Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Cookie-pop-ups: fem grunde til, at de ikke kan fungere

0
Reason why cookie popups fail for getting user consent
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel som PDF
📄 Artikel som PDF (kun for abonnenter på nyhedsbrevet)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

På mange hjemmesider er besøgende irriterede over cookie-pop-ups. De er ikke kun irriterende, de er også upålidelige og skaber dermed masser af lovovertrædelser. Denne artikel beviser, at samtykkeværktøjer er upålidelige i sig selv.

Indledning

Tilslutter en hjemmeside en tjeneste som Google Analytics, må denne tjeneste først efter brugerens samtykke være tilgængelig. Den retlige grundlag er ePrivacy-Richtlinien, mindst når det drejer sig om cookies. Yderligere grunde for en samtykkesppligtighed leverer art. 5 GDPR (dataminimering) og art. 44ff GDPR (datatransfer til usikre tredjelande).

En samtykkeanmodning på hjemmesider kaldes ofte også en cookie-popup, cookie-blocker, samtykkeværktøj eller samtykke-popup. Der henvises også ofte til samtykkehåndteringsplatforme.

Denne artikel viser, at markedsførings-lofter fra mange leverandører af Consent Tools er usaglige. I praksis forværres websteder meget ofte ved hjælp af Consent Tools. Følgen er en række juridiske mangler. Det har jeg vist i min store praktiske test til cookie-blockere.

I dette indlæg får du at vide, hvorfor Værktøjer til samtykke til cookies objektivt og generelt aldrig kan fungere på en tilførlitig måde, hvis man tillidsfuldt afhænger sig af deres automatik eller hvis almindelige værktøjer fra Google, Facebook, Vimeo osv. anvendes. Men også i øvrigt findes der en altid tilstedeværende usikkerhed, fordi cookies kan komme ind på et enhed på mange måder (det er nemlig det, der gør sig gældende i ePrivacy directives).

Årsager til, at cookie-blockere ikke er pålidelige

Jeg vil nævne fem grunde, der objektivt er sande og i almindelighed kan bevises. Det er vigtigt for mig, at du forstår dette. De fem grunde bygger på hård, uovertrufelige fakta.

1. Cookie-blokeringen

Den første grund, hvorfor Cookie Blocker ikke kan fungere pålideligt, er rent teknisk. Funktionen af et Consent Script, som flere producenter præsenterer med reklameord, er følgende:

  1. Consent Script er integreret på alle sider på et website, så det indlæses før alle andre scripts og filer.
  2. Samtykkescriptet genkender angiveligt alle processer, der kræver samtykke, og blokerer dem, indtil brugeren har givet sit samtykke

Praksissen ser anderledes ud. Moderne browser laster flere filer næsten samtidig. Dette sker især, når filerne hentes fra forskellige servere. Hvis en hjemmeside for eksempel indlæser Google Maps, Google Skrift og et Consent Tool Script, foregår noget i følgende retning:

  1. Indlæsningsprocessen for samtykkescriptet begynder
  2. Ladeprocessen for det Google Maps Script begynder
  3. Indlæsningsprocessen for Google Fonts begynder
  4. På et tidspunkt før eller efter punkt 2 eller 3 er Consent Script færdig med at indlæse. Først da kan Consent Script forsøge at annullere de efterfølgende indlæsningsprocesser. Dette virker kun for indlæsningsprocesser, der endnu ikke er startet

Det er ikke muligt at forudsige, om Consent Script vil blive indlæst hurtigt nok til at være fuldt indlæst og klar til at arbejde, før Google Maps eller Google Fonts begynder at indlæse. I praksis kan det ses tusindvis af gange, at den ønskede afbrydelse af indlæsningsprocesser ikke fungerer.

Samtykkeværktøjer kan ikke pålideligt forhindre indlæsningsprocesser for hjemmesideværktøjer

For at forhindre indlæsningsprocesser på en pålidelig måde skulle hjemmesiden tilpasses betydeligt

Jeg inkluderede bevidst Google-skrifttyper i eksemplet, fordi de sandsynligvis ikke selv sætter nogen cookies. Indlæsning af Google-skrifttyper på hjemmesider forhindres naturligvis ikke af samtykkeværktøjer. Årsagen til dette forklares nedenfor.

