Cookiegeddon: Förlisningen av alla (?) samtyckesverktyg

En omfattande praktisk test av populära verktyg för samtycke på webbplatser med testresultat. Jag har granskat de tekniska och juridiska kraven enligt GDPR. Webbplatser som använder verktygen för samtycke har testats.

Alla testade webbplatser, som använder ett populärt samtyckesverktyg, uppvisar allvarliga fel.

Testresultat, i förhållande till de webbplatser som testats och använder ett samtyckesverktyg. Senast uppdaterad: 31 december 2020

Inga av de testade webbplatserna visade ett dataskyddsvänligt beteende. Alla testade webbplatser kunde med hjälp av de använda Consent Tools inte uppnå GDPR-konformitet. Även webbplatser från leverantörer av Consent Tools är att hitta bland de negativa exemplen.

Möjliga orsaker till detta resultat:

• Konsentverktygen är oanpassade för att genomföra kraven i GDPR
• Många leverantörer av Consent Tools *tycks inte känna till relevanta dataskyddsföreskrifter
• Det blöta införandet av ett samtyckesskript är *objektivt inte tillräckligt
• Webbplatsägarna litar för mycket på samtyckesverktygen och bekymrar sig inte längre om dataskyddsförordningen

Sanna fakta i korthet:

• Vissa föreskrifter är redan lagfästa i tillhörande lagar och behöver inte någon efterhandsklaring genom domstolsavgöranden. Exempel: Återkallelsemeddelande där en samtycke begärts (Artikel 7 § 3 DSGVO); Nämnd av risker vid datatransfer till osäkra tredjelande (Artikel 44 DSGVO)
• Domar som den av EuGH om kakor säger att syftet och funktionstiden för kakor ska anges (Artikel 13 DSGVO).
• En samtycke måste ske frivilligt. Den vanliga människans förståelse säger till om friwillighet att det ska vara lika enkelt att neka som att ge sitt samtycke. Detta fastställs regelbundet även i domar. ePrivacy-förordningen säger också detta. Den används exempelvis vid Google Analytics.
• Företag som tillhandahåller tjänster måste uppges. Det står i lagen och även i domar. En leverantör är bara uppgiven när hans firmamärke, adress och land för firman sitt läge uppges.
• Genomförda datahanteringsåtgärder inklusive använda tjänster måste förklaras (jämför exempelvis artikel 13 i GDPR).
• Syftet med kakor som hanteras av tredjepartsföretag är endast känt för dessa tredje parterna. Ofta informerar dessa tredje parter tyvärr inte om syftena med dessa kakor. I och med detta kan en ordentlig uppgift av syftet av ett användare av ett tredjepartsverktyg knappt ske.
• För den bristande transparensen i dataskyddsinformationer, som till exempel Google-koncernen ger ut, ansvarar (först och främst) webbplatsägaren som använder ett Google-verktyg.
• Ett rättssäkert cookiehantering är grundlöst inte möjligt. Min bakgrund-artikel nämner fem skäl för det.
• Uppdatering juni 2021: Google erkänner självt att alla analyser från Google Analytics alltid hanteras i USA. Detta har inte tagits hänsyn till vid mina tester, men leder ändå till ännu tydligare resultat.

Om ägaren till en av de nämnda webbplatserna tycker att han har korrigerat, vänligen kontakta mig. Jag kommer då att publicera ett uppdaterat innehåll i detta artikel.

Ingen kunde ge en hemsida som använder ett populärt samtyckesverktyg och flera tjänster som kräver samtycke, och som är i överensstämmelse med GDPR.

Min 100 euro satsning som aldrig kom till utbetalning.

Många hävdar att man med inställningarna på vissa samtyckesverktyg kan reglera allt. Det är uppenbart antingen fel eller så sker det inte i praktiken, vilket leder till samma resultat. Den som tar sig an de juridiska och användningsvillkoren för Googles verktyg kommer snabbt att inse var en del av problemet ligger.

Inledning

Som hjälpmedel för samtycke förstås verktyg med vilka en samtyckande från besökaren av en webbplats kan inhämtas innan datahanteringsprocesser sker, innan en annars olaglig datahantering sker. Ofta talar man felsamt om Kakkekonsolideringar, även om det finns andra samtyckeskrävande datahanteringsprocesser som inte är cookies.

Webbsidor som använder följande så kallade samtyckeslösningar har testats:

• Borlabs Cookie
• CCM19
• Samtyckeshanterare
• Cookiebot (se dom av kammarrätten i Wiesbaden, som uttalade sig att Cookiebot är lagstridigt)
• Yes!
• Entraust / Optanon / Cookieslag
• Användarcentriska (sedan den 01.09.2021 tillsammans med Cookiebot verksam)

Webbplatser som använder Consent Tools (sju ytterligare webbplatser nämns inte namn):

Av dessa 24 webbplatser plus de sju ytterligare som testades, totalt 20 webbplatser. Jag måste dock säga att en kort genomgång av de inte officiellt testade webbplatserna gav ingen större glädje på grund av särskilt bra implementering av tillhörande dataskyddsförordningar. Även efter publiceringen av detta inlägg har ytterligare genomgång av webbplatser gett samma bild. Detta gäller även med hänsyn till datumet augusti 2021.

Alla Consent Tools verkar skapa bull, på webbplatser!

Slutsats från mina testresultat

När det gäller att efterleva verbindliche dataskyddslagar lyckas inte ens större företag med sitt testresultat.

Följande webbplatser som använder ett Consent Tool kräver minst en extra klick, för att motsätta sig innehållspflichtiga processer snarare än för att ge samtycke (Senast uppdaterad: 30.12.2020):

• adac.de
• commerzbank.de
• digitalehelden.de
• euronics.de
• ffh.de
• haendlerbund.de
• heise-regioconcept.de
• hertie.de
• kia.com
• springer.com

Det verkar som att webbplatsens ägare tycker det är viktigare att få tag på användarnas data än att erbjuda en enkel möjlighet för dem att motsätta sig insamling av data med deras samtycke. Detta tycks jag vara rättssäkert. Det syns också av LG Rostock. Spoiler: EG-domstolen och Tyska högsta domstolen (Bundesgerichtshof) uttalar sig regelbundet med domar som är till fördel för konsumenterna.

Den här artikeln är en sammanfattning av ett ännu större PDF-dokument som innehåller fler skärmdumpar och bevis.

Innehållsförteckning

Prövningsförfarande

Testades webbsidor som använder ett av de populärare Consent Tools. Vilka verktyg som är populära har bestämts subjektivt. Här har erfarenheten från fler än 1000 granskade webbsidor beaktats. Likaså har Klaro! inkluderats i testet eftersom det är öppen källkod och leverantören kommer från Tyskland. Vissa andra Open Source Lösningar har inte utvecklats under en längre tid och har därför inte beaktats.

Testerna genomfördes under perioden från den 8 december 2020 till den 31 december 2020. Som jag dagligen kan konstatera, har resultaten inte förlorat sin aktualitet heller i augusti 2021.

De nämnda webbplatserna har såväl manuellt undersökts som med hjälp av min egen verktyg. Verktyget scannar den aktuella webbsidan och läser för testet bara några underwebbsidor in. Därvid upptäcks de utan samtycke laddade verktygen och filerna samt de utan samtycke satta kakorna.

Resultaten som automatiskt hade hämtats blev verifierade manuellt. Särskilt har följande kriterier kontrollerats manuellt.

Prövningskriterier

Följande kriterier har välts med vänliga ögon från en tysktalande medborgare som besöker en webbplats:

• Frivillig samtycke eller avslag
• Omfattande av tjänster utan medgivande
• Beskrivning av tillgjorda tjänster
• Klassificering av använda tjänster
• Upplysning om leverantörer av tjänster
• Namngivning och beskrivning av använda cookies
• Överföring av data till tredje land
• Information om ångerrätt
• Rätt att ångra efter samtycke
• Ångra efter samtycke

Se även min checklista för samtyckesfrågor på webbplatser, där några rättsliga grunder nämns.

Resultat från testet

De webbplatser som har testats presenteras alltid i värderingsfri alfabetisk ordning. Resultaten för de testade webbplatserna anonymiseras och kallas för: Webbplats A, Webbplats B osv.

Under de testade webbplatser finns också de som tillhandahåller Consent Tools och använder sitt eget verktyg. Eftersom leverantörer-webbplatser, precis som tredjepartsanvändare av verktyget, uppvisar allvarliga brister vad gäller samtyckesslutningen kan det antas att några leverantörer inte känner till rättslig grund nog eller att de erbjudna verktygen är oanpassade för att uppnå en rättssäker webbplats.

Följande testresultat är grupperade efter Consent Tool.

Användarcentriska

Hittade webbplatser som använder _UserCentrics:

• adac.de
• commerzbank.de
• usercentrics.com
• www-ag.com
• och en ytterligare (som kanske kommer att nämnas senare)

En del av dessa webbplatser har testats och sedan bedömts.

Hemsida E

Webbplatsens samtyckefönster ser ut såhär:

Efter klick på "Informationer & Inställningar" visas följande popup:

