Noyb slår ned på cookies med massesøgsmål: Flere danske virksomheder iblandt

Max Schrems er privacy-aktivist og stifter af organisationen None of Your Business (noyb). Illustration: Noyb
Privacyorganisationen None of Your Business (noyb) har meldt 422 hjemmesideejere til europæiske tilsynsmyndigheder for brud på GDPR. Det gælder også fem danske sider, som aldrig er blevet advaret om søgsmålet, fortæller virksomhederne bag.

422 hjemmesider overtræder persondataforordningen (GDPR) med deres cookie-bannere, vurderer den østrigske privacy-organisation None of Your Business (Noyb), og derfor klagede man i sidste uge til flere europæiske tilsyn – blandt andet over danske hjemmesider.

Ifølge organisationen er cookie-bannerne designet med ‘dark patterns’, som er elementer, der kan vildlede og manipulere brugeren til at klikke ‘acceptér’ og på den måde afgive samtykke til profilering og tracking af deres færden på nettet. Og det bryder med GDPR, mener Noyb, da forordningen »var beregnet til at sikre, at brugere har fuld kontrol over sin data,« skriver man i en meddelelse.

For at finde dark patterns har Noyb udviklet en software, der kan scanne bannerne for vildledende designs. Til at starte med undersøgte man 10.000 hjemmesider og fandt 516 med dark patterns.

Læs også: Sætter fart i GDPR-håndhævelse: NOYB sender 500 klager om ulovlige cookies

Derfor sendte organisationen den 31. maj et klage-udkast til hjemmesideejerne med en beskrivelse af problemerne, Noybs værktøj havde fundet. Virksomhederne har angiveligt haft over to måneder til at rette op på bannerne, inden organisationen officielt lagde sag an mod dem.

Ifølge noyb har flere af hjemmesiderne fjernet nogle dark patterns, men 82 procent bryder stadig med GDPR. Derfor sendte organisationen 422 endelige klager til 17 europæiske tilsynsmyndigheder den 10. august.

»Som uformel feedback hørte vi, at virksomhederne var bekymrede for, at konkurrenter ikke vil være compliant, som vil skabe uretfærdige fordele. Andre sagde, at de vil have en klar afgørelse fra myndighederne, før de retter ind. Vi håber derfor, at datatilsynene vil udstede afgørelser og sanktioner snart,« fortæller Max Schrems, privacy-aktivist og grundlægger af noyb, i en pressemeddelelse.

De problematiske cookie-bannere er blandt andet hos slack.com, mailchimp.com og netdoctor.co.uk viser en liste, organisationen har delt med Version2. Kommunikationsplatformen Slack oplevede i foråret 2020 over 12,5 millioner samtidige brugere dagligt.

Dark patterns på danske hjemmesider

Danske hjemmesider er ikke gået fri af Noybs undersøgelse. På listen med de 422 domæner kan man finde fem danske sider: hestegalleri.dk, baadgalleri.dk, bilgalleri.dk, feltet.dk og amtsavisen.dk. Version2 har spurgt hjemmesideejerne, hvor mange besøgende de har om måneden, men har ikke modtaget svar.

Ifølge organisationen har alle siderne stadig cookie-bannere, der vildleder brugeren, og hjemmesiden med flest problemer er feltet.dk – scanneren har fundet, at:

  • Farven på acceptér-knappen er mere dominerende end farven på de andre knapper.
  • Kontrasten på acceptér-knappen er højere end for de øvrige knapper.
  • Brugeren skal klikke videre for at kunne afvise cookies.

Det er planlagt at disse elementer skal ændres, oplyser CEO og co-founder af feltet.dk, Jesper Johannesen, i en mail:

»Dette har hele tiden været planlagt til at skulle opdateres snarligt. Der har blot været nogle tekniske forudsætninger, der skulle falde på plads inden en opdatering.«

»Noybs klage er baseret på deres holdning til, hvordan farver og kontraster skal være, og ikke hvordan gældende lovgivning forventer det er,« skriver han og henviser til Danske Mediers vejledning.

