Vorschlag: Textbausteine als optionale Ergänzungen im Beschwerdefall #71

Open
opened 4 months ago by dw · 6 comments
dw commented 4 months ago

Sehr häufig auffallende Mängel im Zusammenhang mit dem tracking füge ich aktuell manuell an.
Vielleicht macht es Sinn diese Standardmängel per Checkbox mit anhängen zu können?

  • Einleitend

Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollen so benutzerfreundlich wie möglich sein: Richtlinie 2002/58/EG,ErwGr 25, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:32002L0058

In diesem Fall bemängele ich insbesondere:

  • Die Conent-Dialoge sind manipulierend entworfen (dark pattern oder nudging)

https://de.wikipedia.org/wiki/Nudge iSv durch eine bestimmte Gestaltung von Consent-Bannern zu versuchen, die Zustimmungsrate der Nutzer zu erhöhen.
https://de.wikipedia.org/wiki/Dark_Pattern iSv ein Benutzerschnittstellen-Design sorgfältig so auszulegen, um einen Benutzer dazu zu bringen, bestimmte Tätigkeiten auszuführen, die dessen Interessen entgegenlaufen.

Cookie-Banner ohne gleichwertige Ablehnungsoption

Die Ablehnungsmöglichkeit ist unzulässig zurückgestellt oder fehlt:
Eine zur zustimmenden gleichwertige Schaltfläche fehlt/ist manipulierend entworfen. Als gleichwertig erwarte ich eine u.a. nach Art, Form, Größe, Farbe, Anordnung und Positionierung wie die Zustimmung gestaltete Ablehnungsmöglichkeit.
Eine im beschreibenden Fließtext „versteckte“ Auswahl ist einem z.B. nach Farbe, Größe und Position hervorgehobenen Schaltknopf nicht ebenbürtig (vgl. dazu auch „dark pattern“1 ).
So wie mit der generellen Zustimmung kein weiterer Dialogschritt mehr benötigt wird, muss auch die Ablehnung alle nicht erforderlichen Cookies mit „einem Klick“ garantiert deaktivieren oder besser datenschutzkonform deaktiviert belassen.
Der Aufruf weiterer Einstellungen und Unterdialoge sollte nur notwendig sein, wenn der Nutzer sich über die detaillierten Einstellungen informieren oder einzelne, optionale Zustimmungen erteilen möchte.

  • Fehlende Inhalte im Banner

Ein notwendiger Hinweis zu Risiken bei Drittstaatentransfer fehlt auf der Ebene der pauschalen Zustimmung.

  • Erklärung der Cookies

Die eingesetzten Cookies werden nicht oder nicht ausreichend weder über Cookie-Einstellungen noch über die Datenschutzerklärung erklärt. Für eine informierte Zustimmung vermisse ich - gruppiert nach Kategorien wie z.B Essentiell, Analyse, Werbung, Tracking - die verwendeten Cookie-Namen mit detaillierter Zweckangabe, Speicherdauer Rechtsgrundlage, Speicherort, falls außerhalb der EU, und Angabe des
Verarbeitenden, Anschrift und Länderangabe bei Dienstleister/Drittanbieten insbesondere in Drittstaaten.

  • Rechtswidrige Vorauswahl bei:

Über den Dienst von CF wird häufig nicht oder unvollständig und beiläufig als CDN in der DSE erwähnt.

  • Beonderheiten Cloudflare (CF):

Eine Verarbeitung insbesondere über den Dienstleister Cloudflare (CF) kann keinesfalls datenschutzkonform sein, da die Verschlüsselung in jedem Fall in den USA aufgebrochen wird, d.h. auch zusätzliche Maßnahmen verhindern nicht die Offenlegung von Daten.

CF ist ein Dienstleister, der unter 702 FISA 50 USC § 1881a fällt. Daher sind auch in diesem Fall Standarddatenschutz-Klauseln oder binding corporate rules unzureichend.

Die Auswahl und Beauftragung dieses Dienstleisters belegt, dass zumindest fahrlässig
1. der Datenverkehr über die USA geleitet und
2. die Verschlüsselung aufgebrochen wird.

