Wyskakujące okienka z plikami cookie: pięć powodów, dla których nie mogą działać

Na wielu stronach internetowych odwiedzający są zirytowani wyskakującymi okienkami z plikami cookie. Są one nie tylko irytujące, ale także niewiarygodne, a tym samym generują masę naruszeń prawa. Ten artykuł udowadnia, że narzędzia do wyrażania zgody są same w sobie niewiarygodne.

Wprowadzenie

Jeśli strona internetowa łączy się z usługą taką jak Google Analytics, ta usługa może być załadowana dopiero po zgodzie odwiedzającego strony. Prawna podstawa to dyrektywa ePrivacy, przynajmniej wtedy gdy chodzi o pliki cookies. Dodatkowe powody do konieczności zgody dostarcza art. 5 RODO (minimalizacja danych) oraz art. 44ff RODO (przekazywanie danych do niepewnych krajów trzecich).

Prośba o wyrażenie zgody na stronach internetowych jest często określana również jako wyskakujące okienko cookie, blokada plików cookie, narzędzie zgody lub wyskakujące okienko zgody. Platformy zarządzania zgodami są również często określane jako.

Ten wpis pokazuje, że obietnice marketingowe wielu dostawców narzędzi do zgody są nieprzekupne. W praktyce narzędzia do zgody znacznie pogarszają stron internetowych. Konsekwencją jest wiele prawnych wad. To pokazałem w moim dużym testie praktycznym dotyczącym blokerów plików cookies.

W tym artykule dowiedzcie się, dlaczego Narzędzia do wyrażania zgody na pliki cookie nie mogą być zawsze zuwerującego działania, jeśli ufa się w ich automatyzację lub używa się powszechnych narzędzi od Google, Facebooka, Vimeo itp. Ale istnieje również stała niewiarygodność, ponieważ pliki cookies mogą dotrzeć do urządzenia za pomocą wielu metod (o czym mowa jest w ePrivacy directive).

Przyczyny zawodności blokerów plików cookie

Yes, będę wymienić pięć powodów, które są obiektywnie prawdziwe i całkowicie udokumentowane. Jestem przekonany, że zrozumiecie to. Pięć powodów opiera się na twardych, niezaprzeczalnych faktach.

1. Blokada plików cookie

Pierwszy powód, dla którego Cookie Blocker nie mogą działać zgodnie z oczekiwaniami, jest techniczny. Pracowanie skryptu konsentu, tak jak sugerują to reklamy wielu producentów, jest następujące:

1. Skrypt zgody jest zintegrowany na każdej stronie witryny, dzięki czemu jest ładowany przed wszystkimi innymi skryptami i plikami.
2. Skrypt zgody rzekomo rozpoznaje wszystkie procesy wymagające zgody i blokuje je, dopóki użytkownik nie wyrazi zgody

Praktyka jest odmienna. Nowe przeglądarki ładują kilka plików prawie jednocześnie. To się dzieje głównie wtedy, gdy pliki są ładowane z różnych serwerów. Jeśli na stronie internetowej np. zostaną załadowane Google Maps, Google Cytaty i skrypt narzędzia do zgody, następuje coś takiego:

1. Rozpoczyna się proces ładowania skryptu zgody
2. Proces ładowania dla skryptu Google Maps zaczyna się
3. Rozpoczyna się proces ładowania czcionek Google Fonts
4. W pewnym momencie przed lub po punkcie 2 lub 3 skrypt zgody zakończy ładowanie. Dopiero wtedy skrypt zgody może podjąć próbę anulowania kolejnych procesów ładowania. Działa to tylko w przypadku procesów ładowania, które jeszcze się nie rozpoczęły

Nie można przewidzieć, czy skrypt zgody załaduje się wystarczająco szybko, aby był w pełni załadowany i gotowy do pracy przed rozpoczęciem ładowania Map Google lub czcionek Google. W praktyce tysiące razy okazało się, że pożądane przerwanie procesów ładowania nie działa.