Her oplyser man, at acceptér- og afvis-knappen godt kan have forskellige farver, for det er illustreret i Datatilsynets vejledning, men brancheorganisationen uddyber:

»Danske Medier anbefaler dog, at ‘Afvis-muligheden’ på ingen måde er søgt skjult i form af placering, farve eller størrelse.«

Det samme skriver Datatilsynet i vejledningen; at acceptér-knappen og afslå-knappen skal have samme ‘meddelelseseffekt', for ellers er det ikke lovligt, »idet den registrerede indirekte skubbes i retning af at give samtykke.«

Herunder kan man se feltet.dk’s cookie-banner i skrivende stund, hvor afvis-knappen er farveløs. Hvis brugeren klikker ‘OK’, siger man ja til at afgive sin persondata om IP, ID og browser til statistik og marketingsformål.

Første lag af cookie-banneren på feltet.dk, som den ser ud d. 19/8 2021 klokken 12.35 Illustration: Skærmbillede

Det er bemærkelsesværdigt, at man nu ikke skal klikke videre for at afvise cookie-banneren, som Noybs scanner tidligere har registreret. Der står heller ikke noget om behandlingsgrundlaget ‘legitim interesse’ i første lag af banneren, som er et af de andre klagepunkter, privacy-organisationen har fundet.

Læs også: Video: Internetaktivisten bag Europas cloud-hovedpine gør status et år efter dommen

Legitim interesse

Ifølge EU-Kommissionen kan man bruge ‘legitim interesse’ som behandlingsgrundlag, hvis det er nødvendigt for at kunne udføre opgaver i forbindelse med erhvervsaktiviteter. Men man understreger, at behandlingen stadig ikke må gå ud over brugernes rettigheder – ellers må man finde et andet behandlingsgrundlag, som for eksempel samtykke.

Noyb mener ikke, at ‘legitim interesse’ har noget at gøre i en cookie-banner, for når først man har afgivet sit samtykke til behandlingen af ens personoplysninger, så behøver man ikke et andet grundlag at arbejde ud fra:

»Det giver ikke mening at bruge samtykke og legitim interesse i den samme behandling, for hvis de afgiver et samtykke, så har man ikke brug for legitim interesse,« fortæller Romain Robert, jurist og programdirektør hos noyb, til Version2 og understreger:

»Det er totalt forvirrende.«

Selvom der ikke står noget om legitim interesse i første lag af banneren, så nævner man det stadig – det er blot gemt væk. Hvis man klikker på linket til samarbejdspartnere i cookie-bannerens første lag og derefter klikker ‘tilbage’, bliver man ført til en boks, som kan ses herunder.

Andet lag af cookie-banneren på feltet.dk, som den ser ud d. 19/8 2021 klokken 12.35 Illustration: Skærmbillede

Her nævner man, at hjemmesiden deler personoplysninger med samarbejdspartnere på grundlag af samtykke og legitim interesse. Version2 har talt, at hjemmesiden deler data med ca. 1427 samarbejdspartnere.

Det er blandt andet virksomheden Adways, der gemmer oplysningerne i 12 måneder, og bruger samtykket til blandt andet at »opbevare og/eller tilgå oplysninger på din enhed«, »oprette en tilpasset annonceprofil« og »måle annonceaktivitet«.

Ifølge Jesper Johannesen bruger samarbejdspartnerne legitim interesse »til at kunne afvikle annoncer uden samtykke til personaliseret indhold, men de annoncer der afvikles vil ikke være personaliserede. Annonceplatforme i dag fungerer blot sådan, at de ikke kan afvikle uden at sætte cookies,« skriver han til Version2 i en mail.

Bannerne hos hestegalleri.dk, bilgalleri.dk og baadgalleri.dk nævner også legitim interesse.