Zu 1. Datentransfer über die USA
Dem Dokument der Dienstleister-DDoS-Mitigation-Liste des BSI (siehe https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister-DDos-Mitigation-Liste.pdf?__blob=publicationFile&v=7)

entnehme ich der Tabelle der Leistungsmerkmale unter 5 in der Zeile 4.2.4, dass der von der Beschwerdegegnerin gewählte DDoS-Mitigation-Dienstleister nicht anbieten kann, dass umgeleiteter Verkehr ausschließlich in Rechenzentren in Deutschland verarbeitet wird

Zu 2. Verschlüsselung wird aufgebrochen

Entweder hat die Beschwerdegegnerin den privaten TLS-Schlüssel zu diesem Zweck an Cloudflare übergeben oder die Beschwerdegegnerin nutzt alternativ Keyless SSL von Cloudflare. Wie die Lösung auch aussieht,
damit kann CF den TLS-verschlüsselten Verkehr einsehen.

Dies ergibt sich aus der Tabelle des BSI-Dokuments an zwei Stellen:

  1. Dienstleister-DdoS-Mitigation-Liste, 4.3.5 Handling verschlüsselter Verbindungen:

Danach kann CF mit verschlüsselten Verbindungen (HTTPS) umgehen und muss zum Beispiel der private Schlüssel zu einem TLS-Zertifikat des Unternehmens bereitgestellt werden.

Alternativ bietet CF sogenanntes keyless-ssl (https://www.cloudflare.com/ssl/keyless-ssl/) an. Auf der Seite des Dienstleisters wird auch das Aufbrechen der Verschlüsselung bestätigt:
„Note: Keyless SSL requires that Cloudflare decrypt, inspect and re-encrypt traffic for transmission back to a customer’s origin“.

  1. Dienstleister-DdoS-Mitigation-Liste,4.2.5 Berücksichtigung des BDSG

„Der Netzwerkverkehr fließt zumindest im Falle einer Mitigation über die Rechenzentren des DDoS-Mitigation-Dienstleisters. Dabei werden unter Umständen auch die Transportver­schlüsselungen terminiert, so dass der Dienstleister prinzipiell den gesamten Verkehr inklusive aller Eingaben sehen könnte.“

