Waarom zijn toestemmingshulpmiddelen vaak onnauwkeurig?

Consent Tools voldoen vaak niet aan de eisen van de AVG, omdat ze de richtlijnen voor de benaming van doelen en de duur van cookies niet correct implementeren. Daarnaast worden privacyregels door veel aanbieders niet voldoende in acht genomen.

Welke problemen ontstaan door het gebruik van toestemmingstools?

De meeste geteste websites die toestemmingstools gebruiken, halen geen GDPR-conformiteit. Dit komt vaak doordat de tools de benodigde informatie niet transparant verstrekken of de rechten van gebruikers niet voldoende beschermen.

Wat is het belangrijkste probleem bij het gebruik van toestemmingstools?

Toestemmingstools zijn vaak niet juridisch houdbaar, omdat ze de eisen stellen aan de vermelding van doelen en de vrijwilligheid van de toestemming niet waarborgen. Veel aanbieders lijken de juridische vereisten niet volledig te begrijpen en te implementeren.

Welke websites vereisen volgens de artikel minimaal één extra klik om een bezwaar tegen dataverzameling te gebruiken?

Vereisen de websites ADAC, Commerzbank, digitalehelden.de, Euronics, FFH, Handelverbund, Heise-Regioconcept, Hertie en KIA een extra klikactie om toestemminggevraagde enquêtes te bezwaren.

Welke problemen werden bij sommige van de getestete toestemmingshulpmiddelen vastgesteld?

De test toont aan dat sommige toestemmingstools, zoals UserCentrics, onjuiste implementaties vertonen. Dit omvat bijvoorbeeld het ontbreken van informatie over de gebruikte cookies, een onduidelijke onderscheiding tussen tracking en personalisatie, en het feit dat intrekking verzoeken niet altijd effectief worden uitgevoerd.

Waarom is de beschrijving van Google Tag Manager problematisch met betrekking tot de verwerking van persoonsgegevens?

De beschrijving stelt dat er geen persoonsgegevens worden verwerkt, terwijl IP-adressen al worden vastgelegd bij het oproepen van de Tag Manager. Deze bewering is misleidend en in strijd met de werkelijkheid van de datacollectie.

Welke problemen ontstaan door de onduidelijke vermelding van de datagevers en hun locaties?

De vermelding van de gegevensverwerker, met name Alphabet Inc. en Google LLC, is onnauwkeurig en onvolledig. Het ontbreken van adressen en bedrijfsadressen bemoeilijkt de transparantie en de verificatie van de gegevensverwerking.

Waarom werkt de mogelijkheid om cookies te intrekken vaak niet correct?

De mogelijkheid tot intrekken is vaak fout geïmplementeerd en leidt er niet toe dat cookies daadwerkelijk worden verwijderd. In plaats daarvan worden de diensten voortzetten actief gehouden, zonder dat een correcte intrekking is voltooid.

Cookiegeddon: Het mislukken van alle consent tools

Cookie-Banner führen regelmäßig zu rechtswidrigen Webseiten

Een omvattend praktijktest van populaire Consent Tools voor websites met testresultaten. Van mij zijn de technische en juridische voorschriften van de AVG getest. Daarvoor werden websites getest die Consent Tools gebruiken.

Alle getesteten webpagina's, die een populaire consent tool gebruiken, vertonen ernstige gebreken.
Resultaat van de test, gerelateerd aan de geteste websites die een consent tool gebruiken. Datum: 31.12.2020

Geen van de geteste websites toonde een data-privacyvriendelijk gedrag. Alle geteste websites konden met behulp van de ingezette Consent Tools geen DSGVO-conformiteit bereiken. zelfs websites van aanbieders van Consent Tools zijn onder de negatieve voorbeelden te vinden.

Mogelijke redenen voor dit resultaat:

De consent tools zijn ongeschikt om de eisen van de AVG na te leven
Veel leveranciers van Consent Tools *schijnen zelf de relevante gegevensbeschermingsregels niet te kennen
Het blootstelling van een Consent Script is *objectief niet voldoende
De eigenaren van de websites vertrouwen te veel op de Consent Tools en bekommeren zichzelf niet verder om gegevensbeschermingsregels

Korte feiten:

Enkele voorschriften zijn al in relevante wettenverankerd en behoeven geen naderlijke duiding door rechterlijke uitspraken. Voorbeelden: herroepingsaanwijzing daar waar een toestemming wordt gevraagd (Artikel 7, lid 3 DSGVO); vermelding van risico's bij gegevensoverdrachten naar onzekere derde landen (Artikel 44 DSGVO)
Uitspraken zoals die van EuGH over cookies betekenen dat de doelen en de werkingsduur van cookies moeten worden opgesomd (Artikel 13 DSGVO).
Een toestemming moet vrijwillig plaatsvinden. De gezonde mensenverstand zegt over vrijwilligheid dat daarvoor de afwijzing even eenvoudig als een toestemming moet zijn. Regelmatig wordt dit ook in rechtsuitspraken vastgesteld. De richtlijn voor gegevensbescherming bij communicatie (ePrivacy Richtlinie) zegt het ook. Dit komt bijvoorbeeld bij Google Analytics tot gebruik, zoals men logisch kan aantonen.
Aanbieders van ingezette diensten moeten genoemd worden. Dit staat in Gesetz en ook in Uitspraken. Een aanbieder is alleen genoemd als zijn bedrijfsnaam, adres en het land van de vestigingsplaats genoemd zijn.
Uitgevoerde gegevensverwerkingen, inclusief ingezette diensten, moeten worden uitgelegd (zie bijv. art. 13 AVG).
De doeleinden van cookies die door diensten van derden worden beheerd, kennen ad hoc alleen deze derden. Vaak maken deze derden helaas geen informatie over de doeleinden van deze cookies. In zoverre kan een ordelijke noemlijst van de doeleinden door de gebruiker van een tool van derden slechtzinnig plaatsvinden.
Voor de ontransparantie van informatie over gegevensbescherming, zoals die door het Google-concern wordt verstrekt, draagt (in eerste instantie) de eigenaar van een website de schuld, die een Google-tool gebruikt.
Een rechtssicher cookiebeheer is in principe niet mogelijk. Mijn achtergrondartikel noemt vijf redenen daarvoor.
Update juni 2021: Google geeft zelf toe dat alle Analytics-data van Google Analytics altijd in de VS verwerkt wordt. Dit werd bij mijn tests nog niet eens meegenomen, leidt echter tot nog duidelijker bevindingen.

Als de eigenaar van een van de genoemde websites denkt dat hij verbeteringen heeft aangebracht, mag hij zich tot mij wenden. Ik zal dan in dit artikel een update publiceren.

Niemand kon wél een website noemen waarop een populaire tool voor het verkrijgen van toestemming en meerdere diensten die toestemmingsplichtig zijn, DSGVO-compliant zijn.
Mijn €100 weddenschap, die nooit tot uitbetaling kwam.

Veel mensen brengen het argument aan dat men met de instellingen van enkele Consent Tools alles kan regelen. Dat is duidelijk ofwel fout of wordt in de praktijk niet toegepast, wat op hetzelfde neerkomt. Wie zich de juridische en gebruiksvoorwaarden van Google Tools een beetje nauwkeuriger bekijkt, zal gemakkelijk zien waar een deel van het probleem ligt.

Inleiding

Als Consent Tools worden hulpmiddelen verstaan, waarmee een toestemming van de bezoeker van een website voor gegevensverwerkingen kan worden ingehaald, voordat een anders onrechtmatige gegevensverwerking plaatsvindt. Vaak wordt ten onrechte gesproken over Cookies Consenten, hoewel het naast cookies ook andere toestemmingsplichtige gegevensverwerkingen zijn.

Gevolgd zijn websites die de volgende zogenaamde consent-oplossingen gebruiken:

Borlabs Cookie
CCM19
Consentbeheerder
Cookiebot (zie Besluit van de Raad voor Rechtsbescherming Wiesbaden, waarin Cookiebot onrechtmatig is verklaard)
Alles duidelijk!
OneTrust / Optanon / Cookie Law
Gebruikercentrics (sinds 01.09.2021 samen met Cookiebot actief)

Websites die consent tools gebruiken (zeven andere websites worden niet genoemd):

Webseiten, die Einwilligungsabfragen einsetzen (statt cookiebot.de ist cookiebot.com richtig)

Van deze 24 websites plus de zeven extra werden in totaal 20 websites getest. Ik moet echter zeggen dat een korte blik op de niet officieel geteste websites geen grote vreugde opleverde vanwege de bijzonder goede uitvoering van relevante gegevensbeschermingsregels. Ook na publicatie van dit artikel zijn nog meer websites in het vizier genomen en ze trekken hetzelfde beeld. Dit geldt ook per 1 augustus 2021.

Alle Consent Tools lijken bullshit op websites te produceren!
Conclusie uit mijn testresultaat

Het resultaat van de test is dat ook grotere bedrijven het niet voor elkaar krijgen om verbindelijke privacywetten na te leven.

Volgende websites die een Consent Tool gebruiken, vragen minstens een klik meer, om aan een verplichte procedure te weigeren dan om in te stemmen (Stand: 30.12.2020):

adac.de
commerzbank.de
digitalehelden.de
euronics.de
ffh.de
haendlerbund.de
heise-regioconcept.de
hertie.de
kia.com
springer.com

Het lijkt erop dat de beheerders van deze websites het belangrijker vinden om gegevens van gebruikers te verkrijgen, dan een eenvoudige mogelijkheid tot bezwaar tegen verplichte gegevensverzameling aan te bieden. Dit is naar mijn mening duidelijk illegaal. Dat ziet ook de Kamer voor het Rijnland zo. Spoiler: De Hoge Raad van Justitie en de Bondsrechterlijke Hoogste Raad spreken regelmatig vonnissen die in het belang zijn van de consumenten.

Dit online artikel is een extract uit een nog wat omvattender PDF-document waarin meer screenshots en bewijzen worden genoemd.

Inhoudsopgave

Proefonderzoeken

Getest zijn websites die één van de populairdere Consent Tools gebruiken. Welke tools populair zijn, is subjectief bepaald. Hierbij is rekening gehouden met de ervaring uit meer dan 1000 geteste websites. Eveneens is Klaro! in de test meegenomen, omdat het open source is en de aanbieder uit Duitsland komt. Enkele andere Open Source-oplossingen worden al een tijdje niet meer verder ontwikkeld en zijn daarom niet in overweging genomen.

De tests werden uitgevoerd in de periode van 08.12.2020 tot 31.12.2020. Zoals ik dagelijks kan vaststellen, hebben de resultaten ook in augustus 2021 niets aan actualiteit ingeboet.

De genoemde websites zijn zowel handmatig onderzocht als met behulp van mijn eigen tool. Het tool scant de desbetreffende website en leest voor de test slechts een aantal subpagina's in. Hierbij worden de zonder toestemming geladen tools en bestanden en de zonder toestemming geplaatste cookies vastgesteld.

De automatisch behaalde resultaten werden manueel geverifieerd. In het bijzonder zijn de volgende criteria manueel getest.

Eisen voor de test

De volgende criteria zijn vanuit het perspectief van een Duitstalige burger, die een website bezoekt, welwillend getoetst:

Vrijwillige toestemming of afwijzing
Gegevens van diensten zonder toestemming laden
Beschrijving ingezette diensten
Classificatie van ingezette diensten
Lijst van dienstenleveranciers
Naamgeving en beschrijving van geïnstalleerde cookies
Vermelding van de overdracht van gegevens naar derde landen
Informatie over de mogelijkheid om af te zien
Terugtrekking na toestemming
Intrekking na toestemming

Zie ook mijn checklijst voor informatieverzoeken op websites, waarin enkele rechtsgronden worden genoemd.

Testresultaten

De geteste websites worden steeds in waarde-vrij alphabetische volgorde vermeld. De resultaten van de geteste websites worden anoniem in de vorm van letters genoemd: Website A, Website B, etc.

Onder de geteste websites bevinden zich ook die van aanbieders van Consent Tools, die hun eigen tool gebruiken. Omdat aanbieder-websites eveneens als derden die het tool gebruiken, ernstige gebreken hebben met betrekking tot de toestemmingssolutie, kan ervan worden uitgegaan dat enkele aanbieders de rechtsgrondslagen niet voldoende kennen of dat de aangeboden tools ongeschikt zijn om een rechtsconforme website te verkrijgen.

De volgende testresultaten zijn naar Consent Tool geordend.

GebruikerCentrics

Gevonden websites die UserCentrics gebruiken:

adac.de
commerzbank.de
usercentrics.com
www-ag.com
en nog een andere (die later misschien wordt genoemd)

Een deel van deze websites is getest en later beoordeeld.

