Cookiegeddon: El fracaso de todas las herramientas de consentimiento

Un amplio test de práctica de herramientas de consentimiento populares para sitios web con resultados del test. De mi se han revisado las disposiciones técnicas y legales de la RGPD. Para ello se han probado sitios web que utilizan herramientas de consentimiento.

Todas las webs probadas, que utilizan un herramienta de consentimiento popular, presentan *deficiencias graves.

Resultado del test, en relación con las páginas web probadas que utilizan un herramienta de consentimiento. Hasta el 31.12.2020

Ninguna de las páginas web probadas mostró un comportamiento amigable con la protección de datos. Todas las páginas web probadas no pudieron lograr la conformidad con la RGPD mediante el uso de los herramientas de consentimiento implementadas. Incluso sitios web de proveedores de herramientas de consentimiento están entre los ejemplos negativos.

Posibles razones para este resultado:

• Las herramientas de consentimiento son inadecuadas para implementar las disposiciones de la RGPD
• Muchos proveedores de herramientas de consentimiento *parecen no conocer las reglas de protección de datos relevantes
• El simple incorporar de un script de consentimiento es *objetivamente insuficiente
• Los propietarios de las páginas web confían demasiado en las herramientas de consentimiento y no se preocupan más por las reglas de protección de datos

Hechos Fáciles en Resumen:

• Algunas normativas están ya enmendadas en leyes pertinentes y no requieren aclaración posterior por medio de sentencias. Ejemplos: Aviso de revocación allí donde se pregunta una autorización (Artículo 7, apartado 3 RGPD); Mención de riesgos en transferencias de datos a países terceros inseguros (Artículo 44 RGPD)
• Las sentencias como la del Tribunal de Justicia de la Unión Europea sobre cookies establecen que se deben nombrar los fines y duración de funcionamiento de los cookies (Artículo 13 RGPD).
• Una autorización debe ser voluntaria. El sentido común dice que la voluntariedad implica que la negativa debe ser tan fácil como una autorización. Regularmente se establece esto también en sentencias. La Directiva de privacidad del usuario establece lo mismo. Se aplica, por ejemplo, a Google Analytics, como se puede demostrar con claridad.
• Los proveedores de servicios utilizados deben ser nombrados. Esto se encuentra en la ley y también en sentencias. Un proveedor solo es nombrado cuando se nombra su firmación, dirección y país del asiento social.
• Los procesos de tratamiento de datos realizados incluyendo los servicios utilizados deben ser explicados (véase por ejemplo el artículo 13 del RGPD).
• El propósito de los cookies gestionados por servicios terceros solo lo conocen estos terceros. A menudo, lamentablemente, estos terceros no proporcionan información sobre el propósito de estos cookies. Por tanto, una mención adecuada del propósito por parte del usuario de un herramienta de terceros es simplemente imposible.
• Para la intransparencia de las informaciones sobre protección de datos, como las que ofrece el conglomerado Google, es responsable (en primer lugar) el titular de una página web que utilice un herramienta de Google.
• No es posible un manejo de cookies legalmente seguro*. Mi artículo de fondo menciona cinco razones por eso.
• Actualización de junio 2021: Google admite que todos los datos de análisis de Google Analytics se procesan siempre en EE.UU.. Esto no fue tenido en cuenta en mis pruebas, pero lleva a conclusiones aún más claras.

Si el titular de alguna de las páginas mencionadas cree que ha corregido algo, por favor hágamelo saber. Entonces, en este artículo publicaré una actualización.

A nadie se le ocurrió a Mir un sitio web que utilizara una herramienta de consentimiento popular y varios servicios obligatorios que fueran conformes con la RGPD.

Mi apuesta de 100 euros que nunca llegó a ser cobrada.

Algunos argumentan que con las configuraciones de algunas herramientas de consentimiento se puede regular todo. Eso es obviamente falso o no se aplica en la práctica, lo que lleva a lo mismo. Quien se tome el tiempo de leerse las condiciones legales y de uso de las herramientas de Google, fácilmente reconocerá dónde parte del problema está.

Introducción

Se entienden como herramientas de consentimiento los medios auxiliares con los que se puede obtener la autorización del visitante de una página web para procesos de tratamiento de datos antes de que ocurra un proceso de tratamiento de datos que de otra manera sería ilegal. A menudo se habla falsamente de consentimientos de cookies, aunque también hay otros procesos de tratamiento de datos obligatorios por consentimiento además de las cookies.

Se han probado páginas web que utilizan las siguientes soluciones de consentimiento llamadas así:

• Borlabs Cookie
• CCM19
• Administrador de consentimiento
• Cookiebot (ver sentencia del Tribunal Administrativo de Wiesbaden, que declaró ilegal a Cookiebot)
• ¡Claro!
• Privacidad de OneTrust / Optanon / Ley de Cookies
• Usercentrics (desde el 01.09.2021 en funcionamiento con Cookiebot)

Páginas web que utilizan herramientas de consentimiento (siete páginas web adicionales no se mencionan por nombre):

De estas 24 páginas web más las siete adicionales se testearon un total de 20 páginas web. Debo decir que una breve revisión de las páginas no oficialmente probadas no permitió gran alegría por la buena implementación de las normas de protección de datos pertinentes. Tampoco después de la publicación de este artículo, al examinar adicionalmente otras páginas web se dibujó el mismo cuadro. Esto también es válido a partir de agosto de 2021.

Todas las Herramientas de Consentimiento parecen generar basura en sitios web!

Conclusión de mis resultados del examen

El resultado del test demuestra que incluso a grandes empresas no les va bien en mantener *verbindliche Datenschutzgesetze.

Las siguientes páginas web que utilizan un Consent Tool requieren al menos un clic más, para oponerse a procesos obligatorios de consentimiento que para acceder a ellos (Hasta el 30.12.2020):

• adac.de
• commerzbank.de
• digitalehelden.de
• euronics.de
• ffh.de
• haendlerbund.de
• heise-regioconcept.de
• hertie.de
• kia.com
• springer.com

Aparentemente, los propietarios de estas páginas web consideran que es más importante obtener datos de los usuarios que ofrecer una simple opción para oponerse a la recopilación de datos con consentimiento. Esto, según mi opinión, es claramente ilegal. Lo mismo piensa el Tribunal Superior de Rostock. Spoiler: El Tribunal de Justicia de la Unión Europea y el Tribunal Federal de Alemania emiten regularmente sentencias a favor del consumidor.

Este artículo en línea es un extracto de un documento PDF aún más extenso, donde se mencionan más capturas de pantalla y pruebas.

Pruebas de prueba

Se han probado páginas web que utilizan uno de los herramientas de consentimiento más populares*. Se decidió qué herramientas son populares de manera subjetiva. En este proceso se tuvo en cuenta la experiencia de más de 1000 páginas web revisadas. Asimismo, se incluyó Klaro! en el test porque es abierto y el proveedor proviene de Alemania. Algunas otras soluciones de código abierto** no han sido desarrolladas durante algún tiempo y por lo tanto no fueron consideradas.

Las pruebas se realizaron en el período del 08.12.2020 al 31.12.2020. Como puedo comprobar diariamente, los resultados tampoco han perdido actualidad en agosto de 2021.

Las páginas web mencionadas fueron investigadas tanto manualmente como con la ayuda de mis propios herramientas. La herramienta escanea la página web correspondiente y lee solo algunas subpáginas para el test, sin leer todo el contenido. En este proceso se detectan las herramientas y archivos cargados sin autorización y los cookies establecidos sin autorización.

Los resultados obtenidos de manera automática fueron verificados manualmente. En particular, se revisaron los siguientes criterios de manera manual.

Criterios de prueba

Se han revisado los siguientes criterios desde la perspectiva de un ciudadano de habla alemana que accede a una página web con buena voluntad:

• Consentimiento o rechazo voluntarios
• Carga de servicios sin autorización
• Descripción de los servicios utilizados
• Clasificación de los servicios utilizados
• Listado de proveedores de servicios
• Nomenclatura y descripción de los cookies utilizados
• Declaración de la transmisión de datos a terceros países
• Información sobre la posibilidad de retractar
• Posibilidad de retractación después del consentimiento
• Revolución de consentimiento

Ver también mi lista de comprobación para solicitudes de consentimiento en sitios web, en la que se mencionan algunas bases legales.

Resultados de la prueba

Las páginas web probadas se muestran siempre en orden alfabético sin valoración. Los resultados de las páginas web probadas se anonimizan con nombres de letras: Página A, página B, etc.

Bajo las páginas web probadas también se encuentran las de proveedores de herramientas de consentimiento, que utilizan su propia herramienta. Pues páginas web de proveedores, al igual que terceros usuarios del tool, presentan graves defectos en cuanto a la solución de consentimiento, por lo que puede suponerse que algunos proveedores no conocen suficientemente las bases legales o los tools ofrecidos son inadecuados para obtener una página web conforme a derecho.

Los siguientes resultados de prueba están agrupados según el Consent Tool.

Centros de Usuarios

Sitios web encontrados que utilizan UserCentrics:

• adac.de
• commerzbank.de
• usercentrics.com
• www-ag.com
• y otra (que posiblemente se llamará más adelante)

Se han probado y evaluado parte de estas páginas web.

Sitio web E

La ventana de consentimiento de la página web se ve así:

Después de hacer clic en "Información y configuración", aparece el siguiente popup:

Hallazgos

• No decisión voluntaria posible: rechazar no es tan sencillo como aceptar. Parece ilegal (vgl. sentencia del LG Rostock).
• Falta de explicación sobre los cookies utilizados: Muy incómodo para un herramienta que se utiliza como "Banner de Cookies" y que puede configurarse mediante la llamada a las "Configuraciones de Cookies", es el hecho de que tanto el banner de cookies como las configuraciones de cookies y la declaración de protección de datos no contienen ninguna información sobre los cookies utilizados por Google Analytics y otros servicios cargados en la página E.
• Cargado de herramientas sin consentimiento: Sin consentimiento se cargan Google Tag Manager, Vídeo de YouTube, DoubleClick, Google Universal Analytics, GA Audiences. Se solicita el consentimiento para Google Analytics. No se puede engañar más, para ser amable.
• La revocación no se ejecuta: La revocación de una autorización previamente otorgada no conlleva a la revocación. Como se estableció, aún después de la revocación, cookies obligatorias por consentimiento habían sido colocadas.
• Conceptos ambiguos: Un ciudadano normal y también un informático con título de doctorado tienen dificultades para entender exactamente la diferencia entre Tracking, Personalización y Marketing. En la sección de Tracking está incluido Google Analytics, que también es un instrumento de marketing. En la sección de Personalización está incluido Hotjar, un herramienta de seguimiento. Esto aparece cuando se hace clic en el nombre de categoría del herramienta de consentimiento. De manera similar, se menciona Google Optimize, una herramienta para pruebas A/B. Con esto se pretende optimizar los contenidos para grupos de destino individuales. Esto no puede ser entendido como personalización desde la perspectiva del usuario individual que visita una página web, sino más bien como una optimización publicitaria. Mucho más confuso y completamente fuera de cualquier comprensión es la clasificación de Google Analytics Estadísticas en la categoría Estadísticas y de Google Analytics en la categoría Tracking. El lugar donde está la diferencia entre Google Analytics Estadísticas y Google Analytics es completamente desconocido e incomprensible incluso para un experto. Un llamado a la función de ayuda al hacer clic en el signo de interrogación revela que este herramienta es un "servicio de análisis web y estadísticas [que] se utiliza para analizar el uso de las páginas web y medir la audiencia […]" y que utiliza "cookies" y "etiquetas de píxel". A Google Analytics se le dice que utiliza solo "cookies" como "tecnologías utilizadas", es decir, menos que para otra (?) herramienta que no requiere consentimiento. Se explica a Google Analytics que es un "servicio de análisis web", es decir, no también un servicio estadístico, como la otra (?) herramienta que no requiere consentimiento.
• Selección previa ilegal: En la sección Estadística se llama a Google Analytics Estadística. Esta herramienta está seleccionada por defecto (activada). Esto es según sentencia del TJUE sobre cookies ilegal, si se tiene en cuenta que ya antes de la autorización se han establecido cookies de Google Analytics. Además, se suma que un traspaso de datos a países terceros inseguros (como EE. UU.) sin previa autorización y sin garantías adecuadas es ilegal (ver sentencia del TJUE sobre el Privacy Shield así como un catálogo de criterios de noyb para una evaluación casuística de la legalidad de los traspasos de datos a EE. UU.).
• Clasificación falsa: En la sección Técnicamente necesario está incluido Google Tag Manager. Este herramienta sirve para el recarga dinámica de otras herramientas, por lo que no tiene función propia. Por supuesto, todos los instrumentos cargados indirectamente con Google Tag Manager también pueden ser cargados directamente.
• Explicaciones contradictorias: A Google Analytics estadísticas y a Google Analytics se les explica que el "lugar de tratamiento" es la "Unión Europea". Además, se explica que "Alphabet Inc." es uno de los receptores de datos. Como es bien sabido, la sede de Alphabet Inc. está en EE.UU., por lo tanto no en la Unión Europea. A Google Analytics estadísticas solo se menciona a "Alphabet Inc." como receptor de datos, mientras que a Google Analytics también se mencionan "Google LLC" y "Google Ireland Limited". Justificar esto sería prácticamente imposible. No queda claro por qué el "lugar de tratamiento" para el Google Tag Manager está marcado con "Estados Unidos de América" y para Google Analytics está marcado con la "Unión Europea". Esta afirmación se revela objetivamente como una tontería, ya que Google Analytics solo se carga a través del Google Tag Manager.
• Falta de indicación del proveedor: se mencionan a los receptores de datos con "Google LLC" u. otras. Se omite la indicación de la dirección. La indicación de la dirección se encuentra únicamente (al menos!) en el "empresas que procesan".
• Explicación dudosa de los servicios utilizados: El Google Tag Manager se describe de la siguiente manera: „Este es un sistema de gestión de etiquetas para administrar JavaScript y HTML, que se utiliza para implementar herramientas de seguimiento y análisis. No se procesan datos personales. El gerente de etiquetas es una dominio sin cookies y no recopila datos personales. Sin embargo, el Google Tag Manager puede activar otras etiquetas que pueden recopilar y procesar datos personales.“ Esta descripción es falsa en primer lugar porque ya se recopilan datos personales en forma de direcciones IP al acceder al Google Tag Manager. En segundo lugar, la descripción no es clara. Un ciudadano normal no sabe qué son etiquetas JavaScript. Además, no existe un término fijo de etiqueta JavaScript.
• Falta de información sobre la transmisión de datos a terceros países: Una información al respecto se encuentra en la solicitud de consentimiento de manera indirecta, mediante el nombre y la forma jurídica de las empresas, pero sin mencionar su dirección ni el país del asiento social. Ejemplo: Alphabet Inc.
• Falta de mención de información sobre cookies: Faltan las principales informaciones sobre casi todos los cookies utilizados, tanto en la solicitud de consentimiento de la página web E como en su declaración de protección de datos. No se encuentra una "Directiva de Cookies" separada, como algunas páginas web la ofrecen.
• Enlaces no clickeables: En la política de privacidad de la página web E, hay enlaces importantes, como el "Uso de datos por Google Inc.", que no son clickeables.

Página web F

La ventana de consentimiento de la página web se ve así:

Hallazgos:

• Reubicar la opción de rechazo: El botón de rechazar está etiquetado como "Ver y cambiar configuración de cookies" y visualmente se encuentra muy atrás en comparación con el botón de aceptar, lo que contradice la interpretación legal del LG Rostock (sentencia del 15.09.2020 – 3 O 762/19).
• Pregunta globalmente dudosa de consentimiento: A través de la ventana de consentimiento se obtiene un consentimiento no solo para la página F, sino también para otras páginas del propietario. Si esto es permitido es cuestionable. Además, en las otras páginas deberían solicitarse las mismas autorizaciones y siempre poder revocar las autorizaciones de las otras páginas.
• Carga ilegal de herramientas sin consentimiento: Se cargan Google Tag Manager, Google Fuentes, Google Anuncios,Vídeos de YouTube y DoubleClick. Para DoubleClick se solicita un consentimiento que no siempre es tenido en cuenta, como lo demuestra el análisis de la página web F. Al cargar Vídeos de YouTube sin consentimiento se establecen cookies de terceros con una duración de más de 18 años.
• La posibilidad de revocación no está disponible: La posibilidad de revocación puede ser llamada mediante un enlace en la barra inferior de la página web F. Sin embargo, este enlace no funciona si la página actualmente mostrada es la política de privacidad. Por lo tanto, técnicamente hablando, la posibilidad de revocación no está disponible.
• La revocación no se ejecuta completamente: Si se da de acuerdo con todos los procesos, el popup de consentimiento vuelve a aparecer y luego revoca todos los procesos, la página web no se recarga. Los servicios ya revocados siguen activos. Al menos un cookie obligatorio de un tercero que se haya establecido después del consentimiento sigue estando presente. Si se recarga manualmente la página web, al menos los servicios revocados ya no están activos, pero el mencionado cookie sigue estando presente.
• No funciona la opción de revocación para Google Analytics: Fuera del Consentimiento de Herramientas hay una supuesta posibilidad en la Declaración de Privacidad de desactivar la recopilación de datos por Google Analytics (a través de un botón Google Analytics desactivar). Al hacer clic en el botón verde, parece que no pasa nada, excepto que se muestra un texto de confirmación como popup. Un cookie, como sugiere la imagen, no se establece. Aparte de eso, un Cookie de Opt-Out es una posibilidad deniablemente mala para impedir la recopilación de datos por un servicio de terceros.
• Falta de explicación sobre los cookies utilizados: Es posible que sea casualidad que todas las páginas web investigadas, que UserCentrics utilizan, no muestren información sobre cookies, quizás se deba a UserCentrics mismo. Tanto el banner de cookies como las Cookie-Einstellungen y la Declaración de protección de datos contienen ninguna información sobre los cookies utilizados.
• La categoría de cookies incierta: La página web F muestra en la categoría Cookies técnicas, funcionales y destinadas a fines de comisión y liquidación también *Tech-Cookies. Este término nunca se le había encontrado al autor, pese a años dedicados al tema de protección de datos en Internet. El término es generalmente incomprensible, incierto y parece referirse a cookies técnicamente orientadas.
• Cookies necesarios pero cuestionables: Dado que la página F no proporciona ninguna información técnica sobre los cookies como nombre, propósito, descripción o duración de vida, solo se puede suponer lo que la siguiente explicación sobre los supuestamente necesarios cookies técnicamente significa: La empresa XYZ utiliza estos cookies para simplificar el uso de las páginas web de la empresa XYZ: Con ayuda de cookies, la empresa XYZ puede reconocerlo nuevamente a través de visitas anteriores cuando visite nuevamente la página web de la empresa XYZ. Reconocer a un usuario en sí es permitido. Lo que cuestiona es cómo se lleva a cabo. El cookie obviamente utilizado como único que dura más allá de una sesión, almacena solo la configuración de idioma. Esto habría sido mencionado, a su propio beneficio, si eso era lo que se pretendía con la explicación anterior._.
• Falta de información sobre protección de datos: En la política de privacidad de la página web F faltan textos de protección de datos sobre los servicios utilizados, entre ellos sobre videos de YouTube. El Google Tag Manager no se explica explícitamente, sino que solo se menciona implícitamente como herramienta auxiliar para los servicios que emiten el Tag Manager. La razón probable es que se ha elegido un enfoque de protección de datos centrado en cookies, que parece tener problemas.
• Falta de indicación sobre la transmisión de datos a terceros países: No se proporciona una indicación directa en la solicitud de consentimiento, aunque se utilizan servicios que transmiten datos a terceros países. En su lugar, se hacen declaraciones del proveedor con el país. Es cuestionable si el asiento del mencionado proveedor es igual al país al que (únicamente) se transfieren los datos por medio del servicio utilizado.
• Falta de mención de información sobre cookies: Parece que faltan casi todas las informaciones sobre los cookies utilizados, tanto en la solicitud de consentimiento de la página F como en su declaración de protección de datos. No se encuentra una "Directiva de Cookies" separada, como algunas páginas la ofrecen.

Sitio web G

La ventana de consentimiento de la página web se ve así:

Hallazgos

• La posibilidad de rechazar se ha relegado injustificadamente: el botón de rechazo fue diseñado intencionalmente menos prominente que el botón "Aceptar y Cerrar". Tanto la paleta de colores como el tamaño del botón de rechazo son inferiores.
• Falsa designación del delegado de protección de datos: Para el servicio Matomo se menciona como dirección de correo electrónico del delegado de protección de datos privacy@matomo.org. Esto es obviamente disparatado, ya que este servicio es alojado y gestionado por el propietario de la página G (como él mismo ha explicado). Lo correcto sería indicar una propia dirección de correo electrónico. Otro ejemplo de una falsa designación del delegado de protección de datos se encuentra en el servicio Google Ads Conversion Tracking. Allí se menciona la dirección de correo electrónico en forma de un enlace a una declaración de protección de datos. Al hacer clic en el enlace, se abre el programa de correo electrónico porque el enlace está diseñado como un mailto-link.
• Carga de herramientas sin consentimiento: Ya al cargar la página G y sin que se haya hecho clic en nada, se cargan las herramientas Lead Feeder, Google Fuentes y Google reCAPTCHA. A propósito de Google reCAPTCHA, se explica que se transmite datos a receptores en todo el mundo. Esto sugiere un procedimiento obligatorio de consentimiento que no es reconocido. Se vuelve aún más confuso porque allí se proporciona un enlace con la descripción "Haga clic aquí para revocar en todas las dominios del empresa procesadora". Primero, el sentido de esta oración es cuestionable y segundo, surge la pregunta de por qué es necesario un revocado para un servicio que supuestamente no requiere consentimiento. Lead Feeder se carga siempre, independientemente de si se ha otorgado o no consentimiento. Esto contradice la explicación del popup de consentimiento en la página G. En cuanto al Google Tag Manager, la página G explica que el lugar de procesamiento es "Estados Unidos" y que se transmite a terceros = mundo. Suena muy como un procedimiento obligatorio de consentimiento.
• Falta de información sobre los receptores de datos: Para el Google Tag Manager, la página G identifica a Alphabet Inc., Google LLC y Google Ireland Limited como receptores de datos. Debe adivinar las direcciones y países.
• El propósito de los videos de YouTube se explica el popup de consentimiento de la página G de manera insuficiente (Detalles omitidos, son verificables). Para el servicio "StackPath LLC" (probablemente se refiere a StackPath, ya que StackPath LLC es la empresa que lo ofrece) se proporciona la siguiente descripción: "StackPath es una plataforma para infraestructura y servicios de computadora". El autor cuestiona si esta descripción es suficientemente informativa. ¿A qué fin se utiliza un servicio en una página web que se centra en la "infraestructura de computadoras", parece completamente desconcertante.
• Descripción general incomprensible: El primer enunciado del popup de consentimiento es "Con este herramienta pueden ustedes seleccionar y desactivar varios tags/seguidores/análisis utilizados en esta página web.". Obviamente, este enunciado no es comprensible para todos. Nadie necesita saber qué son los "tags" y cuál es la diferencia entre "seguidores" y "herramientas de análisis". Tampoco es la descripción más clara posible llamar al popup una "herramienta" frente al usuario.
• La revocación no se ejecuta completamente: Si se da de acuerdo con todos los procesos, el popup de consentimiento vuelve a aparecer y luego revoca todos los procesos, la página web no se recarga. Los servicios ya revocados siguen activos. También algunos cookies obligatorios que se habían establecido después del consentimiento todavía están presentes. Si se recarga manualmente la página web, al menos los servicios revocados ya no están activos, pero los mencionados cookies todavía están presentes.
• Falta de mención de información sobre cookies: Parece que faltan (todas ?) las informaciones sobre los cookies utilizados, tanto en la solicitud de consentimiento de la página G como en su declaración de protección de datos. No se encuentra una "Directiva de Cookies" separada, como algunas páginas las ofrecen.

