Cookiegeddon: Porażka wszystkich narzędzi do zgody

Wymagający test popularnych narzędzi do uzyskiwania zgody na stronach internetowych z wynikami testów. Z mojej strony sprawdzono techniczne i prawne wymagania RODO. Dla tego celu przetestowano strony, które wykorzystują narzędzia do uzyskiwania zgody.

Wszystkie testowane strony internetowe, które używają popularnego narzędzia do zgody, wykazują poważne wady.

Wynik testu, odniesiony do testowanych stron internetowych, które wykorzystują narzędzie do zgody. Stan na dzień 31.12.2020

Żadna z przetestowanych stron internetowych nie wykazała zachowania przyjaznego dla ochrony danych osobowych. Wszystkie przetestowane strony internetowe nie mogły osiągnąć konformności RODO za pomocą narzędzi do zgody, które zostały użyte. Nawet strony internetowe dostawców narzędzi do zgody znalazły się w negatywnych przykładach.

Możliwe przyczyny tego wyniku:

• Narzędzia do zgody są niewystarczające do wdrożenia wymagań RODO
• Wiele dostawców narzędzi do zgody wydaje się nie znać samych *reguł ochrony danych osobowych
• Wprowadzenie tylko skryptu zgody jest *obiektywnie niewystarczające
• Właściciele stron internetowych zaufają zbyt dużo do narzędzi dotyczących zgody i nie dbają dalej o przepisy dotyczące ochrony danych osobowych

Fakty na wyciąg:

• Niektóre przepisy są już w odpowiednich prawachzakodowane i nie wymagają dodatkowej wyjaśnienia przez orzeczenia. Przykłady: informacja o cofnięciu tam, gdzie zapytano o zgodę (Art. 7 ust. 3 RODO); wskazanie ryzyka przy przesyłaniu danych do niepewnych państw trzecich (Art. 44 RODO)
• Wyroki takie jak ten TSUE dotyczą plików cookies, mówiąc, że cele i okres działania plików cookies należy określić (art. 13 RODO).
• Zgoda musi być dobrowolna. Zrozumiały zmysł mówi do dobrowolności, że odmowa powinna być tak łatwa jak zgoda sama w sobie. Regularnie to również stwierdza się w wyrokach. Dyrektywa ePrivacy mówi o tym również. Zastosowanie ma np. przy Google Analytics.
• Dostawcy usług używanych muszą być wymieniani. To wynika z przepisu prawa oraz z orzeczeń sądowych. Dostawca jest wymieniany tylko wtedy, gdy jego nazwa firmy, adres i kraj siedziby firmy są wymienione.
• Przetwarzania danych, które zostały już przeprowadzone, wraz z wykorzystanymi usługami, muszą być wyjaśnione (porównaj np. art. 13 Dz.U.).
• Cel cookies zarządzanych przez usługi trzecie są znane tylko tym trzeciom. Często te trzecie nie informują o celach tych plików cookie. W związku z tym niewłaściwa wskazanie celu przez użytkownika narzędzia trzeciego jest niemożliwe.
• Za nieprzeźroczystość informacji o ochronie danych, takich jak te które daje koncern Google, odpowiedzialny jest (pierwotnie wyłącznie) administrator strony internetowej, który używa narzędzia Google.
• Nie jest możliwe bezpieczne zarządzanie plikami cookie w prawnych aspektach. Mój artykuł informacyjny wymienia pięć powodów[6].
• Aktualizacja czerwiec 2021: Google przyznaje samemu, że wszystkie dane z Analytics w Google Analytics są zawsze przetwarzane w USA. To zostało jeszcze nie uwzględnione w moich testach, ale prowadzi do jeszcze bardziej wyraźnych wyników.

Jeżeli właściciel jednej z wymienionych stron internetowych uważa, że została ona poprawiona, proszę o kontakt z moim. Wtedy w tym artykule zamieścię aktualizację.

Nikt nie mógł wymienić strony internetowej, która wykorzystuje popularny narzędzie do zgody i kilka usług wymagających zgody zgodnie z RODO.

Moja 100 euro wizytówka, która nigdy się nie opłaciła.

Niektórzy argumentują, że można wszystko uregulować za pomocą ustawień niektórych narzędzi do zgody. To jest oczywiście albo całkowicie fałszywe, albo w praktyce nie jest stosowane, co prowadzi do tego samego efektu. Kto się trochę dokładniej przygląda prawnym i warunkom użytkowania narzędzi Google, łatwo zrozumie, gdzie część problemu tkwi.

Wprowadzenie

Jako Narzędzia do konsentu rozumie się pomocnicze narzędzia, które pozwalają na wyrażenie zgody od użytkownika witryny internetowej przed przetwarzaniem danych, zanim nielegalne działanie danych nastąpi. Często mówi się o konsentach cookies, chociaż jest to błąd, ponieważ obok plików cookie istnieją inne przetwarzania danych wymagające zgody.

Zbadano strony internetowe, które wykorzystują następujące tzw. rozwiązania dotyczące zgody:

• Borlabs Cookie
• CCM19
• Menadżer zgody
• Cookiebot (patrz postanowienie sądu okręgowego Wiesbaden, który uznał Cookiebot za niezgodny z prawem)
• Tak!
• Prawo dotyczące plików cookie / Optanon / OneTrust
• Usercentrics (od 01.09.2021 wspólnie z Cookiebot)

Strony internetowe, które używają narzędzi do uzyskania zgody (siedem innych stron nie zostało wymienionych nazwiskiem):

Z tych 24 stron internetowych plus siedmiu kolejnych zostało w ogóle przetestowanych 20 stron. Muszę jednak powiedzieć, że krótka weryfikacja pozostałych nieoficjalnie testowanych stron nie pozwoliła na duże zadowolenie ze szczególnie dobrego wykonania przepisów dotyczących ochrony danych osobowych. Tak samo wyglądało to również po opublikowaniu tego artykułu, a także przyglądając się dodatkowo innym stronom. To samo dotyczy stanu na sierpień 2021 roku.

Wszystkie Tools do zgody wydają się tworzyć bzdury na stronach internetowych!

Wynik końcowy z mojego wyniku testowego

Wynik testu pokazuje, że nawet większym firmom nie udaje się przestrzegać Prawa ochrony danych osobowych zobowiązujące.

Następujące strony internetowe, które wykorzystują narzędzie do uzyskania zgody, wymagają co najmniej jednego kliknięcia więcej, aby odmówić zgodnych na procedury niż aby ją udzielić (stan: 30.12.2020):

• adac.de
• commerzbank.de
• digitalehelden.de
• euronics.de
• ffh.de
• haendlerbund.de
• heise-regioconcept.de
• hertie.de
• kia.com
• springer.com

Ponieważ właściciele tych stron internetowych uważają za ważniejsze pozyskanie danych od użytkowników niż oferowanie prostego możliwości sprzeciwu wobec zbierania danych na mocy zgody, to według mnie jest to wyraźnie nielegalne. Tak samo myśli Sąd Okręgowy w Rostocku. Spoiler: Europejski Trybunał Sprawiedliwości i Federalny Trybunał Karny regularnie wydają orzeczenia na korzyść konsumentów.

Ten artykuł internetowy jest skrótem z bardziej obszernego dokumentu PDF, w którym znajdują się dodatkowe screenshoty i dowody.

Spis treści

Badania testowe

Przetestowano strony internetowe, które używają jednego z popularniejszych Narzędzi do zgody. O tym, które narzędzia są popularne, decyzja była podjęta w sposób subiektywny. W tym przypadku uwzględniono doświadczenie ze strony internetowej przetestowanej przez kilka tysięcy stron. Także Klaro! zostało włączone do testu, ponieważ jest otwartym kodem źródłowym i dostarcza go firma z Niemiec. Niektóre inne Otwarte Rozwiązania nie są już od dłuższego czasu rozwijane i dlatego nie były brane pod uwagę.

Badania zostały przeprowadzone w okresie od 08.12.2020 do 31.12.2020. Jak mogę każdego dnia stwierdzić, wyniki nie utraciły aktualności również w sierpniu 2021 roku.

Strony internetowe, o których mowa, są zarówno poddawane manualnej analizie jak i za pomocą mojego własnego narzędzia. Narzędzie skanuje stronę internetową i czyta tylko kilka jej podstron w celu przeprowadzenia testu. W trakcie tego procesu wykrywa się bez zgody pobierane narzędzia i pliki oraz ustawiane bez zgody pliki cookies.

Wyniki uzyskane automatycznie zostały potwierdzone ręcznie. W szczególności ręcznie sprawdzono następujące kryteria.

Kryteria testowe

Poniższe kryteria zostały pozytywnie sprawdzone z punktu widzenia obywatela niemieckojęzycznego, który odwiedza stronę internetową:

• Zgoda lub odmowa jako wolontariusz
• Ładowanie usług bez zgody
• Opis wykorzystywanych usług
• Klasyfikacja używanych usług
• Nominacja dostawców usług
• Nazewnictwo i opis stosowanych plików "cookies
• Przedstawienie transmisji danych do krajów trzecich
• Informacje o możliwości odwołania się
• Możliwość cofnięcia zgody po jej udzieleniu
• Odwołanie po zgodzie

Zobacz również moją listę sprawdzającą dotyczącą zapytań o zgodę na stronach internetowych, w której wymieniono kilka podstaw prawnych.

Wyniki testów

Strony internetowe testowane są zawsze w alfabetycznej kolejności niezależnie od ich wartości. Wyniki dotyczące testowanych stron internetowych są anonimizowane i oznaczane literami: strona A, strona B itd.

Podczas testów stron internetowych znalazły się również strony oferujących narzędzia do zgody, które używają własnego narzędzia. Ponieważ strony oferujące usługi i trzeci użytkownicy narzędzi mają poważne wady dotyczące rozwiązania zgodności, można przypuszczać, że niektórzy dostawcy nie znają wystarczająco podstaw prawnych lub oferowane narzędzia są niewłaściwe do uzyskania strony internetowej zgodnej z prawem.

Poniższe wyniki testów są zorganizowane według narzędzia do konsensusu.

Centrum Użytkownika

Strony internetowe, które wykorzystują UserCentrics:

• adac.de
• commerzbank.de
• usercentrics.com
• www-ag.com
• oraz jeszcze jedna (która może być później wymieniona)

Z tych stron internetowych część została przetestowana i następnie oceniona.

Strona internetowa E

Okienko zgody strony internetowej wygląda tak:

Po kliknięciu na "Informacje i ustawienia" pojawia się następujące okienko:

