Varför fungerar samtyckestillägsverktyg ofta inte på ett tillförlitligt sätt?

Consent Tools kan inte alltid förhindra att andra skript, som Google Maps eller Google Fonts, laddas ner på grund av hur moderna webbläsare laddar filer samtidigt. Laddningarna kan inte alltid avbrytas i tid.

Vilken är den främsta orsaken till att cookie-skannrar är opålitliga?

Cookie-skannrar är ofta otillräckliga eftersom de inte är i stånd att upptäcka alla relevanta cookies, särskilt när dessa sätts av andra tjänster som YouTube eller Google Maps. Upptäckt sker ofta endast baserat på cookies som sätts direkt av webbplatsen.

Varför är samtidiga körningar av webbläsar-skript ett problem för samtyck verktyg?

Moderna webbläsare laddar flera skript samtidigt, vilket innebär att samtyckstjänster ofta kommer för sent för att avbryta nedladdningarna innan de börjar. Detta leder till oförutsägbart beteende och fel i verktygen.

Varför är cookie-popups ofta inte hjälpsamma?

Cookie-popups är ofta inte hjälpsamma eftersom många förklaringar om syftet med kakor, särskilt från stora företag som Google, är felaktiga, misslyckade eller till och med påhittade. Det finns brist på transparent information om den faktiska databehandlingen.

Vilken juridisk grund ligger till grund för att inhämta samtycke till cookies?

Samtycke för användning av cookies inhämtas enligt ePrivacy-förordningen, särskilt artikel 5 stycke 3. Detta säkerställer att användare har kontroll över sina data och uttryckligen samtycker till hur deras information används.

Varför fungerar samtyckesfrågor ofta inte korrekt?

Samtyckeförfrågor misslyckas ofta eftersom de inte tydligt förklarar syftet med de verktyg som används, som Google Analytics eller YouTube, och inte informerar användaren om datainsamlingen. Dessutom stöds ofta återkallelse av tredjepartskakor inte.

Vilket problem uppstår med tekniska tredjepartskakor?

Tekniska tredjepartscookies kan inte kontrolleras eller avaktas av webbplatsägaren eftersom de ligger på domäner som tillhör tredje part. Detta innebär att användaren inte har någon direkt kontroll över datainsamlingen.

Varför är det inte alltid en lösning att bara ta bort verktyg som Google Maps?

Att helt enkelt ta bort onödiga verktyg är inte alltid en förenlig lösning med lagen, eftersom verktyg som Google Maps till exempel kan sätta cookies som inte kontrolleras av webbplatsägaren och därmed kan vara i strid med GDPR.

Popup-fönster med Cookies: fem skäl till varför de inte fungerar

På många webbplatser irriteras besökarna av popup-fönster med Cookies. De är inte bara irriterande, de är också opålitliga och genererar därmed massor av lagöverträdelser. Den här artikeln visar att samtyckesverktyg i sig själva är opålitliga.

Inledning

Om en webbplats kopplar upp ett tjänst som Google Analytics måste den tjänsten först läsas in efter besökarens samtycke till webbplatsen. Rättslig grund är ePrivacy-förordningen, åtminstone när det gäller Cookies. Ytterligare skäl för ett samtyckeskrav ges av Artikel 5 GDPR (dataminimering) och artikel 44ff GDPR (överföring av data till osäkra tredjeländer).

En samtyckesförfrågan på webbplatser kallas ofta också för cookie-popup, cookie-blockerare, samtyckesverktyg eller samtyckespopup. Plattformar för samtyckeshantering kallas också ofta för.

Denna artikel visar att marknadsföringslöften från många leverantörer av Consent Tools är ohållbara. I praktiken förvärrar Consent Tools webbplatser ofta. Följden är en mängd rättsliga brister. Det har jag visat i min stora praktiska test av cookie blockerare.