Borlabs Cookie

Sitios web encontrados que utilizan _Borlabs Cookie:

• bondzio.de
• braeutigam-hotel.de
• heise-regioconcept.de
• mediana.de
• y otra (que posiblemente se llamará más adelante)

Se han probado y evaluado parte de estas páginas web.

Página web A

La ventana de consentimiento de la página web se ve así:

Hallazgos

• No es posible una decisión voluntaria: No es posible un rechazo directo. Esto parece ilegal.
• Carga de herramientas sin autorización: Ya al cargar la página A y sin que se haya hecho clic en nada, se cargan las herramientas Google Analytics y Google+. También se cargan Google Fuentes desde el servidor de Google_
• Falta de información sobre herramientas utilizadas: Las herramientas mencionadas en el apartado anterior, Google Analytics, Google+ y Google Fuentes, no se mencionan en absoluto en el popup de consentimiento, ni siquiera en la categoría Esencial (Detalles sobre las categorías se muestran después de hacer clic en el texto Configurar).
• La oferta de proveedores es insuficiente: La oferta de proveedores sobre las herramientas utilizadas es insuficiente. Como proveedor del Facebook Pixel se menciona a Facebook. Falta una dirección o indicación de forma jurídica. Aquí surge la pregunta, cuál de las muchas empresas de Facebook podría ser la intención.
• La descripción del propósito es insuficiente: Como propósito para el Facebook Pixel se menciona: “El Facebook-Pixel es un herramienta de análisis. Puedes medir la efectividad de tu publicidad, analizando las acciones que las personas realizan en tu sitio web.” Aquí se aborda al visitante del sitio web como si él mismo estuviera utilizando el Facebook Pixel para optimizar la publicidad. La afirmación “El Facebook-Pixel es un herramienta de análisis” es insuficiente, porque no es generalmente comprensible y no está completa. El siguiente párrafo es falso, porque: El Facebook Pixel se utiliza especialmente para identificar a los visitantes como usuarios de Facebook, con el fin de mostrarles publicidad en Facebook (como Retargeting).
• Descripción insuficiente del cookie: El nombre del cookie está marcado como Facebook Pixel. Esto es incorrecto. En realidad, el nombre del cookie es _fbp. Faltan los datos de caducidad del cookie. Esta información es obligatoria según sentencia del TJUE sobre cookies.

Página web B

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Reubicar la opción de rechazo: El botón de rechazar está etiquetado como "guardar y cerrar" y visualmente se encuentra significativamente detrás del botón de aceptación. Esto parece ilegal, al menos perjudicial intencional para el usuario
• Cargado de herramientas sin consentimiento: Sin consentimiento se cargan Google Schriften y Google Maps. En la política de privacidad de la página B se explica falsamente:“Esta página utiliza fuentes web para una presentación uniforme de las tipografías, que se proporcionan por Google. Los Google Fonts están instalados localmente. No se establece ninguna conexión con los servidores de Google.”
• Cookie dudoso necesario con identificación única del usuario: el cookie llamado _cfduid y con un valor de una cadena de 43 caracteres con una duración de 30 días se establece sin consentimiento. La cadena es, al menos, adecuada para identificar a un usuario de manera única.
• Falta de explicación sobre los cookies utilizados: Para algunos cookies no se indica la duración. Por ejemplo, para el servicio "Función de chat a través de tawk.to" se presenta una lista de cookies sin indicar la duración y sin fines específicos para los mismos: "cfduid, ss, tawkUUID, TawkConnectionTime, TawkCookie, _cfduid".
• La indicación del proveedor de los herramientas es deficiente. Obviamente falta la indicación de la dirección a los mencionados proveedores. ¿Por qué se nombra a Google LLC como proveedor de un servicio de Facebook, queda claro, ya que no se encontraba ningún servicio de Facebook en la página web.
• Falta y descripción falsa del propósito: Como nombre para un servicio se llama "Contribuciones de Facebook representan", como propósito "Se utiliza para liberar contenido de Facebook". Lo que con eso se pretende queda claro, ya que no se encontraba ningún servicio de Facebook en la página web. A Matomo se le describe el propósito de la siguiente manera: "Cookie de Matomo para análisis de sitios web. Genera datos estadísticos sobre cómo el visitante utiliza la página web." Un servicio como Matomo no es un cookie. Un cookie no genera datos. La ejecución es, por tanto, en todos los sentidos falsa y no menciona el propósito real de Matomo, sino más bien el supuesto propósito del cookie de Matomo, que no existe (ya que Matomo utiliza tres cookies en la página web B, que se indican genéricamente como _pk_*.* en el popup de consentimiento, lo cual puede considerarse ilegal, ya que se indica una duración de 12 meses, lo cual es falso).
• La revocación no se ejecuta completamente: Si se da de acuerdo con todos los procesos, el popup de consentimiento vuelve a aparecer y luego revoca todos los procesos, la página web no se recarga. Los servicios ya revocados siguen siendo activos. Todos los cookies que requieren consentimiento según el popup de consentimiento, que se establecieron después del consentimiento, todavía están presentes. Si se recarga manualmente la página web, al menos los servicios revocados ya no son activos, pero todos los cookies establecidos después del consentimiento siguen estando presentes.
• Información faltante sobre la posibilidad de retractar: En el popup de consentimiento falta cualquier indicio de una posibilidad de retracto.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento la indicación de si se utilizan servicios que transmiten datos a terceros países.

Página web C

Hallazgos

• Falta de información sobre la posibilidad de retractación: No hay ninguna indicación sobre la posibilidad de retractación.
• Reestablecer la opción de rechazar: El botón de rechazo está etiquetado como "solo aceptar cookies esenciales" y tiene la mitad de altura que el botón de aceptación. Además, el botón de aceptación está diseñado con flechas prominentes. Esto parece ilegal, incluso si la página C está mejor organizada que muchas otras.
• Clasificación incorrecta de herramientas: Google Analytics se incluye en la categoría Estadística. Sería más correcto la categoría Marketing, ya que el herramienta utiliza cookies y conduce una ID de cliente única por usuario.
• Falta de información del proveedor: A Google LLC, que se indica como proveedor para Google Analytics, le falta la indicación de su denominación oficial. El objetivo mencionado "Cookie de Google para análisis de sitios web. Genera estadísticas sobre cómo el visitante utiliza el sitio" es inadecuado, para describir el servicio Google Analytics.
• Falta de explicación sobre los cookies utilizados: No se proporciona ninguna descripción para los tres mencionados cookies _ga, _gat, _gid. El propósito allí mencionado solo se refiere a un cookie (¿cuál?). La mencionada "duración del cookie" de 2 años solo se aplica a uno de los tres cookies, mientras que los otros dos tienen duraciones diferentes. Además, se establece un cookie llamado _gat_gtag_UA_xxxx_1 sin explicarlo, mientras que el cookie _gat sí se explica, aunque no es utilizado.
• Falta de información sobre protección de datos: En la política de privacidad de la página web C falta una explicación sobre el Google Tag Manager. El motivo es probablemente que se haya elegido un enfoque de protección de datos centrado en cookies, que parece tener problemas.
• La revocación no se ejecuta completamente: Si se da de acuerdo con todos los procesos, el popup de consentimiento vuelve a aparecer y luego revoca todos los procesos, la página web no se recarga. Los servicios ya revocados siguen siendo activos. Todos los cookies que requieren consentimiento según el popup de consentimiento, que se establecieron después del consentimiento, todavía están presentes. Si se recarga manualmente la página web, al menos los servicios revocados ya no son activos, pero todos los cookies establecidos después del consentimiento siguen estando presentes.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento la indicación de si se utilizan servicios que transmiten datos a terceros países.

Administrador de consentimiento

Sitios web encontrados que utilizan consent manager:

• consentmanager.de
• ffh.de
• haendlerbund.de
• mitsubishi-motors.de
• y otra (que posiblemente se llamará más adelante)

Se han probado y evaluado parte de estas páginas web.