Dane obserwacyjne

• Nie jest możliwa dobrowolna decyzja: Odrzucenie nie jest takie proste jak przyjęcie. Wydaje się być nielegalne (por. orzeczenie Sądu Rejonowego w Rostocku).
• Brak wyjaśnienia dotyczącego stosowanych plików cookie: Bardzo nieporządnie jest, jeśli narzędzie, które służy jako „plik cookie” i może być skonfigurowane poprzez wezwania do „ustawień plików cookie”, nie zawiera w sobie żadnych informacji dotyczących stosowanych przez Google Analytics oraz innych usług na stronie E.
• Ładowanie narzędzi bez zgody: Bez zgody ładowane są Google Tag Manager, YouTube Video, DoubleClick, Google Universal Analytics, GA Audiences. W przypadku Google Analytics jest żądana zgoda. Nie da się być bardziej oszukującym, aby to uroczyście powiedzieć.
• Wypowiedzenie nie jest wykonane: Wypowiedzenie wcześniej udzielonej zgody nie prowadzi do wypowiedzenia. Jak się okazało, nawet po wypowiedzeniu nadal były ustawione pliki cookies wymagające zgody.
• Niejasne terminy: Zwykły obywatel i nawet informatyk z tytułem magistra mają trudności z zrozumieniem różnicy między Tracking, Personalisierung a Marketingiem. W kategorii Tracking jest wymienione Google Analytics, które również jest narzędziem marketingowym. W sekcji Personalisierung znajduje się Hotjar, narzędzie do śledzenia. Pojawia się ono, gdy kliknie się na nazwę kategorii w narzędziu do zgody. Tak samo jest z Google Optimize, narzędziem do testów A/B. Zadaniem tego narzędzia jest optymalizacja treści dla poszczególnych grup docelowych. To, co może być postrzegane przez użytkownika odwiedzającego stronę jako personalizacja, nie jest wcale takim samym, ale raczej jakąś formą optymalizacji reklamowej. Bardziej skomplikowanym i zupełnie niezrozumiałym jest klasyfikowanie Google Analytics Statistik do kategorii Statystyka oraz Google Analytics do kategorii Tracking. Nie jest wcale jasne, gdzie znajduje się różnica między Google Analytics Statistik a Google Analytics, nawet dla eksperta. Po kliknięciu na ikonkę pomocy przez znak zapytania ujawnia się to, że narzędzie to jest „usługą analizy i statystyk internetowych […]”, która służy do analizy korzystania z witryn internetowych oraz do mierzenia widowni. Narzędzie to wykorzystuje „ciasteczka” oraz „tagi pikselowe”. Natomiast Google Analytics jest opisane jako narzędzie, które wykorzystuje „ciasteczka”, ale nie więcej niż w przypadku innego (?) narzędzia, które nie wymaga zgody. Do Google Analytics zauważa się, że jest to „usługa analizy internetowej”, a nie również usługa statystyczna, jak w przypadku innego (?) narzędzia, które nie wymaga zgody.
• Nieprawidłowa wybranie domyślnej: W dziale Statystyka nazywa się Google Analytics Statystyka. Jest on włączony domyślnie (włączony z góry). To jest niezgodne z orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej dotyczącym plików cookies, jeśli weźmie się pod uwagę, że już przed wyrażeniem zgody są ustawiane pliki cookies Google Analytics. Dodatkowo, transfer danych do niebezpiecznych krajów trzecich (jak Stany Zjednoczone) bez poprzedniej zgody i bez odpowiednich gwarancji jest niezgodny z prawem (por. orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej dotyczącym Privacy Shield, a także katalogiem kryteriów noyb do indywidualnej oceny legalności transferu danych do Stanów Zjednoczonych).
• Błędna klasyfikacja: W dziale Technisch erforderlich znajduje się Google Tag Manager. To narzędzie służy do dynamicznego załadunku innych narzędzi, ma więc samą sobie żadną funkcji. Oczywiście wszystkie z narzędziem tym indirekt ładujące narzędzia mogą być również bezpośrednio ładowane.
• Sprzeczne wyjaśnienia: W odniesieniu do Google Analytics Statistik oraz do Google Analytics równocześnie wyjaślano, że „miejsce przetwarzania” to „Unia Europejska”. Ponadto wyjaślono, że „Alphabet Inc.” jest jednym z odbiorców danych. Znanym faktem jest, że siedziba Alphabet Inc. znajduje się w Stanach Zjednoczonych, a nie w Unii Europejskiej. W odniesieniu do Google Analytics Statistik jako odbiorca danych został wymieniony jedynie „Alphabet Inc.”, natomiast w odniesieniu do Google Analytics również „Google LLC” oraz „Google Ireland Limited”. Taka wyjaśnienie jest prawdopodobnie niemożliwe. Nie sposób zrozumieć, dlaczego miejsce przetwarzania dla Google Tag Managers zostało określone jako „Stany Zjednoczone Ameryki” a dla Google Analytics jako „Unia Europejska”. Ta informacja jest obiektywnie uznawana za absurdalną, ponieważ Google Analytics jest ładunkiem przez Google Tag Manager.
• Brakowało danych o oferencie: podawani są adresaci danych, którzy określani są jako "Google LLC" itp. Brakuje adnotacji dotyczących adresu. Adres jest jedynie podany przy "przetwarzającym przedsiębiorstwie".
• Sporne wyjaśnienie usług wdrażanych: Google Tag Manager opisuje się następująco: „To jest system zarządzania tagami do zarządzania skryptami JavaScript i tagami HTML, które są używane do implementacji narzędzi śledczych i analitycznych. Nie przetwarzają danych osobowych. Zarządca Tagów jest domeną bez plików cookie i nie gromadzi danych osobowych. Google Tag Manager może jednak wyzwolić inne tagi, które mogą gromadzić i przetwarzać dane osobowe.” Ta opis jest pierwsze fałszywy, ponieważ dane osobowe w postaci adresów IP są już pobierane przy wezwaniu Google Tag Manager. Drugie, ta opis nie jest zrozumiały. Zwykły obywatel nie wie, co to skrypty JavaScript są. Poza tym istnieją skrypty JavaScript jako stałe określenie nie ma.
• Niewystarczająca informacja o przesyłaniu danych do krajów trzecich: Informacja ta jest dostępna w zapytaniu o zgodę tylko w sposób pośredni, podając nazwę i formę prawną przedsiębiorstwa, ale nie wspominając o jego adresie i miejscowości siedziby. Przykład: Alphabet Inc.
• Brak informacji o plikach cookies: Brakuje podstawowych informacji o prawie niemal wszystkich używanych plików cookies zarówno w formularzu zgody strony E, jak i w jej polityce prywatności. Nie ma również osobnej "Instrukcji dotyczącej plików cookie", która jest dostępna na niektórych stronach internetowych.
• Nie klikalne linki: W Polityce prywatności strony E znajdują się istotne linki, takie jak „Użycie danych przez Google Inc.”, które nie są klikalne.

Strona internetowa F

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne:

• Zmniejszenie znaczenia przycisku "odmów" – przycisk ten jest oznaczony jako "przeglądaj i zmieniaj ustawienia plików cookies" i wizualnie wyraźnie oddzielony od przycisku "akceptuj". To sprzecza się z orzeczeniem Sądu Okręgowego w Rostocku (wyrok z dnia 15.09.2020 r., nr 3 O 762/19).
• Sporne globalne zapytanie o zgodę: Poprzez okno zgody, zgoda nie jest żądana tylko na stronie F, ale również na innych stronach administratora. Czy to dopuszczalne jest wątpliwe. Ponadto na tych innych stronach muszą być żądane te same zgodności lub muszą być możliwości odwołania zgody ze strony innych stron.
• Niewłaściwe ładowanie narzędzi bez zgody: Bez zgody są ładowane Google Tag Manager, Google Cytatiny, Google Reklamy, filmy YouTube i DoubleClick. Dla DoubleClick jest żądana zgoda, która jednak nie zawsze jest brana pod uwagę, jak wynika z analizy strony F. Podczas ładowania filmów YouTube bez zgody są ustawiane pliki cookies stron trzecich, które często mają okres ważności przekraczający 18 lat.
• Niedostępność częściowej możliwości odwołania się: Możliwość odwołania się można wywołać za pomocą linku w stopce strony F. Link ten jednak nie działa, jeśli aktualnie wyświetlana jest strona z polityką prywatności. W takim przypadku – ścisłe ujęcie – możliwość odwołania się nie jest dostępna.
• Odwołanie nie jest całkowicie wykonane: Jeśli zgadza się w każdym zakresie, wyświetla się ponownie okienko zgodności i odwołuje wszystkie procedury, strona internetowa nie jest ponownie ładowana. Usunięte usługi są nadal aktywne. Co najmniej jeden obowiązkowy plik cookie trzeciego podmiotu, który został ustawiony po zgodzie, wciąż istnieje. Jeśli strona internetowa jest ponownie ładowana ręcznie, usunięte usługi nie są już aktywne, ale wspomniany plik cookie wciąż istnieje.
• Nie działająca możliwość odwołania się do Google Analytics: Poza narzędziem konsentu w Polityce prywatności znajduje się pozorna możliwość zablokowania gromadzenia danych przez Google Analytics (przez przycisk Google Analytics deaktivieren). Klikając na zielony przycisk, nic nie działa, poza tym wyświetla się komunikat potwierdzający. Nie jest ustawiany plik cookie, jak sugeruje ilustracja. Poza tym, plik cookie opty-out to możliwość zupełnie złego sposobu na zablokowanie gromadzenia danych przez usługę trzecią stron.
• Brak wyjaśnienia dotyczącego stosowanych plików cookie: Możliwe, że jest to przypadkowość, że wszystkie badane strony internetowe, które używają UserCentrics, nie pokazują informacji o plikach cookie, może być to winą UserCentrics samego. Zarówno banner cookies jak i Cookie-Einstellungen oraz privacy policy zawierają żadne informacje dotyczące stosowanych plików cookie.
• Niejasna kategoria plików cookie: Strona F w kategorii Techniczne, funkcjonalne oraz służące do celów prowizyjnych i rozliczeniowych pliki cookie wykazuje również Ciasteczka-Tech. Ten termin dotknął autora pomimo wieloletniej pracy z tematem ochrony danych osobowych w Internecie nigdy wcześniej. Termin jest ogólnie niezrozumiały, niejasny i ma prawdopodobnie na celu nawiązanie do technicznych plików cookie.
• Fragliche notwendige Cookies: Ponieważ strona F nie przedstawia żadnych informacji technicznych dotyczących plików cookies, takich jak nazwa, cel, opis lub okres ważności, można jedynie spekulować co następująca wyjaśnienie o plikach cookies technicznie niezbędnych ma na myśli: Firma XYZ używa tych plików cookies, aby ułatwić korzystanie z witryn Firma XYZ: Z pomocą plików cookies firma XYZ może rozpoznać Ciebie na podstawie Twoich wcześniejszych wizyt, jeżeli ponownie odwiedzisz stronę Firma XYZ. Rozpoznawanie użytkowników jest samodzielnie dopuszczalne. Kwestia polega na tym, jak to się dzieje. Plik cookie, który wydaje się być jedynym używanym plikiem cookies, który przekracza sesję, przechowuje każdorazowo tylko ustawienia języka. To mógłby zostać wskazane, jeśli chodzi o tą powyższą wyjaśnienie.
• Brak informacji o ochronie danych osobowych: W deklaracji dotyczącej ochrony danych osobowych strony F brakuje opisu ochrony danych dotyczących usług używanych, w tym filmów na YouTube. Nie jest wyraźnie wyjaśniony Google Tag Manager, ale tylko implikowany przy usługach jako pomocniczy konstrukt, który jest uruchamiany przez Tag Managera. Prawdopodobnie powodem tego jest to, że został wybrany podejście do ochrony danych osobowych oparte na plikach cookies, które przynosi problemy.
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje bezpośredniej informacji na temat tego, czy dane są przesyłane do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich. Zamiast tego, podaje się informacje o dostawcy z państwem. Wątpliwości budzi pytanie, czy siedziba wskazanego dostawcy jest taka sama jak to państwo, do którego (wyłącznie) dane są przesyłane przez wykorzystany serwis.
• Brak informacji o plikach cookies: Wydaje się, że brakuje niemal wszystkich informacji dotyczących stosowanych plików cookies zarówno w formularzu zgody strony F jak i w jej polityce prywatności. Nie można znaleźć oddzielnej "Instrukcji dotyczącej plików cookie", takiej jakie mają niektóre strony internetowe.

Strona internetowa G

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Niedopuszczalne cofnięcie się odmowy: przycisk "odmów" został celowo mniej widoczny niż przycisk „akceptuj i zamknij”. Obie barwy oraz rozmiar przycisku „odmów” są cofnięte.
• Błędna nazwa inspektora ochrony danych: W przypadku usługi Matomo podawana jest jako adres e-mail inspektora ochrony danych privacy@matomo.org. Jest to oczywisty nonsens, ponieważ ten serwis jest hostowany i zarządzany przez administratora strony G (jak wyjaśnia on sam). Poprawne byłoby podanie własnego adresu e-mail. Inny przykład błędnie nazwanego inspektora ochrony danych można znaleźć w usłudze Google Ads Conversion Tracking. Tam adres mailowy jest podany w postaci linka do deklaracji ochrony danych. Klikając na link, otwiera się program pocztowy, ponieważ link został zaprojektowany jako mailto-link.
• Ładowanie narzędzi bez zgody: Już przy ładowaniu strony G i bez kliknięcia w coś, zostają załadowane narzędzia Lead Feeder, Google Schriften i Google reCAPTCHA. Do Google reCAPTCHA wyjaślono, że dane są przekazywane do odbiorców na całym świecie. To wskazuje na obowiązkowy proces zgody, który jednak nie jest uznawany. Bardziej skomplikowane staje się to jeszcze bardziej, ponieważ tamto podano link z opisem „Kliknij tutaj, aby odwołać swoją zgodę na wszystkich domenach firmy przetwarzającej”. Po pierwsze nie jest jasne sens tego zdania i po drugie pyta się czy powinien być potrzebny odwołanie zgody dla usługi, która według siebie sama nie wymaga zgody. Lead Feeder zawsze zostaje załadowany, bez względu na to czy została udzielona zgoda czy nie. To sprzecza się z wyjaśnieniem w oknie pop-up z strony G. Do Google Tag Manager strona G wyjaśnia, że lokalizacja przetwarzania danych „Stany Zjednoczone Ameryki” i że dane są przekazywane do innych krajów = na całym świecie. Wygląda to bardzo jak obowiązkowy proces zgody.
• Niewystarczająca informacja o odbiorcach danych: Stronie G przypisuje się Google Tag Manager odbiorców danych Alphabet Inc., Google LLC i Google Ireland Limited. Adresy i kraje należy samemu odgadnąć.
• Cel z YouTube Videos wyjaśnia pop-up zgodnie na stronie G w niewystarczający sposób (szczegóły pominięto, są udokumentowane). Dla usługi „StackPath LLC“ (prawdopodobnie chodzi o StackPath, ponieważ StackPath LLC jest firmą oferującą tę usługę) podaje się opis: „StackPath to platforma dla infrastruktury komputerowej i usług”. Autor ma wątpliwości, czy ten opis jest wystarczająco informacyjny. Co na stronie internetowej służy usłudze, która skupia się na „infrastrukturze komputerowej”, wydaje się być zupełnie niejasne.
• Niesłowna ogólna opis: Pierwszy zdanie w oknie konsentu brzmi "Z tym narzędziem możesz wybrać i wyłączyć różne tagi / śledźce / narzędzia analizy używane na tej stronie". Zdecydowanie ten zdanie nie jest ogólnie zrozumiałe. Nikomu nie trzeba wiedzieć, co to "tagi" są i jaki jest różnica między "śledźcami" a "narzędziami analizy". Okno konsentu jako narzędzie do opisu dla użytkownika również nie jest najbardziej zrozumiałe.
• Odwołanie nie jest całkowicie wykonane: Jeśli zgadza się w każdym zakresie, wyświetla się ponownie okienko zgodności i odwołuje wszystkie procedury, strona internetowa nie jest ponownie ładowana. Usunięte usługi są nadal aktywne. Niektóre obowiązkowe pliki cookie, które zostały ustawione po wyrażeniu zgody, są wciąż dostępne. Jeśli strona internetowa jest ponownie ładowana ręcznie, nieaktywowane usługi nie działają już, ale te wspomniane pliki cookie nadal są dostępne.
• Brak informacji o plikach cookies: Wydaje się, że brakuje (wszystkich ?) informacji dotyczących stosowanych plików cookies zarówno w formularzu zgody strony G jak i w jej polityce prywatności. Nie ma również oddzielnej "Instrukcji dotyczącej plików cookie", takiej jak ją przedstawiają niektóre strony.