I detta inlägg får du veta varför Verktyg för samtycke till cookies objektivt och allmänt aldrig kan fungera tillförlitigt, om man litar på deras automatik eller använder vanliga verktyg från Google, Facebook, Vimeo osv. Men det finns också en alltid närvarande o Tillförlitlighet, eftersom cookies kan komma in i ett enhet på många sätt (det handlar om detta i den ePrivacy-förordningen).

Anledningar till att cookieblockerare inte är tillförlitliga

Jag kommer att nämna fem skäl som objektivt gäller och är allmänt bevisbara. Det är viktigt för mig att du förstår detta. De fem skälen baseras på hårda, oemotsägliga fakta.

1. Blockering av cookies

Den första anledningen, varför Cookie Blocker inte kan fungera pålitligt, är rent tekniskt. Funktionssättet hos ett Consent Script, som många tillverkare försöker ge intryck av genom sina annonser, är så här:

Consent Script integreras på varje sida på en webbplats så att det laddas före alla andra skript och filer.
Samtyckesskriptet identifierar alla processer som kräver samtycke och blockerar dem tills användaren har gett sitt samtycke

Praktiken ser ut på annat sätt. Moderne webbläsare laddar upp flera filer nästan samtidigt. Detta händer främst när filerna hämtas från olika servrar. När till exempel Google Maps, Google Skrift och ett Consent Tool Script infogas på en webbplats sker ungefär följande:

Laddningsprocessen för samtyckesmanuset inleds
Laddningsprocessen för det Google Maps-skriptet börjar
Laddningsprocessen för Google Fonts börjar
Vid någon tidpunkt före eller efter punkt 2 eller 3 har samtyckesskriptet avslutat laddningen. Först då kan Consent Script försöka avbryta de efterföljande laddningsprocesserna. Detta fungerar endast för laddningsprocesser som ännu inte har startat

Det är inte möjligt att förutse om samtyckesskriptet kommer att laddas tillräckligt snabbt för att vara fullt laddat och redo att fungera innan Google Maps eller Google Fonts börjar laddas. I praktiken kan det ses tusentals gånger att det önskade avbrottet i laddningsprocesserna inte fungerar.

Samtyckesverktyg kan inte på ett tillförlitligt sätt förhindra laddningsprocesser för webbplatsverktyg
För att på ett tillförlitligt sätt förhindra laddningsprocesser skulle webbplatsen behöva anpassas avsevärt

Jag har medvetet inkluderat Googles typsnitt i exemplet eftersom de förmodligen inte själva sätter några cookies. Det är uppenbart att laddningen av Googles typsnitt på webbplatser inte förhindras av samtyckesverktyg. Anledningen till detta förklaras nedan.

2. Scanner för Cookies

Som namnet Cookie Blocker eller Cookie Consent redan säger, fokuserar många Consent-verktyg på att blockera cookies. Funktionssättet för sådana blockerare är som följer:

En cookie-scanner körs genom en webbplats
Varje sida som finns på webbplatsen kontrolleras för att se om cookies har ställts in
De lastningsprocesser som cookies kan hänföras till är följande
Om webbplatsen besöks senare försöker det integrerade samtyckesskriptet nu förhindra alla laddningsprocesser som tidigare identifierats som involverande cookies tills samtycke ges

Det här förfarandet fungerar inte för Google Skrift och heller inte för det inbyggda YouTube videoklippet med utökade integritetsinställningar. Det senare innebär att inga YouTube-cookies skapas alls. Som jag visat i en egen artikel, är datapolitiken hos YouTube så omfattande att den ensam ger upphov till ett samtyckeskrav enligt artikeln 5 i GDPR. Dessutom kunde man ytterligare anföra överföringen av data till osäkra tredjeländer som argument. ([1])

Det är inte möjligt att på ett heltäckande sätt känna igen relevanta cookies. Fokus på cookies är ofullständigt.
Kritik mot cookie-baserade skannrar

Ett annat skäl till att samtyckesverktygen objektivt sett inte är tillförlitliga är av teknisk natur.

Tänk dig att en webbplats laddar Google Maps. Låt oss anta att kartskriptet inte ställer in sina egna cookies, utan laddar filer från adressen google.com.

