Cookiegeddon: Il fallimento di tutti gli strumenti di consenso

Un ampio test pratico di strumenti di consenso popolari per siti web con risultati del test. Sono stati verificati i requisiti tecnici e giuridici della GDPR da parte mia. Per questo sono state testate pagine che utilizzano strumenti di consenso.

Tutte le siti web testati, che utilizzano un strumento di consenso popolare, presentano gravissimi difetti.

Risultato del test, riferito alle pagine web sottoposte al test che utilizzano uno strumento di consenso. Data: 31.12.2020

Nessuna delle pagine web testate ha mostrato un comportamento rispettoso della privacy. Tutte le pagine web testate non sono riuscite ad ottenere la conformità alla GDPR utilizzando gli strumenti di consenso impiegati. Anche le pagine web degli stessi fornitori di strumenti di consenso sono state incluse tra i negativi esempi.

Possibili motivi per questo risultato:

• Le strumenti di consenso sono inadatti per attuare le prescrizioni del GDPR
• Molti fornitori di strumenti per il consenso sembrano non conoscere regole di protezione dei dati stesse*
• L'inserimento semplice di uno script di consenso è *oggettivamente insufficiente
• I gestori dei siti web hanno troppa fiducia nelle strumentazioni di consenso e non si preoccupano più della tutela delle norme sulla protezione dei dati personali

Fatti salienti in breve:

• Alcune norme sono già codificate nei leggi pertinenti e non richiedono una chiarificazione successiva attraverso sentenze. Esempi: avviso di revoca là dove viene chiesta un consenso (Art. 7 comma 3 DSGVO); menzione dei rischi nei trasferimenti di dati in paesi terzi poco sicuri (Art. 44 DSGVO)
• Le sentenze come quella del Corte di Giustizia dell'Unione Europea sui cookie affermano che gli scopi e la durata delle funzionalità dei cookie devono essere nominati (Art. 13 GDPR).
• Una dichiarazione di consenso deve essere volontaria. La sana ragione dice che la libertà di scelta significa che il rifiuto deve essere altrettanto semplice da esprimere come l'assenso. Regolarmente, ciò viene anche stabilito in sentenze. La direttiva ePrivacy afferma lo stesso. Ciò si verifica ad esempio con Google Analytics.
• I fornitori dei servizi utilizzati devono essere nominati. Ciò è previsto nel legge e anche in sentenze. Un fornitore viene nominato solo se si specificano la denominazione sociale, l'indirizzo e il paese del sedile della società.
• Le elaborazioni di dati effettuate, compresi i servizi utilizzati, devono essere spiegate (cfr. ad esempio art. 13 del GDPR).
• Il fine dei cookie gestiti da terze parti è noto solo a queste ultime. Spesso, purtroppo, queste ultime non forniscono informazioni sui fini di questi cookie. Di conseguenza, una menzione ordinaria dei fini da parte dell'utente di un tool di terza parte è assolutamente impossibile.
• Per l'intransparenza delle informazioni sulla protezione dei dati, come quelle fornite dal gruppo Google, è responsabile (in via esclusiva) il gestore di un sito web che utilizza uno strumento Google.
• Non è possibile un gestione dei cookie in modo legale. L'articolo di sfondo cita cinque motivi per questo.
• Aggiornamento giugno 2021: Google ammette che tutti i dati di Analytics di Google Analytics vengono sempre elaborati negli Stati Uniti. Ciò non è stato considerato nei miei test, ma porta a risultati ancora più chiari.

Se il titolare di una delle menzionate pagine web ritiene di aver fatto miglioramenti, si prega di contattarmi. Poi pubblicherò un aggiornamento in questo articolo.

A nessuno riusciva a nominare un sito web che utilizzasse uno strumento di consenso popolare e più servizi obbligatori conformi al GDPR.

La mia scommessa da 100 euro che non è mai stata pagata.

Alcuni sostengono che con le impostazioni di alcuni strumenti di consenso si possa regolare tutto. È ovviamente falso o non viene applicato nella pratica, il che equivale alla stessa cosa. Chi si prende la briga di leggere attentamente le condizioni legali e d'uso dei tool Google , riconoscerà facilmente dove sta il problema.

Introduzione

Come strumenti di consenso si intendono gli ausili con cui una consapevolezza del visitatore di un sito web per i processi di elaborazione dei dati può essere richiesta prima che un'elaborazione dei dati altrimenti non consentita avvenga. Spesso si parla frettolosamente di Consensi sui Cookie, anche se ci sono altri trattamenti dei dati obbligatori di consenso oltre ai cookie.

Sono state testate pagine web che utilizzano le seguenti cosiddette soluzioni di consenso:

• Borlabs Cookie
• CCM19
• Gestore del consenso
• Cookiebot (vedi sentenza del Tribunale amministrativo di Wiesbaden, che ha dichiarato il Cookiebot illegittimo)
• Sì!
• Unico Trust / Optanon / Legge sui cookie
• UtentiCentrici (dal 01.09.2021 in attività insieme a Cookiebot)

Siti web che utilizzano strumenti di consenso (sette altri siti web non sono nominati esplicitamente):

Dalle 24 pagine web più le sette successive sono state testate complessivamente 20 pagine web. Devo però dire che una rapida visione delle pagine non ufficialmente testate non ha lasciato un grande piacere per la buona attuazione di specifiche normative sulla protezione dei dati personali. Anche dopo la pubblicazione di questo articolo, ulteriori pagine web esaminate hanno tracciato lo stesso quadro. Ciò vale anche al 2021.

Tutti i Consent Tools sembrano produrre bullismo sulle pagine web!

Risultato finale basato sui miei esiti di prova

Il risultato del test dimostra che anche grandi aziende non riescono a rispettare leggi di protezione dei dati vincolanti.

Le seguenti pagine web che utilizzano uno strumento di consenso richiedono almeno un clic in più, per opporsi a procedure soggette all'obbligo di consenso, rispetto a quelle per cui si è disposti a dare il consenso (data: 30.12.2020):

• adac.de
• commerzbank.de
• digitalehelden.de
• euronics.de
• ffh.de
• haendlerbund.de
• heise-regioconcept.de
• hertie.de
• kia.com
• springer.com

Sembra che i gestori di questi siti web ritengano più importante ottenere dati dagli utenti piuttosto che offrire una semplice possibilità di dissenso contro le raccolte di dati richieste con il consenso. Ciò è, a mio avviso, chiaramente illegale. Lo stesso pensa anche la Corte distrettuale di Rostock. Spoiler: La Corte di giustizia dell'Unione europea e la Corte suprema federale pronunciano regolarmente sentenze a favore dei consumatori.

Questo articolo online è un estratto da un documento PDF più ampio, nel quale sono citati ulteriori screenshot e prove.

Elenco dei contenuti

Prove di test

Sono state testate pagine web che utilizzano uno dei popolari strumenti di consenso. Quale strumento sia popolare è stato deciso in modo soggettivo. In questo caso sono state prese in considerazione l'esperienza di più di 1000 pagine web verificate. Anche Klaro! è stata inclusa nel test perché è open source e il fornitore proviene dalla Germania. Alcune altre soluzioni open source non vengono più sviluppate da un certo periodo di tempo e quindi sono state escluse dal test.

I test sono stati condotti nel periodo compreso tra il 08/12/2020 e il 31/12/2020. Come posso constatare quotidianamente, i risultati non hanno perso nulla della loro attualità neanche nell'agosto 2021.

Le pagine web menzionate sono state sia esaminate manualmente che utilizzando il mio strumento personale. Lo strumento scansiona la pagina web e legge solo alcune sottopagine per il test. In questo modo si individuano gli strumenti e i file caricati senza autorizzazione e i cookie impostati senza autorizzazione.

I risultati ottenuti in modo automatico sono stati verificati a mano. In particolare, sono stati controllati i seguenti criteri.

Criteri di prova

I seguenti criteri sono stati vagliati con benevolenza dal punto di vista di un cittadino tedesco che visita un sito web:

• Consenso o rifiuto volontario
• Caricamento di servizi senza autorizzazione
• Descrizione dei servizi utilizzati
• Classificazione dei servizi utilizzati
• Elenco di fornitori di servizi
• Nominazione e descrizione dei cookie utilizzati
• La comunicazione di dati a paesi terzi
• Informazioni sulla possibilità di recedere
• Opzione di revoca dopo l'accordo
• Ritiro dopo consenso

Vedi anche la mia checklist per le richieste di consenso sui siti web, in cui sono elencate alcune normative giuridiche.

Risultati di prova

Le pagine web testate vengono sempre elencate in ordine alfabetico senza valutazione. I risultati delle pagine web testate vengono anonimizzati con lettere: Pagine web A, Pagina web B, ecc.

Tra le pagine web testate ci sono anche quelle degli offerenti di strumenti per il consenso, che utilizzano il proprio strumento. Poiché le pagine web degli offerenti, così come gli utenti terzi del tool, presentano gravi difetti in materia di soluzione dell'autorizzazione, si può presumere che alcuni offerenti non conoscono a sufficienza le basi legali o che i tool offerti sono inadatti per ottenere una pagina web conforme al diritto.

I risultati dei test che seguono sono suddivisi in base al tool di consenso.

Utenti Centrici

Siti web trovati che utilizzano UserCentrics:

• adac.de
• commerzbank.de
• usercentrics.com
• www-ag.com
• e un'altra (che potrebbe essere chiamata in seguito)

Da queste pagine web sono state testate e poi valutate.

Sito web E

La finestra di consenso del sito web ha questo aspetto:

Dopo aver cliccato su "Informazioni & Impostazioni" compare il seguente popup:

Risultati

• Nessuna decisione volontaria possibile: rifiutare non è altrettanto semplice che accettare. Ciò sembra essere illegale (vgl. sentenza del Tribunale di Rostock).
• Spiegazione mancante dei cookie utilizzati: molto imbarazzante per uno strumento che si chiama "Banner dei Cookie" e che può essere configurato chiamando le "Impostazioni dei Cookie", è il fatto che sia il banner dei cookie, le Impostazioni dei Cookie e la Dichiarazione sulla protezione dei dati personali non contengano alcuna informazione sui cookie utilizzati da Google Analytics e altri servizi caricati sulla pagina E.
• Caricamento di strumenti senza autorizzazione: Senza autorizzazione vengono caricati Google Tag Manager, Video YouTube, DoubleClick, Google Universal Analytics, GA Audiences. In questo caso viene richiesta l'autorizzazione per Google Analytics. Non si può fare in modo più ingannevole.
• La revoca non viene eseguita: la revoca di un consenso precedentemente concesso non comporta la revoca. Come si è potuto constatare, anche dopo la revoca erano ancora impostati cookie obbligatori per il consenso.
• Definizioni ambigue: Un cittadino medio e anche un laureato in informatica hanno difficoltà a capire cosa esattamente sia la differenza tra Tracking, Personalizzazione e Marketing. Sotto Tracking è elencato Google Analytics, che è anche uno strumento di marketing. Nella sezione Personalizzazione è elencato Hotjar, un tool di tracciamento. Questo si presenta quando si clicca sul nome della categoria nel tool di consenso. Allo stesso modo viene menzionato Google Optimize, uno strumento per test A/B. Con questo si intendono ottimizzare i contenuti per singole fasce di pubblico. Ciò può – dal punto di vista del singolo utente che visita una pagina web – non essere compreso come personalizzazione, ma al massimo come ottimizzazione promozionale. Ancora più confuso e completamente fuori dalla portata della comprensione è la classificazione di Google Analytics Statistiche nella categoria Statistica e di Google Analytics nella categoria Tracking. Dove sia la differenza tra Google Analytics Statistiche e Google Analytics, è completamente ignoto e non si comprende neanche per un esperto. Un richiamo della funzione aiuto mediante clic sul simbolo di domanda rivela che questo tool è un "servizio di analisi web e statistico [che] viene utilizzato per l'analisi dell'utilizzo delle pagine web e per la misurazione del raggiungimento […]" e che questo tool utilizzi "cookie" e "pixel-tag". Per Google Analytics invece vengono menzionate solo le "tecniche" dei "cookie", quindi meno di quelle utilizzate dal altro (?) Tool, il quale non richiede alcuna autorizzazione. Per Google Analytics viene spiegato che si tratta di un "servizio di analisi web", quindi non anche uno strumento statistico come l'altro (?) Tool, il quale non richiede alcuna autorizzazione.
• Scelta illegale: nella sezione Statistica è chiamato Google Analytics Statistica. Questo strumento è già selezionato (attivato). Ciò è in base sentenza del Tribunale di Giustizia Europea sui cookie illegale, se si considera che i cookie di Google Analytics sono già stati impostati prima dell'autorizzazione. Inoltre, il trasferimento dei dati a paesi terzi (come gli Stati Uniti) senza autorizzazione preventiva e senza garanzie adeguate è illegale (cfr. sentenza del Tribunale di Giustizia Europea sul Privacy Shield e un catalogo di criteri da noyb per una valutazione caso per caso della legittimità dei trasferimenti di dati negli Stati Uniti).
• Falsa classificazione: nella sezione Tecnologicamente necessario è elencato Google Tag Manager. Questo strumento serve per il caricamento dinamico di altri strumenti, quindi non ha alcuna funzione. Naturalmente tutti gli strumenti caricati indirettamente con Google Tag Manager possono essere caricati direttamente.
• Spiegature contrastanti: A Google Analytics Statistik e a Google Analytics viene spiegato che il "luogo di elaborazione" è la "Unione Europea". Inoltre, si spiega che "Alphabet Inc." è uno dei destinatari dei dati. Notoriamente, la sede di Alphabet Inc. si trova negli Stati Uniti, quindi non nell'Unione Europea. A Google Analytics Statistik viene indicato come destinatario solo "Alphabet Inc.", mentre a Google Analytics anche "Google LLC" e "Google Ireland Limited". Giustificare ciò sarebbe pressoché impossibile. Perché il luogo di elaborazione per il Google Tag Manager è "Stati Uniti d'America" e per Google Analytics è l'"Unione Europea", non si riesce a capire. Questa spiegazione viene oggettivamente smascherata come assurdità, poiché Google Analytics viene caricato solo attraverso il Google Tag Manager.
• Offerta insufficiente: si specificano i destinatari dei dati con "Google LLC" ecc. Manca l'indicazione dell'indirizzo. L'indicazione dell'indirizzo è presente solo presso l'"azienda trattante".
• Descrizione dubbia dei servizi utilizzati: Il Google Tag Manager viene descritto in questo modo: „Questo è un sistema di gestione delle tag per la gestione dei tag JavaScript e HTML, che vengono utilizzati per l'implementazione degli strumenti di tracciatura e analisi. Non vengono trattate informazioni personali. Il Tag Manager è una domain senza cookie e non raccoglie informazioni personali. Tuttavia, il Google Tag Manager può attivare altri tag che potrebbero raccogliere e trattare informazioni personali.“ Questa descrizione è falsa per due motivi: in primo luogo, le informazioni personali sotto forma di indirizzi IP vengono raccolte già al momento dell'accesso al Google Tag Manager. In secondo luogo, la descrizione non è comprensibile. Un cittadino medio non sa cosa siano tag JavaScript. Ci sono inoltre tag JavaScript come concetto stabilito.
• Dati insufficienti per la trasmissione dei dati nei paesi terzi: Una dichiarazione in tal senso è presente nella richiesta di autorizzazione solo indirettamente, mediante il nome e la forma giuridica delle imprese, ma non viene menzionata l'indirizzo e lo stato del sedile della società. Esempio: Alphabet Inc.
• Mancanza di informazioni sui cookie: a quasi tutti i cookie utilizzati mancano le informazioni fondamentali, sia nella richiesta di consenso del sito web E che nella sua dichiarazione sulla protezione dei dati. Non è possibile trovare una "linea guida sui cookie" separata, come fanno alcune pagine web.
• Nessun collegamento cliccabile: Nella dichiarazione di protezione dei dati della pagina web E sono importanti collegamenti, come ad esempio "l'uso dei dati da parte dell'_Google Inc.", non cliccabili.

Sito web F

La finestra di consenso del sito web ha questo aspetto:

Risultati:

• Rimettere in evidenza la possibilità di rifiutare: il pulsante del rifiuto è etichettato come "Visualizza e modifica le impostazioni dei cookie" e visivamente nettamente spostato verso l'alto rispetto al pulsante dell'accettazione. Ciò contrasta con la giurisprudenza del Tribunale di Rostock (sentenza del 15.09.2020 – 3 O 762/19).
• Richiesta di consenso globale dubbia: attraverso la finestra di consenso si ottiene il consenso non solo per il sito web F, ma anche per altri siti del gestore. Se ciò è lecito è dubbio. Inoltre, su altre pagine web dovrebbero essere richieste le stesse autorizzazioni e sempre poter annullare le autorizzazioni delle altre pagine web.
• Caricamento illegale di strumenti senza autorizzazione: Caricati senza autorizzazione sono Google Tag Manager, Google Fonts, Google Ads, video YouTube e DoubleClick. Per DoubleClick viene richiesta un'autorizzazione che però non è sempre considerata, come ha dimostrato l'analisi del sito web F. Al caricamento di video YouTube senza autorizzazione vengono impostati cookie di terze parti con una durata di oltre 18 anni.
• La possibilità di recesso può essere richiesta tramite un link nella barra inferiore del sito web F. Tuttavia, questo link non funziona se la pagina attualmente visualizzata è la dichiarazione dei dati personali. Di conseguenza – considerando con rigore – la possibilità di recesso non è disponibile.
• La revoca non viene eseguita completamente: se si acconsente a tutti gli eventi, il popup di consenso richiede nuovamente l'assenso e poi revoca tutte le azioni; la pagina web non viene ricaricata. I servizi già revocati rimangono attivi. Almeno un cookie obbligatorio da parte di terzi che è stato impostato dopo il consenso, è ancora presente. Se si ricarica manualmente la pagina web, i servizi revocati non sono più attivi, ma il cookie citato prima è sempre presente.
• La possibilità di recesso non funziona con Google Analytics: Oltre al tool di consenso, nella dichiarazione dei dati personali c'è una presunta possibilità di disattivare la raccolta dei dati da parte di Google Analytics (tramite un pulsante Google Analytics disattiva). Cliccando sul pulsante verde, sembra che nulla accada, ad eccezione del fatto che viene visualizzato un testo di conferma come popup. Non viene impostato alcun cookie, come suggerisce l'immagine. A parte questo, un cookie di opt-out è una possibilità assolutamente cattiva per bloccare la raccolta dei dati da parte di un servizio terzo.
• Spiegazione mancante sui cookie utilizzati: forse è solo una coincidenza il fatto che tutte le pagine web esaminate, che utilizzano UserCentrics, non mostrino informazioni sui cookie, forse dipende da UserCentrics stesso. Sia il banner dei cookie sia le Cookie-Einstellungen e la privacy policy contengono nessuna informazione sugli cookie utilizzati.
• La categoria dei cookie non chiara: il sito F indica nella categoria Cookies tecnici, funzionali e di servizio per scopi di provvigione e fatturazione anche Cookies-Tecnici. Questo termine è stato incontrato dall'autore nonostante anni di lavoro sul tema della protezione dei dati nell'ambiente internet, mai prima d'ora. Il termine è generalmente incomprensibile, ambiguo e sembra voler indicare cookies tecnici orientati.
• Cookies necessari ma dubbi: Poiché il sito F non fornisce alcuna informazione tecnica sui cookie come nome, scopo, descrizione o durata di vita, si può solo fare supposizioni sulla seguente spiegazione dei cosiddetti cookie tecnici necessari: La ditta XYZ utilizza questi cookie per semplificare l'uso delle pagine web della ditta XYZ: con l'aiuto dei cookie la ditta XYZ può riconoscere nuovamente un utente in base a precedenti visite, se lo stesso utente visita nuovamente le pagine web della ditta XYZ. Un riconoscimento di un utente è ammesso in sé. Dubbia è però la modalità con cui ciò avviene. Il cookie evidentemente utilizzato come unico che supera una sessione, registra comunque solo l'impostazione della lingua. Ciò sarebbe stato da menzionare, a vantaggio proprio, se si intendesse con la spiegazione sopra citata._.
• Mancanza di avvertimenti sulla protezione dei dati: Nella dichiarazione sulla protezione dei dati della pagina web F mancano le informazioni sulla protezione dei dati relativi ai servizi utilizzati, ad esempio per i video di YouTube. Il Google Tag Manager non viene spiegato esplicitamente, ma solo implicitamente quando si tratta di servizi come strumento ausiliario che vengono attivati dal Tag Manager. La ragione è probabilmente dovuta al fatto che è stato scelto un approccio alla protezione dei dati basato sui cookie, che sembra comportare problemi.
• Mancanza di informazione sulla trasmissione dei dati nei paesi terzi: manca una dichiarazione diretta in questa richiesta di consenso, nonostante vengano utilizzati servizi che inviano i dati nei paesi terzi. Invece si fanno riferimenti agli operatori con il loro paese. È dubbia la possibilità che lo stesso paese sia quello del sedile dell'operatore menzionato, in cui (esclusivamente) vengono trasferiti i dati tramite il servizio utilizzato.
• Mancanza di informazioni sui cookie: sembrano essere quasi assenti tutte le informazioni sugli cookie utilizzati, sia nella richiesta di consenso del sito web F che nella sua dichiarazione sulla protezione dei dati. Non è possibile trovare una "linea guida sui cookie" separata, come fanno alcune pagine web.

Sito web G

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Ritardo ingiustificato nella possibilità di rifiutare: il pulsante "rifiuta" è stato intenzionalmente reso meno prominente rispetto al pulsante "accetta e chiudi". Entrambi colore e dimensione del pulsante "rifiuta" sono stati ritardati.
• Falsa denominazione del responsabile della protezione dei dati: per il servizio Matomo viene indicata come indirizzo email del responsabile della protezione dei dati privacy@matomo.org. Questo è ovviamente assurdo, poiché questo servizio è ospitato e gestito dal proprietario del sito web G (come spiegato anche da lui). Avrebbe dovuto essere indicata un'indirizzo email proprio suo. Un altro esempio di responsabile della protezione dei dati denominato in modo errato si trova nel servizio Google Ads Conversion Tracking. Lì è indicata l'indirizzo email sotto forma di link a una dichiarazione di protezione dei dati. Cliccando sul link, il programma di posta viene aperto perché il link è stato configurato come un mailto-link.
• Caricamento di strumenti senza autorizzazione: già al caricamento della pagina G e senza aver cliccato su nulla, vengono caricati gli strumenti Lead Feeder, Google Fonts e Google reCAPTCHA. A proposito di Google reCAPTCHA, si spiega che la condivisione dei dati avviene a livello mondiale. Ciò suggerisce un procedimento obbligatorio di autorizzazione che non viene riconosciuto. La situazione diventa ancora più confusa, poiché in quel punto viene fornito un link con la descrizione "Cliccare qui per revocare l'autorizzazione su tutte le domini dell'azienda trattante". In primo luogo, il senso di questa frase è dubbia e, in secondo luogo, si pone la domanda, perché un revoca per un servizio che afferma non essere obbligatorio di autorizzazione sia necessario. Lead Feeder viene caricato sempre, indipendentemente dalla condivisione dei dati o meno. Ciò contrasta con l'annuncio nel popup di autorizzazione della pagina G. A proposito del Google Tag Manager, la pagina G spiega che il luogo di trattamento è "Stati Uniti d'America" e che la "condivisione con terzi = mondo intero" avviene. Sembra molto come un procedimento obbligatorio di autorizzazione.
• Inadeguatezza nell'indicazione dei destinatari dei dati: Per il Google Tag Manager la pagina G indica come destinatario dei dati Alphabet Inc., Google LLC e Google Ireland Limited. Le sedi e i paesi bisogna indovinarli.
• Il scopo dei YouTube Videos viene spiegato dal popup di consenso del sito G in modo insufficiente (dettagli omessi, sono comprovati). Per il servizio "StackPath LLC" (probabilmente si intende StackPath, poiché StackPath LLC è la società che lo offre) viene fornita la seguente descrizione: "StackPath è una piattaforma per l'infrastruttura e i servizi informatici". L'autore mette in dubbio che questa descrizione sia sufficientemente esaustiva. Ciò a cui serve un servizio installato su un sito web, focalizzato sull'"infrastruttura informatica", sembra completamente oscuro.
• Descrizione generale incomprensibile: La frase di apertura nel popup del consenso recita "Con questo strumento potete selezionare e disabilitare diversi tag / tracker / strumenti di analisi utilizzati su questa pagina web.". È evidente che questa frase non è comprensibile a tutti. Nessuno deve sapere cosa sono i "tag" e in cosa consista la differenza tra "tracker" e "strumenti di analisi". Chiamare un popup del consenso uno "strumento" per il utente non è nemmeno la descrizione più chiara possibile.
• La revoca non viene eseguita completamente: se si acconsente a tutti gli eventi, il popup di consenso richiede nuovamente l'assenso e poi revoca tutte le azioni; la pagina web non viene ricaricata. I servizi già revocati sono comunque ancora attivi. Anche alcuni cookie obbligatori per l'assenso che sono stati impostati dopo il consenso, sono sempre presenti. Se si ricarica manualmente la pagina web, i servizi revocati non sono più attivi, ma i cookie citati prima sono sempre presenti.
• Mancanza di informazioni sui cookie: sembrano essere (tutte?) assenti le informazioni sugli cookie utilizzati, sia nella richiesta di consenso del sito G che nella sua dichiarazione sulla protezione dei dati. Non è possibile trovare una "linea guida sui cookie" separata, come fanno alcune pagine web.