Borlabs Cookie

Strony internetowe, które używają Borlabs Cookie:

• bondzio.de
• braeutigam-hotel.de
• heise-regioconcept.de
• mediana.de
• oraz jeszcze jedna (która może być później wymieniona)

Z tych stron internetowych część została przetestowana i następnie oceniona.

Strona internetowa A

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Nie jest możliwa dobrowolna decyzja: bezpośrednie odrzucenie nie jest możliwe. To wydaje się być niezgodne z prawem.
• Ładowanie narzędzi bez zgody: Już przy załadownaniu strony A i bez kliknięcia w nic, zostają ładowane narzędzia Google Analytics oraz Google+. Zostają również ładowane Google Schriften z serwera Google_
• Brak informacji o używanych narzędziach: Wspomniane wcześniej narzędzia Google Analytics, Google+ i Google Schriften nie są wymienione w oknie konsentu, również nie pod kategorią Essenziell. (Szczegóły do kategorii będą wyświetlane po kliknięciu na tekst Konfigurieren).
• Brakowało informacji o dostawcy: Informacja o używanych narzędziach jest niewystarczająca. Jako dostawca Facebook Pixel wskazano Facebook. Brakuje adresu lub formy prawnej. W tym miejscu pojawiła się już sama myśl, która z wielu firm Facebooka miałaby być dotyczyć.
• Niska opis celu: Pod cel do Facebook Pixel został podany następujący opis: „Piksel Facebooka jest narzędziem analitycznym. Możesz nim mierzyć skuteczność swojej reklamy, analizując działania osób na Twojej stronie internetowej.” Tu odwiedzający stronę zostaje tak podchwycony, jakby sam używał Facebook Pixel do optymalizacji reklam. Wymieniona informacja „Piksel Facebooka jest narzędziem analitycznym” jest niewystarczająca, ponieważ nie jest ogólnie zrozumiała i nie jest kompletna. Następny akapit jest błędny, ponieważ: Facebook Pixel jest szczególnie używany do identyfikacji odwiedzających jako użytkowników Facebooka, aby później na Facebooku wyświetlić im reklamy (pod nazwą Retargeting).
• Brakowała opis cookie: Nazwa pliku cookies jest oznaczona jako Facebook Pixel. To jest błędne. Prawidłowa nazwa pliku cookies to _fbp. Brakuje okresu ważności pliku cookies. Ta informacja jest jednak zgodna z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej dotyczącym plików cookies.

Strona internetowa B

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Zmniejszenie widoczności przycisku odmowy: Przycisk odmowy jest oznaczony jako „zapisz i zamknij” i wizualnie wyraźnie oddzielony jest od przycisku akceptacji. Wygląda na to, że jest to nielegalne, co najmniej jednak celowe ujemne dla użytkownika
• Ładowanie narzędzi bez zgody: Bez zgody ładowane są Google Schriften i Google Maps. W deklaracji ochrony danych strony B jest jednak źle opisana:„Ta strona używa do jednolitego przedstawiania czcionek tzw. Web Fonts, które są dostarczane przez Google. Google Fonts są lokalnie zainstalowane. Nie ma wtedy połączenia z serwerami Google.”
• Niepewne niezbędne ciasteczko z unikalną identyfikacją użytkownika: ciasteczko o nazwie__cfduid_ i o wartości składającej się z 43-cioznacznej sekwencji znaków, które ma okres ważności wynoszący 30 dni jest ustawiane bez zgody. Sekwencja ta jest przynajmniej odpowiednia do identyfikacji użytkownika.
• Brak wyjaśnienia dotyczącego stosowanych plików cookies: Dla niektórych plików cookie nie podano okresu ważności. Na przykład dla usługi „Funkcja czatu za pomocą tawk.to” lista plików cookie bez podania okresu ważności i bez celu, do którego są one stosowane: „cfduid, ss, tawkUUID, TawkConnectionTime, TawkCookie, __cfduid“.
• Brakowało informacji o dostawcy: Informacja o użytych narzędziach jest brakuje. Wydaje się, że nie podano adresu dostawców wymienionych w tekście. Nie jest klarowne, dlaczego Google LLC został wymieniony jako dostawca usług Facebooka, zwłaszcza że na stronie nie było widocznych usług Facebooka.
• Brakowała i fałszywa opisana została nazwa i cel usługi:Beiträge aus Facebook darstellen jako nazwa, aWird verwendet, um Facebook-Inhalte zu entsperren jako cel. Co miałoby być z tym zamierzeniem, pozostaje niejasne, zwłaszcza że na stronie nie było znaleziony żaden usługę Facebooka. DoMatomo opisano cel następująco:„Cookie von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.” Usługa takiego rodzaju jakMatomo nie jest plikiem cookie. Plik cookie nie tworzy danych. Dlatego opis ten jest w każdym zakresie fałszywy i nazywa cel usługiMatomo, a nie jej rzeczywisty cel, lecz raczej cel pliku cookieMatomo, który takiego nie istnieje (ponieważ na stronie B są używane trzy pliki cookiespk_*. , które w okienku konsentu są opisane jako_pk_\, co może być uznane za niezgodne z prawem, zwłaszcza że okres ich działania został ustalony na 12 miesięcy, co jest błędne).
• Odwołanie nie jest całkowicie wykonane: Jeśli zgadza się w każdym zakresie, wyświetla się ponownie okienko zgodności i odwołuje wszystkie procedury, strona internetowa nie jest ponownie ładowana. Usunięte usługi są nadal aktywne. Wszystkie pliki cookie wymagające zgody, które zostały ustawione po wyrażeniu zgody, są wciąż dostępne. Jeśli strona internetowa jest ponownie ładowana ręcznie, usunięte usługi nie są już aktywne, ale wszystkie pliki cookie ustawiane po wyrażeniu zgody są nadal dostępne.
• Brak informacji o możliwości odwołania się: W oknie zgodzić brakuje każdego wskazówki na możliwość odwołania się.
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje w pytaniu o zgodę informacji o tym, czy dane są przesyłane do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich.

Strona internetowa C

Dane obserwacyjne

• Brak informacji o możliwości odwołania się: Brakuje jakiegokolwiek wskazania na możliwość odwołania się.
• Zmniejszenie rozmiaru przycisku "odmówienie": Przycisk odmowy jest oznaczony jako „akceptuję tylko niezbędne pliki cookies” i ma połowę wysokości przycisku akceptacji. Ponadto, przycisk akceptacji został wyeksponowany za pomocą strzałek. Wygląda to na coś niewłaściwego, nawet jeśli strona C jest lepiej przygotowana niż wiele innych.
• Błędna klasyfikacja narzędzi: Google Analytics jest umieszczony w kategorii Statystyka. Poprawniejsza byłaby kategoria Marketing, ponieważ narzędzie działa z użyciem plików cookies i prowadzi do każdego użytkownika jedyną identyfikatorem klienta.
• Brak wystarczających informacji o dostawcy: O dostawcę Google LLC, który jest podany jako Google Analytics, brakuje informacji o firmie. Wymieniony cel "Ciasteczko od Google do analizowania witryny. Generuje statystykę dotyczącą sposobu korzystania z witryny przez użytkownika" jest niewystarczający, aby opisać usługę Google Analytics.
• Brak wyjaśnienia dotyczącego używanych plików cookie: Brakuje jakiejkolwiek opisu dotyczącego trzech wymienionych plików cookie _ga, _gat, _gid. Opisowany tam cel odnosi się jedynie do jednego pliku cookie (którego?). Wymieniona „czas działania pliku cookie” wynosząca 2 lata odnosi się jedynie do jednego z trzech plików, pozostałe dwa mają inne czas działania. Ponadto ustawiany jest plik cookie o nazwie _gat_gtag_UA_xxxx_1, który nie jest wyjaśniony. Z drugiej strony opisany jest plik cookie _gat, pomimo tego, że nie jest on używany.
• Brak informacji o ochronie danych osobowych: W deklaracji dotyczącej ochrony danych osobowych strony C brakuje wyjaśnienia dotyczącego Google Tag Manager. Prawdopodobnie powodem jest to, że został wybrany podejście do ochrony danych osobowych oparte na plikach cookies, które przynosi pewne problemy.
• Odwołanie nie jest całkowicie wykonane: Jeśli zgadza się w każdym zakresie, wyświetla się ponownie okienko zgodności i odwołuje wszystkie procedury, strona internetowa nie jest ponownie ładowana. Usunięte usługi są nadal aktywne. Wszystkie pliki cookie wymagające zgody, które zostały ustawione po wyrażeniu zgody, są wciąż dostępne. Jeśli strona internetowa jest ponownie ładowana ręcznie, usunięte usługi nie są już aktywne, ale wszystkie pliki cookie ustawiane po wyrażeniu zgody są nadal dostępne.
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje w pytaniu o zgodę informacji o tym, czy dane są przesyłane do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich.

Menadżer zgody

Strony internetowe, które używają consent manager:

• consentmanager.de
• ffh.de
• haendlerbund.de
• mitsubishi-motors.de
• oraz jeszcze jedna (która może być później wymieniona)

Z tych stron internetowych część została przetestowana i następnie oceniona.