Fynd

• Inga frivilliga beslut möjliga: Att avvisa är inte lika enkelt som att acceptera. Det verkar olagligt (se domen från LG Rostock).
• Brister i förklaring av cookies: Det är mycket pinsamt för ett verktyg som används som "Cookie Banner" och som kan konfigureras genom att kalla på "Cookie inställningar", om både cookie banneret och cookie-inställningarna samt dataskyddspolicyn innehåller inga uppgifter om de cookies som används av Google Analytics och andra tjänster som laddas ner på webbplatsen Webbplats E.
• Laddning av verktyg utan medgivande: Utan medgivande laddas Google Tag Manager, YouTube Video, DoubleClick, Google Universal Analytics, GA Audiences. Därmed begärs ett medgivande för Google Analytics. Det går knappt att vara mer vilseledande.
• Ånghörande kommer inte att utföras: Ett ånghörande av en tidigare beviljad samtyckelse leder inte till ett ånghörande. Hur man skulle kunna se det var att även efter ånghörandet fortfarande sattes samtyckesskyddade kakor.
• Okänta begrepp: En vanlig medborgare och även en promoverad datalog, har svårt att förstå vad exakt skillnaden är mellan Tracking, Personalisering och Marketing. Under Tracking finns Google Analytics upptagen, som också är ett marknadsföringsinstrument. I avdelningen Personalisering finns Hotjar upptagen, ett spårningsverktyg. Detta syns när man klickar på rubriken i samtyckesverktyget. Likaså nämns Google Optimize, ett verktyg för A/B-tester. Med detta ska innehåll för enskilda målgrupper optimeras. Detta kan – från synvinkeln av den enskilde användaren, som besöker en webbplats – inte förstås som personalisering, utan högst som marknadsföringsoptimering. Ännu mer förvirrande och helt utanför alla efterföljbarhet är klassificeringen av Google Analytics Statistik till kategorin Statistik och av Google Analytics till kategorin Tracking. Var skillnaden mellan Google Analytics Statistik och Google Analytics ligger, är fullständigt oklar och inte ens för en expert förljlig. Ett klick på hjälpfunktionen genom frågetecken avslöjar att detta verktyg är ett "webbanalyse- och statistikdienst […], som används för analys av webbplatsanvändning och mätning av räckvidd". Dessutom använder det "cookies" och "pixel-tagg". Till Google Analytics hänvisas endast "cookies" som "använda teknologier", alltså mindre än för det andra (?) verktyget, vilket enligt uppgift inte kräver samtycke. Till Google Analytics förklaras att det är ett "webbanalyse-verktyg", alltså inte även ett statistikdienst, som det andra (?) verktyget, vilket enligt uppgift inte kräver samtycke.
• Olagligt förhandsval: I avdelningen Statistik heter det Google Analytics Statistik. Detta verktyg är redan valt (aktiverat). Detta är enligt Eu-domstolens dom om kakor olagligt, när man tar hänsyn till att Google Analytics redan har lagrat kakor innan användaren gett sitt samtycke. Dessutom är det olagligt att överföra data till osäkra tredjeländer (som USA) utan tidigare samtycke och utan lämpliga garantier, se Eu-domstolens dom om Privacy Shield samt en kriteriekatalog från noyb för en fallvis bedömning av lagligheten av dataöverföring till USA.
• Falsk klassificering: I avdelningen Tekniskt nödvändigt är Google Tag Manager upptagen. Detta verktyg används för att dynamiskt läsa in andra verktyg, så det har själv ingen funktion. Naturligtvis kan alla med Google Tag Manager indirekt laddade verktyg också laddas direkt.
• Motstridiga förklaringar: Till Google Analytics Statistik och till Google Analytics sägs det att "platsen för behandlingen" är "Europiska unionen". Dessutom sägs att "Alphabet Inc." är en av mottagarna. Bekant är att huvudkontoret för Alphabet Inc. ligger i USA, alltså inte i Europiska unionen. Till Google Analytics Statistik anges bara "Alphabet Inc." som mottagare, medan till Google Analytics även "Google LLC" och "Google Ireland Limited" anges. Detta är svårt att förklara. Varför platsen för behandlingen för Google Tag Manager anges till "Vereinigte Staaten von Amerika" och för Google Analytics till "Europäische Union", förstår man inte. Denna uppgift betraktas objektivt som nonsens, eftersom Google Analytics först laddas in via Google Tag Manager.
• Brister i uppgift om leverantör: Mottagare av data anges med "Google LLC" o.s.v. Uppgift om adress saknas. Adressuppgiften finns endast för "det behandlande företaget".
• Fragvärrande förklaring av inlagda tjänster: Den Google Tag Manager beskrivs på följande sätt: „Detta är ett taghanteringsystem för att hantera JavaScript- och HTML-taggar, som används för att implementera spårnings- och analyseredskap. Inga personuppgifter behandlas. Tag Manager är en cookie-fri domän och samlar inte in några personuppgifter. Google Tag Manager kan dock aktivera andra taggar som kanske samlar in och behandlar personuppgifter.” Denna förklaring är första delen felaktig, eftersom personuppgifter i form av IP-adresser redan samlas in vid anropet till Google Tag Manager. Andra delen är inte begriplig. En vanlig medborgare vet inte vad JavaScript-taggar är. Dessutom finns det JavaScript-taggar som en fastställd term inte.
• Brister i uppgiftshämtning vid dataöverföring till tredjeländer: En uppgift om detta finns endast indirekt i medgivningsfrågan, genom att namn och firma av företag ges men inte deras adress eller land för bolagsställe. Exempel: Alphabet Inc.
• Bristande uppgift om kakor: Till nästan alla använda kakor saknas grundläggande informationer, både i webbplats E:s samtyckessida och i dess integritetspolicy. En separat "kakor-policy", som vissa webbplatser har, hittas inte.
• Oanvändbara länkar: I dataskyddspolicyn för webbplatsen E finns viktiga länkar, som till exempel "Datatranskription av Google Inc." är oanvändbara.

Hemsida F

Webbplatsens samtyckefönster ser ut såhär:

Fynd:

• Återställande av avvisningsmöjligheten: Avvisningsknappen är märkt med "Se och ändra cookieinställningar" och visuellt betydligt tillbakaställd från accepteringsknappen. Detta strider mot domstolens uppfattning i LG Rostock (dom den 15 september 2020 – 3 O 762/19).
• Tvivelaktiga globala frågor om samtycke: Genom samtyckesskärmen begärs inte bara ett samtycke för webbplats F, utan även för andra webbplatser som ägs av företaget. Om detta är tillåtet är oklart. Dessutom skulle man då också behöva fråga om samtycke på de andra webbplatserna och även kunna ångra det samtycket på dessa webbplatser.
• Olagligt laddning av verktyg utan medgivande: Utan medgivande laddas in Google Tag Manager, Google Skrift, Google Ads, YouTube Videor och DoubleClick. För DoubleClick begärs ett medgivande, men det beaktas inte alltid, som en analys av webbplatsen F visade. Vid laddning av YouTube videor utan medgivande sätts tredjepartscookies, som delvis har en livslängd på över 18 år.
• Delvis tillgänglighet för ångra: Möjligheten att ångra kan kallas upp via en länk i fotnoten på webbplats F. Denna länk fungerar dock inte om den nuvarande sidan är dataskyddspolicy. Med det syns – strikt taget – möjligheten att ångra sig inte.
• Ångra inte fullständigt: Om man godkänner alla åtgärder kommer konsent-pop-up igen och ångrar sedan alla åtgärder, men webbplatsen laddas inte om. De redan återkallade tjänsterna är fortfarande aktiva. Minst ett av tredjepartscookies som satts efter godkännande finns kvar. Om man laddar om webbplatsen manuellt är ångrade tjänster inte längre aktiva, men det tidigare nämnda cookie finns fortfarande kvar.
• Nekande fungerande möjlighet att ångra till Google Analytics: Utanför konsentverktyget finns det i dataskyddspolicyn en uppenbar möjlighet att inaktivera insamlingen av data genom Google Analytics (genom ett knapp Google Analytics deaktivera). Klickar man på den gröna knappen, tycks ingenting hända utöver att ett bekräftelse-meddelande visas som popup. Ett kakke, som i bilden antydas, sätts inte in. Utanför det är en Opt-Out Cookie en tänkbar dålig möjlighet att förhindra insamlingen av data genom en tredje part.
• Bristande förklaring om använda cookies: Det kan vara en slump att alla undersökta webbplatser som använder UserCentrics inte visar några cookie-informationer, det kan också bero på UserCentrics själv. Både cookie-banneret och cookie-inställningar samt dataskyddspolicy innehåller inga uppgifter om de använda cookies.
• Okända kakkekategori: Webbplatsen F anger i kategorin Tekniska, funktionella samt till provis- och avräkningsändamål tjänande kakor också Teknikmärken ut. Denna term har trots årsbar inriktning på dataskydd på internet aldrig tidigare mött författaren. Termen är allmänt oklar, otydlig och syftar sannolikt på tekniskt orienterade kakor.
• Fragliche notwendige Cookies: Eftersom webbplatsen F inte tillhandahåller några tekniska uppgifter om cookies som namn, syfte, beskrivning eller livslängd, kan man bara gissa vad följande förklaring till antagna tekniskt nödvändiga cookies ska betyda: Firma XYZ använder dessa cookies för att förenkla användningen av Firma XYZ:s webbplatser: Med hjälp av cookies kan Firma XYZ igenkänna dig vid tidigare besök, när du återigen besöker Firma XYZ:s webbplats. Ett igenkännande av en användare är i sig tillåtet. Det som är frågetecken är hur detta sker. Det uppenbart enda cookie som används och överlever ett sammanhang, lagrar åtminstone bara språkinställningen. Detta hade man borde nämna, om det var meningen med den ovan nämnda förklaringen.
• Brister i dataskyddsinformation: På webbplatsen F saknas information om dataskydd för tjänster som används, bland annat till YouTube-videor. Google Tag Manager hänvisas inte explicit utan bara implicit vid tjänster som hjälpkonstruktioner som utspelas av Tag Manager. Orsaken är sannolikt att ett cookie-centrerat dataskyddssätt valts, vilket tydligen medför problem.
• Brister i uppgift om dataöverföring till tredje land: En direkt uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land. Istället görs leverantöruppgifter med land. Det är oklart om den nämnda leverantörens säte är samma land där (uteslutande) data överförs via den inrättade tjänsten.
• Bristande uppgift om kakor: Det verkar saknas nästan alla uppgifter om vilka kakor som används, både i webbplats F:s samtyckessida och i dess integritetspolicy. En separat "kakoriktlinje" hittas inte.

Hemsida G

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Ogiltigt att sänka ned avslå-möjligheten: den avslå-knappen har medvetet gjorts mindre synlig än knappen "Acceptera och stäng". Både färgsättningen och storleken på avslå-knappen är sänkt.
• Falsk namngivning av personuppgiftsombud: För tjänsten Matomo anges som e-postadress till personuppgiftsombudet privacy@matomo.org. Det är uppenbart nonsens, eftersom denna tjänst drivs och hostas av webbplatsägaren själv (som han också förklarat). Rätt vore att ange en egen e-postadress. Ett annat exempel på ett felaktigt namngivna personuppgiftsombud är vid tjänsten Google Ads Conversion Tracking att hitta. Där anges e-postadressen i form av en länk till en integritetspolicy. När man klickar på länken öppnas e-postprogrammet, eftersom länken har formatats som ett mailto-länk.
• Laddning av verktyg utan medgivande: Vid laddningen av webbplatsen G och utan att något har klickats på händer det att verktygen Lead Feeder, Google Skrift och Google reCAPTCHA läses in. Till Google reCAPTCHA förklaras att data överförs till mottagare världen runt. Detta tyder på en medgivandepåliggande process som dock inte erkänns. Ännu mer absurt blir det eftersom ett länk ges med beskrivningen "Klicka här för att ångra ditt samtycke på alla domäner hos den behandlande företaget". Först och främst är meningens syfte tvivelaktigt och andra, varför ett ångrade samtycke krävs för en tjänst som anses inte vara medgivandepåliggande. Lead Feeder läses in alltid, oavsett om ett samtycke har getts eller ej. Detta strider mot den förklaring som ges i Consent Popup på webbplatsen G. Till Google Tag Manager förklaras av webbplatsen G att "orten för behandlingen är 'USA'" och att "överföring till tredje land = världen" sker. Detta låter mycket ut som en medgivandepåliggande process.
• Brister i uppgift om mottagare av data: För Google Tag Manager anger webbplats G att Alphabet Inc., Google LLC och Google Ireland Limited är mottagare av data. Man måste själv gissa till adresser och länder.
• Syftet med YouTube Videos förklaras inte tillräckligt väl av webbplats G:s samtyckessnutt (För detaljer lämnas dessa utelämnade, de är bevisbara). För tjänsten "StackPath LLC" (det är troligt att StackPath menas, eftersom StackPath LLC är den levererande företaget) ges en beskrivning: "StackPath är en plattform för datorinfrastruktur och -tjänster". Författaren vågar ifrågasätta om denna beskrivning är tillräckligt informativ. Vad tjänsten används till på en webbplats, som fokuserar på "datorinfrastruktur", tycks helt oklart.
• Otydlig allmän beskrivning: Inledande menyn i Consent Popup lyder "Med detta verktyg kan du välja och inaktivera olika taggar/tracker/analysverktyg som används på denna webbplats." Tydligt är att denna mening inte är allmänt förståelig. Ingen behöver veta vad "taggar" är och vad skillnaden mellan "tracker" och "analysverktyg" är. Att kalla ett samtyckesskärmblock till en användare som ett verktyg är också inte den tydligaste av alla tänkbara beskrivningar.
• Avbrytning utförs inte fullständigt: Om man godkänner alla åtgärder dyker Consent Popup upp igen och avbryter sedan alla åtgärder, laddas webbsidan inte om. De redan återkallade tjänsterna är fortfarande aktiva. Även några åt-gärdspliktiga kakor som satts efter godkännande finns kvar. Läser man in webbsidan manuellt laddas de avbrutna tjänsterna inte upp igen, men de nämnda kakorna är fortfarande kvar.
• Försummad uppgift om kakor: Tydligen saknas (alla ?) uppgifter om vilka kakor som används, både i webbplats G:s samtyckessida och i dess integritetspolicy. En särskild "kakoriktlinje", som vissa webbplatser har, hittas inte.