Websitelijst E

Het venster voor de toestemming van de website ziet er zo uit:

Na een klik op "Informatie & Instellingen" verschijnt het volgende pop-up:

Privatsphäre-Einstellungen auf Webseite E

Gegevens

Geen vrijwillige beslissing mogelijk: Afwijzen niet zo eenvoudig als accepteren. Dit lijkt onrechtmatig (vgl. von het LG Rostock).
Foutieve verklaring ingezette cookies: heel erg vervelend voor een tool die als "Cookie Banner" wordt gebruikt en die door aanroep van "Cookie instellingen" kan worden geconfigureerd, is het dat zowel het Cookie Banner als ook de Cookie-instellingen als ook de Gegevensbeschermingsverklaring geen enkele informatie over de ingezette cookies van Google Analytics en andere op webpagina E geladen diensten bevatten.
Laden van tools zonder toestemming: Zonder toestemming geladen worden Google Tag Manager, YouTube Video, DoubleClick, Google Universal Analytics, GA Audiences. Hier wordt voor Google Analytics een toestemming gevraagd. Irresistibeler kan het nauwelijks gaan, om het beleefd te zeggen.
Widerruiling wordt niet uitgevoerd: Een herroeping van een eerder verleende toestemming leidt niet tot een herroeping. Hoe what vast te stellen, waren zelfs na de herroeping nog steeds toestemmingsplichtige cookies geplaatst.
Onduidelijke begrippen: Een normaal burger en ook een gepromoveerde informaticus heeft moeite om te begrijpen wat precies de verschillen zijn tussen Tracking, Personalisering en Marketing. Onder Tracking is Google Analytics opgenomen, dat ook een marketinginstrument is. In de sectie Personalisering is Hotjar opgenomen, een trackingtool. Dit wordt getoond als je op de categorieënnaam in het Consent Tool klikt. Eveneens wordt Google Optimize genoemd, een tool voor A/B-tests. Hiermee worden inhoudelijke gegevens voor individuele doelgroepen geoptimaliseerd. Dit kan – vanuit het perspectief van de enkele bezoeker die een website bezoekt – niet als personalisering begrepen worden, maar hoogstens als commerciële optimalisatie. Nog verwarrender en volledig buiten elke navolging is de classificatie van Google Analytics Statistik in de categorie Statistiek en van Google Analytics in de categorie Tracking. Waar het verschil tussen Google Analytics Statistik en Google Analytics ligt, is volledig onduidelijk en ontgaat zelfs een expert. Een oproep aan de hulpfunctie door op het vraagteken te klikken, verklapt dat dit tool een „webanalyse- en statistiekdienst [is], die voor de analyse van webgebruik en voor bereikenmeting wordt gebruikt […]“ en dat dit tool „cookies” en „pixel-tags” gebruikt. Voor Google Analytics houdt men alleen „cookies” aan als „gebruikte technologieën” genoemd, dus minder dan voor het andere (?) tool, dat volgens de beschrijving geen toestemming vereist. Voor Google Analytics wordt verklaard dat dit een „webanalysedienst” is, dus niet ook nog een statistiekdienst, zoals het andere (?) tool, dat volgens de beschrijving geen toestemming vereist.
Rechtswijdige voorkeursselectie: In de sectie Statistiek heet het Google Analytics Statistiek. Dit hulpmiddel is al vooraf geselecteerd (geactiveerd). Dit is volgens EuG-uitspraak over cookies onrechtmatig, als men rekening houdt met het feit dat alvorens toestemming Google Analytics cookies worden geplaatst. Daarnaast wordt er zonder voorafgaande toestemming en zonder passende garanties een gegevensoverdracht uitgevoerd naar onzekere derde landen (zoals de VS) (zie EuG-uitspraak over het Privacy Shield en een kriteriumcatalogus van noyb voor een casuïstische beoordeling van de rechtmatigheid van gegevensoverdrachten naar de VS).
Foute classificatie: In de sectie Technisch vereist staat Google Tag Manager vermeld. Dit hulpmiddel dient voor het dynamische herladen van andere tools, heeft dus zelf geen functie. Uiteraard kunnen alle met Google Tag Manager indirect geladen tools ook rechtstreeks geladen worden.
Widersprüchliche verklaringen: Over Google Analytics Statistik en over Google Analytics wordt eveneens verklaard dat de „Ort van de verwerking“ de „Europese Unie“ is. Bovendien wordt verklaard dat „Alphabet Inc.“ een van de gegevensontvangers is. Bekendelijk heeft het hoofdkantoor van Alphabet Inc. zich in de VS bevindt, dus niet in de Europese Unie. Over Google Analytics Statistik wordt alleen als gegevensontvanger „Alphabet Inc.“ opgegeven, terwijl over Google Analytics ook nog „Google LLC“ en „Google Ireland Limited“ worden genoemd. Dit is bijna onmogelijk te verklaren. Waarom de locatie van de verwerking voor Google Tag Managers met „Vereinigte Staaten von Amerika“ en voor Google Analytics met „Europese Unie“ wordt opgegeven, kan niet worden uitgemaakt. Deze verklaring wordt objectief als nonsens ontmaskerd, omdat Google Analytics eerst door de Google Tag Manager wordt geladen.
Onvoldoende aanbieding van de gegevensverwerker: bij het opgeven van de gegevensontvangers wordt aangegeven met "Google LLC" e.d. De adresopgave ontbreekt. Alleen bij het "Verwerkend bedrijf" is de adresopgave vermeld.
Twijfelachtige uitleg over ingezette diensten: De Google Tag Manager wordt als volgt beschreven: „Dit is een tag-management systeem voor het beheren van JavaScript- en HTML-tags, die worden gebruikt bij de implementatie van tracking- en analysetools. Gegevens over personen worden niet verwerkt. Het tag-manager is een cookie-vrije domein en verzamelt geen gegevens over personen. De Google Tag Manager kan echter andere tags activeren die mogelijk gegevens over personen verzamelen en verwerken.” Deze beschrijving is in eerste instantie onjuist, omdat gegevens over personen in de vorm van IP-adressen al bij het oproepen van de Google Tag Manager worden verzameld. In tweede instantie is de beschrijving niet duidelijk. Een gemiddelde burger weet niet wat JavaScript-tags zijn. Bovendien bestaat er geen vaststaande term voor JavaScript-tags.
Onvoldoende informatie over de gegevensoverdracht naar derde landen: Er is hierover in de toestemmingsverzoek hooguit indirecte informatie, door namen en vormen van bedrijven te geven, maar hun adres en het land van vestiging niet te noemen. Voorbeeld: Alphabet Inc.
Onvoldoende vermelding van cookie-informatie: Bijna alle gebruikte cookies ontbreken in de basisinformatie, zowel in de toestemmingsverzoek van website E als in hun geheimhoudingsverklaring. Er is geen aparte "cookie richtlijn" te vinden.
Onklikbare links: In de privacyverklaring van de website E zijn belangrijke links, zoals "Datennutzung durch die Google Inc.", niet aan te klikken.

Websitelijst F

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens:

De afwijzen-mogelijkheid wordt herplaatst: De afwijzen-knop is met "Cookie-instellingen bekijken en wijzigen" gekoppeld en visueel aanzienlijk naar achteren geschoven ten opzichte van de aanvaarden-knop. Dit loopt in tegenstelling met het rechtsgevoel van het LG Rostock (rechterlijke uitspraak van 15 september 2020 – 3 O 762/19).
Twijfelachtige globale vraag om toestemming: Via het toestemmingsvenster wordt niet alleen de toestemming voor website F gevraagd, maar ook voor andere websites van de beheerder. Of dit is toegestaan, is twijfelachtig. Bovendien zouden dan op die andere websites dezelfde toestemmingen moeten worden gevraagd en zou altijd ook de toestemming van de andere websites moeten kunnen worden ingetrokken.
Ongeoorloofde laden van tools zonder toestemming: Zonder toestemming geladen worden Google Tag Manager, Google Schriften, Google Ads, YouTube Videos en DoubleClick. Voor DoubleClick wordt een toestemming gevraagd, die echter niet altijd in acht genomen wordt, zoals een analyse van de website F heeft aangetoond. Bij het laden van YouTube Videos zonder toestemming worden derde-partijcookies geplaatst, die soms een levensduur hebben van meer dan 18 jaar.
Deelbaarheid van de herroepingsmogelijkheid: De herroepingsmogelijkheid kan worden opgeroepen via een link in de voetnoot van website F. Deze link werkt echter niet als de huidige weergegeven pagina de gegevensbeschermingsverklaring is. Daarmee is – streng genomen – de herroepingsmogelijkheid niet beschikbaar.
De herroeping wordt niet volledig uitgevoerd: Wanneer men in alle handelingen instemt, roept het Consent Popup daarna opnieuw op en herroept dan alle handelingen, wordt de website niet nieuw geladen. De alweer herroepte diensten zijn nog steeds actief. Minstens één verplichte cookie van een derde partij, die pas na instemming werd geplaatst, is nog steeds aanwezig. Wanneer men de website handmatig nieuw laadt, zijn in ieder geval de herroepte diensten niet meer actief, maar het eerder genoemde cookie is nog steeds aanwezig.
Niet functionerende opt-out mogelijkheid voor Google Analytics: Buiten het Consent Tool staat in de privacyverklaring een schijnbare mogelijkheid om de gegevensverzameling door Google Analytics uit te schakelen (via een knop Google Analytics uitschakelen). Klikt men op de groene knop, gebeurt kennelijk niets anders dan dat een bevestigingstekst als pop-up wordt getoond. Een cookie, zoals in het afgebeelde wordt gesuggereerd, wordt niet gezet. Behalve daarom is een Opt-Out Cookie een denkbaar slechte mogelijkheid om de gegevensverzameling door een dienst van derden te onderbreken.
Onvoldoende uitleg over ingezette cookies: Het is misschien toevallig dat alle onderzochte websites die UserCentrics gebruiken, geen cookie-informatie tonen, het kan ook aan UserCentrics zelf liggen. Zowel het cookie-banner als de cookie-instellingen alsmede de gebruikersvoorwaarden bevatten geen enkele informatie over de ingezette cookies.
Onduidelijke Cookie-categorie: De website F heeft in de categorie Technical, functionele en voor provisionering- en afrekeningdoeleinden dienende Cookies ook Technical cookies uitgezet. Deze term is het auteur ondanks jarenlange bezigheid met het thema privacy op internet nog nooit tegengekomen. De term is algemeen onduidelijk, onhelder en zal waarschijnlijk technisch georiënteerde Cookies aanduiden.
Fragelijke noodzakelijke Cookies: Aangezien de website F geen technische informatie over de cookies zoals naam, doel, beschrijving of levensduur biedt, kan alleen geciht worden wat deze verklaring over aanvaardelijk technisch noodzakelijke cookies zou moeten bedoelen: Die XYZ Firma gebruikt deze cookies om de gebruiksvriendelijkheid van de XYZ Firma Websites te vereenvoudigen: Met behulp van cookies kan de XYZ Firma u herkennen op basis van eerdere bezoeken, wanneer u de XYZ Firma Website opnieuw bezoekt. Een herkenning van een gebruiker is in zichzelf toegestaan. Fragelijk is echter hoe dit plaatsvindt. Het duidelijk als enig gebruikte cookie dat over een sessie heen gaat, slaat iedereen in elk geval alleen de taalinstelling op. Dit had men, ten eigen voordeel, genoemd moeten hebben, mocht het met de eerdergenoemde verklaring bedoeld zijn.
Foutieve gegevensbeschermingsinformatie: Op de website F ontbreekt informatie over gegevensbescherming voor ingezette diensten, waaronder YouTube-video's. De Google Tag Manager wordt niet expliciet uitgelegd, maar alleen impliciet bij diensten als hulpmiddel genoemd, die door de Tag Manager worden afgespeeld. De reden hiervoor is waarschijnlijk dat een cookie-gerichte gegevensbeschermingsbenadering is gekozen, die duidelijk problemen met zich meebrengt.
Onvoldoende informatie over de gegevensoverdracht naar derde landen: Er ontbreekt een directe vraag hieromtrent in het toestemmingsformulier, hoewel diensten worden ingezet die gegevens naar derde landen doorsturen. In plaats daarvan worden de aanbieders op land gebaseerd. Het is twijfelachtig of de zetel van de genoemde aanbieder hetzelfde is als het land waarin (uitsluitend) gegevens door de ingezette dienst worden overgedragen.
Foutieve vermelding van cookie-informatie: Het lijkt erop dat bijna alle informatie over gebruikte cookies ontbreekt, zowel in de toestemmingsverklaring van website F als in hun privacyverklaring. Er is geen aparte "cookie richtlijn" te vinden, zoals sommige websites die aanbieden.