Sitio web H

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Muy numerosos, supuestamente cookies funcionales: Se mencionan más de 10 cookies que según la ventana de consentimiento de la página web H son "reinamente funcionales y necesarias para el funcionamiento de la página web o ciertas funciones".
• Falta de explicación sobre los cookies utilizados: No se han proporcionado descripciones de los significados de los mencionados cookies. Se cuestiona la validez y suficiencia de una duración de caducidad indicada con un guión. En la política de privacidad de la página web H se encuentra una descripción para algunos (no todos) de los cookies. Ejemplo: “_cmpcpc*”/“_cmppurposes” – Información sobre fines específicos. Esta descripción parece incomprensible y incompleta. El proveedor de la página web H podrá explicar por qué el cookie “euconsent_backup” debe ser una copia de seguridad del cookie “euconsent” en caso de que se le solicite.
• Insuficiente declaración de cookies: La declaración _gat_* para cookies de Google Analytics* no cumple con las normas, porque el nombre es ambiguo y los datos proporcionados, como la duración para esta declaración genérica, pueden ser incorrectos. Además, se declara un cookie llamado _ga dos veces, cada una con una diferente dominio, que innecesariamente se denomina en inglés como "Domain" (recordatorio: Se trata sobre todo de visitantes alemanes de la página web que no necesitan entender el idioma inglés). Al realizar un test a la página web solo se pudo encontrar un cookie llamado _ga. También faltan las descripciones para todos los cookies mencionados. La declaración "Tipo: Medición" no es suficiente. ¿Qué se mide, por qué y por qué con cinco cookies?
• La mención insuficiente de servicios: La mención de los servicios utilizados se realiza en forma de categorías y proveedores. Bajo "Todos los proveedores" está lo que se podría llamar mejor como "Servicios": a saber, Google Ads, Google Analytics, Google General, LinkedIn. Se lee como servicios, pero no como proveedores. Lo que Google General sea, probablemente nadie lo sabe.
• Descripción insuficiente de los servicios utilizados: A "Google General" se le especifica como "finalidad del tratamiento de datos": „Medición“. No se encuentran explicaciones adicionales en la ventana de consentimiento. Lo mismo sucede con "Google Analytics".
• Declaración de protección de datos insuficiente: Quien quiera saber qué se entiende por Microsoft encontrará como descripción " Medición ". En la declaración de protección de datos en alemán de la página web H figura para Microsoft la siguiente descripción: Medición. Ahora debería estar claro …
• La revocación no se ejecuta completamente: Si se da de acuerdo con todos los procesos, el popup de consentimiento vuelve a aparecer y luego revoca todos los procesos, la página web no se recarga. Los servicios ya revocados siguen siendo activos. Todos los cookies que requieren consentimiento según el popup de consentimiento, que se establecieron después del consentimiento, todavía están presentes. Si se recarga manualmente la página web, al menos los servicios revocados ya no son activos, pero todos los cookies establecidos después del consentimiento siguen estando presentes.
• Carga ilegal de herramientas y cookies sin consentimiento: Sin consentimiento se cargan videos de YouTube, DoubleClick, Calendly, Traductor de Google, Google Fuentes y un script del dominio google.com. De igual manera, en al menos una página de la web H se carga el servicio etracker sin consentimiento, aunque se solicita consentimiento. YouTube y DoubleClick establecen cookies de terceros sin consentimiento.
• Faltan declaraciones de protección de datos: Para DoubleClick, Calendly y Google Fuentes faltan cualquier indicación en la declaración de protección de datos del sitio web H.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento una indicación sobre si se transmiten datos a terceros países, aunque se utilizan servicios que envían datos a dichos países. En su lugar, se proporcionan indicaciones del proveedor con el país. Es cuestionable si el asiento del mencionado proveedor es igual al país en el que (únicamente) se transfieren los datos mediante el servicio utilizado. Además, el nombre del país no está escrito a mano, sino que se menciona en forma de abreviatura ISO.

Página web J

La ventana de consentimiento de la página web se ve así:

Hallazgos

• No es posible una decisión voluntaria: no es posible una rechazo directo. Parece ilegal.
• Carga ilegal de herramientas y cookies sin consentimiento: Sin consentimiento se cargan Google Tag Manager, YouTube Video, DoubleClick, Twitter Widget, Google Fonts, Google reCAPTCHA, una biblioteca JavaScript del dominio googleapis.com, varias archivos de cloudflare.com y un servicio llamado Giosg. Asimismo, en al menos una página de la web H se carga el servicio etracker sin consentimiento, aunque se solicita el consentimiento. YouTube y DoubleClick establecen cookies de terceros sin consentimiento.
• Clasificación incorrecta de servicios: En la ventana de consentimiento de la página web J se mencionan las siguientes categorías: "Estrictamente necesario": "Propósito: Estrictamente necesario", "Función": "Propósito: Función. Servicios necesarios para el uso de funciones de la página web"., "Medición": "Propósito Medición", "Marketing": "Propósito: Marketing". Las descripciones aquí mencionadas son las descripciones originales de la página web J. Obviamente estas descripciones son parcialmente incorrectas. Para la página web supuestamente necesarias "funciones" son desactivables. Las descripciones de "Medición" y "Marketing" no existen, más bien se repite el nombre de la categoría como explicación del propósito.
• Falta de explicación sobre servicios utilizados: Obviamente falta cualquier descripción de lo que "Facebook" es un servicio.
• Falta de descripción de los cookies utilizados: falta la descripción del propósito de los cookies utilizados. En su lugar, el lector se entera con precisión minuciosa de que, por ejemplo, el cookie llamado ATN tiene una caducidad de 729 días, 23 horas y 50 minutos. Como tipo para el cookie fr se indica [desconocido].
• Falta de explicación sobre los cookies utilizados: A Google Analytics se le mencionan dos cookies sin describir su propósito: _ga y _gid. En realidad, se establecen dos cookies adicionales, a saber, _gcl_au y _gat_UI-xxxxx-1. Para el servicio Facebook se explica que, además del cookie _fbp, que realmente se establece, también se establecen los cookies ATN y fr, que no fueron establecidos en la prueba realizada por el autor con análisis automático. El cookie ATN es completamente desconocido en la opinión pública según una investigación. Dado que no se describe su propósito, no es posible realizar una investigación adicional. A YouTube no se le mencionan cookies en la ventana de consentimiento, aunque en realidad se establecen dos: YSC y VISITOR_INFO1-LIVE.
• Falta de identificación del proveedor: Se proporciona una dirección española para el proveedor de "Facebook" (se refiere a Facebook Connect y Audiences de Facebook, según muestra un análisis). Parece que no existe tal empresa (y si es así, se pregunta por qué una página web alemana tiene un socio español en Facebook). En realidad, parece que la dirección proviene del Internet y de una página de fans de un servicio de taxis de España, como resultó de mi investigación. En la política de privacidad de la página J se incluye el pixel de Facebook y se le asigna al proveedor Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA. Con esto, la anterior mención del proveedor es contradictoria, engañosa y falsa.
• Falta de mención de servicios utilizados: Como se ha descrito anteriormente, los servicios Facebook Connect y Facebook Audiences se suman a un servicio en general con el nombre supuesto de Facebook.
• Declaración de protección de datos contradictoria: En la declaración de protección de datos de la página J se explica que utilizamos en nuestra web el Google Tag Manager de Google LLC. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; "Google"). En la medida en que tengas tu residencia habitual en el espacio económico europeo o en Suiza, es Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) quien es responsable de tus datos. Google Ireland Limited es, por lo tanto, el empresa asociada a Google que es responsable del tratamiento de tus datos y la cumplimiento de las leyes de protección de datos aplicables. Las partes en cursiva son agregadas por el autor para mostrar el contraste. Parece haber dos proveedores del servicio (EE.UU. y Irlanda), de los cuales -por alguna razón- se ha seleccionado uno (Irland) como relevante.
• Falta de posibilidad de revocación: No es posible revocar todas las autorizaciones con un solo clic. En su lugar, deben seleccionarse todas las categorías en orden, lo que permite la desactivación manual para cada categoría. Para ello son necesarios ocho clics.
• La revocación no se ejecuta completamente: Si se da de acuerdo con todos los procesos, el popup de consentimiento vuelve a aparecer y luego revoca todos los procesos, la página web no se recarga. Los servicios ya revocados siguen siendo activos. Todos los cookies que requieren consentimiento según el popup de consentimiento, que se han establecido después del consentimiento, todavía están presentes. Si se recarga manualmente la página web, al menos los servicios revocados ya no son activos, pero todos los cookies establecidos después del consentimiento – incluidos los cookies de terceros y dominios de terceros – siguen estando presentes.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento una indicación sobre si se transmiten datos a terceros países, aunque se utilizan servicios que envían datos a dichos países. En su lugar, se proporcionan indicaciones del proveedor con el país. Es cuestionable si el asiento del mencionado proveedor es igual al país en el que (únicamente) se transfieren los datos mediante el servicio utilizado. Además, el nombre del país no está escrito a mano, sino que se menciona en forma de abreviatura ISO.

Sitio web K

La ventana de consentimiento de la página web se ve así:

Cookiebot

Sitios web encontrados que utilizan Cookiebot:

• cookiebot.de
• werdewelt.info
• techem.de
• y otra (que posiblemente se llamará más adelante)

Se han probado y evaluado parte de estas páginas web.

Una breve evaluación de la dirección IP (72.246.29.131), que se llamó al cargar el script Cookiebot de consentcdn.cookiebot.com, ha mostrado:

Según Traceroute, la dirección de red mencionada está ubicada en los Estados Unidos. Esto puede ser así, pero no tiene que ser necesariamente cierto, ya que las direcciones IP se liberan y se asignan nuevamente con el tiempo. La probabilidad de que al llamar a un script Cookiebot una vez cada mil veces aparezca una dirección en los Estados Unidos parece alta. Por este motivo solo, recomendaría buscar otra solución.

Sitio web X

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Falta de información sobre la posibilidad de retractación. No hay ninguna indicación sobre una posibilidad de retractación.
• Carga de herramientas sin consentimiento: Ya al cargar la página X y sin que se haya hecho clic en nada, se cargan los servicios Gravatar, Google Analytics y Google Tag Manager. Se solicita el consentimiento para ambos servicios de Google. Gravatar no es mencionado en ninguna parte.
• Falsa asignación de servicios a proveedores: Por ejemplo, se asigna al cookie de Google Analytics el Google Tag Manager, un servicio y no una empresa, como proveedor, así como se asigna a Google como proveedor, quien o lo que sea Google.
• Falta de indicación del proveedor: Faltan marcas de identificación incluyendo datos de la empresa para todos los servicios!
• Información de cookie insuficiente: Para algunos cookies se utiliza como duración una expresión incomprensible e insuficientemente específica, a saber Persistent. El término »Persistent« es ininteligible para el usuario medio educado. Además, no dice nada sobre la verdadera duración, ya que ésta no puede ser infinita. La indicación de »HTML« como tipo de cookie es absurda. No existen cookies de este tipo. Se supone que se refiere probablemente a HTML Web Storage y en ese contexto Local Storage (un término que un usuario normal no debe entender).
• Faltan declaraciones de protección de datos: Para los servicios Google Analytics, Google Tag Manager, YouTube Videos, DoubleClick, Google Dynamic Remarketing, Gravatar y Zendesk faltan cualquier descripción en la declaración de protección de datos. En general, no se menciona ningún servicio utilizado en la declaración de protección de datos. En una explicación de cookies separada, que sin embargo no está vinculada a algunas páginas y por lo tanto no es accesible, se indican servicios, pero solo si uno está dispuesto mentalmente a considerar cada proveedor de un cookie como servicio.
• Cookies necesarios cuestionables: Se denominan a 28 cookies como necesarias y por lo tanto no eliminables. Puede dudarse de si son necesarias tantas cookies para el funcionamiento mínimo de la página web.
• Posibilidad de revocación difícil de encontrar: No se hace referencia a la posibilidad de revocación en el popup de consentimiento. Además, es necesario llamar primero a la página con la explicación de cookies y allí encontrar y hacer clic en el enlace Revocar su consentimiento.
• La revocación no se ejecuta completamente: al recargar la página manualmente, algunos de los cookies establecidos antes de la revocación están disponibles. Esto es aparentemente ilegal porque la revocación se ignora en parte. Sólo los servicios a los que ya no se ha dado su consentimiento no se vuelven a cargar, con la excepción de Google Analytics, Google Tag Manager y Gravatar, que siguen siendo cargados. Al recargar la página X nuevamente y otorgando su consentimiento nuevamente, por ejemplo para Google Analytics, puede que este servicio pueda volver a utilizar cookies de una sesión anterior. El seguimiento del usuario es así aún más posible. De lo contrario, el mismo usuario sería considerado oficialmente (según Google) como dos usuarios diferentes en estas dos sesiones.
• La descripción del cookie incomprensible: Para el cookie _gat [x4] se menciona como propósito: “Se utiliza por Google Analytics para limitar la tasa de solicitud”. Esta afirmación es incluso incomprensible para un experto en TI. Lo que significa la indicación [x4] detrás del nombre del cookie, queda claro. Para el cookie ads/ga-audiences se menciona como propósito: “Se utiliza por Google AdWords para re-enganchar a los visitantes que es probable que conviertan en clientes según el comportamiento en línea de los visitantes a lo largo de sitios web.”. Un usuario alemán no necesita entender inglés.
• Clasificación cuestionable de servicios/cookies: En la categoría Marketing se menciona entre otras YouTube.
• Enfóquese en las cookies más que en los servicios: Se nota que la página X parece considerar únicamente las cookies como relevantes para el derecho a la protección de datos: En la solicitud de consentimiento no se encuentran información sobre los servicios utilizados; en la declaración de privacidad no se mencionan los servicios utilizados; Los servicios que, aparentemente, no establecen cookies, ni siquiera se mencionan.
• Presentación desordenada: Si el usuario quiere ver todas las informaciones en la ventana de consentimiento, debe pasar por una zona de presentación minúscula que, incluso con altas resoluciones de pantalla, sigue siendo pequeña. Esto parece inaceptable y es probablemente ilegal.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento la indicación de si se utilizan servicios que transmiten datos a terceros países.