Borlabs Cookie

Hittade webbsidor som använder _Borlabs Cookie:

• bondzio.de
• braeutigam-hotel.de
• heise-regioconcept.de
• mediana.de
• och en ytterligare (som kanske kommer att nämnas senare)

En del av dessa webbplatser har testats och sedan bedömts.

Sidan A

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Inga frivilliga beslut möjliga: Ett direkt nej är inte möjligt. Detta uppförts som olagligt.
• Laddning av verktyg utan medgivande: Redan när webbplats A laddas upp och innan något har klickats på, läses in verktygen Google Analytics och Google+ . Även Google Skrift från Google Server läses in_
• Brister i information om verktyg som används: De verktyg som nämnts i föregående avsnitt, Google Analytics, Google+ och Google Skriftsystem, nämns inte alls i samtyckespappret, även inte i kategori Väsentligt (Detaljer om kategorierna visas efter att man klickat på texten Konfigurera.
• Brister i uppgift om leverantör: Uppgift om vilka verktyg som använts är bristfällig. Facebook nämns som leverantör av Facebook Pixel. En adress eller en uppgift om företagsform saknas. Här uppstår redan frågan, vilken av de många Facebook-företagen som menas.
• Brister i beskrivningen av syfte: Som syfte för Facebook Pixel anges: “Detta är ett analyseredskap. Du kan med hjälp av det mäta effektiviteten hos din reklam genom att analysera de handlingar som personer utför på din webbplats.” Här tilltalas besökaren på webbplatsen, som om han själv skulle använda Facebook Pixel för att optimera sin reklam. Uppgiften “Detta är ett analyseredskap” är otillräcklig eftersom den inte är allmänt begriplig och inte fullständig. Den följande mening är felaktig, eftersom: Facebook Pixel används särskilt för att identifiera besökare som Facebook-användare, för att sedan (senare) spela in reklam mot dessa på Facebook (som Retargeting kallas).
• Bristsynt cookie-beskrivning: Namnet på cookies är angivet som Facebook Pixel. Det är fel. Cookies namn heter i själva verket _fbp. Livslängden för cookies saknas. Denna uppgift är dock enligt Eu-domstols dom om cookies föreskriven.

Hemsida B

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Återställa avvisningsmöjligheten: Avvisningsknappen är märkt med "spara & stäng" och visuellt betydligt tillbakaställd jämfört med accepteringsknappen. Detta syns som rättsskandalöst, åtminstone meningslöst skadligt för användaren
• Laddning av verktyg utan medgivande: Utan medgivande laddas Google Schriften och Google Maps. I webbplats B:s integritetspolicy förklaras dock felaktigt:“Denna sida använder en enhetlig skrifttyp, som kallas Web Fonts, som tillhandahålls av Google. Google Fonts är lokal installerade. En anslutning till Googles servrar sker inte.”
• Svagt tvivelaktigt nödvändigt kakor med unik användaridentifiering: kakan namngiven _cfduid och med ett värde från en 43-strenger sträng med en livslängd på 30 dagar sätts utan samtycke. Strängen är i alla fall lämplig för att identifiera en användare unikt.
• Bristande förklaring till använda cookies: För vissa cookies anges inte livslängden. Till exempel presenteras en cookie-lista för tjänsten "Chat-funktion via tawk.to" utan angivna livslängder och utan syfte med cookies: "cfduid, ss, tawkUUID, TawkConnectionTime, TawkCookie,_cfduid".
• Brister i uppgift om leverantör: Uppgiften om vilka verktyg som använts är bristfällig. Det syns att adressen till de nämnda leverantörs företag saknas. Varför Google LLC anges som leverantör av en Facebook-tjänst förblir oklart, särskilt eftersom det inte fanns någon Facebook-tjänst på webbplatsen.
• Brister och felaktiga beskrivningar av syfte: Som namn för en tjänst kallas det"Beiträge aus Facebook darstellen", medan syftet är"Används för att frigöra Facebook-innehåll". Vad som menas med detta förblir oklart, särskilt eftersom ett Facebook-tjänst inte kunde hittas på webbplatsen. För Matomo beskrivs syftet så här:*"Cookie från Matomo för webbanalys. Skapar statistiska data om hur besökaren använder webbplatsen." En tjänst som Matomo är inte ett cookie. Ett cookie skapar inga data. Utförandet är därför felaktigt i alla avseenden och nämner syftet med Matomo inte alls, utan snarare det tänkta syfte med Matomo-cookies som inte finns (eftersom Matomo använder tre cookies på webbplats B, vilka i konsent-popuppen anges generiskt med_pk_*.*_, vilket kan betraktas som lagstridigt eftersom den angivna löptiden är 12 månader, vilket är fel).
• Avbrytning utförs inte fullständigt: Om man godkänner alla åtgärder dyker Consent Popup upp igen och avbryter sedan alla åtgärder, laddas webbsidan inte om. De redan avbrutna tjänsterna är fortfarande aktiva. Alla cookie som kräver samtycke enligt Consent Popup finns kvar även efter att man gett sitt samtycke. Laddar man webbsidan manuellt om är de avbrutna tjänsterna inte längre aktiva, men alla cookie som lagts till efter att man givit sitt samtycke finns fortfarande kvar.
• Brister i informationen om ångerrätt: I samtyckespåret saknas alla uppgifter om möjlighet till ångra sitt samtycke.
• Försummad uppgift om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land.

Hemsida C

Fynd

• Brister i informationen om ångerrätt: Det finns ingen anmärkning om möjlighet till ångerrätt.
• Återställa avvisningsmöjligheten: Avvisningsknappen är märkt med "bara essentiella kakor acceptera" och har halva höjden på knappen för att samtycka till. Dessutom är den samtyckande knappen med pilar mer framträdande. Detta verkar olagligt, även om webbplats C är bättre utrustad än många andra.
• Falsk klassificering av verktyg: Google Analytics placeras i kategorin Statistik. Rättare vore det att placera det i kategori Marketing, eftersom verktyget drivs med cookies och leder till en unik klient ID per användare.
• Brister i uppgift om leverantör: För leverantören Google LLC, som anges för Google Analytics, saknas uppgift om firmateckning. Den angivna syftningen "Cookie från Google för webbanalys. Skapar statistiska data om hur besökaren använder webbplatsen" är ogynnsam, för att beskriva tjänsten Google Analytics.
• Brister i förklaringen till använda cookies: Det saknas en beskrivning av de tre nämnda cookies _ga, _gat, _gid. Den där angivna syftningen gäller bara ett cookie (vilket?). Den nämnda „Cookie giltighetstid“ på 2 år gäller bara för ett av de tre cookies, de andra två har andra giltighetstider. Dessutom sätts ett cookie namngivet _gat_gtag_UA_xxxx_1 som inte förklaras. För det sätts istället cookie _gat som inte används.
• Brister i dataskyddsinformation: På webbplats C saknas en förklaring till Google Tag Manager. Orsaken är sannolikt att ett cookie-centrerat dataskyddsanslag valts, som tydligen medför problem.
• Avbrytning utförs inte fullständigt: Om man godkänner alla åtgärder dyker Consent Popup upp igen och avbryter sedan alla åtgärder, laddas webbsidan inte om. De redan avbrutna tjänsterna är fortfarande aktiva. Alla cookie som kräver samtycke enligt Consent Popup finns kvar även efter att man gett sitt samtycke. Laddar man webbsidan manuellt om är de avbrutna tjänsterna inte längre aktiva, men alla cookie som lagts till efter att man givit sitt samtycke finns fortfarande kvar.
• Försummad uppgift om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land.

Samtyckeshanterare

Hittade webbsidor som använder consent manager:

• consentmanager.de
• ffh.de
• haendlerbund.de
• mitsubishi-motors.de
• och en ytterligare (som kanske kommer att nämnas senare)

En del av dessa webbplatser har testats och sedan bedömts.

Hemsida

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• För många, uppgivna funktionella kakor: Mer än 10 kakor nämns i samtycksfönstret på webbplatsen H som enligt samtycksfönstret är "ren funktionella och för drift av webbplatsen eller vissa funktioner nödvändiga".
• Förklaring saknas för cookies som har blivit lagrade: För de angivna cookies finns ingen beskrivning av deras betydelse. Att ange en utgångstid med ett streck är högst tvivelaktigt och sannolikt otillräckligt. I webbplats H:s integritetspolicy hittar man en beskrivning för några (inte alla) cookies. Exempel: _“__cmpcpc”/“__cmppurposes” – Information om utvalda syften. Denna beskrivning är uppenbarligen otydlig och ofullständig. Varför cookie “euconsent_backup”_ måste vara ensäkerhetskopia* av cookie “euconsent”, kan webbplatsens tillhandahållare förklara på begäran.
• Olagliga cookie-angivelser:* Angivelsen _gat_@@XX8@@ för Google Analytics-cookies uppfyller inte kraven, eftersom namnet är oklart och de tillhörande informationerna som utgångsdatum för dessa allmänna angivelser kan vara felaktiga. Dessutom anges cookie-namnet _ga två gånger med olika domäner, vilket onödigtvis kallas "Domain" på engelska (för att komma ihåg: det handlar främst om tyska besökare som inte behöver förstå engelska). Under testet av webbplatsen kunde endast ett cookie med namnet _ga upptäckas. Dessutom saknas beskrivningar för alla angivna cookies. Angivelsen "Typ: Mätning" räcker säkert inte till. Vad mäter man, varför och varför med fem cookies?
• Brister i attityderna: Nämningen av de använda tjänsterna sker genom kategorier och leverantörer. Under "Alla leverantörer" är det listat vad som bättre skulle kallas för "tjänster": t.ex. Google Ads, Google Analytics, Google General, LinkedIn. Läser sig som tjänster men inte som leverantörer. Vad Google General ska vara vet sannolikt ingen.
• Brister i beskrivningen av använda tjänster: Till Google General anges som "syfte för datahanteringen" att "mäta". Ytterligare förklaringar hittas inte i samtyckesskärmen. För Google Analytics ges samma förklaring. Ytterligare förklaringar hittas även till detta.
• Otillräcklig dataskyddsförklaring: Vem som vill veta vad Microsoft syftar på, hittar i beskrivningen " Messung ". I den tyskspråkiga dataskyddsförklaringen för webbplats H finns en beskrivning av Microsoft: Measurement. Nu borde allt vara klart
• Avbrytning utförs inte fullständigt: Om man godkänner alla åtgärder dyker Consent Popup upp igen och avbryter sedan alla åtgärder, laddas webbsidan inte om. De redan avbrutna tjänsterna är fortfarande aktiva. Alla cookie som kräver samtycke enligt Consent Popup finns kvar även efter att man gett sitt samtycke. Laddar man webbsidan manuellt om är de avbrutna tjänsterna inte längre aktiva, men alla cookie som lagts till efter att man givit sitt samtycke finns fortfarande kvar.
• Olagligt laddning av verktyg och cookies utan medgivande: Utan medgivande laddas YouTube Videos, DoubleClick, Calendly, Google Translate, Google Skrift och ett script från domänen google.com. På minst en sida på webbplatsen H läses in tjänsten etracker utan medgivande, trots att detta kräver medgivande. YouTube och DoubleClick sätter tredjepartscookies utan medgivande.
• Brister i dataskyddsinformation: För DoubleClick, Calendly och Google Skrift saknas alla uppgifter om dataskydd på webbplatsen H.
• Brister i frågan om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land. Istället görs leverantörshänvisningar för landet. Det är oklart om den nämnda leverantörens säte ligger i det land där (uteslutande) data överförs via den installerade tjänsten. Dessutom anges landets namn inte utskrivet, utan i form av en ISO-kod.

