Кукі-джеддон: Невдача всіх інструментів отримання згоди

Вигідний практичний тест популярних інструментів отримання згоди для вебсайтів із результатами перевірки. Я перевірив технічні та правові вимоги GDPR. Для цього були перевірені вебсторінки, які використовують інструменти отримання згоди.

Всі тестирувані вебсторінки, які використовують популярний інструмент згоди, мають гравітуючі недоліки.

Результати тестування, відносно перевірених вебсторінок, які використовують інструмент отримання згоди. Стан на 31.12.2020

Ніяка з перевірених вебсторінок не показала сприятливого щодо захисту даних поведінки. Всі перевірені вебсторінки за допомогою використовуваних інструментів не змогли досягти відповідності GDPR. навіть вебсторінки від провайдерів інструментів згоди потрапляють до негативних прикладів.

Дійсні причини цього результату:

• Інструменти звітування непридатні для виконання вимог щодо захисту даних згідно GDPR
• Вільні провайдери інструментів щодо згоди *здаються навіть не знаючи відповідних правил захисту даних
• Безумовне включення скриптів щодо згоди є об'єктивно недостатнім*
• Власники вебсайтів надто багато довіряють інструментам щодо згоди та не займаються далі захистом даних

Правдиві факти за коротким змістом:

• Някі вимоги вже закріплені в відповідних законодавчих актах і не потребують додаткової роз'яснення судовими рішеннями. Приклади: попередження про відміну, коли запитують згоду (ст. 7 п. 3 ДЗП); вказування ризиків при передачі даних в країни з поганим законодавчим захистом (ст. 44 ДЗП)
• Вироки як такий, який ЄГП зробив щодо файлів cookie, вказують на те, що цілі та тривалість дії файлів cookie повинні бути названі (стаття 13 ДЗКП).
• Є згодженість повинна відбуватися добровільно. Звичний розум каже до добровільності, що відмову слід зробити так само легко, як і згодженість. Регулярно це також вказується в судових рішеннях. Правила захисту конфіденційності стверджують те саме. Вони застосовуються наприклад при Google Analytics.
• Провайдери послуг, які використовуються, повинні бути названі. Це передбачено законом і також визначається у рішеннях суду. Провайдером вважається лише той, хто вказує своє підприємство, адресу та країну розташування підприємства.
• Виконані обробки даних, включаючи використовувані послуги, повинні бути пояснені (див. наприклад ст. 13 GDPR).
• Навколишній зміст cookies, які керуються послугами третіх осіб відомий лише цим третім особам. Зазвичай ці особи дуже рідко повідомляють інформацію щодо цілей цих cookie. Тому визначення цілей користувачем програми третього рівня майже неможливо.
• Для непрозорості інформації про захист даних, яку надає наприклад концерн Google, відповідає (зокрема) власник вебсторінки, який використовує Google Tool.
• Неможливо забезпечити правову безпеку управління cookie. Мій стаття-розкриття називається п'ять причин для цього.
• Оновлення червня 2021 року: Google сам зізнається, що усі дані аналітики від Google Analytics завжди обробляються в США. Це було ще не розглянуто під час моїх випробувань, але це призводить до ще більш виразних висновків.

Якщо власник однієї з згаданих вебсторінок вважає, що вона була виправлена, він може звернутися до мене. Я тоді у цьому статті публікуватиму оновлення.

Ніхто не міг назвати вебсайт, який використовує популярне інструмент консенту та декілька послуг, що вимагають згоди, які відповідають GDPR.

Моя ставка в 100 євро, яка ніколи не була виплачена.

Чи не можна регулювати усе за допомогою налаштувань деяких інструментів отримання згоди? Це явно або помилкове, або в практиці воно не здійснюється, що закінчується тим же результатом. Хто трохи краще вивчить правові та умов користування Google-інструментами , легко побачить, де частина проблеми знаходиться.

Вступ

Als інструменти згоди розуміються допоміжні засоби, з допомогою яких можна отримати згода відвідувача вебсайту для обробки даних перед тим, як відбуватися б незаконна обробка даних. Часто помилково говорять про згода на файли cookie, хоча окрім файлів cookie є й інші обробки даних, які вимагають згоди.

Перевірялися вебсторінки, які використовують такі згоджувальні рішення:

• Борлабс Кукі
• CCM19
• Менеджер згоди
• Кукібот (див. рішення суду Вісбадена, яким Кукібот було визнано незаконним)
• Так!
• OneTrust / Optanon / Cookie Law
• Усередниць (з 01.09.2021 разом з Cookiebot діє)

Вебсторінки, які використовують інструменти згоди (сім інших вебсторінок не називаються):

З цих 24 вебсторінок, а також ще сім інших було загалом перевірено 20 вебсторінок. Я повинен сказати, що коротка перевірка не офіційно перевірених сторінок не дала великої радості щодо особливо доброї реалізації відповідних законодавчих вимог про захист даних. Також після публікації цього статті додатково оглянуті сторінки малюють таке саме зображення. Це стосується також станом на серпень 2021 року.

Всі Consent Tools видають собі за щось на сайті!

Висновок зі свого результату тестування

Результати тесту показують, що навіть великим підприємствам не вдається дотримуватися обов'язкових законодавчих вимог щодо захисту даних.

Наступні вебсторінки, які використовують інструмент отримання згоди, вимагають щонайменше один додатковий клік, щоб відмовитися від обов'язкових дій щодо згоди, ніж для надання згоди (станом на 30.12.2020):

• adac.de
• commerzbank.de
• digitalehelden.de
• euronics.de
• ffh.de
• haendlerbund.de
• heise-regioconcept.de
• hertie.de
• kia.com
• springer.com

Повідомляється, що власники цих вебсайтів вважають отримання даних користувачів більш важливим, ніж надання можливості відмовитися від збірки даних з згоди користувача. Це згідно зі мною є явно порушенням законодавства. Так само вважає це ЛГ Росток. Сюрприз: ЄвроГ та БГГ регулярно виникають рішення, які сприятливі для споживачів.

Цей онлайн-статтю є виділеним з більш об'ємного PDF-документу, в якому згадуються додаткові екрани та свідчення.

Список вмісту

Тестові заходи

Перевірено вебсторінки, які використовують одне з популярніших інструментів згоди. Які інструменти популярні, було визначено суб'єктивно. При цьому була взята до уваги досвід із більш ніж 1000 перевірених вебсторінок. Також був включений Klaro!, оскільки він відкритий під ліцензією і його розробник знаходиться у Німеччині. Були залишені деякі інші відкриті джерела протягом певного часу не розвивалися далі та були відкинуті.

Тести проводилися протягом періоду з 08.12.2020 по 31.12.2020 роки. Як я щодня встановлюю, результати також у серпні 2021 року не втратили актуальності.

Вказані вебсторінки були оброблені як власноруч, так і за допомогою моїх власних інструментів. Інструмент сканує кожну окрему сторінку та завантажує лише декілька підсторінок для проведення тестування. При цьому встановлюються наявність завантажених без згоди інструментів та файлів та встановлення куки без згоди користувача.

Результати, отримані автоматизовано, були перевірені вручну. У першу чергу вручну були перевірені наступні критерії.

Тестові критерії

Нижче наведені критерії, які були добре перевірені з точки зору німецьськомовного громадянина, який відкрив вебсторінку:

• Добровільна згода або відмову
• Завантаження послуг без згоди
• Опис використовуваних послуг
• Класифікація використовуваних послуг
• Список виконавців послуг
• Назва та опис використовуваних cookie
• Надання даних до третіх країн
• Інформація щодо можливості відмінення
• Відміну можливості після згоди
• Відповідь після згоди

Перегляньте також мої список перевірок щодо отримання згоди на вебсторінках, де згадані деякі правові підстави.

Результати тестування

Тестирувані вебсторінки завжди надаються у вільній від оцінок алфавітному порядку. Результати щодо тестируваних вебсторінок анонімізуються та називаються буквами: Вебсторінка А, Вебсторінка Б тощо.

Під час перевірки інтернет-сторінок були також перевірені сторінки пропозицій інструментів отримання згоди, які використовують власний інструмент. Попри те, що інтернет-сторінки постачальників та треті користувачі інструменту мають серйозні недоліки щодо рішення щодо згоди, можна вважати, що some постачальники не досить добре знають правові підстави або їхні пропозиції є непридатними для отримання відповідної сторінки згідно з законодавством.

Результати наступних тестів згруповані за допомогою інструменту згоди.

Усерцікерс

Знайдені вебсторінки, які використовують UserCentrics:

• adac.de
• commerzbank.de
• usercentrics.com
• www-ag.com
• та ще одна (яка, можливо, буде згадуватися далі)

З деяких з цих вебсторінок було перевірено та згодом оцінено.

Вебсайт Е

Вікно згоди вебсайту виглядає так:

Після кліку на "Інформація та налаштування" відкривається наступне вікно повідомлень:

Дослідження

• Неможливий вільний вибір: відмовляти не так просто, як приймати. Це виглядає незаконним (порівн.: судова рішень суду Ростока).
• Недостаток пояснення встановлених cookie: дуже неприємно для інструменту, який називається «Cookie Banner», і який можна налаштувати шляхом звернення до «Cookie settings», якщо ні banner cookie, ні cookie settings, ні політика конфіденційності не містять жодної інформації про встановлені cookies від Google Analytics та інших послуг, завантажених на вебсторінку E.
• Завантаження інструментів без згоди: Без згоди завантажуються Google Tag Manager, Відео YouTube, DoubleClick, Google Universal Analytics, GA Audiences. Для Google Analytics запитується згода. Іржавішого вже ні, щоб його ввічливо висловити.
• Відповідь скасовується: Відзвітування щодо попередньо наданих згоди не призводить до відміни. Як було встановлено, навіть після відміни ще були встановлені згідні файли cookie.
• Нестримані термінології: звичайний громадянин та навіть спеціаліст з інформатики мають проблеми зі розумінням різниці між Tracking, Personalisierung і Marketing. У розділі Tracking вказано Google Analytics, яке також є засобом маркетингу. У розділі Personalisierung вказано Hotjar, який є інструментом для відстеження дій користувача. Це відбувається, коли ви клікаєте на назву категорії у інструменті згоди. Також згадується Google Optimize, який є засобом проведення експериментів A/B. З його допомогою можна оптимізувати вміст для окремих груп користувачів. Для окремого користувача, який відвідує вебсторінку, це не може бути розцінено як особисте призначення, а лише як маркетинговий захід.
• Неправомірна попередня вибірка: У розділі Статистика називається Google Analytics Statistik. Цей інструмент попередньо вибраний (використовується). Це згідно з рішенням ЄС щодо файлів cookie неправомірно, якщо враховувати, що вже до отримання згоди встановлюються файли cookies Google Analytics. Крім того, передавання даних у нестабільні треті країни (як США) без попередньої згоди та без відповідних гарантій є неправомірним (див. рішення ЄС щодо Privacy Shield а також каталог критеріїв noyb для окремої оцінки правомірності передавання даних у США).
• Неправильна класифікація: у розділі Технічні вимоги вказано Google Tag Manager. Цей інструмент використовується для динамічного завантаження інших інструментів, тому він сам не має функцій. Відповідно, усі інструменти, які завантажуються за допомогою Google Tag Manager, можуть бути також завантажені безпосередньо.
• Неприйнятні пояснення: Для Google Analytics Statistik та для Google Analytics однаково стверджується, що „Місце обробки даних“ є „Європейський Союз». Крім того, повідомляється, що «Alphabet Inc.» є однією з організацій, яким передані дані. Відомо, що штаб-квартира компанії «Alphabet Inc.» знаходиться в США, тобто не в Європейському Союзі. Для Google Analytics Statistik вказується лише «Alphabet Inc.» як організація, якій передані дані, тоді як для Google Analytics також вказуються ще й «Google LLC» та «Google Ireland Limited». Приблизитися до пояснення цього виглядає майже неможливо. Чому місце обробки даних для Google Tag Managers вказується як «США», а для Google Analytics — як «Європейський Союз», не зрозуміло. Цю інформацію можна вважати цілком безглуздою, оскільки Google Analytics завантажується лише після Google Tag Manager.
• Недостатньо детальна інформація про постачальника: вказуються отримувачі даних під назвою «Google LLC» тощо. Відсутня інформація про адресу. Адреса вказана лише при «Оброблювачі підприємства».
• Непевна пояснення використовуваних послуг: Google Tag Manager описується наступним чином: „Це система управління тегами для керування JavaScript- та HTML-тегами, які використовуються для імплементації інструментів відстеження та аналізу. Не обробляються особисті дані. Домен Tag Manager є безкошиковим і не збирає жодних особистих даних. Google Tag Manager може активувати інші теги, які можуть зібрати та обробляти особисті дані.“ Ця пояснення помилкова першою речю тому що особисті дані у вигляді IP-адрес вже збираються при зверненні до Google Tag Manager. Друга річ ця пояснення неприйнятне для звичайного громадянин, який не знає чого таке JavaScript-теги.
• Недостатнє повідомлення щодо передачі даних до третіх країн: У запитанні про згоду наявне таке повідомлення лише непрямо, вказуючи імена та форми підприємств, але не згадуючи їх адреси та країни розташування. Приклад: Alphabet Inc.
• Недостаток вказівки інформації про файли cookie: майже для всіх використовуваних файлів cookie відсутні основоположні дані, як і в запиті згоди на використання сторінки E, так і в її політиці конфіденційності. Відокремлена "Директива щодо файлів cookie", яку деякі сайти мають, не знайдена.
• Некликанні посилання: У політиці конфіденційності вебсайту E важливі посилання, наприклад, щодо "використання даних компанією Google Inc.", не клікаються.

Вебсайт F

Вікно згоди вебсайту виглядає так:

Дослідження:

• Відміна можливості відмови: Кнопка відмови має напис "Переглянути та змінити налаштування cookies" і візуально відстоюється значно від кнопки прийняття. Це суперечить правовій інтерпретації суду Ростока (рішення від 15 вересня 2020 року – 3 О 762/19).
• Непевна глобальна запитання щодо згоди: Через вікно згоди отримується згода не лише на вебсайті F, але й на інших сайтах власника. Чи це дозволено, сумнівне. Крім того, потім повинні бути запрошені ті ж самі згоди на інших сторінках або завжди можна відмовитися від згоди інших сторінок.
• Незаконне завантаження інструментів без згоди: Без згоди завантажуються Google Tag Manager, Google Шрифти, Google Ads, відео YouTube та DoubleClick. Для DoubleClick запитується згода, але вона не завжди береться до уваги, як показала аналіз вебсайту F. При завантаженні відео YouTube без згоди встановлюються файли cookie третіх сторінок, які частково мають термін дії понад 18 років.
• Недоступність частини можливості відміни: можливість відміни можна викликати шляхом натискання посилання в нижній частині сторінки F. Але ця можливість не працює тоді, коли на сторінці показується політика конфіденційності. Таким чином, – у вузькому сенсі – можливість відміни недоступна.
• Відміна не здійснюється повністю: Коли людина погоджується на всі дії, після цього вікно з згоди знову відкривається і відміна всіх дій відбувається, але сторінка не перезавантажується. Вигідні послуги продовжують діяти. Мінімум один обов'язковий cookie третього боку, який був встановлений лише після згоди, все ще існує. Коли людина перезавантажує сторінку самостійно, вигідні послуги більше не працюють, але згаданий раніше cookie все ще існує.
• Непрацююча можливість відміни у Google Analytics: Окрім інструменту згоди в Політиці конфіденційності є видимість можливості зупинити збір даних через Google Analytics (через кнопку Google Analytics deaktivieren). Коли натиснути на зелену кнопку, нічого не відбувається, окрім того, що показується повідомлення підтвердження у вікні. Кукі, як вказує зображення, встановлюється не. Окрім цього, використання Opt-Out Cookie є дуже поганою можливістю зупинити збір даних від третього боку служби.
• Недостатньо пояснення щодо використовуваних cookie: можливо, що випадково всі досліджені вебсторінки, які використовують UserCentrics, не показують інформацію про cookie, можливо, це пов'язано з самим UserCentrics. Обидва cookie-баннери та cookie-налаштування та політика конфіденційності містять нічий інформації щодо використовуваних cookie.
• Нестримана категорія Cookie: Вебсайт F вказує в категорії Технічні, функціональні та призначені для розрахункових та комісійних цілей cookies також Тех-кукі. Цей термін авторові з багатьох років роботи зі захистом даних у інтернеті раніше ніколи не був відомий. Термін загалом невідповідний, неприйнятний і, ймовірно, вказує на технічні орієнтовані cookies.
• Фрагментарна необхідна інформація про файли cookie: Поки що ніщо не вказує на те, що ця сторінка F містить технічну інформацію щодо файлів cookie, такі як назва, призначення, опис або тривалість дії. Тому можна лише здогадуватися, чого саме стосується наступна пояснення щодо так званих необхідних файлів cookie: Фірма XYZ використовує ці файли cookie для того, щоб зробити використання сторінок фірми XYZ простіше: За допомогою файлів cookie фірма XYZ може знову розпізнавати вас на основі попередніх відвідувань, коли ви знову відвідуєте сторінку фірми XYZ. Розпізнавання користувача в собі є дозволеним. Питання полягає лише в тому, яким чином відбувається таке розпізнавання. Очевидно використовуваний тільки один файл cookie, який діє далі однієї сесії, зберігає лише встановлення мови. Це було б потрібно згадати власному користуванню, якщо це саме й було метою попередньої пояснення..
• Недостаток інформації про захист даних: У роз'ясненнях щодо захисту даних вебсайту F відсутні дані щодо використовуваних послуг, зокрема щодо відео на YouTube. Google Tag Manager не пояснюється явно, а лише імпліцитно згадується як допоміжний механізм, який виводить служби. Причина цього, ймовірно, полягає в тому, що було вибрано підхід захисту даних з фокусом на файли cookie, який очевидно має свої проблеми.
• Недостатнє вказання щодо передачі даних до третіх країн: відсутня прямий запит щодо цього у запитанні згоди, хоча послуги використовуються для передачі даних до третіх країн. Замість цього надаються дані про надання послуг із країни. Сумнівно, чи місце розташування згаданого провайдера є однією з країн, до якої (виключно) дані передаються шляхом використання цієї служби.
• Недостаток вказівки інформації про файли cookie: Зовсім немає інформації щодо використовуваних файлів cookie, як у запиті згоди на сторінці F, так і в її Політиці конфіденційності. В окремій "Директиві щодо файлів cookie", яку деякі сторінки мають, нічого не знайдено.

Вебсайт Г

Вікно згоди вебсайту виглядає так:

Дослідження

• Неприйнятне відсунення можливості відмови: кнопка "Відхилити" було намірно зроблено менш видимою ніж кнопка "Прийняти та Закрити". Обидві кольорова обробка та розмір кнопки "Відхилити" були зменшені.
• Неправильна назва офіційного представника захисту даних: Для служби Matomo вказується адреса електронної пошти офіційного представника захисту даних privacy@matomo.org. Це явно брехня, оскільки цей сервіс господарю вебсайту G самостійно хоститься і керує (як він сам пояснює). Правильніше було вказати власну адресу електронної пошти. Іншим прикладом неправильного імені офіційного представника захисту даних є послуга Google Ads Conversion Tracking. Там вказується адреса електронної пошти у вигляді посилання на сторінку з інформацією про захист даних. Коли людина клікає по цьому посиланню, відкривається програма для листування, оскільки цей посилання було створено в форматі mailto-Link.
• Завантаження інструментів без згоди: Під час завантаження вебсторінки G і без жодного кліку відбувається завантаження інструментів Lead Feeder, Google Schriften та Google reCAPTCHA. Для Google reCAPTCHA пояснюється, що передача даних здійснюється до отримувачів по всьому світу. Це вказує на необхідність згоди, яка не підтверджується. А ще це ще більш складне питання тому, що далі надається посилання з описом «Натисніть тут, щоб відкликати свій відмову на всіх доменах оброблювальної компанії». Перше – зміст цього речення сумнівний і друге – виникає питання чому необхідний відмова для послуги, яка вважається не потрібною згодою. Lead Feeder завантажується завжди, незалежно від надання згоди чи ні. Це суперечить пояснень у вікні згода вебсторінки G. Для Google Tag Manager вебсторінка G пояснює, що місце обробки даних «США» і передача даних до третіх країн відбувається по всьому світу. Звучить дуже схоже на необхідність згоди.
• Недостатньо детальна інформація про одержувачів даних: Для Google Tag Manager вебсторінка G вказує на одержувачів даних Alphabet Inc., Google LLC та Google Ireland Limited. Адреси та країни треба собі здогадувати.
• YouTube Videos_ використовує консент-попап від вебсайту G у неповній мірі (Деталі пропущені, вони підтверджуються). Для служби „StackPath LLC“ (імовірно, слід розуміти StackPath, оскільки StackPath LLC є компанією-розробником) вказується наступна опис: „StackPath — це платформа для інфраструктури та послуг комп'ютерів“. Автор сумнівається щодо того, чи ця опис досить змістовний. Що саме на вебсайті використовується такий сервіс, який фокусується на „інфраструктурі комп'ютера“, здається цілковито неприйнятним.
• Незрозуміла загальна характеристика: Відповідний рядок у вікні згоди виглядає так: "За допомогою цього інструменту ви можете вибрати та деактивувати різні теги/трекери/аналітичні інструменти, які використовуються на цій вебсторінці." Зрозуміло, що цей рядок не зрозумілий загалом. Ніщо не вказує на те, чого саме означають "теги", а також різниця між "трекерами" та "аналітичними інструментами". Також не дуже розумно називають вікно згоди інструментом для користувача.
• Відміна не здійснюється повністю: Коли людина погоджується на всі дії, після цього вікно з згоди знову відкривається і відміна всіх дій відбувається, але сторінка не перезавантажується. Відмінені послуги продовжують діяти. Також деякі обов'язкові для згоди файли cookie, які були встановлені лише після згоди користувача, ще завжди присутні. Коли людина перезавантажує сторінку самостійно, відмінені послуги більше не працюють, але згадані файли cookie продовжують зберігатися.
• Недостаток вказівки інформації про файли cookie: здається відсутні (всі ?) дані щодо використовуваних файлів cookie, як на сторінці G під час запитання згоди користувача, так і в її Політиці конфіденційності. Відокремлена "Директива щодо файлів cookie", яку деякі сторінки мають, не знайдена.