Sitio web Y

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Selección no autorizada: Como se muestra en la imagen, todas las opciones están activadas. Un clic directo en los botones "Permitir selección" y "Aceptar cookies" es lo mismo y por tanto no es amigable con el derecho a la privacidad.
• Falta de información sobre la posibilidad de retractación: Como muestra la imagen, falta cualquier indicio de una posibilidad de retractación.
• Falsa designación de cookies: La vista detallada muestra una explicación sobre las cookies que es falsa. Las cookies con los nombres aparentes /fileadmin/razor/Dist y /typo3temp/ no existen según la revisión del sitio web Y. Los fines no se mencionan, sino que se describen como Pendiente. Esto sugiere que al herramienta utilizada, Cookiebot, le son desconocidos los fines. Otra cookie se indica con el nombre lang[x2]. Se pretenden dos cookies, de las cuales solo una fue mencionada por Cookiebot, la segunda (según el protocolo de Cookiebot es ads.linkedin.com) fue omitida.
• Faltan descripciones de propósito para cookies: Como se mencionó anteriormente, faltan descripciones de propósito para cookies.
• Falta de mención de cookies: No se menciona nada, pero según el test de la página Y es evidente que se utiliza, los cookies con los nombres be_typo_user y be_lastLoginProvider.
• Carga de herramientas sin consentimiento: Ya al cargar la página web Y y sin que nada se haya pulsado, se cargan los servicios Google Maps, Facebook Connect, Calendly, Google Fuentes, Reproductor de Podcastes Podigee y Administrador de etiquetas Google. Facebook Connect establece un cookie llamado fr con una duración de 3 meses para el dominio facebook.com. Calendly establece un cookie llamado _calendly_session con una duración de 21 semanas para el dominio calendly.com.
• Presentación desordenada: Si el usuario quiere ver todas las informaciones en la ventana de consentimiento, debe pasar por una zona de presentación minúscula que, incluso con altas resoluciones de pantalla, sigue siendo pequeña. Esto parece inaceptable y es probablemente ilegal.
• Faltan declaraciones de protección de datos: En la página web Y faltan cualquier indicación en la declaración de protección de datos sobre las herramientas Cookiebot, Calendly así como Podigy.
• Falsos aviso de protección de datos: En la página web Y se explica que el herramienta consentmanager es utilizada para solicitudes de consentimiento. Esto es falso. En su lugar, se utiliza Cookiebot.
• Falta de posibilidad de retractación: En la página web Y no se encontró ninguna posibilidad para realizar el rechazo de la autorización concedida.
• La política de privacidad no está directamente accesible: Al llamar a la política de privacidad de la página web Y, aparece el cuadro de diálogo de consentimiento, siempre y cuando no se haya confirmado con anterioridad. El leer directamente la política de privacidad es así imposible.
• Clasificación falsa de herramientas/cookies: Los cookies pertenecientes a Google Analytics se atribuyen erróneamente al Google Tag Manager. Esta asignación incorrecta proviene del hecho de que el Google Tag Manager sirve para recargar dinámicamente Google Analytics. El Tag Manager es solo el iniciador del proceso de carga del herramienta, la cual establece y lee los cookies _ga, _gat y _gid.
• Falta de identificación del proveedor: No se proporciona la identificación del proveedor para los proveedores de herramientas (que aquí solo se mencionan en forma de cookies). Esto afecta a todos los 29 cookies mencionados en la página Y.
• Falta de mención de servicios utilizados: Los servicios utilizados no se mencionan en la solicitud de consentimiento en la página web Y (y si es así, solo parcialmente y solo indirectamente en el supuesto propósito de un cookie, véase la figura 68). En cambio, el Cookiebot Tool en la página web Y se centra en cookies.
• Error en la designación del proveedor: Para un cookie se nombra como proveedor DrawBridge. Drawbridge fueron comprados por LinkedIn en 2019, pero sigue siendo nombrado como proveedor en la solicitud de consentimiento en la página Z. La página web de DrawBridge redirige a la página web de LinkedIn (o era así hasta mediados del año 2023, lo que ahora ya no es así). Al hacer clic en el enlace a Drawbridge, que se puede ver en la imagen, no se llega a la política de privacidad, como se pretendía, sino a la página https://business.linkedin.com/de-de/marketing-solutions-b, que contiene solo información publicitaria y no políticas de privacidad.
• Descripción incomprensible de cookies: Las descripciones de los cookies suelen ser incomprensibles para el ciudadano medio. Ejemplo del cookie bcookie del proveedor LinkedIn: “Se utiliza por el servicio de red social LinkedIn para seguir la utilización de servicios incorporados.” En ninguna parte se menciona qué exactamente se entiende con LinkedIn o quién es el proveedor.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento la indicación de si se utilizan servicios que transmiten datos a terceros países.

Sitio web Z

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Carga de herramientas y cookies sin consentimiento: Ya al cargar la página Z y sin que se haya hecho clic en nada, se cargan los servicios Google Ads, LinkedIn Analytics, YouTube Video, etracker así como archivos de cloudflare.com. El servicio etracker establece dos cookies sin consentimiento con una duración de 2 años, uno de ellos en la dominio etracker.com. El servicio LinkedIn Analytics establece seis cookies sin consentimiento con una duración entre un día y 2 años, todos en el dominio linkedin.com
• Reubicar la opción de rechazo: El botón de rechazo está visualmente muy atrasado en comparación con el botón de aceptación. Esto parece ilegal.
• Facultad de encontrar la opción de revocación: En el pie de página de la página Z hay un menú llamado Widerruf. Este no conduce a la opción de revocación para las configuraciones de cookies otorgadas. Más bien, el llamado a la opción de revocación en la Declaración de Privacidad está escondido en forma de enlace de texto en medio del texto corrido.
• La revocación no se ejecuta completamente: Al cargar la página web manualmente, se establece nuevamente el cookie et_coid, a pesar de que se solicita una autorización para ello. En un testeo se ejecutó la revocación (excepto el punto anteriormente mencionado). En otro testeo no se ejecutó la revocación, después de haberse realizado la revocación y luego habérsele permitido todos los cookies.
• Presentación desordenada: Si el usuario quiere ver todas las informaciones en la ventana de consentimiento, debe pasar por una zona de visualización minúscula que, incluso con grandes resoluciones de pantalla, sigue siendo minúscula. Esto parece inaceptable y es probablemente ilegal.
• Falta de identificación del proveedor: Para todos los 16 cookies denominados Z en la página web, no se identificó correctamente al proveedor. Faltaba la identificación de la empresa cada vez.
• Descripción incomprensible de Cookies: Las descripciones de los cookies suelen ser incomprensibles para el ciudadano medio. Ejemplo: "Enthält Base64-kodierte Daten el Besucherhistorie (is Kunde, Newsletter-Empfänger, Visitor ID, angezeigte Smart Messages) zur Personalisierung (nur bei Cookie-Aktivierung).“ En este ejemplo concreto, la explicación incluye además una advertencia de que solo es válida (o se utiliza únicamente para personalizar?), si existe Cookie-Aktivierung. Lo que significa Cookie-Aktivierung y por qué está presente esta afirmación condicional, es incierto.
• Error en la designación del proveedor: Para un cookie se nombra como proveedor a DrawBridge (ver página X por referencia).
• Faltan declaraciones de protección de datos: Para Drawbridge, Google Tag Manager y Calendly faltan los indicativos obligatorios en la declaración de protección de datos de la página Z.
• Falsa designación de cookies: Se menciona un cookie con el nombre et_coid[x2]. Se pretendía referirse a dos cookies, de las cuales solo una fue nombrada por Cookiebot, la segunda (según el protocolo de Cookiebot de la página Z es etracker.de) se omitió.
• La política de privacidad no está directamente accesible: Al llamar a la política de privacidad de la página Z, aparece el cuadro de asentimiento, siempre y cuando no se haya confirmado con anterioridad. El leer directamente la política de privacidad es por lo tanto imposible.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento la indicación de si se utilizan servicios que transmiten datos a terceros países.

CCM19

Sitios web encontrados que utilizan CCM19:

• ccm19.de
• crifbuergel.de
• hertie.de
• y otra (que posiblemente se llamará más adelante)

Se han probado y evaluado parte de estas páginas web.

Sitio web L

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Reubicar la opción de rechazo: El botón de rechazar está visualmente muy atrasado en comparación con el botón de aceptar. Esto parece ilegal. Lo que diferencia entre Acepta y Guardar no es claro y es engañoso en este sentido.
• Falta de información sobre categorías: La página web L clasifica las herramientas y cookies utilizadas en Técnicas necesarias / Esenciales, Análisis así como Personalización. Una descripción de estas categorías falta completamente en la solicitud de consentimiento.
• Falta de precisión en la descripción de servicios: Se explica que para Matomo se recopila información sobre indicadores de análisis web, los datos son completamente anonimizados. No se almacenan datos rastreables, la dirección IP se reduce a sus últimos 3 dígitos. La dirección IP probablemente no se reduce a sus últimos 3 dígitos, sino que se reduce de tal manera que solo se eliminan los últimos 3 dígitos. De lo contrario, habría solo 256 valores posibles (entonces podría dejarse la recopilación sin hacer). Además, es dudoso que los datos sean completamente anonimizados al recopilarlos con Matomo. Un test ha demostrado que también se recopilan parámetros URL en la página L con Matomo. En los parámetros URL pueden estar presentes datos personales. Ejemplo: https://www.anonyme-webseite-m.de/aus-versehen-eingefuegte-information_
• Cargado de herramientas sin consentimiento: Sin consentimiento se cargan Google Schriften. Después del Brexit y sin acuerdo de adecuación, también se sumaría OpenStreetMap. OpenStreetMap es ofrecido por una empresa en el Reino Unido (UK).
• Falta de información sobre protección de datos: Faltan las declaraciones de privacidad para el servicio Google Schriften.
• Informes de protección de datos contradictorios: A pesar de que se solicita una autorización para el servicio Matomo, la declaración de protección de datos explica sobre esto:“Bases legales: Interés legítimo, Artículo 6, apartado 1, letra f del RGPD”.
• Falta de enlace a la política de privacidad: En al menos una página de la web L falta el enlace a la política de privacidad.
• Hay menos informes para la web que para otras webs. La principal razón es que la web utiliza pocos servicios.

