OneTrust är en så kallad samtyckeslösning för webbplatser. Leverantören kommer från USA, eller Storbritannien, vi vet inte riktigt. Verktyget har andra fallgropar förutom platsfrågan. CookieLaw och Optanon är avknoppningar från OneTrust.
Inledning
Ett Consent Tool, ofta även kallat Cookie Consent, infogas på en webbplats för att uppfylla dataskyddsförordningen. Så länge teorin håller. I praktiken ser det annorlunda ut. Det gäller särskilt för OneTrust, eftersom leverantören verkar ha en flexibel plats.
Ett verktyg från OneTrust har dock ännu fler svagheter. Innan jag går vidare: Att använda detta verktyg, förefaller nästan att vara en rättshövande webbplats. Jag förklarar direkt vad jag menar med det.
OneTrust har tydligen tidigare övertagit leverantörerna Optanon och Cookie Law. Alla tre dåvarande leverantörer är idag enligt min uppfattning samlade under OneTrust. Detta märks bland annat av de filer som konsentverktyget använder.
En undersökning av alla de konsensusverktyg jag känner till har jag genomfört några veckor sedan och Cookiegeddon gett namn åt den på grund av att resultatet så illa slutade.
Flexibel begäran om samtycke
Liksom med Google-koncernen vet man inte riktigt vilka företag som hanterar de data som man lämnar åt dem. Som ovan nämnts anger OneTrust två lokationer men nämner direkt ingen huvudansvarig. Lokationen USA är högproblematisk (osäkert tredjeland, se Artikel 44 GDPR). Lokationen UK är sedan Brexit inte längre den bästa när det gäller dataskyddsrättigheter. För tillfället har en övergångsperiod satts in. Hur det fortsätter vet ingen. Uppdatering: Det Förenade Kungariket fick ett proportionalitetsbeslut från EU. Men
Inga mer flexibla än platsen för leverantören är faktiskt frågan om samtycke själv. OneTrust använder en så kallad Geolokation, för att bestämma från vilket land den aktuella besökaren på webbplatsen kommer ifrån. För detta händer i vissa versioner av OneTrust att adressen https://geolocation.onetrust.com/cookieconsentpub/v1/geo/location anropas. De data som vid geolokationen upptäcks och överförs till den webbplats som besökaren just nu besöker är särskilt:
Bara detta ser allt annat än integritetsvänligt ut och inger inte precis förtroende för ett samtyckesverktyg. Lokaliseringen var ganska exakt i mitt test, även om den inte var särskilt exakt. Den plats som bestämdes var cirka 12 kilometer fågelvägen från min faktiska plats.
Den 20 januari 2021 utdömde Europeiska kommissionen ett straffbelopp på 7,8 miljoner euro till följd av ogiltiga geoblocking-praktiker.
Om användaren tillhör Tyskland får han en vollwertiga Consent Abfrage. Vollvärdig betyder här bara att OneTrust gör allt som är möjligt med verktyget. Och det är tyvärr inte mycket.
Om användaren uppges vara från vissa andra länder, kan det möjligen inte ens visas någon samtyckessida. Det skulle i sig vara rättssäkert och skapa allvarliga problem med integritet, som man lätt kan bevisa. Jag kunde inte reproducera den landberoende utspelningen, men jag antar att det är så. I vilket fall som helst är en ganska detaljerad geolokalisering av en användare genom ett samtyckesverktyg i sig högst tvivelaktig.
Om man kallar upp en webbplats som har blivit manipulerad av OneTrust i den dataskyddsvänliga Tor Browser, visas inte samtyckessidan. Det kan också vara på grund av Säkerhetsinställningar i webbläsaren:
En samtyckeslösning måste naturligtvis vara utformad så att även om "lösningen" inte fungerar, hittas en GDPR-compliant webbplats. I det värsta fallet skulle i själva verket inget verktyg laddas ned. Med OneTrust händer dock i det värsta fallet att samtyckesverktyget inte laddas ned, vilket leder till att alla verktyg som kräver samtycke direkt laddas ned. Den så kallade cookiesperran är i själva verket tänkt för att läsa in problematiska verktyg och inte för att minska befintliga problem.
Orsaken är att OneTrust sätter sig "överst". Istället för att laddningsanvisningarna på webbplatsen för inbundna verktyg anpassas i princip, försöker man undertrycka laddningen av verktygen. Får man sedan Underdräktaren (konsentverktyget) saknas, undertrycks ingenting.
Det finns inga ursäkter för detta. Varje webbplats måste utformas på ett sådant sätt att obehörig dataöverföring är utesluten från början och tills vidare.
Datahämtning från ett osäkert tredje land?