Svært at trække samtykke tilbage

Det største GDPR-problem med de 422 hjemmesider er, at brugerne kan have svært ved at trække et samtykke tilbage, skriver Noyb. Det gælder nemlig i forordningen, at »tilbagetrækningen skal være lige så let som at afgive samtykke.«

Derfor mener organisationen, der skal være en tilbagetræknings-knap synlig på hjemmesiden hele tiden svarende til acceptér-knappen i cookie-banneren, før man kan leve op til GDPR, og det har mange af siderne ikke – herunder de fem danske, som organisationen har klaget over.

Jesper Johannesen fra feltet.dk påpeger, at hjemmesiden har en knap i bunden, der hedder ‘COOKIE INDSTILLINGER', som man kan klikke på og slå forskellige kategorier af cookies fra.

Det burde være ok ifølge vejledningen fra Datatilsynet, hvor man skriver om brugerens mulighed for at tilbagetrække samtykke:

»I praksis kan det fx ske ved, at den dataansvarlige placerer et tydeligt og sigende link i toppen eller bunden af sin hjemmeside, hvorigennem den registrerede kan tilgå muligheden for at trække sit samtykke tilbage.«

Men ifølge noyb er det ikke godt nok til at overholde GDPR, for det er mere komplicerede for besøgende på feltet.dk at slå cookies fra sammenlignet med at slå dem til.

Læs også: Nu går Max Schrems efter Google: Anmelder ulovlig sporing af Android-brugere

Har intet hørt fra Noyb

Selvom privacy-organisationen fortæller, at man har sendt klage-udkast til virksomhederne i maj, så er det en nyhed for Jesper Johannesen:

»Jeg [vil] understrege, at vi er ALDRIG blevet kontaktet af noyb. Vi er heller ikke blevet orienteret om, at vi står på en liste,« skriver han i mailen.

Det samme oplyser virksomheden Heymate, som står for siderne hestegalleri.dk, baadgalleri.dk og bilgalleri.dk, og der er ikke umiddelbart udsigt til ændringer af sidernes cookie-bannere:

»Vi bruger en branchestandard til cookies – Det er ikke noget vi selv har udviklet – Og vi har tænkt os fortsat at følge branchestandarden,« skriver virksomheden i en mail.

Ifølge privacy-organisationen har man sendt klage-udkast til de mailadresser, der er oplyst i hjemmesidernes privatlivspolitikker. En talsperson fra noyb erkender dog, at man ikke har fulgt op på, om virksomhederne har modtaget de første henvendelser i maj, da det er for stort et arbejde, når der er tale om 516 hjemmesider. Version2 har forsøgt at få fat på de oprindelige mails, organisationen har sendt til de danske virksomheder i maj, men uden held.

Talspersonen påpeger, at virksomhederne har pligt til at overholde GDPR i deres cookie-bannere, uanset om de har set en mail fra organisationen eller ej.

Flere klager på vej

Selvom man allerede har sendt en ordentlig bunke klager afsted, er der udsigt til 36 flere, skriver noyb. Store virksomheder som Amazon, Twitter, Google og Facebook, der bruger skræddersyet cookie-bannere, afviser nemlig at fikse de dark patterns, som organisationen har udpeget. Man arbejder netop på klager til de resterende firmaer.

»Der er tendens til, at store spillere og sider, som er meget afhængige af annoncer, i store træk ignorerer vores tilbud om at indgå forlig i sager. Nogle argumenterer åbent for, at det er lovligt at manipulere brugere til at klikke ‘ok’. Vi vil naturligvis fremføre sager her også,« udtaler Max Schrems i pressemeddelelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Baldur Norddahl

Prøv at klikke på det lille cookie ikon nederst til venstre på skærmen. Så får du version2s version af dark pattern med en farveløs knap til at afvise cookies og en farvet knap til den handling, som version2 helst ser du tager. Praktisk talt magen til det skærmbillede der bringes i artiklen.