Celowo uwzględniłem czcionki Google w przykładzie, ponieważ prawdopodobnie same nie ustawiają żadnych plików cookie. Oczywiście ładowanie czcionek Google na stronach internetowych nie jest uniemożliwiane przez narzędzia do wyrażania zgody. Powód tego został wyjaśniony poniżej.

2. Skaner plików cookie

Jak sugeruje nazwa Cookie Blocker lub Cookie Consent, wielu narzędzi do zgody skupia się na tym, aby blokować pliki cookie. Funkcjonowanie takich blokerów jest następujące:

1. Skaner plików cookie uruchamia się na stronie internetowej
2. Każda strona znaleziona w witrynie jest sprawdzana pod kątem ustawienia plików cookie
3. Wymienione są procesy ładowania, do których można przypisać pliki cookie
4. Jeśli witryna zostanie odwiedzona później, zintegrowany skrypt zgody próbuje teraz zapobiec wszystkim procesom ładowania, które wcześniej zostały rozpoznane jako związane z plikami cookie, dopóki nie zostanie udzielona zgoda

Jasne, nie działa to podejście dla Google Fonts i również nie działa dla wplecionego filmu YouTube z rozszerzonymi ustawieniami prywatności. Ostatnie oznacza bowiem, że żadnych plików cookies YouTube nie są tworzone. Jak pokazałem w innym wpisie , procesy przetwarzania danych YouTube są tak obszerne, że sama z nich wynikałaby obowiązek zgody na ich przetwarzanie według art. 5 RODO . Dodatkowo można jeszcze odnieść się do transferu danych do niebezpiecznych krajów trzecich. ([1]) ([2])

Inny powód obiektywnie rozpoznawalnej niewiarygodności Narzędzi Zgody jest natury technicznej.

Wyobraźmy sobie, że strona internetowa ładuje Mapy Google. Załóżmy, że skrypt mapy nie ustawia własnych plików cookie, ale ładuje pliki z adresu google.com.

Teraz skaner plików cookies przegląda stronę, na której umieszczono mapę. Do tego celu simuluje skaner działanie przeglądarki. Ta przeglądarka jest identyczna z tą, która została po raz pierwszy odwiedzona. W przeglądarce nie są przechowywane żadne pliki cookies. Przeglądarka jest dziewicza. Skaner nie wykrywa w tym przypadku plików cookies.

W rzeczywistości wygląda inaczej. Załóżmy, że odwiedzicie stronę google.com. Wtedy zostaną ustawione pliki cookies. Jest to faktycznie tak (stan na 03.02.2021). Spróbujcie to sprawdzić samodzielnie! Teraz odwiedźcie stronę, która łączy Google Maps. Ta strona teraz załadowuje pliki z google.com. Wtedy zostaną przesłane cookies zapisane na waszym urządzeniu do adresu, z którego zostały pobrane (google.com). Mapa będzie więc ładować cookies. Skaner cookies nie mógł ich rozpoznać!

Abyś mógł zrozumieć, musisz wiedzieć, że każdy użytkownik na całym świecie potencjalnie ma inne pliki cookies na swoim urządzeniu (komputerze, smartfonie, notebooku, tabletu). Nie jest możliwe, abyś je wszystkie poznał. O Google Tag Manager często mówi się, że jest to domena bez plików cookie. To jest bzdura. Znajdziesz poniżej link do artykułu "Bullshit Basics" od mnie, który udowadnia przeciwność. Na moim urządzeniu są prawdopodobnie pliki cookies dla domeny googletagmanager.com i są one przenoszone na każdej stronie, która używa Tag Managera. Jest to obowiązkowy proces zgody.

Więcej informacji o plikach cookies znajdziesz w moim artykule podstawowym .

3. Brak wiedzy o świecie

Załóżmy, że poprzedni punkt został rozwiązany, tj. że skaner plików cookie znałby wszystkie pliki cookie na świecie według nazwy i zawartości. Tak oczywiście nie jest, co przyznasz mi bez dłuższego zastanawiania się.