Strona internetowa H

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Zbyt wiele, rzekomo czysto funkcjonalnych plików cookie: Wymienionych jest ponad 10 plików cookie, które według okna zgodności strony internetowej H rzekomo "są czysto funkcyjne i niezbędne do działania strony lub określonych funkcji".
• Brak opisu dla używanych plików cookies: Nie podano opisów znaczenia tych plików. Wskazanie okresu ważności z użyciem kreski jest najzwyczajniej niepewne i prawdopodobnie niewystarczające. W Polityce prywatności strony H znajduje się opis kilku (nie wszystkich) plików cookies. Przykład: „„__cmpcpc@@XX8@@“/“__cmppurposes“ – Informacja o wybranych celach. Opis ten jest oczywiście niezrozumiały i niewystarczający. Dlaczego plik cookie „euconsent_backup“ musi być kopią bezpieczną pliku „euconsent”, to powinien wyjaśnić dostawca strony H na prośbę.
• Niewystarczająca deklaracja plików cookie: Wymagania nie są spełnione przez deklarację _gat_* dla plików cookie Google Analytics, ponieważ nazwa jest niejasna i dane dotyczące okresu ważności tej ogólnej deklaracji mogą być błędne. Ponadto, plik cookie o nazwie _ga został podwójnie zadeklarowany, każdorazowo z inną domeną, która niepotrzebnie została nazwana angielskim słowem „Domain” (pamiętajmy, że głównie są to niemieccy użytkownicy strony internetowej, którzy nie muszą rozumieć języka angielskiego). Podczas testu strony internetowej można było zidentyfikować tylko jeden plik cookie o nazwie _ga. Brakuje również opisów dla wszystkich wymienionych plików cookie. Deklaracja „Typ: Pomiary” nie jest wystarczająca. Co się mierzy, dlaczego i dlaczego równocześnie z pięcioma plikami cookie?
• Niewystarczająca wymienianie usług: Wymienienie zastosowanych usług odbywa się w formie kategorii i dostawców. Pod "Wszyscy Dostawcy" jest to wykaz, który lepiej byłoby nazwać "Usługi": m.in. Google Ads, Google Analytics, Google General, LinkedIn. Czyta się jak usługi, ale nie jak dostawcy. Co Google General ma być, prawdopodobnie nikt nie wie.
• Niewystarczająca opis usług używanych: Do Google General podaje się jako „Cel przetwarzania danych“: „Pomiar“. Dalsze wyjaśnienia nie można znaleźć w oknie zgody. Podobne informacje dotyczące Google Analytics są również podane.
• Niewystarczająca deklaracja ochrony danych osobowych: Kto chciałby wiedzieć, co się kryje pod nazwą Microsoft, znajdzie jako opis „Messung”. W deklaracji ochrony danych osobowych strony H w języku niemieckim można przeczytać o Microsoft: Measurement. Teraz powinno być wszystko jasne …
• Odwołanie nie jest całkowicie wykonane: Jeśli zgadza się w każdym zakresie, wyświetla się ponownie okienko zgodności i odwołuje wszystkie procedury, strona internetowa nie jest ponownie ładowana. Usunięte usługi są nadal aktywne. Wszystkie pliki cookie wymagające zgody, które zostały ustawione po wyrażeniu zgody, są wciąż dostępne. Jeśli strona internetowa jest ponownie ładowana ręcznie, usunięte usługi nie są już aktywne, ale wszystkie pliki cookie ustawiane po wyrażeniu zgody są nadal dostępne.
• Nielegalne ładowanie narzędzi i plików cookie bez zgody: Bez zgody są ładowane YouTube Videos, DoubleClick, Calendly, Google Translate, Google Scripts i skrypt z domeny google.com. Także na co najmniej jednej stronie strony H jest ładowany bez zgody serwis etracker, pomimo tego, że jest o to pytana. YouTube i DoubleClick ustawiają pliki cookie trzeciej strony bez zgody.
• Brak informacji o ochronie danych: Brakuje wszelkich wskazówek dotyczących DoubleClick, Calendly i Google Schriften w deklaracji ochrony danych na stronie H.
• Brak informacji o przesyłaniu danych do krajów trzecich: W zapytaniu o zgody brakuje informacji o przesyłaniu danych, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich. Zamiast tego tworzone są informacje o dostawcy z podaniem kraju. Wątpliwości budzi to, czy siedziba wskazanego dostawcy jest taka sama jak kraj, do którego (wyłącznie) dane są przesyłane przez wykorzystany serwis. Dodatkowo nazwa kraju nie jest napisana, lecz podaje się jej kod ISO.

Strona internetowa J

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Nie jest możliwa dobrowolna decyzja: bezpośrednie odrzucenie nie jest możliwe. Wygląda na to, że jest to nielegalne.
• Nielegalne ładowanie narzędzi i plików cookie bez zgody: Bez zgody są ładowane Google Tag Manager, YouTube Video, DoubleClick, Twitter Widget, Google Schriften, Google reCAPTCHA, jedna biblioteka JavaScript z domeny googleapis.com, kilka plików z cloudflare.com i usługa o nazwie Giosg. Także na co najmniej jednej stronie strony H jest ładowany usługę etracker bez zgody, chociaż za to jest prosi o zgodę. YouTube i DoubleClick ustawiają pliki cookie trzeciej strony bez zgody.
• Błędna kategoryzacja usług: W oknie zgody strony J wymienione są następujące kategorie: „Ważne”: „Cel: Ważne”, „Funkcja”: „Cel: Funkcja. Usługi niezbędne do korzystania z funkcji strony.”, „Pomiar”: „Cel Pomiar”, „Marketing”: „Cel: Marketing”. Opisy wymienione tutaj to oryginalny opis strony J. Wydaje się, że te opisy są częściowo błędne. Zgłoszone dla strony „funkcje” są dezaktywowalne. Opisy do „Pomiaru” i „Marketingu” nie istnieją, a nazwa kategorii jest powtarzana jako wyjaśnienie celu.
• Brak wyjaśnienia dotyczącego użytych usług: Wydaje się, że brakuje jakiejkolwiek opisu tego, co „Facebook” ma być usługą.
• Brak opisu stosowanych plików cookie: Brakuje opisu celu stosowanych plików cookie. Zamiast tego czytelnik dowiaduje się na minutę dokładnie, że np. plik cookie o nazwie ATN ma okres ważności 729 dni, 23 godziny i 50 minut. Jako typ dla pliku cookie fr podaje się [nieznany].
• Brak wyjaśnienia dotyczącego stosowanych plików cookies: Do Google Analytics wymieniane są – bez opisu celu – dwa pliki cookies: \ga i \gid. W rzeczywistości jednak ustawiane są jeszcze dwie dodatkowe pliki, a mianowicie \gcl_au i \gat_UI-xxxxx-1. Za pomocą usługi Facebooka wyjaślano, że obok pliku __fbp_, który rzeczywiście jest ustawiony, są również ustawiane pliki cookies ATN i fr. W trakcie testu autor oraz automatyczna analiza nie zauważyły tych plików. Plik ATN jest w ogóle nieznany wśród publiczności. Ponieważ cel nie został opisany, dalsze badanie nie jest możliwe. Do YouTube nie wymieniane są pliki cookies w oknie zgody, chociaż w rzeczywistości ustawiane są dwie: YSC i VISITOR_INFO1-LIVE.
• Błędnego oznaczania dostawcy: Do dostawcy "Facebook" (miał na myśli Facebook Connect i Facebook Audiences, jak pokazuje analiza) podaje się adres w Hiszpanii. Takiej firmy nie wydaje się istnieć (i jeśli tak, to pytanie, dlaczego niemiecka strona ma hiszpańskiego partnera na Facebooku). Zamiast tego wygląda na to, że adres został znaleziony w internecie i pochodzi z fanpage'a usług taxi z Hiszpanii, jak wynika z mojej badań. W polityce prywatności strony J jest wymieniony Facebook Pixel i przypisany do dostawcy Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA. Zatem wcześniej wspomniana informacja o dostawcy jest sprzeczna, myląca i fałszywa.
• Brak wymienienia użytych usług: Jak już opisano, usługi Facebook Connect i Facebook Audiences są łączone w jeden ogólny usługę o nazwie Facebook.
• Zastrzeżenia dotyczące ochrony danych: W deklaracji ochrony danych strony J jest napisane o Google Tag Manager: Używamy na naszej stronie Google Tag Manager od Google LLC. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“). S_łownie, że mieszkasz w zwykłym miejscu zamieszkania w obszarze gospodarczym Unii Europejskiej lub Szwajcarii, to Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) jest odpowiedzialny za Twoje dane. Google Ireland Limited jest zatem firmą powiązaną z Google, która odpowiada za przetwarzanie Twoich danych i przestrzeganie obowiązujących przepisów ochrony danych._.
• Niewystarczająca możliwość odwołania: Odwołanie wszystkich udzielonych zgod nie jest możliwe przy jednym kliknięciu. Zamiast tego, należy kolejno kliknąć w każdą kategorię, tak aby następnie dla każdej kategorii mogło nastąpić ręczne wyłączenie. Do tego potrzeba 8 kliknięć.
• Odwołanie nie jest w pełni wykonane: Jeśli zgadza się na wszystkie procedury, okno konsentu pojawia się ponownie i odwołuje wszystkie procedury, strona internetowa nie jest ponownie ładowana. Usunięte usługi są nadal aktywne. Wszystkie pliki cookie wymagające zgody, które zostały ustawione po zgodzie, są wciąż dostępne. Jeśli strona internetowa jest ponownie załadowana ręcznie, usunięte usługi nie są już aktywne, ale wszystkie pliki cookie, w tym te od stron trzecich i domen trzecich, są nadal dostępne.
• Brak informacji o przesyłaniu danych do krajów trzecich: W zapytaniu o zgody brakuje informacji o przesyłaniu danych, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich. Zamiast tego tworzone są informacje o dostawcy z podaniem kraju. Wątpliwości budzi to, czy siedziba wskazanego dostawcy jest taka sama jak kraj, do którego (wyłącznie) dane są przesyłane przez wykorzystany serwis. Dodatkowo nazwa kraju nie jest napisana, lecz podaje się jej kod ISO.

Strona internetowa K

Okienko zgody strony internetowej wygląda tak:

Ciasteczkobot

Strony internetowe, które używają _Cookiebot:

• cookiebot.de
• werdewelt.info
• techem.de
• oraz jeszcze jedna (która może być później wymieniona)

Z tych stron internetowych część została przetestowana i następnie oceniona.

Krótka ocena adresu IP (72.246.29.131), która została wywołana podczas ładowania skryptu Cookiebot z consentcdn.cookiebot.com, wykazała:

Zgodnie z Traceroute wskazana adresem sieciowa jest zamieszkała w USA. Może być tak, ale nie musi, ponieważ adresy IP są czasem ponownie wydawane i przyznawane. Prawdopodobieństwo, że podczas jednego z tysiąca wezwań Cookiebot skryptu adres w USA zostanie odnaleziony, jest bardzo wysokie. Z tego powodu sam tylko ten fakt sugerowałby mię poszukiwanie innej rozwiązania.

Strona internetowa X

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Brak informacji o możliwości odwołania się. Brakuje jakiegokolwiek wskazania na możliwość odwołania się.
• Ładowanie narzędzi bez zgody: Już przy załadownaniu strony X i bez kliknięcia w coś, zostają ładowane usługi Gravatar, Google Analytics oraz Google Tag Manager. Dla obu wymienionych usług Google jest prosi o zgodę. Gravatar nigdzie nie jest wspominany.
• Błędne przyporządkowanie usług do dostawców: Na przykład dla pliku cookie Google Analytics, usługi i nie firma, Tag Manager Google, jest nazywany dostawcą, tak samo jak Google, kto czy co to jest Google.
• Brak oznaczenia dostawcy: Brakuje oznaczeń dostawcy wraz z informacjami o firmie dla wszystkich usług!
• Niewystarczające informacje o plikach cookie: W przypadku niektórych plików cookie jako okres istnienia używa się niejasnego, niewystarczająco specyficznego określenia, mianowicie Persistent. Określenie „Persistent“ jest dla przeciętnego użytkownika niezrozumiałe. Nie informuje ono również o rzeczywistej długości istnienia, ponieważ ta nie może być nieskończona. Wskazanie „HTML” jako typu pliku cookie jest bezsensowne. Takich plików cookie nie ma. Prawdopodobnie chodzi o HTML Web Storage i w tym kontekście Local Storage (określenie, które przeciętny użytkownik nie musi zrozumieć).
• Brak informacji o ochronie danych osobowych: Dla usług Google Analytics, Google Tag Manager, YouTube Videos, DoubleClick, Google Dynamic Remarketing, Gravatar i Zendesk brakuje jakichkolwiek opisów w deklaracji ochrony danych. Ogólnie mówiąc, żaden z tych usług nie jest wymieniony w deklaracji ochrony danych. W oddzielnej deklaracji o plikach cookie, która jednak nie jest odnośnikiem i tym samym niedostępna z niektórych stron, są wymieniane usługi, ale tylko wtedy, gdy ktoś jest gotów uznać opis każdego dostawcy za usługę.
• Powyższe niezbędne pliki cookie: 28 plików cookie zostało nazwanych jako niezbędne i tym samym niewybranie. Może być wątpliwość, czy tak wiele plików cookie jest potrzebnych do minimalnego działania strony internetowej.
• Trudna do znalezienia możliwość odwołania się: W Consent Popup nie informuje się o możliwości odwołania się. Ponadto strona z Cookie-Erklärung musi być najpierw wyświetlona i tam w środku tekstu link Widerrufen Sie Ihre Einwilligung znaleziony i kliknięty.
• Wyrzucenie zostaje nie w pełni wykonane: Po manualnym ponownym załadunku strony internetowej, są dostępne niektóre z plików cookies ustawionych przed wyrzuceniem. Jest to oczywiście nielegalne, bo wyrzucenie zostało częściowo ignorowane. Tylko usługi, które użytkownik już nie wyraził zgody na, nie są ponownie załadowane, z wyjątkiem Google Analytics, Google Tag Manager i Gravatar, które nadal są załadowane. Po ponownym załadunku strony X i ponownej zgody użytkownika, np. dla Google Analytics, usługa ta może korzystać z plików cookies z poprzedniej sesji. Użytkownik może być wtedy lepiej śledzony. W przeciwnym razie ten sam użytkownik byłby uznany za dwóch różnych użytkowników (co według Google jest prawdą).
• Niezrozumiała opis cookie: Do pliku _gat [x4] podaje się następujący cel: „Służy do Google Analytics, aby ograniczyć szybkość żądania”. Ta deklaracja jest nawet dla specjalisty w dziedzinie IT niezrozumiała. Co oznacza znak [x4] za nazwą pliku cookie pozostaje niejasne. Do pliku ads/ga-audiences podaje się następujący cel: “Służy do Google AdWords, aby ponownie zainteresować użytkowników, którzy mają prawdopodobieństwo zamknięcia transakcji na podstawie zachowania użytkownika w Internecie po stronach internetowych.”. Użytkownik niemiecki nie musi znać angielskiego.
• Sporne klasyfikowanie usług/ plików cookies: W kategorii Marketing wymieniono m.in. YouTube.
• Nacisk na pliki cookies a nie na usługi: Widać, że strona X traktuje pliki cookies jako jedynie istotne w kwestii ochrony danych osobowych: W zapytaniu o wyrażenie zgody brak informacji o używanych usługach; w deklaracji dotyczącej ochrony danych brakuje opisu używanych usług; usługi, które nie ustawiają plików cookies, są zupełnie pominięte.
• Niestrukturalna prezentacja: Jeśli użytkownik chce przeglądnąć wszystkie informacje w oknie zgody, musi przejść przez mały obszar wyświetlania, który nawet przy dużych rozdzielczościach ekranu pozostaje niewielki. Wygląda to nieznośnie i jest prawdopodobnie niezgodne z prawem.
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje w pytaniu o zgodę informacji o tym, czy dane są przesyłane do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich.