Borlabs Cookie

Siti web trovati che utilizzano Borlabs Cookie:

• bondzio.de
• braeutigam-hotel.de
• heise-regioconcept.de
• mediana.de
• e un'altra (che potrebbe essere chiamata in seguito)

Da queste pagine web sono state testate e poi valutate.

Sito web A

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Non è possibile una decisione volontaria: un rifiuto diretto non è possibile. Ciò sembra essere illegale.
• Caricamento di strumenti senza autorizzazione: già al caricamento della pagina A e senza aver cliccato su nulla, vengono caricati gli strumenti Google Analytics e Google+. Vengono anche caricati i Google Fonts da Google Server.
• Informazioni mancanti sui strumenti utilizzati: I tool citati nel paragrafo precedente, Google Analytics, Google+ e Google Fonts, non vengono menzionati affatto nel popup di consenso, neanche nella categoria "Essenziale" (dettagli sulle categorie verranno mostrati dopo aver cliccato sul testo "Configura").
• La dichiarazione di fornitura è insufficiente: la dichiarazione di fornitura dei strumenti utilizzati è insufficiente. Come fornitore del Facebook Pixel viene nominato Facebook. Manca un indirizzo o una dichiarazione di forma giuridica. Ecco che si pone già solo la domanda, quale delle molte società Facebook potrebbe essere intesa.
• Descrizione insufficiente dell'obiettivo: Come scopo per il Facebook Pixel è indicato: “Il Facebook-Pixel è uno strumento di analisi. Puoi misurare l'efficacia delle tue pubblicità analizzando le azioni che le persone compiono sul tuo sito web.” In questo caso, il visitatore del sito viene rivolto come se fosse lui stesso a utilizzare il Facebook Pixel per ottimizzare la pubblicità. L'affermazione “Il Facebook-Pixel è uno strumento di analisi” è insufficiente perché non è comprensibile e non è completa. La frase successiva è falsa, in quanto: Il Facebook Pixel viene utilizzato soprattutto per identificare i visitatori come utenti di Facebook, al fine di inviare loro pubblicità su Facebook (chiamata Retargeting).
• Descrizione del cookie insufficiente: il nome del cookie è indicato come Facebook Pixel. Questo è sbagliato. Il nome del cookie è in realtà _fbp. Manca la durata del cookie. Questa informazione è però, secondo sentenza della Corte di Giustizia dell'Unione Europea sui cookies, obbligatoria.

Sito web B

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Ripristino della possibilità di rifiutare: il pulsante del rifiuto è etichettato con "salva e chiudi" e visivamente notevolmente spostato indietro rispetto al pulsante dell'accettazione. Ciò sembra essere illegale, almeno dannoso per l'utente
• Caricamento di strumenti senza autorizzazione: Senza autorizzazione vengono caricati Google Schriften e Google Maps. Nella dichiarazione dei dati personali del sito B viene invece erroneamente spiegato:„Questa pagina utilizza per la rappresentazione uniforme delle caratteri tipografici così dette Web Fonts, che sono fornite da Google. Le Google Fonts sono installate localmente. Non si verifica alcuna connessione ai server di Google.“
• Cookie necessario di dubbia legittimità con identificazione univoca dell'utente: il cookie chiamato _cfduid e con un valore composto da una sequenza di 43 caratteri avente una durata di 30 giorni viene impostato senza consenso. La sequenza è comunque adatta a identificare in modo univoco l'utente.
• Spiegazione mancante sui cookie utilizzati: Per alcuni cookie non viene indicata la durata di vita. Ad esempio, per il servizio "Funzione di chat su tawk.to" è fornita una lista dei cookie senza indicazione della durata e senza scopi relativi ai cookie: "cfduid, ss, tawkUUID, TawkConnectionTime, TawkCookie,_cfduid".
• La dichiarazione di fornitura è insufficiente: la dichiarazione di utilizzo dei tool è insufficiente. Evidentemente manca l'indicazione dell'indirizzo dei fornitori menzionati. Perché Google LLC viene nominato come fornitore di un servizio Facebook, rimane oscuro, in quanto non si trovava alcun servizio Facebook sul sito web.
• Descrizione insufficiente e falsa del scopo: Come nome per un servizio è chiamato "Contributi da Facebook rappresentano" , come scopo "Viene utilizzato per sbloccare contenuti di Facebook". Ciò che si intende con ciò rimane oscuro, in quanto non era possibile trovare alcun servizio Facebook sulla pagina web. Per Matomo viene descritto lo scopo in questo modo: "Cookie di Matomo per analisi della sito web. Crea dati statistici su come il visitatore utilizza la pagina web." Un servizio come Matomo non è un cookie. Un cookie non crea alcun dato. L'esecuzione è quindi falsa in ogni aspetto e nomina lo scopo di Matomo , ma non quello del Matomo-cookie, che non esiste (in quanto Matomo utilizza sulla pagina web tre cookies, indicati genericamente nel popup di consenso come _pk_@@XX8@@.@@XX8@@ , il che può essere considerato illegale, in quanto la durata è stata indicata per 12 mesi, il che è falso).
• La revoca non viene eseguita completamente: se si acconsente a tutti gli eventi, il popup di consenso richiede nuovamente l'assenso e poi revoca tutte le azioni; la pagina web non viene ricaricata. I servizi già revocati sono comunque ancora attivi. Tutti i cookie obbligatori per il consenso che sono stati impostati dopo l'assenso, sono sempre presenti. Se si ricarica manualmente la pagina web, almeno i servizi revocati non sono più attivi, ma tutti i cookie impostati dopo l'assenso sono ancora presenti.
• Informazioni mancanti sulla possibilità di recesso: nel popup del consenso non è presente alcun avviso sulla possibilità di recesso.
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è mancante una dichiarazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che trasmettono i dati nei paesi terzi.

Sito web C

Risultati

• Informazioni mancanti sulla possibilità di recesso: Mancano qualsiasi indicazione su una possibilità di recesso.
• Ripristino della possibilità di rifiutare: il pulsante del rifiuto è etichettato con "accetta solo i cookie essenziali" e ha la metà dell'altezza del pulsante di accettazione. Inoltre, il pulsante di accettazione è più visibile grazie alle frecce. Ciò sembra essere illegale, anche se il sito C è meglio organizzato rispetto a molti altri.
• Falsa classificazione di strumenti: Google Analytics viene inserito nella categoria Statistica. Sarebbe più corretto la categoria Marketing, in quanto lo strumento è gestito con cookie e porta a una ID client univoca per utente.
• Mancanza di indicazione dell'offerente: manca l'indicazione della ditta per l'offeredore Google LLC, che è indicato come responsabile di Google Analytics, la cui descrizione del servizio "Cookie di Google per analisi del sito web. Crea dati statistici sul modo in cui il visitatore utilizza il sito" è inadeguata, per descrivere il servizio Google Analytics.
• Spiegazione mancante dei cookie utilizzati: Mancano tutte le descrizioni sui tre cookie citati _ga, _gat, _gid. Il fine descritto si riferisce solo a un cookie (quale?). La "durata del cookie" di 2 anni si riferisce solo a uno dei tre cookie, gli altri due hanno durate diverse. Inoltre viene impostato un cookie chiamato _gat_gtag_UA_xxxx_1 che non viene spiegato. Al contrario il cookie _gat viene descritto, benché non sia stato impostato.
• Mancanza di avvertimenti sulla protezione dei dati: Nella dichiarazione sulla protezione dei dati del sito web C manca un'indicazione sul Google Tag Manager. La ragione è probabilmente che si è scelto un approccio alla protezione dei dati centrato sui cookie, che sembra comportare problemi.
• La revoca non viene eseguita completamente: se si acconsente a tutti gli eventi, il popup di consenso richiede nuovamente l'assenso e poi revoca tutte le azioni; la pagina web non viene ricaricata. I servizi già revocati sono comunque ancora attivi. Tutti i cookie obbligatori per il consenso che sono stati impostati dopo l'assenso, sono sempre presenti. Se si ricarica manualmente la pagina web, almeno i servizi revocati non sono più attivi, ma tutti i cookie impostati dopo l'assenso sono ancora presenti.
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è mancante una dichiarazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che trasmettono i dati nei paesi terzi.

Gestore del consenso

Siti web trovati che utilizzano il consent manager:

• consentmanager.de
• ffh.de
• haendlerbund.de
• mitsubishi-motors.de
• e un'altra (che potrebbe essere chiamata in seguito)

Da queste pagine web sono state testate e poi valutate.