Teraz musiałby Cookie Scanner wiedzieć cel każdego pojedynczego pliku cookie. Skąd bierze on to wiedzenie? Rozważmy, że oferujecie newsletter. Poza wami nikt nie wie, kto napisał ostatnią wiadomość z newslettera. Następnie odbiorca wiadomości z newslettera powinien wyjaśnić, kto ją napisał. Wydaje się to niemożliwe bez Waszych informacji wspomagających.

Dokładnie tak samo jest w przypadku plików cookie: jeśli dostawca narzędzia, które wykorzystuje określone pliki cookie, nie ujawnia niczego na temat celów plików cookie, strona trzecia nie może złożyć oświadczenia na temat celów tych plików cookie.

Artykuł 13 RODO zmusza jednak do wyjaśnienia celów plików cookie. To nikt nie może zrobić, oprócz samego dostawcy plików cookie. W przypadku narzędzi Google często można stwierdzić, że dostawca, czyli koncern Google, nie czyni żadnych lub nieprecyzyjnych oświadczeń dotyczących celu cookies Google.

Prawie wszystkie wyjaśnienia dotyczące plików cookie stron trzecich, które można znaleźć w polityce prywatności lub w formularzach zgody, są wymyślone lub przypuszczalne. Google wyjaśnia na przykład plik cookie NID:

Plik cookie NID zawiera unikalny identyfikator, którego używamy do przechowywania preferowanych ustawień i innych informacji, takich jak preferowany język, liczba wyników wyszukiwania wyświetlanych na stronie (np. 10 lub 20) oraz czy filtr Google SafeSearch powinien zostać aktywowany.

Źródło: https://policies.google.com/technologies/cookies?hl=de

Tekst źródłowy: Das NID-Cookie wird nach meiner Untersuchung vorrangig dazu verwendet, um Nutzer eindeutig identifizieren zu können. So wird beispielsweise eine eindeutige Identifikation vergeben, nachdem Sie sich auf google.de angemeldet haben, um die Datenschutzbestimmungen nicht jedesmal neu bestätigen zu müssen. In der eben genannten Erklärung is zudem von anderen Informationen die Rede. Diese Aussage is Trudno pobić pod względem rozmycia obrazu und genügt den Anforderungen des Artikel 12 RODO nach transparenter und umfassender Information in keinster Weise. Tłumaczenie: Cookie NID jest według mojej analizy głównie używany do identyfikacji użytkowników w sposób jednoznaczny. Tak więc, np., po zalogowaniu się na google.de, przypisuje się unikalną identyfikację, aby nie musiało się każdorazowo potwierdzać warunków ochrony danych osobowych. W tej samej wyjaśnieniu mowa jest również o innych informacjach. Ta deklaracja jest bardzo niejasna i w żaden sposób nie spełnia wymagań [5]Art. 12 RODO[6] dotyczących przejrzystości i kompleksowości informacji.

Wiele innych plików cookie nie zawiera żadnej informacji, a mimo to można znaleźć informacje od innych stron. Oświadczenie, o którym mowa w nagłówku tego artykułu, można spotkać często. Nie udało mi się znaleźć go na stronach korporacyjnych Google. Bez względu na to, oświadczenie jest niejasne i zatem nieważne.

Wszystko, co dotyczy plików cookies, odnosi się również do usług (narzędzi). Pliki cookies są tworzone i zarządzane przez usługi i nie powstają przypadkowo. Tak samo jak w przypadku plików cookies, dla usług należy wyjaśnić ich cel. Tylko dostawca usługi wie dokładnie, jakie dane są przetwarzane, gdzie są one zbierane i do kogo są wysyłane.

Dodatkowo do celów tych samych należy jeszcze podać informacje o plikach cookies. Do tego należy dodać informację o dostawcy. Czy wiecie, kiedy "Google" mówi "Google", kiedy w wielu oświadczeniach dotyczących prywatności i warunkach korzystania z usług "Google" wspomina o sobie? Proszę, powiedzcie mi to. Pod tym wpisem znajduje się pole komentarzy. Oczywiście administrator strony musi być w stanie dostarczyć tę informację dla wszystkich używanych przez nią usług.

