At bruge dette værktøj, ligner næsten en lovstridende hjemmeside. Lige herunder vil jeg forklare, hvad der menes med det.
OneTrust synes at have overtaget leverandørerne Optanon og Cookie Law for nogen tid siden. De tre oprindelige leverandører er i dag, ifølge min opfattelse, forenet under_OneTrust_. Dette kan man se på filerne, som Consent Tool bruger.
En undersøgelse af alle mine kendte, populære Consent Tools har jeg foretaget for en uge siden og Cookiegeddon kaldt, fordi resultatet så katastrofalt blev.
Fleksibel anmodning om samtykke
Lignende med Google-koncernen vedrørende, vedkender man ikke nøjere hvilke selskaber der behandler dataene, som man overdrager til dem. Som ovenfor nævnt, oplyser OneTrust to lokationer, men nævner direkte ingen hovedansvarlige. Lokationen i USA er af kendte grunde meget problematisk (usikkert tredjeland, se Artikel 44 GDPR). Lokationen i Storbritannien er også ikke længere den bedste, når det gælder dataskyddretlige hensyn. Der er tilfældigvis en overgangsperiode sat. Som det går videre efter dette, ved man ikke. Opdatering: Det Forenede Kongerige fik en tilladelse fra EU. Men
Ingen mere fleksibel end den leverandørens adresse er faktisk selv spørgeskemaet om samtykke. OneTrust bruger en såkaldt Geolokalisering, for at finde ud af, hvilket land besøgeren af hjemmesiden kommer fra. Dette sker ved hjælp af en variant af OneTrust, hvor adresse https://geolocation.onetrust.com/cookieconsentpub/v1/geo/location bliver opkaldet. Data, der er blevet fundet og overført til hjemmesiden, omfatter:
Det alene ser alt andet end privatlivsvenligt ud og indgyder ikke ligefrem tillid til et samtykkeværktøj. Lokaliseringen var ret nøjagtig i min test, selvom den ikke var særlig præcis. Den fastlagte placering var omkring 12 kilometer væk fra min faktiske placering i luftlinje.
Den 20. januar 2021 udstedte den Europæiske Kommission en bøde på 7,8 millioner euro for ulovlige geoblocking-praktikker.
Hvis brugeren kommer fra Tyskland, får han en fuldværdig Consent Abfrage. Fuldværdig betyder her blot, at OneTrust gør alt, hvad det er muligt med værktøjet. Og det er desværre ikke meget.
Om brugeren påstås at være fra bestemte andre lande, kan det muligvis ikke opstå en samtykningsfråga overhovedet. Dette ville være lovløst i sig selv og ville skabe alvorlige problemer med persondata, som man let kan bevise. Præcis kunne jeg ikke reproducere den landeafhængige udsmykning, men jeg må nøjes med at antage det. I hvert fald er en meget detaljeret geolokation af en bruger gennem et samtykningsværktøj i sig selv meget usikkert.
Hvis man åbner en hjemmeside, der er blevet manipuleret med OneTrust, i den dataskyddvenlige Tor Browser, viser ikke samtykningsfragen sig. Det kan også være på grund af Sikkerhedskonfigurationen i browseren:
En samtykningsløsning skal selvfølgelig være tilrettelagt på en måde, så også hvis "løsningen" ikke fungerer, vil der findes en hjemmeside, der overholder GDPR. I det værst tænkelige scenarie ville man i virkeligheden ikke skulle laste nogen tool. Men med OneTrust bliver i det værst tænkelige scenarie consent-tool ikke lastet, hvilket fører til, at alle samtykningspligtige tools bliver lastet direkte. Den såkaldte cookie-blocker er nemlig til for at laste problematiske tools og ikke til at reducere eksisterende problemer.
Grunden er, at OneTrust sætter sig "oboven". I stedet for at ladeguidens på hjemmesiden til bundne værktøjer i almindelighed justeres, søger man at undertrykke lastningen af værktøjer kunstigt. Får man så Underdrücker (samtykningsværktøjet) ikke, undertrykker man heller ikke noget.
Der er ingen undskyldninger for dette. Alle hjemmesider skal designes på en sådan måde, at uautoriseret dataoverførsel er udelukket fra starten og indtil videre.
Hentning af data fra et usikkert tredjeland?
Det gør det vanskeligere, at for at opbygge vinduet til samtykke, bliver domænet onetrust.com spurgt. Dette synes at være forskelligt afhængigt af udformningen eller den installeret version af OneTrust og har sandsynligvis med værktøjet til at gøre (se oven: Optanon, Cookie Law).