Борлабс Кукі

Знайдені вебсторінки, які використовують _Борлабс Кукі:

• bondzio.de
• braeutigam-hotel.de
• heise-regioconcept.de
• mediana.de
• та ще одна (яка, можливо, буде згадуватися далі)

З деяких з цих вебсторінок було перевірено та згодом оцінено.

Вебсайт А

Вікно згоди вебсайту виглядає так:

Дослідження

• Неможлива добровільна рішучість: безпосереднє відмова неможлива. Це виглядає незаконним.
• Завантаження інструментів без згоди: Під час завантаження сторінки A та без жодного кліку відбувається завантаження інструментів Google Analytics і Google+. Також завантажуються ще й Google Schriften з сервера Google.
• Недостатньо інформації щодо використовуваних інструментів: Інструменти, згадані в попередньому розділі Google Analytics, Google+ та Google Schriften не згадуються навіть у вікні згоди, а також ні в категорії Essenziell. (Деталі щодо категорій будуть показані після кліку на текст Konfigurieren.).
• Недостаткова інформація про постачальника: Інформація про використовувані інструменти є недостатньою. Як постачальник Facebook Pixel називається Facebook. Відсутня адреса або інформація про організаційну форму. Саме тут виникає питання, яка з багатьох Facebook компаній має бути визначена.
• Недостаткова описка мети: Як мету для Facebook Pixel вказано: „Фейсбук-Піксель — це інструмент аналізу. Ви можете використовувати його, щоб виміряти ефективність своєї реклами, аналізуючи дії осіб на вашій вебсторінці.“ Тут відвідувача вебсторінки звертають так, ніби він сам використовує Facebook Pixel, щоб оптимізувати рекламу. Вказівка „Фейсбук-Піксель — це інструмент аналізу“ недостатньо, бо не дуже зрозуміла і не повна. Наступний рядок помилковий, адже: Facebook Pixel використовується головним чином для ідентифікації відвідувачів як користувачів Facebook, щоб потім показувати їм рекламу на Facebook (як Retargeting називається).
• Недостаткова описка щодо файлу cookie: назва файлу cookie вказана як Facebook Pixel. Це помилка. Назва файлу cookie насправді називається _fbp. Відсутня інформація про термін зберігання файлу cookie. Ця інформація згідно рішення ЄСПЛ щодо файлів cookie обов'язкова.

Вебсайт Б

Вікно згоди вебсайту виглядає так:

Дослідження

• Відміщення можливості відмови: Кнопка відмова має напис "зберігти та закрити" і візуально значно відстоюється від кнопки прийняття. Це виглядає незаконним, принаймні, свідомо шкідливим для користувача
• Завантаження інструментів без згоди: Без згоди завантажуються Google Schriften і Google Maps. У політиці конфіденційності вебсайту B натомість неправильно повідомляється:„Ця сторінка використовує для єдиного відображення шрифтів так звані Web Fonts, які надаються Google. Google Fonts встановлені локально. При цьому відбувається підключення до серверів Google не відбувається.“
• Непевне необхідний cookie з унікальною ідентифікацією користувача: cookie ім'я__cfduid_ і зі значенням із 43-значної рядка із терміном дії 30 днів встановлюється без згоди. Рядок, щонайменше, підходить для ідентифікації користувача.
• Недостатнє пояснення щодо використовуваних cookie: Для деяких cookie не вказується термін зберігання. Наприклад, для служби "Чат-функція через tawk.to" надається список cookie без вказівки терміну зберігання та цілей використання cookie: "cfduid, ss, tawkUUID, TawkConnectionTime, TawkCookie,_cfduid".
• Недостаткова інформація про постачальника: Інформація про використовувані інструменти є недостатньою. Відсутня вказівка адреси згаданих постачальників. Чому Google LLC називається постачальником служби Facebook, залишається невідомим, особливо якщо на сайті немає служби Facebook.
• Недостаткова та помилкова описувальна інформація про мету: Як назва для послуг називається "Публікації з Facebook представляють", як мета "Використовується для звільнення вмісту Facebook". Що саме має бути на увазі, залишається нечітким, особливо якщо немає служби Facebook на вебсайті. Для Matomo описується така мета: „Кукі від Matomo для аналізу вебсторінки. Створює статистичні дані щодо того, як відвідувач використовує сторінку.“. Сервісом подібним до Matomo є не кукі. Кукі створюють ніякі дані. Виконання таким чином є помилковим у всіх аспектах і називається метою від Matomo, але тільки передбачуваний мета від Matomo-кукі, яке такої немає (поки що на вебсайті B використовуються три кукі Matomo, які вказані в вікні згоди як _pk_@@XX8@@.@@XX8@@ , чого можна вважати правопорушенням, особливо якщо вказується тривалість роботи 12 місяців, що є помилковим).
• Відміна не виконується повністю: Коли людина погоджується на всі дії, після цього знову відкривається вікно згоди і відміна всіх дій відбувається знову, але сторінка не перезавантажується. Вигідні послуги продовжують діяти далі. Всі куки, які були встановлені згідно з згодою, ще завжди присутні. Коли людина перезавантажує сторінку самостійно, вже відмінені послуги більше не працюють, але всі куки, які були встановлені після згоди, ще завжди існують.
• Недостатньо інформації щодо можливості відмінення згоди: У вікні з згодою відсутній жодний попереджувальний сигнал про можливість відмови.
• Недостатнє вказання щодо передачі даних до третіх країн: В запитанні щодо згоди відсутня інформація щодо використання послуг, які передають дані в треті країни.

Вебсайт С

Дослідження

• Недостатньо інформації щодо можливості відмінення: відсутній будь-який вказівник на можливість відмінення.
• Відміна можливості відмови: Кнопка відмови має напис "тільки необхідні файли cookie" і половину висоти кнопки згоди. Крім того, кнопка згоди виділяється за допомогою стрілок. Це виглядає незаконним, навіть якщо сторінка C краще організована ніж багато інших.
• Неправильна класифікація інструментів: Google Analytics потрапляє до категорії Статистика. Правильніше було б розмістити його в категорію Ринок, адже цей інструмент працює з cookie та створює унікальну ідентифікаційну інформацію для кожного користувача.
• Недостатньо інформації про постачальника: Для постачальника Google LLC, який вказується для Google Analytics, відсутня інформація про юридичну форму компанії. Вказаний цілок метою "Кукі від Google для аналізу вебсайту. Створює статистичні дані щодо того, як відвідувач користувався вебсайтом" є непридатним, щоб описати послугу Google Analytics.
• Недостаток пояснення встановлених cookie: відсутня будь-яка інформація щодо трьох згаданих cookie _ga, _gat, _gid. Вказаний там призначення відноситься лише до одного cookie (якого?). Вказана " Cookie Laufzeit" протягом 2 років відноситься лише до однієї з трьох cookie, інші дві мають інші терміни дії. Крім того встановлюється cookie назви _gat_gtag_UA_xxxx_1, яке не пояснюється. Для цього пояснення встановлюється cookie _gat, хоча воно не встановлено.
• Недостаток інформації про захист даних: У розгорнутій політиці захисту даних вебсайту C відсутня інформація щодо Google Tag Manager. Причина цього, ймовірно, полягає в тому, що був вибраний підхід захисту даних з фокусом на файли cookie, який очевидно призвів до проблем.
• Відміна не виконується повністю: Коли людина погоджується на всі дії, після цього знову відкривається вікно згоди і відміна всіх дій відбувається знову, але сторінка не перезавантажується. Вигідні послуги продовжують діяти далі. Всі куки, які були встановлені згідно з згодою, ще завжди присутні. Коли людина перезавантажує сторінку самостійно, вже відмінені послуги більше не працюють, але всі куки, які були встановлені після згоди, ще завжди існують.
• Недостатнє вказання щодо передачі даних до третіх країн: В запитанні щодо згоди відсутня інформація щодо використання послуг, які передають дані в треті країни.

Менеджер згоди

Знайдені вебсторінки, які використовують consent manager:

• consentmanager.de
• ffh.de
• haendlerbund.de
• mitsubishi-motors.de
• та ще одна (яка, можливо, буде згадуватися далі)

З деяких з цих вебсторінок було перевірено та згодом оцінено.

Вебсайт Г

Вікно згоди вебсайту виглядає так:

Дослідження

• Надмірно багато, так званих функціональних cookie: Названі більше 10 cookie, які згідно вікна згоди вебсайту H називаються "чисто функціональними та необхідними для роботи вебсайту чи певних функцій".
• Недостаток пояснення використовуваних cookie: Для вказаних cookie відсутні описи змісту. Визначення термінів дії з допомогою лінії дуже сумнівне та ймовірно недостатнє. У політиці конфіденційності вебсайту H знаходиться деякі (але не всі) cookie із описом змісту. Приклад: „cmpcpc\“/“cmppurposes“ – інформація щодо вибраних цілей. Ця описка явно неприйнятна та неповна. Чому cookie „euconsent_backup“ повинне бути резервною копією cookie „euconsent“, зможе пояснити розробник вебсайту H на запит.
• Недостаткова вказівка про файли cookie: Вказування _gat_@@XX8@@ для файлів cookie Google Analytics не відповідає вимогам, оскільки назва не зрозуміла і дані щодо термінів дії цієї загальної вказівки можуть бути помилковими. Крім того, файл cookie з ім'ям ga згадується двічі, кожен раз із іншою доменою, яка ненужно називається англійським терміном «Domain» (якщо пам'ятати: це головним чином німецькі відвідувачі вебсайту, яким не потрібно розуміти англійську мову). Під час перевірки вебсайту було встановлено лише одне файл cookie з ім'ям ga. Також відсутні описи для всіх вказаних файлів cookie. Вказування «Тип: вимірювання» явно недостатньо. Що саме виміряється, чому і чому це робиться за допомогою п'яти файлів cookie?
• Недостатнє вказування послуг: Вказування використовуваних послуг відбувається у формі категорій та провайдерів. Під "Всі провайдери" перелічено те, що краще називається "послугами": зокрема Google Ads, Google Analytics, Google General, LinkedIn. Читаєся як послуги, але не як провайдер. Що саме Google General є, майже ніхто не знає.
• Недостаткова опись використовуваних послуг: Для Google General вказується як „Мета обробки даних“: „Мірило“. Додаткова інформація знаходиться в вікні згоди немає. Для Google Analytics теж саме пояснення надається. Додаткової інформації також немає.
• Недостатня політика конфіденційності: Хто хоче знати, що під цим Microsoft розуміють, знаходить як опис " Messung ". У німецькій мовній політики конфіденційності вебсайту H міститься такий опис щодо Microsoft: Measurement. Тепер усе повинно бути зрозумілим …
• Відміна не виконується повністю: Коли людина погоджується на всі дії, після цього знову відкривається вікно згоди і відміна всіх дій відбувається знову, але сторінка не перезавантажується. Вигідні послуги продовжують діяти далі. Всі куки, які були встановлені згідно з згодою, ще завжди присутні. Коли людина перезавантажує сторінку самостійно, вже відмінені послуги більше не працюють, але всі куки, які були встановлені після згоди, ще завжди існують.
• Незаконне завантаження інструментів та файлів cookie без згоди: Без згоди завантажуються відео YouTube, DoubleClick, Calendly, Google Translate, Google Schriften і скрипт домену google.com. Так само на хоча б одній сторінці вебсайту H завантажується служба etracker без згоди, хоча для цього запитується згода. YouTube та DoubleClick встановлюють файли cookie третіх осіб без згоди.
• Недостаток інформації про захист даних: Для DoubleClick, Calendly та Google Schriften відсутні будь-які вказівки в політиці захисту даних вебсайту H.
• Недостаток інформації щодо передачі даних до третіх країн: У запитанні про згоду відсутня інформація щодо передачі даних, хоча послуги використовуються для передачі даних у треті країни. Замість цього надаються дані про надання послуг із вказанням країни. Вважати сумнівним, чи місце розташування згаданого провайдера є однією з країн, до якої (виключно) дані передаються шляхом використання встановлених послуг. Крім того, назва країни не викладається, а вказується за допомогою коду ISO.