4. Cookies jako główny motyw

Nieprzypadkowo wiele narzędzi do uzyskiwania zgody są określane jako bloker plików cookie lub podobne. Pliki cookies to tylko jeden z wielu powodów, dla których należy poprosić użytkownika o jego zgodę. Podstawą prawnym jest tu Dyrektywa ochrony danych osobowych w ramach komunikacji elektronicznej, dokładnie mianowicie Artykuł 5 Abecadło 3 tej dyrektywy.

Innym powodem zgody jest zasadę Danych minimalizacji. W praktyce oznacza to: jeśli strona internetowa będzie używać Google Schrift, aby załadować pisma z serwera Google, potrzebna jest zgoda. Faktycznie, wtedy nie można by było używać pisma. Rozwiązaniem byłoby przechowanie pisma lokalnie i załadowanie go z własnego serwera. Z moimi informacjami nie wiem, czy istnieje możliwość zawarcia ważnej umowy o ochronie danych osobowych (DPA), która mogłaby usprawiedliwić włączenie do strony internetowej Google Schrift bez zgody użytkownika.

Nie mniej elastyczne jest to przy załadowaniu wideo z YouTube:

• Wiele plików jest ładowanych z domen youtube-nocookie.com, ytimg.com i ggpht.com.
• Napisy Google są ładowane z domeny gstatic.com.
• Pobierany jest przez domenę doubleclick.net.
• Youtube wysyła po załadowaniu strony dane do serwera Google.
• DoubleClick wysyła w nieokreślonych odstępach czasu dane na serwer Google.

Każdy będzie musiał przyznać, że jest to transfer danych, którego można uniknąć. Uzasadniony interes jest zatem w tym przypadku wykluczony.

Po wyroku TSUE dotyczącym Privacy Shield, prawdopodobnie rozprzestrzeniło się przekonanie, że transfer danych do USA i inne niepewne państwa trzecie nie może być zabezpieczony nawet przy pomocy standardowych klauzul umownych lub Reguł wiążących korporacje.

Rozwiązania związane z zgodą na pliki cookies często prosią tylko o zgoda na pliki cookies. Jednak użytkownik powinien wyrazić zgodę na służenie. Google Analytics np. ustawia w wielu konfiguracjach trzy pliki cookies. Nie ma sensu prosić o zgoda na te trzy pliki cookies. Poprawnie byłoby poprosić o zgodę na wykorzystanie Google Analytics. Wtedy wyjaśnia się, że używa on trzech plików cookies. Szczegółowa informacja może następnie wystąpić na niższej poziomie.

To zdjęcie przedstawia trzy pliki cookies, które są przypisane do Google Tag Managera. Ta przypisanie jest błędne. Zarządzający tagiem został tutaj wymieniony jako dostawca, a nie jako usługa. Brakuje rzeczywistej nazwy dostawcy. Przypisanie jest błędne, ponieważ zarządzający tagiem tuneluje inne usługi i tym samym również ich zarządzane pliki cookies.

W każdym razie nigdzie nie ma zapytania, czy użytkownik akceptuje Google Analytics, czy nie. W przypadku tego narzędzia cel nie jest podawany w zapytaniu o zgodę. Świadoma zgoda nie jest zatem możliwa. Błąd w centrowaniu plików cookie jest szczególnie widoczny w osadzonych filmach na YouTube. Każdy, kto wyjaśnia pliki cookie, które są ustawiane, gdy powiązany skrypt YouTube jest zintegrowany, nie wyjaśnił celu skryptu YouTube. Można to bardzo dobrze wykazać, ponieważ skrypt YouTube można również załadować bez plików cookie.

5. Brak podejścia do ochrony danych

Większości znane jest, że obok zapytania o zgodę na przetwarzanie danych również istotne są informacje dotyczące ochrony prywatności. Wiele osób myśli także o certyfikacie SSL, zwłaszcza, że często jest on zawarty w ofercie usług hostingowych. Niektórzy zapominają o przekierowaniu strony internetowej bez https na wersję z szyfrowaniem SSL.

Link do polityki prywatności nie jest dostępny na każdej stronie głównej w znacznej liczbie witryn, szacuję, że jest to 75%.