Websitesite G

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Ongepast terugzetten van de afwijzen-mogelijkheid: de afwijzen-knop werd bewust minder prominent getoond dan de knop "Aanvaarden en Sluiten". Beide kleuren en grootte van de afwijzen-knop zijn naar achteren gezet.
Foute benaming van de gegevensbeschermingsbeambte: Voor de dienst Matomo wordt als e-mailadres van de gegevensbeschermingsbeambte privacy@matomo.org genoemd. Dat is duidelijk onzin, want deze dienst wordt gehost en beheerd door de eigenaar van de website G (zoals hij ook verklaard heeft). Correct zou het zijn om een eigen e-mailadres op te geven. Een ander voorbeeld van een foute benaming van de gegevensbeschermingsbeambte is bij de dienst Google Ads Conversion Tracking te vinden. Daar wordt het e-mailadres in de vorm van een link naar een gegevensbeschermingsverklaring opgegeven. Klik je op de link, dan gaat het mailprogramma open, omdat de link is gemaakt als mailto-link.
Laden van tools zonder toestemming: Reeds bij het laden van de website G en zonder dat er iets is aangeklikt, worden de tools Lead Feeder, Google Schriften en Google reCAPTCHA geladen. Bij Google reCAPTCHA wordt uitgelegd dat gegevens worden doorgegeven aan ontvangers over de hele wereld. Dit wijst op een toestemmingsplichtige procedure die echter niet wordt erkend. Het wordt nog abstruser, omdat er elders een link wordt gegeven met de beschrijving "Klik hier om op alle domeinen van het verwerkende bedrijf te intrekken". Eerstens is de betekenis van deze zin twijfelachtig en tweedens rijdt men zich af over de vraag waarom een intrekking nodig is voor een dienst die volgens de website G niet toestemmingsplichtig is. Lead Feeder wordt altijd geladen, ongeacht of er toestemming is gegeven of niet. Dit loopt tegenover in met de verklaring in het Consent Popup van website G. Bij Google Tag Manager verklaart website G dat de locatie van de verwerking "Vereinigte Staaten von Amerika" is en dat gegevens worden doorgegeven aan derde landen = over de hele wereld. Het klinkt erg naar een toestemmingsplichtige procedure.
Onvoldoende opgave van de gegevensontvangers: Voor het Google Tag Manager wordt website G als gegevensontvanger Alphabet Inc., Google LLC en Google Ireland Limited aangewezen. De adressen en landen moet men zelf raden.
De doelstelling van YouTube Videos wordt door het Consent Popup van de website G onvoldoende verklaard (Details hier uitgezonderd, deze zijn bewijsbaar). Voor dienst „StackPath LLC“ (waarschijnlijk bedoeld is StackPath, aangezien StackPath LLC de aanbiedende firma is) wordt als beschrijving gegeven: „StackPath is een platform voor computerinfrastructuur en -diensten.“. De schrijver durft te betwijfelen of deze beschrijving voldoende informatief is. Wat op een website met dienst wordt gedaan, die de „computerinfrastructuur“ in het oog heeft, lijkt volledig onduidelijk.
Onbegrijpelijke algemene beschrijving: De inleidende zin in het Consent Popup luidt "Met dit hulpmiddel kunt u verschillende op deze website gebruikte tags / trackers / analyse-tools selecteren en uitschakelen.". Het is duidelijk dat deze zin niet algemeen begrijpbaar is. Niemand hoeft te weten wat "tags" zijn en wat de verschillen zijn tussen "trackers" en "analyse-tools". Een toestemmingsvenster aan de gebruiker voorstellen als hulpmiddel is ook niet de meest begrijpelijke beschrijving van alle mogelijke.
De herroeping wordt niet volledig uitgevoerd: Wanneer men in alle processen instemt, roept het Consent Popup daarna opnieuw op en herroept dan alle processen, wordt de website niet nieuw geladen. De alweer herroepte diensten zijn nog steeds actief. Ook sommige verplichte cookies die pas na toestemming waren geplaatst, zijn nog steeds aanwezig. Wanneer men de website handmatig nieuw laadt, zijn in ieder geval de herroepte diensten niet meer actief, maar de eerder genoemde cookies zijn nog steeds aanwezig.
Foutieve vermelding van cookie-informatie: Het lijkt erop dat (alle ?) informatie over gebruikte cookies ontbreekt, zowel in de toestemmingsverklaring van website G als in hun geheimhoudingsverklaring. Er is geen aparte "cookie richtlijn" te vinden, zoals sommige websites die aanbieden.

Borlabs Cookie

Gevonden websites die Borlabs Cookie gebruiken:

bondzio.de
braeutigam-hotel.de
heise-regioconcept.de
mediana.de
en nog een andere (die later misschien wordt genoemd)

Een deel van deze websites is getest en later beoordeeld.

Websitelink A

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Geen vrijwillige beslissing mogelijk: Een directe afwijzing is niet mogelijk. Dit lijkt onwettig.
Laden van tools zonder toestemming: Reeds bij het laden van de website A en zonder dat er iets is aangeklikt worden de tools Google Analytics en Google+ geladen. Geladen worden ook nog Google Schriften van Google Server.
Onvoldoende informatie over ingezette tools: De in de vorige paragraaf genoemde tools Google Analytics, Google+ en Google Schriften worden in het Consent Popup helemaal niet genoemd, ook niet in de categorie Essenziell (Details over de categorieën worden weergegeven nadat je op de tekst Konfigurieren hebt geklikt).
Onvoldoende aanbieding: De aanbieding van de gebruikte tools is onvoldoende. Als aanbieder van het Facebook Pixel wordt Facebook genoemd. Een adres of rechtsvormaanduiding ontbreekt. Hier stelt zich al alleen maar de vraag, welke van de vele Facebook bedrijven bedoeld is.
Onvoldoende beschrijving van de doelstelling: Als doel voor Facebook Pixel wordt genoemd: “Het Facebook-pixel is een analysetool. Je kunt ermee de effectiviteit van je reclame meten, door de handelingen te analyseren die mensen op je website uitvoeren.” Hier wordt de bezoeker van de website zo aangesproken alsof hij zelf het Facebook Pixel gebruikt om reclame te optimaliseren. De vermelding “Het Facebook-pixel is een analysetool” is onvoldoende, omdat niet algemeen begrijpbaar en niet volledig is. De volgende zin is fout, want: Het Facebook Pixel wordt vooral gebruikt om bezoekers als Facebook-gebruiker te identificeren, om deze (later) op Facebook reclame in te spelen (als Retargeting genoemd).
Onvoldoende cookie-beschrijving: De naam van het cookie is met Facebook Pixel aangegeven. Dat is fout. De naam van het cookie luidt in werkelijkheid _fbp. De levensduur van het cookie ontbreekt. Deze opgave is echter volgens EuGH-uitspraak over cookies voorgeschreven.

Websitel B

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

De afwijzen-mogelijkheid wordt herplaatst: De afwijzen-knop is met "opslaan & sluiten" gekoppeld en visueel aanzienlijk naar achteren geschoven ten opzichte van de aanvaarden-knop. Dit lijkt onrechtmatig, in ieder geval schadelijk voor de gebruiker
Laden van tools zonder toestemming: Zonder toestemming worden Google Schriften en Google Maps geladen. Op de website B wordt in de privacyverklaring echter verkeerd verklaard:“Deze site gebruikt voor een uniforme weergave van lettertypen zogenaamde web fonts, die door Google worden geleverd. De Google Fonts zijn lokaal geïnstalleerd. Er vindt geen verbinding plaats met servers van Google.”
Onbetrouwbaar noodzakelijk cookie met unieke gebruiker-identificatie: het cookie genaamd__cfduid_ en met een waarde uit een 43-stellige tekenreeks met een levensduur van 30 dagen wordt zonder toestemming ingesteld. De tekenreeks is in elk geval geschikt om een gebruiker uniek te identificeren.
Onvoldoende uitleg over ingezette cookies: Voor enkele cookies wordt de levensduur niet vermeld. Bijvoorbeeld, voor dienst "Chat-functie via tawk.to" wordt een cookie-lijst zonder levensduraangave en zonder doelen aan de cookies aangevoerd: "cfduid, ss, tawkUUID, TawkConnectionTime, TawkCookie, __cfduid".
Onvoldoende aanbieding: De aanbiederangave van de gebruikte tools is onvoldoende. Blijkbaar ontbreekt de adresgegevens van de genoemde aanbieders. Waarom Google LLC als aanbieder van een Facebook-dienst wordt genoemd, blijft onduidelijk, nu een Facebook dienst op de website niet te vinden what.
Mangelhaft en valse beschrijving van de doelstelling:* Als naam voor een dienst wordt "Beiträge aus Facebook darstellen" genoemd, als doelstelling "Wird verwendet, um Facebook-Inhalte zu entsperren". Wat hiermee bedoeld moet zijn, blijft onduidelijk, aangezien een Facebook-dienst op de website niet te vinden what. Voor Matomo wordt de doelstelling als volgt beschreven: "„Cookie van Matomo voor Website-Analysen. Erzeugt statistische Daten darüber, hoe de bezoeker de website gebruikt.” Een dienst zoals Matomo is geen cookie. Een cookie maakt geen data aan. De uitvoering is dus in alle opzichten onjuist en noemt het doel van Matomo helemaal niet, maar alleen de vermeende doelstelling van het Matomo-cookie, dat er niet is (omdat Matomo op website B drie cookies gebruikt, die in het Consent-Popup generiek met _pk_@@XX8@@.@@XX8@@ worden aangegeven, wat als onwettig kan worden beschouwd, aangezien de looptijd pauschal 12 maanden wordt aangegeven, wat fout is).
De herroeping wordt niet volledig uitgevoerd: Wanneer men in alle processen instemt, roept het Consent Popup daarna opnieuw op en herroept dan alle processen, wordt de website niet nieuw geladen. De alweer herroepte diensten zijn nog steeds actief. Alle door het Consent Popup vereiste cookies die pas na toestemming werden geplaatst, zijn nog steeds aanwezig. Wanneer men de website handmatig opnieuw laadt, zijn in ieder geval de herroepte diensten niet meer actief, maar alle door toestemming geplaatste cookies zijn nog steeds aanwezig.
Onvoldoende informatie over de mogelijkheid om af te melden: In het consent-pop-up ontbreekt elke aanduiding van een afmeldmogelijkheid.
Onvoldoende informatie over gegevensoverdracht naar derde landen: In de toestemmingsverzoek wordt geen informatie gevraagd over het overdragen van gegevens naar derde landen, hoewel diensten worden gebruikt die gegevens naar derde landen sturen.

Websitelink C

Gegevens

Onvoldoende informatie over de mogelijkheid om af te melden: Er ontbreekt elke aanduiding van een afmeldmogelijkheid.
De afwijzen-knop wordt herplaatst: de afwijzen-knop is gekoppeld aan "alleen essentiële cookies accepteren" en heeft de helft van de hoogte van de knop om in te stemmen. Bovendien is de instemmingsknop prominent met pijlen aangegeven. Dit lijkt onwettig, zelfs al is website C beter op orde dan veel andere.
Foute classificatie van tools: Google Analytics wordt in de categorie Statistiek geplaatst. Correcter zou de categorie Marketing zijn, aangezien het tool met cookies werkt en een unieke client ID per gebruiker voert.
Onvoldoende aanbieding: Bij de aanbieder Google LLC, die voor Google Analytics wordt aangegeven, ontbreekt de bedrijfsnaam. De genoemde doelstelling "Cookie van Google voor website-analyse. Maakt statistische gegevens over hoe de bezoeker de website gebruikt" is ongezond, om dienst Google Analytics te beschrijven.
Fehlende verklaring van ingezette cookies: Het ontbreekt aan een beschrijving over de drie genoemde cookies _ga, _gat, _gid. De daar genoemde doelstelling heeft alleen betrekking op één cookie (welk?). De genoemde „Cookie Laufzeit“ van 2 jaar heeft alleen betrekking op een van de drie cookies, de andere twee hebben andere looptijden. Bovendien wordt een cookie genaamd _gat_gtag_UA_xxxx_1 geplaatst, dat niet wordt verklarend. Voor dit cookie wordt het cookie _gat wel verklarend, hoewel het niet wordt geplaatst.
Foutieve gegevensbeschermingsinformatie: Op de website C ontbreekt een uitleg over het Google Tag Manager. De reden hiervoor is waarschijnlijk dat een cookie-gerichte benadering van gegevensbescherming is gekozen, die duidelijk problemen met zich meebrengt.
De herroeping wordt niet volledig uitgevoerd: Wanneer men in alle processen instemt, roept het Consent Popup daarna opnieuw op en herroept dan alle processen, wordt de website niet nieuw geladen. De alweer herroepte diensten zijn nog steeds actief. Alle door het Consent Popup vereiste cookies die pas na toestemming werden geplaatst, zijn nog steeds aanwezig. Wanneer men de website handmatig opnieuw laadt, zijn in ieder geval de herroepte diensten niet meer actief, maar alle door toestemming geplaatste cookies zijn nog steeds aanwezig.
Onvoldoende informatie over gegevensoverdracht naar derde landen: In de toestemmingsverzoek wordt geen informatie gevraagd over het overdragen van gegevens naar derde landen, hoewel diensten worden gebruikt die gegevens naar derde landen sturen.

Consentbeheerder

Gevonden websites die consent manager gebruiken:

consentmanager.de
ffh.de
haendlerbund.de
mitsubishi-motors.de
en nog een andere (die later misschien wordt genoemd)

Een deel van deze websites is getest en later beoordeeld.