Ifølge WHOIS-opslagning er domænet onetrust.com tilmeldt en virksomhed med adresse i Panama:
For domænet blev en såkaldt WhoisGuard brugt, der skjuler den egentlige identitet af domæne-ejerens. Dette gør at man i tvivlsomme tilfælde kan skyde skylden på ansvarlig for hjemmesiden, som OneTrust anvender. Se Artikel 12 GDPR (transparent information). Mange glade timer med at finde ud af hvem der ejer domænet onetrust.com, hvis nogen en gang spørger og kræver en oplysning.
I alt fald er det enligt https://www.onetrust.com/ domænet tilbageført til selskabet OneTrust, LLC (se siden nedenfor). Den juridiske form viser, at det er et amerikansk selskab.
Overførsel af data til USA er uden tilladelse ulovlig. Se Artikel 44 GDPR samt dom fra EU-domstolen om Privacy Shield.
Når onetrust.de-webstedet åbnes, indlæses Google Tag Manager uden samtykke (pr. marts 2022). Dette forekommer mig upassende i lyset af Googles overdrevne databehandling.
Lov om cookies
En afledning af Onetrust er Cookie Law. Det værktøj synes at være overtaget af OneTrust og teknisk identisk med OneTrust. Ved min testmæssige tilgang til en hjemmeside, der bruger Cookie Law, bliver IP-adressen 104.16.148.64 hentet ved ladning af Cookie Law-skripter. En IP-tilstedømmelsesdienst placerer denne netværksadresse således:
Det synes at en datahentning finder sted, der er forbundet med USA, et usikkert tredje land. Dette er ifølge Art. 44 GDPR uden samtykke problematisk.
Hvis der kræves samtykke til en samtykkeanmodning, er fordelen ved tjenesten for den samtykkeanmodning, der kræver samtykke, tæt på nul.
OneTrusts samtykkevindue
OneTrusts udseende og indhold kan sagtens tilpasses. Jeg har valgt et tilfældigt eksempel, der ser sådan ud:
I mit praksis-test af populære samtykke værktøjer er der to flere eksempler til OneTrust._
Meddelelse om afbestilling
Som du kan se, er skriftstørrelsen ret lille, og mængden af tekst på det første billede er ret stor. Det kan kritiseres (hvis du nogensinde kommer i retten eller skal have med en tilsynsmyndighed at gøre). Under alle omstændigheder er det skrevet:
Med hjælp af de nærliggende knapper kan du sætte dine cookie-præferencer, som du hverken kan ændre, når du besøger vores hjemmeside.“ .
Dette er ikke en juridisk sikker afbestillingsmeddelelse:
- De "tilstødende knapper" er der ikke længere, når du har givet dit samtykke, fordi vinduet alligevel lukkes
- For mig er ændring og aflysning to forskellige ting
- Der sted hvor tilbagekaldelse kan blive opfordret, nævnes ikke, men ifølge Artikel 7 GDPR er det pålagt.
Afvis i stedet for at give samtykke
Som man kan se i Consent Popup'en, er en afvisning ikke direkte mulig. Det alene finder jeg allerede for lovstrue. Se her Artikel 4 Nr. 11 GDPR og den Begrundelse 42: „Det skal kun antages, at hun har givet sin samtykke friwilligt, hvis hun har en rigtig eller fri valgmulighed og dermed er i stand til at afvise eller trække sit samtykke tilbage uden at blive udsat for nogen negative følgevirkninger“.
Utilstrækkelig information
Der er så mange falske udsagn og fordrejninger, at kun et udvalg kan følge med her. Første eksempel:
Hvem måske er Udbyder af __cfduid? Så vidt jeg ved, er onetrust.com ikke en virksomhedsangivelse.
Er er __cfduid faktisk et cookie, en tjeneste eller et Ting? Man må være fair og sige, at beskrivelsen kommer først efter man klikker på Cookies vise. Det menes nok cookies. Men hvad er så da tjenesten (tool), til hvilken det cookie hører?
Hvad betyder "4 år"? Jeg forstår det, men en tysktalende borger behøver ikke kunne engelsk.
Beskrivelsen er også på engelsk og derfor ikke tilgængelig.
Kun nogen, der beskæftiger sig med persondatabeskyttelse, ved hvad 3rd Party__ betyder. ([1])
Eksempel nummer to:
Jeg er ikke sikker på, om navnet S er korrekt. Et cookie fra Google med dette navn har jeg endnu ikke set. Med en anmodning om kontakt, hvis dette cookie officielt eksisterer.
Leverandør og formål beskrivelser mangler igen. I stedet for at skrive Sitzung, bruges den engelske term Session.
Der mangler også oplysninger om, hvorvidt data overføres til usikre tredjelande, ligesom der mangler oplysninger om den tilknyttede tjeneste.
I denne måde kan næsten hver forklaring fra OneTrust kritiseres. Jeg er her så streng, som det ville være i en retssal ifølge min mening.