  • 39
  • 0
#2 Martin Slot

Jo bare at det er marketing der styrer udviklingen og processen. Det handler om maksimering af profit, større bonusser, drinks ved stranden og fede lønninger. Det kan man kun få ved at skide på rettighederne, ikke følge reglerne og lave hurtige kortsigtede resultater.

NOYB burde kigge ind i hvor mange af de bannere som rent faktisk virker og ikke bare popper op og derefter gør intet. Jeg tror de vil blive overrasket ... har jeg hørt fra en ven.

  • 8
  • 3
#5 Ben Arnold

Ikke kun det, men på V2 får man kun to valg:

  1. sig ja til** alle cookies**

  2. gem indstillinger og dermed sig ja til alle valgte cookies (som er: alle cookies - selvom man ikke må præ-tikke en checkbox)

Så i realiteten skal man ind og klikke alle typer cookies væk, og så sige "gem indstillinger". Det er ligeledes dark patterns, det værste af slagsen (nudging af samtykke som man ellers ser opstillet på en anden måde og derfor føler sig tryg ved ikke at klikke "accepter" men alligevel være lige så meget tracket)

  • 15
  • 0
#6 Martin Dahl

Der er intet i vejen med en farveløs "Afvis alle" knap, sålænge den benytter samme skriftsnit og størrelse som "Godkend alle".

Man kan faktisk argumentere for, at en hvid knap med sort tekst er den maksimale kontrast, der kan opnås, og "Godkend alle" dermed er mindre kontrastfyldt, selvom den får en pædagogisk eller ledende grøn farve.

Men dette naturligvis kun, såfremt at "Afvis alle" straks afviser alle ikke-funktionelt-nødvendige cookies og fortsætter rejsen uden anden interaktion.

Det er et udbredt ass-hole-design, at tage den besøgende til en endeløs liste af forud-checkede checkboxes, som skal afcheckes for at fortsætte besøget cookieløst. Og det skal selvfølgelig ophøre.

  • 16
  • 1
#7 Thomas Jensen

Ikke kun det, men på V2 får man kun to valg:

  1. sig ja til** alle cookies**
  2. gem indstillinger og dermed sig ja til alle valgte cookies (som er: alle cookies - selvom man ikke må præ-tikke en checkbox)

Så i realiteten skal man ind og klikke alle typer cookies væk, og så sige "gem indstillinger".

Det er jo ikke korrekt. Eller misforstår jeg noget? Hos mig får jeg to valg:

  1. Accepter alle
  2. Afvis alle

Nederst i boksen er nødvendige aktiveret, og kan ikke ændres, og Funktionelle, Statistiske og Marketing er ikke aktiveret.

Hvis man aktiverer en af Funktionelle, Statistiske og Marketing, ændres knappen "Afvis alle" til "Gem indstrillinger".

Jeg kan ikke se noget dark pattern. Jeg synes "Accepter alle" og "Afvis alle" taler et ret tydeligt sprog.

  • 3
  • 1
#8 ebbe hansen

Problemet er jo ikke så meget førstegangsbesøgende, der har muligheden for at afvise "alle" (ud over de "nødvendige", altså). Hvis man vil ændre på indstillingerne, skal man slå "funktionelle", "statistiske" og "marketing" fra, en ad gangen, mens man med et enkelt tryk på "accepter alle" kan tænde de typer, man eventuelt tidligere har slukket for.

  • 3
  • 0
#9 Baldur Norddahl

Man kan faktisk argumentere for, at en hvid knap med sort tekst er den maksimale kontrast, der kan opnås

Kun hvis du ser på skrifttypen indeni knappen. Men det er ikke hvad vi i første omgang ser. Vi ser en hvid knap på hvid baggrund og en grøn knap på hvid baggrund. Folk klikker på den grønne uden at læse teksten.

Slå også op under klik next syndrom :-)

  • 5
  • 0
#10 Søren Steinmetz

Opdagede så lige at siden gul og gratis, har du valget mellem: acceptere alle cookies og hav "gratis" adgang til siden eller afvise dem og kun få adgang til siden ved at købe adgang.

