Noyb slår ned på cookies med massesøgsmål: Flere danske virksomheder iblandt
422 hjemmesider overtræder persondataforordningen (GDPR) med deres cookie-bannere, vurderer den østrigske privacy-organisation None of Your Business (Noyb), og derfor klagede man i sidste uge til flere europæiske tilsyn – blandt andet over danske hjemmesider.
Ifølge organisationen er cookie-bannerne designet med ‘dark patterns’, som er elementer, der kan vildlede og manipulere brugeren til at klikke ‘acceptér’ og på den måde afgive samtykke til profilering og tracking af deres færden på nettet. Og det bryder med GDPR, mener Noyb, da forordningen »var beregnet til at sikre, at brugere har fuld kontrol over sin data,« skriver man i en meddelelse.
For at finde dark patterns har Noyb udviklet en software, der kan scanne bannerne for vildledende designs. Til at starte med undersøgte man 10.000 hjemmesider og fandt 516 med dark patterns.
Derfor sendte organisationen den 31. maj et klage-udkast til hjemmesideejerne med en beskrivelse af problemerne, Noybs værktøj havde fundet. Virksomhederne har angiveligt haft over to måneder til at rette op på bannerne, inden organisationen officielt lagde sag an mod dem.
Ifølge noyb har flere af hjemmesiderne fjernet nogle dark patterns, men 82 procent bryder stadig med GDPR. Derfor sendte organisationen 422 endelige klager til 17 europæiske tilsynsmyndigheder den 10. august.
Som udgangspunkt er klagerne sendt til de landes datatilsyn, hvor virksomhederne med problematiske cookie-bannere hører hjemme, oplyser en talsperson for Noyb. Men for at gøre arbejdet lettere, har man sendt over 200 af klagerne til det østrigske datatilsyn, som vil sende sagerne videre til andre lande, uddyber man. Tyskland har flere datatilsyn fordelt på delstater.Tilsynsmyndigheder, som noyb har klaget til
»Som uformel feedback hørte vi, at virksomhederne var bekymrede for, at konkurrenter ikke vil være compliant, som vil skabe uretfærdige fordele. Andre sagde, at de vil have en klar afgørelse fra myndighederne, før de retter ind. Vi håber derfor, at datatilsynene vil udstede afgørelser og sanktioner snart,« fortæller Max Schrems, privacy-aktivist og grundlægger af noyb, i en pressemeddelelse.
De problematiske cookie-bannere er blandt andet hos slack.com, mailchimp.com og netdoctor.co.uk viser en liste, organisationen har delt med Version2. Kommunikationsplatformen Slack oplevede i foråret 2020 over 12,5 millioner samtidige brugere dagligt.
Dark patterns på danske hjemmesider
Danske hjemmesider er ikke gået fri af Noybs undersøgelse. På listen med de 422 domæner kan man finde fem danske sider: hestegalleri.dk, baadgalleri.dk, bilgalleri.dk, feltet.dk og amtsavisen.dk. Version2 har spurgt hjemmesideejerne, hvor mange besøgende de har om måneden, men har ikke modtaget svar.
Ifølge organisationen har alle siderne stadig cookie-bannere, der vildleder brugeren, og hjemmesiden med flest problemer er feltet.dk – scanneren har fundet, at:
- Farven på acceptér-knappen er mere dominerende end farven på de andre knapper.
- Kontrasten på acceptér-knappen er højere end for de øvrige knapper.
- Brugeren skal klikke videre for at kunne afvise cookies.
Det er planlagt at disse elementer skal ændres, oplyser CEO og co-founder af feltet.dk, Jesper Johannesen, i en mail:
»Dette har hele tiden været planlagt til at skulle opdateres snarligt. Der har blot været nogle tekniske forudsætninger, der skulle falde på plads inden en opdatering.«
»Noybs klage er baseret på deres holdning til, hvordan farver og kontraster skal være, og ikke hvordan gældende lovgivning forventer det er,« skriver han og henviser til Danske Mediers vejledning.