Sito web H

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Troppi, presuntivamente cookies funzionali: Sono citati più di 10 cookie che, secondo la finestra di conferma del sito web H, sarebbero "funzionalmente puri e necessari per il funzionamento del sito web o delle relative funzioni".
• Spiegazione mancante dei cookie utilizzati: Non sono state fornite descrizioni dei significati dei cookie dichiarati. Indicare una scadenza con un trattino è molto dubbia e probabilmente insufficiente. Nella politica di riservatezza del sito web H si trova una descrizione per alcuni (non tutti) dei cookie. Esempio: “_cmpcpc*”/“_cmppurposes” – Informazioni sui fini scelti. Questa descrizione sembra incomprensibile e incompleta. Perché il cookie “euconsent_backup” debba essere unacopia di sicurezza del cookie “euconsent”, l'offerente del sito web H potrà spiegare a richiesta.
• Insufficient cookie declaration*: The declaration _gat_@@XX8@@ for Google Analytics cookies does not comply with regulations because the name is unclear and the information provided, such as the expiration time for this generic statement, can be false. In addition, the cookie named _ga is listed twice, each with a different domain, unnecessarily named in English ("Domain"), (remember: it mainly concerns German visitors to the website who do not need to understand English). During the test of the website only one cookie named _ga what found. Also missing are the descriptions for all mentioned cookies. The statement "Type: Measurement" is certainly not enough. What is being measured, why and why with five cookies?
• Ungenügende indicazione dei servizi: L'indicazione dei servizi utilizzati avviene in forma di categorie e fornitori. Sotto "Tutti gli Anbieter" è elencato ciò che sarebbe meglio chiamare "servizi": ad esempio Google Ads, Google Analytics, Google General, LinkedIn. Si legge come servizi, ma non come fornitori. Cosa sia Google General, probabilmente nessuno lo sa.
• Descrizione insufficiente dei servizi utilizzati: Per Google General viene indicato come " Fine del trattamento dei dati": "Misurazione". Ulteriori spiegazioni non si trovano nella finestra di conferma. Per Google Analytics viene fatto lo stesso. Ulteriori spiegazioni non si trovano neanche qui.
• Un'adesione insufficiente alla normativa sulla protezione dei dati personali: Chi vuole sapere cosa si intenda con Microsoft troverà come descrizione " Misurazione ". Nella versione in lingua tedesca della dichiarazione di protezione dei dati della pagina web H, si legge per Microsoft: Measurement. Ora dovrebbe essere tutto chiaro …
• La revoca non viene eseguita completamente: se si acconsente a tutti gli eventi, il popup di consenso richiede nuovamente l'assenso e poi revoca tutte le azioni; la pagina web non viene ricaricata. I servizi già revocati sono comunque ancora attivi. Tutti i cookie obbligatori per il consenso che sono stati impostati dopo l'assenso, sono sempre presenti. Se si ricarica manualmente la pagina web, almeno i servizi revocati non sono più attivi, ma tutti i cookie impostati dopo l'assenso sono ancora presenti.
• Caricamento illegale di strumenti e cookie senza consenso: Senza consenso vengono caricati i video di YouTube, DoubleClick, Calendly, Google Translate, Google Fonts e un script del dominio google.com. Anche su almeno una pagina della web site H viene caricato il servizio etracker senza consenso, nonostante venga richiesta la consapevolezza. YouTube e DoubleClick impongono cookie di terze parti senza consenso.
• Mancano le informazioni sulla protezione dei dati: Per DoubleClick, Calendly e Google Fonts mancano qualsiasi indicazione nella dichiarazione di protezione dei dati del sito web H.
• Mancanza di informazione sulla trasmissione dei dati nei paesi terzi: manca un'informazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che inviano i dati nei paesi terzi. Invece si fanno riferimenti agli operatori con il nome del paese. È dubbia la possibilità che lo stesso paese sia quello dove ha sede l'operatore menzionato, e in cui (esclusivamente) vengono trasferiti i dati tramite il servizio utilizzato. Inoltre, il nome del paese non è scritto a caratteri pieni, ma viene indicato con un codice ISO.

Sito web J

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Non è possibile una decisione volontaria: un rifiuto diretto non è possibile. Ciò appare illegale.
• Caricamento illegale di strumenti e cookie senza autorizzazione: Senza autorizzazione vengono caricati Google Tag Manager, YouTube Video, DoubleClick, Twitter Widget, Google Fonts, Google reCAPTCHA, una biblioteca JavaScript dal dominio googleapis.com, più file da cloudflare.com e un servizio chiamato Giosg. Anche su almeno una pagina del sito web H viene caricato il servizio etracker senza autorizzazione, nonostante venga richiesta l'autorizzazione. YouTube e DoubleClick impongono cookie di terze parti senza autorizzazione.
• Riclassificazione errata dei servizi: Come categorie nel finestra di consenso del sito web J sono elencate: Essenziale”: “Fine: essenziale”, “Funzione”: “Fine: funzione. Servizi necessari per l'utilizzo delle funzioni del sito web.”, “Misurazione”: “Fine misurazione”, “Marketing”: “Fine: marketing”. Le descrizioni qui riportate sono la descrizione originale del sito web J. Evidentemente queste descrizioni sono parzialmente errate. Per il sito web servono funzioni che possono essere disattivate. Le descrizioni di “Misurazione” e “Marketing” non esistono, al contrario il nome della categoria viene ripetuto come spiegazione del fine.
• Spiegazione mancante sui servizi utilizzati: sembra che non ci sia alcuna descrizione di cosa "Facebook" sia un servizio.
• Descrizione mancante dei cookie utilizzati: manca la descrizione del scopo dei cookie utilizzati. Al posto di essa, il lettore viene informato con precisione minuziosa che ad esempio il cookie chiamato ATN ha una scadenza di 729 giorni, 23 ore e 50 minuti. Come tipo per il cookie fr viene indicato [sconosciuto].
• Spiegazione mancante sui cookie utilizzati: per Google Analytics sono elencate senza descrizione del loro scopo due cookie, ga e gid. In realtà vengono imposti altri due cookie, ovvero gcl_au e gat_UI-xxxxx-1. Per il servizio Facebook si afferma che, oltre al cookie fbp, effettivamente impostato, vengono impostati anche i cookie ATN e fr, che non sono stati impostati durante il test condotto dall'autore con analisi automatica. Il cookie ATN è completamente sconosciuto in pubblico. Poiché lo scopo non viene descritto, ulteriori ricerche non sono possibili. Per YouTube non vengono elencati i cookie nel pannello di autorizzazione, sebbene in realtà vengano impostati YSC e VISITOR_INFO1-LIVE.
• Errata nella identificazione del fornitore: per il fornitore di "Facebook" (intendendo Facebook Connect e Facebook Audiences, come dimostra un'analisi) viene indicata una sede in Spagna. Una società con tale nome sembra non esistere (e se esiste, si chiede perché una pagina web tedesca abbia un partner commerciale spagnolo su Facebook). In realtà, la sede sembra essere stata cercata online e provenire da una pagina di fan di un servizio di taxi in Spagna, come risulta dalle mie ricerche. Nella dichiarazione dei dati personali della pagina web J è menzionato il pixel di Facebook e viene associato al fornitore Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA. Ciò significa che la precedente indicazione del fornitore era contraddittoria, ingannevole e falsa.
• Mancanza di menzione dei servizi utilizzati: Come descritto in precedenza, i servizi Facebook Connect e Facebook Audiences vengono riassunti in un servizio complessivo con il nome apparente Facebook.
• Dichiarazione di protezione dei dati contraddittoria: Nella dichiarazione di protezione dei dati del sito J si afferma che utilizziamo sul nostro sito il Google Tag Manager della Google LLC. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“). S_in quanto abitate normalmente nel territorio dell'Unione Europea o della Svizzera, è Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) il responsabile per i dati relativi a voi. Google Ireland Limited è quindi l'azienda collegata a Google che si occupa della gestione dei vostri dati e dell'osservanza delle norme di protezione dei dati applicabili._.
• Difficoltà nel recesso: non è possibile annullare tutte le autorizzazioni con un clic. Al contrario, bisogna cliccare su ogni categoria separatamente per poter disabilitarle manualmente. Ciò richiede otto clic.
• La revoca non viene eseguita completamente: se si acconsente a tutti gli eventi, il popup di consenso richiede nuovamente l'assenso e poi revoca tutte le azioni; la pagina web non viene riportata in primo piano. I servizi già revocati sono tuttavia ancora attivi. Tutti i cookie obbligatori per il consenso, che sono stati impostati dopo l'assenso, sono sempre presenti. Se si ricarica manualmente la pagina web, almeno le azioni revocate non sono più attive, ma tutti i cookie impostati dopo l'assenso – compresi quelli di terze parti e domini esterni – sono ancora presenti.
• Mancanza di informazione sulla trasmissione dei dati nei paesi terzi: manca un'informazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che inviano i dati nei paesi terzi. Invece si fanno riferimenti agli operatori con il nome del paese. È dubbia la possibilità che lo stesso paese sia quello dove ha sede l'operatore menzionato, e in cui (esclusivamente) vengono trasferiti i dati tramite il servizio utilizzato. Inoltre, il nome del paese non è scritto a caratteri pieni, ma viene indicato con un codice ISO.

Sito web K

La finestra di consenso del sito web ha questo aspetto:

Cookiebot

Siti web trovati che utilizzano Cookiebot:

• cookiebot.de
• werdewelt.info
• techem.de
• e un'altra (che potrebbe essere chiamata in seguito)

Da queste pagine web sono state testate e poi valutate.

Una breve analisi dell'indirizzo IP (72.246.29.131), richiamato al caricamento dello script Cookiebot di consentcdn.cookiebot.com, ha mostrato:

Secondo Traceroute la rete indicata è ospitata negli Stati Uniti. Ciò può essere vero, ma non deve necessariamente esserlo, in quanto le IP vengono periodicamente rilasciate e riassegnate. La probabilità che tra mille chiamate a un Cookiebot Script si verifichi l'indirizzo negli Stati Uniti sembra essere alta. Per questo motivo solo, consiglio di cercare una soluzione alternativa.

Sito web X

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Informazioni mancanti sulla possibilità di recesso. Mancano qualsiasi indicazione su una possibilità di recesso.
• Caricamento di strumenti senza autorizzazione: già al caricamento della pagina X e senza aver cliccato su nulla, vengono caricate i servizi Gravatar, Google Analytics e Google Tag Manager. Vengono richieste le autorizzazioni per entrambi i servizi Google. Gravatar non viene menzionato da nessuna parte.
• Falsa attribuzione di servizi a fornitori: ad esempio viene indicato come fornitore del cookie di Google Analytics il Google Tag Manager, un servizio e non una società, così come viene indicato come fornitore Google, chiunque o qualunque cosa sia Google.
• Mancanza di indicazione dell'offerente: mancano le marche di identificazione dell'offerente comprese le informazioni sulla società per tutti i servizi!
• Informazioni sui cookie insufficienti: per alcuni cookies viene utilizzato un termine di durata non comprensibile, cioè Persistent. Il termine "persistent" è incomprensibile per l'utente medio. Inoltre, non dice nulla sulla vera durata, poiché questa non può essere infinita. L'indicazione "HTML" sul tipo di cookie è assurda. Non esistono cookies di questo tipo. È probabile che si sia inteso HTML Web Storage e in questo contesto Local Storage (un termine che un utente medio non deve comprendere).
• Mancanza di avvertimenti sulla protezione dei dati: Per i servizi Google Analytics, Google Tag Manager, YouTube Videos, DoubleClick, Google Dynamic Remarketing, Gravatar e Zendesk mancano qualsiasi descrizione nella dichiarazione sulla protezione dei dati. In generale, non viene menzionato nessun servizio nella dichiarazione sulla protezione dei dati. In una dichiarazione sui cookie, separata, che però da alcune pagine non è collegabile e quindi non raggiungibile, vengono indicati i servizi, ma solo se si è mentalmente disposti a considerare l'indicazione di un fornitore per cookie come servizio.
• Cookie necessari dubbi: Come necessari e quindi non scollegabili sono 28 cookie nominati. Si può dubitare se siano realmente necessari così tanti cookie per il funzionamento minimo della pagina web.
• Opzione di recesso difficile da trovare: non viene fatto riferimento all'opzione di recesso nel popup del consenso. Inoltre, è necessario prima richiamare la pagina con l'explanazione sui cookie e poi trovare e cliccare sul link Riduci la tua autorizzazione.
• La revoca non viene eseguita completamente: se si ricarica la pagina web manualmente, sono presenti alcuni dei cookie impostati prima della revoca. Ciò è evidentemente illegale, perché la revoca è stata parzialmente ignorata. Solo i servizi per cui non è stato rinnovato l'assenso non vengono più caricati, ad eccezione di Google Analytics, Google Tag Manager e Gravatar, che continuano a essere caricati. Se si ricarica la pagina web X e si concede nuovamente il consenso, ad esempio per Google Analytics, può accedere ai cookie presenti in una sessione precedente. È così possibile seguire ulteriormente l'utente. Altrimenti lo stesso utente sarebbe considerato ufficialmente (secondo Google) come due utenti diversi nelle due sessioni.
• Descrizione di cookie incomprensibile: Per il cookie _gat [x4] viene riportato come scopo: “Viene utilizzato da Google Analytics per limitare la richiesta di accesso”. Questa affermazione è anche per un esperto di IT incomprensibile. Ciò che l'indicazione [x4] dopo il nome del cookie significa, rimane oscuro. Per il cookie ads/ga-audiences viene riportato come scopo: “Utilizzato da Google AdWords per coinvolgere nuovamente i visitatori che sono probabili di convertirsi in clienti sulla base del comportamento online dei visitatori su siti web diversi.”. Un utente tedesco non deve capire l'inglese.
• Classificazione dubbia dei servizi/cookies: Nella categoria Marketing è citato in particolare YouTube.
• L'attenzione è focalizzata sui cookie piuttosto che sui servizi: si nota che il sito X sembra considerare i cookie come rilevanti per la protezione dei dati, ma non fornisce informazioni sugli strumenti utilizzati; nella richiesta di consenso non sono presenti informazioni sugli strumenti utilizzati; gli strumenti che in apparenza non immettono i cookie non vengono neanche menzionati.
• Presentazione disordinata: se l'utente vuole leggere tutte le informazioni nella finestra di conferma, deve scorrere attraverso un piccolo campo di visualizzazione che rimane sempre piccolo anche con grandi risoluzioni dello schermo. Ciò sembra inaccettabile e quindi è probabilmente illegale.
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è mancante una dichiarazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che trasmettono i dati nei paesi terzi.