Вебсайт J

Вікно згоди вебсайту виглядає так:

Дослідження

• Неможлива вільна воля: безпосередня відмова неможлива. Це виглядає незаконним.
• Незаконне завантаження інструментів та файлів cookie без згоди: Без згоди завантажуються Google Tag Manager, відео YouTube, DoubleClick, Twitter Widget, Google Schriften, Google reCAPTCHA, бібліотека JavaScript із домену googleapis.com, декілька файлів з cloudflare.com і послуга під назвою Giosg. Також на одному з сторінок вебсайту H завантажується послуга etracker без згоди, хоча для цього запитується згода. YouTube та DoubleClick встановлюють файли cookie третіх осіб без згоди.
• Неправильна класифікація послуг: У вікні згоди вебсайту J вказані наступні категорії: «Важливі»: «Мета: важливі», «Функції»: «Мета функцій: необхідність використання функцій вебсайту», «Оцінка»: «Мета оцінки», «Ринок»: «Мета ринку». Вказані описи є справжніми описами вебсайту J. Відкрито, що ці описи частково невірні. Для роботи вебсайту необхідні «функції», які можна вимкнути. Описи щодо «оцінки» та «ринку» відсутні, натомість назва категорії повторюється як пояснення мети.
• Недостатнє пояснення використовуваних послуг: Відсутня будь-яка інформація щодо того, чим є "Фейсбук".
• Недостаток опису встановлених cookie: відсутня описова частина щодо призначення встановлених cookie. Замість цього читач дізнається на хвилину точно, наприклад, що cookie з ім'ям ATN має термін дії 729 днів, 23 години та 50 хвилин. Як тип для cookie fr вказується [не відомий].
• Недостатнє пояснення щодо використовуваних cookie: Для Google Analytics вказані дві cookie без опису їх призначення: _ga і _gid. Насправді встановлюються ще дві додаткові cookie, саме _gcl_au та _gat_UI-xxxxx-1. Для послуги Facebook стверджується, що поряд з справжнім cookie _fbp, також встановлені cookies ATN і fr, які під час перевірки автором разом із автоматизованою аналізом не були встановлені. Cookie ATN хоча б є цілковито невідомим у публічному просторі. Поки що немає можливості проведення подальшої вивчення, оскільки призначення не описується. Для YouTube вказані жодних cookie в вікні згоди, хоча насправді встановлюються дві: YSC та VISITOR_INFO1-LIVE.
• Неправильна ідентифікація постачальника: для постачальника "Facebook" (які мають на увазі Facebook Connect і Facebook Audiences, згідно з аналізом) вказується адреса в Іспанії. Такої компанії, здається, не існує (і якщо вона існує, то питання полягає у чому німецька сторінка має стосунок до іспанського партнера Facebook). Насправді ж, здається, що ця адреса була знайдена в інтернеті та належить до фейсбукової сторінки служби таксі з Іспанії, згідно зі моїми дослідженнями. У політиці конфіденційності сторінки J вказаний Facebook Pixel і йому призначається постачальник Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA. Таким чином, раніше згадана інформація про постачальника є суперечливою, вводить в оману та помилковою.
• Недостаток вказання використовуваних послуг: Як вже згадувалося, служби Facebook Connect і Facebook Audiences об'єднані в єдину послугу під назвою Facebook.
• Неприйнятна політика конфіденційності: У політиці конфіденційності вебсайту J повідомляється про Google Tag Manager: Ми використовуємо на своїй вебсторінці Google Tag Manager компанії Google LLC. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“). За умови, що ви мешкаєте звичайно у Європейському економічному просторі або Швейцарії, відповідальним за дані є Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Google Ireland Limited — це компанія, пов'язана з Google, яка відповідає за обробку даних і дотримання чинних законодавчих актів про захист даних..
• Недостатньо ефективна можливість відмови: Відмінити всі надані згоди однією кнопкою не можливо. Замість цього необхідно клікувати по кожній категорії окремо, після чого відбувається ручна деактивація кожного типу даних. Для цього потрібно здійснити 8 кліків.
• Відміна не виконується повністю: Коли людина погоджується на всі дії, після цього знову відкривається вікно згоди і відміна всіх дій відбувається потім, але сторінка не перезавантажується. Вигідні послуги продовжують діяти далі. Всі куки згідно з згодою, які були встановлені лише після згоди користувача, ще завжди присутні. Коли людина перезавантажує сторінку самостійно, вже відмінені послуги більше не працюють, але всі куки, встановлені після згоди користувача, включаючи куки третіх осіб та третіх доменів, все ще зберігаються.
• Недостаток інформації щодо передачі даних до третіх країн: У запитанні про згоду відсутня інформація щодо передачі даних, хоча послуги використовуються для передачі даних у треті країни. Замість цього надаються дані про надання послуг із вказанням країни. Вважати сумнівним, чи місце розташування згаданого провайдера є однією з країн, до якої (виключно) дані передаються шляхом використання встановлених послуг. Крім того, назва країни не викладається, а вказується за допомогою коду ISO.

Вебсайт К

Вікно згоди вебсайту виглядає так:

Кукібот

Знайдені вебсторінки, які використовують _Cookiebot:

• cookiebot.de
• werdewelt.info
• techem.de
• та ще одна (яка, можливо, буде згадуватися далі)

З деяких з цих вебсторінок було перевірено та згодом оцінено.

Коротка оцінка IP-адреси (72.246.29.131), яка була викликана під час завантаження скрипту Cookiebot від consentcdn.cookiebot.com, показала:

За допомогою Traceroute вказана мережева адреса знаходиться в США. Це може бути так, але не обов'язково, оскільки IP-адреси періодично звільняються і знову виділяються. Високий рівень вірогідності того, що при одному з тисяч викликів Cookiebot скрипту адреса в США буде активована, здається досить високим. З цієї причини я б порекомендував шукати іншу рішенням.

Вебсайт Х

Вікно згоди вебсайту виглядає так:

Дослідження

• Недостатньо інформації щодо можливості відміни. Відсутній будь-який вказівник на можливість відміни.
• Завантаження інструментів без згоди: Під час завантаження вебсторінки X та без жодного кліку відбувається завантаження послуг Gravatar, Google Analytics і Google Tag Manager. Для обох згаданих Google-сервісів запитується згода. Gravatar ніде не згадується.
• Неправильне призначення послуг до постачальників: Наприклад, для файлу cookie Google Analytics вказується Google Tag Manager, послуга і не компанія, а також вказується Google як постачальник, хто або що саме є Google.
• Недостаток інформації про виконавця: відсутні відомості виконавця, включаючи дані компанії для всіх послуг!
• Недостатньо інформації щодо файлів cookie: Для деяких файлів cookie вказується термін зберігання як неприйнятний, недостатньо конкретний термін — . Persistent. Термін «Persistent» не зрозумілий для загальновідомого користувача. Він також нічого не говорить про справжній термін зберігання, оскільки він не може бути нескінченним. Вказування «HTML» щодо типу файлів cookie безсенсо. Таких файлів немає. Зазвичай під цим терміном розуміють HTML Web Storage та у цьому контексті Local Storage (термін, який не повинен бути зрозумілим для звичайного користувача).
• Недостатньо інформації про захист даних: Для послуг Google Analytics, Google Tag Manager, YouTube Videos, DoubleClick, Google Dynamic Remarketing, Gravatar та Zendesk відсутні жодні описи в політиці захисту даних. Загалом навіть не згадується жоден використовуваний сервіс у політиці захисту даних. У окремій Cookie-Erklärung, яка однак з деяких сторінок недоступна через відсутність посилання, вказуються послуги, але тільки тоді, коли людина розуміє, що надання імені провайдера кожного cookie вважається послугою.
• Надзвичайно необхідні файли cookie: Як необхідні і тому не вибіркові називаються 28 файлів cookie. Можливо сумніватися, чи такі багато файлів cookie необхідні для мінімального функціонування вебсторінки.
• Надзвичайно складна можливість відміни згоди: У вікні згода не вказується на можливість відміни згоди. Крім того, спочатку необхідно відкрити сторінку з поясненням щодо файлів cookie і там серед тексту знайти посилання "Відмінити своє згодування" та кліктнути по ньому.
• Відміну не виконано повністю: при перезавантаженні сторінки вручну деякі з попередньо встановлених cookie ще існують. Це явно порушує законодавство, оскільки відміна була частково проігнорована. Лише служби, яким відмовлено у згоді, більше не завантажуються, окрім послуг Google Analytics, Google Tag Manager та Gravatar, які все ще завантажуються. Коли сторінки X знову відкривається і згоду надається знову, наприклад для Google Analytics, цей сервіс може використовувати попередньо встановлені cookie з попередньої сесії. Відслідковування користувача таким чином стає можливішим. У іншому випадку той самий користувач у цих двох сесіях офіційно (як вважають у Google) буде розцінений як два різних користувачі.
• Непідконтрольна cookie-опис: Для cookie _gat [x4] вказується мета: „Використовується Google Analytics для обмеження частоти запитів“. Ця заява навіть для фахівця в галузі інформаційних технологій непідконтрольна. Що стосується вказування [x4] після імені cookie залишається невідомим. Для cookie ads/ga-audiences вказується мета: “Використовується Google AdWords для відновлення відвідувачів, які ймовірно будуть перетворені на клієнтів згідно поведінки відвідувача в Інтернеті по всім сайтам.”. Німецький користувач не повинен розуміти англійську мову.
• Непевна класифікація послуг/кукі: У категорії Ринок згадується зокрема YouTube.
• Нав'язення фокусу на кукі замість послуг: Виглядає так, що вебсайт X вважає лише кукі чимось важливим щодо захисту даних: У запитанні щодо згоди немає інформації про використовувані служби; у політиці конфіденційності немає згадок про використовувані послуги; послуги, які на перший погляд не встановлюють жодних кукі, зовсім не згадуються.
• Незрозуміла презентація: Якщо користувач хоче переглянути всі інформацію в вікні згоди, йому потрібно пройти через дуже малий обсяг інформації, який навіть при великій роздільній здатності екрану залишається дуже малим. Це здається неприйнятним і тому, ймовірно, порушує законодавство.
• Недостатнє вказання щодо передачі даних до третіх країн: В запитанні щодо згоди відсутня інформація щодо використання послуг, які передають дані в треті країни.