Wiele osób nadal osadza filmy z YouTube w taki sposób, że pliki cookie wchodzą w grę. Nie musi tak być, ponieważ środek zaradczy jest prosty.

Wszystkie te i inne punkty nie są brane pod uwagę przez Consent Tools, ale są ważne ze względów prawnych.

Dodatkowo: 5+1: anulowanie rezerwacji często niemożliwe

Techniczne pliki cookie stron trzecich to pliki cookie, które istnieją w domenie dostawcy narzędzi, która nie jest taka sama jak odwiedzana strona internetowa. Operator witryny nie ma technicznej kontroli nad domeną strony trzeciej. Oznacza to, że pliki cookie w tej domenie mogą zostać usunięte (anulowanie przez odwiedzającego witrynę!) tylko wtedy, gdy dostawca narzędzia oferuje do tego interfejs. Taki interfejs często nie istnieje. Cofnięcie jest zatem obiektywnie niemożliwe. Jeśli, wyjątkowo, interfejs anulowania jest oferowany przez dostawcę narzędzia, musiałby on zostać wyraźnie wywołany przez administratora (operatora strony internetowej). Niestety, zdarza się to tak rzadko w nielicznych możliwych przypadkach, że nie ma potrzeby tego omawiać.

Przykład: wtyczka YouTube Video (prawdopodobnie bez plików cookies z domeną youtube-nocookie.com). Wtyczka ta ustawia cookie o nazwie CONSENT, które może być usunięte tylko przez samego dostawcę YouTube. Nie wiem, czy YouTube oferuje jakąś konsolę do tego celu. Zatem wtyczka YouTube Video nie może być prawidłowo używana, ponieważ odwołanie zgodnie z art. 7 ust. 3 RODO jest niemożliwe. To, że gracz YouTube wymaga zgody, ma inne przyczyny oprócz plików cookies. ([1])

Wynik

Zgodnie z zapowiedzią na początku, byłem w stanie pokazać i udowodnić, co następuje:

• Nie można w niezawodny sposób zapobiec procesowi ładowania narzędzi wymagających zgody
• Narzędzia, które nie używają plików cookie, nie mogą być niezawodnie rozpoznawane przez automatyczny system. Żadne ze znanych mi narzędzi do wyrażania zgody nie podejmuje tutaj żadnej znaczącej próby, prawdopodobnie z obawy przed zablokowaniem pliku, który jest funkcjonalnie ważny dla strony internetowej
• Na urządzeniu końcowym każdego użytkownika przechowywane są różne pliki cookie. Żaden z powszechnie używanych skanerów plików cookie nie może dowiedzieć się, które to są pliki cookie. Pliki cookie nie mogą być niezawodnie rozpoznawane, a zatem nie mogą być obsługiwane w sposób bezpieczny pod względem prawnym
• Cele usług i plików cookie nie są prawnie znane w przypadku najpopularniejszych narzędzi
• Skupienie się na plikach cookie w zapytaniu o zgodę jest błędne
• Oprócz kwestii zgody istnieje wiele innych przepisów dotyczących stron internetowych

Moja rekomendacja: unikaj zapytań o zgody jak najbardziej. Oto krótkie wyjaśnienie (szczegóły znajdziesz w moich innych wpisach):

• Pomijanie narzędzi, które nie są naprawdę potrzebne
• Zastąp narzędzia takie jak Google Maps i inne alternatywami
  • Mapy Google: Przycisk "Route planen"
  • Google Analytics: Matomo
  • Wideo YouTube lub Vimeo: lokalne wideo lub obraz podglądu z przejściem do platformy wideo
  • Google reCAPTCHA: Inne rozwiązanie, takie jak wtyczka WordPress dla Contact Form 7

Również interesujące

• Lista kontrolna dla wyskakujących okienek cookie
• Ciastkowica: Próbowanie praktycznych rozwiązań dotyczących zgody
• Alternatywa dla Narzędzi Google
• Podstawy Bzdur: Cookies nie są plikami tekstowymi
• Podstawy Bzdur: Der Google Tag Manager używa sam cookies