Sito web Y

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Selezione non autorizzata: Come mostrato nell'immagine, tutte le opzioni sono attivate. Un clic diretto sui pulsanti "Consenti la selezione" e "Accetta i cookie" è quindi equivalente e non rispettoso della privacy.
• Mancanza di informazioni sulla possibilità di recesso: Come mostra l'immagine, manca ogni indicazione della possibilità di recesso.
• Denominazione errata dei cookie: La visuale dettagliata mostra una spiegazione sui cookie, che è sbagliata. I cookie con i presunti nomi /fileadmin/razor/Dist e /typo3temp/ non esistono secondo la valutazione del sito web Y. Gli scopi non sono stati nominati, ma descritti come In attesa. Ciò suggerisce che lo strumento utilizzato, Cookiebot, non conosce gli scopi. Un altro cookie viene indicato con il nome lang[x2]. Sono intesi due cookie, di cui solo uno è stato nominato da Cookiebot, l'altro (secondo il protocollo di Cookiebot è ads.linkedin.com) è stato omesso.
• Dati mancanti sui cookie: come già detto, mancano le descrizioni dei cookies.
• Mancanza di menzione dei cookie: Assolutamente non nominati, ma secondo il test della pagina web Y sono evidentemente utilizzati, i cookie con i nomi be_typo_user e be_lastLoginProvider.
• Caricamento di strumenti senza autorizzazione: già al caricamento della pagina web Y e senza aver cliccato su nulla, vengono caricate i servizi Google Maps, Facebook Connect, Calendly, Google Fonts, Podigee Podcast Player e Google Tag Manager. Facebook Connect imposta un cookie chiamato fr con una durata di 3 mesi per il dominio facebook.com. Calendly imposta un cookie chiamato _calendly_session con una durata di 21 settimane per il dominio calendly.com.
• Presentazione disordinata: se l'utente vuole leggere tutte le informazioni nella finestra di conferma, deve scorrere attraverso un piccolo campo di visualizzazione che rimane sempre piccolo anche con grandi risoluzioni dello schermo. Ciò sembra inaccettabile e quindi è probabilmente illegale.
• Mancanza di avvertimenti sulla protezione dei dati: Sulla pagina web Y mancano qualsiasi informazione nella dichiarazione sulla protezione dei dati sui tool Cookiebot, Calendly e Podigy.
• I consigli di protezione dei dati sono falsi: Sul sito web Y si spiega che il tool consentmanager viene utilizzato per le richieste di autorizzazione. Ciò è falso. In realtà, viene utilizzato Cookiebot.
• Mancanza di possibilità di recesso: sulla pagina web Y non è stato possibile trovare una possibilità per effettuare il recesso dell'autorizzazione concesso.
• La dichiarazione di protezione dei dati non è direttamente accessibile: al momento dell'accesso alla dichiarazione di protezione dei dati della pagina web Y compare il popup di conferma, a meno che non sia stato già confermato. Il lettore diretto della dichiarazione di protezione dei dati non è quindi possibile.
• Falsa classificazione di strumenti/cookies: I cookie appartenenti a Google Analytics vengono falsamente attribuiti al Google Tag Manager. Questa falsa attribuzione deriva sicuramente dal fatto che il Google Tag Manager serve per ricaricare dinamicamente Google Analytics. Il Tag Manager è quindi solo l'initiatore del processo di caricamento dello strumento, che in realtà imposta e legge i cookie _ga, _gat e _gid.
• Manca la dichiarazione dei fornitori: per i fornitori degli strumenti (qui menzionati solo sotto forma di cookie) non viene riportata alcuna denominazione. Ciò riguarda tutti e 29 i cookies citati sul sito Y.
• Mancanza di menzione dei servizi utilizzati: I servizi utilizzati non vengono menzionati nella richiesta di consenso sul sito web Y (e se lo sono, solo parzialmente e in modo indiretto nel presunto scopo di un cookie, vedi Figura 68). Al contrario, il Cookiebot Tool si concentra su Cookiebot sul sito web Y.
• Falsificazione dell'indicazione del fornitore: per un cookie viene indicato come fornitore DrawBridge. Drawbridge sono stati acquistati da LinkedIn nel 2019, ma continuano a essere indicati come fornitori nella richiesta di autorizzazione sul sito Z. La pagina web di DrawBridge reindirizza alla pagina web di LinkedIn (o almeno lo faceva fino a metà del 2023, probabilmente non più). Cliccando sul link a Drawbridge, visibile nell'immagine, si arriva non sulla dichiarazione dei dati personali come previsto, ma sulla pagina https://business.linkedin.com/de-de/marketing-solutions-b, che contiene solo informazioni pubblicitarie e nessuna indicazione sui diritti relativi ai dati personali.
• Descrizione incomprensibile sui cookie: le descrizioni sui cookie sono spesso incomprensibili per il cittadino medio. Esempio del cookie bcookie dell'azienda LinkedIn: “Utilizzato dal servizio di social networking LinkedIn per tracciare l'utilizzo dei servizi integrati.” Niente è menzionato su cosa esattamente si intenda con LinkedIn e chi sia l'azienda fornitore.
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è mancante una dichiarazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che trasmettono i dati nei paesi terzi.

Sito web Z

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Caricamento di strumenti e cookie senza consenso: già al caricamento della pagina Z e senza aver cliccato su nulla, vengono caricate le funzionalità Google Ads, LinkedIn Analytics, YouTube Video, etracker nonché file da cloudflare.com. Il servizio etracker imposta due cookie senza consenso con una durata di 2 anni, uno dei quali sulla domanda etracker.com. Il servizio LinkedIn Analytics imposta sei cookie senza consenso con una durata compresa tra un giorno e 2 anni, tutti sulla domanda linkedin.com.
• Riposizionamento della possibilità di rifiutare: il pulsante "rifiuta" è visivamente molto indietro rispetto al pulsante "accetta". Ciò sembra essere illegale.
• Opzione di recesso difficile da trovare: nella barra laterale della pagina Z c'è un punto del menu chiamato Widerruf. Questo però non porta all'opzione di recesso per le impostazioni dei cookie già confermate. Invece l'appello all'opzione di recesso è nascosto in forma di link testuale nella dichiarazione sulla protezione dei dati, che si trova nel testo normale.
• La revoca non viene eseguita completamente: caricando la pagina web manualmente, il cookie et_coid viene nuovamente impostato, nonostante venga richiesta l'autorizzazione. In un test è stata eseguita la revoca (eccetto il punto sopra menzionato). In un altro test la revoca non è stata eseguita, dopo che era stata già effettuata e poi erano stati consentiti tutti i cookie.
• Presentazione disordinata: se l'utente vuole leggere tutte le informazioni nella finestra di consenso, deve scorrere attraverso un piccolo campo di visualizzazione che rimane sempre piccolo anche con grandi risoluzioni dello schermo. Ciò sembra inaccettabile e quindi è probabilmente illegale.
• Offerta di fornitore insufficiente: per tutti i 16 cookie indicati con Z sulla pagina web, non è stato fornito il nome del fornitore. Manca sempre la dichiarazione aziendale.
• Descrizione incomprensibile sui cookie: le descrizioni dei cookie sono spesso incomprensibili per il cittadino medio. Esempio: "Enthält Base64-kodierte Daten il Besucherhistorie (is Kunde, Newsletter-Empfänger, Visitor ID, angezeigte Smart Messages) zur Personalisierung (nur bei Cookie-Aktivierung).“ In questo esempio specifico la descrizione contiene inoltre un riferimento al fatto che essa è valida (o viene utilizzata solo per la personalizzazione?) solo se una Cookie-Aktivierung è presente. Ciò che si intende con Cookie-Aktivierung e perché questa affermazione condizionale sia presente, rimane oscuro.
• Errore di identificazione del fornitore: per un cookie viene indicato come fornitore DrawBridge (vedi qui la pagina web X).
• Mancano le informazioni sulla protezione dei dati: Per Drawbridge, Google Tag Manager e Calendly mancano gli obbligatori avvisi nella dichiarazione di protezione dei dati della pagina web Z.
• Denominazione errata dei cookie: Un cookie viene indicato con il nome et_coid[x2]. Si intendono due cookie, di cui solo uno è stato nominato da Cookiebot, l'altro (secondo il protocollo Cookiebot della pagina web Z) è stato occultato.
• La dichiarazione di protezione dei dati non è accessibile direttamente: al momento dell'accesso alla dichiarazione di protezione dei dati della pagina Z compare il popup di conferma, a meno che non sia stato già confermato. Il lettore diretto della dichiarazione di protezione dei dati non è quindi possibile.
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è mancante una dichiarazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che trasmettono i dati nei paesi terzi.

CCM19

Siti web trovati che utilizzano CCM19:

• ccm19.de
• crifbuergel.de
• hertie.de
• e un'altra (che potrebbe essere chiamata in seguito)

Da queste pagine web sono state testate e poi valutate.

Sito web L

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Riposizionamento della possibilità di rifiutare: Il pulsante "rifiuta" è visivamente molto indietro rispetto al pulsante "accetta". Ciò sembra essere illegale. Quello che differenzia Ablehnen e Speichern non è evidente e quindi è ingannevole.
• Mancanza di informazioni sui categorie: La pagina web L classifica gli strumenti e i cookie utilizzati in Tecnico necessario / Essenziale, Analisi e Personalizzazione. Una descrizione di queste categorie manca completamente nella richiesta di consenso.
• Errore di descrizione dei servizi: Per Matomo viene spiegato, tra l'altro: "Raccolta di indicatori per l'analisi web, i dati vengono completamente anonimizzati. Non sono conservate informazioni riconducibili a un utente, l'indirizzo IP viene ridotto ai suoi ultimi 3 caratteri." L'indirizzo IP viene probabilmente ridotto ai suoi ultimi 3 caratteri e non in modo da eliminare solo gli ultimi 3 caratteri. Altrimenti ci sarebbero solo 256 possibili valori (allora si potrebbe lasciare cadere la raccolta). Inoltre, è lecito dubitare che i dati vengano completamente anonimizzati durante la raccolta con Matomo. Un test ha mostrato che anche i parametri URL della pagina L con Matomo vengono rilevati. I parametri URL possono contenere dati personali. Esempio: https://www.anonyme-webseite-m.de/aus-versehen-eingefuegte-information_
• Caricamento di strumenti senza autorizzazione: Senza autorizzazione vengono caricati Google Fonts. Dopo il Brexit e senza un regolamento adeguato, si aggiungerebbe anche OpenStreetMap. OpenStreetMap viene offerto da una società nel Regno Unito (UK).
• Mancano le informazioni sulla protezione dei dati: Mancano completamente le informazioni sulla protezione dei dati per il servizio Google Schriften.
• Istruzioni contrastanti per la protezione dei dati: Nonostante venga richiesta una autorizzazione per il servizio Matomo, la dichiarazione di protezione dei dati spiega al riguardo:“Basis legale: Interesse legittimo, art. 6 comma 1 lettera f del GDPR”.
• Mancanza di un collegamento alla dichiarazione dei dati personali: Sul sito web L manca il collegamento alla dichiarazione dei dati personali su almeno una pagina.
• Per il sito web ci sono meno dati disponibili rispetto ad altri siti web. La principale ragione è che il sito web utilizza solo pochi servizi.