Вебсайт Y

Вікно згоди вебсайту виглядає так:

Дослідження

• Незаконна попередня вибірка: Як показує малюнок, всі варіанти активовані. Пряме натискання кнопок «Дозволити вибірку» та «Погодитися на файли cookie» є рівнозначним і таким чином не дуже сприятливим для захисту даних.
• Недостатньо інформації щодо можливості відмінення: Як показано на малюнку, відсутній жоден попереджувальний знак про можливість відмінення.
• Неправильна назва файлів cookie: Детальна сторінка містить пояснення щодо файлів cookie, яке помилкове. Файли cookie з іменами /fileadmin/razor/Dist та /typo3temp/ за спостереженням сторінки Y не існують. Вміст їх не вказано, а лише описується як Anstehend. Це свідчить про те, що застосунок Cookiebot, яким користуються, не знає призначення цих файлів cookie. Інший файл cookie називається lang[x2]. Мабуть, мова йде про два файли cookie, але тільки один з них був згаданий у протоколі Cookiebot, а другий (ads.linkedin.com) був замовлений.
• Недостатньо інформації щодо файлів cookie: Як вже згадувалося раніше, відсутні описи цілей щодо файлів cookie.
• Немає згадки про файли cookie: зовсім не згадано, але згідно з тестуванням вебсайту Y однозначно використовуються файли cookie з іменами be_typo_user і be_lastLoginProvider.
• Завантаження інструментів без згоди: Під час завантаження вебсторінки Y та без жодного кліку відбувається завантаження послуг Google Maps, Facebook Connect, Calendly, Google Schriften, Podigee Podcast Player і Google Tag Manager. Facebook Connect встановлює без згоди файл cookie з ім'ям fr із терміном дії 3 місяці для домену facebook.com. Calendly встановлює без згоди файл cookie з іменем _calendly_session із терміном дії 21 тиждень для домену calendly.com.
• Незрозуміла презентація: Якщо користувач хоче переглянути всі інформацію в вікні згоди, йому потрібно пройти через дуже малий обсяг інформації, який навіть при великій роздільній здатності екрану залишається дуже малим. Це здається неприйнятним і тому, ймовірно, порушує законодавство.
• Недостатньо інформації про захист даних: На сайті Y відсутні будь-які дані щодо інструментів Cookiebot, Calendly та Podigy
• Неправильні вказівки щодо захисту даних: На сайті Y повідомляється, що інструмент consentmanager використовується для запитів згоди. Це помилка. Замість цього використовується Cookiebot.
• Недостаток можливості відмінити згоду: На сайті Y не було можливості знайти можливість здійснити відміну наданої згоди.
• Декларація про захист даних не доступна безпосередньо: при зверненні до декларації про захист даних вебсайту Y відкривається вікно підтвердження згоди, якщо раніше воно не було підтверджене. Таким чином, безпосереднє читання декларації про захист даних неможливо.
• Неправильна класифікація інструментів/кукі : Куки, що належать до Google Analytics, помилково приписуються Google Tag Manager. Ця помилкова відповідність безумовно виникла тому, що Google Tag Manager призначений для динамічного завантаження Google Analytics. Tag Manager є лише ініціатором процесу завантаження інструменту, який насправді встановлює та читає куки _ga, _gat та _gid.
• Недостатньо чітка ідентифікація провайдерів: Для провайдерів інструментів (які тут згадуються лише у вигляді файлів cookie) не вказується назва компанії. Це стосується всіх 29 згаданих файлів cookie на сайті Y.
• Недостаток вказівки використовуваних послуг: Використовувані послуги не згадуються в запиті на згоду на сайті Y (і якщо, то лише частково та лише непрямо у передбаченому призначенні для файлу cookie, див. Рисунок 68). Натомість інструмент Cookiebot на сайті Y зосереджується на файлах cookie.
• Неправильна вказівка провайдера: Для файлу cookie вказується DrawBridge як провайдер. Drawbridge були придбані у 2019 році компанією LinkedIn, але продовжують згадуватися в запиті на згоду на сайті Z як провайдер. Вебсайт DrawBridge перенаправляє користувача на сторінку LinkedIn (або був такий перехід до середини 2023 року, тепер вже ні). Якщо кліктнути по посиланню на Drawbridge, який показаний у зображенні, користувач потрапляє не на сторінку щодо захисту даних, як передбачалося, а на сторінку https://business.linkedin.com/de-de/marketing-solutions-b, яка містить лише рекламну інформацію, але жодних вказівок щодо захисту даних.
• Незрозуміла опис до файлів cookie: Описи до файлів cookie часто не зрозумілі для звичайного громадянин. Приклад файлу cookie bcookie від постачальника LinkedIn: „Використовується соціальним мережевим сервісом LinkedIn для спостереження за використанням інтегрованих послуг.“ Немає згадки про те, що саме під цим іменем розуміється та хто є постачальником._.
• Недостатнє вказання щодо передачі даних до третіх країн: В запитанні щодо згоди відсутня інформація щодо використання послуг, які передають дані в треті країни.

Вебсайт З

Вікно згоди вебсайту виглядає так:

Дослідження

• Завантаження інструментів та файлів cookie без згоди: При завантаженні сторінки Z і без жодного кліку відбувається завантаження послуг Google Ads, LinkedIn Analytics, YouTube Video, etracker разом із файлами від cloudflare.com. Сервіс etracker встановлює без згоди два файли cookie з терміном дії 2 роки, одне з яких на домені etracker.com. Сервіс LinkedIn Analytics встановлює без згоди шість файлів cookie з терміном дії між 1 добою та 2 роками, усі на домені linkedin.com.
• Відміщення можливості відмови: Кнопка відмови візуально відстоюється значно далі від кнопки прийняття. Це виглядає незаконним.
• Надзвичайно складна можливість скасування: У нижній частині сторінки Z знаходиться пункт меню під назвою Видалення. Цей вказує не на можливість скасування встановлених Cookie-налаштувань. Натомість, звернення до можливості скасування в Політиці конфіденційності відбувається у вигляді текстового посилання, яке знаходиться серед тексту.
• Відміна не виконана повністю: при перезавантаженні сторінки вручну встановлюється cookie et_coid, хоча для цього запитується згода. У одному з тестів відміна була виконана (окрім вказаного вище моменту). У іншому тесті відміна не була виконана після попередньої здійснення відміни та надання згоди на всі файли cookie.
• Незрозуміла презентація: Якщо користувач бажає переглянути всі інформацію в вікні згоди, йому потрібно пройти через дуже малий обсяг інформації, який навіть при великій роздільній здатності екрану залишається дуже малим. Це здається неприйнятним і тому ймовірно порушує законодавчі вимоги.
• Недостатньо інформації про надання послуг: Для всіх 16 вказаних на сайті Z файлів cookie не було вказано правильного провайдера. У кожного випадку відсутня інформація про компанію.
• Незрозуміла опис до Cookies: Описи до Cookies часто не зрозумілі для звичайного громадянин. Приклад: „Вмістить Base64-кодовані дані історії відвідувачів (є клієнт, підписник новин, ідентифікатор відвідувача, показані розумні повідомлення) для індивідуалізації (тільки при активації Cookie).“ У цьому конкретному прикладі опис також містить вказівку на те, що він діє лише тоді (або використовується тільки для індивідуалізації?), коли є Активація Cookie. Що саме під Активацією Cookie розуміється і чому ця умовна висловка існує, не зрозуміло.
• Неправильна вказівка провайдера: Для кукі вказується DrawBridge як провайдер (порівняти з цим сайтом X).
• Недостаток інформації про захист даних: Для Drawbridge, Google Tag Manager і Calendly відсутні обов'язкові вказівки в Політиці конфіденційності вебсайту Z.
• Неправильна назва файлів cookie: Вказується файл cookie з ім'ям et_coid[x2]. Мабуть, мова йде про два файли cookie, з яких лише одне було назване Cookiebot, а друге (за протоколом Cookiebot на сайті Z) було приховано.
• Декларація про захист даних не доступна безпосередньо: при зверненні до декларації про захист даних вебсайту Z з'являється вікно підтвердження згоди, якщо раніше воно не було підтверджено. Таким чином, безпосереднє читання декларації про захист даних неможливо.
• Недостатнє вказання щодо передачі даних до третіх країн: В запитанні щодо згоди відсутня інформація щодо використання послуг, які передають дані в треті країни.

CCM19

Знайдені вебсторінки, які використовують CCM19:

• ccm19.de
• crifbuergel.de
• hertie.de
• та ще одна (яка, можливо, буде згадуватися далі)

З деяких з цих вебсторінок було перевірено та згодом оцінено.

Вебсайт Л

Вікно згоди вебсайту виглядає так:

Дослідження

• Зниження видимості кнопки "Відхилити": Кнопка "Відхилити" візуально значно відстоюється від кнопки "Підтвердити". Це виглядає незаконним. Що саме відрізняє "Відхилити" від "Зберегти", не видно і тому є помилковим.
• Недостатньо інформації щодо категорій: Вебсайт L класифікує використовувані інструменти та файли cookie в Техн. необхідні / обов'язкові_, Аналіз та Personalisierung. Опис цих категорій відсутній повністю у запитанні на згоду.
• Неправильна інформація щодо послуг: Для Matomo пояснюється таке: „Збір даних для аналізу веб-трафіку, дані повністю анонізовані. Не зберігаються ідентифіковані дані, адреса IP скорочується до останніх 3 символів.“. Адреса IP дуже ймовірно не скорочуватиметься до останніх 3 символів, а скоріше так, що видаляються лише останні 3 символи. Інакше було б всього лише 256 можливих варіантів (тоді можна було б відмовитися від збору даних). Крім того, слід підозрювати, що дані при збереженні в Matomo повністю анонізовані. Перевірка показала, що навіть URL-параметри на сторінці L збираються за допомогою Matomo. У параметрах URL можуть бути наявні особисті дані. Приклад: https://www.anonyme-webseite-m.de/aus-versehen-eingefuegte-information_
• Завантаження інструментів без згоди: Без згоди завантажуються Google Schriften. Після Брекзита та без відповідного рішення також буде доданий OpenStreetMap. OpenStreetMap надається однією компанією у Великій Британії (UK).
• Немає інформації про захист даних: відсутня політика захисту даних для служби Google Schriften.
• Неприйнятні вказівки щодо захисту даних: Хоча згоду на використання служби Matomo запитується, у своїй політиці захисту даних вказується:"Правова підстава: Доцільний інтерес, ч. 6 ст. 1 п. ф ДЗВ“.
• Недостаток посилання на сторінку про захист даних: На одному з сторінок вебсайту L відсутнє посилання на сторінку про захист даних.
• Для вебсайту менше досліджень ніж для інших вебсайтів. Основною причиною є те що цей вебсайт використовує лише декілька послуг.