Det som försvårar saken är att för att bygga upp fönstret för samtycke krävs domänen onetrust.com. Det verkar bero på utformningen respektive versionen av OneTrust och har nog med att göra med verkets ambivalens (se ovan: Optanon, Cookie Law).
Enligt WHOIS-förfrågan är domänen onetrust.com registrerad av ett företag med säte i Panama:
För domänen användes ett så kallat WhoisGuard som döljer den verkliga identiteten av domäninnehavaren. För detta ansvarar i tvivelagen webbplatsansvarige, som använder OneTrust. Se Artikel 12 GDPR (transparent information). Mycket nöje med att upptäcka vem domäninnehavaren av onetrust.com är, om någon en gång frågar och begär utredning.
I ett fall är domänen tillhörande företaget OneTrust, LLC (se webbplatsens fotnot). Rättsformen visar att det är ett amerikanskt företag. ([1])
Datatransfer till USA är utan medgivande olagliga. Se Artikel 44 GDPR samt domen från EU-domstolen om Privacy Shield . ([1])
När webbplatsen onetrust.de besöks laddas Google Tag Manager utan samtycke (från och med: mars 2022). Detta verkar olämpligt för mig med tanke på Googles överdrivna databehandling.
Lag om Cookies
En del av Onetrust är Cookie Law. Verktyget har tydligen överförts från OneTrust och tekniskt sett är det i stora delar identiskt med OneTrust. När jag provade att hämta en webbplats som använder Cookie Law, hämtades IP-adressen 104.16.148.64 för att ladda in Cookie Law -skriptet. En IP-platsdienst placerar denna nätverksadress på följande sätt:
Det tycks vara ett datautlämnande som har samband med USA, ett osäkert tredje land. Detta är enligt artikel 44 i GDPR utan samtycke problematiskt.
Om samtycke krävs för en begäran om samtycke är nyttan av tjänsten för den begäran om samtycke som kräver samtycke nära noll.
OneTrusts fönster för samtycke
Utseendet och innehållet i OneTrust kan verkligen anpassas. Jag har valt ett slumpmässigt exempel som ser ut så här:
I mitt praktiska test av populära verktyg för samtycke finns det två ytterligare exempel på OneTrust.
Meddelande om avbokning
Som ni ser är teckenstorleken ganska liten och textmängden på den första bilden är ganska stor. Detta skulle kunna kritiseras (om du någonsin hamnar i domstol eller har att göra med en tillsynsmyndighet). I vilket fall som helst är det skrivet:
Med hjälp av de nedanför stående knapparna kan du bestämma dina cookie-preferenser, som du alltid kan ändra när du besöker vår webbplats.
Detta är inte ett juridiskt säkert avbokningsbesked:
- De "intilliggande knapparna" finns inte längre kvar efter att du har gett ditt samtycke, eftersom fönstret trots allt stängs
- För mig är ändring och annullering två olika saker
- Där ångerrätt kan kallas in, nämns inte, men enligt artikeln 7 i GDPR är det föreskrivet.
Avvisa istället för att samtycka
Hur man kan se i Consent Popup är en avvisning inte direkt möjlig. Detta tycker jag redan är lagstridigt. Se till Artikel 4 Nr. 11 GDPR och den Motiverade punkt 42: „Det bör bara antas att hon har givit sitt samtycke frivilligt, om hon har en riktig eller fri valmöjlighet och därmed kan avvisa eller dra tillbaka sitt samtycke utan att drabbas av nackdelar“.
Otillräcklig information
Det finns så många falska påståenden och missvisande framställningar att endast ett urval kan följa här. Exempel ett:
Vem tror du att Leverantör av __cfduid är? Såvitt jag vet, är onetrust.com ingen företagsangivelse.
Är __cfduid faktiskt ett Cookies, en tjänst eller ett Ting? Man måste ju säga att man får veta vad det är efter att man klickat på Visa Cookies. Men med andra ord så menas nog Cookies. Vad är då den tjänsten (det verktyg) som detta Cookies tillhör?
Vad betyder "4 år"? Jag förstår det, men en tysktalande medborgare måste inte kunna engelska.
Beskrivningen finns också på engelska och är därmed inte tillgänglig.
Vem som helst vet inte vad 3rd Party betyder, bara någon som jobbar med dataskydd.
Exempel nummer två:
Jag är inte säker på om namnet S är rätt. Ett cookie från Google med detta namn har jag inte sett tidigare. Med en begäran om kontakt, om det officiellt finns ett sådant cookie.
Försäljare och syftet saknas igen. Istället för att skriva Sitzung, används det engelska begreppet Session.
Information om huruvida data överförs till osäkra tredje länder saknas också, liksom information om den tillhörande tjänsten.
På detta sätt kan nästan varje förklaring från OneTrust kritiseras. Jag är på denna punkt så sträng, som jag enligt min mening också skulle vara i domstol.