Sitio web M

La ventana de consentimiento de la página web se ve así:

Hallazgos

• No decisión voluntaria posible: Como se puede ver en la imagen, no es posible una rechazo directo. Me parece que esto es claramente ilegal.
• Falta de información sobre la posibilidad de retractación: Como muestra la imagen, falta un visible indicio sobre la posibilidad de retractación. La información sobre la retractación es posible sólo después de desplazar el delgado barra en el lado derecho de la ventana. Como también muestra la imagen, la representación en smartphones es subóptima.
• Falta de identificación del anunciante: La página web M declara como emisora "XYZ AG" (el verdadero nombre de la empresa se ha reemplazado por XYZ para mantener al propietario de la página desconocido) para el consentimiento del herramienta utilizada. No se menciona la dirección de la empresa.
• Ungenügende informaciones sobre cookies: Para algunos cookies se hace una declaración de vida útil en inglés. Ejemplos: 30 minutes, Session. Para un cookie llamado sid se indica la vida útil con el número 1 (sin unidad) y falta la descripción del propósito de este cookie por completo. Para algunos cookies se realiza una designación aparentemente genérica. Ejemplo: ev_sync_* Dado que los diferentes cookies deben tener fines diferentes (de lo contrario, no sería necesario más de un cookie), faltan descripciones precisas sobre los cookies designados genéricamente. En su lugar, se explica el propósito de esta designación genérica como: “Un cookie de terceros específico para intercambio de anuncios, que sincroniza la ID del surfer en Advertising Cloud con la bolsa de intercambio de anuncios de socios. El cookie se crea para nuevos surfers y envía una solicitud de sincronización cuando ha expirado.” El sentido profundo de esta explicación será desconocido para la mayoría de los usuarios.
• Cargado de herramientas y cookies sin consentimiento: Sin consentimiento se cargan Google Tag Manager, Bing Ads, DoubleClick Ad Exchange así como YouTube Video.
• Falta de mención de cookies: Algunos de los cookies utilizados no se mencionan en la página M, por ejemplo varios cookies First-Party con una duración de varias semanas hasta años. Además, el cookie _uetvid no se explica, que probablemente sea establecido por Microsoft Bing Ads (ya que al herramienta del mismo se le explica el cookie _uetsid, cuyo nombre es casi igual a _uetvid).
• Clasificación insuficiente de servicios/cookies: La página web M menciona tres categorías: Necesarios técnicamente, Análisis y Publicidad / Anuncios. A ninguna de las categorías se le proporciona una descripción. Google Analytics está asignado a la categoría Publicidad / Anuncios. Algunos podrían querer que el herramienta estuviera asignada a la categoría Análisis. Por otro lado, la categoría Análisis está asignada a Microsoft Bing Ads, lo cual, según su nombre, debería estar en la categoría Publicidad / Anuncios.
• Información de protección de datos insuficiente sobre herramientas utilizadas: En la solicitud de consentimiento se proporciona el enlace a la política de privacidad del Microsoft Bing Ads. El enlace es https://about.ads.microsoft.com/en-us/resources/policies/remarketing-in-paid-search-policies y remite a una página en inglés que, obviamente, no es adecuada para el usuario alemán.
• Falta de posibilidad de revocación: No es posible revocar todas las autorizaciones con un solo clic. En su lugar, deben seleccionarse todas las categorías en orden y luego pulsarse el botón Guardar. Para ello son necesarios tres clics después de que se abra la ventana de autorización.
• La descripción insuficiente de las herramientas utilizadas: A Microsoft Bing Ads se le explica el propósito de la siguiente manera: “Esto es un cookie que utiliza Microsoft Bing Ads y es un cookie de seguimiento. Permite contactar con un usuario que ha visitado anteriormente el sitio web.” Obviamente, se está confundiendo un servicio con un cookie. Lo que pretende esta explicación probablemente será claro para la mayoría de los usuarios.
• La revocación no se ejecuta: La revocación elimina ninguno de los cookies obligatorios por consentimiento del dispositivo del usuario, ni siquiera después de recargar manualmente la página web. Además, la página web no se recarga, por lo que las herramientas ya cargadas pueden seguir recolectando datos.
• La política de privacidad no está directamente accesible: Al llamar a la política de privacidad de la página M, aparece el cuadro de asentimiento, siempre y cuando no se haya confirmado con anterioridad. El leer directamente la política de privacidad es por lo tanto imposible.
• Faltan informaciones sobre protección de datos: Para Google Tag Manager y etracker no hay ninguna indicación en la declaración de protección de datos de la página M. Para algunos servicios, el nombre es deficiente, por ejemplo para Google Analytics: “Esta página utiliza Google (Universal) Analytics, un servicio de análisis web de Google LLC. Esto se hace con el fin de preservar nuestros intereses legítimos en una presentación óptima de nuestro contenido según el artículo 6, párrafo 1, letra f del RGPD. Google (Universal) Analytics utiliza métodos que permiten analizar el uso de la página por parte del usuario, como por ejemplo cookies.” Aquí falta la dirección de Google LLC. Además, se indica como base legal para el uso del herramienta el interés legítimo, lo cual contradice el hecho de que se solicita una autorización.
• Una declaración inutilizable para la transmisión de datos a terceros países: Una declaración útil en este sentido falta en la solicitud de consentimiento para el Facebook Pixel. Citado: „Lugar del tratamiento: Facebook no proporciona información sobre el lugar del tratamiento de los datos. Probablemente Europa Irland.“ La declaración es obligatoria.

Sitio web N

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Falta de información sobre la posibilidad de retractación: Como muestra la imagen, no hay ninguna indicación sobre la posibilidad de retractación. Tampoco en el texto visible después de desplazarse hacia abajo se encuentra este aviso.
• Representación insuficiente de la información: Como muestra la imagen, las explicaciones sobre la solicitud de consentimiento solo están disponibles después de hacer scroll. El barra de desplazamiento en el borde derecho de la imagen es tan mal diseñada que puede ser considerado como no disponible.
• Carga de herramientas y cookies sin consentimiento: Sin consentimiento se cargan: Video de YouTube, etracker, DoubleClick Remarketing, Widget de Twitter, Google Fuentes, Google reCAPTCHA, Widget de LinkedIn así como un IFRAME de una tercera dominio. Sin consentimiento se siguen estableciendo cookies en las dominios youtube.com y doubleclick.net, que tienen una duración (generalmente muy) más allá de una sesión.
• Rechazable retraso de la opción de rechazar: El botón de rechazo está visualmente retrasado en comparación con el botón de aceptar. Esto parece (todavía) ilegal.
• Falta de enlace a la política de privacidad: En al menos una página de la web N falta el enlace a la política de privacidad.
• La política de privacidad no está directamente accesible: Al llamar a la política de privacidad de la página N, aparece el cuadro de asentimiento, siempre y cuando no se haya confirmado con anterioridad. El leer directamente la política de privacidad es así imposible.
• Faltan declaraciones de protección de datos: Para Google Schriften, DoubleClick Remarketing y Google reCAPTCHA no hay ninguna indicación en la política de privacidad del sitio web N.
• Falta de posibilidad de retractación: A pesar de una búsqueda prolongada no se pudo encontrar en la página N ninguna posibilidad de realizar un rechazo de la autorización concedida anteriormente.
• Falta de identificación del proveedor: La página web N como editor asigna al consentimiento del instrumento "Papoo Software & Media Gmbh – CCM19 Cookie Consent Manager". No se menciona una dirección, en su lugar parece que se utiliza un nombre de producto (CCM19 Cookie Consent Manager) en lugar de la denominación de la empresa.
• Falta de mención de cookies: Algunos de los cookies utilizados no se mencionan en la página N, por ejemplo varios cookies que son establecidos por scripts de video de YouTube.
• Faltan datos sobre cookies: Algunos cookies se declaran sin datos, pero con la pseudo-afirmación N.A. para todos los criterios (editor, descripción, etc.).
• Ungenügende informaciones sobre cookies: Para un cookie no se especifica la duración de vida, tampoco el propósito. Para un cookie llamado ASP.NET_SessionId se indica la duración de vida con el número 0 (sin unidad) y falta la descripción del propósito para este cookie. Para algunos cookies se realiza una designación aparentemente genérica. Ejemplo: _gat_gtag_UA_*. Dado que los diferentes cookies tienen fines diferentes (de lo contrario no sería necesario más de un cookie), faltan descripciones precisas sobre los cookies designados genéricamente. En su lugar, se explica la designación genérica como propósito: “Se utiliza para ralentizar la tasa de solicitudes. Si Google Analytics se proporciona a través del Administrador de etiquetas de Google, este cookie recibe el nombre _dc_gtm_ .”. Esta descripción es obviamente inadecuada para explicar al ciudadano medio el propósito del cookie (o herramienta, que no está claro en el CCM19 uso en la página N).
• Clasificación insuficiente de servicios/cookies: La página web N menciona tres categorías: Necesarios técnicamente, Análisis, Marketing así como Anuncios / Publicidad. A ninguna de las categorías se le proporciona una descripción. Al ciudadano medio le resultará difícil adivinar la diferencia entre Marketing y Publicidad / Anuncios. Google Analytics está asignado a la categoría Publicidad / Anuncios. Algunos podrían querer que el herramienta estuviera asignada a la categoría Análisis.
• Falta de declaración sobre la transmisión de datos a terceros países: Se omite esta declaración en algunas herramientas en la solicitud de consentimiento. Es una declaración obligatoria.
• Falta de información legal: En la ventana de consentimiento hay un enlace llamado Impressum. Al hacer clic en este enlace aparece una ventana emergente vacía con el título Impressum.

¡Claro!

Sitios web encontrados que utilizan Klaro!:

• www.dillinger.de
• kiprotect.com
• digitale-helden.de
• y otra (que posiblemente se llamará más adelante)

Se han probado y evaluado parte de estas páginas web.

Klaro! parece utilizarse principalmente en sitios web que ya de por sí dan mucha importancia al protección de datos, donde solo se utilizan pocos herramientas. La difusión de Klaro! no es especialmente alta. Por lo tanto, a continuación solo se muestran los resultados para dos sitios web. Parece que un actualización del núcleo de Klaro! no funciona o no está prevista, ya que las manifestaciones de ventanas de consentimiento de Klaro! en diferentes sitios web parecían muy diferentes y presentaban en apariencia nuevas configuraciones más adecuadas.