Sehr häufig auffallende Mängel im Zusammenhang mit dem tracking füge ich aktuell manuell an. Vielleicht macht es Sinn diese Standardmängel per Checkbox mit anhängen zu können? * Einleitend Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollen so benutzerfreundlich wie möglich sein: Richtlinie 2002/58/EG,ErwGr 25, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:32002L0058 In diesem Fall bemängele ich insbesondere: * Die Conent-Dialoge sind manipulierend entworfen (dark pattern oder nudging) https://de.wikipedia.org/wiki/Nudge iSv durch eine bestimmte Gestaltung von Consent-Bannern zu versuchen, die Zustimmungsrate der Nutzer zu erhöhen. https://de.wikipedia.org/wiki/Dark_Pattern iSv ein Benutzerschnittstellen-Design sorgfältig so auszulegen, um einen Benutzer dazu zu bringen, bestimmte Tätigkeiten auszuführen, die dessen Interessen entgegenlaufen. Cookie-Banner ohne gleichwertige Ablehnungsoption Die Ablehnungsmöglichkeit ist unzulässig zurückgestellt oder fehlt: Eine zur zustimmenden <TEXT- OK-BUTTON> gleichwertige Schaltfläche fehlt/ist manipulierend entworfen. Als gleichwertig erwarte ich eine u.a. nach Art, Form, Größe, Farbe, Anordnung und Positionierung wie die Zustimmung gestaltete Ablehnungsmöglichkeit. Eine im beschreibenden Fließtext „versteckte“ Auswahl ist einem z.B. nach Farbe, Größe und Position hervorgehobenen Schaltknopf nicht ebenbürtig (vgl. dazu auch „dark pattern“1 ). So wie mit der generellen Zustimmung kein weiterer Dialogschritt mehr benötigt wird, muss auch die Ablehnung alle nicht erforderlichen Cookies mit „einem Klick“ garantiert deaktivieren oder besser datenschutzkonform deaktiviert belassen. Der Aufruf weiterer Einstellungen und Unterdialoge sollte nur notwendig sein, wenn der Nutzer sich über die detaillierten Einstellungen informieren oder einzelne, optionale Zustimmungen erteilen möchte. * Fehlende Inhalte im Banner Ein notwendiger Hinweis zu Risiken bei Drittstaatentransfer fehlt auf der Ebene der pauschalen Zustimmung. * Erklärung der Cookies Die eingesetzten Cookies werden nicht oder nicht ausreichend weder über Cookie-Einstellungen noch über die Datenschutzerklärung erklärt. Für eine informierte Zustimmung vermisse ich - gruppiert nach Kategorien wie z.B Essentiell, Analyse, Werbung, Tracking - die verwendeten Cookie-Namen mit detaillierter Zweckangabe, Speicherdauer Rechtsgrundlage, Speicherort, falls außerhalb der EU, und Angabe des Verarbeitenden, Anschrift und Länderangabe bei Dienstleister/Drittanbieten insbesondere in Drittstaaten. * Rechtswidrige Vorauswahl bei: <Liste> Über den Dienst von CF wird häufig nicht oder unvollständig und beiläufig als CDN in der DSE erwähnt. * Beonderheiten Cloudflare (CF): Eine Verarbeitung insbesondere über den Dienstleister Cloudflare (CF) kann keinesfalls datenschutzkonform sein, da die Verschlüsselung in jedem Fall in den USA aufgebrochen wird, d.h. auch zusätzliche Maßnahmen verhindern nicht die Offenlegung von Daten. CF ist ein Dienstleister, der unter 702 FISA 50 USC § 1881a fällt. Daher sind auch in diesem Fall Standarddatenschutz-Klauseln oder binding corporate rules unzureichend. Die Auswahl und Beauftragung dieses Dienstleisters belegt, dass zumindest fahrlässig 1. der Datenverkehr über die USA geleitet und 2. die Verschlüsselung aufgebrochen wird. Zu 1. Datentransfer über die USA Dem Dokument der Dienstleister-DDoS-Mitigation-Liste des BSI (siehe https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister-DDos-Mitigation-Liste.pdf?__blob=publicationFile&v=7) entnehme ich der Tabelle der Leistungsmerkmale unter 5 in der Zeile 4.2.4, dass der von der Beschwerdegegnerin gewählte DDoS-Mitigation-Dienstleister nicht anbieten kann, dass umgeleiteter Verkehr ausschließlich in Rechenzentren in Deutschland verarbeitet wird Zu 2. Verschlüsselung wird aufgebrochen Entweder hat die Beschwerdegegnerin den privaten TLS-Schlüssel zu diesem Zweck an Cloudflare übergeben oder die Beschwerdegegnerin nutzt alternativ Keyless SSL von Cloudflare. Wie die Lösung auch aussieht, damit kann CF den TLS-verschlüsselten Verkehr einsehen. Dies ergibt sich aus der Tabelle des BSI-Dokuments an zwei Stellen: 1. Dienstleister-DdoS-Mitigation-Liste, 4.3.5 Handling verschlüsselter Verbindungen: Danach kann CF mit verschlüsselten Verbindungen (HTTPS) umgehen und muss zum Beispiel der private Schlüssel zu einem TLS-Zertifikat des Unternehmens bereitgestellt werden. Alternativ bietet CF sogenanntes keyless-ssl (https://www.cloudflare.com/ssl/keyless-ssl/) an. Auf der Seite des Dienstleisters wird auch das Aufbrechen der Verschlüsselung bestätigt: „Note: Keyless SSL requires that Cloudflare decrypt, inspect and re-encrypt traffic for transmission back to a customer’s origin“. 2. Dienstleister-DdoS-Mitigation-Liste,4.2.5 Berücksichtigung des BDSG > „Der Netzwerkverkehr fließt zumindest im Falle einer Mitigation über die Rechenzentren des DDoS-Mitigation-Dienstleisters. Dabei werden unter Umständen auch die Transportver­schlüsselungen terminiert, so dass der Dienstleister prinzipiell den gesamten Verkehr inklusive aller Eingaben sehen könnte.“
dw changed title from Vorschlag: Textbaustein als optionale Ergänzungen im Beschwerdefall to Vorschlag: Textbausteine als optionale Ergänzungen im Beschwerdefall 4 months ago
rufposten added the
enhancement
label 4 months ago
Owner

Ja, das finde ich eine sehr gute Idee, den Plan hatte ich auch schon. Ich denke das meiste kann man hier im Wiki organisieren. Mir schweben vor allem auch Textbausteine für die Kommunikation mit Seitenbetreibern vor. Du kannst hier Bausteine ablegen und ich versetze sie dann ins Wiki, wenn sie allgemeine Nützlichkeit haben.