Hemsida J

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Inga frivilliga beslut möjliga: en direkt avslag är inte möjligt. Det verkar olagligt.
• Olaga laddning av verktyg och kakor utan medgivande: Utan medgivande laddas Google Tag Manager, YouTube Video, DoubleClick, Twitter Widget, Google Skrift, Google reCAPTCHA, en JavaScript-bibliotek från domänen googleapis.com, flera filer från cloudflare.com och tjänsten Giosg. Dessutom laddas på minst en sida av webbplatsen H den tjänsten etracker utan medgivande, fastän ett medgivande begärs. YouTube och DoubleClick sätter tredjepartscookies utan medgivande.
• Felaktig kategoriisering av tjänster: Som kategorier i webbplats J:s samtycksfönster anges: "Viktig": "Syfte: Väsentligt", "Funktion": "Syfte: Funktion. Tjänster som krävs för att använda funktioner på webbplatsen.", "Mätning": "Syfte Mätning", "Marknadsföring": "Syfte: Marknadsföring". Beskrivningarna är de ursprungliga beskrivningar av webbplats J. Det är uppenbart att dessa beskrivningar delvis är felaktiga. För webbplatsen krävda "funktioner" är inaktiverbara. Beskrivningarna till "Mätning" och "Marknadsföring" finns inte, snarare återanvänds kategoriernamnet som förklaring.
• Bristande förklaring till använda tjänster: Det verkar saknas en beskrivning av vad "Facebook" är för en tjänst.
• Försummad beskrivning av använda cookies: Det saknas en beskrivning av syftet med använda cookies. Istället får läsaren exakt information om att till exempel cookie-namnet ATN har en giltighetstid på 729 dagar, 23 timmar och 50 minuter. Som typ för cookie-namnet fr anges [obekant].
• Förklaring saknas till cookies som används: Till Google Analytics anges – utan beskrivning av syftet – två cookies: \ga och \gid. I verkligheten sätts dock två ytterligare cookies, nämligen \gcl_au och \gat_UI-xxxxx-1. För den mystiska tjänsten Facebook anges att vid sidan av cookie __fbp_, som faktiskt sätts, även cookies ATN och fr sätts, vilka inte sattes under testet av författaren med automatisk analys. Cookie ATN är åtminstone helt okänt för allmänheten enligt en undersökning. Eftersom syftet inte beskrivs är ytterligare utredning ej möjlig. Till YouTube anges inga cookies i samtyckesfönstret, trots att två sätts: YSC och VISITOR_INFO1-LIVE.
• Felaktig tillhandahållareidentifiering: Till tillhandahållaren av "Facebook" (vilket man menar är Facebook Connect och Facebook Audiences, enligt en analys) anges en spansk adress. En sådan firma tycks inte existera (och om den gör det, undrar man varför en tysk webbplats har en spansktillhörande avtalshavare på Facebook). Istället tycks adressen ha sökts upp från internet och härröra från en Facebook-fansida för ett taxiföretag i Spanien, som min undersökning visade. I den personuppgiftsbehandling som webbplats J har upprättat är Facebook-pixeln upptagen och tillhörande tillhandahållare Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA anges. Därmed är tidigare nämnda angivelse av tillhandahållaren motsägelsefull, vilseledande och felaktig.
• Försummad uppgift om använda tjänster: Som tidigare beskrivits, kombineras tjänsterna Facebook Connect och Facebook Audiences till en totaltjänst med det påstådda namnet Facebook.
• Widersprüchliga dataskyddskrav: I dataskyddsutredningen för webbplats J anges Google Tag Manager som följande: Vi använder på vår webbplats Google Tag Manager av Google LLC. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“). Såtillvida du har din vanliga vistelseort inom den europeiska ekonomiska området eller Schweiz, är Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) ansvarig för dina uppgifter. Google Ireland Limited är det företag som är kopplat till Google och ansvarar för att behandla dina uppgifter och följa de gällande dataskyddslagarna._.
• Otillfredsställande möjlighet att ångra: Det går inte att ångra alla givna samtycken med ett klick. Istället måste alla kategorier anges i tur och ordning, så att sedan för varje kategori en manuell avaktivering kan ske. Här är åtta klicker påkallade.
• Ångra inte fullständigt: Om man godkänner alla åtgärder, uppstår Consent Popup igen och ångrar sedan alla åtgärder, men webbplatsen laddas inte om. De redan ångerade tjänsterna är fortfarande aktiva. Alla konsent-popup krävande kakor som satts efter godkännande finns fortfarande kvar. Om man laddar om webbplatsen manuellt är ångrade tjänster inte längre aktiva, men alla kakor som satts efter godkännande – inklusive kakor från tredje part och tredjedomäner – finns fortfarande kvar.
• Brister i frågan om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land. Istället görs leverantörshänvisningar för landet. Det är oklart om den nämnda leverantörens säte ligger i det land där (uteslutande) data överförs via den installerade tjänsten. Dessutom anges landets namn inte utskrivet, utan i form av en ISO-kod.

Hemsida K

Webbplatsens samtyckefönster ser ut såhär:

Kakkekod

Hittade webbplatser som använder _Cookiebot:

• cookiebot.de
• werdewelt.info
• techem.de
• och en ytterligare (som kanske kommer att nämnas senare)

En del av dessa webbplatser har testats och sedan bedömts.

En kort utvärdering av IP-adressen (72.246.29.131), som kallades upp när man laddade in Cookiebot-skriptet från consentcdn.cookiebot.com, visade:

Enligt Traceroute är den nämnda nätverksadressen hemmahörande i USA. Det kan vara så, men det behöver inte vara fallet eftersom IP-adresser ibland återfår och nyttjas igen. Sannolikheten att en av tusen anrop till ett Cookiebot -skript landar på en adress i USA verkar dock vara ganska hög. Därför skulle jag rekommendera att man letar efter en annan lösning redan utifrån detta skäl.

Hemsida X

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Brister i informationen om ångerrätt. Det saknas alla uppgifter om möjlighet till ångra sig.
• Laddning av verktyg utan medgivande: Vid laddningen av webbplatsen X och utan att något har klickats på händer det att tjänsterna Gravatar, Google Analytics och Google Tag Manager laddas. För båda nämnda Google-tjänster begärs medgivande. Gravatar nämns överhuvudtaget inte.
• Felaktig tilldelning av tjänster till leverantörer: Till exempel anges Google Tag Manager, en tjänst och inte ett företag, som leverantör för ett Google Analytics-kaka, likaså anges Google som leverantör, vem eller vad Google än är.
• Brister i tillgänglig information: Leverantörsidentifieringar med bolagsinformation saknas för samtliga tjänster!
• Olagliga kakor: För vissa kakor används ett okänt och otillräckligt specifikt begrepp för livslängd, nämligen Persistent. Begreppet "persistent" är inte begripligt för den allmänna användaren. Det säger heller ingenting om den faktiska livslängden, eftersom den inte kan vara oändlig. Angivelsen "HTML" till kakotypen är meningslös. Sådana kakor finns inte. Vad som troligen menas är HTML-webblagring och i detta sammanhang Local Storage (ett begrepp som en normal användare inte behöver förstå).
• Förslag till dataskyddsinformation: För tjänsterna Google Analytics, Google Tag Manager, YouTube Videos, DoubleClick, Google Dynamic Remarketing, Gravatar och Zendesk saknas beskrivningar i dataskyddsbeslutet. I allmänhet nämns inte heller någon av de använda tjänsterna i dataskyddsbeslutet. I en separat Cookie-Erklärung, som dock inte är länkad från vissa sidor och därmed inte kan nås, anges tjänster, men bara om man är mentalt redo att se varje tillhandahållare per cookie som en tjänst.
• Fragliga nödvändiga kakor: Som nödvändiga och därmed inte valbara kallas 28 kakor. Det kan ifrågasättas om så många kakor är nödvändiga för webbplatsens minimala drift.
• Svårt att hitta: Widerrufsmöglichheten anges inte i Consent Popup. Dessutom måste man först besöka sidan med Cookie-Erklärung och där sedan hitta och klicka på länken Widerrufen Sie Ihre Einwilligung.
• Ånghörande återkallas inte fullständigt: När man laddar om webbplatsen manuellt finns det några av de cookies som satts innan ånghörandet pågick kvar. Detta är uppenbarligen lagligt, eftersom ånghörandet delvis ignoreras. Endast de tjänster som inte längre har fått medgivande laddas inte om igen, utom för Google Analytics, Google Tag Manager och Gravatar, som fortfarande laddas. När man sedan återigen laddar om webbplatsen X och ger till slut sitt medgivande, t.ex. för Google Analytics, kan tjänsten dra nytta av cookies från en tidigare session. En efterföljande övervakning av användaren är således ännu bättre möjlig. I annat fall skulle samma användare i dessa två sessioner officiellt (enligt Googles mening) betraktas som två olika användare.
• Okända cookies beskrivning: Till cookie _gat [x4] anges syfte som: “Används av Google Analytics för att begränsa begäranstakt”. Denna uttalande är även för en IT-expert oklart. Vad angående anteckningen [x4] efter cookie-namnet förblir oklart. Till cookie ads/ga-audiences anges syfte som: “Används av Google AdWords för att återuppliva besökare som sannolikt kommer att konvertera till kunder baserat på besökarens onlinebeteende över webbsidor.”. En tysk användare behöver inte engelska förstå.
• Svårigheter med klassificering av tjänster/cookies: I kategorin Marknadsföring nämns bland annat YouTube.
• Fokus på kakor snarare än tjänster: Det syns att webbplats X tydligen endast ser kakor som något av intresse för dataskyddet: I medgivningsfrågan finns det inga uppgifter om vilka tjänster som används; i integritetspolicyen finns det ingen information om vilka tjänster som används; tjänster som inte sätter några kakor, anses till och med inte nämnas.
• Otydlig presentation: Om användaren vill se alla informationer i samtyckesskärmen måste han gå igenom en extremt liten visningsyta, som även vid stora skärmupplösningar förblir extremt liten. Detta upplevs vara otillgängligt och är sannolikt olagligt.
• Försummad uppgift om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land.

