Indignatie redactie 
Cookiebanners die ontwerptrucs gebruiken om gebruikers te misleiden tot toestemming, zijn tegenwoordig overal. We vroegen de gegevensbeschermingsautoriteiten waarom ze er niet meer aan doen en waarom er geen forse straffen op staan.
Google heeft zojuist aangekondigd dat tracking cookies in de tweede helft van 2024 definitief zullen verdwijnen . Tot die tijd zullen commerciële aanbieders met slim ontworpen cookiebanners blijven proberen om hun bezoekers toestemming te geven voor uitgebreide tracking. Zullen de Duitse gegevensbeschermingsautoriteiten het probleem van illegale toestemmingsbanners tegen het einde van het cookietijdperk onder controle krijgen?
Eigenlijk is de zaak duidelijk: om toestemming te geven, moet deze vrijwillig, specifiek en geïnformeerd worden gegeven in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG). Dit elimineert de meeste trucs die worden gebruikt om toestemming van gebruikers te krijgen, ook al zijn ze het er niet mee eens. De Duitse gegevensbeschermingsautoriteiten hebben voor het laatst verduidelijkt wat dit betekent voor cookiebanners in 2021 : de opties moeten gelijk worden gepresenteerd, dus het weigeren van online tracking moet net zo eenvoudig zijn als het accepteren ervan.
Desondanks zijn cookiebanners die gebruikers bedriegen gemeengoed. Zoals we onlangs in een onderzoek hebben aangetoond , vertrouwt de overgrote meerderheid van de 100 Duitse websites met het grootste bereik op zogenaamde “donkere patronen” . Dit zijn ontwerptrucs om gebruikersgedrag te manipuleren. 78 van de 100 werken met gekleurde knoppen of verborgen opties voor gegevensbescherming. In slechts vier van de honderd pagina’s was de optie “alles afwijzen” net zo gemakkelijk te selecteren als de knop “alles accepteren”.
In de ogen van veel waarnemers is het feit dat de permanente schendingen van de AVG na jaren nog steeds aan de orde van de dag zijn, de schuld van de gegevensbeschermingsautoriteiten, die niet consequent genoeg zouden optreden tegen de advertentietechnologie-industrie. “Als de toezichthoudende autoriteiten de AVG vanaf de introductie in 2018 strikt hadden gehandhaafd, zou de data-industrie ons vandaag waarschijnlijk niet zo uitgebreid lastig vallen met manipulatieve, zinloze en irritante toestemmingsbanners”, vertelde tracking-expert Wolfie Christl ons.
We hebben daarom bij de Duitse gegevensbeschermingsautoriteiten rondgevraagd waar zij staan op het gebied van cookiebanners.
Veel klachten en openstaande procedures
Het verslag over de reacties begint met goed nieuws: verschillende interpretaties van de wet, waarvan het federale gegevensbeschermingssysteem in Duitsland af en toe wordt beschuldigd, zijn blijkbaar geen probleem op dit gebied. Alle vier de autoriteiten die we hebben gevraagd, zeggen dat de beschreven ontwerppraktijken over het algemeen duidelijk in strijd zijn met de AVG, hoewel je natuurlijk van geval tot geval moet beslissen.
Het is echter niet alleen het kleurontwerp dat ertoe doet, maar dat de opt-out-optie “duidelijk herkenbaar, gemakkelijk waarneembaar en onmiskenbaar is als alternatief voor toestemming”, aldus de Berlijnse gegevensbeschermingsautoriteit. Collega’s uit Beieren, Hamburg en Noordrijn-Westfalen antwoorden hetzelfde en soms met dezelfde bewoordingen.
De autoriteiten bevestigen ook dat het cookieprobleem veel mensen aangaat en hun toezichtswerk vormgeeft. Het aantal klachten van burgers en lopende onderzoeken hierover is hoog, zeggen ze unaniem. Alleen Beieren is iets specifieker: ongeveer een kwart van de 6.000 klachtenprocedures heeft betrekking op internetgerelateerde gegevensverwerking, maar het percentage cookies wordt niet geregistreerd.
Vaak gaat dit over een ontbrekende “Alles weigeren”-optie op de eerste pagina van het cookie-dialoogvenster. Volgens de autoriteiten in Beieren, Berlijn, Hamburg en Noordrijn-Westfalen zijn er echter altijd klachten dat website-exploitanten al gebruikersgegevens naar externe providers sturen voordat ze de cookiebanner hebben bevestigd.
