Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

OneTrust: Consent Tool mit großen Tücken

0

OneTrust ist eine sogenannte Einwilligungslösung für Webseiten. Der Anbieter stammt aus den USA, oder aus UK, das weiß man nicht so genau. Das Tool hat neben der Standortfrage noch andere Tücken. CookieLaw und Optanon sind Ableger von OneTrust.

Einleitung

Ein Consent Tool, oft auch als Cookie Consent bezeichnet, wird auf einer Webseite eingebunden, um Datenschutzregeln einzuhalten. Soweit die Theorie. In der Praxis sieht es anders aus. Das gilt vor allem für OneTrust, weil der Anbieter einen flexiblen Standort zu haben scheint.

OneTrust hat aber noch weit mehr Schwächen. Um es vorwegzunehmen: Dieses Tool einzusetzen, verspricht fast schon eine rechtswidrige Webseite. Gleich erläutere ich, was damit gemeint ist.

OneTrust hat anscheinend vor einiger Zeit die Anbieter Optanon und Cookie Law übernommen. Alle drei damaligen Anbieter sind heutzutage nach meinem Eindruck unter OneTrust vereint. Dies erkennt man u. a. an den Dateien, die das Consent Tool verwendet.

Eine Untersuchung aller mir bekannten, populären Consent Tools habe ich vor ein paar Wochen angestellt und Cookiegeddon getauft, weil das Ergebnis so desaströs ausgefallen ist.

Flexible Einwilligungsabfrage

Ähnlich wie beim Google Konzern weiß man nicht so genau, welche Unternehmen die Daten verarbeiten, die man ihnen anvertraut. Wie oben geschrieben, gibt OneTrust zwei Standorte an, nennt aber direkt keinen Hauptverantwortlichen. Der Standort USA ist aus bekannten Gründen hochproblematisch (unsicheres Drittland, vgl. Artikel 44 DSGVO). Der Standort UK ist seit dem Brexit auch nicht mehr der beste, wenn es Datenschutzrechte geht. Zurzeit ist eine Übergangsfrist angesetzt. Wie es danach weitergeht, weiß niemand. Update: Das Vereinigte Königreich erhielt einen Angemessenheitsbeschluss der EU. Allerdings

Noch flexibler als der Standort des Anbieters ist allerdings die Einwilligungsabfrage selbst. OneTrust verwendet eine sogenannte Geolokation, um herauszufinden, aus welchem Land wohl der aktuelle Besucher der Webseite kommt. Dazu wird in einer Varianten von OneTrust die Adresse https://geolocation.onetrust.com/cookieconsentpub/v1/geo/location aufgerufen. Die Daten, die bei der Geolokation ermittelt und an die gerade besuchte Webseite übertragen werden, sind insbesondere:

In einem OneTrust Cookie gespeicherte Standortinformationen zum Nutzer.

Das alleine sieht alles andere als datenschutzfreundlich aus und weckt bei einem Consent Tool nicht gerade Vertrauen. Die Ortung war in meinem Test recht präzise, wenn auch nicht sehr präzise. Der ermittelte Ort war ca. 12 Kilometer Luftlinie von meinem tatsächlichen Standort entfernt.

Am 20. Januar 2021 jedenfalls hat die Europäische Kommission ein Bußgeld in Höhe von 7,8 Millionen Euro wegen rechtswidriger Geoblocking-Praktiken erlassen.

Stammt der Nutzer etwa aus Deutschland, erhält er eine vollwertige Consent Abfrage. Vollwertig heißt hier nur, dass OneTrust alles tut, was mit dem Tool möglich ist. Und das ist leider nicht viel.

Stammt der Nutzer angeblich aus bestimmten anderen Ländern, erscheint möglicherweise gar keine Einwilligungsabfrage. Dies wäre an sich schon rechtswidrig und erzeugt gravierende Datenschutzprobleme, wie man leicht beweisen kann. Genau konnte ich die länderabhängige Ausspielung nicht reproduzieren, sondern kann es nur annehmen. Jedenfalls ist die ziemlich detaillierte Geolokation eines Nutzers durch ein Consent Tool an sich höchst fragwürdig.