2. Cookie-scanneren

Som navnet Cookie Blocker eller Cookie Consent allerede siger, søger mange Consent Tools at blokere cookies. Funktionen på sådanne bloker er følgende:

  1. En cookie-scanner kører gennem en hjemmeside
  2. Alle sider på websitet tjekkes for at se, om der er sat cookies
  3. De indlæsningsprocesser, som cookies kan tildeles, er noteret
  4. Hvis webstedet åbnes senere, forsøger det integrerede samtykkescript nu at forhindre alle indlæsningsprocesser, der tidligere blev genkendt som involverende cookies, indtil der er givet samtykke

Det synes ikke at dette forfølger for Google Skrift og heller ikke for det indlejrede YouTube Video med udvidede privatlivsindstillinger. Det sidste betyder nemlig, at der ikke skabes nogen YouTube-Cookies overhovedet. Som jeg har vist i en egen artikel, er dataprocesse fra YouTube Scripter så omfattende, at selv herfra følger en samtykningspligt efter art. 5 GDPR. Desuden kunne man også anføre overførslen til usikre tredjelande som et argument.

Det er ikke muligt at genkende relevante cookies i fuldt omfang. Fokus på cookies er ufuldstændigt.

Kritik an Cookie-basierten Scannern

En anden grund til den objektivt genkendelige upålidelighed af Consent Tools er af teknisk karakter.

Forestil dig, at en hjemmeside indlæser Google Maps. Lad os antage, at kort-scriptet ikke sætter sine egne cookies, men indlæser filer fra adressen google.com.

En cookie-scanner går nu igennem hjemmesiden, hvor kortet er indlejret. Dertil simulerer scanner en browser. Denne browser svarer til en browser, der for første gang overhovedet bliver opkaldt. I browseren er således endnu ingen cookies gemt. Browseren er ungfrugt. Scanneren genkender i dette tilfælde ikke nogen cookies.

I realiteten ser det anderledes ud. Lad os forestille os, at I tilkaller hjemmesiden google.com. Derved bliver cookies sat. Det er faktisk sådan (sidst opdateret: 03.02.2021). Prøv selv! Nu tilkalder du en hjemmeside, der Google Maps indbygger. Denne laster nu filer fra google.com. Derved bliver de cookies, som er gemt på din enhed, ved hentningen af filen fra google.com overført til den hentende adresse (google.com). Kortet laster så cookies. Cookie-scanneren kunne ikke genkende disse cookies!

For at vide, hvad man skal gøre, skal man vide, at hver bruger verden over potentielt har andre cookies på sin enhed (PC, smartphone, notebook, tablet). Det er umuligt at kende dem alle. Til Google Tag Manager bliver det ofte forklaret, at den er en cookiefri domæne. Det er løgn. Du finder nedenfor en link til en artikel fra Bullshit Basics af mig selv, hvor jeg viser beviset på det modsatte. På min enhed er der sikkert cookies til domænet googletagmanager.com til stede og bliver overført til hver hjemmeside, som bruger Tag Manager. Det er en tilladelsestvunget proces.

Yderligere oplysninger om cookies finder du i min grundlæggende artikel.

3. Mangel på viden om verden

Lad os antage, at det forrige punkt var løst, dvs. at en cookiescanner ville kende alle cookies i verden ud fra navn og indhold. Det er selvfølgelig ikke tilfældet, hvilket du vil indrømme uden at skulle tænke længe over det.

Nu må den cookie-scanner kende til hvert enkelt cookie, hvad formålet er. Hvor kommer dette vidende fra? Lad os antage, at I tilbyder en nyhedsbrev. Bortset fra jer ved ikke hvem der har skrevet sidste nyhedsbreve-mail. Nu skal modtageren af nyhedsbreven mail forklare hvem denne mail er skrevet af. Tydeligvis er det ikke muligt uden jeres støttende oplysninger.

Det er præcis det samme med cookies: Hvis udbyderen af et værktøj, der bruger visse cookies, ikke afslører noget om formålet med cookies, er det ikke muligt for en tredjepart at udtale sig om formålet med disse cookies.

Artikel 13 GDPR tvinger dog til at forklare formålet med cookies. Det er ingen, der kan gøre det, bortset fra den leverandør af cookies selv. For Google Tools er det ofte muligt at se, at leverandøren, nemlig Google-koncernen, ikke siger noget eller ikke giver nogen præcise udtalelser om formålet med Googles cookies.

Næsten alle de forklaringer, du finder om tredjepartscookies i privatlivspolitikker eller på samtykkeerklæringer, er opdigtede eller formodede. Google forklarer f.eks. NID-cookien:

NID-cookien indeholder et unikt ID, som vi bruger til at gemme dine foretrukne indstillinger og andre oplysninger, f.eks. dit foretrukne sprog, hvor mange søgeresultater der skal vises pr. side (f.eks. 10 eller 20), og om Google SafeSearch-filteret skal aktiveres.