Sitio web P

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Falsa afirmación sobre la recopilación de datos: Como se muestra en la imagen, se hace ver como si solo la página web visitada directamente estuviera recopilando información del usuario („… las informaciones que nosotros recogemos“) y no también terceros.
• Falta de información sobre la posibilidad de retractación: Como muestra la imagen, falta cualquier indicio de una posibilidad de retractación.
• Falta de indicación del proveedor: Faltan marcas de identificación del proveedor incluyendo la información de la empresa para todos los servicios en la solicitud de consentimiento.
• Falta de mención de servicios y cookies utilizados: Como se muestra en la imagen, faltan todas las menciones a los servicios y cookies utilizados. Una vista detallada no es accesible.
• Descripción faltante de servicios utilizados: Como se muestra en la imagen, falta toda la descripción de los servicios utilizados.
• Activación previa de un herramienta: Antes de que la solicitud de consentimiento sea confirmada, los servicios de análisis etracker ya están activos. Esto se desprende de la política de privacidad, en la que este servicio está marcado con un deslizador como activo. En el cuadro de diálogo de consentimiento mismo, esta configuración no puede ser cambiada.
• Faltan declaraciones de protección de datos: Para el servicio DoubleClick faltan todas las descripciones en la declaración de protección de datos (tampoco se hacen declaraciones para Google Ads, un posible sinónimo de DoubleClick, ni se mencionan). Para el servicio Eloqua , el proveedor no es nombrado adecuadamente como Oracle Marketing Cloud en la declaración de protección de datos. Tampoco hay ninguna indicación concreta sobre cookies allí. En su lugar, solo hay marcadores.
• Carga de herramientas sin consentimiento: Ya al llamar la página P y sin que se haya hecho clic en nada, se cargan las herramientas Google Maps, YouTube Video, Eloqua y DoubleClick. Para Google Maps y YouTube Video, se solicitan (probablemente) los consentimientos a través de las categorías Maps y Video – exactamente no se puede decir, ya que faltan descripciones de los servicios en la ventana de consentimiento. Google Maps se carga incluso completamente funcional y visible sin consentimiento, mientras que los videos incorporados de YouTube no son visibles, sino solo cargados en segundo plano en forma de un script de video de YouTube. También se carga etracker. En este proceso, se establece un cookie llamado _et_coid con un valor adecuado para la identificación del usuario y una duración de dos años, así como la dominio etracker.com. Esto también es obligatorio en cuanto a consentimiento, ya que no se hace ninguna indicación sobre un DPA o lo que sea.
• La política de privacidad no está directamente accesible: Al llamar a la política de privacidad de la página web P, aparece el popup de consentimiento, siempre y cuando no se haya confirmado con anterioridad. El leer directamente la política de privacidad es así imposible.
• La política de privacidad no está disponible: al primer acceso a la página P el cuadro de consentimiento cubre todas las enlaces, incluso los que conducen a la política de privacidad. Por lo tanto, esta última es muy probablemente considerada como no disponible, ya que después de pulsar fuera del cuadro de consentimiento son necesarios dos clics más, un total de tres, para acceder a la política de privacidad. Se permiten un máximo de dos clics.
• Reubicar la opción de rechazo: El botón de rechazo está etiquetado como "Rechazar" y visualmente se encuentra ligeramente detrás del botón de aceptación. Esto es probablemente ilegal.
• Fraga sobre un video obligatorio: Si no se da permiso para "Videos" y se llama una página con un video incorporado, aparece en el lugar donde debería estar el video la advertencia "Por favor, activen Cookies para ver el video. Aquí se da una advertencia sobre cookies. El video utiliza sin embargo videos (youtube-nocookie.com). En ninguna parte de la web P hay información concreta sobre los cookies utilizados. Aparte de eso, un video puede ser mostrado o reproducido en general sin cookies.
• Falta de funcionalidad en la ventana de consentimiento: En la ventana de consentimiento existe una función para activar simultáneamente todas las autorizaciones. Esta función está inicialmente desactivada, ya que también las categorías Analytics, Video y Maps están inicialmente inactivas. Si se activa solo por ejemplo Analytics, se activará automáticamente Activar todos. Esto es ilegal (si realmente se activan todos los procesos obligatorios de consentimiento) o engañosa y no esperada.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento una indicación sobre si se utilizan servicios que transmiten datos a terceros países. Esta indicación es obligatoria.

Sitio web Q

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Falta de información sobre la posibilidad de retractación: Como muestra la imagen, falta cualquier indicio de una posibilidad de retractación.
• No es posible una decisión voluntaria: Como se puede ver en la imagen, no es posible una rechazo directo. Esto parece ilegal.
• Carga ilegal de herramientas y cookies sin consentimiento: Sin consentimiento se cargan Google Maps, Google Fonts, Google reCAPTCHA, Google AdWords Conversion Tracking, KlickTipp, un servicio de pago Paypal así como un script de betterplace.org y uno de app.acuityscheduling.com.
• Faltan declaraciones de protección de datos: Para Google reCAPTCHA y Betterplace faltan los obligatorios aviso en la declaración de protección de datos de la página Q.
• La política de privacidad no está directamente accesible: Al llamar a la política de privacidad de la página Q, aparece la ventana de consentimiento, siempre y cuando no se haya confirmado con anterioridad. El leer directamente la política de privacidad es así imposible.
• Falta de especificación del proveedor: al hacer clic en la ventana de aceptación de la imagen 49 en Configurar…, aparece una lista con mención de aplicaciones. En la vista inicial, las aplicaciones mostradas no son visibles. A todos los servicios (aquí llamados aplicaciones) falta la especificación del proveedor.
• Información dudosa sobre la recolección de datos necesarios: En la ventana de consentimiento se habla de almacenamiento de configuraciones de esta aplicación. Denominar una página web como aplicación no es incorrecto, pero probablemente no será comprensible para el ciudadano medio.
• Falta de mención a cookies: Ni en la ventana de consentimiento ni en la política de privacidad de la página Q existen declaraciones concretas sobre cookies como su nombre o duración funcional.
• La política de privacidad no está completamente disponible: Al primer acceso a la página Q, el cuadro de consentimiento cubre todas las enlaces, incluso los que conducen a la política de privacidad, por lo que esta última podría considerarse como no disponible.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento una indicación sobre si se utilizan servicios que transmiten datos a terceros países. Esta indicación es obligatoria.

Privacidad de OneTrust / Optanon / Ley de Cookies

Optanon fue adquirido por OneTrust, por lo que ambos herramientas se consideran juntas. El producto parece también llevar el nombre de Cookie Law, por lo que también esta versión se considera juntas.

Sitios web encontrados que utilizan OneTrust:

• euronics.de
• editorial.com/de
• kiacomo.de
• y otra (que posiblemente se llamará más adelante)

Se han probado y evaluado parte de estas páginas web.

Hallazgo general

Onetrust es un herramienta de consentimiento que utiliza recursos de un país tercermundista inseguro.

OneTrust carga recursos desde el dominio onetrust.com. Esta dominio parece ser administrado por una empresa estadounidense y proporciona contenido desde un servidor en los EE.UU. Según la Declaración de Privacidad del dominio onetrust.com, el proveedor se encuentra tanto en los EE.UU. como en Reino Unido (Reino Unido). Si es cierto que el lugar es EE.UU., entonces OneTrust como solución de consentimiento RGPD es completamente inadecuada por sí sola. Porque antes de usar OneTrust, se debería obtener una autorización para la herramienta de consentimiento, lo cual parece absurdo. Según la Declaración de Privacidad de la página W, el proveedor de OneTrust está en Reino Unido y, por tanto, desde el 01.01.2021 ya no se encuentra dentro del ámbito de aplicación de la RGPD. Hasta el 21.12.2020 todavía no había habido un acuerdo de adecuación para Reino Unido, lo que significa que Reino Unido es considerado un tercer país inseguro (hasta el 28.12.2020 parece haber una prórroga de cuatro o seis meses a partir del año 2021, después de la cual Reino Unido sin acuerdo de adecuación se considera un tercer país inseguro).

La página web onetrust.com no tiene un registro oficial y no menciona al responsable de la gestión de datos, por lo que el proveedor se descalifica a sí mismo.

Según WHOIS-Información, el dominio onetrust.com está registrado en Namecheap Inc. (con la indicación de la página web namecheap.com). Según la página web namecheap.com, Namecheap Inc. es una empresa estadounidense. En las Informaciones WHOIS se encuentra también como Registrante una empresa en Panamá, para ocultar la identidad del verdadero registrante:

---

Una razón más para no utilizar OneTrust.

Sitio web U

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Carga de herramientas sin consentimiento: Ya al cargar la página U y sin que el usuario haya hecho clic en nada, se carga el OneTrust (ver arriba). Se realiza un llamado a la dirección geolocation.onetrust.com, lo que lleva a una geolocalización del usuario actual y devuelve datos de ubicación como resultado. Una geolocalización en el contexto de una solicitud de consentimiento podría justificarse únicamente si se solicitara el consentimiento solo a personas cuya IP dirección indicara que están dentro del ámbito de la RGPD. Esto es, sin embargo, incorrecto, porque el principio de mercado establece que una página web debe cumplir con las normas de la RGPD tan pronto como se dirija a un mercado sometido a la RGPD. Además, una geolocalización mediante la IP dirección o similares nunca es posible de manera fiable. Por otra parte, un usuario podría utilizar una proxy para ocultar su ubicación (de manera permitida). Después de la geolocalización se almacena un cookie durante 30 días con los resultados de la geolocalización. Esta información puede ser utilizada para identificar y seguir a los usuarios (junto con la IP dirección y/o el Device Fingerprints) de manera muy fiable.
• No es posible una decisión voluntaria: Como se puede ver en la imagen, no es posible una rechazo directo. Esto parece ilegal.
• Descripción insuficiente de herramientas: En la solicitud de consentimiento de la página web U, hay numerosos datos que son oscuros, incompletos o en inglés. Las siguientes terminologías son oscuras, subóptimas o incomprensibles: "Anfitrión": ¿Qué significa este término?; "Duración: 4 años": ¿Qué se pretende con esto?; "Tipo: Tercera parte": ¿Qué se pretende con esto?; Descripción en inglés: Incomprensible para un lector alemán sin conocimientos de inglés.
• Clasificación errónea de cookies: Los cookies no deben clasificarse según criterios técnicos, sino según criterios profesionales y decisivos para el usuario. Aquí falla OneTrust: El cookie llamado OptanonConsent, que es establecido por OneTrust, es técnicamente un cookie First-Party. Sin embargo, profesionalmente es obviamente un cookie de terceros. Razón: El cookie se establece y se lee desde el script de OneTrust, que se carga desde un servidor de terceros.
• Descripción dudosa de las categorías de cookies: Una categoría para cookies que parece haber sido otorgada por OneTrust es Cookie de rendimiento. Este término no está ampliamente difundido, al menos no en el uso común del lenguaje. La solicitud de consentimiento de la página web U proporciona un texto largo y bastante ininteligible como descripción para ello.
• Falta de indicación del proveedor: No se proporciona ninguna indicación del proveedor de los servicios utilizados. Un proveedor de servicio es denominado con Awin. La indicación de qué proveedor y empresa se encuentra probablemente detrás de este acrónimo, no se puede encontrar en el popup de consentimiento. Tampoco la política de privacidad de la página U revela nada al respecto. A lo que le es conocido al autor, Awin es una plataforma de publicidad. Esta tiene absolutamente nada que ver con la categoría asociada Cookies-de-Desempeño.
• Falta de mención de información sobre cookies: Para numerosos cookies, en la solicitud de consentimiento de la página web no se ha proporcionado ninguna descripción.
• Falta de mención de cookies: Se establece al menos un cookie (Facebook-Pixel, Nombre: _fbp) que no se menciona en el consentimiento de cookies de la página U.
• Faltan declaraciones de protección de datos: En la política de privacidad de la página U faltan numerosos textos de protección de datos sobre los servicios utilizados. Aparentemente, se han olvidado las descripciones de todos los servicios o se considera que están incluidas en el popup de consentimiento de cookies, que se puede acceder desde la política de privacidad a través de un enlace. Desafortunadamente, faltan numerosos datos en este popup de consentimiento de cookies, por lo que no existen, aunque son obligatorios. El motivo es obviamente el uso de un enfoque de protección de datos centrado en las cookies, que plantea problemas evidentes.
• Falta de posibilidad de revocación: Aparte de que la posibilidad de revocación es difícil de encontrar, contiene defectos estructurales que no son aceptables para el usuario. No es posible revocar todas las autorizaciones concedidas con un solo clic. En su lugar, deben seleccionarse todas las "categorías de cookies" una a una, lo que permite la desactivación manual de cada categoría. Para ello se necesitan 8 clics. Si se desactiva una categoría, aparece directamente el botón "Permitir todas las cookies". Parece que se ha dado más importancia a obtener una autorización que revocarla o rechazarla.
• La revocación no se ejecuta inmediatamente: Después de revocar todas las autorizaciones, todos los cookies establecidos antes de la revocación todavía están presentes. La página web no se recarga. Por lo tanto, es de suponer que los servicios ya cargados como Google Analytics siguen activos.
• La revocación no se ejecuta completamente: al recargar la página manualmente, todavía están presentes todos los cookies establecidos antes de la revocación. Esto es aparentemente ilegal porque la revocación se ignora en parte. Sólo los servicios a los que ya no se ha dado su consentimiento no se vuelven a cargar. Al recargar la página U nuevamente y dando su consentimiento alguna vez más, por ejemplo para Google Analytics, puede este servicio volver a utilizar cookies de una sesión anterior. Un seguimiento del usuario es así aún posible. De lo contrario, el mismo usuario sería considerado oficialmente (según Google) como dos usuarios diferentes en estas dos sesiones.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento una indicación sobre si se utilizan servicios que transmiten datos a terceros países. Esta indicación es obligatoria.
• La política de privacidad no es directamente accesible: Al llamar a la política de privacidad de la página U se muestra el popup de consentimiento, siempre y cuando no haya sido confirmado con anterioridad. El leer directamente la política de privacidad en pantallas más grandes es posible solo de manera limitada, mientras que en pantallas más pequeñas es imposible.

