Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Cookiepop-ups: vijf redenen waarom ze niet kunnen werken

0
Reason why cookie popups fail for getting user consent
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel als PDF
📄 Artikel als PDF (alleen voor abonnees van de nieuwsbrief)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Op veel websites ergeren bezoekers zich aan cookiepop-ups. Ze zijn niet alleen irritant, maar ook onbetrouwbaar en genereren daardoor massa's wettelijke overtredingen. Dit artikel bewijst dat toestemmingshulpmiddelen op zichzelf onbetrouwbaar zijn.

Inleiding

Bindt een website een dienst als Google Analytics aan, mag deze dienst pas na toestemming van de bezoeker van de website geladen worden. De juridische basis is de richtlijn inzake e-privacy, althans wanneer het om cookies gaat. Verder geven art. 5 GDPR (gegevensminimisatie) en art. 44ff GDPR (gegevensoverdracht naar onzekere derde landen) redenen voor een toestemmingsplicht.

Een toestemmingsverzoek op websites wordt vaak ook een cookie pop-up, cookie blocker, toestemmingshulpmiddel of toestemmingspop-up genoemd. Er wordt ook vaak verwezen naar platforms voor toestemmingsbeheer.

Dit artikel laat zien dat de marketingbeloftes van veel aanbieders van Consent Tools onhoudbaar zijn. In de praktijk verbeteren Consent Tools websites vaak juist niet, maar verslechteren ze zelfs nog. Het gevolg zijn talrijke juridische gebreken. Dat heb ik in mijn grote Praxistest aan Cookie Blockers laten zien.

In dit artikel leest u waarom Hulpmiddelen voor cookietoestemming objectief en over het algemeen nooit betrouwbaar kunnen functioneren, als men op hun automatische modus vertrouwt of wanneer gangbare tools van Google, Facebook, Vimeo etc. worden gebruikt. Maar er is ook een altijd aanwezige onbetrouwbaarheid, omdat cookies op veel manieren in een eindapparaat kunnen komen (daar gaat het namelijk over in de Richtlijn voor elektronische communicatie).

Redenen voor de onbetrouwbaarheid van cookieblokkers

Ik zal vijf redenen noemen die objectief kloppen en algemeen bewijsbaar zijn. Het is belangrijk voor mij dat u dit begrijpt. De vijf redenen berusten op harde, onweerlegbare feiten.

1. De cookieblokker

De eerste reden, waarom Cookie Blocker niet betrouwbaar kunnen functioneren, is puur technisch van aard. De werking van een Consent Script, zoals door reclameverklaringen van vele fabrikanten wordt gesuggereerd, is als volgt:

  1. Het toestemmingsscript wordt op elke pagina van een website geïntegreerd, zodat het vóór alle andere scripts en bestanden wordt geladen.
  2. Het toestemmingsscript herkent zogenaamd alle processen waarvoor toestemming nodig is en blokkeert ze totdat de gebruiker toestemming heeft gegeven

De praktijk ziet er anders uit. Moderne browsers laden meerdere bestanden bijna gelijktijdig. Dit gebeurt vooral als de bestanden van verschillende servers worden geladen. Wanneer bijvoorbeeld op een website Google Maps, Google Lettertypen en een Consent Tool Script worden ingebouwd, gebeurt het volgende:

  1. Het laden van het toestemmingsscript begint
  2. De laadprocedure voor het Google Maps Script begint
  3. Het laadproces voor Google Fonts begint
  4. Op een bepaald moment voor of na punt 2 of 3 is het toestemmingsscript klaar met laden. Alleen dan kan het toestemmingsscript proberen de volgende laadprocessen te annuleren. Dit werkt alleen voor laadprocessen die nog niet zijn gestart

Het is niet mogelijk om te voorspellen of het toestemmingsscript snel genoeg zal laden om volledig geladen en klaar voor gebruik te zijn voordat Google Maps of Google Fonts beginnen met laden. In de praktijk is duizenden keren te zien dat de gewenste onderbreking van laadprocessen niet werkt.