Kilde: https://policies.google.com/technologies/cookies?hl=de

Det NID-Cookie_ bliver efter min undersøgelse primært brugt til at kunne identificere brugerne unikke. Så bliver f.eks. en unik identifikation givet, efter du er logget ind på google.de, så man ikke skal bekræfte datasketchbestemmelsene hver gang. I ovennævnte forklaring nævnes også andre oplysninger. Denne udtalelse er så uskarpt, at den knap kan overgås og svarer i hvert fald ikke til kravene i artikel 12 GDPR efter transparent og omfattende information på intet tidspunkt.

Til mange andre cookies giver Google ikke nogen oplysninger, men alligevel kan man finde oplysninger fra tredje part herom. Den påstand, der nævnes i titelbilledet til denne artikel, kan man læse igen og igen. Jeg kunne ikke finde den på webstederne til Google-koncernen. Uafhængig af det er påstanden uoverskuelig og således uvirksom.

Alt hvad der er sagt om cookies gælder også for tjenester (Tools). Cookies bliver oprettet og administreret af tjenester og opstår ikke bare sådan. Der skal også være en forklaring til formålet med tjenesten. Kun den, der tilbyder en tjeneste, ved om de nøjagtige databehandling foregår, hvor data indsamles og hvem dataene sendes til.

Den lovpligtige navngivning af formålene med cookies er ikke seriøst mulig for cookies fra de fleste kendte værktøjer

Objektiv bestemmelse til cookie-formål baseret på logisk afledning

Til de formål tilgængelige er yderligere oplysninger om cookies nødvendige. Dertil hører leverandørenavn. Ved "Google" mener du, når "Google" siger "Google", hvis "Google" taler om "Google" i mange privatlivsbeskyttende advarsler og brugerbetingelser fra "Google"? Bed venligst mig om at fortælle det til mig. Under denne artikel finder du et kommentarfelt. Selvfølgelig skal webstedets ansvarlige kunne levere disse oplysninger for alle tjenester, der anvendes.

4. Kager som centralt motiv

Ikke uden grund bliver mange Consent Tools betegnet som Cookie Blocker eller lignende. Cookies er kun en af flere grunde til, at man skal høste samtykke fra brugeren. Lovgrundlaget herfor er den Politik for e-databeskyttelse, præcisere sagt artikel 5 Absatz 3 denne richtlinie. ([1])

En yderligere grund til en samtykke er principperne for Minimering af data. Praktisk betyder det: Bind en hjemmeside til Google Skrift sådan, at skriften hentes fra en Google-server, kræver derfor et samtykke. Faktisk kunne skriften ikke være brugbar. Løsningen ville være simpel: Gem skriften lokalt og lad den hente fra egen server. Med det Google-koncern kan man ifølge min viden ikke slutte en gyldig DPA, der kunne retfærdiggøre at binde udenforliggende Google-skritter uden samtykke.

Det bliver endnu mere plastisk ved at laste af YouTube videoer:

  • Tallængde filer bliver lastet fra domænerne youtube-nocookie.com, ytimg.com og ggpht.com.
  • Google skriftsammenlæggere bliver lastet fra domænet gstatic.com.
  • Der DoubleClick Werbe-Tracker bliver lastet fra domænet doubleclick.net.
  • Youtube sender efter siden er blevet lastet data til en Google-server.
  • DoubleClick sender i ubestemte intervaller data til en Google-server.

Alle må indrømme, at dette er en dataoverførsel, der kan undgås. Den legitime interesse er derfor udelukket her.

Efter EuGH-aflægningen om Privacy Shield er det sandsynligvis blevet kendt, at overførslen af data til USA og andre usikre tredjelande selv med hjælp fra standardaftaler eller Corporate Binding Rules ikke kan sikres.

Kikscentrerede samtykningsløsninger ser ud til at ofte kun spørger efter en samtykke til kiks. Brugeren skal dog blot samtykke til tjeneste. Google Analytics sætter f.eks. i mange konfigurationer tre kiks. Det er ikke meningen, at man spørger efter en samtykke til disse tre kiks. Rigtig ville være det, at spørge efter en samtykke til brug af Google Analytics. Til dette tjeneste vil så forklaret blive, at det sætter tre kiks. Denne detalje kan forekomme på en senere niveau.

Samtykkeforespørgsel til Google Analytics på cookiebot.com/da (pr. 03/02/2021)

Billedet viser tre cookies, der er tilknyttet Google Tag Manager. Denne Tilknytning er forkert. Tag Manager nævnes her som leverandør, ikke som service. Den rigtige leverandørenævnelse mangler tydeligtvis. Tilknytningen er forkert, fordi tag manager tunneler andre services og dermed også cookies, der administreres af disse.