Det bliver nok den vej vi fremover vil opleve internjettet.

  • 0
  • 0
#11 Henning Wangerin

Opdagede så lige at siden gul og gratis, har du valget mellem: acceptere alle cookies og hav "gratis" adgang til siden eller afvise dem og kun få adgang til siden ved at købe adgang.

Er den site ikke en del af Jysk-fynske medier? Det har de på alle deres medie-sites.

Dvs blandt andre jv.dk og et hav af ugeaviser.

Det bliver nok den vej vi fremover vil opleve internjettet.

Sikkert. Men noget skal de jo leve af.

Er det værre end at smide alt ind bag en betaling-væg?

Eller som her på sitet hvor artikler krævet at man er logget ind?

/Henning

  • 0
  • 0
#13 Kjeld Flarup Christensen

Er det egentligt den rigtige kamp at kæmpe. Som bruger af internettet bliver jeg dagligt "generet" af alle disse samtykke bokse.

Umiddelbart er det faktisk en GOD service, at en af knapperne er markeret tyderligere, så man hurtigt kan klikke af og komme videre med dagens arbejde.

Det her er bare en lille detalje i vores privacy, men den kan kontrolleres og derfor får den for meget opmærksomhed.

I øjeblikket gør Cookies og GDPR at oplevelsen forringes på internettet, det kan næppe være godt for holdningen til privacy på nettet.

  • 2
  • 9
#14 Peter Stricker

I øjeblikket gør Cookies og GDPR at oplevelsen forringes på internettet

GDPR foreskriver ikke at der skal indhentes samtykke til de cookies der gør oplevelsen bedre for dig, nemlig session cookies.

De sites du besøger, hvor du får en dårlig oplevelse på grund af samtykke bokse, er ikke tvunget af GDPR til at lave en privatlivsinvasiv tracking på vegne af en række tredjeparter.

Så jo, det er absolut en kamp der er værd at kæmpe.

  • 8
  • 0
#15 Gert Madsen

De sites du besøger, hvor du får en dårlig oplevelse på grund af samtykke bokse, er ikke tvunget af GDPR til at lave en privatlivsinvasiv tracking på vegne af en række tredjeparter.

Lige præcis.

Det er et umodent marked, og lovgivningen halter.

Hvorfor findes der overhovedet tracking cookies på offentlige hjemmesider? Der har de da ikke noget at gøre.

Hvorfor skal vi bekymre os om cookies, når vi er kunder i en forretning? Hvis forretningen reklamerer med at en dims koster x kr. eller en service y kr./måned, så skal det være prisen. Ikke x eller y kr. + indtægten for alt man kan suge af oplysninger ud af kunderne.

Det er jo falsk markedsføring, analogt med at opgive priser uden moms og lignende.

  • 8
  • 1
#16 Kjeld Flarup Christensen

Hvorfor findes der overhovedet tracking cookies på offentlige hjemmesider? Der har de da ikke noget at gøre.

Sandsynligvis fordi de så får hjemmesiden billigere.

Lidt på samme måde som at skolebørnene får Office365 gratis.

Det offentlige sparer mange penge på at høste vores data. Og der er der mange små firmaer og foreninger som også gør. Så må de leve med at de besøgende generes af cookie meddelelser.

  • 0
  • 0
#18 Kjeld Flarup Christensen

De sites du besøger, hvor du får en dårlig oplevelse på grund af samtykke bokse, er ikke tvunget af GDPR til at lave en privatlivsinvasiv tracking på vegne af en række tredjeparter.

Så hvis cookies klikkes væk så er alle private?

Der findes masser af andre måder du kan blive tracket på, men så længe du er travlt beskæftiget med at klikke cookie bokse væk, går disse under radaren.

  • 0
  • 0
Log ind eller Opret konto for at kommentere