Toestemmingstools kunnen laadprocessen voor websitetools niet betrouwbaar voorkomen

Om laadprocessen betrouwbaar te voorkomen, zou de website aanzienlijk moeten worden aangepast

Ik heb Google fonts bewust in het voorbeeld opgenomen omdat ze zelf waarschijnlijk geen cookies plaatsen. Uiteraard wordt het laden van Google fonts op websites niet verhinderd door toestemmingshulpmiddelen. De reden hiervoor wordt hieronder uitgelegd.

2. De cookie scanner

Hoe de naam Cookie Blocker of Cookie Consent al zegt, richten veel Consent Tools zich erop om cookies te blokkeren. De werking van dergelijke blockers is als volgt:

  1. Een cookiescanner doorloopt een website
  2. Elke pagina op de website wordt gecontroleerd om te zien of er cookies zijn ingesteld
  3. De laadprocessen waaraan cookies kunnen worden toegewezen, zijn de volgende
  4. Als de website later wordt geopend, probeert het geïntegreerde toestemmingsscript nu alle laadprocessen te voorkomen die eerder werden herkend als processen waarbij cookies betrokken waren, totdat er toestemming is gegeven

Het duidelijk is dat dit proces niet werkt voor Google Schriften en ook niet voor het ingebouwde YouTube-video met uitgebreide instellingen voor gegevensbescherming. Het laatste betekent dat er geen YouTube-cookies worden gegenereerd. Zoals ik in een eigen artikel heb laten zien, zijn de verwerkingsprocessen van YouTube-scripten zo omvangrijk dat alleen al daaruit een verplichte toestemming volgt naar art. 5 GDPR. Bovendien kan men nog steeds het overdragen van gegevens naar onzekere derde landen als argument aanvoeren.

Het is niet mogelijk om relevante cookies volledig te herkennen. De focus op cookies is onvolledig.

Kritiek op cookiegebaseerde scanners

Een andere reden voor de objectief herkenbare onbetrouwbaarheid van Consent Tools is van technische aard.

Stel je voor dat een website Google Maps laadt. Laten we aannemen dat het mapscript geen eigen cookies instelt, maar bestanden laadt van het adres google.com.

Een cookie-scanner doorloopt nu de website waarop de kaart is geïnbed. Daarvoor simuleert de scanner een browser. Deze browser komt overeen met een browser die voor het eerst ooit is opgeroep. In deze browser zijn dus nog geen cookies opgeslagen. De browser is onbezoedeld. De scanner herkent in dit geval geen cookies.

In de realiteit ziet het er anders uit. Neem aan dat u de website google.com opent. Hierbij worden cookies gezet. Dit is feitelijk zo gegeven (Staan: 03.02.2021). Probeer het zelf uit! Nu open u een website die Google Maps inbedt. Deze laadt nu bestanden van google.com. Hierbij worden de cookies, die op uw eindapparaat zijn opgeslagen, bij het ophalen van de bestand van google.com naar de ophaaladres (google.com) overgedragen. De kaart laadt dus cookies. De cookie scanner kon deze cookies niet herkennen!

Om dit te begrijpen moet je weten dat elke gebruiker wereldwijd potentieel andere cookies op zijn apparaat (pc, smartphone, laptop, tablet) heeft opgeslagen. Het is onmogelijk om deze allemaal te kennen. Over het Google Tag Manager wordt vaak verklaard dat het een cookievrije domein is. Dat is nonsens. Je vindt hieronder een link naar een artikel van mij over Bullshit Basics waarin ik bewijs dat dit niet klopt. Op mijn apparaat zijn er wel cookies voor de domein googletagmanager.com aanwezig en worden deze op elke website overgedragen die de tag manager gebruikt. Dit is een toestemmingsplichtige handeling.