Ruft man eine mit OneTrust verunstaltete Webseite im datenschutzfreundlichen Tor Browser auf, erscheint die Einwilligungsabfrage nicht. Möglicherweise liegt das auch nicht am Land, das der Tor Browser dem Consent Tool vorgaukelt, sondern an einer Sicherheitseinstellung im Browser:

Probleme beim Laden von OneTrust in einem sicheren Browser wie Tor

Eine Einwilligungslösung muss selbstverständlich so gestaltet sein, dass auch bei Nichtfunktionieren der „Lösung“ eine DSGVO-konforme Webseite vorgefunden wird. Im schlimmsten Fall würde nämlich richtigerweise gar kein Tool geladen. Mit OneTrust wird aber im schlimmsten Fall das Consent Tool nicht geladen, was dazu führt, dass alle einwilligungspflichtigen Tools direkt geladen werden. Der sog. Cookie Blocker ist schließlich dafür da, um problematische Tools nachzuladen und nicht, um vorhandene Probleme zu reduzieren.

Der Grund ist, dass OneTrust sich „obendrauf“ setzt. Statt dass die Ladeanweisungen auf der Webseite für eingebundene Tools grundsätzlich angepasst werden, wird versucht, das Laden von Tools künstlich zu unterdrücken. Fehlt dann der Unterdrücker (das Consent Tool), wird auch nichts unterdrückt.

Hierfür gibt es keine Ausreden. Jede Webseite hat so gestaltet zu sein, dass von vornerein unerlaubte Datentransfers bis auf Weiteres ausgeschlossen sind.

Datenabruf aus unsicherem Drittland?

Erschwerend kommt hinzu, dass zum Aufbau Laden des Einwilligungsfensters die Domäne onetrust.com abgefragt wird. Dies scheint je nach Ausprägung bzw. installierter Version von OneTrust unterschiedlich zu sein und hat wohl mit der Ambivalenz des Tools zu tun (siehe oben: Optanon, Cookie Law).

Gemäß WHOIS-Abfrage ist die Domäne onetrust.com von einer Firma mit Standort Panama registriert:

Siehe https://www.namecheap.com/domains/whois/result?domain=onetrust.com

Für die Domäne wurde ein sogenannter WhoisGuard verwendet, der die eigentliche Identität des Domäneninhabers verschleiert. Dafür haftet im Zweifel der Verantwortliche der Webseite, der OneTrust einsetzt. Siehe Artikel 12 DSGVO (transparente Information). Viel Vergnügen beim Herausfinden, wer der Domäneninhaber von onetrust.com ist, falls mal jemand nachfragt und eine Auskunft verlangt.

Jedenfalls laut https://www.onetrust.com/ ist die Domäne dem Unternehmen OneTrust, LLC zugeordnet (siehe Fußzeile der Webseite). Die Rechtsform zeigt an, dass es sich um ein amerikanisches Unternehmen handelt.

Datentransfers in die USA sind ohne Einwilligung rechtswidrig. Siehe Artikel 44 DSGVO sowie das Urteil des EuGH zum Privacy Shield.

Cookie Law

Ein Ableger von Onetrust ist Cookie Law. Das Tool wurde anscheinend von OneTrust übernommen und ist technisch in weiten Teilen identisch zu OneTrust. Bei meinem testweisen Abruf einer Webseite, die Cookie Law einsetzt, wird zum Laden von Cookie Law Scripten die IP-Adresse 104.16.148.64 abgerufen. Ein IP-Lokationsdienst verortet diese Netzwerkadresse wie folgt:

Netzwerkadresse, von der Dateien von Cookie Law abgerufen werden

Offenbar findet ein Datenabruf statt, der in Zusammenhang mit den USA, einem unsicheren Drittland steht. Dies ist gemäß Art. 44 DSGVO ohne Einwilligung problematisch.

Wenn man für eine Einwilligungsabfrage eine Einwilligung benötigt, dann ist der Nutzen des Dienstes für die einwilligungspflichtige Einwilligungsabfrage nahe bei null.

Das Einwilligungsfenster von OneTrust

Sicher kann das Aussehen und der Inhalt von OneTrust angepasst werden. Ich habe mir ein willkürliches Beispiel herausgepickt, das so aussieht:

Einwilligungsabfrage auf euronics.de, Stand: 25.01.2021

In meinem Praxistest populärer Consent Tools gibt es zwei weitere Beispiele zu OneTrust.