Lastning av verktyg utan tillstånd
Kronan för ett samtyckessystem: Den uppenbarligen säkra webbplatsen laddar in ett verktyg utan samtycke, som kräver samtycke. Det blir ännu värre när det samtyckessystemet faktiskt frågar om samtycke för ett verktyg och trots detta laddas in verktyget utan samtycke. Ett exempel på detta är ett YouTube videospel, även med Cookies. Det som hade kunnat förhindras med kakorna…
Sammandrag
EttOneTrust suckar och skadar mer än det gagnar, är min åsikt. Det vågar jag också skriva på grund av att leverantören själv inte lyckas med sitt eget verktyg. Här är beviset för webbplatsen onetrust.de, som efter språkval Deutsch kallas upp på onetrust.com:
Bildskärmen visar åtminstone följande fel:
- Kakan _ga klassificeras som ett förstapartiets kaka. Det är endast från en teknisk synvinkel rätt och intresserar utom mig och några andra ingen. Dataskyddslagstiftningen använder sig av Google Analytics för att använda kakorna.
- Vi är på den tyskspråkiga webbplatsen. Trots det är de beskrivningar övervägande på engelska.
- Försäljningsnamnet saknas igen
- Beskrivningen saknas, eftersom den är på engelska och därmed syns som otydlig för en tysktalande läsare
- Uppgifterna är oklara: 1 år, första parten
Man kan knappast göra mycket mer fel i en samtyckesförfrågan.
Avknoppning av OneTrust
Optanon och cookie lag har tydligen överförts till OneTrust och är tekniskt nästan lika med OneTrust.
Enligt mina observationer är den enda skillnaden de tekniska detaljerna för det första anropet av samtyckesverktyget. Var och en av de tre avknoppningarna använder sitt eget identifikationsnummer och sin egen typ av teknisk implementering för att definiera denna identifikation.
Här två exempel. Först definitionen av cookie-id från Cookie Law, som den ofta kallas:
consent2.setAttribute('data-domain-script', 'xxxxxxxxx-xxxx-xxxx-xxxx-xb97-xxxxxxxxxxxx');
Istället för x-tecknet är i den riktiga identifieringen hexadecimaltal kodade.
För Optanon ser tekniska implementeringen av ID ut så här:
<script type="text/javascript" src="[https://cdn.cookielaw.org/consent/xxxxxxxx-xxxx-xxxx-x752-](view-source:https://cdn.cookielaw.org/consent/d5bb5995-9e5d-4971-a752-c49709ede890-test/OtAutoBlock.js)xxxxxxxxxxxx\-test/OtAutoBlock.js"></script>
För Cookie First finns det faktiskt en viss likhet, även om de huvudsakliga datumen verkar vara strukturerade på ett annat sätt än vid OneTrust. ID:n har i alla fall samma uppbyggnad.
<script src="[https://consent.cookiefirst.com/banner.js](view-source:https://consent.cookiefirst.com/banner.js)" data-cookiefirst-key="xxxxxxxx-xxxx-xxxx-x225-xxxxxxxxxxxx"></script>
Efter att ID:n har blivit fastställd, oavsett hur det sker, hämtas data för visningen av samtyckes-fönstret. Detta verkar alltid ske på samma sätt. Returvärdet och strukturerna i resultatet var i alla fall lika under mina tester för OneTrust-utvecklingar.
Allt som gäller för OneTrust gäller också enligt min erfarenhet för Optanon och Cookie Law. Logiken i mitt verktyg, som kan automatiskt läsa ut consent-frågor på webbplatsen, är i alla fall likadan för dessa två varianter så snart Cookie-ID har fastställts.
Slutsats
Den som använder OneTrust på sin webbplats har felaktigt blivit rådgivet eller haft otur vid sökningen. Lyckligtvis kan nästan alla fel korrigeras. Det bästa är att snabbt anpassa webbplatsen och ta bort OneTrust.
Efter det är värt att tänka på vilka verktyg som faktiskt fortfarande behövs welche Tools wirklich noch benötigt werden.
Vill ni själva undersöka om ert samtyckesverktyg kan vara rättsligt korrekt? Då titta på min checklista för frågor om samtycke på webbplatser.
Om du vill spara dig arbete, läs först artikeln fem skäl till varför cookie-popups inte kan vara pålitliga. Där hittar du fakta och bevis för denna påstående.
Det kommer snart att finnas ett verktyg som kan användas för att generera en förfrågan till berörda personer för webbplatser med samtyckesverktyg. Denna förfrågan kommer att innehålla eventuella brister som hittats samt tvivelaktiga texter. För populära samtyckeslösningar levererar verktyget en välgrundad förfrågan från den registrerade, inklusive den nödvändiga rättsliga grunden, praktiskt taget med en knapptryckning.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.