I dag havde jeg en meget informativ telefonsamtale med Erhvervsstyrelsen. Jeg havde spurgt til det typiske forløb for en klagesag vedrørende cookiebekendtgørelsen. Det førte til en længere samtale.
Styrelsen fortalte blandt andet, at de fører et dialogbaseret tilsyn med cookiebekendtgørelsen. Det vil sige, at hvis de bliver opmærksomme på en overtrædelse af reglerne, enten på baggrund af en klage eller på eget initiativ, så vil de rette henvendelse til hjemmesidens ejer og bede om at få bragt forholdet i orden. Det har de hidtil haft held med, så der er til dato ikke uddelt en eneste bøde i henhold til cookiebekendtgørelsen, som trådte i kraft i 2011.
Det er godt nyt for de virksomheder, der overtræder reglerne med forsæt, såsom Berlingske Media. De kan med sindsro fortsætte deres lovbrud, indtil Erhvervsstyrelsen en dag banker på og mindeligt beder dem overholde loven.
Hvis man kigger ud over det danske internetlandskab, ser bekendtgørelsens teoretiske mulighed for bøder da heller ikke ud til at have den store præventive virkning.
Så er der jo ikke andet for, end at vi må skrive en klage. Jeg lader Berlingske Media i fred for en stund. Til gengæld har jeg længe haft en høne at plukke med TV 2, der heller ikke har meget til overs for deres brugeres privatliv. Jeg har været i dialog med dem siden marts, men denne dialogbaserede tilgang har indtil videre ikke ført til noget. Måske tager de en henvendelse fra Erhvervsstyrelsen mere alvorligt.
TV 2 er et statsligt aktieselskab. Ved at blæse på reglerne i cookiebekendtgørelsen kan TV 2 alt andet lige sælge annoncepladsen på tv2.dk til en højere pris. De private aktører i mediebranchen er presset på økonomien pga. coronakrisen, så unfair konkurrence fra en statsejet virksomhed er det sidste, de har brug for.
TV 2’s lovbrud går således ikke kun ud over deres brugere men også deres konkurrenter. Det er ikke i orden.
Jeg har skrevet følgende udkast til klage, som jeg vil sende til Erhvervsstyrelsen engang i næste uge. Feedback modtages med afsprittet kyshånd i kommentarfeltet. Jeg opdaterer med den endelige version, når jeg når så langt, så den kan bruges som skabelon eller inspiration for de læsere af bloggen, der selv ønsker at indsende en klage over et website.
Jeg ønsker hermed at klage over TV 2 Danmark A/S, CVR-nr. 10413494, for deres overtrædelse af cookiebekendtgørelsen på deres website, tv2.dk.
Jeg skrev til TV 2 den 17. marts 2020 og gjorde opmærksom på problemet. De oplyste, at de var ved at »gennemgå alle cookie-opsætninger i hele TV 2s univers«, og at »implementeringen vil ske så hurtigt som det nu er muligt under de gældende omstændigheder«. Det er åbenbart ikke særlig hurtigt. Der er nu gået næsten tre måneder siden min første henvendelse, og et halvt år siden Erhvervsstyrelsen udgav sin vejledning til cookiebekendtgørelsen. Så lang tid bør det ikke tage at rette ind efter den nye vejledning, især ikke for en stor virksomhed som TV 2, der råder over en stor it-udviklingsafdeling. Derfor anmoder jeg nu Erhvervsstyrelsen om at tage affære.
Når jeg besøger tv2.dk for første gang, bliver jeg mødt af en hvid boks, der beder om mit samtykke til brug af cookies. Allerede på dette tidspunkt, inden jeg har givet samtykke til noget som helst, er der sat over 15 cookies i min browser, herunder tredjepartscookies fra TNS Gallup (domænet tns-gallup.dk) og Gemius (hit.gemius.pl). Iflg. TV 2’s cookiespecifikation anvendes disse cookies til hhv. “markedsanalyser og rapporteringsformål” og “målrettet annoncering”. De er således ikke teknisk nødvendige i bekendtgørelsens forstand og må derfor ikke sættes uden forudgående samtykke.