Under alle omstændigheder spørges der ingen steder om, hvorvidt brugeren accepterer Google Analytics eller ej. For dette værktøj er formålet ikke angivet i samtykkeforespørgslen. Informeret samtykke er derfor ikke muligt. Fejlen i cookie-centreringen er særlig tydelig i forbindelse med indlejrede YouTube-videoer. Enhver, der forklarer de cookies, der sættes, når det tilknyttede YouTube-script integreres, har ikke forklaret formålet med YouTube-scriptet. Dette kan demonstreres meget godt ved, at YouTube-scriptet også kan indlæses uden cookies.

5. Manglen på en tilgang til databeskyttelse

Mange kender, at det ikke kun er vigtigt at få tilladelse til at samle op data, men også at have en persondata policy. Mange tænker også på SSL-certifikatet, da det ofte er inkluderet i webhosting prisen. Nogle glemmer at lede videre til den SSL-version af hjemmesiden, når man kalder op på hjemmesiden uden https.

Linket til privatlivspolitikken er ikke tilgængeligt på alle sider af hjemmesiden på et betydeligt antal hjemmesider, jeg anslår, at det er 75%.

Mange indlejrer stadig YouTube-videoer på en sådan måde, at cookies kommer i spil. Det behøver ikke at være tilfældet, for løsningen er enkel.

Alle disse punkter og flere til tages ikke i betragtning af Consent Tools, men er vigtige af juridiske årsager.

Ekstra: 5+1: afbestilling ofte ikke mulig

Tekniske tredjepartscookies er cookies, der findes i et domæne tilhørende en værktøjsudbyder, som ikke er det samme som det besøgte websted. Webstedsoperatøren har ingen teknisk kontrol over tredjepartsdomænet. Det betyder, at cookies i dette domæne kun kan slettes (annulleres af den besøgende på et websted!), hvis værktøjsudbyderen tilbyder en grænseflade til dette. Denne grænseflade findes ofte ikke. Tilbagekaldelse er derfor objektivt set ikke mulig. Hvis værktøjsudbyderen undtagelsesvis tilbyder en annulleringsgrænseflade, skal den udtrykkeligt kaldes op af den dataansvarlige (webstedsoperatøren). Desværre sker dette så sjældent i de få mulige tilfælde, at det næppe behøver at blive diskuteret.

Eksempel: YouTube Video-plugin (ifølge oplysninger uden cookies med domænet youtube-nocookie.com). Plugin sætter et cookie med navn CONSENT, selv om det hedder noget andet. Dette cookie kan kun af fjernet af YouTube selv, men der er ikke nogen interface til at gøre dette. Så længe jeg ved, kan YouTube Video-plugin ikke bruges i overensstemmelse med loven, fordi afmelding efter Artikel 7 § 3 GDPR ikke er mulig. At YouTube Player kræver samtykke, har flere årsager end blot cookie. ([1])

Konklusion

Som annonceret i begyndelsen var jeg i stand til at vise og bevise følgende:

  • Indlæsningsprocessen for værktøjer, der kræver samtykke, kan ikke forhindres pålideligt
  • Værktøjer, der ikke bruger cookies, kan ikke genkendes pålideligt af et automatisk system. Ingen af de samtykkeværktøjer, jeg kender til, gør noget nævneværdigt forsøg her, sandsynligvis af frygt for at blokere en fil, der er funktionelt vigtig for hjemmesiden
  • Hver af jer har forskellige cookies gemt på jeres enhed. Ingen af de udbredte cookiescannere kan finde ud af, hvilke cookies der er tale omCookies kan ikke genkendes pålideligt og kan derfor ikke håndteres på en juridisk sikker måde
  • Formålet med tjenester og cookies er ikke lovligt kendt for de mest populære værktøjer
  • Fokus på cookies i samtykkeforespørgslen er forkert
  • Der er mange andre regler for hjemmesider ud over spørgsmålet om samtykke

Min anbefaling: undgå at bede om samtykke så meget som muligt. Her en kort hjælp (præciser er det beskrevet i mine andre artikler):

  • Udeladelse af værktøjer, der ikke er nødvendige
  • Erstat værktøjer som Google Maps og andre med alternativer
    • Google Maps: Knap "Ruteplanlægning"
    • Google Analytics: Matomo
    • YouTube- eller Vimeo-video: lokal video eller eksempelbillede med spring til videoplatform
    • Google reCAPTCHA: Anden løsning, f.eks. WordPress-plugin til Contact Form 7

Også interessant

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Rechtssicheres Cookie-Management: Checkliste & Anleitung zur Einholung von Einwilligung