Websitelijst H

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Te veel, zo noemt men ze, functionele cookies: Meer dan 10 cookies worden genoemd die volgens het venster voor de instemming van de website H "rein functioneel en noodzakelijk voor de werking van de website of bepaalde functies" zouden zijn.
Foutieve uitleg van ingezette cookies: Voor de vermelde cookies zijn geen beschrijvingen van de betekenis opgegeven. Een looptijd met een streepje aangeven, is zeer twijfelachtig en waarschijnlijk onvoldoende. In de privacyverklaring van website H vindt zich voor sommige (niet alle) cookies een beschrijving. Voorbeeld: “_cmpcpc*”/“_cmppurposes” – informatie over uitgekozen doelen. Deze beschrijving is duidelijk onbegrijpelijk en onvolledig. Waarom het cookie “euconsent_backup” eenSicherungskopie* van het cookie “euconsent” moet zijn, kan de aanbieder van website H op verzoek uitleggen.
Onvoldoende cookie-melding: De melding _gat_@@XX8@@ voor Google Analytics-cookies voldoet niet aan de regels, omdat de naam onduidelijk is en de bijgeleverde informatie over de levensduur voor deze algemene melding mogelijk fout zijn. Bovendien wordt het cookie met de naam _ga tweemaal gemeld, elk met een andere domein die onnodig wordt genoemd als "Domain" (herinnering: het gaat voornamelijk om Duitse bezoekers van de website die geen Engelse taal hoeven te spreken). Bij het testen van de website kon alleen één cookie met de naam _ga worden vastgesteld. Ook ontbreken beschrijvingen voor alle genoemde cookies. De melding "Type: Meetinstrument" is zeker niet voldoende. Wat wordt gemeten, waarom en waarom met vijf cookies?
Onvoldoende benaming van diensten: De benaming van de ingezette diensten vindt plaats in de vorm van categorieën en aanbieders. Onder "Alle aanbieders" is dat opgelist wat als "diensten" beter zou worden genoemd: u.a. Google Ads, Google Analytics, Google General, LinkedIn. Lijkt op diensten maar niet op aanbieders. Wat Google General is zal waarschijnlijk niemand weten.
Onvoldoende beschrijving van ingezette diensten: Bij Google General wordt als „Doel van de gegevensverwerking“ aangegeven: „Meting“. Verder uitleg vindt men in het toestemmingsvenster niet. Voor Google Analytics wordt hetzelfde verklaard. Verder uitleg vindt men ook hierover niet.
Onvoldoende gegevensbeschermingsverklaring: Wie je wilt weten wat er met Microsoft bedoeld is, vind je als beschrijving „Messing“. In de Nederlandstalige gegevensbeschermingsverklaring van de website H vindt zich over Microsoft de volgende beschrijving: Measurement. Nu zou alles duidelijk moeten zijn …
De herroeping wordt niet volledig uitgevoerd: Wanneer men in alle processen instemt, roept het Consent Popup daarna opnieuw op en herroept dan alle processen, wordt de website niet nieuw geladen. De alweer herroepte diensten zijn nog steeds actief. Alle door het Consent Popup vereiste cookies die pas na toestemming werden geplaatst, zijn nog steeds aanwezig. Wanneer men de website handmatig opnieuw laadt, zijn in ieder geval de herroepte diensten niet meer actief, maar alle door toestemming geplaatste cookies zijn nog steeds aanwezig.
Ongeoorloofd laden van tools en cookies zonder toestemming: Zonder toestemming worden YouTube Videos, DoubleClick, Calendly, Google Translate, Google Schriften en een script van de domein google.com. Eveneens wordt op minstens één pagina van de website H de dienst etracker zonder toestemming geladen, hoewel hiervoor wel toestemming wordt gevraagd. YouTube en DoubleClick zetten derde-partij-cookies zonder toestemming.
Onvoldoende gegevens over privacybeleid: Voor DoubleClick, Calendly en Google Schriften ontbreken alle informatie in de privacyverklaring van de website H.
Onvoldoende informatie over de gegevensoverdracht naar derde landen: In het toestemmingsformulier ontbreekt een dergelijke vermelding, hoewel diensten worden ingezet die gegevens naar derde landen doorsturen. In plaats daarvan wordt de naam van de aanbieder met land gemaakt. Het is twijfelachtig of het zetel van de genoemde aanbieder gelijk is aan het land waar (uitsluitend) gegevens worden doorgestuurd door de ingezette dienst, en bovendien wordt de naam van het land niet uitgeschreven maar in de vorm van een ISO-afkorting genoemd.

Websites J

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Geen vrijwillige beslissing mogelijk: een directe afwijzing is niet mogelijk. Dit lijkt onwettig.
Ongeoorloofd laden van tools en cookies zonder toestemming: Zonder toestemming worden Google Tag Manager, YouTube Video, DoubleClick, Twitter Widget, Google Schriften, Google reCAPTCHA, een JavaScript-Bibliothek van de domein googleapis.com, meerdere bestanden van cloudflare.com en dienst genaamd Giosg. Eveneens wordt op minstens één pagina van website H de dienst etracker zonder toestemming geladen, hoewel hiervoor een toestemming wordt gevraagd. YouTube en DoubleClick zetten derde-partij-cookies zonder toestemming.
Foute categorisering van diensten: Als categorieën in het instemmingsvenster van de website J worden genoemd: „Wesentlich“: „Doel: Wesentlich“, „Functie“: „Doel: Functie. Diensten die noodzakelijk zijn voor het gebruik van functies op de website.”, „Meting”: “Doel Meting”, „Marketing”: “Doel: Marketing”. De hier genoemde beschrijvingen zijn de oorspronkelijke beschrijvingen van de website J. Blijkbaar zijn deze beschrijvingen gedeeltelijk onjuist. Voor de website noodzakelijke “Functies” zijn uitgeschakeld. De beschrijvingen voor “Meting” en “Marketing” bestaan niet, in plaats daarvan wordt de categorie naam herhaald als toelichting op het doel.
Onvoldoende uitleg over ingezette diensten: Kennelijk ontbreekt enige beschrijving van wat "Facebook" voor een dienst zou moeten zijn.
Onvoldoende beschrijving van ingezette cookies: Het ontbreekt aan een beschrijving van de doeleinden van ingezette cookies. In plaats daarvan leert de lezer op het juiste moment dat bijvoorbeeld het cookie genaamd ATN een looptijd heeft van 729 dagen, 23 uur en 50 minuten. Als type voor het cookie fr wordt [onbekend] aangegeven.
Foutieve uitleg over gebruikte cookies: Bij Google Analytics worden – zonder beschrijving van de doeleinden – twee cookies genoemd: \ga en \gid. In werkelijkheid worden echter nog twee andere cookies geplaatst, namelijk \gcl_au en \gat_UI-xxxxx-1. Voor de mysterieuze dienst Facebook wordt verklaard dat naast het cookie __fbp_, welk echt wordt geplaatst, ook de cookies ATN en fr worden geplaatst, die bij een test door de auteur met automatische analyse niet werden geplaatst. Het ATN-cookie is in ieder geval volledig onbekend in het publieke domein. Aangezien de doeleinden niet worden beschreven, is verdere onderzoek niet mogelijk. Bij YouTube worden geen cookies genoemd in het toestemmingsvenster, hoewel er in werkelijkheid met YSC en VISITOR_INFO1-LIVE twee worden geplaatst.
Foutieve aanbiederkennzing: Voor de aanbieder van „Facebook“ (het gaat om Facebook Connect en Facebook Audiences, zoals een analyse laat zien) wordt een Spaanse adresgegeven. Er lijkt geen dergelijke onderneming te bestaan (en als dat wel zo is, dan vraagt men zich af waarom een Duitse website een Spaanse partner bij Facebook heeft). In plaats daarvan lijkt het adres uit het internet gezocht te zijn en van een Facebook-fanpagina van een taxi-onderneming in Spanje te stammen, zoals mijn onderzoek heeft aangetoond. In de gegevensbeschermingsverklaring van website J wordt de Facebook-pixel vermeld en is die toegekend aan de aanbieder Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA. Daarmee is de eerder genoemde aanbiederkennzing onverenigbaar, misleidend en foutief.
Foutieve vermelding van ingezette diensten: Zoals eerder beschreven, worden de diensten Facebook Connect en Facebook Audiences tot een geheel dienst met de naam Facebook samengevoegd.
Widersprüchelijke gegevensbeschermingsverklaring: In de gegevensbeschermingsverklaring van website J wordt verklaard dat Google Tag Manager gebruikt wordt: We gebruiken op onze website de Google Tag Manager van Google LLC. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“). S_inds het geval u uw gewone verblijfplaats hebt in het Europees Economisch Gebied of Zwitserland, is Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) de verantwoordelijke voor uw gegevens. Google Ireland Limited is dan ook het met Google verbonden bedrijf dat verantwoordelijk is voor de verwerking van uw gegevens en de naleving van de toepasselijke gegevensbeschermingswetten._.
Onvoldoende mogelijkheid tot intrekking: Een intrekking van alle verleende toestemmingen met een klik is niet mogelijk. In plaats daarvan moeten alle categorieën achter elkaar worden aangeklikt, waarna per categorie een handmatige deactivering kan plaatsvinden. Hiervoor zijn acht kliks nodig.
De herroeping wordt niet volledig uitgevoerd: Wanneer men in alle processen instemt, roept het Consent Popup daarna opnieuw op en herroept dan alle processen, wordt de website niet nieuw geladen. De alweer herroepte diensten zijn nog steeds actief. Alle door het Consent Popup vereiste cookies die pas na toestemming werden geplaatst, zijn nog steeds aanwezig. Wanneer men de website handmatig opnieuw laadt, zijn in ieder geval de herroepte diensten niet meer actief, maar alle na toestemming geplaatste cookies – inclusief cookies van derde partijen en derde domeinen – zijn nog steeds aanwezig.
Onvoldoende informatie over de gegevensoverdracht naar derde landen: In het toestemmingsformulier ontbreekt een dergelijke vermelding, hoewel diensten worden ingezet die gegevens naar derde landen doorsturen. In plaats daarvan wordt de naam van de aanbieder met land gemaakt. Het is twijfelachtig of het zetel van de genoemde aanbieder gelijk is aan het land waar (uitsluitend) gegevens worden doorgestuurd door de ingezette dienst, en bovendien wordt de naam van het land niet uitgeschreven maar in de vorm van een ISO-afkorting genoemd.

Websitelink

Het venster voor de toestemming van de website ziet er zo uit:

Cookiesbot

Gevonden websites die Cookiebot gebruiken:

cookiebot.de
werdewelt.info
techem.de
en nog een andere (die later misschien wordt genoemd)

Een deel van deze websites is getest en later beoordeeld.

Een korte analyse van de IP-adres (72.246.29.131), die bij het laden van het Cookiebot-script van consentcdn.cookiebot.com werd opgeroepen, heeft laten zien:

Aufrufkette für das Laden eines Cookiebot-Scripts

Volgens Traceroute is de genoemde netwerkadres in de VS gevestigd. Dit kan zo zijn, maar hoeft niet per se waar te zijn, omdat IP-adressen af en toe weer vrijgegeven en opnieuw toegewezen worden. De kans dat bij een van duizend aanroepen van een Cookiebot script een adres in de VS wordt getoond, lijkt echter redelijk hoog. Uit deze reden alleen al zou ik aanraden om een andere oplossing te zoeken.

Websitelink X

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Onvoldoende informatie over de mogelijkheid om te herroepen. Er ontbreekt elke aanduiding van een herroepingsmogelijkheid.
Laden van tools zonder toestemming: Reeds bij het laden van de website X en zonder dat er iets is aangeklikt worden de diensten Gravatar, Google Analytics en Google Tag Manager geladen. Voor beide genoemde Google-diensten wordt een toestemming gevraagd. Gravatar wordt nergens vermeld.
Foute toewijzing van diensten aan aanbieders: Bijvoorbeeld wordt voor een Google Analytics cookie de Google Tag Manager, een dienst en geen firma, als aanbieder genoemd, eveneens wordt Google als aanbieder genoemd, wie of wat Google ook mag zijn.
Onvoldoende aanbiederspecificatie: aanbiederherkenning inclusief bedrijfsinformatie ontbreekt voor alle diensten!
Onvoldoende cookie-informatie: Voor sommige cookies wordt als levensduur een onbegrijpelijk, onvoldoende specifieke term gebruikt, namelijk Persistent. De term »Persistent« is voor de gemiddelde gebruiker niet begrijpelijk. Hij zegt ook niets over de werkelijke levensduur, omdat deze niet oneindig kan zijn. De opgave »HTML« als cookie-type is onzin. Dergelijke cookies bestaan niet. Waarschijnlijk wordt bedoeld HTML Web Storage en in dit verband Local Storage (een term die een normale gebruiker niet moet begrijpen).
Foutieve gegevens over gegevensbescherming: Voor de diensten Google Analytics, Google Tag Manager, YouTube Videos, DoubleClick, Google Dynamic Remarketing, Gravatar en Zendesk ontbreken alle beschrijvingen in de gegevensbeschermingsverklaring. Algemeen wordt geen gebruikte dienst in de gegevensbeschermingsverklaring genoemd. In een aparte Cookie-verklaring, die echter van enkele zijden niet is gelinkt en dus niet bereikbaar is, worden diensten aangegeven, maar alleen als men mentaal bereid is om de aanwijzing van een leverancier per cookie te zien als dienst.
Twijfelachtige noodzakelijke cookies: Als noodzakelijk en dus niet afwijkbare worden 28 cookies genoemd. Het mag betwijfeld worden of zoveel cookies voor het minimale functioneren van de website nodig zijn.
Moelijk te vinden: De mogelijkheid om af te melden wordt in het Consent Popup niet vermeld. Bovendien moet eerst de pagina met de Cookie-verklaring worden opgeroepen en daar dan midden in het tekst de link Widerrufen Sie Ihre Einwilligung gevonden en aangeklikt worden.
Widerruf wordt niet volledig uitgevoerd: Als men de website handmatig opnieuw laadt, zijn enkele van de cookies die voor het Widerrufen waren geplaatst nog aanwezig. Dit is kennelijk onwettig, omdat het Widerrufen gedeeltelijk werd genegeerd. Alleen de diensten waarvoor men geen toestemming meer heeft, worden niet opnieuw geladen, met uitzondering van Google Analytics, Google Tag Manager en Gravatar, die nog steeds worden geladen. Als men de website X opnieuw belt en geeft men ooit weer zijn toestemming, bijvoorbeeld voor Google Analytics, kan deze dienst terugvallen op bestaande cookies uit een eerdere sessie. Het volgen van de gebruiker is zo nog beter mogelijk. Anders zou dezelfde gebruiker in deze twee sessies officieel (volgens Google) als twee verschillende gebruikers worden beschouwd.
Onbegrijpelijke cookie-beschrijving: Voor het cookie _gat [x4] wordt als doel genoemd: “Wordt door Google Analytics gebruikt om de aanvraagfrequentie te beperken.”. Deze verklaring is zelfs voor een IT-expert onbegrijpelijk. Wat de opmerking [x4] achter het cookie-naam betekent, blijft onduidelijk. Voor het cookie ads/ga-audiences wordt als doel genoemd: “Gebruikt door Google AdWords om bezoekers te herontmoeten die waarschijnlijk om zullen wisselen naar klanten op basis van de online gedragingen van de bezoeker over websites.”. Een Duitse gebruiker hoeft geen Engels te begrijpen.
Twijfelachtige classificatie van diensten/cookies: In de categorie marketing wordt onder andere YouTube genoemd.
Focus op cookies in plaats van diensten: Het valt op dat website X kennelijk alleen cookies als privacyrelevant ziet: In de toestemmingsverklaring vind je geen informatie over ingezette diensten; in de gegevensbeschermingsverklaring vind je geen vermeldingen over ingezette diensten; diensten die op het eerste gezicht geen cookies plaatsen, worden zelfs niet genoemd.
Onoverzichtelijke weergave: Wil de gebruiker alle informatie in het venster van instemming zien, dan moet hij door een minuscule weergevingsgebied scrollen, die zelfs bij grote beeldschermresoluties miniem blijft. Dit lijkt onaanvaardbaar en is dus waarschijnlijk wettelijk niet juist.
Onvoldoende informatie over gegevensoverdracht naar derde landen: In de toestemmingsverzoek wordt geen informatie gevraagd over het overdragen van gegevens naar derde landen, hoewel diensten worden gebruikt die gegevens naar derde landen sturen.