For at få adgang til sitet, har jeg ingen anden mulighed end at trykke OK og derved give samtykke til brug af cookies (en cookiemur). Et sådan samtykke er ikke afgivet frivilligt, jf. EDPB’s vejledning til samtykkekravene i GDPR, og derfor er det ikke gyldigt.
Når jeg trykker OK, bliver der sat endnu flere cookies, herunder en del som benyttes til målrettet annoncering. Indsamlingen, udvekslingen og anvendelsen af adfærdsdata til målrettet annoncering er generelt meget omfattende og sofistikeret. Dette forhold nævner jeg, da det af den ældre udgave af Erhvervsstyrelsens vejledning til cookiebekendtgørelsen fra april 2013 fremgår, at effekten på brugernes privatliv vil blive tillagt særlig vægt ved styrelsens tilsyn med bekendtgørelsen.
tv2.dk havde i marts 2020 en halv milliard sidevisninger. Annonceindtægterne fra sitet må derfor antages at være betragtelige – indtægter der vel at mærke er baseret på et ulovligt grundlag. Jeg opfordrer til, at indtægternes størrelse tages med i betragtning ved udmåling af en eventuel bøde.
Jeg anmoder hermed Erhvervsstyrelsen om at træffe de nødvendige foranstaltninger over for TV 2.
Med venlig hilsen
Christian Schmidt
For at få adgang til sitet, har jeg ingen anden mulighed end at trykke OK og derved give samtykke til brug af cookies (en cookiemur).
Du kan trykke "indstillinger" og vælge hvilke cookies du vil acceptere (har ikke set efter om det virker). Det er vigtigt at din klage ikke indeholder fejl, for så giver du TV2 argumenter de ikke fortjener.
Held og lykke med klagen - det er en super vigtig kamp.
Du kan trykke "indstillinger" og vælge hvilke cookies du vil acceptere (har ikke set efter om det virker).
Nej, det er ikke cookies, man her giver samtykke til, så vidt jeg forstår.
Det er faktisk lidt uklart, hvad der foregår under “Indstillinger”. De kalder det “Annonce-indstillinger”. Det kunne godt lugte lidt af samtykke til behandling af persondata, men iflg. deres privatlivspolitik benytter de ikke samtykke men legitim interesse som behandlingsgrundlag.
Du kan trykke "indstillinger" og vælge hvilke cookies du vil acceptere (har ikke set efter om det virker).
Nu har jeg tjekket. Selvom man fjerner alle flueben under “indstillinger”, bliver der stadig sat et hav af cookies, også tredjepartscookies fra annoncenetværk.
Jeg sørger for at opdatere klagen, så den forklarer dette forhold.
Det virker ikke. På flere sider kan man trykke kun de 'nødvendige'. Det virker men er så også løgn i metermål, for hvad er de nødvendige. Dette er ren jurist sprog for at narre alle godtroende. Det er fuldstændig som lovgivningen: 1) loven løs snak 2) lovens forord noget mere løs om salgbart men i strid med lovens indhold 3) emedsmandsudførte cirkulærer og bekendtgørelser der fotolker helt efter eget befindende 4) pressemeddeleser = minsterens spin om loven og som er uden reelt indhold i forhold til loven. Herefter bliver det svært at administrre efter loven og klagere har i hvert fald nul muligheder for at få medhold.
Hej Christian, dit svar indeholde nogen specifikke cookies.
Ville det være muligt at lave en scraper, der fandt de satte cookies på et givet website, så man i sidste ender med en enkelt form/box hvor man kan indtaste et(eller flere) fqdn, som så automatisk laver en analyse og sender en klage til erhversstyrelsen.
det ville spare mange for meget tid :-)
Ville det være muligt at lave en scraper, der fandt de satte cookies på et givet website, så man i sidste ender med en enkelt form/box hvor man kan indtaste et(eller flere) fqdn, som så automatisk laver en analyse og sender en klage til erhversstyrelsen.
Det er jo reelt de nogle af cookie samtykke værktøjerne gør. De crawler sitet og finder alle cookies.