Indlæsning af værktøjer uden samtykke
Kroningen for et Consent værktøj: Den påstået sikrede hjemmeside laster et værktøj uden samtykke, der kræver samtykke. Det bliver endnu værre, hvis Consent værktøjet selv spørger om samtykke til et værktøj og det lastes alligevel uden samtykke. Et eksempel på dette er en YouTube video script, også stadig med cookies. Det med de cookies kunne man let have forhindret…
Konklusion
OneTrust sucks og gør mere skade end det gør godt, er min mening. Jeg våger også at skrive dette fordi leverandøren selv ikke kan få det til med sit eget værktøj. Her er beviset på hjemmesiden onetrust.de, der efter valg af sprog på tysk bliver opkaldt på onetrust.com:
Billedskærmbilledet viser mindst følgende fejl:
- Det cookie _ga klassificeres som første-part-cokie klassificeret. Det er kun fra en teknisk synsvinkel rigtigt og interesserer nogen udenom mig og få andre ikke nogen. Datatilsynet bruger Google Analytics dette cookie.
- Vi er på den tysksprogede hjemmeside. Alligevel er de beskrivelser overvejende på engelsk.
- Der manglede leverandørnavn igen
- Beskrivelsen mangler, fordi den er på engelsk og derfor skal ses som uforståelig af en tysksproget læser
- Oplysningerne er uklare: 1 år, 1. part
Man kan næsten ikke gøre mere forkert i en samtykkeforespørgsel.
Udløber af OneTrust
Optanon og Cookie Law blev tydeligvis overtaget af OneTrust og er teknisk næsten ligesom OneTrust.
Ifølge mine observationer ligger den eneste forskel i de tekniske detaljer for det første opkald til Consent Tool. Hver af de tre udløbere bruger sit eget identifikationsnummer og sin egen type teknisk implementering til at definere denne identifikation.
Her to eksempler. Først definitionen af cookie-id fra Cookie Law, som ofte bliver kaldt:
consent2.setAttribute('data-domain-script', 'xxxxxxxxx-xxxx-xxxx-xb97-xxxxxxxxxxxx');
I stedet for x-tegn er i den rigtige identifikation hexadecimale tal kodet.
For Optanon ser teknisk implementering af ID så ud:
<script type="text/javascript" src="[https://cdn.cookielaw.org/consent/xxxxxxxx-xxxx-xxxx-x752-](view-source:https://cdn.cookielaw.org/consent/d5bb5995-9e5d-4971-a752-c49709ede890-test/OtAutoBlock.js)xxxxxxxxxxxx\-test/OtAutoBlock.js"></script>
Der er også en vis lighed med Cookie First, selv om de primære data synes at være struktureret anderledes end ved OneTrust. ID'en har i hvert fald samme opbygning.
<script src="[https://consent.cookiefirst.com/banner.js](view-source:https://consent.cookiefirst.com/banner.js)" data-cookiefirst-key="xxxxxxxx-xxxx-xxxx-x225-xxxxxxxxxxxx"></script>
Efter at ID'en er blevet fastlagt, hvor som helst, bliver data til visningen af samtykke-pop-up hentet. Dette synes altid at ske på samme måde. Tilbageleveringen og struktur af resultatet var i hvert fald i mine tests for OneTrust-afgrebene altid det samme.
Alt hvad der gælder for OneTrust, gælder også efter min erfaring for Optanon og Cookie Law. Logikken i mit værktøj, som kan automatisk udlese Consent-afspørgelser på en hjemmeside, er i hvert fald den samme for disse to varianter, så snart Cookie-ID er blevet fastlagt.
Konklusion
Den, der bruger OneTrust på sin hjemmeside, er blevet fejlagtigt rådgivet eller har haft held til at finde det. Heldigvis kan næsten alle fejl rettes op. Det bedste er at straks justere hjemmesiden og fjern OneTrust.
Efterfølge gør det værd at tænke over, hvilke værktøjer der virkelig stadig er nødvendige.
Ønsker I selv at udforske, om jeres Consent Tool kunne være lovlige? Så se jer selv bare mine checklist for samtykningsfrågesæt på websteder.
Hvis du vil spare dig selv arbejde, læs først artiklen fem grunde til, hvorfor cookie popups ikke kan være tillidsværdige. Der finder du fakta og beviser for denne påstand.
Der kommer snart et værktøj, som kan bruges til at generere en forespørgsel til berørte personer på hjemmesider med samtykkeværktøjer. Denne forespørgsel vil indeholde alle fundne fejl og tvivlsomme tekster. For populære samtykkeløsninger leverer værktøjet en velbegrundet forespørgsel til den registrerede, inklusive det nødvendige retsgrundlag, næsten med et tryk på en knap.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.