Hemsida Y

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Olaglig förhandsval: Som bilden visar är alla alternativ aktiverade. Ett direkt klick på knapparna "Låt välja" och "Godkänn cookies" är därför likvärdigt och därmed inte dataskyddsvänligt.
• Brister i informationen om ångerrätt: Som bilden visar saknas varje uppgift om möjlighet till ångerrätt.
• Falsk uppgift om kakor: Detaljvisningen visar en förklaring till kakor som är felaktig. Kakorna med de påstådda namnen /fileadmin/razor/Dist och /typo3temp/ finns inte, enligt granskning av webbplatsen Y. Syftena är inte nämnda, utan beskrivs istället som Anstehend. Detta tyder på att det verktyg som används, Cookiebot, inte känner till syftena. Ett annat kakor namnges med namnet lang[x2]. Menade är två kakor, av vilka bara ett har nämnts av Cookiebot, det andra (enligt Cookiebot-protokollet är det ads.linkedin.com) har glömts.
• Brister i information om kakor: Som tidigare nämnts saknas beskrivningar av syftet med kakor.
• Förväntade cookies: Inte nämnt alls, men enligt testet på webbplatsen Y är det uppenbart använda, är de cookies med namnen be_typo_user och be_lastLoginProvider.
• Laddning av verktyg utan medgivande: Redan vid laddningen av webbplatsen Y och utan att något har klickats på händer det att tjänsterna Google Maps, Facebook Connect, Calendly, Google Skriftsystem, Podigee Podcast Player och Google Tag Manager laddas. Facebook Connect sätter utan medgivande ett cookie namn fr med en livslängd på 3 månader för domänen facebook.com. Calendly sätter utan medgivande ett cookie namn _calendly_session med en livslängd på 21 veckor för domänen calendly.com.
• Otydlig presentation: Om användaren vill se alla informationer i samtyckesskärmen måste han gå igenom en extremt liten visningsyta, som även vid stora skärmupplösningar förblir extremt liten. Detta upplevs vara otillgängligt och är sannolikt olagligt.
• Brister i dataskyddsinformation: På webbplatsen Y saknas alla uppgifter om verktygen Cookiebot, Calendly samt Podigy.
• Falska dataskyddsinformationer: På webbplats Y förklaras att verktyget consentmanager används för samtyckesfrågor. Detta är felaktigt. Istället används Cookiebot.
• Bristande möjlighet att ångra: Ingen möjlighet kunde hittas på webbplats Y för att ångra den givna samtyckelsen.
• Datatillståndsdeklaration inte direkt åtkomlig: När man kallar upp datatillståndsdeklarationen från webbplats Y visas samtyckespåret, så länge det inte har bekräftats tidigare. Det direkta läsningen av datatillståndsdeklarationen är därmed inte möjlig.
• Falsk klassificering av verktyg/cookies : De till Google Analytics hörande cookies får felaktigt tilldelats Google Tag Manager. Denna felaktiga tilldelning kommer säkerligen från att Google Tag Manager har till uppgift att dynamiskt återläsa Google Analytics. Tag Manager är alltså bara initiatorn för laddningsprocessen av verktyget, som i själva verket sätter och läser ut cookies med namnen _ga, _gat och _gid.
• Otillfredsställande leveransangivelse: För de som tillhandahåller verktygen (som här bara nämns i form av kakor) ges ingen firmning. Det gäller alla 29 nämnda kakor på webbplats Y.
• Försummad uppgift om använda tjänster: De tjänster som används i en begäran om samtycke på webbplats Y nämns inte (och om de nämns, så bara delvis och bara indirekt i ett antagande av syfte till ett kakor, se figur 68). Istället fokuserar Cookiebot verktyget på webbplats Y på kakor.
• Felaktig uppgift om leverantör: För ett cookie anges DrawBridge som leverantör. Drawbridge köptes upp av LinkedIn 2019, men fortsätter att nämnas som leverantör i samtyckessidan på webbplats Z. Webbplatsen för DrawBridge leder vidare till webbplatsen för LinkedIn (eller var det så fram till mitten av 2023, nu inte längre). När man klickar på länken till Drawbridge, som syns i bilden, kommer man inte till dataskyddspolicyn, som var meningen, utan till webbplatsen https://business.linkedin.com/de-de/marketing-solutions-b, som innehåller endast marknadsföringsinformationer och inga dataskyddsmeddelanden.
• Otydlig beskrivning av kakor: Beskrivningar av kakor är ofta svåra att förstå för den vanlige medborgaren. Exempel på kakorna bcookie från tillhandahivar LinkedIn: "Används av sociala nätverkstjänsten LinkedIn för att spåra användningen av inbyggda tjänster.". Ingenstans nämns vad som exakt menas med LinkedIn eller vem som är tillhandahivaren.
• Försummad uppgift om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land.

Hemsida Z

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Laddning av verktyg och cookies utan medgivande: Redan vid laddningen av webbplatsen Z och utan att något har klickats på kommer tjänsterna Google Ads, LinkedIn Analytics, YouTube Video, etracker samt filer från cloudflare.com att läsas in. Tjänsten etracker sätter utan medgivande två cookies med en livslängd på 2 år, ett av dessa på domänen etracker.com. Tjänsten LinkedIn Analytics sätter utan medgivande sex cookies med en livslängd mellan ett dygn och 2 år, alla på domänen linkedin.com.
• Återställa avvisningsmöjligheten: Avvisningsknappen är visuellt betydligt tillbaka från accepteringsknappen. Detta syns som olagligt.
• Svårt att hitta: I fotnoten på webbplats Z finns en menypunkt som heter Widerruf. Denna leder dock inte till möjligheten att ångra cookies inställningar. Istället är ånringen av cookies inställningar dold i dataskyddspolicyen i form av en länk i texten.
• Ånghörande kommer inte att fullständigt genomföras: När man laddar om webbsidan manuellt, sätts cookie et_coid igen trots att en samtycke begärs. Vid ett test genomfördes ånghöranden (utom den ovan nämnda punkten) fullständigt. Vid ett annat test genomfördes inte ånghörandet efter att det tidigare hade genomförts och alla kakor hade godkänts.
• Otydlig presentation: Om användaren vill se alla informationer i samtyckesskärmen måste han gå igenom en liten visningsyta som även vid stora skärmupplösningar förblir liten. Detta upplevs vara otillgängligt och är sannolikt olagligt.
• Otillfredsställande uppgift om leverantör: För alla 16 på webbplats Z nämnda cookies saknades en korrekt namngivning av leverantören. En företagsuppgift saknades varje gång.
• Otydlig beskrivning av kakor: Beskrivningar av kakor är ofta inte begripliga för den vanlige medborgaren. Exempel: “Innehåller Base64-kodierte data från besökarhistorik (är kund, nyhetsbrevsmottagare, Visitor ID, visade Smart Messages) till personalisering (endast vid kakaktivitet).” I detta specifika exempel innehåller beskrivningen dessutom en påminnelse om att den bara gäller (eller endast används för personalisering?), när en Kakaktivitet är given. Vad som menas med Kakaktivitet och varför denna villkorliga uttalande finns, är oklart._.
• Felaktig uppgift om leverantör: För ett cookie anges DrawBridge som leverantör (jämför med webbplats X).
• Brister i dataskyddsinformation: För Drawbridge, Google Tag Manager och Calendly saknas de obligatoriska uppgifterna i webbplatsen Z:s integritetspolicy.
• Falsk namngivning av kakor: En kakor har namnet et_coid[x2] angetts. Men det är två kakor som menas, varav bara en av dem heter Cookiebot, den andra (enligt Cookiebots protokoll på webbplats Z) heter i själva verket etracker.de.
• Datatillståndsdeklaration inte direkt åtkomlig: När man kallar upp datatillståndsdeklarationen från webbplats Z visas samtyckespåret, så länge det inte tidigare har bekräftats. Det direkta läsningen av datatillståndsdeklarationen är därmed inte möjlig.
• Försummad uppgift om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land.

CCM19

Hittade webbsidor som använder CCM19:

• ccm19.de
• crifbuergel.de
• hertie.de
• och en ytterligare (som kanske kommer att nämnas senare)

En del av dessa webbplatser har testats och sedan bedömts.

Hemsida L

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Återställa avvisningsmöjligheten: Avvisningsknappen placeras visuellt betydligt tillbaka jämfört med accepteringsknappen. Detta framstår som rättsskändligt. Vad skillnaden mellan Ablehnen och Speichern är, är inte synligt och är i detta avseende förvirrande.
• Försummad uppgift till kategorier: Webbplatsen L klassificerar använda verktyg och kakor i Tekniskt nödvändigt / Väsentligt, Analyse samt Personlig anpassning. En beskrivning av dessa kategorier saknas helt i samtyckessidan.
• Felaktig information om tjänster: För Matomo förklaras bland annat att: “Insamling av nyckeltal för webbanalys, data anonymiseras fullständigt. Inga spårbara data sparades, IP-adressen kortsätts till de sista 3 tecken.”. IP-adressen kommer högst sannolikt inte att kortas till de sista 3 tecknen, utan så att endast de sista 3 tecknen tas bort. Annars skulle det finnas bara 256 möjliga värden (då kunde man då upphöra med insamlingen). Dessutom kan man ifrågasätta om data anonymiseras fullständigt vid insamling med Matomo. En test har visat att även URL-parametrar på webbplats L med Matomo insamlas. I URL-parametrarna kan personuppgifter finnas. Exempel: https://www.anonyme-webseite-m.de/aus-versehen-eingefuegte-information_
• Laddning av verktyg utan medgivande: Utan medgivande laddas Google Skrift in. Efter Brexit och utan proportioneringsbeslut skulle även OpenStreetMap tillkomma. OpenStreetMap erbjuds av ett företag i Storbritannien (UK).
• Brister i dataskyddsinformationer: Till tjänsten Google Schriften saknas en fullständig dataskyddsbeskrivning.
• Motsträviga dataskyddsinformationer: Trots att en medgivande för tjänsten Matomo begärs, förklarar dataskyddsbeskrivningen till detta:"Rättslig grund: Berättigat intresse, artikel 6 punkt 1 literna f GDPR“.
• Felaktig länk till dataskyddspolicy: På minst en sida på webbplatsen L saknas länken till dataskyddspolicyn.
• För webbplatsen finns det färre uppgifter än för andra webbplatser. Huvudorsaken är att webbplatsen endast använder ett fåtal tjänster.