Men ja, hvis man ville bruge energi på det kan man jo godt automatisere løsningen med klager til ERST. Du vil nok skulle bruge en headless browser til at besøge forsiden på det ønskede website, så JavaScript eksekveres, da de mest interesse cookies kommer fra tracking scripts, annoncer m.m.
Midas Nouwens fra Aarhus Universitet m.fl. har lavet en scraper, som de har brugt til at undersøge 10.000 britiske websites. Den er baseret Python-biblioteket Scrapy.
Hvis man skulle sætte det i system, ville det nok skalere bedre at indgive en samlet klage i et regneark frem for bunkevis af mails i fritekst.
Hvis man skulle sætte det i system, ville det nok skalere bedre at indgive en samlet klage i et regneark frem for bunkevis af mails i fritekst.
Det tror jeg du har ret i. Hvis du begynder at spamme ERST, så har dine klager ingen eller i værste fald modsatte effekt.
Men en checkliste eller skabelon, til hvad man bør inkludere i en besked til virksomheden, for at starte en dialog, ville være fint. Det kunne sagtens inkludere noget auto tekst fra en scraper. Når en dialog når et punkt, kan man så gå videre til ERST med en ny tjekliste/skabelon.
Hvis du begynder at spamme ERST, så har dine klager ingen eller i værste fald modsatte effekt.
Helt enig.
Det tjener ikke noget formål at tæppebombe Erhvervsstyrelsen og Datatilsynet med klager. Og hvis man endelig sender en klage, bør man sørge for at have undersøgt og beskrevet forholdene grundigt.
I første omgang bør man altid forsøge at indgå i dialog med virksomheden og give dem en rimelig chance for at løse problemet. De fleste virksomheder vil formentlig være lydhøre over for en venlig henvendelse. Det er især er den lille hårde kerne af virksomheder, der tjener penge på at sælge målrettede annoncer, der stiller sig på bagbenene.
Men en checkliste eller skabelon, til hvad man bør inkludere i en besked til virksomheden, for at starte en dialog, ville være fint.
Det er en god idé.
Det tror jeg du har ret i. Hvis du begynder at spamme ERST, så har dine klager ingen eller i værste fald modsatte effekt.
Tjah. Der var jo en styrelse, som måtte en tur i "Kontant", før de kunne tage sig sammen til at påtale SAS' manglende information om erstatning for forsinkede ankomster. Jeg husker ikke om det var ERST.
Det kan jo være, at det faktisk er det som skal til, for at ERST er andet end en syltekrukke.
Men enig i, at det i så fald bør være nogen anden end Christian Schmidt, som gør det.
Jeg vil bare gerne sige tak fordi, at du tager dig tid til at gå i front med dette. Der er rigtig mange overtrædelser af den slags, og jeg har samme opfattelse af styrelsens kompetencer og vilje.
Det kan jo være, at det faktisk er det som skal til, for at ERST er andet end en syltekrukke.
Inden jeg begynder at udtrykke min mangel på imponerethed over Erhvervsstyrelsen og alle dens gerninger og al dens væsen, så lad mig lige lette på hatten i forhold til Christian og hans indsats; det kan virke som et lille og ubetydeligt stykke land, som han der kæmper for at genvinde på vores vegne, men hvis man er i tvivl om dets betydningen, så skal man tænke lidt over, hvorfor det bliver forsvaret så indædt.
Tak, Christian, jeg hepper også på dig og på dit vigtige og betydningsfulde arbejde!
Men Erhvervsstyrelsen, altså. Nu skal man passe på med at danne sig alt for firkantede mening om noget, hvor man næppe kender det fulde billede, men eufemismen om dialogbaseret tilsyn føjer til desværre til en lang række andre observationer, som alle peger i samme kedelige retning.
Set fra min stol, så virker det relevant at tale om begrebet regulatory capture. Fra den linkede wikipedia-artikel:
For public choice theorists, regulatory capture occurs because groups or individuals with a high-stakes interest in the outcome of policy or regulatory decisions can be expected to focus their resources and energies in attempting to gain the policy outcomes they prefer, while members of the public, each with only a tiny individual stake in the outcome, will ignore it altogether.