Her oplyser man, at acceptér- og afvis-knappen godt kan have forskellige farver, for det er illustreret i Datatilsynets vejledning, men brancheorganisationen uddyber:
»Danske Medier anbefaler dog, at ‘Afvis-muligheden’ på ingen måde er søgt skjult i form af placering, farve eller størrelse.«
Det samme skriver Datatilsynet i vejledningen; at acceptér-knappen og afslå-knappen skal have samme ‘meddelelseseffekt', for ellers er det ikke lovligt, »idet den registrerede indirekte skubbes i retning af at give samtykke.«
Herunder kan man se feltet.dk’s cookie-banner i skrivende stund, hvor afvis-knappen er farveløs. Hvis brugeren klikker ‘OK’, siger man ja til at afgive sin persondata om IP, ID og browser til statistik og marketingsformål.
Det er bemærkelsesværdigt, at man nu ikke skal klikke videre for at afvise cookie-banneren, som Noybs scanner tidligere har registreret. Der står heller ikke noget om behandlingsgrundlaget ‘legitim interesse’ i første lag af banneren, som er et af de andre klagepunkter, privacy-organisationen har fundet.
Legitim interesse
Ifølge EU-Kommissionen kan man bruge ‘legitim interesse’ som behandlingsgrundlag, hvis det er nødvendigt for at kunne udføre opgaver i forbindelse med erhvervsaktiviteter. Men man understreger, at behandlingen stadig ikke må gå ud over brugernes rettigheder – ellers må man finde et andet behandlingsgrundlag, som for eksempel samtykke.
Noyb mener ikke, at ‘legitim interesse’ har noget at gøre i en cookie-banner, for når først man har afgivet sit samtykke til behandlingen af ens personoplysninger, så behøver man ikke et andet grundlag at arbejde ud fra:
»Det giver ikke mening at bruge samtykke og legitim interesse i den samme behandling, for hvis de afgiver et samtykke, så har man ikke brug for legitim interesse,« fortæller Romain Robert, jurist og programdirektør hos noyb, til Version2 og understreger:
»Det er totalt forvirrende.«
Selvom der ikke står noget om legitim interesse i første lag af banneren, så nævner man det stadig – det er blot gemt væk. Hvis man klikker på linket til samarbejdspartnere i cookie-bannerens første lag og derefter klikker ‘tilbage’, bliver man ført til en boks, som kan ses herunder.
Her nævner man, at hjemmesiden deler personoplysninger med samarbejdspartnere på grundlag af samtykke og legitim interesse. Version2 har talt, at hjemmesiden deler data med ca. 1427 samarbejdspartnere.
Det er blandt andet virksomheden Adways, der gemmer oplysningerne i 12 måneder, og bruger samtykket til blandt andet at »opbevare og/eller tilgå oplysninger på din enhed«, »oprette en tilpasset annonceprofil« og »måle annonceaktivitet«.
Ifølge Jesper Johannesen bruger samarbejdspartnerne legitim interesse »til at kunne afvikle annoncer uden samtykke til personaliseret indhold, men de annoncer der afvikles vil ikke være personaliserede. Annonceplatforme i dag fungerer blot sådan, at de ikke kan afvikle uden at sætte cookies,« skriver han til Version2 i en mail.
Bannerne hos hestegalleri.dk, bilgalleri.dk og baadgalleri.dk nævner også legitim interesse.
Svært at trække samtykke tilbage
Det største GDPR-problem med de 422 hjemmesider er, at brugerne kan have svært ved at trække et samtykke tilbage, skriver Noyb. Det gælder nemlig i forordningen, at »tilbagetrækningen skal være lige så let som at afgive samtykke.«
Derfor mener organisationen, der skal være en tilbagetræknings-knap synlig på hjemmesiden hele tiden svarende til acceptér-knappen i cookie-banneren, før man kan leve op til GDPR, og det har mange af siderne ikke – herunder de fem danske, som organisationen har klaget over.