Einige sehr häufige Sachen wie Cookiebanner mit Vorauswahl können wir aber evtl. direkt in die Abfrage übernehmen, ich habe da ein paar Erweiterungsideen.

Nur würde ich tracktor.it gerne weiterhin sehr fokussiert auf den stärksten, unumstrittensten und eindeutigsten Hebel belassen: Und das ist das EuGH-Urteil mit seiner Auslegung von e-Privacy und DSGVO. Schrems II würde ich wegen der Komplexität gerne komplett ausklammern. Ich glaube auch nicht, dass damit aktuell irgendwelche Verfahren vorankommen. Auch zahlreiche andere Details, die du an Seiten angehst, sind außerhalb vom Tracktor-Fokus, z.B. Sicherheitsmängel oder mangelhafte Datenschutzerklärungen. Umso mehr Kleinkram wir in die Anschreiben packen, umso höher die Wahrscheinlichkeit, dass wegen Überforderung oder Rechtsunsicherheit gar nichts vor einer Beschwerde umgesetzt wird, denke ich.

Ja, das finde ich eine sehr gute Idee, den Plan hatte ich auch schon. Ich denke das meiste kann man hier im Wiki organisieren. Mir schweben vor allem auch Textbausteine für die Kommunikation mit Seitenbetreibern vor. Du kannst hier Bausteine ablegen und ich versetze sie dann ins Wiki, wenn sie allgemeine Nützlichkeit haben. Einige sehr häufige Sachen wie Cookiebanner mit Vorauswahl können wir aber evtl. direkt in die Abfrage übernehmen, ich habe da ein paar Erweiterungsideen. Nur würde ich tracktor.it gerne weiterhin sehr fokussiert auf den stärksten, unumstrittensten und eindeutigsten Hebel belassen: Und das ist das EuGH-Urteil mit seiner Auslegung von e-Privacy und DSGVO. Schrems II würde ich wegen der Komplexität gerne komplett ausklammern. Ich glaube auch nicht, dass damit aktuell irgendwelche Verfahren vorankommen. Auch zahlreiche andere Details, die du an Seiten angehst, sind außerhalb vom Tracktor-Fokus, z.B. Sicherheitsmängel oder mangelhafte Datenschutzerklärungen. Umso mehr Kleinkram wir in die Anschreiben packen, umso höher die Wahrscheinlichkeit, dass wegen Überforderung oder Rechtsunsicherheit gar nichts vor einer Beschwerde umgesetzt wird, denke ich.
dw commented 4 months ago
Poster

Ja, ich verstehe deine Bedenken.

Da ist mein Schwerpunkt wohl doch ein anderer:

Mittlerweile habe ich viele Beschwerden und auch tracktor beginnt mit den ersten.

In der Regel sind die Themen nicht losgelöst, sondern die Beschwerdegegenstand sind aufeinander aufbauend. Bisher reichere ich die tracktor-Mails manuell an, denn:
Nicht sauber konfigurierte Tracker kommen häufig in "Tateinheit" mit einem unzulässigen Consent-Banner und/oder falsch konfigurierten erforderlichen Techniken und meistens mit veralteten bzw. unvollständigen Datenschutzhinweisen, die eine informierte Zustimmung rein formal auschliessen.

Der "Standardfall" (GA) impliziert immer einen Drittstaatentransfer in die USA->Schrems2 nach meinem Verständnis.

Aktuell freue mich über den Fortgang eines solchen Vorgangs in Bayern (dort hatte ich gar nicht damit gerechnet)!
Gerade auf diese Kombination (ungefähr 3 erweiterte tracktor-Fälle) steigt die dortige Behörde im Vergleich mit anderen Bundesländern auffallend mitteilungfreudig ein, ohne dass eine Erinnerung meinerseits notwendig wäre.