Naast de vele procedures die in gang worden gezet door klachten van burgers die nog niet zijn afgerond, is er ook een gezamenlijke herzieningsprocedure door veel gegevensbeschermingsautoriteiten bij mediabedrijven. Sinds medio 2021 zijn in totaal 49 websites van mediabedrijven in elf deelstaten onderzocht op user tracking voor reclamedoeleinden. “Hoewel de landelijke testprocedures nog niet zijn afgerond, is nu al te zien dat de meeste geteste websites niet voldoen aan de wettelijke vereisten voor het gebruik van cookies en andere trackingtechnologieën”, meldt de toezichthoudende autoriteit van Noordrijn-Westfalen.
Een melding van de autoriteiten is vaak voldoende
Omdat het onderzoek nog gaande is, kunnen de resultaten mogelijk nog niet worden gepubliceerd. Over het algemeen merkt de gegevensbeschermingsautoriteit echter op dat site-exploitanten vaak toegeven zodra ze op de hoogte zijn van het illegale ontwerp van de cookiebanner. Volgens berichten uit de Hanzestad waren drie Hamburgse mediabedrijven die in het kader van de gezamenlijke actie werden onderzocht, overgestapt op pure abonnementsmodellen.
Maar als eenvoudige informatie van de gegevensbeschermingsautoriteiten genoeg is voor site-exploitanten om hun toestemmingsbanners correct te ontwerpen, waarom zijn cookietrucs dan nog zo wijdverbreid? Wie hoopt op een simpel antwoord van de autoriteiten zal bedrogen uitkomen.
De Hamburgse functionaris voor gegevensbescherming wijst er bijvoorbeeld op dat de situatie al is verbeterd sinds de consumentencentra in 2020 een baanbrekend oordeel hebben gewonnen over cookiebanners . Een knop “alles afwijzen” op het eerste niveau van de cookiedialoog wordt steeds populairder. “Als voorbeeld moet hier de conversie van de Google-cookiebanner worden vermeld”. De groep heeft daarmee een eis van de Noord-Duitse autoriteit geïmplementeerd.
In haar antwoord vestigt de Berlijnse gegevensbeschermingsautoriteit de aandacht op de verantwoordelijkheid van de website-exploitanten en gaat ervan uit dat financiële motieven bepalend zijn voor het niet naleven van de wettelijke voorschriften. “Bij veel middelgrote of kleine bedrijven hebben we de indruk dat ze de trackingmechanismen vooral gebruiken ‘omdat iedereen het doet'”, vult de functionaris voor gegevensbescherming van Noordrijn-Westfalen aan. Bij grote aanbieders gebeurt dit “vaak systematischer en bewuster”. De autoriteit stelt ook dat ze niet regelmatig “ambtshalve op internet zoekt naar gedrag dat de gegevensbescherming schendt”, maar meestal actief wordt als er klachten zijn van burgers.
politieke chaos
De Beierse toezichthouder wijst op een ander aspect. Het feit dat slechts enkele van de vele lopende procedures voor het volgen van toestemming tot nu toe formeel zijn beëindigd, wordt verklaard door het feit dat de juridische situatie in Duitsland pas eind 2021 veranderde. Vorig jaar heeft de federale regering zelfs de Duitse telemediawet aangepast aan de EU-vereisten, volgens welke online tracking alleen met toestemming mag.
Dit is sinds 2009 in de hele EU het geval, maar verschillende federale regeringen hebben geweigerd de vereiste om te zetten in Duitse wetgeving. Dit leidde lange tijd tot grote chaos en rechtsonzekerheid: de reclame-industrie kon een beroep doen op de Telemediawet, volgens welke tracking ook zonder toestemming mogelijk was, terwijl de gegevensbeschermingsautoriteiten aandrongen op naleving van EU-regelgeving. De Wet bescherming telecommunicatie telemedia , die sinds december 2021 van kracht is, bracht definitieve duidelijkheid .
De gegevensbeschermingsautoriteiten hoeven niet alleen verantwoordelijk te zijn voor de gebrekkige juridische handhaving van cookiebanners, elke federale overheid heeft sinds 2009 ook haar rol gespeeld in de chaos van vandaag. Los van het feit dat een politieke oplossing die cookiebanners volledig overbodig zou hebben gemaakt al in 2018 in de EU had moeten worden aangenomen, maar inmiddels onder grote druk van de data-industrie ( en Duitse krantenuitgevers ) is geblokkeerd .
Samenvattend kan het standpunt van de gegevensbeschermingsautoriteiten als volgt worden geformuleerd: Wij zijn aan de beurt, maar dingen hebben tijd nodig. De antwoorden geven enig vertrouwen dat het een signaaleffect zal hebben wanneer meer onderzoeken worden afgerond en rechterlijke beslissingen worden genomen. Het is te hopen dat dit de heroverweging in de industrie zal versnellen.
De enige vraag die natuurlijk open blijft is of dit nog zal gebeuren voordat Google & Co. de tracking cookie volledig hebben uitgezocht .