Strona internetowa Y

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Nieprawidłowa wybór: Jak widać na zdjęciu, wszystkie opcje są aktywowane. Kliknięcie bezpośrednie na przyciski „Zezwalaj na wybór” i „Zezwalaj na pliki cookie” jest więc równoznaczne i nieprzyjazne dla ochrony danych osobowych.
• Brak informacji o możliwości odwołania się: Jak wynika z obrazka, brakuje każdej wzmianki o możliwości odwołania się.
• Błędne oznaczenie plików cookies: Widok szczegółowy przedstawia wyjaśnienie dotyczące cookies, które jest błędne. Pliki cookies z nazwami /fileadmin/razor/Dist i /typo3temp/ według przeglądu strony Y nie istnieją. Ich cele nie są wymieniane, ale opisane są jako Anstehend. To wskazuje na to, że narzędziu, które zostało użyte, Cookiebot, cele te nie są znane. Inny plik cookies jest oznaczony nazwą lang[x2]. Miałoby to być dwie pliki cookies, z których tylko jedna została wymieniona przez Cookiebot, a druga (według protokołu Cookiebot jest to ads.linkedin.com) została pominięta.
• Brak informacji o plikach cookies: Jak już wspomniano, brakuje opisów celu dotyczących plików cookies.
• Brak wzmianki o plikach cookies: W ogóle nie wspominają, ale zgodnie z testem strony Y bez wątpienia są używane, są pliki cookies o nazwie be_typo_user i be_lastLoginProvider.
• Ładowanie narzędzi bez zgody: Już przy załadowaniu strony Y i bez kliknięcia w coś, zostają ładunkiem usługi Google Maps, Facebook Connect, Calendly, Google Schriften, Podigee Podcast Player i Google Tag Manager. Facebook Connect ustawia bez zgody plik cookie o nazwie fr z okresem ważności 3 miesiące dla domeny facebook.com. Calendly ustawia bez zgody plik cookie o nazwie _calendly_session z okresem ważności 21 tygodni dla domeny calendly.com.
• Niestrukturalna prezentacja: Jeśli użytkownik chce przeglądnąć wszystkie informacje w oknie zgody, musi przejść przez mały obszar wyświetlania, który nawet przy dużych rozdzielczościach ekranu pozostaje niewielki. Wygląda to nieznośnie i jest prawdopodobnie niezgodne z prawem.
• Brak informacji o ochronie danych: Na stronie Y brakuje jakichkolwiek wzmianek w deklaracji ochrony danych dotyczących narzędzi Cookiebot, Calendly oraz Podigy.
• Błędy w informacjach o ochronie danych: Na stronie Y jest napisane, że narzędzie consentmanager służy do zapytań o zgody. To nieprawda. Zamiast tego używa się Cookiebot.
• Brak możliwości odwołania się: Na stronie Y nie udało się znaleźć sposobu, aby odwołać udzieloną zgodę.
• Zastrzeżenia dotyczące ochrony danych nie są dostępne bezpośrednio: Podczas wezwania deklaracji ochrony danych z witryny Y pojawia się okno potwierdzenia zgody, jeśli wcześniej nie zostało ono zatwierdzone. Czytanie deklaracji ochrony danych bezpośrednio jest tym samym niemożliwe.
• Błędna klasyfikacja narzędzi/Cookies : Pomyłkowo przypisuje się plikiem cookies należącym do Google Analytics, do Google Tag Managera. Błąd ten wynika z faktu, że Google Tag Manager służy do dynamicznego ponownego załadunku Google Analytics. Zarządzacz tagiem jest więc jedynie inicjatorem procesu ładowania narzędzia, które w rzeczywistości ustawia i odczytuje pliki cookies _ga, _gat i _gid.
• Niewystarczające oznaczenie dostawców: Nie podaje się nazwy firm, które dostarczają narzędzi (tu tylko w postaci plików cookies). To dotyczy wszystkich 29 wymienionych plików cookie na stronie Y.
• Brak wzmianki o używanych usługach: Zastosowane usługi nie są wymieniane w zapytaniu o zgodę na stronie Y (i jeśli, to tylko częściowo i tylko pośrednio w rzekomym celu do pliku cookie, por. Rysunek 68). Zamiast tego narzędzie Cookiebot skupia się na plikach cookie na stronie Y.
• Błąd w identyfikacji dostawcy: dla pliku cookie DrawBridge jest podawany jako dostawca. W 2019 roku Drawbridge został kupiony przez LinkedIn, ale nadal jest wymieniany jako dostawca w formularzu zgody na stronie Z. Strona internetowa DrawBridge przekierowuje do strony internetowej LinkedIn (lub było tak do połowy 2023 roku, być może już nie). Klikając na link do Drawbridge, który jest widoczny w obrazku, nie trafia się na stronę z polityką prywatności, jak zamierzało, ale na stronę https://business.linkedin.com/de-de/marketing-solutions-b, która zawiera tylko informacje reklamowe i nie zawiera żadnych informacji o ochronie danych.
• Niezrozumiała opis do plików cookie: Opisy do plików cookie są dla przeciętnego obywatela często niezrozumiałe. Przykład opisu pliku cookie bcookie od dostawcy LinkedIn: „Służy do śledzenia korzystania z wbudowanych usług przez serwis społecznościowy LinkedIn.” W żadnym miejscu jest wspomniane, co dokładnie oznacza LinkedIn, czy kto jest dostawcą.
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje w pytaniu o zgodę informacji o tym, czy dane są przesyłane do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich.

Strona internetowa Z

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Ładowanie narzędzi i plików cookie bez zgody: Już przy załadownaniu strony Z, bez kliknięcia w coś, zostają ściągnięte usługi Google Ads, LinkedIn Analytics, YouTube Video, etracker oraz pliki z cloudflare.com. Usługa etracker ustawia bez zgody dwa pliki cookie o okresie ważności 2 lat, jedno z nich na domenie etracker.com. Usługa LinkedIn Analytics ustawia bez zgody sześć plików cookie o okresie ważności od jednego do dwóch lat, wszystkie na domenie linkedin.com.
• Przesunięcie przycisku "odmów" w tyl: Przycisk "odmów" jest znacznie bardziej oddalony wizualnie od przycisku "akceptuj". Wygląda to na nielegalne.
• Trudna do znalezienia możliwość odwołania się: W stopce strony Z znajduje się punkt menu o nazwie Widerruf. Ten jednak nie prowadzi do możliwości odwołania się dla ustawień plików cookie. Zamiast tego, możliwość odwołania się jest ukryta w formie linku tekstowego w deklaracji ochrony danych osobowych.
• Wydruk nie został całkowicie wykonany: Podczas manualnego odświeżania strony, plik cookie et_coid zostaje ponownie ustawiony, pomimo zapytania o zgodę. W jednym testach wydruk został wykonany (z wyjątkiem powyższego ustalonego punktu). W drugim testem wydruk nie został wykonany, po tym jak wydruk został już wykonany i wszystkie pliki cookie zostały zezwolenia.
• Niestrukturalna prezentacja: Jeśli użytkownik chce przeglądnąć wszystkie informacje w oknie zgody, musi przejść przez mały obszar wyświetlania, który nawet przy dużych rozdzielczościach ekranu pozostaje niewielki. To wygląda nieznośnie i jest prawdopodobnie niezgodne z prawem.
• Niewystarczająca informacja o dostawcy: Wszystkie 16 plików cookies z nazwą Z na stronie nie zostały prawidłowo opisane. Brak było w każdym przypadku informacji o firmie.
• Niezrozumiała opis do plików cookie: Opisy do plików cookie są dla przeciętnego obywatela często niezrozumiałe. Przykład: „Enthält Base64-kodierte Daten der Besucherhistorie (is Kunde, Newsletter-Empfänger, Visitor ID, angezeigte Smart Messages) zur Personalisierung (nur bei Cookie-Aktivierung).“ W tym konkretnym przykładzie opis zawiera dodatkowo informację o tym, że on (lub tylko dla personalizacji używany?) jest stosowany jedynie wtedy, gdy dana Cookie-Aktivierung istnieje. Co zatem ma na myśli Cookie-Aktivierung i dlaczego ta warunkowa deklaracja została umieszczona, nie jest wyraźne.
• Błędna identyfikacja dostawcy: dla pliku cookie DrawBridge jest uznany za dostawcę (porównaj stronę X).
• Brak informacji o ochronie danych osobowych: Brakuje obowiązkowych wskazówek dla Drawbridge, Google Tag Manager i Calendly w deklaracji ochrony danych osobowych strony Z.
• Błędne oznaczenie plików cookies: Oto cookie z nazwą et_coid[x2]. Miałoby być dwoma plikami, z których tylko jeden został przez Cookiebot nazwany, drugi (według protokołu Cookiebot z witryny Z) został pominięty.
• Zastrzeżenia dotyczące ochrony danych nie są dostępne bezpośrednio: Podczas wejścia na stronę Z, pojawia się okienko zapytania o zgodę, jeśli nie zostało ono wcześniej potwierdzone. Czytanie zastrzeżeń dotyczących ochrony danych jest tym samym niemożliwe.
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje w pytaniu o zgodę informacji o tym, czy dane są przesyłane do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich.

CCM19

Strony internetowe znalezione, które używają CCM19:

• ccm19.de
• crifbuergel.de
• hertie.de
• oraz jeszcze jedna (która może być później wymieniona)

Z tych stron internetowych część została przetestowana i następnie oceniona.

Strona internetowa L

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Zwolnienie przycisku "Odrzuć": Przycisk "Odrzuć" jest wizualnie znacznie oddalony od przycisku "Akceptuj". Wygląda to na nieprawidłowość. Co odróżnia Odrzuć od Zapisz, nie jest widoczne i jest w związku z tym mylące.
• Brak informacji o kategoriach: Strona L klasyfikuje używane narzędzia i pliki cookie do Techn. niezbędne / Essential, Analiza oraz Personalizacja. Opis tych kategorii brakuje w ogóle w zapytaniu o zgodę.
• Błąd w opisie usług: W przypadku Matomo wyjaślono m.in.: „Zbieranie danych statystycznych do analizy stron internetowych, dane są całkowicie anonimizowane. Nie przechowywane są dane identyfikujące, adres IP jest skrócony do ostatnich 3 znaków.” Adres IP prawdopodobnie nie zostanie skrócony do ostatnich 3 znaków, ale tak, aby zostały usunięte tylko te ostatnie 3 znaki. W przeciwnym razie istniałoby zaledwie 256 możliwych wartości (wtedy można by było zaprzestać zbierania danych). Ponadto trudno jest uwierzyć, że dane są całkowicie anonimizowane przy użyciu Matomo. Test wykazał, że również parametry URL na stronie L są zapisywane przez Matomo. W parametrach URL mogą znajdować się dane osobowe. Przykład: https://www.strona-anonimowa-m.de/aus-versehen-eingefuegte-information_
• Ładowanie narzędzi bez zgody: Bez zgody ładowane są Google Schriften. Po Brexitu i bez uchwały o dopuszczalności, do nich dołączyłoby również OpenStreetMap. OpenStreetMap jest oferowany przez firmę z Wielkiej Brytanii (UK).
• Brak informacji o ochronie danych osobowych: Brakuje polityki prywatności dla usługi Google Schriften.
• Sprzeczne informacje o ochronie danych: Chociaż zapytano o zgodę na usługę Matomo, w deklaracji ochrony danych czyta się:„Podstawowe prawo: Prawo do postępowania, art. 6 ust. 1 lit. f RODO“.
• Brak odnośnika do polityki prywatności: Na co najmniej jednej stronie strony internetowej L brakuje linku do polityki prywatności.
• Dla strony internetowej jest mniej danych niż dla innych stron. Głównym powodem jest to, że strona korzysta z niewielu usług.