Hemsida M

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Inga frivilliga beslut möjliga: Som syns på bilden är ingen direkt avslag möjligt. Det verkar för mig uppenbart olagligt.
• Bristande information om ånghörandes möjlighet: Som bilden visar saknas en tydlig anvisning till ånghörandes möjlighet. Informationen om ånghörande är först efter att man har scrollerat ner i den tunna rutan på höger sida av fönstret möjlig. Som bilden även visar är presentationen på smartphones suboptimal.
• Otillfredsställande uppgiftsdeklaration: För det använda samtyckningsverktyget anger webbplatsen M som utgivare "XYZ AB" (den riktiga firmanamnen har här ersatts med XYZ för att göra webbplatsägaren okänd). Företagets adress nämns inte.
• Ungenügende Angaben till cookies: För vissa cookies görs en engelsk angivelse för livslängden. Exempel: 30 minutes, Session.För ett cookie namn sid anges livslängden med siffran 1 (utan enhet) och saknas beskrivning till detta cookie helt. För vissa cookies sker en uppenbarligen generisk hänvisning. Exempel: ev_sync_*Eftersom olika cookies har olika syfte måste (annars skulle man bara behöva ett cookie och inte flera) saknas precisa beskrivningar till de generiskt angivna cookies. Istället för denna generiska hänvisning förklaras syftet med: "Ett tredjeparts-cookie specifikt för annonseringsbord, som synkroniserar Surfer-Id i Advertising Cloud med partnerannonseringsbordet. Cookie skapas för nya surfare och skickar en synkroniseringsbegäran när det har gått ut."Den djupare mening av denna förklaring kommer att vara oklar för de flesta användarna.
• Laddade ner verktyg och kakor utan medgivande: Utan medgivande laddades Google Tag Manager, Bing Ads, DoubleClick Ad Exchange samt YouTube Video.
• Försummad nämnd av kakor: Vissa av de använda kakorna på webbplatsen M nämns inte alls, till exempel flera First-Party-kakor med en livslängd på flera veckor till år. Dessutom förklaras inte kakorna _uetvid, som sannolikt är inställda av Microsoft Bing Ads (eftersom kakon _uetsid förklaras, vars namn nästan är identiskt med _uetvid).
• Brister i klassificering av tjänster/cookies: Webbplatsen M nämner tre kategorier: Tekniskt nödvändigt, Analyse samt Annonser / Ads. Till ingen av kategorierna ges en beskrivning. Google Analytics är tilldelat kategori Annonser / Ads. Vissa skulle vilja att verktyget tillhörde kategori Analyse. Kategorin Analyse är däremot tilldelad Microsoft Bing Ads, som bättre borde ha tillhört kategori Annonser / Ads enligt namnet.
• Otillfredsställande information om dataskydd för verktyg som används: I medgivandeförfrågan anges länken till Microsoft Bing Ads' dataskyddsmeddelande. Länken är https://about.ads.microsoft.com/en-us/resources/policies/remarketing-in-paid-search-policies och pekar på en engelskspråkig sida, som uppenbarligen inte är lämplig för den tysktalande användaren.
• Otillfredsställande möjlighet att ångra: En återkallning av alla givna samtycken med ett klick är inte möjligt. Istället måste alla kategorier anges i tur och ordning genom att klicka på dem, och sedan tryckas knappen Spara. För detta krävs totalt sett tre klick efter att fönstret för samtycke har öppnats.
• Bristande beskrivning av använda verktyg: Till Microsoft Bing Ads förklaras ändamålet på följande sätt: “Detta är ett kakke som Microsoft Bing Ads använder och det är ett spåringskakke. Det gör att man kan komma i kontakt med en användare som tidigare har besökt webbplatsen.” Tydligen förväxlas en tjänst med ett kakke. Vad denna förklaring egentligen ska betyda, kommer sannolikt att bli tydligt för de flesta användarna.
• Ånghörande kommer inte att utföras: Ånghörandet tar bort inga av de ånghöranden som krävs för cookies från användarens enhet, även efter manuellt omstart av webbsidan. Dessutom läses webbsidan inte om, så att redan laddade verktyg kan fortsätta samlas in data.
• Datatillståndsdeklaration inte direkt åtkomlig: När man kallar upp datatillståndsdeklarationen från webbplats M dyker ett samtyckespåpupp upp, så länge det inte tidigare har bekräftats. Det direkta läsningen av datatillståndsdeklarationen är därmed inte möjlig.
• Brister i dataskyddsinformation: För Google Tag Manager och etracker saknas helt information i webbplatsen M:s dataskyddsbeskrivning. För vissa tjänster är uppgifterna bristfälliga, till exempel för Google Analytics: "För att analysera webbsidan använder denna webbplats Google (Universal) Analytics, en webbanalyservice från Google LLC (www.google.de). Detta sker för att vi ska kunna ge vår presentation på bästa sätt i en balans mellan våra intressen och rättigheter enligt artikel 6, punkt 1, sats 1, literna f GDPR. Google (Universal) Analytics använder metoder som gör det möjligt att analysera hur du använt webbplatsen, till exempel cookies." Här saknas Google LLC:s adressuppgift. Dessutom anges ett berättigat intresse som rättslig grund för användningen av verktyget, vilket strider mot faktum att en samtycke begärs.
• Oanvändbar uppgift för dataöverföring till tredje land: En användbar uppgift saknas i medgivandefrågan för Facebook Pixel. Citat: „Platsen för behandlingen: Facebook ger inte information om platsen för datahanteringen. Förmodligen Europa Irland.“ Uppgiften är obligatorisk.

Hemsida N

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Brister i information om ångerrätt: Som bilden visar saknas alla uppgifter om möjlighet till ångerrätt. Även i den text som syns efter att man har scrollat fram finns det ingen sådan uppgift.
• Otillfredsställande presentation av information: Som bilden visar är förklaringarna till samtyckesfrågan bara tillgängliga efter att man har scrollerat ner. Den röda scrollbaren på höger kant är dock så dåligt synlig att den kan betraktas som otillgänglig.
• Laddning av verktyg och cookies utan medgivande: Utan medgivande laddas följande in: YouTube Video, etracker, DoubleClick Remarketing, Twitter Widget, Google Skrift, Google reCAPTCHA, LinkedIn Widget samt ett IFRAME från en tredjepartsdomen. Utan medgivande sätts även cookies från domänerna youtube.com och doubleclick.net, som har en livslängd som (oftast långt) sträcker sig bortom en session.
• Rechtsträffande placering av avslag-knappen: Avslagsknappen är visuellt lätt placerad bakåt jämfört med accepteringsknappen. Detta syns (fortfarande) som rättsträffande.
• Felaktig länk till dataskyddspolicy: På minst en sida på webbplatsen N saknas länken till dataskyddspolicyn.
• Datatillståndsdeklaration inte direkt åtkomlig: När man kallar upp datatillståndsdeklarationen från webbplats N visas samtyckespåret, så länge det inte har bekräftats tidigare. Det direkta läsningen av datatillståndsdeklarationen är därmed inte möjlig.
• Försummade dataskyddsinformationer: För Google Schriften, DoubleClick Remarketing och Google reCAPTCHA saknas helt någon information i webbplatsen N:s dataskyddsbeskrivning.
• Försummad ångerrätt: Även efter längre sökande kunde på webbplats N ingen möjlighet hittas att ångra den tidigare givna samtycket.
• Otillfredsställande uppgiftsdeklaration: För det använda samtyckesverktyget anger webbplatsen N som utgivare "Papoo Software & Media Gmbh – CCM19 Cookie Consent Manager". En adress nämns inte, istället syns tydligt en produktbezeichning ("CCM19 Cookie Consent Manager") i stället för ett företagsnamn.
• Försummad nämnd av kakor: Vissa av de använda kakorna omnämns inte alls på webbplats N, till exempel flera kakor som sätts av YouTube Video Scripten.
• Försumda uppgifter om kakor: Vissa kakor deklareras utan uppgift, men med den pseudo-uppgiften N.A. för alla kriterier (utgivare, beskrivning etc.).
• Ungenügende Angaben till cookies: För ett cookie anges inte livslängd alls, likaså syfte. För ett cookie namngivet ASP.NET_SessionId anges livslängden med siffran 0 (utan enhet), men syftet saknas helt. För vissa cookies sker en uppenbarligen generisk hänvisning. Exempel: _gat_gtag_UA_@@XX8@@. Eftersom olika cookies har olika syften måste de ha precisa beskrivningar (annars skulle man bara behöva ett cookie och inte flera) saknas noggranna beskrivningar till de generiskt angivna cookies. Istället för denna generiska hänvisning som syfte förklaras: "Används för att begränsa antalet begäranden. Om Google Analytics distribueras via Google Tag Manager får detta cookie namnet _dc_gtm_ ." Denna beskrivning är uppenbarligen helt otillräcklig för att förklara syftet med cookie (eller verktyg, som man vet inte så väl vid CCM19 användande på webbplats N).
• Brister i klassificering av tjänster/cookies: Webbplatsen N nämner tre kategorier: Tekniskt nödvändigt, Analyse, Marknadsföring samt Annons / Ads. Till ingen av kategorierna ges en beskrivning. För den vanlige medborgaren kommer det att vara svårt att förstå skillnaden mellan Marknadsföring och Annons / Ads. Google Analytics är tilldelat kategorin Annons / Ads. Någon skulle vilja veta att verktyget tillhör kategori Analyse.
• Försummad uppgift om dataöverföring till tredjeländer: En uppgift om detta saknas för vissa verktyg i medgivningsfrågan. Uppgiften är obligatorisk.
• Försummat företagsinformation: På samtyckesskärmen finns en länk med namnet imprint. När man klickar på denna länk visas ett tomt popup-fönster med rubriken imprint.

Yes!

Hittade webbsidor som använder _Klaro!:

• www.dillinger.de
• kiprotect.com
• digitale-helden.de
• och en ytterligare (som kanske kommer att nämnas senare)

En del av dessa webbplatser har testats och sedan bedömts.

Klaro! tycks användas främst av webbplatser som redan sätter stort värde på integritet och där bara ett fåtal verktyg används. Spridningen av Klaro! är dessutom inte särskilt hög. Därför presenteras här endast resultaten för två webbplatser. Det verkar som att en uppdatering av kärnan i Klaro! inte fungerar eller inte är tänkt, eftersom uttrycken av Klaro!-medgivande-fönster på olika webbplatser såg väldigt annorlunda ut och hade tydligen bättre utformningar i senare versioner.