Sito web M

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Nessuna decisione volontaria possibile: come si può vedere nell'immagine, non è possibile una diretta rifiuto. Mi sembra chiaramente illegale.
• Mancanza di informazioni sulla possibilità di recedere: come mostrato nell'immagine, manca un chiaro avviso sulla possibilità di recedere. L'informazione sul recesso è possibile solo dopo aver scorruto il sottile righello a destra della finestra. Come mostra l'immagine, la rappresentazione su smartphone è subottimale.
• Rilascio di informazioni insufficienti: per il tool di consenso utilizzato, la pagina web M dichiara come editore "XYZ AG" (il vero nome della società è stato sostituito con XYZ per rendere anonimo l'amministratore del sito). L'indirizzo dell'azienda non viene menzionato.
• Ungenügende informazioni sui cookie: Per alcuni cookie viene fornita una durata in inglese. Esempi: 30 minutes, Session.Per un cookie chiamato sid viene indicata la durata con il numero 1 (senza unità) ma manca completamente la descrizione del scopo di questo cookie. Per alcuni cookie si fa una menzione apparentemente generica. Esempio: ev_sync_*Poiché i diversi cookie hanno scopi diversi (altrimenti non sarebbe necessario utilizzare più cookie) mancano le descrizioni precise per i cookie indicati in modo generico. Al contrario, a questa menzione generica viene attribuito lo scopo:* “Un cookie di terzo fornito specificamente per borsa pubblicitaria che sincronizza l’ID del navigatore con Advertising Cloud e la borsa pubblicitaria partner. Il cookie viene creato per nuovi navigatori e invia una richiesta di sincronizzazione quando è scaduto.”Il significato profondo di questa spiegazione sarà oscuro per molti utenti.
• Caricamento di strumenti e cookie senza consenso: Senza consenso vengono caricati Google Tag Manager, Bing Ads, DoubleClick Ad Exchange e YouTube Video.
• Mancanza di menzione dei cookie: alcuni dei cookie utilizzati non vengono affatto menzionati sul sito M, ad esempio più di un cookie First-Party con una durata di vita che va da alcune settimane a diversi anni. Inoltre, il cookie _uetvid non viene spiegato, probabilmente imposto da Microsoft Bing Ads (poiché al tool del cookie _uetsid viene fornita una spiegazione, con un nome quasi identico a quello di _uetvid).
• Classificazione insufficiente dei servizi/cookies: La pagina web M elenca tre categorie: Tecnico necessario, Analisi e Annunci / Ads. A nessuna delle categorie viene fornita una descrizione. Google Analytics è associato alla categoria Annunci / Ads. Alcuni potrebbero voler associare lo strumento alla categoria Analisi. La categoria Analisi è invece associata a Microsoft Bing Ads, che si adatterebbe meglio al nome nella categoria Annunci / Ads.
• Informazioni sulla protezione dei dati insufficienti per gli strumenti utilizzati: Nella richiesta di consenso viene fornito il link alla dichiarazione di protezione dei dati del tool Microsoft Bing Ads. Il link è https://about.ads.microsoft.com/en-us/resources/policies/remarketing-in-paid-search-policies e si riferisce a una pagina in inglese che appare evidentemente non adatta per l'utente tedesco.
• Manca la possibilità di recedere: non è possibile annullare tutte le autorizzazioni con un clic. Al contrario, bisogna cliccare su ogni categoria in successione e poi premere il pulsante Salva. Ciò richiede complessivamente tre clic dopo che si è aperto la finestra delle autorizzazioni.
• Descrizione insufficiente degli strumenti utilizzati: A proposito di Microsoft Bing Ads si spiega il fine come segue: “Questo è un cookie utilizzato da Microsoft Bing Ads e che è un cookie di tracciatura. Consente di entrare in contatto con un utente che ha visitato precedentemente il sito web.” Evidentemente, viene confuso un servizio con un cookie. Ciò che si vuole intendere con questa spiegazione probabilmente diventerà chiaro per la maggior parte degli utenti.
• La revoca non viene eseguita: la revoca rimuove nessuno dei cookie obbligatori di consenso dal dispositivo dell'utente, neanche dopo il riavvio manuale della pagina web. Inoltre, la pagina web non si ricarica, quindi gli strumenti già caricati possono continuare a raccogliere dati.
• La dichiarazione di protezione dei dati non è direttamente accessibile: al momento dell'accesso alla dichiarazione di protezione dei dati della pagina M compare il popup di conferma, a meno che non sia stato già confermato. Il lettore diretto della dichiarazione di protezione dei dati non è quindi possibile.
• I dati personali non sono protetti: Mancano qualsiasi informazioni sulla protezione dei dati per Google Tag Manager e etracker nella dichiarazione di protezione dei dati del sito web M. Per alcuni servizi manca la menzione, ad esempio per Google Analytics: "Questa pagina utilizza Google (Universal) Analytics, un servizio di analisi web della Google LLC (www.google.de). Ciò serve a garantire l'ottimizzazione della nostra offerta in base all'interesse prevalente, ai sensi dell'art. 6, comma 1, lettera f), del GDPR. Google (Universal) Analytics utilizza metodi che consentono di analizzare il comportamento dei visitatori, come ad esempio i cookie." Mancano le informazioni sull'indirizzo della Google LLC. Inoltre, viene indicato l'interesse legittimo per l'utilizzo del tool. Ciò contrasta con la circostanza che per il tool si richiede un consenso.
• Una dichiarazione inutilizzabile per la trasmissione dei dati nei paesi terzi: Una dichiarazione utile a questo scopo manca nella richiesta di consenso per il Facebook Pixel. Citazione: „Luogo del trattamento: Facebook non fornisce informazioni sul luogo del trattamento dei dati. Probabilmente Europa Irlanda.“ La dichiarazione è obbligatoria.

Sito web N

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Informazioni mancanti sulla possibilità di recesso: Come mostra l'immagine, non c'è alcun avviso sulla possibilità di recesso. Anche nel testo visibile solo dopo aver scorruto la pagina non c'è questo avviso.
• Rappresentazione insufficiente delle informazioni: come si può vedere nell'immagine, le spiegazioni sulla richiesta di consenso sono accessibili solo dopo aver scorruto la pagina. Il barra di scorrimento a destra dell'immagine è però così poco visibile che può essere considerata non disponibile.
• Caricamento di strumenti e cookie senza consenso: Senza consenso vengono caricati: Video YouTube, etracker, DoubleClick Remarketing, Widget Twitter, Google Fonts, Google reCAPTCHA, Widget LinkedIn oltre a un IFRAME da una terza domanda. Senza consenso vengono inoltre imposti cookie dalle domini youtube.com e doubleclick.net, che hanno una durata (di solito molto) superiore ad una sessione.
• Ritardata illegittima la possibilità di rifiutare: il pulsante "rifiuta" è visivamente spostato indietro rispetto al pulsante "accetta". Ciò appare (ancora) illegittimo.
• Mancante il link alla dichiarazione di trattamento dei dati: Sul sito web N manca il link alla dichiarazione di trattamento dei dati su almeno una pagina.
• La dichiarazione di protezione dei dati non è direttamente accessibile: al momento dell'accesso alla dichiarazione di protezione dei dati della pagina N compare il popup di conferma, a meno che non sia stato già confermato. Il lettore diretto della dichiarazione di protezione dei dati non è quindi possibile.
• Mancanza di avvertimenti sulla protezione dei dati: Per Google Schriften, DoubleClick Remarketing e Google reCAPTCHA manca qualsiasi avviso nella dichiarazione dei diritti dell'utente della pagina N.
• Manca la possibilità di recedere: anche dopo una ricerca prolungata non è stato possibile trovare su sito N la possibilità di revocare l'autorizzazione precedentemente concessa.
• Rilievo insufficiente: per il tool di consenso utilizzato, la pagina N riporta come editore "Papoo Software & Media Gmbh – CCM19 Cookie Consent Manager". Non viene fornita alcuna indicazione di indirizzo, al posto della quale è riportata una denominazione del prodotto ("CCM19 Cookie Consent Manager") al posto di un'indicazione aziendale.
• Mancanza di menzione dei cookie: alcuni dei cookie utilizzati non vengono affatto citati sul sito N, ad esempio più cookie che sono impostati dai script dei video di YouTube.
• Dati mancanti sui cookie: alcuni cookie vengono dichiarati senza fornire alcun dato, ma con la pseudo-dichiarazione N.A. per tutti i criteri (editore, descrizione ecc.).
• Ungenügende informazioni sui cookie: Per un cookie non viene specificata affatto la durata, né il suo scopo. Per un cookie chiamato ASP.NET_SessionId viene indicata la durata con il numero 0 (senza unità di misura), mentre manca completamente la descrizione del suo scopo. Per alcuni cookie si effettua una denominazione apparentemente generica. Esempio: _gat_gtag_UA_@@XX8@@. Poiché i vari cookie hanno scopi diversi (altrimenti non sarebbe necessario utilizzare più di un cookie) mancano descrizioni precise per i cookie denominati in modo generico. Al contrario, a questa denominazione generica viene attribuito lo scopo: “Viene utilizzato per rallentare la frequenza delle richieste. Se Google Analytics è fornito tramite il Google Tag Manager, questo cookie assume il nome _dc_gtm_ .”. Questa descrizione appare del tutto inadeguata per spiegare lo scopo di un cookie (o strumento, che si sa non è molto chiaro al CCM19 utilizzo su web site N) a un cittadino medio.
• Classificazione insufficiente dei servizi/cookies: La pagina N elenca tre categorie: Necessari tecnici, Analisi, Marketing e Annunci / Ads. Non viene fornita alcuna descrizione per nessuna delle categorie. Al cittadino medio sarà difficile capire la differenza tra Marketing e Annunci / Ads. Google Analytics è stato assegnato alla categoria Annunci / Ads. Qualcuno potrebbe voler attribuirlo alla categoria Analisi.
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è necessaria una dichiarazione che manca per alcuni strumenti nella richiesta di consenso. La dichiarazione è obbligatoria.
• Mancanza di impegno: Sul finestra di conferma è presente un link chiamato imprint. Cliccando su questo link compare una finestra a pop-up vuota con la dicitura imprint.

Sì!

Siti web trovati che utilizzano Klaro!:

• www.dillinger.de
• kiprotect.com
• digitale-helden.de
• e un'altra (che potrebbe essere chiamata in seguito)

Da queste pagine web sono state testate e poi valutate.

Klaro! sembra essere utilizzato principalmente da siti web che già pongono grande attenzione alla protezione dei dati, in cui vengono utilizzati solo pochi strumenti. La diffusione di Klaro! non è particolarmente alta. Di seguito sono riportati quindi i risultati per due soli siti web. Sembrerebbe che un aggiornamento del nucleo di Klaro! non funzioni o non sia previsto, poiché le versioni dei finestri di dialogo dell'assenso di Klaro! su diversi siti web avevano aspetti molto diversi e sembravano avere una migliore configurazione nelle versioni più recenti.