Websitelijst Y

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Ongeoorloofde voorkeurschifting: Zoals de afbeelding aangeeft, zijn alle opties geactiveerd. Een directe klik op de knoppen "Selectie toestaan" en "Cookies toestaan" is dus evenwaardig en niet data-privacyvriendelijk.
Onvoldoende informatie over de mogelijkheid om te herroepen: Zoals de afbeelding aantoont, ontbreekt elk enkele hint op een herroepingsmogelijkheid.
Foute aanduiding van cookies: De detailweergave geeft een uitleg over cookies, die fout is. De cookies met de vermeende namen /fileadmin/razor/Dist en /typo3temp/ bestaan volgens het onderzoek naar de website Y niet. De doelen zijn niet genoemd, maar worden beschreven als Anstehend. Dit wijst erop dat het ingezette hulpmiddel, Cookiebot, kennelijk geen kennis heeft van de doelen. Een ander cookie wordt aangeduid met de naam lang[x2]. Bedoeld zijn twee cookies, waarvan alleen één door Cookiebot werd genoemd, het tweede (volgens het Cookiebot-protocol is het ads.linkedin.com) werd genegeerd.
Onvoldoende informatie over cookies: Zoals eerder vermeld ontbreken beschrijvingen van de doeleinden van cookies.
Foutieve vermelding van cookies: Geen enkel wordt genoemd, maar volgens de test van de website Y is het duidelijk dat ze gebruikt worden, namelijk de cookies met de naam be_typo_user en be_lastLoginProvider.
Laden van tools zonder toestemming: Reeds bij het laden van de website Y en zonder iets aangeklikt te hebben worden de diensten Google Maps, Facebook Connect, Calendly, Google Schriften, Podigee Podcast Player en Google Tag Manager geladen. Facebook Connect zet zonder toestemming een cookie met de naam fr in met een levensduur van 3 maanden voor de domein facebook.com. Calendly zet zonder toestemming een cookie met de naam _calendly_session in met een levensduur van 21 weken voor de domein calendly.com.
Onoverzichtelijke weergave: Wil de gebruiker alle informatie in het venster van instemming zien, dan moet hij door een minuscule weergevingsgebied scrollen, die zelfs bij grote beeldschermresoluties miniem blijft. Dit lijkt onaanvaardbaar en is dus waarschijnlijk wettelijk niet juist.
Foutmelding over gegevensbescherming: Op website Y ontbreken alle vermeldingen in de gegevensbeschermingsverklaring over de tools Cookiebot, Calendly en Podigy.
Foute gegevens over privacybeleid: Op website Y wordt verklaard dat het consentmanager hulpmiddel voor vraag om toestemming wordt gebruikt. Dit is onjuist. In plaats daarvan wordt Cookiebot gebruikt.
Onvoldoende herroepingsmogelijkheid: Op website Y kon geen mogelijkheid worden gevonden om de herroeping van de verleende toestemming door te voeren.
Gegevensbeschermingsverklaring niet direct op te roepen: Bij het oproepen van de gegevensbeschermingsverklaring van website Y verschijnt het instemmings-poppup, mits dit eerder niet is bevestigd. Het rechtstreeks lezen van de gegevensbeschermingsverklaring is dus niet mogelijk.
Foute classificatie van tools/cookies: De bij Google Analytics behorende cookies worden onterecht aan de Google Tag Manager toegeschreven. Deze foutieve toewijzing komt zeker door, omdat de Google Tag Manager bedoeld is om Google Analytics dynamisch opnieuw te laden. De Tag Manager is dus alleen initiator van het laadproces van het tool, dat in werkelijkheid de cookies _ga, _gat en _gid instelt en leest.
Onvoldoende aanbiederneming: Voor de leveranciers van de tools (die hier alleen in de vorm van cookies worden genoemd) wordt geen bedrijfsnaam vermeld. Dit betreft alle 29 genoemde cookies op website Y.
Foutieve vermelding van ingezette diensten: De ingezette diensten worden in de toestemmingstraject op website Y niet genoemd (en als, dan alleen gedeeltelijk en slechts indirect in het gestelde doel voor een cookie, zie afbeelding 68). In plaats daarvan richt het Cookiebot -hulpmiddel zich op website Y op cookies.
Foutieve aanbiederspecificatie: Voor een cookie wordt DrawBridge als aanbieder genoemd. Drawbridge werden in 2019 door LinkedIn gekocht, maar wordt nog steeds als aanbieder in de toestemmingsteken op website Z genoemd. De website van DrawBridge leidt naar de website van LinkedIn (of was dat zo tot halverwege 2023, nu waarschijnlijk niet meer). Als je op de link klikt naar Drawbridge, die in het beeld te zien is, kom je niet op de privacyverklaring, zoals bedoeld, maar op de website https://business.linkedin.com/de-de/marketing-solutions-b, die alleen reclame-informatie bevat, maar geen privacy-adviezen.
Onbegrijpelijke beschrijving over cookies: De beschrijvingen van cookies zijn voor de gemiddelde burger vaak niet begrijpelijk. Voorbeeld van het cookie bcookie van de aanbieder LinkedIn: "Gebruikt door het sociale netwerkingsdienst LinkedIn voor het volgen van de gebruiksvan ingebouwde diensten." Daarin wordt nergens vermeld wat precies met LinkedIn bedoeld wordt of wie de aanbieder is._.
Onvoldoende informatie over gegevensoverdracht naar derde landen: In de toestemmingsverzoek wordt geen informatie gevraagd over het overdragen van gegevens naar derde landen, hoewel diensten worden gebruikt die gegevens naar derde landen sturen.

Websitelijst

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Laden van tools en cookies zonder toestemming: Reeds bij het laden van de website Z en zonder dat er iets is aangeklikt, worden de diensten Google Ads, LinkedIn Analytics, YouTube Video, etracker plus bestanden van cloudflare.com geladen. De dienst etracker zet zonder toestemming twee cookies met een levensduur van 2 jaar, waarvan één op de domein etracker.com. De dienst LinkedIn Analytics zet zonder toestemming zes cookies met een levensduur tussen 1 dag en 2 jaar, allemaal op de domein linkedin.com
De afwijzen-knop wordt zichtbaar aanzienlijk naar achteren gezet ten opzichte van de accepteren-knop. Dit lijkt onrechtmatig.
Zware te vinden terugtreksmogelijkheid: In de voetnoot van website Z bevindt zich een menu-item genaamd Widerruf. Dit leidt echter niet tot de terugtreksmogelijkheid voor gegeven cookie-instellingen. In plaats daarvan is het oproepen van de terugtreksmogelijkheid in de gegevensbeschermingsverklaring in de vorm van een tekstlink verstopt, die midden in de tekst staat.
Widerruf wordt niet volledig uitgevoerd: Als men de website handmatig opnieuw laadt, wordt het cookie et_coid weer ingesteld, hoewel hierom toestemming wordt gevraagd. Bij een test werd de intrekking (met uitzondering van het hiervoor vastgestelde punt) uitgevoerd. Bij een andere test werd de intrekking niet uitgevoerd, nadat eerder what ingetrokken en alle cookies waren toegestaan.
Onoverzichtelijke weergave: Wil de gebruiker alle informatie in het venster van instemming zien, dan moet hij door een minuscule weergevingsgebied scrollen, die zelfs bij grote beeldschermresoluties miniem blijft. Dit lijkt onaanvaardbaar en is dus waarschijnlijk wettelijk niet in orde.
Onvoldoende aanbiederindicatie: Voor alle 16 op de website Z genoemde cookies werd geen correcte aanbieder aangegeven. Bij elke keer ontbrak een bedrijfsaanduiding.
Onbegrijpelijke beschrijving over cookies: De beschrijvingen van cookies zijn voor de gemiddelde burger vaak niet begrijpelijk. Voorbeeld: "Enthält Base64-kodierte Daten der Besucherhistorie (is Kunde, Newsletter-Empfänger, Visitor ID, angezeigte Smart Messages) zur Personalisierung (nur bei Cookie-Aktivierung).“ In dit concrete voorbeeld bevat de beschrijving ook een hint dat het alleen geldt (of alleen voor personalisering wordt gebruikt?), als er Cookie-Aktivierung is gegeven. Wat met Cookie-Aktivierung bedoeld wordt en waarom deze conditieel uitspraak aanwezig is, is onduidelijk._.
Foutieve aanbiederangave: Voor een cookie wordt DrawBridge als aanbieder genoemd (zie hiervoor website X).
Onvoldoende gegevens over bescherming van persoonsgegevens: Voor Drawbridge, Google Tag Manager en Calendly ontbreken de verplichte meldingen in de privacyverklaring van de website Z.
Foute aanduiding van cookies: Een cookie wordt met de naam et_coid[x2] aangegeven. Bedoeld zijn twee cookies, waarvan alleen één door Cookiebot werd genoemd, het tweede (volgens het Cookiebot-protocol van de website Z) is onderbelicht gebleven.
Gegevensbeschermingsverklaring niet direct op te roepen: Bij het oproepen van de gegevensbeschermingsverklaring van website Z verschijnt het instemmingspopup, indien dit eerder niet is bevestigd. Het rechtstreeks lezen van de gegevensbeschermingsverklaring is dus niet mogelijk.
Onvoldoende informatie over gegevensoverdracht naar derde landen: In de toestemmingsverzoek wordt geen informatie gevraagd over het overdragen van gegevens naar derde landen, hoewel diensten worden gebruikt die gegevens naar derde landen sturen.

CCM19

Gevonden websites die CCM19 gebruiken:

ccm19.de
crifbuergel.de
hertie.de
en nog een andere (die later misschien wordt genoemd)

Een deel van deze websites is getest en later beoordeeld.

Websitesite L

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

De afwijzen-knop wordt visueel aanzienlijk naar achteren gezet ten opzichte van de accepteren-knop. Dit lijkt onrechtmatig. Wat het verschil is tussen Afwijzen en Opslaan is niet duidelijk en is in zoverre misleidend.
Foutieve aanvraag voor categorieën: De website L classificeert gebruikte tools en cookies in Technisch noodzakelijk / Essentieel, Analyse plus Personalisering. Een beschrijving van deze categorieën ontbreekt geheel in de toestemmingenverzoek.
Foutieve aanduiding voor diensten: Voor Matomo wordt onder andere verklaard: "Metingen van kenmerken voor webanalyse, gegevens worden volledig anoniem gemaakt. Er worden geen terug te volgen gegevens opgeslagen, IP-adres wordt gekort tot de laatste 3 tekens." De IP-adres wordt waarschijnlijk niet gekort tot de laatste 3 tekens, maar zodanig gekort dat alleen de laatste 3 tekens worden verwijderd. Anderzins zou er uiteindelijk slechts 256 mogelijke waarden zijn (dan kon men de meting gewoon laten liggen). Bovendien kan getwijfeld worden of gegevens bij het opnemen met Matomo volledig anoniem worden gemaakt. Een test heeft aangetoond dat ook URL-parameters op website L met Matomo worden opgenomen. In URL-parameters kunnen persoonsgebonden gegevens voorkomen. Voorbeeld: https://www.anonyme-webseite-m.de/aus-versehen-eingefuegte-information_
Laden van tools zonder toestemming: Zonder toestemming worden Google Schriften geladen. Na het Brexit en zonder een passend besluit zou ook OpenStreetMap bij komen te tellen. OpenStreetMap wordt aangeboden door een bedrijf in het Verenigd Koninkrijk (UK).
Onvoldoende gegevens over bescherming van persoonsgegevens: Bij dienst Google Schriften ontbreekt de verklaring over bescherming van persoonsgegevens volledig.
Widersprüchelijke gegevensbeschermingsinformatie: Hoewel een toestemming voor de dienst Matomo wordt gevraagd, verklaart de gegevensbeschermingsverklaring hierover:"Rechtelijke grondslag: Gebiedsrechtelijk belang, art. 6 lid 1 onder f DSGVO“.
Ontbrekende link naar de gegevensbeschermingsverklaring: Op minstens één pagina van de website L ontbreekt de link naar de gegevensbeschermingsverklaring.
Er zijn minder gegevens beschikbaar voor deze website dan voor andere websites. De hoofdreden hiervoor is dat de website slechts weinig diensten gebruikt.