Daher kam meine Idee, dass die Kombination kein Stopper, sondern ein Mittel zu sein scheint, den Vorgang mehr in den Fokus der Behörde zu bringen (Priorisierung).

Eine ähnlich schnelle Reaktion hatte ich auch bei der Erstbestätigung aus Nordrhein-Westfalen. Dort dauert es normalerweise länger bis zum Aktenzeichen.

Ist aber nicht tragisch. Gerade bei den völlig, gravierenden Fällen muss ich sowieso einen "Medienbruch" ;-) durchführen:
Für eine gute Übersicht der längeren Beschwerde und der dann zahlreichen Anlagen wechsle ich in das pdf-Format. Die tracktor-Inhalte sind dann meist einleitend und begründen die Betroffenheit.

Ja, ich verstehe deine Bedenken. Da ist mein Schwerpunkt wohl doch ein anderer: Mittlerweile habe ich viele Beschwerden und auch tracktor beginnt mit den ersten. In der Regel sind die Themen nicht losgelöst, sondern die Beschwerdegegenstand sind *aufeinander* aufbauend. Bisher reichere ich die tracktor-Mails manuell an, denn: Nicht sauber konfigurierte Tracker kommen häufig in "Tateinheit" mit einem unzulässigen Consent-Banner und/oder falsch konfigurierten erforderlichen Techniken und meistens mit veralteten bzw. unvollständigen Datenschutzhinweisen, die eine informierte Zustimmung rein formal auschliessen. Der "Standardfall" (GA) impliziert immer einen Drittstaatentransfer in die USA->Schrems2 nach meinem Verständnis. Aktuell freue mich über den Fortgang eines solchen Vorgangs in Bayern (dort hatte ich gar nicht damit gerechnet)! Gerade auf diese Kombination (ungefähr 3 erweiterte tracktor-Fälle) steigt die dortige Behörde im Vergleich mit anderen Bundesländern auffallend mitteilungfreudig ein, ohne dass eine Erinnerung meinerseits notwendig wäre. Daher kam meine Idee, dass die Kombination kein Stopper, sondern ein Mittel zu sein scheint, den Vorgang mehr in den Fokus der Behörde zu bringen (Priorisierung). Eine ähnlich schnelle Reaktion hatte ich auch bei der Erstbestätigung aus Nordrhein-Westfalen. Dort dauert es normalerweise länger bis zum Aktenzeichen. Ist aber nicht tragisch. Gerade bei den völlig, gravierenden Fällen muss ich sowieso einen "Medienbruch" ;-) durchführen: Für eine gute Übersicht der längeren Beschwerde und der dann zahlreichen Anlagen wechsle ich in das pdf-Format. Die tracktor-Inhalte sind dann meist einleitend und begründen die Betroffenheit.
dw commented 4 months ago
Poster

Mit den letzten Aufforderungen habe ich diese Ergänzungen etwas gerafft, so dass sie leichter anzuheften sind. Da ist vielleicht etwas dabei.

Ich möchte mein Recht wirklich auch durchsetzen.

Schlussvarianten

Allgemein

Zusätzlich erwarte ich innerhalb dieser Frist, dass Sie das Cookie-Banner und die Datenschutzerklärung datenschutzkonform nachbessern.

+optional was zutrifft ohne große Erläuterungen, einfach hinzeigen:

Im Einzelnen bemängele ich insbesondere
- Die Consent-Dialoge sind manipulierend entworfen (dark pattern/ nudging).
- Das Cookie-Banner hat keine gleichwertige Ablehnungsoption.
- In der Datenschutzerklärung fehlen die Kontaktdaten des Verantwortlichen für die Webseite.
- Ihr Datentransfer in die USA ist sehr wahrscheinlich rechtswidrig, da sie sich immer noch auf das ungültige EU-US Privacy Shield berufen, keine deutlichen Hinweis auf Risiken mit der Einwilligungsabfrage je Einzelfall verbinden und dazu auch die erforderlichen Garantie dokumentieren.