Вебсайт М

Вікно згоди вебсайту виглядає так:

Дослідження

• Неможливий вільний вибір: Як видно з малюнку, нема можливості прямої відмови. Це мені здається явно незаконним.
• Недостатньо інформації щодо можливості відмінення: Як показано на малюнку, відсутній помітний сигнал про можливість відмінення. Інформація щодо відмінення доступна лише після прокрутки тонкого паличка в правій частині вікна. Як вказує малюнок, представлення на смартфонах субоптимальне.
• Недостатньо чітка ідентифікація провайдера: Для використаного інструменту отримання згоди вебсайт вказує на видавця M як „XYZ AG“ (справжнє ім'я компанії було замінено на XYZ для захисту особи власника вебсайту). Адреса компанії не згадується.
• Недостатньо інформації щодо файлів cookie: Для деяких файлів cookie вказується термін життя англійською мовою. Приклади: 30 хвилин, Сесія. Для файлу cookie sid вказується термін життя у вигляді числа 1 (без одиниці виміру), але відсутня описова інформація щодо призначення цього файлу cookie. Для деяких файлів cookie здійснюється явно загальна назва. Приклад: ev_sync_@@XX8@@ Поки що різні файли cookie мають різне призначення (інакше можна було б використовувати лише один файл cookie, а не декілька) відсутня точна інформація щодо призначення загально вказаних файлів cookie. Натомість до цієї загальної назви як призначення вказується: „Файл cookie третього боку спеціально для торгівлі рекламними місцями, який синхронізує ідентифікатор користувача в Advertising Cloud з партнерською торгівлею рекламними місцями. Файл cookie створюється лише для нових користувачів і відправляє запит на синхронізацію після закінчення терміну дії.“ Глибший зміст цієї інформації буде неприйнятним більшості користувачів.
• Завантаження інструментів та файлів cookie без згоди: Без згоди завантажуються Google Tag Manager, Bing Ads, DoubleClick Ad Exchange та YouTube Video.
• Недостатнє вказування про файли cookie: деякі з використовуваних файлів cookie не згадуються на вебсторінці M, наприклад декілька файлів cookie першої сторони із терміном дії кількома тижнями до років. Також не пояснюється файл cookie _uetvid, який, ймовірно встановлений Microsoft Bing Ads (оскільки для цього інструменту пояснюється файл cookie _uetsid, назва якого майже ідентична до _uetvid).
• Недостатня класифікація послуг/кукі: Вебсайт М вказує три категорії: Технічні необхідні, Аналіз та Реклама / Ads. Для жодної з цих категорій немає опису. Google Analytics належить до категорії Реклама / Ads. Більшість людей вважали б цей інструмент належним до категорії Аналіз. З іншого боку, в категорію Аналіз потрапляє Microsoft Bing Ads, яке за назвою краще підходить до категорії Реклама / Ads.
• Недостатньо інформації про захист даних щодо використовуваних інструментів: У запитанні на згоду вказується посилання на сторінку з інформацією про захист даних щодо інструменту Microsoft Bing Ads. Посилання виглядає як https://about.ads.microsoft.com/en-us/resources/policies/remarketing-in-paid-search-policies і відноситься до англомовної сторінки, яка явно не підходить для німецького користувача.
• Недостатньо ефективна можливість відмови: Відмінити всі надані згоди однією кнопкою не можливо. Замість цього необхідно клікувати по кожній категорії окремо, після чого натиснути кнопку "Зберегти". Для цього необхідні три кліки після відкриття вікна згоди.
• Недостаткова описка використовуваних інструментів: До Microsoft Bing Ads пояснюється мета наступним чином: „Це є COOKIE, яке використовується Microsoft Bing Ads і є COOKIE слідкування. Він дозволяє встановити контакт із користувачем, який раніше відвідував вебсайт.“ Відсутнє розуміння служби з допомогою COOKIE. Що саме ця пояснення має значити, зрозуміти зможуть багато користувачів.
• Відміна не виконується: Відміна видаляє жодного з обов'язкових для згоди файлів cookie із пристрою користувача, навіть після ручної перезавантаження сторінки. Крім того, сторінка не перезавантажується, тому вже завантажені інструменти продовжують збирати дані.
• Декларація про захист даних не доступна безпосередньо: при зверненні до декларації про захист даних вебсайту M з'являється вікно підтвердження згоди, якщо раніше воно не було підтверджене. Таким чином, безпосереднє читання декларації про захист даних неможливо.
• Недостаток інформації про захист даних: Для Google Tag Manager і etracker відсутні будь-які вказівки в політиці захисту даних вебсайту M. Для деяких послуг недостатньо згадування, наприклад для Google Analytics: „Для аналізу вебсайту ця сторінка використовує Google (Universal) Analytics – це сервіс аналітики вебсторінок компанії Google LLC. Ця інформація необхідна для захисту наших інтересів щодо оптимізації надання послуг згідно зі статтею 6, пункту 1, частини першої статті літери f ДЗНП. Google (Universal) Analytics використовує методи, які забезпечують можливість аналізу використання вебсторінкою користувачем, наприклад файли cookie.“ відсутня інформація про адресу компанії Google LLC. Крім того, як підставу для використання інструменту вказується законне інтересе. Це суперечить факту, що для цього інструменту запитується згода.
• Незручна інформація щодо передачі даних у третій країні: Відсутня корисна інформація щодо цього в запитанні згоди для Facebook Pixel. Цитата: „Місце обробки даних: Facebook не надає інформації про місце обробки даних. Вірогідно Європа Ірландія._“ Інформація обов'язкова.

Вебсайт Н

Вікно згоди вебсайту виглядає так:

Дослідження

• Недостатньо інформації щодо можливості відміни: Як показує малюнок, відсутній жодний вказівник на можливість відміни. А в тексті, який відкривається лише після прокрутки, такий вказівник теж немає.
• Недостатнє представлення інформації: Як показано на малюнку, пояснення щодо отримання згоди доступні лише після прокручування. Палка прокручування праворуч від зображення настільки погано помітна, що вона може бути сприйнята як недоступна.
• Завантаження інструментів та файлів cookie без згоди: Без згоди завантажуються: Відео YouTube, etracker, DoubleClick Remarketing, Widget Twitter, Google Schriften, Google reCAPTCHA, Widget LinkedIn а також IFRAME з третього домену. Без згоди продовжують встановлюватися файли cookie із доменів youtube.com та doubleclick.net, які мають тривалість життя (як правило дуже довгу) більшу за сесію.
• Неправомірне відсування кнопки "Відхилити": Кнопка "Відхилити" візуально знаходиться далі від кнопки "Прийняти". Це виглядає (ще) неправомірно.
• Недостаток посилання на сторінку про захист даних: На одному з сторінок вебсайту N відсутнє посилання на сторінку про захист даних.
• Декларація про захист даних не доступна безпосередньо: при зверненні до декларації про захист даних вебсайту N відкривається вікно підтвердження згоди, якщо воно ще не було підтверджене раніше. Таким чином, безпосереднє читання декларації про захист даних неможливо.
• Недостаток інформації про захист даних: Для Google Schriften, DoubleClick Remarketing та Google reCAPTCHA відсутні будь-які вказівки в політиці захисту даних вебсайту N.
• Недостаток можливості відмінити рішення: навіть після тривалої пошуків на сайті N не було можливості знайти можливість скасувати попереднє надання згоди.
• Недостатньо чітка ідентифікація провайдера: Для використаного інструменту отримання згоди вебсайт N вказує як видавця „Papoo Software & Media Gmbh – CCM19 Cookie Consent Manager“. Не вказується адреса, натомість здається назва продукції („CCM19 Cookie Consent Manager“) замість назви компанії.
• Немає згадки про файли cookie: деякі з використовуваних файлів cookie не згадуються на сайті N, наприклад декілька файлів cookie, які встановлюються скриптами відео YouTube.
• Недостатньо інформації щодо файлів cookie: деякі файли cookie декларуються без вказання, але з псевдо-вказанням N.A. для всіх критеріїв (видавець, опис тощо).
• Недостатньо інформації щодо файлів cookie:* Для одного файлу cookie не вказується термін зберігання, а також його призначення. Для іншого файлу cookie під назвою ASP.NET_SessionId вказується термін зберігання у вигляді числа 0 (без одиниці виміру), але відсутня описова інформація щодо цього файлу cookie. Для деяких файлів cookie відбувається досить загальна назва. Приклад: _gat_gtag_UA_@@XX8@@. Поки що різні файли cookie мають різне призначення (інакше було б достатньо одного файлу cookie, а не декілька) відсутня точна інформація щодо цих загальних назв. Натомість до цієї загальної назви вказується таке призначення: „Використовується для регулювання частоти запитів. Якщо Google Analytics надається через Google Tag Manager, цей файл cookie отримує ім'я _dc_gtm_ .“. Ця інформація явно не підходить для пояснення призначення цього файлу cookie (або інструменту, який використовувався на вебсторінці N під час проведення CCM19) звичайному користувачеві.
• Недостатня класифікація послуг/кукі: Вебсайт N вказує три категорії: Технічні необхідні, Аналіз, Ринок , а також Реклама / Ads. Для жодної з цих категорій немає опису. Обичайному громадянину буде важко розібратися в різниці між Ринком і Рекламою / Ads. Google Analytics належить до категорії Ринок. Комусь із них хотіли б приєднати цей інструмент до категорії Аналіз.
• Недостатнє вказання щодо передачі даних у третій країні: Для деяких інструментів відсутня відповідь на запит про згоду. Вказування обов'язкове.
• Недостатнє ім'я видавця: На вікні згоди є посилання на Ім'я видавця. Коли ви клікаєте по цьому посиланню, відкривається порожній попап із заголовком Ім'я видавця.

Так!

Знайдені вебсторінки, які використовують _Кларо!:

• www.dillinger.de
• kiprotect.com
• digitale-helden.de
• та ще одна (яка, можливо, буде згадуватися далі)

З деяких з цих вебсторінок було перевірено та згодом оцінено.

Кляро! використовується, здавалося б, переважно на вебсторінках, де вже дуже багато уваги приділяється захисту даних та лише кілька інструментів застосовуються. Розповсюдження Кляро! не особливо високе. Тому далі будуть показані тільки результати для двох вебсторінок. Здається, оновлення ядра Кляро! не працює або не передбачено, бо різні реалізації вікна згоди Кляро! на різних вебсторінках виглядали дуже різними та у нових реалізації були краще оформлені.