Teorien beskriver flere stærke kræfter, som naturligt vil trække et offentligt tilsyn i retning af at tjene dem, som det oprindeligt var ment at føre tilsyn med, i stedet for at tjene offentligheden. Og på mig virker det som om, at Erhvervsstyrelsen mest af alt ser sig selv som sat i verden til at tjene erhvervslivets interesser, og hvis der endelig skal være tilsyn, så som garant for, at det sker på den for erhvervslivet mest nænsomme måde.
Og det taler ind i en observation om, at man ofte får det ind i navnet, som man ikke har. F.eks. den hedengange Tyske Demokratiske Republik. Så det bør vel ikke overraske, hvis at Erhvervsstyrelsen er en service for erhvervslivet, og Udlændingeservice bestyrer udlændinge med hård hånd. Hvor det så efterlader Datatilsynet vil jeg lade læserne selv tænke over.
Min tålmodighed er opbrugt, men så er det godt, at der er folk som Christian. Vi må spille de kort, som vi har på hånden, for der er ikke udsigt til, at vi får nye sådan lige foreløbigt; dertil er særinteresserne for at opretholde status quo alt for stærke.
Apropos reklameindtægter; TV2 er også begyndt at reklamere for Lunar. Deres ledelse er ligeledes kendt for at anvende højst begynderlige metoder - som selv regeringen, diverse tilsyn og styrelser ikke tør at gå nærmere i detalje med. Så måske det 'bare' en ny ledelsesstil fra TV2's side at fremtone lidt 'mafia-agtige'.
TV 2 skrev til mig i tirsdags, at de “inden for en uges tid” er klar til at tage “de første skridt mod compliance i forhold til Datatilsynets vejledning”.
Jeg håber, at deres første skridt fører dem helt over på den rigtige side af loven, så indtil videre holder jeg lige hesten med min klage.
Hej Christian
Fedt du gør en indsats mod cookiesanarkiet?
Jeg har selv været aktiv ift websiders cookieregler og har haft skrevet til Politiken, JP, DBA, Trustpilot og nogle andre. Altid med Ehvervsstyrelsen som modtager også og formuleret det som en officiel klage. Får pænt svar fra Erhvervsstyrelsen hver gang, at de har modtaget min klage.
De fleste svar fra virksomhederne er at "...det tager lang tid at implementere bla bla bla..."
Bedste svar har jeg dog fået fra Politiken, som har svaret ærligt og profesionelt på alle mine modspørgsmål. Det skal de have et plus for.
Hvad jeg nu kan se er, at websiderne bruger GoogleTagManager (hvilket også er svaret fra Politiken). Det betyder at vi reelt ikke kan se, hvad der gemmer sig af cookies (da alt håndteres af Tags), men kun har virksomhedens ord for, at ingen marketing, analytics osv har adgang, når vi siger nej tak
Jeg er kun selvlært data nørd og er derfor ikke IT uddannet. Derfor vil jeg gerne høre herinde:
Har jeg ret i min antagelse, at virksomhederne nu har et nyt hul, hvor vi ikke kan se noget som helst hvad de samler om os? (GoogleTagManager) Eller er jeg helt forkert på den?
Hej Debbie,
Godt at høre om din indsats med at råbe onlinemedier og myndigheder op.
Jeg mener ikke, at brugen af Google Tag Manager er en hindring for at tjekke, hvad der benyttes af cookies på et website.
Når jeg skal tjekke, hvilke cookies der bliver sat, bruger jeg browserens cookiekonsol. Her kan jeg se navn og domæne for de anvendte cookies. Det er ofte de samme, som går igen. Fx ved jeg, at førstepartscookien ved navn _ga er Google Analytics, og at cookies fra domænerne adform.net og doubleclick.net er hhv. Adforms og Googles annoncenetværk. Nogle sites henviser til en meget detaljeret gennemgang af alle anvendte cookies. Disse bliver dannet automatisk af standardværktøjer såsom CookieBot.
Jeg tjekker altid i browserens privacy/incognity-tilstand. Ellers kan jeg ikke skelne cookies, der er sat fra sitet, fra cookies jeg har slæbt med et andet sted fra.