Abschlussappell

Bitte erwarten Sie jedoch von mir keine vollständige, abschließende Auflistung der Mängel und prüfen Sie daher sehr sorgfältig, ob Information im Banner und in der Datenschutz-erklärung fehlen oder geändert werden müssen, um Ihren Informationspflichten nachzukommen. Für mehr Details gibt es mittlerweile in den Medien Berichte und auch die Aufsichtsbehörden informieren und beraten sicher gerne über die Anforderungen.

Herzlichen Dank für Ihr Verständnis!

Mit den letzten Aufforderungen habe ich diese Ergänzungen etwas gerafft, so dass sie leichter anzuheften sind. Da ist vielleicht etwas dabei. > Ich möchte mein Recht wirklich auch durchsetzen. ### Schlussvarianten #### Allgemein ``` Zusätzlich erwarte ich innerhalb dieser Frist, dass Sie das Cookie-Banner und die Datenschutzerklärung datenschutzkonform nachbessern. ``` #### +optional was zutrifft ohne große Erläuterungen, einfach hinzeigen: ``` Im Einzelnen bemängele ich insbesondere - Die Consent-Dialoge sind manipulierend entworfen (dark pattern/ nudging). - Das Cookie-Banner hat keine gleichwertige Ablehnungsoption. - In der Datenschutzerklärung fehlen die Kontaktdaten des Verantwortlichen für die Webseite. - Ihr Datentransfer in die USA ist sehr wahrscheinlich rechtswidrig, da sie sich immer noch auf das ungültige EU-US Privacy Shield berufen, keine deutlichen Hinweis auf Risiken mit der Einwilligungsabfrage je Einzelfall verbinden und dazu auch die erforderlichen Garantie dokumentieren. ``` #### Abschlussappell ``` Bitte erwarten Sie jedoch von mir keine vollständige, abschließende Auflistung der Mängel und prüfen Sie daher sehr sorgfältig, ob Information im Banner und in der Datenschutz-erklärung fehlen oder geändert werden müssen, um Ihren Informationspflichten nachzukommen. Für mehr Details gibt es mittlerweile in den Medien Berichte und auch die Aufsichtsbehörden informieren und beraten sicher gerne über die Anforderungen. ``` > Herzlichen Dank für Ihr Verständnis!
rufposten self-assigned this 4 months ago
Owner

So, hab gerade mal was mit fehlendem Ablehn-Button probiert und das genutzt, um mit dem Wiki zu starten:

https://codeberg.org/rufposten/tracktor.it/wiki

So, hab gerade mal was mit fehlendem Ablehn-Button probiert und das genutzt, um mit dem Wiki zu starten: https://codeberg.org/rufposten/tracktor.it/wiki
dw commented 4 months ago
Poster

Prima!

Das Thema dark pattern/nudging ist häufig bei mir der zweite Beschwerdegegenstand:

1 Tracker -> keine Vorabeinwilligung,
2 Design der Einwilligunslösung -> keine aktive Einwilligung und/oder nicht freiwillig
3 Information im Banner und in der DSE -> keine informierte Einwilligung
4 Drittstaatentransfer durch die Cookies aus 1. -> kein Risikohinweis je Einzelfall, ggf. unzulässige Pauschaleinwilligung über das Cookie-Banner, da nicht nur Cookies betroffen sind.

Heute hatte ich mit "Fingerspitzengefühl" in einem Feedback zu einer schnellen Nachbesserung angemerkt

Das Design, wenn auch leider noch weit verbreitet, scheint mir fraglich: Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollten so benutzerfreundlich wie möglich sein.
Neben der Option zur Zustimmung erwarte auch die Möglichkeit der einfachen Ablehnung ohne über ein Untermenü geleitet zu werden.

Ggf. Link auf Richtlinie 2002/58/EG,ErwGr 25, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:32002L0058

Alternativ merke ich an anderen Stellen das passende aus dem Block an:

Das Cookie-Banner enthält keine klare Ablehnungsoption.
Eine zur zustimmenden |TEXT- OK-BUTTON| gleichwertige Schaltfläche fehlt/ist manipulierend entworfen.