Widerrufshinweis

Wie man sieht, ist die Schriftgröße recht klein und der Textumfang bereits auf dem ersten Bild dafür recht groß. Das könnte schon kritisch bewertet werden (falls man mal vor Gericht steht oder eine Aufsichtsbehörde am Hals hat). Jedenfalls steht geschrieben:

Mithilfe der nebenstehenden Schaltflächen können Sie Ihre Cookie-Präferenzen, die Sie jederzeit ändern können, beim Besuch unserer Website festlegen“ .

Dies ist kein rechtssicherer Widerrufshinweis:

  1. Die „nebenstehenden Schaltflächen“ sind nicht mehr da, nachdem man eingewilligt hat, denn das Fenster schließt sich doch
  2. Ändern und Widerrufen sind für mich zwei verschiedene Dinge
  3. Wo der Widerruf aufgerufen werden kann, wird nicht erwähnt, ist aber laut Art. 7 DSGVO vorgeschrieben.

Ablehnen statt Einwilligen

Wie man im Consent Popup sehen kann, ist eine Ablehnung nicht direkt möglich. Das alleine halte ich schon für rechtswidrig. Siehe dazu Artikel 4 Nr. 11 DSGVO und den Erwägungsgrund 42: „Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“.

Mangelhafte Angaben

Es sind so viele Falschangaben und Fehlangaben, dass hier nur eine Auswahl folgen kann. Beispiel eins:

Wer wohl der Anbieter von __cfduid sein mag? Soweit ich weiß, ist onetrust.com keine Firmenangabe.

Ist __cfduid eigentlich ein Cookie, ein Dienst oder ein Dings? Fairerweise muss man sagen, dass die Angabe erst nach Klick auf Cookies anzeigen kommt. Gemeint sind also wohl Cookies. Was aber ist dann der Dienst (das Tool), zu dem das Cookie wohl gehört?

Was bedeutet “4 years”? Ich verstehe es, aber ein deutsprachiger Bürger muss kein Englisch können.

Die Beschreibung ist ebenfalls auf Englisch und somit nicht vorhanden.

Was 3rd Party bedeutet, weiß nur jemand, der sich mit Datenschutz beschäftigt.

Beispiel Nummer zwei:

Ich bin nicht sicher, ob der Name S richtig ist. Ein Cookie von Google mit diesem Namen habe ich noch nicht gesehen. Mit der Bitte um Kontakt, falls es dieses Cookie offiziell gibt.

Anbieter und Zweckangaben fehlen wieder. Statt Sitzung zu schreiben, wird der englische Begriff Session verwendet.

Auch die Info, ob Daten in unsichere Drittländer übertragen werden, fehlt, ebenso wie die Angaben des zugehörigen Dienstes.

In dieser Weise kann nahezu jede Erklärung von OneTrust kritisiert werden. Ich bin an dieser Stelle so streng, wie es vor Gericht meiner Ansicht nach auch der Fall sein würde.

Laden von Tools ohne Einwilligung

Die Krönung für ein Consent Tool: Die angeblich abgesicherte Webseite lädt ein Tool ohne Einwilligung, das einer Einwilligung bedarf. Noch schlimmer wird es, wenn das Consent Tool sogar eine Einwilligung für einTool abfragt und das Tool dennoch ohne Einwilligung geladen wird. Ein Beispiel hierfür ist ein geladenes YouTube Video Script, auch noch mit Cookies. Das mit den Cookies hätte man leicht verhindern können…

Fazit

OneTrust sucks und schadet mehr als das es nützt. Dies wage ich auch deshalb zu schreiben, weil der Anbieter selbst es mit seinem eigenen Tool nicht hinbekommt. Hier der Beweis für die Webseite onetrust.de, die nach Sprachauswahl Deutsch auf onetrust.com aufgerufen wird:

Consent Popup auf onetrust.de, Stand: 25.01.2021

Der Screenshot zeigt mindestens folgende Mängel:

  • Das Cookie _ga wird als Erstanbieter-Cookie klassifziert. Das ist nur aus technischer Sicht richtig und interessiert außer mir und wenigen anderen niemanden. Datenschutzrechtlich wird das Cookie von Google Analytics genutzt.
  • Wir sind auf der deutschsprachigen Webseite. Dennoch sind die Beschreibungen überwiegend in englischer Sprache.
  • Die Anbieternennung fehlt wieder
  • Die Beschreibung fehlt, weil sie in Englisch ist und somit für einen deutschen Leser als unverständlich anzusehen ist
  • Die Angaben sind unklar: 1 year, 1st Party

Viel mehr kann man in einer Einwilligungsabfrage kaum falsch machen.

