Waarom zijn toestemmingshulpmiddelen vaak onnauwkeurig?

Consent Tools voldoen vaak niet aan de eisen van de AVG, omdat ze de richtlijnen voor de benaming van doelen en de duur van cookies niet correct implementeren. Daarnaast worden privacyregels door veel aanbieders niet voldoende in acht genomen.

Welke problemen ontstaan door het gebruik van toestemmingstools?

De meeste geteste websites die toestemmingstools gebruiken, halen geen GDPR-conformiteit. Dit komt vaak doordat de tools de benodigde informatie niet transparant verstrekken of de rechten van gebruikers niet voldoende beschermen.

Wat is het belangrijkste probleem bij het gebruik van toestemmingstools?

Toestemmingstools zijn vaak niet juridisch houdbaar, omdat ze de eisen stellen aan de vermelding van doelen en de vrijwilligheid van de toestemming niet waarborgen. Veel aanbieders lijken de juridische vereisten niet volledig te begrijpen en te implementeren.

Welke websites vereisen volgens de artikel minimaal één extra klik om een bezwaar tegen dataverzameling te gebruiken?

Vereisen de websites ADAC, Commerzbank, digitalehelden.de, Euronics, FFH, Handelverbund, Heise-Regioconcept, Hertie en KIA een extra klikactie om toestemminggevraagde enquêtes te bezwaren.

Welke problemen werden bij sommige van de getestete toestemmingshulpmiddelen vastgesteld?

De test toont aan dat sommige toestemmingstools, zoals UserCentrics, onjuiste implementaties vertonen. Dit omvat bijvoorbeeld het ontbreken van informatie over de gebruikte cookies, een onduidelijke onderscheiding tussen tracking en personalisatie, en het feit dat intrekking verzoeken niet altijd effectief worden uitgevoerd.

Waarom is de beschrijving van Google Tag Manager problematisch met betrekking tot de verwerking van persoonsgegevens?

De beschrijving stelt dat er geen persoonsgegevens worden verwerkt, terwijl IP-adressen al worden vastgelegd bij het oproepen van de Tag Manager. Deze bewering is misleidend en in strijd met de werkelijkheid van de datacollectie.

Welke problemen ontstaan door de onduidelijke vermelding van de datagevers en hun locaties?

De vermelding van de gegevensverwerker, met name Alphabet Inc. en Google LLC, is onnauwkeurig en onvolledig. Het ontbreken van adressen en bedrijfsadressen bemoeilijkt de transparantie en de verificatie van de gegevensverwerking.

Waarom werkt de mogelijkheid om cookies te intrekken vaak niet correct?

De mogelijkheid tot intrekken is vaak fout geïmplementeerd en leidt er niet toe dat cookies daadwerkelijk worden verwijderd. In plaats daarvan worden de diensten voortzetten actief gehouden, zonder dat een correcte intrekking is voltooid.

Cookiegeddon: Het mislukken van alle consent tools

Cookie-Banner führen regelmäßig zu rechtswidrigen Webseiten

Een omvattend praktijktest van populaire Consent Tools voor websites met testresultaten. Van mij zijn de technische en juridische voorschriften van de AVG getest. Daarvoor werden websites getest die Consent Tools gebruiken.

Alle getesteten webpagina's, die een populaire consent tool gebruiken, vertonen ernstige gebreken.
Resultaat van de test, gerelateerd aan de geteste websites die een consent tool gebruiken. Datum: 31.12.2020

Geen van de geteste websites toonde een data-privacyvriendelijk gedrag. Alle geteste websites konden met behulp van de ingezette Consent Tools geen DSGVO-conformiteit bereiken. zelfs websites van aanbieders van Consent Tools zijn onder de negatieve voorbeelden te vinden.

Mogelijke redenen voor dit resultaat:

De consent tools zijn ongeschikt om de eisen van de AVG na te leven
Veel leveranciers van Consent Tools *schijnen zelf de relevante gegevensbeschermingsregels niet te kennen
Het blootstelling van een Consent Script is *objectief niet voldoende
De eigenaren van de websites vertrouwen te veel op de Consent Tools en bekommeren zichzelf niet verder om gegevensbeschermingsregels

Korte feiten:

Enkele voorschriften zijn al in relevante wettenverankerd en behoeven geen naderlijke duiding door rechterlijke uitspraken. Voorbeelden: herroepingsaanwijzing daar waar een toestemming wordt gevraagd (Artikel 7, lid 3 DSGVO); vermelding van risico's bij gegevensoverdrachten naar onzekere derde landen (Artikel 44 DSGVO)
Uitspraken zoals die van EuGH over cookies betekenen dat de doelen en de werkingsduur van cookies moeten worden opgesomd (Artikel 13 DSGVO).
Een toestemming moet vrijwillig plaatsvinden. De gezonde mensenverstand zegt over vrijwilligheid dat daarvoor de afwijzing even eenvoudig als een toestemming moet zijn. Regelmatig wordt dit ook in rechtsuitspraken vastgesteld. De richtlijn voor gegevensbescherming bij communicatie (ePrivacy Richtlinie) zegt het ook. Dit komt bijvoorbeeld bij Google Analytics tot gebruik, zoals men logisch kan aantonen.
Aanbieders van ingezette diensten moeten genoemd worden. Dit staat in Gesetz en ook in Uitspraken. Een aanbieder is alleen genoemd als zijn bedrijfsnaam, adres en het land van de vestigingsplaats genoemd zijn.
Uitgevoerde gegevensverwerkingen, inclusief ingezette diensten, moeten worden uitgelegd (zie bijv. art. 13 AVG).
De doeleinden van cookies die door diensten van derden worden beheerd, kennen ad hoc alleen deze derden. Vaak maken deze derden helaas geen informatie over de doeleinden van deze cookies. In zoverre kan een ordelijke noemlijst van de doeleinden door de gebruiker van een tool van derden slechtzinnig plaatsvinden.
Voor de ontransparantie van informatie over gegevensbescherming, zoals die door het Google-concern wordt verstrekt, draagt (in eerste instantie) de eigenaar van een website de schuld, die een Google-tool gebruikt.
Een rechtssicher cookiebeheer is in principe niet mogelijk. Mijn achtergrondartikel noemt vijf redenen daarvoor.
Update juni 2021: Google geeft zelf toe dat alle Analytics-data van Google Analytics altijd in de VS verwerkt wordt. Dit werd bij mijn tests nog niet eens meegenomen, leidt echter tot nog duidelijker bevindingen.

Als de eigenaar van een van de genoemde websites denkt dat hij verbeteringen heeft aangebracht, mag hij zich tot mij wenden. Ik zal dan in dit artikel een update publiceren.

Niemand kon wél een website noemen waarop een populaire tool voor het verkrijgen van toestemming en meerdere diensten die toestemmingsplichtig zijn, DSGVO-compliant zijn.
Mijn €100 weddenschap, die nooit tot uitbetaling kwam.

Veel mensen brengen het argument aan dat men met de instellingen van enkele Consent Tools alles kan regelen. Dat is duidelijk ofwel fout of wordt in de praktijk niet toegepast, wat op hetzelfde neerkomt. Wie zich de juridische en gebruiksvoorwaarden van Google Tools een beetje nauwkeuriger bekijkt, zal gemakkelijk zien waar een deel van het probleem ligt.

Inleiding

Als Consent Tools worden hulpmiddelen verstaan, waarmee een toestemming van de bezoeker van een website voor gegevensverwerkingen kan worden ingehaald, voordat een anders onrechtmatige gegevensverwerking plaatsvindt. Vaak wordt ten onrechte gesproken over Cookies Consenten, hoewel het naast cookies ook andere toestemmingsplichtige gegevensverwerkingen zijn.

Gevolgd zijn websites die de volgende zogenaamde consent-oplossingen gebruiken:

Borlabs Cookie
CCM19
Consentbeheerder
Cookiebot (zie Besluit van de Raad voor Rechtsbescherming Wiesbaden, waarin Cookiebot onrechtmatig is verklaard)
Alles duidelijk!
OneTrust / Optanon / Cookie Law
Gebruikercentrics (sinds 01.09.2021 samen met Cookiebot actief)

Websites die consent tools gebruiken (zeven andere websites worden niet genoemd):

Webseiten, die Einwilligungsabfragen einsetzen (statt cookiebot.de ist cookiebot.com richtig)

Van deze 24 websites plus de zeven extra werden in totaal 20 websites getest. Ik moet echter zeggen dat een korte blik op de niet officieel geteste websites geen grote vreugde opleverde vanwege de bijzonder goede uitvoering van relevante gegevensbeschermingsregels. Ook na publicatie van dit artikel zijn nog meer websites in het vizier genomen en ze trekken hetzelfde beeld. Dit geldt ook per 1 augustus 2021.

Ganzen Artikel jetzt über kostenfreien Dr. DSGVO Newsletter lesen.

Weitere Extras für Abonnenten:
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks

Schon Abonnent? Link im Newsletter anklicken & diese Seite auffrischen.

↓

Newsletter abonnieren