Strona internetowa M

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Nie jest możliwa dobrowolna decyzja: Jak widać na rysunku, nie ma możliwości bezpośredniego odmówienia. Wydaje mi się, że to wyraźnie sprzeczne z prawem.
• Brak informacji o możliwości odwołania: Jak widać na zdjęciu, brakuje widocznego napisu o możliwości odwołania. Informacja o odwołaniu jest dostępna dopiero po przewinięciu się cienkiego paska z prawej strony okna. Jak widać na zdjęciu, prezentacja na smartfonach jest suboptymalna.
• Niewystarczające oznaczenie oferty: Dla narzędzia do zgody, które zostało użyte na stronie M jako wydawca podaje "XYZ AG" (prawdziwe nazwę firmy zastąpiono przez XYZ, aby uniknąć ujawnienia identyfikacji strony internetowej). Adres firmy nie jest wymieniany.
• Niewystarczające informacje o plikach cookies: Dla niektórych plików cookies podaje się czas życia w języku angielskim. Przykłady: 30 minut, Sesja. Dla pliku cookie nazwanego sid podaje się czas życia jako liczbę 1 (bez jednostki), ale brakuje opisu celu tego pliku cookies. Dla niektórych plików cookies występuje wydawać się ogólna nazwa. Przykład: ev_sync_@@XX8@@ Ponieważ różne pliki cookies mają różne cele (w przeciwnym razie można by użyć jednego pliku cookies i nie więcej) brakuje dokładnych opisów celu dla plików cookies ogólnie nazwanych. Zamiast tego do tej ogólnej nazwy jako celu wyjaślono: „Plik cookie trzeciego podmiotu specjalnie dla bieżących reklam, który synchronizuje Surfer-ID w Advertising Cloud z partnerem reklamowym. Plik cookie jest tworzony dla nowych Surferów i wysyła żądanie synchronizacji, gdy wygasa.” Głębszy sens tej wyjaśnienia pozostaje niejasny dla większości użytkowników._.
• Ładowanie narzędzi i plików cookies bez zgody: Bez zgody ładowane są Google Tag Manager, Bing Ads, DoubleClick Ad Exchange oraz YouTube Video.
• Brak wzmianki o plikach cookies: Niektóre z używanych plików cookies nie są wymienione na stronie M, np. kilka pierwszej strony plików cookies o okresie ważności od kilku tygodni do lat. Ponadto nie jest wyjaśniony plik _uetvid, który prawdopodobnie został ustawiony przez Microsoft Bing Ads (ponieważ plik _uetsid został wyjaśniony, a jego nazwa jest niemal identyczna z _uetvid).
• Niewystarczająca klasyfikacja usług/Cookies: Strona M wymienia trzy kategorie: Technicznie niezbędne, Analiza oraz Reklamy / Ads. Do żadnej z kategorii nie podano opisu. Google Analytics został przypisany do kategorii Reklamy / Ads. Ktoś by chciał przypisać to narzędzie do kategorii Analiza. Natomiast do kategorii Analiza została przypisana Microsoft Bing Ads, która według nazwy lepiej pasuje do kategorii Reklamy / Ads.
• Niewystarczające informacje o ochronie danych dotyczących stosowanych narzędzi: W zapytaniu o zgody podaje się link do https://about.ads.microsoft.com/en-us/resources/policies/remarketing-in-paid-search-policies Microsoft Bing Ads , który prowadzi na stronę po angielsku, nieprzydatną dla niemieckiego użytkownika.
• Niewystarczająca możliwość odwołania: Odwołanie wszystkich udzielonych zgód za pomocą jednego kliknięcia nie jest możliwe. Zamiast tego należy kolejno kliknąć w każdą kategorię i następnie nacisnąć przycisk "Zapisz". Do zakończenia procesu potrzebne są trzy kliknięcia, po otwarciu okna zgody.
• Niewystarczająca opisuje narzędzia używane: Do Microsoft Bing Ads jest wyjaśniony cel w następujący sposób: „To jest plik cookie, który jest używany przez Microsoft Bing Ads i jest to plik cookie śledczy. Umożliwia kontakt z użytkownikiem, który odwiedził wcześniej stronę.” Wydaje się, że usługa została pomyłkowo opisana za pomocą pliku cookie. Co oznacza ta wyjaśnienie, prawdopodobnie nie będzie dla większości użytkowników jasne.
• Odwołanie nie jest wykonywane: Odwołanie usuwa żadne z obowiązujących plików cookies z urządzenia użytkownika, nawet po manualnym ponownym załadowaniu strony. Ponadto strona nie jest ponownie ładowana, przez co już wcześniej załadowane narzędzia mogą dalej gromadzić dane.
• Zastrzeżenia dotyczące ochrony danych nie są dostępne bezpośrednio: Podczas wezwania do oświadczenia o ochronie danych z witryny M pojawia się okno potwierdzenia, jeśli wcześniej nie zostało potwierdzone. Czytanie oświadczenia o ochronie danych jest tym samym niemożliwe.
• Brak informacji o ochronie danych: Brakuje jakiegokolwiek wskazania dotyczącego Google Tag Manager i etracker w deklaracji o ochronie danych strony M. W przypadku niektórych usług brak jest odpowiedniej informacji, np. dla Google Analytics: „Aby analizować stronę internetową, ta strona używa Google (Universal) Analytics, usługi analitycznej firmy Google LLC (www.google.de). Służy to ochronie naszych w ramach oceny interesów przeważających prawidłowych interesów w celu zoptymalizowania naszego oferty zgodnie z art. 6 ust. 1 lit. f RODO. Google (Universal) Analytics używa metod umożliwiających analizę korzystania ze strony przez Ciebie, takich jak np. pliki cookies.” Brakuje tu adresu Google LLC. Ponadto jako podstawę prawną dla użycia narzędzia wskazano interes uprawniony. Jest to sprzeczne z faktem, że od użytkownika jest żądana zgoda na jego użycie.
• Nieprzydatna informacja dotycząca przesyłania danych do krajów trzecich: Brakuje przydatnej informacji w zapytaniu o zgody na Facebook Pixel. cyt.: „Miejsce przetwarzania danych: Facebook nie udostępnia informacji o miejscu przetwarzania danych. Prawdopodobnie Europa, Irlandia.” Informacja jest wymagana.

Strona internetowa N

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Brak informacji o możliwości odwołania: Jak wynika z obrazka, brakuje jakiegokolwiek wskazania na możliwość odwołania. Nie ma również tego widać w tekście, który pojawia się dopiero po przewinięciu strony.
• Niewystarczająca prezentacja informacji: Jak widać na zdjęciu, wyjaśnienia dotyczące zapytania o zgodę są dostępne dopiero po przewinięciu się. Pasek przewijania u góry prawego okna jest jednak tak słabo widoczny, że można go uznać za niedostępny.
• Ładowanie narzędzi i plików cookie bez zgody: Bez zgody są ładowane: YouTube Video, etracker, DoubleClick Remarketing, Twitter Widget, Google Schriften, Google reCAPTCHA, LinkedIn Widget oraz IFRAME z domeny trzeciej. Bez zgody są nadal ustawiane pliki cookie z domen youtube.com i doubleclick.net, które mają okres istnienia przekraczający sesję (przez ogól).
• Niedopuszczalne umieszczanie przycisku "odmów" w tyle: Przycisk "odmów" jest wizualnie umieszczony na odległość od przycisku "akceptuję". Wygląda to (ciągle) niedopuszczalnie.
• Brak odnośnika do polityki prywatności: Na co najmniej jednej stronie strony internetowej N brakuje linku do polityki prywatności.
• Zastrzeżenia dotyczące danych osobowych nie są dostępne bezpośrednio: Podczas wezwania do oświadczenia dotyczącego danych osobowych strony N, pojawia się okno zapytające o zgodę, jeśli wcześniej nie zostało potwierdzone. Czytanie oświadczenia dotyczącego danych osobowych jest tym samym niemożliwe.
• Brak informacji o ochronie danych: Brakuje wszelkich informacji w polityce prywatności strony internetowej N dotyczących Google Schriften, DoubleClick Remarketing i Google reCAPTCHA.
• Brak możliwości odwołania: Po długim poszukiwaniu nie udało się znaleźć na stronie N sposobu, aby odwołać wcześniej udzieloną zgodę.
• Niewystarczające oznaczenie dostawcy: Na stronie N jako wydawcę narzędzia do zgody "Papoo Software & Media Gmbh – CCM19 Cookie Consent Manager" podaje. Nie podaje adresu, zamiast tego widnieje nazwa produktu („CCM19 Cookie Consent Manager”) w miejsce firmowej identyfikacji.
• Brak wzmianki o plikach cookies: Niektóre z używanych plików cookies nie są wymienione na stronie N, np. kilka plików cookies ustawionych przez skrypty YouTube Video.
• Brak informacji o plikach cookies: Niektóre pliki cookies są deklarowane bez podawania informacji, a zamiast tego z pseudo-informacją N.A. dla wszystkich kryteriów (wydawca, opis itp.).
• Niewystarczające informacje o plikach cookies: Dla jednego z nich nie podano okresu ważności, a także jego celu. Dla innego, nazwanego ASP.NET_SessionId, podano okres ważności w postaci liczby 0 (bez jednostki), ale brakuje opisu celu tego pliku cookies. W przypadku kilku innych plików cookies występuje coś, co wygląda na ogólnikową nazwę. Przykład: _gat_gtag_UA_@@XX8@@. Ponieważ różne pliki cookies mają różne cele (inaczej nie potrzebowałoby się jednego pliku cookies i nie więcej), brakuje dokładnych opisów celu dla tych, które zostały ogólnikowo nazwane. Zamiast tego do tej ogólnikowej nazwy jako celu jest podana następująca informacja: „Służy do ograniczania liczby żądań. Jeśli Google Analytics jest dostarczany za pomocą Google Tag Manager, to ten plik cookies otrzymuje nazwę _dc_gtm_ .“. Ta opis celu wydaje się być całkowicie nieprzydatny do wyjaśnienia celu pliku cookies (lub narzędzia, które jest używane na stronie N przy CCM19) dla przeciętnego użytkownika.
• Niewystarczająca klasyfikacja usług/Cookies: Strona N wymienia trzy kategorie: Technicznie niezbędne, Analiza, Marketing oraz Reklamy / Ads. Do żadnej z kategorii nie podano opisu. Przedstawicielom społeczeństwa obywatelskiego może być trudno odróżnić Marketing od Reklam / Ads. Google Analytics jest przyporządkowany do kategorii Reklamy / Ads. Ktoś by chciał przypisać to narzędzie do kategorii Analiza.
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje informacji w zapytaniach o zgody dla niektórych narzędzi. Informacja jest wymagana.
• Brak danych o wydawcy: Na oknie zgody jest link o nazwie imprint. Po kliknięciu w ten link pojawia się puste okno z nagłówkiem imprint.

Tak!

Strony internetowe, które wykorzystują Klaro!:

• www.dillinger.de
• kiprotect.com
• digitale-helden.de
• oraz jeszcze jedna (która może być później wymieniona)

Z tych stron internetowych część została przetestowana i następnie oceniona.

Klaro! wydaje się być używany głównie przez strony internetowe, na których już od samego początku duży nacisk kładziony jest na ochronę danych osobowych, w których stosowanych jest tylko kilka narzędzi. Rozprzestrzenienie Klaro! nie jest szczególnie duże. W związku z tym poniżej przedstawione są wyniki dla dwóch stron internetowych. Wydaje się, że aktualizacja rdzenia Klaro! nie działa lub nie jest przewidziana, ponieważ wersje Klaro! okien dialogowych zgody na różnych stronach wyglądały znacznie inaczej i miały lepsze ustawienia w bardziej nowoczesnych wersjach.