Sito web P

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Affermazione ingannevole sulla raccolta dei dati: come si può vedere nell'immagine, si fa finta che solo la pagina web appena visitata raccoglie informazioni sull'utente („… quali informazioni raccogliamo su di voi“) e non anche altri terzi.
• Informazioni mancanti sulla possibilità di recesso: Come la figura mostra, manca qualsiasi indicazione su una possibilità di recesso.
• Mancanza di dichiarazione del fornitore: mancano le indicazioni del fornitore comprese le informazioni sulla società per tutti i servizi nella richiesta di consenso.
• Mancanza di menzione dei servizi e dei cookie utilizzati: come si può vedere nell'immagine, mancano tutte le menzioni dei servizi e dei cookie utilizzati. Una visuale dettagliata non è chiaramente accessibile.
• Descrizione mancante dei servizi utilizzati: Come mostrato nell'immagine, mancano tutte le descrizioni dei servizi utilizzati.
• Attivazione dubbia di un tool: prima che la richiesta di consenso venga confermata, i servizi di analisi etracker sono già attivi. Ciò risulta dalla dichiarazione dei diritti sulla privacy, in cui questo servizio è contrassegnato con un cursore come attivo. Nella finestra stessa della richiesta di consenso questa impostazione non può essere modificata.
• Mancanza di avvertimenti sulla protezione dei dati: Per il servizio DoubleClick mancano qualsiasi descrizione nella dichiarazione dei diritti (anche per Google Ads, un possibile sinonimo per DoubleClick, non vengono fornite informazioni). Per il servizio Eloqua l'editore viene nominato in modo insufficiente con Oracle Marketing Cloud nella dichiarazione dei diritti. Anche nella dichiarazione dei diritti non si trovano alcun avvertimento sui cookie specifici. Al posto di ciò, si trovano solo spazi vuoti.
• Caricamento di strumenti senza autorizzazione: già al semplice richiamo della pagina P e senza che nulla sia stato cliccato, vengono caricati gli strumenti Google Maps, YouTube Video, Eloqua e DoubleClick. Per Google Maps e YouTube Video (probabilmente) vengono richieste le autorizzazioni nelle categorie Maps e Video – esattamente non si può dire, poiché mancano tutte le descrizioni dei servizi nel finestra di autorizzazione. Google Maps viene caricato anche senza autorizzazione e funziona pienamente e visibilmente, mentre i video YouTube sono caricati in modo invisibile, ma solo come script YouTube Video nel retroterra. Anche etracker viene caricato in questo modo. In seguito a ciò, viene impostato un cookie chiamato _et_coid con un valore adatto per l'identificazione dell'utente e una durata di due anni, nonché la domanda etracker.com. Ciò è anch'esso obbligatorio autorizzativo, almeno non viene fatta alcuna dichiarazione su un DPA o simili.
• La dichiarazione di protezione dei dati non è direttamente accessibile: al momento dell'accesso alla dichiarazione di protezione dei dati della pagina web P, compare il popup di conferma, a meno che non sia stato già confermato. Il lettore diretto della dichiarazione di protezione dei dati non è quindi possibile.
• La dichiarazione di protezione dei dati non è disponibile: al primo accesso alla pagina P il finestra di consenso copre tutte le link, anche quelli per la dichiarazione di protezione dei dati. Di conseguenza questa ultima viene probabilmente considerata come non disponibile, perché dopo aver cliccato via dal finestra di consenso sono necessari altri due click, cioè tre in totale, per accedere alla dichiarazione di protezione dei dati. Sono consentiti massimo due click.
• Ripristino della possibilità di rifiutare: Il pulsante "rifiuta" è etichettato con "rifiuta" e visivamente spostato leggermente rispetto al pulsante "accetta". Ciò è probabilmente illegale.
• Attenzione dubbia su un video obbligatorio: se non si acconsente a "Videos" e si richiama una pagina con un video incorporato, compare al posto dove il video sarebbe apparso il messaggio Per favore attivare i cookie per visualizzare il video. Si dà un avviso sui cookies. Il video utilizza però nessun video (youtube-nocookie.com). Nella pagina P non sono fatte menzioni specifiche sui cookies utilizzati. A parte questo, un video può essere mostrato o riprodotto in generale senza cookie.
• Funzionalità errata nel finestra di consenso: Nel finestra di consenso esiste una funzione per attivare contemporaneamente tutte le autorizzazioni. Questa funzione è correttamente disattivata all'avvio, perché anche le categorie Analytics, Video e Maps sono inizialmente desattivate. Attivando ad esempio solo Analytics, viene automaticamente attivato anche Tutti attivare. Ciò può essere illegale (se tutte le operazioni autorizzate vengono effettivamente attivate) o ingannevole e non conforme alle aspettative.
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è mancante una dichiarazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che trasmettono i dati nei paesi terzi. La dichiarazione è obbligatoria.

Sito web Q

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Informazioni mancanti sulla possibilità di recesso: Come la figura mostra, manca qualsiasi indicazione su una possibilità di recesso.
• Nessuna decisione volontaria possibile: come si può vedere nell'immagine, non è possibile una diretta rifiuto. Questo sembra essere illegale.
• Caricamento illegale di strumenti e cookie senza autorizzazione: Senza autorizzazione sono caricati Google Maps, Google Fonts, Google reCAPTCHA, Google AdWords Conversion Tracking, KlickTipp, un servizio di pagamento Paypal così come uno script da betterplace.org e uno da app.acuityscheduling.com.
• Mancano le informazioni sulla protezione dei dati: Per Google reCAPTCHA e Betterplace mancano gli obbligatori avvertimenti nella dichiarazione di protezione dei dati della pagina web Q.
• La dichiarazione di protezione dei dati non è direttamente accessibile: al momento dell'accesso alla dichiarazione di protezione dei dati della pagina Q compare la finestra di conferma, a meno che non sia stata già confermata. Il lettore diretto della dichiarazione di protezione dei dati non è quindi possibile.
• Mancanza di dichiarazione del fornitore: cliccando sul pulsante "Configura…" nel finestra di consenso dell'immagine 49, compare un elenco con la menzione delle applicazioni. Nella visione iniziale non sono visibili le applicazioni mostrate. A tutti i servizi (qui chiamati "applicazioni") manca la dichiarazione del fornitore.
• Descrizione dubbia per le raccolte di dati necessarie: Nella finestra di conferma si parla di "salvataggio delle impostazioni di questa applicazione". Etichettare una web site come applicazione non è probabilmente un errore, ma per il cittadino medio sarà probabilmente incomprensibile.
• Mancanza di menzione dei cookie: né nella finestra di accettazione, né nella dichiarazione sulla protezione dei dati della pagina web Q esistono informazioni specifiche sui cookie come il loro nome o la durata delle funzioni.
• La dichiarazione di protezione dei dati non è completamente disponibile: al primo accesso alla pagina Q il finestra di consenso nasconde tutte le link, anche quelli per la dichiarazione di protezione dei dati. Quindi potrebbe essere considerata come non disponibile.
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è mancante una dichiarazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che trasmettono i dati nei paesi terzi. La dichiarazione è obbligatoria.

Unico Trust / Optanon / Legge sui cookie

Optanon è stato assorbito da OneTrust, quindi entrambi gli strumenti vanno considerati insieme. Il prodotto sembra essere anche conosciuto con il nome di Cookie Law, quindi anche questa versione va considerata insieme.

Siti web trovati che utilizzano OneTrust:

• euronics.de
• Springer.com/de -> Springer.it/de
• Sito web di Kia in Germania
• e un'altra (che potrebbe essere chiamata in seguito)

Da queste pagine web sono state testate e poi valutate.

Risultato generale

Onetrust è uno strumento di consenso che utilizza risorse da un paese terzo non sicuro.

OneTrust carica risorse dal dominio onetrust.com. Questo dominio sembra essere gestito da un'azienda americana e fornire contenuti da un server negli Stati Uniti. Secondo la dichiarazione di privacy del dominio onetrust.com, l'editore è presente sia negli Stati Uniti che nel Regno Unito (UK). Se il luogo di ubicazione degli Stati Uniti è vero, OneTrust come soluzione di consenso conforme al GDPR sarebbe inadeguata. Infatti, prima dell'utilizzo di OneTrust, dovrebbe essere richiesta l'autorizzazione per lo strumento di consenso stesso, il che sembra assurdo. Secondo la dichiarazione di protezione dei dati del sito W, l'editore di OneTrust è presente nel Regno Unito e quindi, a partire dal 01/01/2021, non si trova più all'interno dell'ambito di applicazione del GDPR. Fino al 21/12/2020, non era ancora stato preso un parere di idoneità per il Regno Unito, il che significa che esso è considerato uno Stato terzo non sicuro (a partire dal 28/12/2020 sembra essere stata stabilita una clausola transitoria di quattro o sei mesi a partire dall'anno 2021, dopo la quale il Regno Unito senza parere di idoneità sarebbe considerato uno Stato terzo non sicuro).

Poiché il sito web onetrust.com non contiene un'adeguata informativa e una adeguata dichiarazione del responsabile per la gestione dei dati, l'offerente si disqualifica da sé stesso.

Secondo WHOIS-Informazioni, il dominio onetrust.com è registrato presso Namecheap Inc. (con la specificazione del sito web namecheap.com). Secondo il sito web namecheap.com, Namecheap Inc. è un'azienda statunitense. Nelle informazioni WHOIS si trova inoltre come Registrant un'azienda panamense, per nascondere l'identità del vero registrante:

---

Ancora un motivo in più per non utilizzare OneTrust.

Sito web U

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Caricamento di strumenti senza consenso: già al caricamento della pagina U e senza aver cliccato su nulla, viene caricato il tool di consenso OneTrust (vedi sopra). Ciò comporta un richiamo all'indirizzo geolocation.onetrust.com, che esegue una geolocalizzazione dell'utente attuale e restituisce dati di posizione. Una geolocalizzazione nel contesto di una richiesta di consenso potrebbe essere giustificata solo se la richiesta di consenso viene rivolta a persone che, secondo l'indirizzo IP, si trovano nel territorio della GDPR. Ciò è però falso, perché vale il principio del mercato, in base al quale una pagina web deve rispettare le norme della GDPR non appena si rivolge a un mercato sottoposto alla GDPR. In ogni caso, la geolocalizzazione tramite l'indirizzo IP ecc. è mai possibile con precisione. Inoltre, un utente potrebbe utilizzare una proxy per nascondere il proprio indirizzo (in modo legittimo). Dopo la geolocalizzazione viene memorizzato un cookie per 30 giorni, in cui sono conservati i risultati della geolocalizzazione. Questa informazione è molto utile per identificare e tracciare gli utenti (insieme all'indirizzo IP e/o al Device Fingerprints).
• Nessuna decisione volontaria possibile: come si può vedere nell'immagine, non è possibile una diretta rifiuto. Questo sembra essere illegale.
• Descrizione insufficiente degli strumenti: nella richiesta di consenso del sito web U ci sono molte informazioni poco chiare, incomplete o in inglese. Le seguenti terminologie sono poco chiare, subottimali o incomprensibili: "Host": cosa significa?; "Durata: 4 anni": cosa si intende?; Tipo: "Terzo Parte": cosa si intende?; Descrizione in Inglese: non comprensibile per un lettore tedesco senza conoscenza dell'inglese.
• Falsa classificazione dei cookie: i cookie non vengono distinti in base a criteri tecnici, ma in base a criteri professionali, decisivi per l'utente. Ecco dove fallisce OneTrust: il cookie chiamato OptanonConsent, impostato da OneTrust, è tecnicamente un cookie di prima parte. Tuttavia, dal punto di vista professionale, si tratta evidentemente di un cookie di terza parte. Motivazione: il cookie viene impostato e letto dallo script OneTrust, che viene caricato da un server di terzo.
• Descrizione incerta delle categorie dei cookie: Una categoria di cookie che sembra essere stata attribuita da OneTrust è Cookie di prestazione. Questo termine non è ampiamente conosciuto, almeno non nel linguaggio comune. La richiesta di autorizzazione del sito web U fornisce un testo lungo e piuttosto incomprensibile come descrizione.
• Mancanza di indicazione del fornitore: manca qualsiasi indicazione del fornitore dei servizi utilizzati. Un fornitore di servizi viene chiamato Awin. La dichiarazione, quale fornitore e quale azienda si trova probabilmente dietro questo acronimo, non è possibile trovare nel popup di consenso. Anche la dichiarazione sulla protezione dei dati del sito web U non rivela nulla in merito. Quanto a quanto conosciuto dall'autore, Awin è una piattaforma pubblicitaria. Questa ha assolutamente nulla a che fare con la categoria associata Cookies di prestazioni.
• Mancanza di informazioni sui cookie: per molti cookies non è stata fornita alcuna descrizione nella richiesta di autorizzazione della pagina web.
• Mancanza di menzione dei cookie: almeno un cookie (Facebook-Pixel, Nome: _fbp) viene impostato, ma non viene citato nel consenso sui cookie del sito web U.
• Mancanza di avvertimenti sulla protezione dei dati: nella dichiarazione di protezione dei dati del sito web U mancano numerose informazioni sulla protezione dei dati sui servizi utilizzati. Pare che le descrizioni di tutti i servizi siano state "dimenticate" o trasferite in un popup di consenso ai cookie, accessibile tramite un link dalla dichiarazione di protezione dei dati. Purtroppo mancano numerose informazioni in questo popup di consenso ai cookie, quindi sono completamente assenti nonostante essere richieste. La causa è probabilmente che sia stato scelto un approccio alla protezione dei cookie centrato sui cookie, che presenta evidenti problemi.
• Insufficient revocation possibility: Apart from the fact that the revocation option is difficult to find, it contains structural flaws that are not acceptable for the user. A revocation of all granted consents with a click is not possible. Instead, all "cookie categories" must be clicked one after the other, so that then per category a manual deactivation can take place. For this 8 clicks are necessary. If you deactivate a category, however, the button "All cookies allowed" appears directly. Apparently more value what placed on obtaining consent than revoking or refusing it.
• La revoca non viene eseguita immediatamente: dopo la revoca di tutte le autorizzazioni, tutti i cookie impostati prima della revoca sono ancora presenti. La pagina web non viene riportata in primo piano. Di conseguenza, si può presumere che i servizi già caricati come Google Analytics siano ancora attivi.
• La revoca non viene eseguita completamente: ricaricando la pagina web manualmente, sono sempre presenti tutti i cookie impostati prima della revoca. Ciò è evidentemente illegale, perché la revoca è stata parzialmente ignorata. Solo i servizi per cui non si è più autorizzati non vengono più ricaricati. Se si richiama nuovamente la pagina U e si concede nuovamente il consenso, ad esempio per Google Analytics, questo servizio può fare riferimento a cookie già presenti da una sessione precedente. Un tracciamento del utente è così ancora più possibile. Altrimenti lo stesso utente in queste due sessioni sarebbe ufficialmente (secondo quanto si crede a Google) considerato come due utenti diversi.
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è mancante una dichiarazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che trasmettono i dati nei paesi terzi. La dichiarazione è obbligatoria.
• La dichiarazione di protezione dei dati non è direttamente accessibile: al momento dell'accesso alla dichiarazione di protezione dei dati della pagina U compare il popup di conferma, a meno che non sia stato già confermato. La lettura diretta della dichiarazione di protezione dei dati su schermi più grandi è possibile solo in misura limitata, mentre su schermi più piccoli non è affatto possibile.