Página web V

La ventana de consentimiento de la página web se ve así:

Hallazgos

• Los indicadores se muestran en inglés, como se muestra en la imagen, a pesar de que el sitio web V se presenta en español en general.
• Falta de información sobre la posibilidad de retractación: Como se muestra en la imagen, no hay indicaciones sobre la posibilidad de retractación (la versión inglesa "You can manage your preferences…" es considerada inexistente para un lector alemán).
• No es posible una decisión voluntaria: Como se puede ver en la imagen, no es posible una rechazo directo. Esto parece ilegal.
• Carga de herramientas sin consentimiento: Ya al cargar la página V y sin que nada haya sido pulsado, se carga el herramienta de consentimiento OneTrust. Además, se cargan tantas herramientas sin consentimiento que solo se mencionarán algunas de ellas: Google Tag Manager, Facebook Connect, Google Analytics, Hotjar, Twitter Analytics, DoubleClick, Outbrain, Adscale, ShareThrough. Por otra parte, se cargan algunos cookies sin consentimiento, incluidos los de Google Analytics, Facebook Connect y Hotjar
• Falta de mención del proveedor: En la solicitud de consentimiento de la página web V, no se menciona a los proveedores de todos los herramientas y cookies utilizados. En su lugar, se hace una lista de nombres de cookies.
• Descripción faltante de cookies: No se menciona nada sobre los cookies (excepto su nombre).
• Uso no autorizado de la preselección: A pesar de que se ha llamado a la página V sin hacer clic en nada y aunque todavía está visible la solicitud de consentimiento, ya se han realizado preselecciones para los procesos a los que se dará su consentimiento.
• Falta de posibilidad de retractación:
• En lugar de una opción de revocación, la página web V en su política de cookies explica: “El centro de preferencias de privacidad se puede acceder mediante el banner que aparece cuando visitas por primera vez el sitio o después de eliminar los cookies. Te permite ver los grupos de cookies que almacenamos (tal como se describe anteriormente en Cómo utilizamos las cookies), y gestionar si las cookies para esos grupos están activas.”
• Faltan declaraciones de protección de datos: Para algunos servicios, como por ejemplo para WebTrekk, faltan completamente las indicaciones en la declaración de protección de datos del sitio web V. Debido a la variedad de herramientas utilizadas en el sitio y dado que la declaración de protección de datos solo está disponible en inglés, se decidió no realizar una revisión más profunda.
• Falta de mención de cookies: Se establece al menos un cookie (Google Analytics, Nombre: _gcl_au) que no se menciona en el consentimiento de cookies de la página V.
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento una indicación sobre si se utilizan servicios que transmiten datos a terceros países. Esta indicación es obligatoria.

Sitio web W

La ventana de consentimiento de la página web se ve así:

Hallazgos

• No es posible una decisión voluntaria: Como se puede ver en la imagen, no es posible una rechazo directo. La posibilidad de rechazar ( "Cambiar" ) está además visualmente desplazada hacia atrás. Esto parece ilegal.
• Fragüdica focalización en cookies: Como se puede ver en la imagen, para los procesos que requieren consentimiento se remite a las indicaciones de cookies. Esto es incorrecto en sí mismo, porque las operaciones de tratamiento de datos también pueden ser obligatorias sin cookies. Además, no está claro en la imagen que el texto Más información vincula a la política de privacidad, que a su vez se denomina erróneamente como Política de Privacidad y Cookies. En la política de privacidad se hace referencia a "cookies y tecnologías similares", lo que indica que una focalización en cookies incluso es considerada incompleta por el propietario del sitio web.
• Carga de herramientas sin consentimiento: Ya al cargar la página web W y sin que se haya hecho clic en nada, se carga el herramienta de consentimiento OneTrust. Además, se cargan al menos las siguientes herramientas sin consentimiento: Google Maps, Facebook Connect, Google AdWords Conversion Tracking, YouTube Video. Además, se cargan algunos cookies sin consentimiento, incluidos los cookies de Google AdWords Conversion Tracking y YouTube Video. A YouTube Video, por ejemplo, se le menciona en la política de privacidad de la página web W un proveedor estadounidense.
• La política de privacidad no está directamente accesible: Al llamar a la política de privacidad de la página W, aparece la ventana de consentimiento, siempre y cuando no se haya confirmado con anterioridad. El leer directamente la política de privacidad es así imposible.
• Falta de identificación del proveedor: demasiados cookies – posiblemente todos, no se pudo determinar debido a la gran cantidad de cookies y por razones de tiempo – el proveedor no está suficientemente identificado. No hay una designación del proveedor. Con buena voluntad podría considerarse la Host -declaración como una designación incompleta del proveedor.
• Cookies sospechosos: El cookie VISTOR_INFO1_LIVE está descrito con un texto en inglés. Esto es inaceptable para el mercado alemán. Como Art se indica 3rd Party, tampoco es comprensible. Se indica como Dauer 7985,5 años. Además de la aquí ilegal inglesa, también está el punto decimal no según norma alemana.
• Descripción sospechosa de cookies: Para el cookie NID se proporciona la siguiente descripción sin contenido (extracto): "Este dominio es propiedad de Google Inc. Aunque Google es principalmente conocido como un motor de búsqueda, la empresa ofrece una amplia gama de productos y servicios.". Para el cookie ga se indica su propósito: "Este cookie sirve para distinguir a los visitantes.". Para el cookie utma se indica su propósito: "Con ayuda de este cookie podemos determinar si alguien ya ha visitado nuestra página web o no." Ambos cookies están asociados con la política de privacidad de Google Analytics. ¿Por qué dos cookies serían necesarias para reconocer a un visitante queda sin aclarar.
• Faltan declaraciones de protección de datos: Por lo menos para el servicio DoubleClick faltan cualquier indicación en la declaración de protección de datos del sitio W y en la ventana de consentimiento.
• Falta de opción de retractación: A pesar de una búsqueda prolongada, no se encontró ninguna opción de retractación en la página W. En su lugar, en las declaraciones de privacidad de algunos servicios se proporcionan enlaces a las páginas del proveedor con los que supuestamente se puede protestar por la recopilación de datos (por servicio y proveedor).
• Falta de indicación sobre la transmisión de datos a terceros países: Se omite en la solicitud de consentimiento una indicación sobre si se utilizan servicios que transmiten datos a terceros países. Esta indicación es obligatoria.

Conclusión

Las numerosas faltas mencionadas deberían hablar por sí solas. Mi examen fue solo parcialmente intenso. Una revisión más detallada seguramente habría sacado a la luz aún más problemas, como si se analizaran con mayor precisión las declaraciones de protección de datos de cada uno de los herramientas que se dan en las páginas web sometidas a prueba.

Todos los herramientas de consentimiento muestran en la práctica graves debilidades, a mi juicio muy vergonzosas. Incluso los proveedores más destacados de herramientas de consentimiento no logran con su propio instrumento presentar una página web que sea lo menos RGPD-compatible posible.

Mejor no utilizar herramientas de consentimiento comunes, sino más bien solo las herramientas que no requieren autorización o cuya recolección de datos está clara.

Las empresas más grandes deberían crear su propia solución de consentimiento. Esto puede ser legalmente seguro en lugar del material inadecuado que se vende por miles de veces.

La apuesta de 100 euros

Me atrevo a ofrecer 100 euros de mi patrimonio privado al primer propietario de una página web que se me acierte y utilice uno de los herramientas de consentimiento probados en su sitio web, siempre y cuando cumpla con las normativas de manera significativa (no exacta). La condición es que haya un número suficiente (más de tres) de herramientas populares obligadas a obtener la autorización. Si hay exactamente tres, revisaré el sitio y tomaré la apuesta si lo considero adecuado. No se permite crear rápidamente una página web para la apuesta.

Apuesto a que nadie puede presentar una solución de consentimiento conforme a derecho para el tipo de sitios web mencionados. No se trata de un simple error de coma, sino de problemas más graves. También en las redes sociales he anunciado mi apuesta y espero a los valientes que puedan traer algún sitio web, incluso no suyo propio, al juego. Por favor, contactenme por correo electrónico.

Esta apuesta se extiende hasta el 30.06.2021

Propuestas de solución

A través de las herramientas gratuitas de Google y otros nos han llevado a la senda equivocada. Funcionan perfectamente, pero el problema del secreto es malo, diría yo.

Mi propuesta para sitios web RGPD conformes con menos esfuerzo que intentar lo imposible hacer posible (ver prueba de práctica herramientas de consentimiento):

• Inventario de todos los herramientas utilizadas
• Quitar todos los herramientas que ya no se necesitan
• Integrar fuentes de letra y bibliotecas de JavaScript, así como imágenes externas, localmente
• Usar alternativas para herramientas críticas
• Quien piense en una solicitud de consentimiento debería pensar mejor después de dormir un poco (ver mi lista de verificación)