Strona internetowa P

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Pomyłka w informacji o gromadzeniu danych: Jak wynika z obrazka, sugeruje się, że tylko odwiedzana strona gromadzi dane dotyczące użytkownika („… które informacje zebrujemy o Tobie“) i nie również inne trzecie podmioty.
• Brak informacji o możliwości odwołania się: Jak wynika z obrazka, brakuje jakiegokolwiek wskazania na możliwość odwołania się.
• Brak oznaczeń dostawcy: Brakuje oznaczeń dostawcy wraz z informacjami o firmie dla wszystkich usług na stronie zgodności.
• Brak wskazania użytych usług i plików cookie: Jak wynika z obrazka, brakuje wszelkich informacji o używanych usługach i plikach cookie. Widocznie nie można wyświetlić widoku szczegółowego.
• Brak opisu używanych usług: Jak widać na rysunku, brakuje opisów wszystkich używanych usług.
• Niepewne wcześniejsze aktywowanie narzędzia: Przed potwierdzeniem zapytania o zgodę, usługi analizy etracker są już aktywowane. To wynika z deklaracji o ochronie danych osobowych, w której ten serwis jest oznaczony jako aktywny za pomocą przycisku "schieberegler". W oknie zapytania o zgodę można jednak zmienić tę ustawienie.
• Brak informacji o ochronie danych: Brakuje jakichkolwiek opisów w polityce prywatności dotyczącej usługi DoubleClick (nie podaje się żadnych informacji nawet dla Google Ads, możliwego synonimu DoubleClick, nie ma również żadnych informacji). Usługa Eloqua jest niewystarczająco opisana w polityce prywatności jako Oracle Marketing Cloud. W polityce prywatności brakuje jakichkolwiek konkretnych informacji o plikach cookies. Zamiast tego znajdują się tam tylko puste miejsca.
• Ładowanie narzędzi bez zgody: Już przy prostym odwiedzeniu strony P i bez kliknięcia w coś, zostają ładowane narzędzia Google Maps, YouTube Video, Eloqua i DoubleClick. Dla Google Maps i YouTube Video (prawdopodobnie) są zapytane zgody poprzez kategorie Maps i Video – dokładnie nie można powiedzieć, ponieważ brakuje opisów do usług na okienku zgody. Google Maps jest nawet pełnoprawnie ładowany bez zgody, a włączone są tylko ukryte YouTube Videos, które są ładowane w tle jako skrypt YouTube Video. Także etracker jest ładowany w ten sposób. W związku z tym zostaje ustawiony plik cookie o nazwie _et_coid z wartością, która może być użyta do identyfikacji użytkownika i ma on okres ważności dwa lata oraz domenę etracker.com. To również jest zgoda obowiązująca, a nie jest podawana informacja o DPA itp.
• Zastrzeżenia dotyczące ochrony danych nie są dostępne bezpośrednio: Podczas wezwania do przeglądu polityki prywatności strony P pojawia się okno zapytające o zgodę, jeśli wcześniej nie zostało potwierdzone. Czytanie polityki prywatności bezpośrednio jest więc niemożliwe.
• Zastrzeżenia dotyczące danych osobowych nie są dostępne: Podczas pierwszego załadowania strony P okno zgody zasłania wszystkie linki, w tym również do polityki prywatności. Z tego powodu prawdopodobnie uważa się ją za niedostępną, ponieważ po kliknięciu na okno zgody potrzebne są jeszcze dwa kliknięcia, czyli łącznie trzy, aby załadować politykę prywatności. Dozwolone jest maksymalnie dwie klicki.
• Przesunięcie przycisku odmowy: Przycisk odmowy jest oznaczony jako „odmówka” i wizualnie umieszczony nieco poniżej przycisku akceptacji. Jest to prawdopodobnie niezgodne z prawem.
• Niejasny wskazówka dotycząca filmu wymagającego zgody: Jeśli nie wyraża się zgodę na „Filmy” i załadowuje stronę z wgrany film, pojawia się tam, gdzie film miałby się pojawić, wskazówka Proszę aktywować pliki cookie, aby wyświetlić film. W tym miejscu jest informacja o plikach cookie. Film jednak nie używa filmów (youtube-nocookie.com). Na stronie P nie ma żadnych konkretnych informacji na temat używanych plików cookie. Poza tym, oczywiście, film może być wyświetlany lub odtwarzany bez użycia plików cookie.
• Błędy w funkcjonalności okna zgody: W oknie zgody istnieje funkcja umożliwiająca jednoczesne aktywowanie wszystkich zgód. Ta funkcja powinna być prawidłowo zablokowana, ponieważ kategorie Analytics, Video i Maps są początkowo nieaktywowane. Jeśli tylko np. Analytics zostanie aktywowany, automatycznie zostaje również aktywowany Wszystko aktywuj. Jest to albo niezgodne z prawem (jeśli wszystkie zgody obowiązkowe są aktywowane), albo mylące i niezgodne z oczekiwaniami.
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje wypowiedzi dotyczącej przesyłania danych do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich. Informacja jest wymagana.

Strona internetowa Q

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Brak informacji o możliwości odwołania się: Jak wynika z obrazka, brakuje jakiegokolwiek wskazania na możliwość odwołania się.
• Nie jest możliwa dobrowolna decyzja: Jak widać na rysunku, nie ma możliwości bezpośredniej odmowy. Wygląda to nieregulaminowo.
• Nielegalne ładowanie narzędzi i plików cookie bez zgody: Bez zgody ładowane są Google Maps, Google Fonts, Google reCAPTCHA, Google AdWords Conversion Tracking, KlickTipp, usługa płatności Paypal oraz skrypty z betterplace.org i app.acuityscheduling.com.
• Brak informacji o ochronie danych osobowych: Brakuje obowiązujących wskazówek dla Google reCAPTCHA i Betterplace w deklaracji ochrony danych osobowych strony Q.
• Zastrzeżenia dotyczące danych osobowych nie są dostępne bezpośrednio: Podczas wezwania do oświadczenia dotyczącego danych osobowych strony Q, okno potwierdzenia pojawia się, jeśli wcześniej nie zostało potwierdzone. Czytanie oświadczenia bezpośrednio jest zatem niemożliwe.
• Brak oznaczenia dostawcy: Klikając w okienku zgody na zdjęcie 49 na Konfiguruj…, pojawia się lista z nazwami aplikacji. W pierwszej wersji wyświetlane są nie wszystkie aplikacje. Do każdego usługi (tutaj nazywanej Aplikacjami) brakuje oznaczenia dostawcy.
• Niejasne oznajmowanie dotyczące koniecznych gromadzeń danych: W oknie zgody mowa jest o zapisywaniu ustawień tej aplikacji. Nazwanie strony internetowej jako aplikację nie jest błędem, ale dla przeciętnego użytkownika prawdopodobnie nie będzie zrozumiałe.
• Brak wzmianki o plikach cookies: W oknie zgody oraz w polityce prywatności strony Q nie ma konkretnych informacji na temat plików cookies, takich jak ich nazwa lub czas działania.
• Zastrzeżenia dotyczące danych osobowych nie są dostępne w pełni: Podczas pierwszego załadowania strony Q okno zgody zasłania wszystkie linki, także te do polityki prywatności. Dlatego może być uznane za niedostępne.
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje wypowiedzi dotyczącej przesyłania danych do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich. Informacja jest wymagana.

Prawo dotyczące plików cookie / Optanon / OneTrust

Optanon został przejęty przez OneTrust, dlatego oba narzędzia powinny być rozważane razem. Produkt jest również prowadzony pod nazwą Cookie Law, dlatego ta wersja również powinna być rozważana razem.

Strony internetowe, które wykorzystują OneTrust:

• euronics.de
• Springer.com/de – Springer.com/pl
• kia.com/pl
• oraz jeszcze jedna (która może być później wymieniona)

Z tych stron internetowych część została przetestowana i następnie oceniona.

Ogólny wynik

Onetrust jest narzędziem do uzyskania zgody, które wykorzystuje zasoby z niepewnego kraju trzeciego.

OneTrust ładowuje zasoby z domeny onetrust.com. Ta domena wydaje się być prowadzona przez amerykańskie przedsiębiorstwo i dostarcza treści z serwera w USA. Zgodnie z oświadczeniem dotyczącym prywatności domeny onetrust.com dostawca znajduje się zarówno w USA jak i Wielkiej Brytanii (UK). Jeśli lokalizacja jest prawidłowa, to OneTrust jako rozwiązanie zgodne z RODO jest całkowicie niewłaściwe. Przed użyciem OneTrust należy uzyskać zgoda na narzędzie do wyrażenia zgody, co wydaje się być sprzeczne. Zgodnie z oświadczeniem dotyczącym prywatności strony W dostawca OneTrust znajduje się w UK i od 01.01.2021 nie jest już objęty zakresem RODO. Do dnia 21.12.2020 nie było jeszcze uchwały o dopuszczalności, co czyni z UK krajem trzecim (do dnia 28.12.2020 wydaje się obowiązywać okres przejściowy w wymiarze czterech lub sześciu miesięcy od roku 2021, po upływie którego UK bez uchwały o dopuszczalności będzie uznawany za kraj trzeci).

Ponieważ strona internetowa onetrust.com nie zawiera odpowiedniego podstrony o firmie i nie podaje odpowiednich informacji o osobie odpowiedzialnej za przetwarzanie danych, to sama strona wyklucza się z działania.

Informacje WHOIS WHOIS-Information wskazują, że domena onetrust.com jest zarejestrowana u Namecheap Inc. (z podaniem strony internetowej namecheap.com). Zgodnie z informacjami na stronie namecheap.com, Namecheap Inc. to amerykańskie przedsiębiorstwo. W informacjach WHOIS znajduje się również jako Registrant firma w Panamie, która ma ukryć tożsamość prawdziwego zarejestrowanego:

---

Jedna więcej przyczyn, by nie używać OneTrust.

Strona internetowa U

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Ładowanie narzędzi bez zgody: Już przy załadownaniu strony U i bez kliknięcia w coś, zostaje załadowane narzędzie OneTrust (porównaj powyżej). Wtedy następuje wywołanie adresu geolocation.onetrust.com, który wykonuje geolokalizację aktualnego użytkownika i zwraca dane lokalizacyjne. Geolokalizacja w kontekście pytania o zgody może być uzasadniona jedynie tym, że zgoda jest prosiwana od osób, które według adresu IP znajdują się w obszarze RODO. Jest to jednak błędne, ponieważ obowiązuje przepis rynku, który mówi, że strona internetowa powinna stosować się do przepisu RODO od momentu, kiedy skieruje się na rynek podlegający RODO. Poza tym geolokalizacja przy pomocy adresu IP itp. jest nigdy niepewna. Ponadto użytkownik może użyć proxy, aby ukryć swój lokalizację (co jest dozwolone). Po wykonaniu geolokalizacji zostaje zapisany plik cookie na 30 dni, w którym są przechowywane wyniki geolokalizacji. Ta informacja służy do identyfikowania i śledzenia użytkowników (w połączeniu z adresem IP i/lub Device Fingerprints jest bardzo wiarygodna).
• Nie jest możliwa dobrowolna decyzja: Jak widać na rysunku, nie ma możliwości bezpośredniej odmowy. Wygląda to nieregulaminowo.
• Brakowała opis narzędzi: W formularzu zgody strony U są wiele niejasnych, niespełniających oczekiwań lub angielskich informacji. Poniższe terminy są niejasne, słabe albo niezrozumiałe: „Host”: Co to znaczy?; „Długość: 4 lata”: Co się z tym ma? ; Rodzaj: 3rd Party ”: Co się z tym ma? ; Opis w języku angielskim: Niezrozumiały dla czytelnika niemieckiego bez znajomości języka angielskiego.
• Błędna klasyfikacja plików cookie: Pliki cookie nie są rozróżniane na podstawie kryteriów technicznych, lecz na podstawie kryteriów fachowych, istotnych dla użytkownika. Tutaj zawodzi OneTrust: Plik cookie o nazwie OptanonConsent, który jest ustawiany przez OneTrust, jest technicznie pierwszoplanowym plikiem cookie. Fachowo jest to oczywiście plik cookie trzeciej strony. Przyczyna: Plik cookie jest ustawiany i odczytywany przez skrypt OneTrust, który jest ładowany z serwera trzeciego.
• Opis kwestionowanych kategorii plików cookie: Jedna z kategorii cookies, która została przez OneTrust wydana, to pliki cookie dotyczące wydajności. Ten termin jest szeroko znany autorowi, ale nie jest powszechnie używany. Opis tej kategorii dostarcza pytanie o zgody strony U, które zawiera długi i niezrozumiały tekst.
• Brak oznaczenia dostawcy: Brakuje jakiejkolwiek informacji o dostawcy usług użytych na stronie. Dostawcę usługi określa się jako Awin. Informacja, który dostawca i firma mogą być ukryte za tym skrótem, szuka się bezskutecznie w popupie zgodności. Również deklaracja ochrony danych strony U nie ujawnia nic na ten temat. Wiedzącemu autorowi Awin to platforma reklamowa. Nie ma związku między tym a kategorią plików cookies Leistungs-.
• Brak informacji o plikach cookies: W zgody na warunki użytkowania strony internetowej nie podano opisu wielu plików cookies.
• Brak wzmianki o plikach cookies: Co najmniej jeden plik cookie (Facebook-Pixel, nazwa: _fbp) jest ustawiony, ale nie został wymieniony w zgody na pliki cookies strony U.
• Brak informacji o ochronie danych osobowych: W deklaracji ochrony danych osobowych strony U brakuje wielu informacji dotyczących usług wykorzystywanych na stronie. Wydaje się, że opisy wszystkich usług zostały "zapomniane" lub przeniesione do okienka zgody na pliki cookies, które można znaleźć po kliknięciu w link z deklaracji ochrony danych osobowych. Niestety brakuje wielu informacji w tym okienku, co powinno być obligatoryjne. Powodem tego jest wybór podejścia opartego na plikach cookies, które sprawiają wiele problemów.
• Niewystarczająca możliwość odwołania: Poza tym, że możliwość odwołania jest trudna do znalezienia, zawiera ona strukturalne wady, które nie są przyjemne dla użytkownika. Nie ma możliwości odwołania wszystkich udzielonych zgodnie jednym kliknięciem. Zamiast tego należy kliknąć kolejno „Kategorie plików cookies”, po czym można manualnie wyłączyć każdą kategorię, co wymaga 8 kliknięć. Gdy się wyłącza jedna kategoria, natychmiast pojawia się przycisk „Zezwalaj na wszystkie pliki cookies”. Wydaje się, że zostało więcej wagi przywiązane do uzyskania zgody niż odwołania lub odrzucenia.
• Wypowiedzenie nie jest natychmiast wykonane: Po wypowiedzeniu wszystkich zgód, wszystkie pliki cookie ustawione przed wypowiedzeniem są nadal dostępne. Strona internetowa nie jest ponownie ładowana. Zatem należy przyjąć, że już wcześniej załadowane usługi takie jak Google Analytics są nadal aktywne.
• Wyrzucenie nie jest całkowicie wykonane: Gdy strona internetowa jest odświeżana ręcznie, wciąż są dostępne wszystkie pliki cookies ustawione przed wyrzuceniem. Jest to oczywiście nielegalne, ponieważ wyrzucenie zostało częściowo ignorowane. Tylko usługi, które użytkownik nie wyraził zgody na dalsze korzystanie z nich, nie są już więcej odświeżane. Gdy strona internetowa jest odświeżana i użytkownik kiedykolwiek ponownie udzieli zgody na korzystanie z usług takich jak Google Analytics, może on wykorzystać pliki cookies z poprzedniej sesji. Użytkownik może być wtedy lepiej śledzony. W przeciwnym razie ten sam użytkownik byłby uznany za dwóch różnych użytkowników (według Google).
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje wypowiedzi dotyczącej przesyłania danych do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich. Informacja jest wymagana.
• Zastrzeżenia dotyczące danych osobowych nie są dostępne bezpośrednio: Podczas wywołania oświadczenia dotyczącego danych osobowych z witryny U pojawia się okno potwierdzenia, jeśli wcześniej nie zostało potwierdzone. Czytanie oświadczenia dotyczącego danych osobowych bezpośrednio na większych ekranach jest możliwe tylko w ograniczonym stopniu, a na mniejszych nie jest możliwe w ogóle.