Meer informatie over cookies vind je in mijn artikel over de basisprincipes.

3. Gebrek aan wereldkennis

Laten we aannemen dat het vorige punt what opgelost, dat wil zeggen dat een cookie scanner alle cookies in de wereld zou kennen op naam en inhoud. Dit is natuurlijk niet het geval, zoals je zult toegeven zonder er lang over na te hoeven denken.

Nu zou de cookie-scanner voor elk individueel cookie het doel kennen moeten. Waar komt dit inzicht vandaan? Laten we aannemen dat u een nieuwsbrief aanbiedt. Behalve u weet niemand wie de laatste nieuwsbrief-mail geschreven heeft. Nu moet de ontvanger van de nieuwsbrief-mail verklaren, wie deze mail geschreven heeft. Blijkbaar is dit niet mogelijk zonder uw bijdrage.

Het is precies hetzelfde met cookies: als de aanbieder van een tool die bepaalde cookies gebruikt niets onthult over de doeleinden van de cookies, is het voor een derde partij niet mogelijk om een verklaring af te leggen over de doeleinden van deze cookies.

Artikel 13 GDPR dwingt echter tot de doelen van cookies uit te leggen. Dit is niemand anders mogelijk dan de leverancier van de cookies zelf. Voor Google Tools is het vaak duidelijk dat de leverancier, namelijk de Google Conglomeratie, geen of onnauwkeurige uitspraken doet over de doelen van de Google-cookies.

Bijna alle verklaringen die je vindt over cookies van derden in privacyverklaringen of op toestemmingsformulieren zijn verzonnen of giswerk. Google legt bijvoorbeeld de NID-cookie uit:

De NID-cookie bevat een unieke ID die we gebruiken om uw voorkeursinstellingen en andere informatie op te slaan, zoals uw voorkeurstaal, hoeveel zoekresultaten per pagina moeten worden weergegeven (bijvoorbeeld 10 of 20) en of het Google SafeSearch-filter moet worden geactiveerd.

Bron: https://policies.google.com/technologies/cookies?hl=de

Het NID-Cookie wordt naar mijn onderzoek voornamelijk gebruikt om gebruikers uniek te identificeren. Zo wordt bijvoorbeeld een unieke identificatie toegekend, nadat u zich heeft aangemeld op google.de, om de gegevensbeschermingsinformatie niet elke keer weer nieuw te moeten bevestigen. In bovengenoemde verklaring wordt eveneens van andere informatie gesproken. Deze uitspraak is aan onduidelijkheid nauwelijks te overtreffen en voldoet in geen geval aan de eisen van Artikel 12 GDPR naar transparante en omvattende informatie.

Veel andere cookies biedt Google geen informatie aan, maar toch zijn er op internetpagina's van derden wel informatie over te vinden. De in de titel van dit artikel genoemde uitspraak lees je regelmatig. Ik heb die uitspraak niet kunnen vinden op websites van het Google-concern. Onafhankelijk daarvan is de uitspraak onduidelijk en dus niet geldig.

Alles wat over cookies is gezegd, geldt ook voor Diensten (Tools). Cookies worden door diensten gegenereerd en beheerd en ontstaan niet zomaar. Ook voor diensten moeten hun doelen verklaard worden. Ook hier weet alleen de aanbieder van een dienst precies wat er met de gegevens wordt gedaan, waar de gegevens worden verzameld en wie ze ontvangt.

Het wettelijk voorgeschreven benoemen van de doeleinden van cookies is niet serieus mogelijk voor de cookies van de meeste bekende tools

Objectieve bepaling voor cookiedoeleinden op basis van logische afleiding

Naast de doeleinden zijn er nog meer informatie over cookies te geven. Daarbij hoort de Anbieterangabe. Weet u, als "Google" met "Google" bedoelt, als "Google" in talrijke privacy-informatie en gebruiksvoorwaarden van "Google" spreekt? Vraag het me dan maar. Onder dit artikel bevindt zich een commentaarveld. Logischerwijs moet de verantwoordelijke van een website deze informatie voor alle ingezette diensten kunnen geven.