Вебсайт П

Вікно згоди вебсайту виглядає так:

Дослідження

• Неправильна інформація щодо збору даних: Як показано на малюнку, здається, що тільки відвідувана сторінка збирає дані про користувача („… які дані ми збираємо про вас“) і не інші треті особи.
• Недостатньо інформації щодо можливості відміни: Як показано на малюнку, відсутній жодний вказівник на можливість відміни.
• Недостаток інформації про виконавця: відсутні ідентифікаційні знаки виконавця разом із інформацією про компанію для всіх послуг на сторінці з згодою.
• Недостаток вказівки використовуваних послуг та файлів cookie: Як показано на малюнку, відсутні всі згадки про використовувані послуги та файли cookie. Детальна інформація явно не доступна.
• Недостаток опису використовуваних послуг: Як показано на малюнку, відсутні всі описи використовуваних послуг.
• Непевна попередня активація інструменту: перед підтвердженням запитання щодо згоди, аналіз-служба etracker вже активована. Це випливає з політики конфіденційності, де цей сервіс позначений як активований за допомогою регулятора. У вікні згода ця налаштування не можна змінити.
• Недостатньо інформації про захист даних: Для служби DoubleClick відсутні жодні описи в політиці захисту даних (а також для Google Ads, можливого синоніма DoubleClick, не робляться ніякі заяви). Для служби Eloqua постачальник згадується в політиці захисту даних недостатньо як Oracle Marketing Cloud. Також в політиці захисту даних відсутні жодні конкретні вказівки щодо файлів cookie. Замість цього там знаходяться лише місця для заміни.
• Завантаження інструментів без згоди: При відкритті вебсторінки P і навіть без жодного кліку, завантажуються інструменти Google Maps, YouTube Video, Eloqua та DoubleClick. Для Google Maps та YouTube Video запитується згода за категоріями Maps та Video, але точно цього не можна сказати, оскільки описи послуг відсутні на вікні згода. Google Maps завантажується навіть без згоди і повністю працює, а вбудовані відео YouTube не видно, лише у вигляді сценарію відео YouTube завантажуються. Також завантажується etracker. У зв'язку з цим встановлюється cookie імені _et_coid із значенням, яке підходить для ідентифікації користувача і тривалістю дії двох років, а також доменом etracker.com. Це теж вимагає згоди, хоча ніде не вказується на наявність DPA тощо.
• Декларація про захист даних не доступна безпосередньо: при зверненні до декларації про захист даних вебсайту P відкривається вікно згоди, якщо воно раніше не підтверджувалося. Таким чином, безпосереднє читання декларації про захист даних неможливе.
• Декларація про захист даних недоступна: при першому зверненні до вебсайту P вікно згоди приховує всі посилання, навіть ті, що ведуть на декларацію про захист даних. Таким чином, ця дуже ймовірно вважається недоступною, оскільки після кліку за відмову від вікна згоди необхідні ще два кліки, тобто всього три кліка для звернення до декларації про захист даних. Дозволені лише дві кліки.
• Відміщення можливості відмови: Кнопка відмова має напис "Відмова" і візуально трохи відстоюється відносно кнопки прийняття. Це, ймовірно, порушує законодавство.
• Непевний натяк на обов'язкове відео: Якщо людина не погоджується на "відео", а відкриває сторінку з вкладеним відео, то на місці, де повинно було бути відео, з'являється повідомлення "Пожалуйста, активуйте куки, щоб побачити відео." Тут надається інформація про куки. Але відео не використовує відео (youtube-nocookie.com). Ніде на сайті P немає конкретних даних щодо використовуваних куки. Окрім того, відео можна цілком без куки показувати або відігравати.
• Неправильна функціональність у вікні згоди: У вікні згоди є функція одночасного активації всіх згод на використання наявна. Ця функція належить правильно бути деактивована, оскільки також категорії Analytics, Video та Maps мають бути спочатку неактивовані. Активація лише наприклад Analytics, автоматично активує також Всі активація. Це може бути або правопорушенням (якщо тоді всі згод на використання будуть активовані), або вводити в оману і не відповідати очікуванням користувача.
• Недостатнє вказання щодо передачі даних до третіх країн: У запитанні щодо згоди відсутня інформація щодо використання послуг, які передають дані в треті країни. Інформація обов'язкова.

Вебсайт Q

Вікно згоди вебсайту виглядає так:

Дослідження

• Недостатньо інформації щодо можливості відміни: Як показано на малюнку, відсутній жодний вказівник на можливість відміни.
• Неможлива вільна воля: Як видно на зображенні, неможливо здійснити прямий відхід. Це виглядає незаконним.
• Незаконне завантаження інструментів та файлів cookie без згоди: Без згоди завантажуються Google Maps, Google Fonts, Google reCAPTCHA, Google AdWords Conversion Tracking, KlickTipp, послуга оплати Paypal а також скрипт від betterplace.org і один від app.acuityscheduling.com.
• Недостаток інформації про захист даних: Для Google reCAPTCHA і Betterplace відсутні обов'язкові вказівки в Політиці конфіденційності вебсайту Q.
• Декларація про захист даних не доступна безпосередньо: при зверненні до декларації про захист даних вебсайту Q відкривається вікно згоди, якщо раніше воно не було підтверджене. Таким чином, безпосереднє читання декларації про захист даних неможливо.
• Недостаток інформації про постачальника: Коли ви клікаєте на кнопку "Konfigurieren…" у вікні згоди зображення 49, відкривається список програм. У початковому вигляді показані програми не видно. Для всіх послуг (у цьому випадку називаються «Програмами») відсутня інформація про постачальника.
• Непевна вказівка щодо необхідних зборів даних: У вікні згоди йде мова про зберігання налаштувань цієї програми. Визначення вебсторінки як програми, можливо, не зовсім помилкове, але для звичайного громадянин відрізняється від розуміння.
• Недостаток вказівки щодо файлів cookie: ні в вікні згоди, ні в політиці конфіденційності вебсайту Q немає конкретних даних щодо файлів cookie, як їх назва або тривалість дії.
• Декларація про захист даних не повністю доступна: при першому зверненні до вебсайту Q вікно згоди приховує всі посилання, навіть ті, що ведуть на декларацію про захист даних. Таким чином, вона може вважатися недоступною.
• Недостатнє вказання щодо передачі даних до третіх країн: У запитанні щодо згоди відсутня інформація щодо використання послуг, які передають дані в треті країни. Інформація обов'язкова.

OneTrust / Optanon / Cookie Law

Optanon був придбаний OneTrust, тому ці інструменти повинні бути розглянуті разом. Продукт також відомий під назвою Cookie Law, тому цю форму теж слід розглядати разом.

Знайдені вебсторінки, які використовують _OneTrust:

• euronics.de
• Спрингер.ком/де
• kiya.com/ua
• та ще одна (яка, можливо, буде згадуватися далі)

З деяких з цих вебсторінок було перевірено та згодом оцінено.

Загальний висновок

ОneTrust – це інструмент згоди, який використовує ресурси з ненадійного третього світу.

ОneTrust завантажує ресурси з домену onetrust.com. Ця домена видається американським підприємством та надає вміст із сервера в США. За повідомленням про конфіденційність домену onetrust.com, постачальник знаходиться як у США, так і в Сполученому Королівстві (Велика Британія). Якщо місце розташування США вірне, то ОneTrust вже з самого початку не підходить для використання як рішення щодо виконання вимог GDPR щодо отримання згоди. Для використання OneTrust раніше необхідно було б отримати згоду на використання цього інструменту, що виглядає досить дивним. За повідомленням про конфіденційність вебсайту W, постачальник OneTrust знаходиться у Великій Британії та відповідно до чинності з 01 січня 2021 року не потрапляє під дію GDPR. На момент 21 грудня 2020 року ще не було ухвалено рішення щодо відповідності Великої Британії вимогам GDPR, тому вона вважається країною з ненадійним захистом даних (на момент 28 грудня 2020 року діяла перехідна період з чотирма або шістьма місяцями протягом 2021 року після якої Велика Британія без рішення щодо відповідності вважалася країною з ненадійним захистом даних).

онтрust.com_ не має належного контактної інформації та відповідньої інформації про відповідальну особу щодо обробки даних, тому сам постачальник себе виключає з роботи.

Лав WHOIS-Інформація домена onetrust.com зареєстровано у компанії Namecheap Inc. (з вказанням вебсайту namecheap.com). Лав сторінці namecheap.com, це американське підприємство. У даних WHOIS також вказано, що реєстратором є компанія в Панамі, щоб приховати справжнього реєстратора:

---

Ще один привід, щоб не використовувати OneTrust.

Вебсайт У

Вікно згоди вебсайту виглядає так:

Дослідження

• Завантаження інструментів без згоди: Під час завантаження сторінки U та без жодного кліку відбувається завантаження інструменту OneTrust (див. вище). При цьому відбувається виклик адреси geolocation.onetrust.com, яка здійснює геолокацію поточного користувача і повертає дані про розташування. Геолокація у контексті запитів щодо згоди може бути виправдана лише тим, що згоду запитується тільки від осіб, які згідно з їх IP-адресою знаходяться в законодавчому просторі DSGVO. Однак це помилка, оскільки діє принцип ринку, згідно якого будь-яка сторінка зобов'язана дотримуватися вимог DSGVO, якщо вона звертається до ринку, який підлягає регулюванню відповідно до DSGVO. Окрім цього, геолокація за допомогою IP-адреси тощо ніколи не може бути надійною. Крім того, користувач може використовувати проксі для приховування свого розташування (що дозволяє зробити законно). Після здійснення геолокації створюється файл cookie на 30 днів, в якому зберігаються результати геолокації. Ця інформація дуже ефективна для ідентифікації та слідкування за користувачами (у поєднанні з їх IP-адресою та/або Device Fingerprints).
• Неможлива вільна воля: Як видно на зображенні, неможливо здійснити прямий відхід. Це виглядає незаконним.
• Недостаткова описка інструментів: У запитанні згоди на вебсайті U багато даних не зовсім зрозумілі, неповні або написані англійською мовою. Наступні термінології є не дуже зрозумілими, субоптимальними чи непідконтрольними: „Хост“: Що саме означає цей термін?; „Тривалість: 4 роки“: Що саме таке?; Тип: 3-тя Сторона“: Що саме таке?; Опис на англійській мові: Непідконтрольний для німецького читача без знання англійської мови.
• Неправильна класифікація файлів cookie: файли cookie не повинні бути розрізняними за технічними критеріями, а за фаховими, для користувача важливими критеріями. Тут провалюється OneTrust: Файл cookie з ім'ям OptanonConsent, який встановлює OneTrust, є чисто технічним файлом cookie першої сторони. За фаховим змістом він явно є файлом cookie третього боку. Причина: Файл cookie встановлюється і читаєсь із скрипту OneTrust, яке завантажується з сервера третього боку.
• Непевна описка щодо категорій куків: Є від OneTrust здається надана категорія для куків – Ліцензійні-куки. Цей термін загалом не поширен, хоча б відомий авторові, але не увійшов до мовного обігу. Як описання цього дає запитання щодо згоди на використання вебсайту U довгий, досить неприйнятний текст.
• Недостаток інформації про провайдера: відсутня будь-яка інформація щодо послуг, які використовуються. Провайдер послуг називається . Awin. У вікні з згодою нічого подібного не знайдеш. Також ніщо подібне немає в Політиці конфіденційності сторінки U. На думку автора, Awin це платформа реклами. Вона ніяк не пов'язана із зазначеною категорією .Leistungs-Cookies.
• Недостаток інформації про файли cookie: Для багатьох файлів cookie в запиті на згоду щодо використання сторінки відсутня опис.
• Недостатнє вказування про використання файлів cookie: мінімум одне файлу cookie (Facebook-Pixel, ім'я: _fbp) встановлюється, але не згадується в політиці щодо файлів cookie вебсайту U.
• Недостатки щодо захисту даних: У політиці захисту даних вебсайту U відсутні численні дані щодо використовуваних послуг. Здається, описи всіх послуг були "забуті" або виведені з контексту вікна попередження про файли cookie, яке можна досягти за посиланням із політики захисту даних. Нажаль, багато інформації відсутні в цьому вікні попередження про файли cookie, тому вони повністю відсутні, хоча повинні бути обов'язковими. Причина цього очевидно полягає у виборі політики захисту даних, яка зосереджена на файли cookie, що призводить до проблем.
• Недостатньо ефективна можливість відмови: окрім того, що можливість відмови майже непомітна, вона містить суттєві недоліки, які не підходять користувачеві. Власне відмовитися від усіх наданих згод на використання однієї кнопкою неможливо. Замість цього необхідно окремо клікувати на кожну "категорію cookie", після чого відбувається ручна деактивація кожного типу. Для цього необхідні 8 кліків. Коли людина відмовляється від однієї категорії, миттєво з'являється кнопка "Дозволити всі cookies". Похоже, що більше уваги було приділено отримання згоди ніж відмові або відмові від неї.
• Відкликання не здійснюється миттєво: Після відклику всіх згод на використання всі попередньо встановлені файли cookie ще існують. Вебсторінка не перезавантажується. Тому слід вважати, що вже завантажені послуги, такі як Google Analytics, ще активні.
• Відміну не виконано повністю: при перезавантаженні сторінки вручну ще завжди наявні всі файли cookie, встановлені до відміни. Це явно порушує законодавство, оскільки відміна частково проігнорувалася. Лише служби, яким відмовлено у згоді, більше не завантажуються знову. Якщо перезавантажити сторінку U знову та згодом знову дати згоду, наприклад для Google Analytics, цей сервіс зможе використовувати наявні файли cookie зі попередньої сесії. Відслідковування користувача таким чином буде ще краще можливим. У іншому випадку той самий користувач у цих двох сесіях офіційно (як вважають у Google) буде розцінений як два різних користувачі.
• Недостатнє вказання щодо передачі даних до третіх країн: У запитанні щодо згоди відсутня інформація щодо використання послуг, які передають дані в треті країни. Інформація обов'язкова.
• Декларація про захист даних не доступна безпосередньо: при зверненні до декларації про захист даних вебсайту U з'являється вікно підтвердження згоди, якщо раніше воно не було підтверджено. Безпосереднє читання декларації про захист даних на більших екранах можливе лише обмежено, а на менших зовсім ні.