Ableger von OneTrust

Optanon und Cookie Law wurden anscheinend von OneTrust übernommen und sind technisch nahezu gleich zu OneTrust.

Der Unterschied besteht nach meiner Beobachtung lediglich in technischen Details für den initialen Aufruf des Consent Tools. Jeder der drei Ableger verwendet dabei eine eigene Identifikationsnummer und eine eigene Art der technischen Implementierung zur Definition dieser Identifikationn.

Hier zwei Beispiele. Zuerst die Definition der Cookie-ID von Cookie Law, wie sie oft genannt wird:

consent2.setAttribute('data-domain-script', 'xxxxxxxxx-xxxx-xxxx-xb97-xxxxxxxxxxxx');

Statt der x-Zeichen sind in der echten Identifikation Hexadezimalzahlen kodiert.

Für Optanon hingegen sieht die technischen Implementierung der ID so aus:

<script type="text/javascript" src="https://cdn.cookielaw.org/consent/xxxxxxxx-xxxx-xxxx-x752-xxxxxxxxxxxx-test/OtAutoBlock.js"></script>

Für Cookie First gibt es übrigens auch eine gewisse Ähnlichkeit, auch wenn die Hauptdaten anders strukturiert zu sein scheinen als bei OneTrust. Die ID hat jedenfalls den gleichen Aufbau.

<script src="https://consent.cookiefirst.com/banner.js" data-cookiefirst-key="xxxxxxxx-xxxx-xxxx-x225-xxxxxxxxxxxx"></script>

Nachdem die ID einmal festgelegt wurde, wie auch immer, werden Daten für die Anzeige des Einwilligungs-Popups abgerufen. Dies scheint immer auf die gleiche Art und Weise zu erfolgen. Die Rückgabeinhalte und die Struktur des Ergebnisses waren jedenfalls in meinen Tests für die Ableger von OneTrust immer gleich.

Alles, was für OneTrust gilt, gilt nach meiner Erfahrung somit auch für Optanon und Cookie Law. Die Logik meines Tools, welches Consent Abfragen auf Webseite automatisch auslesen kann, ist jedenfalls für diese beiden Varianten gleich, sobald die Cookie-ID festgestellt wurde.

Fazit

Wer OneTrust auf seiner Webseit einsetzt, wurde falsch beraten oder hatte Pech bei der Suche. Zum Glück kann fast jeder Fehler korrigiert werden. Am besten die Webseite gleich anpassen und OneTrust entfernen.

Danach lohnt es sich, darüber nachzudenken, welche Tools wirklich noch benötigt werden.

Möchten Sie selber ermitteln, ob Ihr Consent Tool rechtskonform sein könnte? Dann sehen Sie sich doch meine Checkliste für Einwillligungsabfragen auf Webseiten an.

Wenn Sie sich Arbeit ersparen möchten, lesen Sie zuerst den Artikel fünf Gründe, warum Cookie Popups nicht zuverlässig sein können. Dort finden Sie Fakten und Beweise für diese Aussage.

Demnächst wird es ein Tool geben, mit dem für Webseiten mit Consent Tools eine Betroffenenanfrage generiert werden kann. Diese Anfrage enthält gefundene Mängel sowie fragwürdige Texte. Für populäre Einwilligungslösungen liefert das Tool quasi auf Knopfdruck eine fundierte Betroffenenanfrage mitsamt der nötigen Rechtsgrundlagen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/onetrust-consent-tools-mit-grossen-tuecken
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Nächster Beitrag

Consent Tools auf Webseiten: So prüft man, ob sie DSGVO-konform sind