4. Cookies als centraal motief

Niet zonder reden worden veel Consent Tools als Cookie Blocker of soortgelijk benoemd. Cookies zijn slechts een van de meerdere redenen waarom men van de gebruiker toestemming moet vragen. De rechtsgrondslag hiervoor is de ePrivacy Richtlijn, precies, artikel 5 lid 3 van deze richtlijn. ([1])

Een andere reden voor een toestemming is het principe van Gegevensminimalisatie. Praktisch gezien betekent dat: Bindt een website Google Schriften zo aan, dat de schriften van een Google-server worden geladen, dan heb je daarvoor een toestemming nodig. Feitelijk zou de schrift dan niet kunnen worden gebruikt. De oplossing is eenvoudig: Sla de schrift lokaal op en laad het vanaf eigen server. Met de Google-concern kun je naar mijn weten geen geldige DPA afsluiten, die een inbinden van externe Google-schriften zonder toestemming rechtvaardigen zou kunnen.

Het wordt nog plasticer bij het laden van YouTube-video's:

  • Veel bestanden worden van de domeinen youtube-nocookie.com, ytimg.com en ggpht.com geladen.
  • Google lettertypen worden van de domein gstatic.com geladen.
  • De DoubleClick reclame tracker wordt geladen vanuit de domein doubleclick.net.
  • Youtube stuurt na het laden van de pagina gegevens naar een Google-server.
  • DoubleClick stuurt onregelmatig data naar een Google-server.

Iedereen zal moeten toegeven dat dit een vermijdbare gegevensoverdracht is. Het rechtmatige belang is hier dus uitgesloten.

Na het EuGH-uitspraak over Privacy Shield zou het wel bekend zijn dat de gegevensoverdracht naar de VS en andere onzekere derde landen zelfs met behulp van standaardcontractbepalingen of Corporate Binding Rules niet veilig is.

Cookie-gecentreerde opt-in-oplossingen schenen er vaker alleen naar een opt-in voor cookies te vragen. De gebruiker moet echter wel in dienst treden. Google Analytics bijvoorbeeld zet in veel configuraties drie cookies. Het maakt geen zinnigheid om na een opt-in voor deze drie cookies te vragen. Correct zou het zijn, na een opt-in voor de gebruikmaking van Google Analytics te vragen. Daarbij wordt dan uitgelegd dat hij drie cookies gebruikt. Deze detailinformatie kan op een later niveau gebeuren.

Toestemmingsaanvraag voor Google Analytics op cookiebot.com/nl (per 03/02/2021)

Het beeld toont drie cookies die aan Google Tag Manager zijn toegekend. Deze toewijzing is fout. De tag manager wordt hier als leverancier genoemd, niet als dienst. De echte naam van de leverancier ontbreekt duidelijk. De toewijzing is fout omdat de tag manager andere diensten "tunnelt" en dus ook hun beheerde cookies.

In elk geval wordt nergens gevraagd of de gebruiker Google Analytics accepteert of niet. Voor deze tool wordt het doel niet gegeven in de vraag om toestemming. Geïnformeerde toestemming is daarom niet mogelijk. De fout in het centreren van cookies is vooral duidelijk bij ingesloten YouTube-video's. Wie uitlegt welke cookies worden ingesteld wanneer het bijbehorende YouTube-script wordt geïntegreerd, heeft het doel van het YouTube-script niet uitgelegd. Dit kan heel goed worden aangetoond door het feit dat het YouTube-script ook zonder cookies kan worden geladen.

5. Het ontbreken van een gegevensbeschermingsaanpak

Veel mensen weten dat naast de toestemmingsverklaring ook de gegevensbeschermingsovereenkomst belangrijk is. Aan het SSL-certificaat denken veel mensen ook, nu het vaak in de webhostingtarieven zit. De doorverwijzing bij het oproepen van een website zonder https op de SSL-versie vergeten sommigen.