En cookie-scanner går nu igenom webbsidan där kartan är inkopplad. Till detta simulerar skannern en webbläsare. Denna webbläsare motsvarar en som först och främst har blivit påkallad. I webbläsaren finns således ännu inga Cookies sparade. Webbläsaren är jungfrulig. Skannern upptäcker i detta fall ingen Cookies.

I verkligheten ser det annorlunda ut. Antag att du besöker webbplatsen google.com. Där sätts cookies. Det är faktiskt så (Stå: 03.02.2021). Försök det själv! Nu besöker du en webbplats som Google Maps innehåller. Den laddar nu filer från google.com. Därmed överförs cookies, som lagrats på din enhet, till den anropande adressen (google.com) vid hämtningen av filerna från google.com. Kartan laddar alltså cookies. Cookie-scannern kunde inte identifiera dessa cookies!

För att förstå detta måste man veta att varje användare i världen potentiellt har lagrat andra cookies på sin enhet (dator, mobiltelefon, bärbar dator, surfplatta). Det är omöjligt att känna till alla dessa. Till Google Tag Manager förklaras ofta att det är en cookiefri domän. Det är nonsens. Du hittar nedanför en länk till ett artikel av mig på Bullshit Basics där jag visar beviset för motsatsen. På min enhet finns väl cookies för domänen googletagmanager.com och dessa överförs till varje webbplats som använder Tag Manager. Detta är en åtgärd som kräver samtycke.

Ytterligare information om Cookies hittar du i min grundartikel.

3. Brist på kunskap om världen

Låt oss anta att den föregående punkten hade lösts, dvs. att en cookie-scanner skulle känna till alla cookies i världen till namn och innehåll. Detta är naturligtvis inte fallet, vilket du kommer att erkänna för mig utan att behöva tänka på det länge.

Nu måste cookie-scannern veta till vilket ändamål varje enskilt cookie är tillgänglig. Varifrån kommer detta kunskap? Låt oss anta att ni erbjuder en nyhetsbrev. Utom er vet ingen vem som skrivit den senaste nyhetsbreven-mailen. Nu ska mottagaren av nyhetsbreven-mail förklara vem som skrivit denna mail. Tydligen är det inte möjligt utan era stödjande uppgifter.

Det är exakt samma sak med cookies: om leverantören av ett verktyg som använder vissa cookies inte avslöjar något om syftet med cookies, är det inte möjligt för en tredje part att göra ett uttalande om syftet med dessa cookies.

Artikel 13 GDPR tvingar dock till att förklara syftet med Cookies. Det är ingen som kan göra detta, utom den leverantör av kakorna själv. För Google-verktygen är det ofta möjligt att se att leverantören, nämligen koncernen Google, inte gör några eller inga precisa uttalande om syftet med Googles Cookies.

Nästan alla förklaringar som du hittar om tredjepartscookies i integritetspolicyer eller på samtyckesformulär är påhittade eller hypotetiska. Google förklarar till exempel NID-cookien:

NID-cookien innehåller ett unikt ID som vi använder för att lagra dina önskade inställningar och annan information, t.ex. vilket språk du föredrar, hur många sökresultat som ska visas per sida (t.ex. 10 eller 20) och om Google SafeSearch-filtret ska aktiveras.
Source: https://policies.google.com/technologies/cookies?hl=de

Das NID-Cookie används enligt min undersökning främst för att kunna identifiera användare unikt. Så får till exempel en unik identifikation efter att du har loggat in på google.de, så att du inte behöver bekräfta dataskyddsbestämmelserna varje gång. I den nämnda förklaringen talas också om andra uppgifter. Denna uttalande är nästan obeskrivligt vag och uppfyller inte kraven i artikel 12 GDPR efter transparent och omfattande information på något sätt.

Till många andra Cookies ger Google inga uppgifter, trots det hittar man dock uppgifter från tredje part här. Den i titelbilden av den här artikeln nämnda påståendet kan man läsa igenom gång på gång. Jag kunde inte hitta det på webbplatserna för Google-koncernen. Oavsett detta är påståendet otydligt och därmed ogiltigt.