Hemsida P

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Förledande uttalande om datainsamling: Som bilden visar, ges att bara den senast besökta webbplatsen samlar in uppgifter om användaren („… vilka informationer vi samlar in“) och inte även andra tredje part.
• Brister i informationen om ångerrätt: Som bilden visar saknas helt någon anmärkning om ångerrätt.
• Brister i uppgift om leverantör: Leverantörsidentifiering inklusive företagsinformation saknas för samtliga tjänster på samtyckessidan.
• Försummad uppgift om använda tjänster och cookies: Som bilden visar saknas alla uppgifter om använda tjänster och cookies. En detaljuppsikt är tydligt inte kallbar.
• Bristande beskrivningar av använda tjänster: Som bilden visar saknas alla beskrivningar av använda tjänster.
• Fragvärrande förekomst av ett verktyg: Innan medgivningsfrågan bekräftas är analys-tjänster etracker redan aktivt. Detta framgår av dataskyddspolicyen, där denna tjänst markeras med en skjutregulator som aktiv. I medgivningsskärmen kan dock inte detta inställning ändras.
• Förhållanden till personuppgiftsbehandling: För tjänsten DoubleClick saknas alla beskrivningar i personuppgiftspolicyn (även för Google Ads, ett möjligt synonym för DoubleClick, görs inga uppgifter). För tjänsten Eloqua benämns leverantören i personuppgiftspolicyn otillräckligt med Oracle Marketing Cloud. Även i personuppgiftspolicyn finns det ingenstans några konkreta cookies-hänvisningar. Istället hittar man där bara platsfyllare.
• Laddning av verktyg utan medgivande: Redan vid enbart anrop av webbplatsen P och utan att något har klickats på kommer verktygen Google Maps, YouTube Video, Eloqua och DoubleClick att laddas. För Google Maps och YouTube Video (troligen) begärs medgivande via kategorierna Maps och Video – exakt kan detta inte sägas eftersom alla beskrivningar av tjänsterna saknas i medgivandefönstret. Google Maps laddas till och med utan medgivande fullt funktionsdugligt och synligt, därmed är inlagda YouTube Videos inte synliga, men bara i bakgrunden i form av ett YouTube Video Script laddas. etracker laddas också på samma sätt. I samband med detta sätts ett cookie namngivet _et_coid med en värde som är lämpligt för användaridentifiering och har en giltighetstid på två år samt domänen etracker.com. Detta är också medgivandepliktigt, åtminstone görs ingen uppgift om DPA o.s.v.
• Datatillståndsdeklaration inte direkt åtkomlig: När man kallar upp datatillståndsdeklarationen från webbplats P visas samtyckespåret, så länge det inte har bekräftats tidigare. Det direkta läsningen av datatillståndsdeklarationen är därmed inte möjlig.
• Datatillgänglighetsförklaring inte tillgänglig: När webbplatsen P först läses in döljs samtyckesskärmen på vanliga mobiltelefoner och döljer alla länkar, även den till dataskyddsförklaringen. Därför är det mycket sannolikt att denna inte är tillgänglig eftersom två ytterligare klick efter att man har klickat bort samtyckesskärmen krävs för att läsa in dataskyddsförklaringen, totalt tre klick. Tillåtna är högst två klick.
• Återställa avvisningsmöjligheten: Avvisningsknappen är märkt med "Avvisa" och visuellt lätt tillbakaställd jämfört med accepteringsknappen. Detta är sannolikt olagligt.
• Fragvärrande påminnelse om ett video som kräver samtycke: Om man inte godkänner "Videos" och kallar upp en sida med ett inlagt video, dyker det upp en påminnelse vid platsen där videon skulle ha visats, Vänligen aktivera Cookies för att visa videon. Här ges en påminnelse om cookies. Videon använder dock inte videos (youtube-nocookie.com). Ingenstans på webbplats P finns några specifika uppgifter om vilka cookies som används. Utanför detta kan ett video naturligtvis visas och spelas upp utan cookies.
• Felaktig funktion i samtyckesskärmen: I samtyckesskärmen finns en funktion för att aktivera alla samtycken samtidigt. Denna funktion är riktigtvis initialt inaktiverad, eftersom även kategorierna Analytics, Video och Maps är initialt inaktiva. Aktiverar man bara till exempel Analytics, blir automatiskt Alla aktivera också aktiv. Detta är antingen rättsskadligt (när alla samtyckespliktiga åtgärder faktiskt aktiveras) eller förvirrande och inte förväntat konformt.
• Brister i uppgift om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land. Uppgiften är obligatorisk.

Hemsida Q

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Brister i informationen om ångerrätt: Som bilden visar saknas helt någon anmärkning om ångerrätt.
• Inga frivilliga beslut möjliga: Som syns på bilden är ingen direkt avslag möjlig. Det verkar olagligt.
• Olagligt laddning av verktyg och cookies utan medgivande: Utan medgivande laddades Google Maps, Google Skrift, Google reCAPTCHA, Google AdWords Conversion Tracking, KlickTipp, en Paypal-betalnings tjänst samt ett script från betterplace.org och ett från app.acuityscheduling.com
• Brister i dataskyddsinformation: För Google reCAPTCHA och Betterplace saknas de obligatoriska anmärkningarna i webbplatsen Q:s integritetspolicy.
• Datatillståndsdeklaration inte direkt åtkomlig: När man kallar upp datatillståndsdeklarationen från webbplats Q visas samtyckesskärmen, så länge det inte tidigare har bekräftats. Det direkta läsningen av datatillståndsdeklarationen är därmed inte möjlig.
• För att ange tillgängliga leverantörer: När man klickar på Konfigurera… i dialogrutan för samtycke till bilden 49 visas en lista med program. I den initiala vyerna är de visade programmen inte synliga. För alla tjänster (här benämnda program) saknas uppgift om leverantör.
• Svag angivelse av nödvändiga datainsamlingar: I samtyckesskärmen talas det om lagring av inställningar för denna applikation. Att kalla en webbplats för en applikation är nog inte fel, men för den vanlige medborgaren sannolikt inte begripligt.
• Förväntad uppgift om kakor: Inga specifika uppgifter om kakor, såsom namn eller funktionstid, finns i Q-webbplatsens samtyckefönster eller personuppgiftsolicy.
• Personuppgiftsdeklaration inte fullt tillgänglig: När webbplatsen Q först läses in döljs samtyckesskärmen på vanliga mobiler och döljer även länken till personuppgiftsdeklarationen. Därför kan den eventuellt anses som inte tillgänglig.
• Brister i uppgift om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land. Uppgiften är obligatorisk.

Entraust / Optanon / Cookieslag

Optanon har överlåtits till OneTrust, varför de båda verktygen ska ses som ett. Produkten verkar också ledas under namnet Cookie Law, vilket även den ska ses som en del av detta.

Hittade webbplatser som använder _OneTrust:

• euronics.de
• Springer.de
• Kia.se
• och en ytterligare (som kanske kommer att nämnas senare)

En del av dessa webbplatser har testats och sedan bedömts.

Sammanfattande bedömning

Onetrust är ett verktyg för samtycke som använder resurser från ett osäkert tredje land.

OneTrust laddar resurser från domänen onetrust.com. Den här domänen verkar drivas av ett amerikanskt företag och leverera innehåll från en server i USA. Enligt Privacy Statement för domänen onetrust.com har tillhandahåaren både i USA och Storbritannien (UK). Om det är USA som stämmer, så är OneTrust redan av sig självt helt oanpassad som GDPR-kompatibel konsentlösning. För att använda OneTrust måste man först få en samtyckande tillstånd för Consent-verktyget själv, vilket verkar vara ett nonsens. Enligt dataskyddspolicyn för webbplatsen W har tillhandahåaren av OneTrust sitt säte i UK och därmed inte längre inom GDPR:s tillämpningsområde sedan den 1 januari 2021. Den 21 december 2020 fanns ännu inget lämplighetsbeslut för UK, vilket gör att UK betraktas som ett osäkert tredjeland (från och med den 28 december 2020 verkar det finnas en övergångstid på fyra eller sex månader från år 2021 under vilken UK utan lämplighetsbeslut betraktas som ett osäkert tredjeland).

Eftersom webbplatsen onetrust.com inte innehåller ett korrekt uppgiftssammanställning och ingen ordentlig angivelse av den ansvarige för dataskydd, disqualificerar sig leverantören själv.

Enligt WHOIS-information är domänen onetrust.com registrerad hos Namecheap Inc. (med angivelse av webbplatsen namecheap.com). Enligt webbplatsen namecheap.com handlar det sig om ett amerikanskt företag. I WHOIS-informationen hittas dessutom som registrant ett företag i Panama, för att dölja identiteten på den verkliga registranten:

---

En ytterligare anledning till att inte använda OneTrust.

Hemsida U

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Laddning av verktyg utan medgivande: Redan när webbplatsen U laddas och innan något har klickats på, läses in OneTrust-verktyget (se ovan). Därmed sker en anrop till adressen geolocation.onetrust.com, som utför geolokalisering av den nuvarande användaren och återförder positionsinformation. En geolokalisering i samband med en medgivningsfråga kunde högst ha motiverats genom att frågan om medgivande endast ställdes till personer som, enligt deras IP-adress, befann sig inom GDPR:s räckvid. Detta är dock felaktigt, eftersom Marktortprincipen gäller, vilket innebär att webbplatsen skall följa GDPR:s regler så snart den riktar sig till en marknad som omfattas av GDPR. Dessutom är geolokalisering med hjälp av IP-adress o.s.v. aldrig tillförlitlig. Vidare kunde en användare sätta in en proxy för att dölja sin position (vilket är tillåtet). Efter genomförd geolokalisering sparas ett kakke i 30 dagar, där resultaten av geolokaliseringen lagras. Denna information lämpar sig utmärkt för identifiering och spårning av användare (i samband med deras IP-adress och/eller Device Fingerprints).
• Inga frivilliga beslut möjliga: Som syns på bilden är ingen direkt avslag möjlig. Det verkar olagligt.
• Bristfällig beskrivning av verktyg: I webbplatsen U:s samtyckessida finns många uppgifter som är oklara, ofullständiga eller på engelska. Följande termer är oklara, suboptimala eller otydliga: "Host": Vad menas med detta begrepp?; "Dauer: 4 years": Vad menas med det?; Art: 3rd Party": Vad menas med det?; Beskrivning på engelska: Otydlig för en tyskspråkig läsare utan engelskkunskaper.
• Falsk klassificering av kakor: Kakor ska inte skiljas utifrån tekniska kriterier, utan efter fackliga och för användaren avgörande kriterier. Här misslyckas OneTrust: Det cookie som heter OptanonConsent, som sätts av OneTrust, är rent tekniskt ett First-Party Cookie. Men fackligt handlar det uppenbart om ett tredjeparts-cookie. Förklaring: Cookie-typen sätts och läses ut av OneTrust-skriptet, som hämtas från en tredje server.
• Fragliga beskrivningar av cookies: En kategori för cookies som tydligen har getts av OneTrust är prestation-Cookie. Denna term är allmänt inte spridd, åtminstone inte i den dagliga användningen. Som beskrivning här tillförs en lång och ganska otydlig text av webbplatsens samtyckessida U.
• Förväntad leverantörsinformation: Det saknas helt någon information om vilka tjänster som används. En tjänstleverantör kallas för Awin. Informationen om vem eller vilken firma som ligger bakom detta kodnamn hittas man inte i Consent Popup. Även webbplatsens integritetspolicy avslöjar ingenting härvidlag. Såvitt författaren vet är Awin en reklamplattform. Den har absolut inget med den tilldelade kategorin Leistungs-Cookies att göra.
• Bristande uppgift om kakor: För många kakor saknas en beskrivning i webbplatsens samtyckessida.
• Försummad nämnd av kakor: Minst ett kakor (Facebook-Pixel, Namn: _fbp) sätts, men inte nämns i webbplatsens cookie samtycke.
• Brister i dataskyddsinformation: På webbplatsen U saknas flera delar av dataskyddsbeskrivningar för använda tjänster. Det verkar som att beskrivningarna till alla tjänster "glömts" eller antagligen lagts ut i cookie-informationspop-up, som kan nås via en länk från dataskyddsinformationen. Tyvärr saknas många uppgifter i detta cookie-informationspop-up, så de saknas helt fastän det är krav på dem. Orsaken till detta tycks vara att ett cookie-centrerat dataskyddsperspektiv valts, som tydligen medför problem.
• Brister i ångivelsmöjligheten: Utanför det faktum att ångivelsen är svår att hitta innehåller den strukturerade brister som inte är tillgängliga för användaren. En ångivelse av alla beviljade samtycken med ett klick är inte möjligt. Istället måste alla "Cookie-kategorier" anges i tur och ordning, så att sedan per kategori en manuell deaktivering kan ske. För detta krävs 8 klickar. När du avaktiverar en kategori visas direkt knappen " Alla cookies tillåta". Det verkar som om mer värde har lagts på att få ett samtycke än ångivelse eller avslag.
• Ånghörande av ånghörandet utförs inte omedelbart: Efter att alla samtycken har ånghörandes, är alla cookies som satts innan ånghörandet fortfarande kvar. Webbplatsen laddas inte om. Därför ska man anta att de redan lästa tjänsterna som Google Analytics fortfarande är aktiva.
• Ånghörande återkallas inte fullständigt: När man laddar om webbsidan manuellt är alla kakor från innan ånghörandet fortfarande kvar. Detta är uppenbarligen lagligt, eftersom ånghörandet delvis ignoreras. Endast de nu inte längre godkända tjänsterna läses inte in igen. När man laddar om webbsidan på nytt och ger någon gång igen sitt samtycke, till exempel för Google Analytics, kan den här tjänsten återvända till befintliga kakor från en tidigare session. En efterföljande av användaren är således ännu bättre möjlig. Annars skulle samma användare i dessa två sessioner officiellt (enligt Google) betraktas som två olika användare.
• Brister i uppgift om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land. Uppgiften är obligatorisk.
• Datatillgänglighetsförklaring inte direkt åtkomlig: När man kallar på datatillgänglighetsförklaringen från webbplats U visas accepterings-fönstret, om det tidigare inte bekräftades. Direkt läsning av datatillgänglighetsförklaringen på större skärmar är bara begränsad, på mindre överhuvudtaget inte möjlig.