Websitelijst M

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Geen vrijwillige beslissing mogelijk: Zoals uit de afbeelding blijkt, is geen directe afwijzing mogelijk. Dit lijkt mij duidelijk onwettig.
Onvoldoende informatie over het herroepingsrecht: Zoals de afbeelding aantoont, ontbreekt een duidelijk signaal voor het herroepingsrecht. De informatie over het herroepingsrecht is pas beschikbaar nadat je met de dunne balk aan de rechterkant van het venster hebt gescrolld. Zoals de afbeelding ook aantoont, is de weergave op smartphones suboptimaal.
Onvoldoende aanbieding: Voor het ingezette Consent Tool geeft website M als uitgever "XYZ AG" op (de echte bedrijfsnaam is hier door XYZ vervangen om de webbeheerder onbekend te laten blijven). De adres van de firma wordt niet genoemd.
Onvoldoende informatie over cookies: Voor enkele cookies wordt voor de levensduur een Engelse aanduiding gemaakt. Voorbeelden: 30 minutes, Session. Voor een cookie genaamd sid wordt de levensduur aangegeven met de cijfer 1 (zonder eenheid) maar ontbreekt de doelbeschrijving voor dit cookie volledig. Voor enkele cookies vindt een schijnbaar generische benaming plaats. Voorbeeld: ev_sync_@@XX8@@ Aangezien verschillende cookies verschillende doelen hebben moeten (anders zou men slechts één cookie nodig hebben en niet meer) ontbreken nauwkeurige beschrijvingen voor de generisch genoemde cookies. In plaats daarvan wordt aan deze generische benaming als doel verklaard: “Een Drittanbieter-cookie speciaal voor advertentieborden, dat de Surfer-ID in Advertising Cloud synchroniseert met de Partner-Advertentiebörse. Het cookie wordt voor nieuwe Surfers gemaakt en stuurt een synchronisatieaanvraag uit wanneer het is verlopen.” De dieperliggende betekenis van deze verklaring zal de meeste gebruikers onduidelijk zijn._.
Laden van tools en cookies zonder toestemming: Zonder toestemming worden Google Tag Manager, Bing Ads, DoubleClick Ad Exchange en YouTube Video geladen_
Foutieve vermelding van cookies: Sommige van de gebruikte cookies worden op website M niet genoemd, bijvoorbeeld meerdere First-Party Cookies met een levensduur in het bereik van enkele weken tot jaren. Ook wordt het cookie _uetvid niet verklaard, dat waarschijnlijk door Microsoft Bing Ads wordt geplaatst (omdat het cookie _uetsid wel wordt verklaard, waarvan de naam bijna identiek is aan _uetvid).
Onvoldoende classificatie van diensten/cookies: De website M noemt drie categorieën: Technisch noodzakelijk, Analyse en Reclame / Ads. Voor geen van de categorieën is een beschrijving gegeven. Google Analytics wordt toegekend aan de categorie Reclame / Ads. Iemand zou het hulpmiddel willen toekennen aan de categorie Analyse. De categorie Analyse is echter Microsoft Bing Ads toegekend, wat naar naam beter in de categorie Reclame / Ads past.
Onvoldoende informatie over de bescherming van persoonsgegevens bij gebruikte tools: In het toestemmingsformulier wordt naar de privacyverklaring van het tool Microsoft Bing Ads verwezen. De link hiernaar luidt https://about.ads.microsoft.com/en-us/resources/policies/remarketing-in-paid-search-policies en verwijst naar een Engelstalige pagina die duidelijk niet geschikt is voor de Duitse gebruiker.
Onvoldoende mogelijkheid tot intrekking: Een intrekking van alle verleende toestemmingen met een klik is niet mogelijk. In plaats daarvan moeten alle categorieën achter elkaar worden aangeklikt en daarna de knop Opslaan. Hiervoor zijn in totaal drie kliks nodig, nadat het venster voor toestemming geopend werd.
Onvoldoende beschrijving van ingezette tools: Bij Microsoft Bing Ads wordt de doelstelling als volgt verklaard: “Dit is een cookie dat door Microsoft Bing Ads wordt gebruikt en een tracking-cookie is. Het maakt het mogelijk contact te hebben met een bezoeker die eerder de website heeft bezocht.” Blijkbaar wordt een dienst met een cookie verward. Wat deze uitleg precies bedoelt, zal waarschijnlijk duidelijk worden voor de meeste gebruikers.
Wijziging wordt niet uitgevoerd: De wijziging verwijdert geen van de verplichte cookies van het eindapparaat van de gebruiker, ook niet na handmatig herladen van de website. Bovendien wordt de website niet opnieuw geladen, zodat al geladen tools nog steeds gegevens verzamelen kunnen.
Gebruikersinformatie niet direct opvraagbaar: Bij het oproepen van de gebruikersinformatie van website M verschijnt het instemmings-poppup, indien dit eerder niet is bevestigd. Het rechtstreeks lezen van de gebruikersinformatie is dus niet mogelijk.
Onvoldoende gegevens over gegevensbescherming: Voor Google Tag Manager en etracker ontbreekt elke melding in de gegevensbeschermingsverklaring van de website M. Voor sommige diensten is de aanduiding onvoldoende, bijvoorbeeld voor Google Analytics: "Op deze website wordt Google (Universal) Analytics gebruikt, een webanalysedienst van Google LLC. Dit gebeurt om onze overwogen gerechtvaardigde belangen te behouden in het optimaliseren van de weergave van ons aanbod volgens artikel 6, lid 1, onder a van de AVG. Google (Universal) Analytics gebruikt methodes die een analyse van de gebruiksvriendelijkheid van de website door u mogelijk maken, zoals cookies." Hier ontbreekt de adresgegevens van Google LLC. Bovendien wordt als rechtsgrond voor het gebruik van het hulpmiddel het gerechtvaardigd belang aangehaald. Dit strijdt met de feit dat voor het hulpmiddel toestemming is gevraagd.
Ongebruikbare gegevens voor de overdracht van gegevens naar derde landen: Er ontbreekt een bruikbaar antwoord op deze vraag in het instemmingsformulier voor de Facebook Pixel. Citaten: „Locatie van de verwerking: Facebook biedt geen informatie over de locatie van de gegevensverwerking aan. Waarschijnlijk Europa, Ierland.“ De gegeven is verplicht.

Websitelijst N

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Onvoldoende informatie over het recht op herroeping: Zoals de afbeelding aantoont, ontbreekt elke hint naar een herroepingsrecht. Ook in het tekstgedeelte dat pas zichtbaar wordt na scrollen, is deze hint niet aanwezig.
Onvoldoende weergave van informatie: Zoals de afbeelding aantoont, zijn uitleggen over de toestemmingenverzoek pas na een scroll beschikbaar. De scrollbar aan de rechter rand van het beeld is echter zo slecht zichtbaar dat deze als niet beschikbaar kan worden beschouwd.
Laden van tools en cookies zonder toestemming: Zonder toestemming worden geladen: YouTube Video, etracker, DoubleClick Remarketing, Twitter Widget, Google Schriften, Google reCAPTCHA, LinkedIn Widget plus een IFRAME van een derde domein. Zonder toestemming worden nog steeds cookies geplaatst van de domeinen youtube.com en doubleclick.net, die een levensduur hebben die (meestal ver) verder gaat dan een sessie.
Onrechtmatig weigeren: De afwijzen-knop is visueel lichtjes naar achteren geschoven ten opzichte van de accepteren-knop. Dit lijkt (nog steeds) onrechtmatig.
Ontbrekende link naar de gegevensbeschermingsverklaring: Op minstens één pagina van de website N ontbreekt de link naar de gegevensbeschermingsverklaring.
Gebruikersinformatie niet direct opvraagbaar: Wanneer de gebruikersinformatie van website N wordt opgeroepen, verschijnt het instemmings-poppup, mits dit eerder niet is bevestigd. Het rechtstreeks lezen van de gebruikersinformatie is dus niet mogelijk.
Onvoldoende gegevens over gegevensbescherming: Voor Google Schriften, DoubleClick Remarketing en Google reCAPTCHA ontbreekt elke melding in de gegevensbeschermingsverklaring van de website N.
Onvoldoende herroepingsmogelijkheid: Ook na lang zoeken kon op website N geen mogelijkheid worden gevonden om de eerder verleende toestemming te herroepen.
Onvoldoende aanbieding: Voor het ingezette consent tool geeft website N als uitgever "Papoo Software & Media Gmbh – CCM19 Cookie Consent Manager" aan. Een adres wordt niet genoemd, in plaats daarvan een productnaam („CCM19 Cookie Consent Manager“) in plaats van een bedrijfsnaam.
Foutieve vermelding van cookies: Sommige van de gebruikte cookies worden op website N niet genoemd, bijvoorbeeld meerdere cookies die door YouTube Video Scripten worden geplaatst.
Onvoldoende informatie over cookies: Sommige cookies worden zonder informatie, maar wel met de pseudo-informatie N.A. voor alle criteria (uitgever, beschrijving etc.) gedeclareerd.
Onvoldoende informatie over cookies: Voor een cookie wordt de levensduur niet aangegeven, evenmin het doel. Voor een cookie genaamd ASP.NET_SessionId wordt de levensduur aangegeven met de getal 0 (zonder eenheid), maar ontbreekt de beschrijving van het doel voor dit cookie volledig. Voor enkele cookies vindt men een kennelijk generische benaming. Voorbeeld: _gat_gtag_UA_@@XX8@@. Aangezien verschillende cookies verschillende doelen hebben moeten (anders zou men slechts één cookie nodig hebben en niet meerdere) ontbreken nauwkeurige beschrijvingen voor de generisch aangeduide cookies. In plaats daarvan wordt bij deze generische benaming als doel verklaard: “Wordt gebruikt om de aanvraagfrequentie te dremmen. Als Google Analytics via de Google Tag Manager wordt geleverd, krijgt dit cookie de naam _dc_gtm_ .”. Deze beschrijving is kennelijk volledig ongeschikt om een normaal burger het doel van het cookie (of hulpmiddel, dat weet men bij CCM19 gebruik op website N niet zo nauwkeurig) uit te leggen.
Onvoldoende classificatie van diensten/cookies: De website N noemt drie categorieën: Technisch noodzakelijk, Analyse, Marketing plus Reclame / Ads. Voor geen van de categorieën is een beschrijving gegeven. Het zal moeilijk vallen voor het gemiddelde burger om de verschillen tussen Marketing en Reclame / Ads te begrijpen.Google Analytics wordt toegekend aan de categorie Reclame / Ads. Iemand zou het hulpmiddel willen toekennen aan de categorie Analyse.
Onvoldoende opgave van gegevensoverdracht naar derde landen: Voor sommige tools ontbreekt een opgave hiervan in de toestemmingsteken. De opgave is verplicht.
Foutmelding: Op het instemmingsvenster is een link met de naam imprint aanwezig. Als men op deze link klikt verschijnt een leeg pop-up venster met de titel imprint.

Alles duidelijk!

Gevonden websites die Klaro! gebruiken:

www.dillinger.de
kiprotect.com
digitale-helden.de
en nog een andere (die later misschien wordt genoemd)

Een deel van deze websites is getest en later beoordeeld.

Klaro! wordt kennelijk voornamelijk door websites gebruikt waar al veel waarde aan privacy wordt gehecht, met slechts weinig tools die worden ingezet. De verspreiding van Klaro! is bovendien niet bijzonder hoog. Daarom worden in het volgende alleen de resultaten voor twee websites getoond. Kennelijk werkt een update van het hart van Klaro! niet of is dit niet voorgesteld, want de uitspraken van Klaro! -informatievensters op verschillende websites zagen er aanzienlijk anders uit en hadden kennelijk betere vormgevingen in de nieuwste uitspraken.