Strona internetowa V

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Jako widoczne z obrazka, wskazówki są przedstawiane w języku angielskim, chociaż strona V jest inaczej dostępna po niemiecku.
• Brak informacji o możliwości odwołania: Jak wynika z obrazka, nie ma żadnych wskazówek dotyczących możliwości odwołania (anglojęzyczna wersja "You can manage your preferences…" jest uważana za nieistniejącą dla czytelnika niemieckiego).
• Nie jest możliwa dobrowolna decyzja: Jak widać na rysunku, nie ma możliwości bezpośredniej odmowy. Wygląda to nieregulaminowo.
• Ładowanie narzędzi bez zgody: Już przy załadowaniu strony V i bez kliknięcia w coś, zostaje załadowany narzędzie do wyrażenia zgody OneTrust. Ponadto są załadowane tak wiele narzędzi bez zgody, że tutaj tylko krótko wymieniam: Google Tag Manager, Facebook Connect, Google Analytics, Hotjar, Twitter Analytics, DoubleClick, Outbrain, Adscale, ShareThrough. Dodatkowo są załadowane kilka plików cookie bez zgody, w tym pliki cookie od Google Analytics, Facebook Connect i Hotjar
• Brak oznaczenia dostawcy: W zapytaniu o zgodę na stronie V brakuje wskazania dostawców używanych narzędzi i plików cookie. Zamiast tego, lista nazw plików cookie jest podana.
• Brak opisu plików cookies: Brakuje jakiejkolwiek informacji o tych plikach (poza nazwą).
• Nieuprawniona wcześniejsza wypełnianie formularza: Choć strona V została odwiedzona bez kliknięcia na nic i choć pytanie o zgodę nadal jest widoczne na ekranie, w oknie zgody już dokonano wcześniejszych wpisów dla procesów do zaakceptowania.
• Brak możliwości odwołania się:
• Zamiast możliwości odwołania się, strona V w polityce plików cookie tłumaczy: „Oto Centrum Preferencji Prywatności można uzyskać poprzez baner wyświetlany przy pierwszej wizycie na stronie lub po usunięciu plików cookies. Umożliwia on przeglądanie grup plików cookies, które przechowujemy (jak opisano powyżej w How We Use Cookies), oraz zarządzanie aktywnością plików cookies dla tych grup.”_
• Brak informacji o ochronie danych osobowych: Dla niektórych usług, takich jak WebTrekk, brakuje w ogóle informacji w deklaracji ochrony danych na stronie V. Z powodu wielu narzędzi używanych na stronie i faktu, że deklaracja jest dostępna tylko po angielsku, postanowiono nie przeprowadzać bardziej szczegółowej analizy.
• Brak wzmianki o plikach cookies: Co najmniej jeden plik cookie (Google Analytics, nazwa: _gcl_au) jest ustawiony, ale nie jest wymieniony w zgody na pliki cookies strony V.
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje wypowiedzi dotyczącej przesyłania danych do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich. Informacja jest wymagana.

Strona internetowa W

Okienko zgody strony internetowej wygląda tak:

Dane obserwacyjne

• Nie jest możliwa dobrowolna decyzja: Jak widać na rysunku, nie ma możliwości bezpośredniej odmowy. Możliwość odmowy („Zmień”) jest również optycznie cofnięta i wygląda nieregulaminowo.
• Nieprzyjemna koncentracja na pliki cookie: Jak widać z ilustracji, dla zobowiązujących się działań odwołuje się do informacji o plikach cookie. Jest to samo błąd, ponieważ przetwarzanie danych może być zobowiązujące również bez plików cookie. Ponadto w ilustracji nie jest widoczne, że tekst Mehr erfahren odwołuje się do polityki prywatności, która z kolei nazywa się privacy- und Cookie-directive. W polityce prywatności jest jednak odnoszona uwaga na „pliki cookie i podobne technologie”, co wskazuje, że koncentracja na plikach cookie jest uznawana przez twórcę strony za niewystarczająca.
• Ładowanie narzędzi bez zgody: Już przy załadowaniu strony W i bez kliknięcia na nic, zostaje ładunek narzędzia OneTrust. Ponadto są ładowane co najmniej następujące narzędzia bez zgody: Google Maps, Facebook Connect, Google AdWords Conversion Tracking, YouTube Video. Dodatkowo są ładowane niektóre pliki cookies bez zgody, w tym pliki cookies z Google AdWords Conversion Tracking i YouTube Video. Do YouTube Video np. odnosi się polityka prywatności strony W do amerykańskiego dostawcy.
• Zastrzeżenia dotyczące danych osobowych nie są dostępne bezpośrednio: Podczas wezwania do oświadczenia dotyczącego danych osobowych z witryny W, pojawia się okno potwierdzenia, jeśli wcześniej nie zostało ono zatwierdzony. Czytanie oświadczenia bezpośrednio jest tym samym niemożliwe.
• Niewystarczająca informacja o dostawcy: Za dużo plików cookie – być może wszystkie, nie udało się ustalić z powodu dużej liczby plików cookie w krótkim czasie – dostawca nie został wystarczająco określony. Nie ma nazwy dostawcy. Z dobrych intencji można uznać Host – informację za niewystarczającą nazwę dostawcy.
• Niepewne informacje o plikach cookie: Plik cookie VISTOR_INFO1_LIVE jest opisany tekstem angielskim. Jest to nieakceptowalne dla niemieckiego rynku. Jako Art podano 3rd Party, co również nie jest zrozumiałe. Jako Dauer podano 7985,5 years. Poza tu niezgodną z normą językiem angielskim, problemem jest także użycie przecinka dziesiętnego w sposób niezgodny z niemieckimi standardami.
• Opis cookies w kwestii: Dla pliku NID podaje się opis bez znaczenia (cytat): „Ten domen jest własnością Google Inc. Chociaż Google jest głównie znany jako motor wyszukiwarkowy, firma oferuje szeroki zakres produktów i usług.”. Dla pliku ga podaje się cel: „To cookie służy do odróżniania od siebie użytkowników.”. Dla pliku utma podaje się cel: „Z pomocą tego pliku możemy ustalić, czy ktoś już kiedykolwiek odwiedził naszą stronę lub nie.” Oba pliki są związane z polityką prywatności Google Analytics. Dlaczego dwie cookies są potrzebne do rozróżnienia użytkowników pozostaje niejasne.
• Brak informacji o ochronie danych osobowych: przynajmniej dla usługi DoubleClick brakuje jakichkolwiek wskazówek w deklaracji ochrony danych na stronie W i w oknie zgody.
• Brak możliwości odwołania się: Po dłuższym poszukiwaniu nie udało się znaleźć na stronie W możliwości odwołania się. Zamiast tego w deklaracji ochrony danych podawane są linki do stron oferujących usługi, za pomocą których można rzekomo sprzeciwiać się gromadzeniu danych (dla każdego dostawcy i usługi).
• Brak informacji o przesyłaniu danych do krajów trzecich: Brakuje wypowiedzi dotyczącej przesyłania danych do krajów trzecich, chociaż usługi są wykorzystywane, które przesyłają dane do krajów trzecich. Informacja jest wymagana.

Wnioski

Prawdziwie liczne wskazane błędy powinny mówić za sobą samymi. Mój test był tylko częściowo intensywny. Bardziej szczegółowy test na pewno jeszcze więcej problemów wyświetli, np. jeśli dokładnie przeanalizujemy oświadczenia dotyczące ochrony danych związane z poszczególnymi narzędziami, które są dostępne na badanych stronach internetowych.

Wszystkie narzędzia do zgody pokazują w praktycznym użyciu znaczne, z mojego punktu widzenia, zawadzone słabości. Nawet większość dostawców narzędzi do zgody nie potrafi przygotować sobie własnego narzędzia tak, aby strona internetowa była w miarę poprawnie zgodna z RODO.

Najlepiej nie używać standardowego narzędzia do zgody, ale raczej tylko te narzędzia, które nie wymagają zgody lub z którymi jest jasne, jakie dane są zbierane.

Większe firmy powinny stworzyć własną rozwiązanie dotyczące zgody. Może być ono prawidłowe, w przeciwieństwie do materiału nieprzydatnego, który jest sprzedawany tysiąc razy.

Sto-Euro Wiatka

Jestem odważny i oferuję 100 Euro z własnych środków każdemu pierwszemu operatorowi witryny internetowej, który umieści na swojej stronie jedną z narzędzi do zgody testowanych przez mnie i przestrzega istotnie wszystkich przepisów (nie dokładnie, ale tylko istotnie!). Jednakże warunkiem jest to, że muszą być użyte znane narzędzia wymagające zgody w ilości większej niż trzy. Jeśli są tylko trzy, sprawdzę te strony i wezmę udział w zakładzie. Strona internetowa musi istnieć od kilku miesięcy w swojej podstawowej formie. Nie jest dozwolone szybkie stworzenie strony dla zakładu.

Stawiam, że nikt nie przedstawi rozwiązania zgodnego z prawem dotyczącego zgody na takie strony internetowe. Nie chodzi tu o brak przecinka, ale o większe wady. W mediach społecznościowych również ogłosiłem swoją stawkę i czekam na odważnych, którzy przedstawią jakąś stronę internetową (nie musi to być ta własna), która nie spełnia tych wymagań. Proszę o kontakt drogą e-mailową.

Ta waga trwa do 30.06.2021

Propozycje rozwiązań

Poprzez darmowe narzędzia Google i innych zostaliśmy wszyscy wprowadzeni na zły tor. Funkcjonuje super, ale ochrona danych jest słaba, bym to nazwał.

Moje propozycja dotycząca stron internetowych zgodnych z RODO, które wymagają mniej wysiłku niż próba czegokolwiek niemożliwego (patrz test praktyczny narzędzi do zgody):

• Opis wszystkich używanych narzędzi
• Usuń wszystkie niepotrzebne narzędzia
• Wprowadź czcionki i biblioteki JavaScript oraz zewnętrzne obrazy lokalnie
• Używać alternatyw dla narzędzi krytycznych
• Ktoś, kto myśli o zapytaniu o zgodę, powinien lepiej jeszcze raz przestać myśleć (patrz moja lista spraw do sprawdzenia)