Вебсайт В

Вікно згоди вебсайту виглядає так:

Дослідження

• Як зображено на малюнку, вказівки зроблені англійською мовою, хоча вебсайт В представляє себе німецькою мовою.
• Недостатньо інформації щодо можливості відміни: Як показує малюнок, немає жодних вказівок щодо можливості відміни (англійська версія "You can manage your preferences…" вважається відсутньою для німецького читача).
• Неможлива вільна воля: Як видно на зображенні, неможливо здійснити прямий відхід. Це виглядає незаконним.
• Завантаження інструментів без згоди: Під час завантаження сторінки V і без чогось клікнути, завантажується інструмент згода OneTrust. Крім того, завантажуються такі багато інструментів без згоди, що тут тільки деякі з них згадані: Google Tag Manager, Facebook Connect, Google Analytics, Hotjar, Twitter Analytics, DoubleClick, Outbrain, Adscale, ShareThrough. Також завантажуються декілька файлів cookie без згоди, серед яких файли cookie від Google Analytics, Facebook Connect і Hotjar
• Недостаток інформації про надання послуг: На сторінці В відсутня інформація щодо всіх використовуваних інструментів та файлів cookie, які були використані під час відвідування сторінки. Замість цього надається список імен файлів cookie.
• Недостаткова описка щодо файлів cookie: відсутня будь-яка інформація про файли cookie (окрім назви).
• Недозволена попередня заповнення: хоча на сайті В було здійснено звернення, нічого не натискаючи і хоча запит про згоду ще видно на екрані, вже зроблені попередні заповнення для згоди щодо подальших дій.
• Відсутність можливості відмінити рішення:
• Натомість відмова можливості, вебсторінка V у політиці щодо файлів cookie на англійській мові: „Центр керування конфіденційністю можна відкрити шляхом звернення через банер, який виводиться при першому відвідуванні сайту або після очищення файлів cookie. Він дозволяє переглянути групи файлів cookie, які ми зберігаємо (як вказано вище у „Як ми використовуємо файли cookie“), та керувати активністю файлів cookie для цих груп_
• Недостаток інформації про захист даних: Для деяких послуг, наприклад для WebTrekk, відсутні жодні вказівки в політиці захисту даних на сайті V. З огляду на велику кількість використовуваних інструментів та те, що політика захисту даних доступна тільки англійською мовою, було відмовлено від більш глибокого вивчення цієї проблеми.
• Недостатнє вказування про використання файлів cookie: мінімум одне файлу cookie (Google Analytics, ім'я: _gcl_au) встановлюється, але не згадується в кошику Cookie сторінки V.
• Недостатнє вказання щодо передачі даних до третіх країн: У запитанні щодо згоди відсутня інформація щодо використання послуг, які передають дані в треті країни. Інформація обов'язкова.

Вебсайт В

Вікно згоди вебсайту виглядає так:

Дослідження

• Неможливий вільний вибір: Як видно з малюнку, нема можливості прямої відмови. Вибір можливості відмови („Змінити“) також фізично відстоюється. Це виглядає незаконним.
• Непевна фокусування на файл-коці: Як видно з малюнку, для обов'язкових дій посилання вказують на файли-коці. Це в собі неправильно, бо обробка даних може бути обов'язковою навіть без файлів-коців. Крім того, у малюнку не помітне, що текстом Дізнатися більше пов'язана Декларація про захист даних, яка знову ж таки помилково називається Правила захисту даних та файлів-коці. У декларації про захист даних вказується на „файли-коці та подібні технології“, що свідчить про те, що фокусування на файли-коці навіть від розробника сайту вважається неповним.
• Завантаження інструментів без згоди: Під час завантаження сторінки В та без жодного кліку відбувається завантаження інструменту згода OneTrust. Крім того, без згоди завантажуються такі інструменти: Google Maps, Facebook Connect, Google AdWords Conversion Tracking, YouTube Video. Також без згоди завантажуються деякі файли cookie, серед яких файли cookie від Google AdWords Conversion Tracking та YouTube Video. Для прикладу щодо YouTube Video вказується в privacy policy сторінки В американський провайдер.
• Декларація про захист даних не доступна безпосередньо: при зверненні до декларації про захист даних вебсайту W відкривається вікно згоди, якщо раніше воно не було підтверджено. Таким чином, безпосереднє читання декларації про захист даних неможливе.
• Недостатньо інформації про надання послуг: надто багато файлів cookie – можливо, усі вони, але через велику кількість їх не вдалося перевірити – надається недостатньо інформації про надання послуг. Немає назви надання послуг. Доброзично можна вважати вказування Host як неповну назву надання послуг.
• Неприйнятні дані про файли cookie: Файл cookie VISTOR_INFO1_LIVE описаний англійською мовою. Для німецького ринку це недопустиме. Як Art вказано 3rd Party, що теж не зрозуміле. Як Dauer вказано 7985.5 years. Поряд із неприйнятною англійською мовою, також відсутній правильний десятковий знак згідно з німецькими нормами.
• Непевна описка щодо файлів cookie: Для файлу NID нада опис у вигляді безсумнівного повідомлення (цитата): „Цей домен належить компанії Google Inc. Хоча Google переважно відомий як пошуковий сервіс, компанія надає різноманітну продукцію та послуги.”. Для файлу ga вказується призначення: „Це файл cookie призначений для розпізнавання відвідувачів.“. Для файлу utma вказується призначення: „За допомогою цього файлу cookie ми можемо встановити, чи людина вже відвідувала наш вебсайт чи ні.“ Обидва файли cookie пов’язані з політикою конфіденційності Google Analytics. Чому потрібні два файли cookie для розпізнавання відвідувача залишається непоясним.
• Недостаток інформації про захист даних: мінімум для служби DoubleClick відсутні будь-які вказівки в політиці захисту даних на сайті W та вікні згоди.
• Недостаток можливості відмінити рішення: навіть після тривалої пошуків на сайті W не було знайдено можливості відмінювати рішення. Замість цього в Політиці конфіденційності деяких послуг вказані посилання на сторінки постачальників, за допомогою яких можна відмовитися від збору даних (за кожним сервісом та постачальником).
• Недостатнє вказання щодо передачі даних до третіх країн: У запитанні щодо згоди відсутня інформація щодо використання послуг, які передають дані в треті країни. Інформація обов'язкова.

Висновок

Вищі згадані недоліки повинні говорити самі за себе. Моя перевірка була лише наполовину інтенсивною. Більш детальна перевірка, ймовірно, ще більше проблем розкриє, наприклад, якщо розібратися з умовами використання даних окремих інструментів, які надаються на індивідуальних сторінках, що були перевірені.

Всі інструменти отримання згоди демонструють при реалізації досить серйозні недоліки. навіть багато хто з розробників інструментів отримання згоди не можуть самостійно створити вебсторінку, яка відповідає вимогам GDPR.

Найкраще не використовувати звичайні інструменти отримання згоди, а скоріше тільки ті інструменти, які не потребують згоди або про яких вже відомо, яким чином зібрані дані будуть використовуватися.

Більші компанії повинні створити власну рішення щодо згоди. Це може бути правовірним проти матеріалу, який мені здається непридатним для продажу тисяч разів.

Бет на 100 євро

Я був трохи сміливим і запропав першому собі повідомленому власнику вебсайту 100 євро зі свого особистого капіталу, якому належить на своїй сторінці одні з перевірених інструментів згоди та дотримується майже всіх вимог (не зовсім точно, але досить!). Як умову вважається те, що необхідно встановити достатню кількість (більше трьох) необхідних популярних інструментів згоди на сторінці. Якщо їх буде саме три, я розгляну цю ставку і візьму її до уваги. Сторінка повинна існувати вже декілька місяців у своїй основній формі. Немає можливості швидко створити сторінку для цієї ставки.

Я ставлю на те, що ніхто не зможе показати правомірну рішення щодо згоди для подібних вебсайтів. Не йдіть мені на помилку з однією комою, а саме про більші недоліки. У соціальних мережах я вже оголосив свій ставку і чекаю тих, хто зможе показати якусь сторінку, навіть якщо вона не власна. Будь ласка, зверніться до мене за допомогою електронною поштою.

Ця ставка триват до 30 червня 2021 року

Предложення до рішення

Через вільні інструменти від Google та інших нас усі вивели на зловісну дорогу. Працює добре, але захист даних поганий, називаю так.

Мій пропозиція щодо вебсайтів, що відповідають вимогам ДSGVO з мінімальним навантаженням, ніж спробувати зробити неможливе можливим (див. Практичний тест інструментів згоди):

• Аналіз усіх використовуваних інструментів
• Видалення всіх не потрібних інструментів
• Шрифти та бібліотеки JavaScript, а також зовнішні зображення локалізувати
• Альтернативи для критичних інструментів використовувати
• Хто подумає про запитання щодо згоди, краще ще раз спить (дивіться мою перелік перевірок)