Websitelijst P

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Misleidende verklaring over gegevensverzameling: Zoals de afbeelding aantoont, wordt er zo gedaan alsof alleen de rechtstreeks bezochte website gegevens verzamelt van de gebruiker („… welke informatie we over u verzamelen“) en niet ook andere derden.
Onvoldoende informatie over de mogelijkheid om te herroepen: Zoals de afbeelding aantoont, ontbreekt elke aanwijzing voor een herroepingsmogelijkheid.
Ontbrekende aanbiederspecificatie: Aanbiederherkenning inclusief bedrijfsinformatie ontbreekt voor alle diensten op de toestemmingsverzoekpagina.
Foutmelding over ingezette diensten en cookies: Zoals de afbeelding aantoont, ontbreken alle meldingen over ingezette diensten en cookies. Een detailweergave is duidelijk niet opvraagbaar.
Ontbrekende beschrijvingen van ingezette diensten: Zoals de afbeelding aangeeft, ontbreken alle beschrijvingen van ingezette diensten.
Twijfelachtige voor-activatie van een tool: Voordat de toestemmingsteken bevestigd wordt, is Analyse-Diensten etracker al actief. Dit blijkt uit de privacyverklaring waarin deze dienst met een schuifregelaar als actief wordt aangegeven. In het zelfde venster kan deze instelling echter niet worden gewijzigd.
Foutieve gegevens over bescherming van persoonsgegevens: Voor de dienst DoubleClick ontbreken alle omschrijvingen in de privacyverklaring (eveneens voor Google Ads, een mogelijke synoniem voor DoubleClick, worden geen opgave gemaakt). Voor de dienst Eloqua wordt de aanbieder onvoldoende met Oracle Marketing Cloud genoemd. Ook in de privacyverklaring vinden zich geen concrete cookie-informatie. In plaats daarvan vinden zich daar slechts placeholder.
Laden van tools zonder toestemming: Reeds bij het enkel oprijden van de website P en zonder iets aangeklikt te hebben worden de tools Google Maps, YouTube Video, Eloqua en DoubleClick geladen. Voor Google Maps en YouTube Video worden (waarschijnlijk) toestemmingen over de categorieën Maps en Video gevraagd – precies kan dit niet gezegd worden, aangezien alle beschrijvingen van diensten op het toestemmingsvenster ontbreken. Google Maps wordt zelfs zonder toestemming volledig functioneel en zichtbaar geladen, waarbij ingebouwde YouTube Videos niet zichtbaar zijn, maar alleen in de achtergrond in de vorm van een YouTube Video Script worden geladen. etracker wordt eveneens op deze manier geladen. Hierdoor wordt onder andere een cookie met de naam _et_coid met een waarde die geschikt is voor gebruikeridentificatie en een geldigheidsduur van twee jaar, plus de domeinnaam etracker.com, ingesteld. Dit is eveneens toestemmingsplichtig, althans wordt er geen melding gemaakt van een DPA o.a.
Gegevensbeschermingsverklaring niet direct op te roepen: Bij het oproepen van de gegevensbeschermingsverklaring van website P verschijnt het instemmings-poppup, mocht dit eerder niet zijn bevestigd. Het rechtstreeks lezen van de gegevensbeschermingsverklaring is dus niet mogelijk.
Gegevensbeschermingsverklaring niet beschikbaar: Bij het eerste bezoek aan de website P bedekt het venster voor instemming alle links, ook die naar de gegevensbeschermingsverklaring. Hierdoor is deze waarschijnlijk als niet beschikbaar te beschouwen, omdat na het wegklikken van het venster nog twee klikken nodig zijn om de gegevensbeschermingsverklaring op te roepen. Maximaal twee klikken zijn toegestaan.
De afwijzen-knop wordt met "afwijzen" aangeduid en is visueel lichtjes naar achteren geschoven ten opzichte van de accepteren-knop. Dit is waarschijnlijk onwettig.
Vermoeilijkende hint over eenwilligungspflichtigem video: Willigt men niet in „Videos“ ein en roept een pagina met een ingebouwd video op, verschijnt aan de plek waar het video zou verschijnen, de hint Bitte aktivieren Sie Cookies, um das Video anzuzeigen. Hier wordt een hint gegeven over cookies. Het video gebruikt echter geen videos (youtube-nocookie.com). Nergens op de website P zijn concrete informatie over gebruikte cookies gegeven. Behalve daar kan een video uiteraard grondig zonder cookies getoond of afgespeeld worden.
Foutieve functionaliteit in het instemmingsvenster: In het instemmingsvenster is een functie aanwezig om alle instemmingen gelijktijdig te activeren. Deze functie is juist rechtvaardig omdat ook de categorieën Analytics, Video en Maps initial inactief zijn. Wanneer men bijvoorbeeld alleen Analytics activeert, wordt automatisch Alle activeren ook geactiveerd. Dit is al dan niet wettelijk ongepast (als er daadwerkelijk alle instemmingsplichtige processen worden geactiveerd) of misleidend en niet conform de verwachtingen.
Onvolledige opgave van gegevensoverdracht naar derde landen: In de toestemmingsvraag ontbreekt een opgave over het versturen van gegevens naar derde landen, hoewel diensten worden gebruikt die gegevens naar derde landen sturen. De opgave is verplicht.

Websites Q

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Onvoldoende informatie over de mogelijkheid om te herroepen: Zoals de afbeelding aantoont, ontbreekt elke aanwijzing voor een herroepingsmogelijkheid.
Geen vrijwillige beslissing mogelijk: Zoals uit de afbeelding blijkt, is geen directe afwijzing mogelijk. Dit lijkt onwettig.
Ongeoorloofd laden van tools en cookies zonder toestemming: Zonder toestemming geladen worden Google Maps, Google Schriften, Google reCAPTCHA, Google AdWords Conversion Tracking, KlickTipp, een Paypal-betaaldienst plus een script van betterplace.org en een van app.acuityscheduling.com.
Onvoldoende gegevens over gegevensbescherming: Voor Google reCAPTCHA en Betterplace ontbreken de verplichte informatie in de gegevensbeschermingsverklaring van de website Q.
Gebruikersinformatie niet direct op te roepen: Wanneer de gebruikersinformatie van website Q wordt opgeroepen, verschijnt het venster voor instemming, mits dit eerder niet what bevestigd. Het rechtstreeks lezen van de gebruikersinformatie is dus niet mogelijk.
Fout in de aanbiederspecificatie: Als men op Konfigurieren… klikt in het venster voor instemmen met afbeelding 49, verschijnt een selectie met vermelding van toepassingen. In de initiële weergave zijn de getoonde toepassingen niet zichtbaar. Bij alle diensten (hier Anwendungen genoemd) ontbreekt de aanbiederspecificatie.
Twijfelachtige opgave van noodzakelijke gegevensverzameling: In het instemmingsvenster wordt gesproken over Speicherung von Einstellungen dieser Anwendung. Een website als toepassing aanduiden is waarschijnlijk niet fout, maar voor de gemiddelde burger waarschijnlijk niet begrijpelijk.
Onvoldoende melding van cookies: Er zijn geen concrete gegevens over cookies te vinden in het instemmingsvenster of de privacyverklaring van de website Q, zoals naam en duur van de cookies.
Gebruikersinformatie niet volledig beschikbaar: Bij het eerste bezoek aan de website Q wordt het toestemmingsvenster op gangbare smartphones bedekt, inclusief de link naar de gebruikersinformatie. Hierdoor kan deze mogelijk als niet beschikbaar worden beschouwd.
Onvolledige opgave van gegevensoverdracht naar derde landen: In de toestemmingsvraag ontbreekt een opgave over het versturen van gegevens naar derde landen, hoewel diensten worden gebruikt die gegevens naar derde landen sturen. De opgave is verplicht.

OneTrust / Optanon / Cookie Law

Optanon is overgenomen door OneTrust, waardoor beide tools samen worden beschouwd. Het product wordt blijkbaar ook onder de naam Cookie Law aangeboden, waardoor deze variant ook samen wordt beschouwd.

Gevonden websites die OneTrust gebruiken:

euronics.de
springer.com/de
Kia.com/Duitsland
en nog een andere (die later misschien wordt genoemd)

Een deel van deze websites is getest en later beoordeeld.

Algemene bevinding

Onetrust is een consent tool die middelen uit een onzekere derde land gebruikt.

OneTrust laadt resources vanaf de domein onetrust.com. Deze domein lijkt te worden beheerd door een Amerikaans bedrijf en inhoud te leveren vanuit een server in de VS. Volgens het privacy statement van de domein onetrust.com is de aanbieder zowel in de VS als in het Verenigd Koninkrijk (VK) gevestigd. Als de locatie VS juist is, dan is OneTrust als DSGVO-compatibele consent-oplossing al helemaal ongeschikt. Want voordat men OneTrust zou kunnen gebruiken, zou een toestemming voor het consent-tool zelf moeten worden verkregen, wat paradoxaal lijkt. Volgens de privacyverklaring van website W is de aanbieder van OneTrust in VK gevestigd en dus sinds 01.01.2021 niet meer binnen het bereik van de DSGVO. Tot 21.12.2020 what er nog geen besluit over de geschiktheid van VK, waardoor VK als onzekere derde landen wordt beschouwd (tot 28.12.2020 lijkt een overgangsperiode van vier of zes maanden in het jaar 2021 te gelden, waarbij VK zonder besluit over geschiktheid als onzekere derde landen wordt beschouwd).

Omdat de website onetrust.com geen correcte contactinformatie en geen juiste vermelding van de verantwoordelijke voor de gegevensverwerking bevat, disqualificeert zichzelf de aanbieder hiermee.

Volgens WHOIS-informatie is de domeinnaam onetrust.com bij Namecheap Inc. (met vermelding van de website namecheap.com) geregistreerd. Volgens de website namecheap.com is Namecheap Inc. een Amerikaans bedrijf. In de WHOIS-informatie vindt men eveneens als registrant een bedrijf in Panama, om de identiteit van de echte registrant te verbergen:

Registrant der Webseite onetrust.com laut https://who.is

Een nog extra reden om OneTrust niet te gebruiken.

Websites U

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Laden van tools zonder toestemming: Reeds bij het laden van de website U en zonder dat er iets is aangeklikt, wordt het toestemmings-hulpmiddel OneTrust geladen (zie boven). Hierbij vindt een aanroep plaats naar de adres geolocation.onetrust.com, die de geolocatie van de huidige gebruiker uitvoert en als resultaat locatiedata teruglevert. Een geolocatie in het kader van een toestemmingsverzoek kan hoogstens gerechtvaardigd worden, wanneer de toestemming alleen wordt gevraagd aan personen die volgens hun IP-adres in het rechtsgebied van de DSGVO zitten. Dit is echter fout, omdat het marktortprincipe geldt, waarbij een website de regels van de DSGVO moet naleven zodra ze zich richt op een markt die onderworpen is aan de DSGVO. Bovendien is een geolocatie op basis van de IP-adres o.a. nooit betrouwbaar mogelijk. Verder kan een gebruiker een proxy inzetten om zijn locatie (rechtmatig) te verbergen. Na afloop van de geolocatie wordt een cookie 30 dagen lang bewaard, waarin de resultaten van de geolocatie worden vastgelegd. Deze informatie is geschikt om gebruikers te identificeren en na te volgen (in combinatie met het IP-adres en/of het Device Fingerprints zeer betrouwbaar).
Geen vrijwillige beslissing mogelijk: Zoals uit de afbeelding blijkt, is geen directe afwijzing mogelijk. Dit lijkt onwettig.
Onvoldoende beschrijving van tools: In de toestemmingsverklaring van website U zijn meerdere opgaven onduidelijk, onvolledig of in het Engels. De volgende begrippen zijn onduidelijk, suboptimaal of onbegrijpelijk: „Host“: Wat betekent dit?; „Duur: 4 jaar“: Wat wordt ermee bedoeld?;Art: 3rd Party“: Wat wordt ermee bedoeld?; Beschrijving in het Engels: Onbegrijpelijk voor een Nederlandse lezer zonder kennis van het Engels.
Foute classificatie van cookies: Cookies worden niet naar technische criteria, maar naar vaktechnische, voor de gebruiker beslissende criteria onderscheiden. Hier faalt OneTrust: Het cookie met de naam OptanonConsent, dat door OneTrust wordt gezet, is volgens technische criteria een First-Party Cookie. Vaktechnisch gaat het duidelijk om een Drittpartei-Cookie. Reden: Het cookie wordt door het OneTrust-script, dat van een derde-server wordt geladen, gezet en gelezen.
Onbetwistbare beschrijving van cookie-categorieën: Een door OneTrust kennelijk toegekende categorie voor cookies is Leistungs-Cookie. Deze term is naar kennis van de auteur niet breed verspreid, in ieder geval niet in het taalgebruik opgenomen. Als beschrijving hiervoor biedt de toestemmingenverzoek van de website U een lange, vrij onbegrijpelijk tekst.
Fout in de aanbiederspecificatie: Er ontbreekt elke aanbiederspecificatie voor de ingezette diensten. Een dienstanbieter wordt met Awin aangeduid. De specificatie, welk bedrijf en welke firma zich waarschijnlijk achter dit acroniem verbergt, zoekt men in het Consent Popup vergeefs. Ook de privacyverklaring van de website U onthult hier niets over. Zo ver als de auteur bekend is, is Awin een reclameplatform. Dit heeft niets te maken met de bijbehorende categorie Leistungs-Cookies.
Onvoldoende vermelding van cookie-informatie: Voor veel cookies is bij de toestemmingsaanvraag op de website geen beschrijving gegeven.
Foutieve vermelding van cookies: Minstens één cookie (Facebook-Pixel, Naam: _fbp) wordt gezet, maar in de cookie-acceptatie van de website U wordt het niet genoemd.
Ontbrekende gegevens over bescherming van persoonsgegevens: In de privacyverklaring van website U ontbreken meerdere tekstregels over ingezette diensten. Het lijkt alsof de beschrijvingen van alle diensten zijn "vergeten" of vermoedelijk in het cookie-consent-pop-up zijn uitgelagd, dat via een link bereikbaar is vanuit de privacyverklaring. Helaas ontbreken meerdere gegevens in dit cookie-consent-pop-up, waardoor ze helemaal ontbreken, hoewel ze verplicht zijn. De reden hiervoor is kennelijk dat een cookie-gerichte benadering van bescherming van persoonsgegevens is gekozen, die duidelijke problemen met zich meebrengt.
Onvoldoende mogelijkheid tot intrekking: Behalve dat de mogelijkheid tot intrekking moeilijk te vinden is, bevat deze structurale gebreken die voor de gebruiker niet acceptabel zijn. Een intrekking van alle verleende toestemmingen met een klik is niet mogelijk. In plaats daarvan moeten alle „cookie-categorieën“ achter elkaar worden aangeklikt, waarna per categorie een handmatige uitschakeling kan plaatsvinden. Hiervoor zijn 8 kliks nodig. Als men een categorie uitschakelt, verschijnt echter direct de knop_"Alle cookies toestaan_". Het lijkt erop dat meer waarde is gehecht aan het verkrijgen van toestemming dan aan intrekking of afwijzing.
Widerruf wordt niet direct uitgevoerd: Na het intrekken van alle toestemmingen zijn alle cookies die voor de intrekking werden geplaatst nog steeds aanwezig. De website wordt niet opnieuw geladen. Daarom moet ervan worden uitgegaan dat de al geladen diensten zoals Google Analytics nog steeds actief zijn.
Widerruf wordt niet volledig uitgevoerd: Als men de website handmatig opnieuw laadt, zijn alle cookies nog steeds aanwezig die voor het Widerrufen waren geplaatst. Dit is kennelijk onwettig, omdat het Widerrufen gedeeltelijk genegeerd wordt. Alleen de diensten waarvoor men niet meer heeft ingestemd worden niet opnieuw geladen. Als men de website opnieuw opent en geeft men uiteindelijk weer toestemming, bijvoorbeeld voor Google Analytics, kan deze dienst terugvallen op bestaande cookies uit een eerdere sessie. Het volgen van de gebruiker is zo nog beter mogelijk. Anders zou dezelfde gebruiker in deze twee sessies officieel (volgens Google) als twee verschillende gebruikers worden beschouwd.
Onvolledige opgave van gegevensoverdracht naar derde landen: In de toestemmingsvraag ontbreekt een opgave over het versturen van gegevens naar derde landen, hoewel diensten worden gebruikt die gegevens naar derde landen sturen. De opgave is verplicht.
Gebruikersinformatie niet direct op te roepen: Wanneer de gebruikersinformatie van website U wordt opgeroepen, verschijnt het instemmingspopup, mits dit eerder niet is bevestigd. Het rechtstreeks lezen van de gebruikersinformatie op grotere schermen is slechts beperkt mogelijk, op kleinere zelfs helemaal niet.