Allt som sagt om cookies gäller också för Tjänster (verktyg). Cookies skapas och hanteras av tjänster och uppstår inte bara så plötsligt. Även för tjänster måste deras syfte förklaras. Här vet bara leverantören av en tjänst om de exakta datahanteringen, platserna för datinsamling och mottagare av data.

Det lagstadgade angivandet av syftena med cookies är inte på allvar möjligt för cookies från de flesta kända verktyg
Objektiv bestämning för cookieändamål baserad på logisk härledning

Utöver syftena ska ytterligare uppgifter lämnas om Cookies. Till detta hör leverantörshänvisning. Vet ni, när "Google" menar "Google", när "Google" i flera dataskyddsinformationer och användningsvillkor från "Google" talar? Väldigt gärna vill jag att ni ska berätta det för mig. Under detta inlägg finns ett kommentarsfält. Naturligtvis måste ansvarshavaren på en webbplats kunna lämna denna information för alla tjänster som används.

4. Cookies som centralt motiv

Inga tillfälligheter att många Consent-verktyg kallas för Cookie Blocker eller liknande. Cookies är bara en av flera anledningar till att man måste begära användarens samtycke. Rättslig grund för detta är den ePrivacy-direktivet, mer specifikt, artikel 5 § 3 av denna direktiv. ([1])

En ytterligare anledning till en samtyckeshandling är principen för Minimering av data. I praktiken innebär det att: Binda en webbsida till Google Skrift så att skriften hämtas från ett Google-server, kräver det en samtyckeshandling. Faktiskt kunde skriften inte användas. Lösningen skulle vara enkelt: Lagra skriften lokalt och ladda ner den från sin egen server. Med Google-koncernen kan man enligt min kunskap inte slutföra ett giltigt DPA som kan motivera att binda in externa Google-skript utan samtyckeshandling.

Det blir ännu mer platt när man laddar upp YouTube-videor:

Många filer laddas från domänerna youtube-nocookie.com, ytimg.com och ggpht.com.
Googles skriftar läses in från domänen gstatic.com.
Annonstextern DoubleClick spåras från domänen doubleclick.net.
Youtube skickar efter att sidan har laddats data till en Google-server.
DDoubleClick skickar i obegränsade intervaller data till en Google-server.

Alla måste erkänna att detta är en uppgiftsöverföring som skulle kunna undvikas. Det berättigade intresset är därför uteslutet här.

Efter Eu-domstolens dom om Privacy Shield borde det ha spritts ut att överföring av data till USA och andra osäkra tredjeländer inte kan säkerställas, även med hjälp av standardavtalsbestämmelser eller Corporate Binding Rules.

Kakozentrerade samtyckslösningar tycks fråga efter en samtycke för Cookies. Men användaren ska faktiskt in i tjänst samtycka. Google Analytics till exempel sätter in många konfigurationer tre Cookies. Det gör ingen mening att fråga efter ett samtycke för dessa tre Cookies. Rätt vore det att fråga efter ett samtycke för användningen av Google Analytics. Till denna tjänst förklaras då att den sätter in tre Cookies. Denna detaljinformation kan ske på en senare nivå.

Samtyckesförfrågan för Google Analytics på cookiebot.com/sv (från och med 2021-02-03)

Bilden visar tre Cookies som tillhör Google Tag Manager. Denna tillhörighet är felaktig. Tag Manager nämns här som leverantör, inte som tjänst. Den faktiska leverantörsnamnet saknas tydligt. Tillhörigheten är felaktig eftersom tag manager tunnlar in i andra tjänster och därmed även deras hanterade Cookies.

I vilket fall som helst ställs ingenstans en fråga om huruvida användaren accepterar Google Analytics eller inte. För det här verktyget anges inte syftet i samtyckesförfrågan. Informerat samtycke är därför inte möjligt. Felet i cookie-centreringen är särskilt tydligt när det gäller inbäddade YouTube-videor. Den som förklarar vilka cookies som sätts när det tillhörande YouTube-skriptet integreras har inte förklarat syftet med YouTube-skriptet. Detta framgår mycket väl av det faktum att YouTube-skriptet också kan laddas utan cookies.