Sito web V

La finestra di consenso del sito web ha questo aspetto:

Risultati

• I testi in inglese sono mostrati nell'immagine, nonostante il sito web V si presenti in lingua tedesca altrimenti.
• Informazioni mancanti sulla possibilità di recesso: Come si può vedere nell'immagine, non ci sono indicazioni sulla possibilità di recesso (la versione inglese "You can manage your preferences…" viene considerata inesistente per un lettore tedesco).
• Nessuna decisione volontaria possibile: come si può vedere nell'immagine, non è possibile una diretta rifiuto. Questo sembra essere illegale.
• Caricamento di strumenti senza consenso: già al caricamento della pagina V e senza aver cliccato su nulla, viene caricato lo strumento di consenso OneTrust. Inoltre vengono caricati così tanti strumenti senza consenso che qui si fa solo una menzione parziale: Google Tag Manager, Facebook Connect, Google Analytics, Hotjar, Twitter Analytics, DoubleClick, Outbrain, Adscale, ShareThrough. Inoltre vengono caricati alcuni cookie senza consenso, tra cui i cookie di Google Analytics, Facebook Connect e Hotjar
• Mancanza di dichiarazione del fornitore: per tutti gli strumenti e i cookie utilizzati manca la menzione del fornitore nella richiesta di consenso della pagina V del sito web. Invece, viene fatta una lista dei nomi dei cookie.
• Descrizione mancante dei cookie: manca qualsiasi informazione sui cookie (eccetto il nome).
• Utilizzo non conforme: Nonostante la pagina V sia stata chiamata senza fare clic su nulla e nonostante la richiesta di consenso sia ancora visibile sullo schermo, sono già state effettuate preselezionamenti per i processi da consentire nel finestra di consenso.
• Mancanza di possibilità di recesso:
• Invece di una possibilità di recesso, la pagina web V dichiara nella Cookie Policy in inglese: “Il centro delle preferenze sulla privacy può essere accessibile sia tramite il banner visualizzato al primo visitare il sito o dopo aver eliminato i cookie. Consente di visualizzare le categorie dei cookie che archiviamo (come descritto sopra in How We Use Cookies), e gestire se attivi i cookie per quelle categorie.”
• Mancanza di avvertimenti sulla protezione dei dati: Per alcuni servizi, come ad esempio per WebTrekk, mancano completamente le informazioni nella dichiarazione sulla protezione dei dati del sito V. A causa della varietà degli strumenti utilizzati sul sito e della circostanza che la dichiarazione sulla protezione dei dati è disponibile solo in inglese, si è deciso di non procedere a una verifica più approfondita.
• Mancanza di menzione dei cookie: almeno un cookie (Google Analytics, nome: _gcl_au) viene impostato, ma non viene citato nel consenso ai cookie del sito V.
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è mancante una dichiarazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che trasmettono i dati nei paesi terzi. La dichiarazione è obbligatoria.

Sito web W

La finestra di consenso del sito web ha questo aspetto:

Risultati

• Nessuna decisione volontaria possibile: come si può vedere nell'immagine, non è possibile una diretta rifiuto. La possibilità di rifiutare ( "Cambia" ) è inoltre visivamente spostata indietro. Questo sembra illegale.
• Focalizzazione dubbia sui cookie: Come si può vedere nell'immagine, per le operazioni che richiedono il consenso viene fatto riferimento alle informazioni sui cookie. Ciò è in sé sbagliato, perché anche le elaborazioni dei dati possono essere obbligatorie senza l'utilizzo di cookie. Inoltre, non è visibile nell'immagine che con il testo Mehr erfahren (Saperne di più) si fa riferimento alla dichiarazione sulla protezione dei dati, che a sua volta viene denominata erroneamente come privacy- und Cookie-directive. Nella dichiarazione sulla protezione dei dati si fa comunque riferimento a "cookie e tecnologie simili", il che è evidente che la focalizzazione sui cookie è considerata incompleta dal gestore del sito web.
• Caricamento di strumenti senza consenso: già al caricamento della pagina W e senza che sia stato cliccato su nulla, viene caricato lo strumento di consenso OneTrust. Inoltre vengono caricati almeno i seguenti strumenti senza consenso: Google Maps, Facebook Connect, Google AdWords Conversion Tracking, YouTube Video. Inoltre vengono caricati alcuni cookie senza consenso, tra cui quelli di Google AdWords Conversion Tracking e YouTube Video. A YouTube Video, ad esempio, si fa riferimento a un fornitore americano nella dichiarazione dei diritti dell'utente della pagina W.
• La dichiarazione di protezione dei dati non è direttamente accessibile: al momento dell'accesso alla dichiarazione di protezione dei dati della pagina W compare la finestra di conferma, a meno che non sia stata già confermata. Il lettore diretto della dichiarazione di protezione dei dati non è quindi possibile.
• Ungenügende indicazione del fornitore: troppi cookies – probabilmente tutti, non è stato possibile verificarlo a causa della grande quantità di cookie e per mancanza di tempo – il fornitore non è sufficientemente identificato. Non è presente alcuna denominazione del fornitore. Con buona volontà si potrebbe considerare l'indicazione Host come una denominazione incompleta del fornitore.
• Domande sui cookie: Il cookie VISTOR_INFO1_LIVE è descritto con un testo inglese. Ciò è inaccettabile per il mercato tedesco. Come Art è indicata 3rd Party, altrettanto poco comprensibile. Come Dauer sono indicate 7985,5 years. Oltre alla qui sopra vietata lingua inglese, non è conforme alle norme tedesche l'uso del punto decimale.
• Descrizione incerta dei cookie: Per il cookie NID viene fornito un avviso senza significato (estratto): "Questo dominio è di proprietà di Google Inc. Nonostante Google sia principalmente conosciuta come motore di ricerca, la società offre una vasta gamma di prodotti e servizi.". Per il cookie ga viene specificato lo scopo: "Questo cookie serve a distinguere i visitatori.". Per il cookie utma viene specificato lo scopo: "Con l'aiuto di questo cookie possiamo stabilire se qualcuno è già stato su nostra pagina web o meno." Entrambi i cookie sono associati alla dichiarazione dei dati personali Google Analytics. Perché due cookie siano necessari per riconoscere un visitatore rimane incerto.
• Mancano le informazioni sulla protezione dei dati: almeno per il servizio DoubleClick mancano qualsiasi indicazione nella dichiarazione di protezione dei dati del sito W e nella finestra di conferma.
• Manca la possibilità di recedere: anche dopo una ricerca prolungata non è stato possibile trovare la possibilità di recesso sul sito W. Al posto della stessa, nelle dichiarazioni sulla protezione dei dati vengono forniti link alle pagine degli operatori con cui si può presuntamente opporsi alla raccolta dei dati (per servizio e operatore).
• Mancanza di dichiarazione sulla trasmissione dei dati nei paesi terzi: è mancante una dichiarazione in questa richiesta di consenso, nonostante vengano utilizzati servizi che trasmettono i dati nei paesi terzi. La dichiarazione è obbligatoria.

Conclusione

Le vere numerose carenze elencate dovrebbero parlare da sole. La mia verifica è stata solo parzialmente intensiva. Una verifica più precisa avrebbe sicuramente portato a problemi ancora maggiori, ad esempio analizzando con maggiore attenzione le dichiarazioni sulla protezione dei dati relative alle singole strumenti che sono stati forniti sulle pagine web testate.

Tutti gli strumenti di consenso mostrano nel loro utilizzo pratico delle debolezze notevoli, a mio avviso imbarazzanti. Persino i maggiori fornitori di strumenti di consenso non riescono con il proprio strumento a presentare una pagina web GDPR conforme neanche lontanamente dignitosa.

Non utilizzare strumenti di consenso comuni, ma piuttosto solo quelli che non richiedono alcuna autorizzazione o da cui è chiaro quali dati vengono raccolti.

Le grandi aziende dovrebbero creare la propria soluzione di consenso. Questa potrebbe essere legale, a differenza del materiale inadatto che viene venduto mille volte.

La Scommessa da 100 Euro

Sono stato coraggioso e offro al primo gestore di una pagina web che si presenta a me 100 euro dal mio patrimonio privato, se utilizza uno degli strumenti di consenso testati sulla sua pagina web e rispetta in modo sostanziale le norme (non esattamente, ma solo sostanzialmente!). La condizione è però che ci siano una sufficiente quantità (più di tre) di popolari strumenti di consenso obbligatori utilizzati sulla pagina web. Se ne sono presenti esattamente tre, mi guardo attorno e prendo la scommessa se necessario. La pagina web deve essere presente da alcuni mesi nella sua forma fondamentale. Non è consentito creare una pagina web per la scommessa in fretta.

Scommetto che non esiste nessuno che possa presentare una soluzione di consenso conforme al diritto per il tipo di sito web appena menzionato. Non si tratta di un semplice errore di punteggiatura, ma di problemi più gravi. Ho anche annunciato la mia scommessa sui social media e sto aspettando persone coraggiose che portino in gioco qualsiasi sito web, non necessariamente il proprio. Per favore, contattami via email.

Questa scommessa scade il 30/06/2021

Proposte di soluzione

Con gli strumenti gratuiti di Google e altri ci hanno tutti portati sulla strada sbagliata. Funziona benissimo, il rispetto della privacy è cattivo, lo chiamerei così.

Il mio suggerimento per siti web conformi al GDPR con meno sforzo di quello che si tenta l'impossibile (vedere test pratico strumenti di consenso):

• Raccolta di informazioni su tutti gli strumenti utilizzati
• Rimuovere tutti gli strumenti non più necessari
• Includere font e librerie JavaScript, nonché immagini esterne, localmente
• Usare alternative per strumenti critici
• Chi riflette su una richiesta di autorizzazione dovrebbe meglio ripensarci dopo aver dormito un po' (vedi la mia lista di controllo)