De link naar het privacybeleid staat niet op elke pagina van de homepage op een aanzienlijk aantal websites, ik schat dat het 75% is.

Velen sluiten YouTube-video's nog zo in dat er cookies in het spel komen. Dit hoeft niet het geval te zijn, want de remedie is eenvoudig.

Al deze punten en meer worden niet in aanmerking genomen door Consent Tools, maar zijn wel belangrijk om juridische redenen.

Extra: 5+1: annulering vaak niet mogelijk

Technical third-party cookies zijn cookies die bestaan in een domein van een toolprovider dat niet hetzelfde is als de bezochte website. De websitebeheerder heeft geen technische controle over het domein van de derde partij. Dit betekent dat cookies in dit domein alleen kunnen worden verwijderd (annulering door de bezoeker van een website!) als de toolprovider hiervoor een interface biedt. Deze interface bestaat vaak niet. Herroeping is daarom objectief gezien niet mogelijk. Als, bij uitzondering, de annuleringsinterface wordt aangeboden door de toolprovider, dan zou deze expliciet moeten worden opgeroepen door de controller (websitebeheerder). Helaas gebeurt dit in de weinige mogelijke gevallen zo zelden dat het nauwelijks besproken hoeft te worden.

Forbeeld: YouTube Video-plugin (volgens vermoeden zonder cookies met domein youtube-nocookie.com). Het plugin zet in tegenstelling tot de domeinnamen een cookie neer genaamd CONSENT. Dit cookie kan alleen door de aanbieder van YouTube zelf worden verwijderd. Zoals ik weet, biedt YouTube hiervoor echter geen interface aan. Daarmee kan het YouTube Video-plugin dus niet conform de wetten worden gebruikt, omdat de intrekking volgens Artikel 7 lid 3 GDPR niet mogelijk is. Dat het YouTube Player een toestemming vereist heeft, heeft naast het cookie nog andere redenen. ([1])

Conclusie

Zoals aan het begin aangekondigd, kon ik het volgende aantonen en bewijzen:

  • Het laadproces van tools waarvoor toestemming nodig is, kan niet betrouwbaar worden voorkomen
  • Tools die geen cookies gebruiken, kunnen niet betrouwbaar worden herkend door een automatisch systeem. Geen van de toestemmingsprogramma's die ik ken, doet hier een poging van betekenis, waarschijnlijk uit angst een bestand te blokkeren dat functioneel belangrijk is voor de website
  • Ieder van u heeft verschillende cookies opgeslagen op uw eindapparaat. Geen van de veelgebruikte cookiescanners kan achterhalen welke cookies dit zijnCookies kunnen niet betrouwbaar worden herkend en kunnen daarom niet op een wettelijk veilige manier worden behandeld
  • De doeleinden van services en cookies zijn niet wettelijk bekend voor de meeste populaire tools
  • Een focus op cookies in de toestemmingsvraag is verkeerd
  • Naast de kwestie van toestemming zijn er nog tal van andere regels voor websites

Mijn aanbeveling: vermijden u waar mogelijk informatie-uitwissingsvragen. Hier een korte hulp bij (precieser is het beschreven in mijn andere artikelen):

  • Hulpmiddelen weglaten die niet echt nodig zijn
  • Tools zoals Google Maps en andere vervangen door alternatieven
    • Google Maps: Knop "Route plannen"
    • Google Analytics: Matomo
    • YouTube- of Vimeo-video: lokale video of voorbeeldafbeelding met sprong naar videoplatform
    • Google reCAPTCHA: Andere oplossing, zoals WordPress-plugin voor Contact Form 7

Ook interessant

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Rechtssicheres Cookie-Management: Checkliste & Anleitung zur Einholung von Einwilligung