5. Avsaknaden av en strategi för dataskydd

Många vet att det inte bara är viktigt med en samtyckesfråga, utan också med en dataskyddspolicy. Många tänker även på SSL-certifikatet, som ofta ingår i webbhotellstjänsten. När man kallar upp en sida utan https glömmer vissa att skicka över till den SSL-versionen.

Länken till integritetspolicyn finns inte på alla sidor på startsidan på ett stort antal webbplatser, jag uppskattar att det är 75%.

Många bäddar fortfarande in YouTube-videor på ett sådant sätt att cookies kommer in i bilden. Detta behöver inte vara fallet, eftersom lösningen är enkel.

Alla dessa punkter och mer därtill beaktas inte av Consent Tools, men är viktiga av juridiska skäl.

Extra: 5+1: avbokning ofta inte möjlig

Tekniska tredjepartscookies är cookies som finns i en domän som tillhör en verktygsleverantör som inte är densamma som den besökta webbplatsen. Webbplatsoperatören har ingen teknisk kontroll över tredjepartsdomänen. Detta innebär att cookies i denna domän endast kan raderas (avbrytas av besökaren på en webbplats!) Om verktygsleverantören erbjuder ett gränssnitt för detta. Detta gränssnitt finns ofta inte. Återkallelse är därför objektivt sett inte möjlig. Om verktygsleverantören i undantagsfall skulle erbjuda ett gränssnitt för radering, måste den personuppgiftsansvarige (webbplatsoperatören) uttryckligen anropa detta gränssnitt. Tyvärr sker detta så sällan i de få möjliga fallen att det knappast behöver diskuteras.

Exempel: YouTube-videoplugget (uppgiftsvis utan Cookies med domänen youtube-nocookie.com). Plugget sätter trots namnet på domänen ett Cookies kallat CONSENT. Detta Cookies kan bara av YouTube själva raderas. Såvitt jag vet erbjuder YouTube inte någon gränssnitt för detta. Därmed kan det YouTube-videoplugget inte användas enligt lag, eftersom återkallandet enligt Artikel 7 § 3 GDPR inte är möjligt. Att den YouTube-spelaren kräver samtycke har flera orsaker utöver kakorna.

Sammandrag

Som meddelades inledningsvis kunde jag visa och bevisa följande:

Laddningsprocessen för verktyg som kräver samtycke kan inte förhindras på ett tillförlitligt sätt
Verktyg som inte använder cookies kan inte identifieras på ett tillförlitligt sätt av ett automatiskt system. Inget av de samtyckesverktyg jag känner till gör något större försök här, förmodligen av rädsla för att blockera en fil som är funktionellt viktig för webbplatsen
Var och en av er har olika cookies lagrade på er slutenhet. Ingen av de cookie-scanners som används i stor utsträckning kan ta reda på vilka cookies det handlar omCookies kan inte identifieras på ett tillförlitligt sätt och kan därför inte hanteras på ett rättssäkert sätt
Syftet med tjänster och cookies är inte juridiskt känt för de mest populära verktygen
Det är fel att fokusera på cookies i samtyckesförfrågan
Det finns många andra regler för webbplatser utöver frågan om samtycke

Min rekommendation: undvika samtyckesfrågor så mycket som möjligt. Här en kort hjälp (det är mer detaljerat beskrivet i mina andra inlägg):

Utelämnande av verktyg som egentligen inte behövs
Ersätt verktyg som Google Maps och andra med alternativ
- Google Maps: Knapp "Route planen"
- Google Analytics: Matomo
- YouTube- eller Vimeo-video: lokal video eller förhandsgranskningsbild med hopp till videoplattform
- Google reCAPTCHA: Annan lösning, t.ex. WordPress plugin för Contact Form 7