Als gleichwertig erwartet der Bf eine nach u.a. Art, Form, Größe, Farbe, Anordnung und Positionierung wie die Zustimmung gestaltete Ablehnungsmöglichkeit. Eine im beschreibenden Fließtext angelegte Verlinkung ist einem z.B. nach Farbe, Größe und Position hervorgehobenen Schaltknopf nicht ebenbürtig (vgl. dazu auch „dark pattern“1 oder alternativ nudging2)

Mit Links auf wikipedia
https://de.wikipedia.org/wiki/Dark_Pattern:Benutzerschnittstellen-Design, das sorgfältig darauf ausgelegt ist, einen Benutzer dazu zu bringen, bestimmte Tätigkeiten auszuführen, die dessen Interessen entgegenlaufen

https://de.wikipedia.org/wiki/Nudge iSv durch eine bestimmte Gestaltung von Consent-Bannern zu versuchen, die Zustimmungsrate der Nutzer zu erhöhen

So wie mit der generellen Zustimmung kein weiterer Dialogschritt mehr benötigt wird, muss auch die Ablehnung alle nicht erforderlichen Cookies mit „einem Klick“ garantiert deaktivieren. Der Aufruf weiterer Einstellungen und Unterdialoge sollte nur notwendig sein, wenn der Nutzer sich über die detaillierten Einstellungen informieren oder einzelne, optionale Zustimmungen erteilen möchte.

Der beschreibende Text im Cookie-Banner selbst sollte neben dem Hinweis des Verantwortlichen, warum er Cookies nutzen möchte auch den Hinweis enthalten, dass eine Ablehnung keine Nachteile in der Nutzung der Anwendung zur Folge hat!

Auch ohne Einwilligung muss im Anschluss die Nutzung der Webseite möglich sein.

Noch nicht einmal eine Wahl zwischen unbedingt erforderlichen und sonstigen (Analyse, Werbung, Tracking etc.) Cookies wird angeboten.

Ein „X“ zum Schließen des Banners stellte keine klare Wahl für eine Nichtzustimmung dar.

Der Nutzer kann sich nicht sicher sein, darüber seinen Willen unmissverständlich bekunden zu

Zur Erforderlichkeit von Cookies:

Die Speicherung ist zur Erbringung des Dienstes unbedingt - aus Sicht des Nutzers - erforderlich und wird ausdrücklich vom Nutzer gewünscht. (vgl. dazu https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/Stellungnahmen/WP194_Opinion42012CookieConsentExemption.pdf?__blob=publicationFile&v=1 )