Hemsida V

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Engelskspråkiga texter: Som bilden visar visas tipsen på engelska, trots att webbplats V presenteras på tyska i övrigt.
• Brister i information om ånghörande: Som bilden visar finns det inga uppgifter om ånghörande (den engelska versionen "You can manage your preferences…" betraktas som inte existerande för en tysktalande läsare).
• Inga frivilliga beslut möjliga: Som syns på bilden är ingen direkt avslag möjlig. Det verkar olagligt.
• Laddning av verktyg utan medgivande: Redan när webbplats V laddas och utan att något har klickats på, läses in OneTrust-verktyget. Dessutom laddas så många verktyg utan medgivande att här bara en utdragning av dem nämns: Google Tag Manager, Facebook Connect, Google Analytics, Hotjar, Twitter Analytics, DoubleClick, Outbrain, Adscale, ShareThrough. Vidare läses in några kakor utan medgivande, bland annat kakor från Google Analytics, Facebook Connect och Hotjar.
• Förbrukade uppgifter om leverantör: För alla verktyg och kakor som används på Webbplats V saknas en uppgift om vem som är ansvarig. Istället listas namnen på kakorna.
• Bristande beskrivning av kakor: Det saknas alla uppgifter om kakorna (utom namnet).
• Ogiltiga förhandsinställningar: Trots att webbplats V har blivit besökt utan att något har klickats och trots att frågan om samtycke fortfarande syns på skärmen, har redan förhandsinställningar gjorts i fönstret för samtyckande händelser.
• Bristande ångerrätt:
• Istället för en möjlighet att ångra, förklarar webbplats V i Cookie Policy på engelska: “The Privacy Preference Centre kan nås antingen via banner som visas när du första gången besöker sidan eller efter att du har raderat cookies. Det tillåter dig att se de grupper av cookies vi lagrar (som utformats ovan i Hur Vi Använder Cookies), och hantera om cookies för dessa grupper är aktiva.”
• Försummade dataskyddsinformationer: För vissa tjänster, som exempelvis , saknas helt information i webbplatsen V:s dataskyddsbeskrivning. På grund av den stora mängd verktyg som används på webbplatsen och att dataskyddsbeskrivningen bara finns på engelska har en djupare granskning överläts.
• Försummad nämndning av kakor: Minst ett kakor (Google Analytics, namn: _gcl_au) sätts, men inte nämns i webbplatsens cookie samtycke V.
• Brister i uppgift om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land. Uppgiften är obligatorisk.

Hemsida W

Webbplatsens samtyckefönster ser ut såhär:

Fynd

• Inga frivilliga beslut möjliga: Som syns på bilden är ingen direkt avvisning möjlig. Möjligheten att avvisa (”Ändra”) är dessutom optiskt tillbakastad och verkar olagligt.
• Misstänksam fokus på kakor: Som syns i bilden, hänvisas till kakoinformationen för samtyckespliktiga processer. Detta är i sig felaktigt, eftersom datahanteringsprocesser även utan kakor kan vara samtyckespliktiga. Dessutom är det inte synligt i bilden att med texten Mehr erfahren en länk till dataskyddspolicyerna finns, som konsekventvis igen felaktigt benämns som privacy- und Cookie-directive. I dataskyddspolicyerna hänvisas åtminstone till "kakor och liknande teknologier", vilket tyder på att ett fokus på kakor även från webbplatsägarens sida betraktas som ofullständigt.
• Laddning av verktyg utan medgivande: Redan när webbplatsen W laddas och utan att något har klickats på, läses in OneTrust-verktyget. Dessutom läses in minst följande verktyg utan medgivande: Google Maps, Facebook Connect, Google AdWords Conversion Tracking, YouTube Video. Vidare läses in vissa kakor utan medgivande, däribland kakor från Google AdWords Conversion Tracking och YouTube Video. Till YouTube Video hänvisar till exempel webbplatsens integritetspolicy en amerikansk leverantör.
• Datatillståndsdeklaration inte direkt åtkomlig: När man kallar upp datatillståndsdeklarationen från webbplats W visas ett samtyckesskärm, så länge det tidigare inte bekräftades. Det direkta läsningen av datatillståndsdeklarationen är därmed inte möjlig.
• Brister i leverantörens uppgift: För många cookies – kanske alla, detta kunde inte fastställas på grund av den stora mängden cookies – är leverantören inte tillräckligt benämnd. En leverantörsnamn finns ej. Man kan välja att se Host-uppgiften som en ofullständig leverantörsbenämning.
• Omvärdering av cookies: Cookies VISTOR_INFO1_LIVE beskrivs med ett engelskt text. Detta är inte acceptabelt för den tyska marknaden. Som Art anges 3rd Party, lika lite begripligt. Som Dauer anges 7985,5 years. Förutom det här oacceptabla engelska språket är även decimalpunkten inte enligt tysk norm.
• Fragliga beskrivningar av kakor: För NID-kakan ges en beskrivning utan någon mening (utdrag): „Denna domän ägs av Google Inc. Även om Google främst är känt som en sökmotor, tillhandahåller företaget ett varierat utbud av produkter och tjänster.”. För ga-kakan anges syftet: „Detta kakor används för att skilja mellan besökare.”. För utma-kakan anges syftet: „Med hjälp av detta kakor kan vi fastställa om någon redan har besökt vår webbplats eller inte.” Båda kakorna är kopplade till Google Analytics i integritetspolicy. Varför två kakor för att identifiera en besökare behövs, förblir oklart.
• Brister i dataskyddsinformation: Minst för tjänsten DoubleClick saknas helt information om detta i webbplats W:s sekretesspolicy och i samtyckesfönstret.
• Bristande möjlighet till ånghörande: Även efter längre sökning kunde ingen möjlighet till ånghörande hittas på webbplats W. Istället ges i dataskyddspolicyn för vissa tjänster länkar till leverantörens sida, där man enligt uppgift kan motsätta sig insamling av data (per tjänst och leverantör).
• Brister i uppgift om dataöverföring till tredje land: En uppgift saknas i medgivningsfrågan, trots att tjänster används som överför data till tredje land. Uppgiften är obligatorisk.

Sammandrag

De verkliga många fel som nämns borde tala för sig själva. Min undersökning var bara halvvägs intensiv. En mer noggrann undersökning skulle säkert föra upp ännu fler problem till ytan, exempelvis om man analyserar de personuppgiftsbehandlingarna för de enskilda verktygen som ges på de testade webbplatserna.

Alla verktyg för samtycke visar vid praktisk tillämpning mycket stora, från min synvinkel skamliga brister. Även de flesta leverantörer av verktyg för samtycke lyckas inte med sitt eget verktyg att presentera en halvt ordentlig GDPR-konform webbplats.

Använd inte vanliga verktyg för samtycke, utan hellre bara de verktyg som inte behöver samtycke eller där det är tydligt vilka data som samlas in.

Större företag borde skapa sin egen samtyckeslösning. Den kan sedan vara rättsligt säker, i motsats till det material som jag tycker är otillämpligt och som säljs tusentals gånger.

De 100 euro-votningen

Jag är nu modig nog och erbjuder den första webbplatsägaren som kontaktar mig 100 euro från mitt privatkapital, om denne använder ett av de testade samtyckesverktygen på sin hemsida och i stor utsträckning följer regelverket (inte exakt, men tillräckligt). Förutsättningen är dock att en tillräcklig mängd (fler än tre) populära verktyg som kräver samtycke används på webbplatsen. Om det finns precis tre, tittar jag på dessa och tar gärna ut wettan. Webbplatsen måste ha funnits i några månader i sin grundläggande form. Att snabbt skapa en webbplats för att vinna wettan är inte tillåtet.

Jag vädrar att det finns ingen som kan presentera en rättssäker lösning för samtyckande på webbplatser av den typen jag nämnt. Det handlar inte om ett saknade komma, utan om större brister. Även i sociala medier har jag utlovat min vädjan och väntar på modiga som vill föra fram någon webbplats, även om det inte behöver vara den egna. Kontakta mig gärna via e-post.

Denna satsning löper till den 30 juni 2021

Förslag till lösning

Genom Googles och andra gratis verktyg har vi alla blivit på spåret. Fungerar superbra, men dåligt med dataskydd, skulle jag säga.

Min förslag till webbplatser som följer GDPR med mindre ansträngning än att försöka göra det omöjliga möjligt (se praktiska test av Consent Tools):

• Inventarium över alla använda verktyg
• Ta bort alla verktyg som inte längre behövs
• Inkorporera skrifttyper och JavaScript-bibliotek samt externa bilder lokalt
• Använd alternativa till kritiska verktyg
• Den som funderar över en samtyckesfråga borde nog lägga det åt sidan och sova på det igen (se min checklista)