Websites V

Het venster voor de toestemming van de website ziet er zo uit:

Einwilligungsfenster der Webseite V

Gegevens

Engelstalige teksten: Zoals uit de afbeelding blijkt, worden de hints in het Engels getoond, hoewel de website V zich op andere manieren in het Duits presenteert.
Onvoldoende informatie over de mogelijkheid om af te melden: Zoals uit het beeld blijkt, zijn er geen aanwijzingen voor de mogelijkheid om af te melden (de Engelse versie "You can manage your preferences…" wordt als niet beschikbaar voor een Nederlandstalige lezer beschouwd).
Geen vrijwillige beslissing mogelijk: Zoals uit de afbeelding blijkt, is geen directe afwijzing mogelijk. Dit lijkt onwettig.
Laden van tools zonder toestemming: Reeds bij het laden van de website V en zonder dat er iets is aangeklikt, wordt het toestemmings-hulpmiddel OneTrust geladen. Bovendien worden zoveel tools zonder toestemming geladen dat hier slechts een uitgewerkte opsomming plaatsvindt: Google Tag Manager, Facebook Connect, Google Analytics, Hotjar, Twitter Analytics, DoubleClick, Outbrain, Adscale, ShareThrough. Verder worden enkele cookies zonder toestemming geladen, waaronder cookies van Google Analytics, Facebook Connect en Hotjar.
Ontbrekende aanbiederspecificatie: Voor alle gebruikte tools en cookies ontbreekt op de instemmingsverklaring van website V een vermelding van de leveranciers. In plaats daarvan vindt men de vermelding in de vorm van een lijst met cookie-namen.
Onvoldoende beschrijving van cookies: Er ontbreekt elke vermelding over de cookies (behalve hun naam).
Onrechtmatige voorafgaande inzet: Hoewel website V is opgeroepd zonder iets aan te klikken en hoewel de toestemmingsvraag nog steeds op het scherm zit, zijn al voorafgaande inzetten gedaan voor te toestaan gebeurde processen.
Ontbrekende herroepingsmogelijkheid:
In plaats van een herroepingsmogelijkheid, verklaart website V in de Cookie Policy op Engels: “De Privacy Preference Centre kan worden bereikt via het banner dat wordt getoond bij je eerste bezoek aan de site of na het wissen van cookies. Het stelt je in staat om de groepen cookies te bekijken die we opslaan (zoals hierboven uitgelegd in Hoe We Cookies Gebruiken), en beheerst of de cookies voor die groepen actief zijn.”
Onvoldoende gegevens over de bescherming van persoonsgegevens: Voor enkele diensten, zoals WebTrekk, ontbreken alle informatie in de privacyverklaring op de website V. Vanwege het grote aantal tools dat op de website wordt gebruikt, en de feit dat de privacyverklaring alleen in het Engels beschikbaar is, is er besloten om geen diepergaande controle uit te voeren.
Foutieve vermelding van cookies: Minstens één cookie (Google Analytics, naam: _gcl_au) wordt gezet, maar in de cookie-toestemming van de website V wordt niet vermeld.
Onvolledige opgave van gegevensoverdracht naar derde landen: In de toestemmingsvraag ontbreekt een opgave over het versturen van gegevens naar derde landen, hoewel diensten worden gebruikt die gegevens naar derde landen sturen. De opgave is verplicht.

Websitelijst W

Het venster voor de toestemming van de website ziet er zo uit:

Gegevens

Geen vrijwillige beslissing mogelijk: Zoals uit de afbeelding blijkt, is geen directe afwijzing mogelijk. De mogelijkheid om af te wijzen („Wijzigen“) staat bovendien optisch naar achteren. Dit ziet er onwettig uit.
Twijfelachtige focus op cookies: Zoals in de afbeelding te zien is, wordt voor instemmingsverplichtende processen naar de cookie-teksten verwezen. Dit is van zichzelf fout, omdat gegevensverwerkingen ook zonder cookies instemmingverplicht kunnen zijn. Bovendien is niet duidelijk dat met het tekstje Mehr erfahren de privacyverklaring wordt gelinkt, die consequent weer onjuist als privacy- und Cookie-directive wordt aangeduid. In de privacyverklaring wordt dan in ieder geval gewezen op „Cookies en soortgelijke technologieën“, waaruit af te leiden valt dat een focus op cookies zelfs door de websitebeheerder als onvolledig wordt gezien.
Laden van tools zonder toestemming: Reeds bij het laden van de website W en zonder dat er iets is aangeklikt, wordt het toestemmings-tool OneTrust geladen. Bovendien worden minstens de volgende tools zonder toestemming geladen: Google Maps, Facebook Connect, Google AdWords Conversion Tracking, YouTube Video. Verder worden enkele cookies zonder toestemming geladen, waaronder cookies van Google AdWords Conversion Tracking en YouTube Video. Bijvoorbeeld bij YouTube Video wordt in de gegevensbeschermingsverklaring van website W een Amerikaanse aanbieder genoemd.
Gegevensbeschermingsverklaring niet direct op te roepen: Bij het oproepen van de gegevensbeschermingsverklaring van website W verschijnt het instemmingsvenster, indien dit eerder niet is bevestigd. Het rechtstreeks lezen van de gegevensbeschermingsverklaring is dus niet mogelijk.
Onvoldoende aanbiederindicatie: te veel cookies – mogelijk wel alle, dit kon niet vastgesteld worden vanwege de grote hoeveelheid cookies – is de aanbieder onvoldoende benoemd. Er is geen aanbiedernamen gegeven. Men zou het Host-veld wellicht als onvolledige aanbiederindicatie kunnen zien.
Onzekere cookie-informatie: Het cookie VISTOR_INFO1_LIVE wordt beschreven met een Engelstalige tekst. Dit is voor de Duitse markt onaanvaardbaar. Als Art wordt 3rd Party aangegeven, evenmin begrijpelijk. Als Dauer worden 7985,5 years aangegeven. Naast het hier niet toegestane Engelse taal is bovendien de komma niet volgens Duitse normen gebruikt.
Onzekere beschrijving van cookies: Voor het NID cookie wordt als beschrijving een onzinnige opmerking gegeven (uitzondering): „Dit domein is eigendom van Google Inc. Hoewel Google voornamelijk bekend staat als zoekmachine, biedt de onderneming een diversiteit aan producten en diensten.”. Voor het cookie _ga wordt als doel opgegeven: „Dit cookie dient voor bezoekersdifferentiatie.”. Voor het cookie _utma wordt als doel opgegeven: „Met behulp van dit cookie kunnen we vaststellen of iemand al eens op onze website what of niet.” Beide cookies zijn in de privacyverklaring Google Analytics gekoppeld. Waarom twee cookies voor het herkennen van een bezoeker nodig zouden moeten zijn, blijft onduidelijk.
Onvoldoende gegevens over de bescherming van persoonsgegevens: ten minste voor dienst DoubleClick ontbreken alle informatie in de privacyverklaring van website W en in het venster waarin toestemming wordt gevraagd.
Ontbrekende herroepingsmogelijkheid: Ook na lang zoeken kon op website W geen herroepingsmogelijkheid worden gevonden. In plaats daarvan worden in de gegevensbeschermingsverklaringen naar sommige diensten links gegeven naar de websites van de aanbieders, waarmee volgens hen een gegevensverzameling (per dienst en aanbieder) kan worden afgewezen.
Onvolledige opgave van gegevensoverdracht naar derde landen: In de toestemmingsvraag ontbreekt een opgave over het versturen van gegevens naar derde landen, hoewel diensten worden gebruikt die gegevens naar derde landen sturen. De opgave is verplicht.

Conclusie

De echt talrijke genoemde gebreken moeten voor zichzelf spreken. Mijn beoordeling what slechts halfzacht intensief. Een nauwkeurigere beoordeling zou zeker nog meer problemen aan het licht brengen, bijvoorbeeld als men de gegevensbeschermingsverklaringen van de individuele tools, die op de geteste websites worden verstrekt, eens nauwkeuriger analyseert.

Alle consent tools tonen bij praktische toepassing aanzienlijke, naar mijn mening beschamende zwakke plekken. Zelfs de meeste aanbieders van consent tools krijgen het niet voor elkaar om met hun eigen tool een halfweg redelijke DSGVO-conforme website te presenteren.

Gebruik het beste geen gangbare Consent Tool, maar liever alleen de tools die geen toestemming nodig hebben of waarvan duidelijk is welke gegevens worden verzameld.

Grote bedrijven moeten hun eigen opgave voor toestemming creëren. Deze kan dan wettelijk veilig zijn, in tegenstelling tot het naar mijn mening ongeschikte materiaal dat duizend keer wordt verkocht.

De 100 euro weddewaag

Ik ben nu zo moedig en bied de eerste webbeheerder die zich bij mij meld 100 euro uit mijn privévermogen aan, als hij op zijn website een van de geteste Consent Tools gebruikt en alle voorschriften aanzienlijk in acht neemt (dus niet absoluut exact, maar alleen aanzienlijk!). Als voorwaarde geldt echter dat er een voldoende aantal (meer dan drie) aanmeldingsplichtige populaire tools op de website moet worden gebruikt. Als het precies drie zijn, kijk ik naar deze en neem ik de weddenschap misschien wel aan. De website moet al enkele maanden in haar grondige vorm bestaan. Het is niet toegestaan om snel een website te maken voor de weddenschap.

Ik wed dat niemand een rechtsgeldig opgave van toestemming kan geven voor websites zoals de genoemde. Het gaat hier niet om een gemiste komma, maar om grotere gebreken. Ook in sociale media heb ik mijn weddenschap aangekondigd en wacht ik op moedige mensen die een website willen noemen, hoe klein of groot ook mag zijn. Contact graag per e-mail.

Deze weddelaag loopt tot 30.06.2021

Oplossingsvoorstellingen

Door de gratis tools van Google en anderen zijn we allen op het verkeerde spoor gezet. Functie super, privacy slecht, zou ik het noemen.

Mijn voorstel voor websites die voldoen aan de DSGVO met minder moeite dan het onmogelijke te proberen mogelijk maken (zie praktijktest Consent Tools):

Inventarisatie van alle gebruikte tools
Alle niet meer nodige gereedschappen verwijderen
Lettertypen en JavaScript-bibliotheken, evenals externe afbeeldingen lokaal inladen
Alternatieven voor kritische tools gebruiken
Wie je over een toestemmingsvraag nadenkt, moet je beter nog even slapen (zie mijn checklist)

Google Analytics is ook zonder cookie-toestemming verplicht door een toegang tot het apparaat

Beratung für Unternehmen & Organisationen

KI-Schulung:
Webseiten & Apps
bauen ohne Kenntnisse

Cookiegeddon: Het mislukken van alle consent tools

Inleiding

Proefonderzoeken

Eisen voor de test

Testresultaten

GebruikerCentrics

Websitelijst E

Gegevens

Websitelijst F

Gegevens:

Websitesite G

Gegevens

Borlabs Cookie

Websitelink A

Gegevens

Websitel B

Gegevens

Websitelink C

Gegevens

Consentbeheerder

Websitelijst H

Gegevens

Websites J

Gegevens

Websitelink

Cookiesbot

Websitelink X

Gegevens

Websitelijst Y

Gegevens

Websitelijst

Gegevens

CCM19

Websitesite L

Gegevens

Websitelijst M

Gegevens

Websitelijst N

Gegevens

Alles duidelijk!

Websitelijst P

Gegevens

Websites Q

Gegevens

OneTrust / Optanon / Cookie Law

Websites U

Gegevens

Websites V

Gegevens

Websitelijst W

Gegevens

Conclusie

De 100 euro weddewaag

Oplossingsvoorstellingen

Google Analytics is ook zonder cookie-toestemming verplicht door een toegang tot het apparaat

Beratung für Unternehmen & Organisationen

KI-Schulung: Webseiten & Apps bauen ohne Kenntnisse

KI-Schulung:
Webseiten & Apps
bauen ohne Kenntnisse