Prima! Das Thema dark pattern/nudging ist häufig bei mir der zweite Beschwerdegegenstand: 1 Tracker -> keine Vorabeinwilligung, 2 Design der Einwilligunslösung -> keine aktive Einwilligung und/oder nicht freiwillig 3 Information im Banner und in der DSE -> keine informierte Einwilligung 4 Drittstaatentransfer durch die Cookies aus 1. -> kein Risikohinweis je Einzelfall, ggf. unzulässige Pauschaleinwilligung über das Cookie-Banner, da nicht nur Cookies betroffen sind. Heute hatte ich mit "Fingerspitzengefühl" in einem Feedback zu einer schnellen Nachbesserung angemerkt > Das Design, wenn auch leider noch weit verbreitet, scheint mir fraglich: Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollten so benutzerfreundlich wie möglich sein. Neben der Option zur Zustimmung erwarte auch die Möglichkeit der einfachen Ablehnung ohne über ein Untermenü geleitet zu werden. Ggf. Link auf Richtlinie 2002/58/EG,ErwGr 25, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:32002L0058 Alternativ merke ich an anderen Stellen das passende aus dem Block an: > Das Cookie-Banner enthält keine klare Ablehnungsoption. Eine zur zustimmenden |TEXT- OK-BUTTON| gleichwertige Schaltfläche fehlt/ist manipulierend entworfen. > Als gleichwertig erwartet der Bf eine nach u.a. Art, Form, Größe, Farbe, Anordnung und Positionierung wie die Zustimmung gestaltete Ablehnungsmöglichkeit. Eine im beschreibenden Fließtext angelegte Verlinkung ist einem z.B. nach Farbe, Größe und Position hervorgehobenen Schaltknopf nicht ebenbürtig (vgl. dazu auch „dark pattern“1 oder alternativ nudging2) Mit Links auf wikipedia https://de.wikipedia.org/wiki/Dark_Pattern:Benutzerschnittstellen-Design, das sorgfältig darauf ausgelegt ist, einen Benutzer dazu zu bringen, bestimmte Tätigkeiten auszuführen, die dessen Interessen entgegenlaufen https://de.wikipedia.org/wiki/Nudge iSv durch eine bestimmte Gestaltung von Consent-Bannern zu versuchen, die Zustimmungsrate der Nutzer zu erhöhen >So wie mit der generellen Zustimmung kein weiterer Dialogschritt mehr benötigt wird, muss auch die Ablehnung alle nicht erforderlichen Cookies mit „einem Klick“ garantiert deaktivieren. Der Aufruf weiterer Einstellungen und Unterdialoge sollte nur notwendig sein, wenn der Nutzer sich über die detaillierten Einstellungen informieren oder einzelne, optionale Zustimmungen erteilen möchte. >Der beschreibende Text im Cookie-Banner selbst sollte neben dem Hinweis des Verantwortlichen, warum er Cookies nutzen möchte auch den Hinweis enthalten, dass eine Ablehnung keine Nachteile in der Nutzung der Anwendung zur Folge hat! >Auch ohne Einwilligung muss im Anschluss die Nutzung der Webseite möglich sein. >Noch nicht einmal eine Wahl zwischen unbedingt erforderlichen und sonstigen (Analyse, Werbung, Tracking etc.) Cookies wird angeboten. >Ein „X“ zum Schließen des Banners stellte keine klare Wahl für eine Nichtzustimmung dar. >Der Nutzer kann sich nicht sicher sein, darüber seinen Willen unmissverständlich bekunden zu Zur Erforderlichkeit von Cookies: >Die Speicherung ist zur Erbringung des Dienstes unbedingt - aus Sicht des Nutzers - erforderlich und wird ausdrücklich vom Nutzer gewünscht. (vgl. dazu https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/Stellungnahmen/WP194_Opinion42012CookieConsentExemption.pdf?__blob=publicationFile&v=1 )
dw commented 4 months ago
Poster

Gesten konnte ich tracker nach Fristablauf reproduziern, weil vermutlich Consent-Banner von Drittanbieter (ezoic, cdn_m-pathy?) geblockt wurden.
Symptom jedenfalls: Es wurde keine angezeigt (https://www.bahn.de, https://www.tui.com/)

Bei der Beschwerde in Hessen (bahn) habe nur ich den trackor-Standardtext verwendent.
In Niedersachsen (tui) hatte ich aus Nutzersicht nur angemerkt

Auffällig beim heutigen Retest war das Fehlen eine Cookie-Wall.

Daher als Snippet-Vorschlag:

Mit Blick auf die Erfahrung auf anderen Webseiten, dass ein Cookie-Banner nicht immer angezeigt werden könnte (Popup-, Drittanbieterfilter o.ä.), möchte ich klarstellen:
Für die Einbindung des Cookie-Banner ist der Betreiber der Webseite verantwortlich. Wenn nichts angezeigt werden kann, dürfen nur die erforderlichen Cookies gesetzt werden.

Gesten konnte ich tracker nach Fristablauf reproduziern, weil vermutlich Consent-Banner von Drittanbieter (ezoic, cdn_m-pathy?) geblockt wurden. Symptom jedenfalls: Es wurde keine angezeigt (https://www.bahn.de, https://www.tui.com/) Bei der Beschwerde in Hessen (bahn) habe nur ich den trackor-Standardtext verwendent. In Niedersachsen (tui) hatte ich aus Nutzersicht nur angemerkt > Auffällig beim heutigen Retest war das Fehlen eine Cookie-Wall. Daher als Snippet-Vorschlag: > Mit Blick auf die Erfahrung auf anderen Webseiten, dass ein Cookie-Banner nicht immer angezeigt werden könnte (Popup-, Drittanbieterfilter o.ä.), möchte ich klarstellen: Für die Einbindung des Cookie-Banner ist der Betreiber der Webseite verantwortlich. Wenn nichts angezeigt werden kann, dürfen nur die erforderlichen Cookies gesetzt werden.
Sign in to join this conversation.
No Milestone
No Assignees
2 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.