Jesper Johannesen fra feltet.dk påpeger, at hjemmesiden har en knap i bunden, der hedder ‘COOKIE INDSTILLINGER', som man kan klikke på og slå forskellige kategorier af cookies fra.
Det burde være ok ifølge vejledningen fra Datatilsynet, hvor man skriver om brugerens mulighed for at tilbagetrække samtykke:
»I praksis kan det fx ske ved, at den dataansvarlige placerer et tydeligt og sigende link i toppen eller bunden af sin hjemmeside, hvorigennem den registrerede kan tilgå muligheden for at trække sit samtykke tilbage.«
Men ifølge noyb er det ikke godt nok til at overholde GDPR, for det er mere komplicerede for besøgende på feltet.dk at slå cookies fra sammenlignet med at slå dem til.
It-sikkerhedsmessen Infosecurity Denmark 2021 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 29. september og 30. september i Øksnehallen i København. Konferenceprogrammet dækker generelt både compliance, cybercrime, IoT, nye teknologier som AI, supercomputere og blockchain samt data og cloud og giver et unikt indblik i de nyeste data- og it-sikkerhedsmæssige teknologier på et højt fagligt niveau. Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.Mød Max Schrems på Version2 Infosecurity Denmark
Privacy-aktivist og grundlægger af organisationen None of Your Business (Noyb), Max Schrems, som er citeret i denne artikel, vil give indblik i udviklingen af europæisk privacy efter Schrems II-dommen, som han selv har lagt navn til, og kampen mod problematiske cookie-bannere.
Læs mere om Infosec ved at klikke her.
Du kan specifikt tilmelde dig Max Screms' keynote ved at klikke her.
Har intet hørt fra Noyb
Selvom privacy-organisationen fortæller, at man har sendt klage-udkast til virksomhederne i maj, så er det en nyhed for Jesper Johannesen:
»Jeg [vil] understrege, at vi er ALDRIG blevet kontaktet af noyb. Vi er heller ikke blevet orienteret om, at vi står på en liste,« skriver han i mailen.
Det samme oplyser virksomheden Heymate, som står for siderne hestegalleri.dk, baadgalleri.dk og bilgalleri.dk, og der er ikke umiddelbart udsigt til ændringer af sidernes cookie-bannere:
»Vi bruger en branchestandard til cookies – Det er ikke noget vi selv har udviklet – Og vi har tænkt os fortsat at følge branchestandarden,« skriver virksomheden i en mail.
Ifølge privacy-organisationen har man sendt klage-udkast til de mailadresser, der er oplyst i hjemmesidernes privatlivspolitikker. En talsperson fra noyb erkender dog, at man ikke har fulgt op på, om virksomhederne har modtaget de første henvendelser i maj, da det er for stort et arbejde, når der er tale om 516 hjemmesider. Version2 har forsøgt at få fat på de oprindelige mails, organisationen har sendt til de danske virksomheder i maj, men uden held.
Talspersonen påpeger, at virksomhederne har pligt til at overholde GDPR i deres cookie-bannere, uanset om de har set en mail fra organisationen eller ej.
Flere klager på vej
Selvom man allerede har sendt en ordentlig bunke klager afsted, er der udsigt til 36 flere, skriver noyb. Store virksomheder som Amazon, Twitter, Google og Facebook, der bruger skræddersyet cookie-bannere, afviser nemlig at fikse de dark patterns, som organisationen har udpeget. Man arbejder netop på klager til de resterende firmaer.
»Der er tendens til, at store spillere og sider, som er meget afhængige af annoncer, i store træk ignorerer vores tilbud om at indgå forlig i sager. Nogle argumenterer åbent for, at det er lovligt at manipulere brugere til at klikke ‘ok’. Vi vil naturligvis fremføre sager her også,« udtaler Max Schrems i pressemeddelelsen.
