Henry: Zur Info, wie selbst staatliche Webseiten DSGVO missbrauchen

problematische Seite

Hallo,

ich hatte mich ja schon mal darüber ausgelassen, dass es im Netz von DSGVO Bannern wimmelt, die aber so konzeptioniert sind, dass der Besucher sowieso alles akzeptiert.

Dann bekam ich hier Hinweise und Links, dass sich das bald ändern könnte, weil die Problematik ja bekannt ist. Das scheint aber nicht so.

Und, was mich dann richtig ärgert ist, wenn eine staatliche Seite (westlotto ist doch staatlich anzusehen oder?) das sogar auf die Spitze treibt. Nicht nur, dass der Weg zu den nur notwendigen Datenklaus steinig und irreführend ist, nein dazu kommt auch noch, dass "angeblich" essentiell wichtige Optionen gar nicht abwählbar sind.

Wie üblich, "alles akzeptieren" im Fokus

Diese Punkte sind alle nicht abwählbar:

So was gehört an den Pranger!

Wann tut sich da endlich etwas? Hat jemand aktuelle Infos?

Gruss
Henry

--
Meine Meinung zu DSGVO & Co:
„Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
  1. problematische Seite

    Hallo,

    … (westlotto ist doch staatlich anzusehen oder?) …

    ich glaube nicht. Aus dem Impressum[1]: „Westdeutsche Lotterie GmbH & Co. OHG“

    Gruß
    Jürgen


    1. das mit Mühe auch ohne Cookie-Zustimmung gelesen werden kann. ↩︎

    1. problematische Seite

      Hallo JürgenB,

      … (westlotto ist doch staatlich anzusehen oder?) …

      ich glaube nicht. Aus dem Impressum[^1]: „Westdeutsche Lotterie GmbH & Co. OHG“

      Die Westdeutsche Lotterie GmbH & Co. OHG (kurz: WestLotto) mit Sitz in Münster in Westfalen ist die Lottogesellschaft des Landes Nordrhein-Westfalen. Als Tochterunternehmen der NRW.Bank…

      Die NRW.Bank (Eigenschreibung NRW.BANK) ist die Förderbank für Nordrhein-Westfalen mit Sitz in Düsseldorf und Münster. Ihre Rechtsform ist die einer Anstalt des öffentlichen Rechts. Alleiniger Träger der Bank ist das Land NRW.

      Quelle: https://de.wikipedia.org/wiki/Westdeutsche_Lotterie

      Gruss
      Henry

      --
      Meine Meinung zu DSGVO & Co:
      „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
  2. problematische Seite

    Hallo Henry,

    das ist der Consent-Manager, der muss einen Cookie setzen um deine Cookie-Einstellungen zu speichern.

    Die übrigen sind Zahlungsdienstleister. Man könnte einwenden, dass die nur dann erforderlich sind, wenn man über diese Seite Lotto spielen möchte.

    Aber ich kann das nicht so ganz nachvollziehen. Wenn ich die Seite mit Chrome aufrufe, schüttelt der sich nur kurz und meint zu den Seiten von consensu.org nur net::ERR_BLOCKED_BY_CLIENT. Was ihn zum Blocken veranlasst, verrät er mir nicht, aber ich vermute mal, dass sich Chrome darüber ärgert dass der Consent-Manager sich in einem Script-Element verbirgt, das mit appendChild nachträglich ins DOM gehängt wird. Und dann erstmal ein weiteres Script ins DOM hängt, das den Rest des Managers nachlädt. Muss sich ein Cookie-Manager dermaßen gegen Ausforschungen verteidigen?

    Dass da ein Dark Pattern benutzt wird, ja, da stimme ich zu. Ich kann auch nicht verstehen, dass man 10 Werbedienstleister braucht. Dazu dann noch Facebook, Bing, Google dies, Google das...

    Viele dieser Einwilligungen sind pro forma und auch übertrieben. Den Youtube-Cookie brauche ich nur hinzunehmen, wenn ich ein Video schauen will. Oder auch nicht - ein Video kann ich auch gucken ohne Kekse zu knabbern. Zahlungsdienstleister-Cookies brauche ich nur, wenn ich etwas kaufen will. Und dann müssen das auch keine Permanentcookies sein, da reicht die Session.

    Da ist noch viel zu tun - aber wenn die ganze Cookiedose verrammelt wird, dann kommt irgendwann der Punkt, wo die Anbieter mit unseren Daten nicht mehr genug verdienen. Und dann kommt das Bezahl-Internet. Aber immerhin bezahle ich dann dafür, dass ich einen Dienst bekomme. Und muss mich nicht ausspionieren lassen.

    Rolf

    --
    sumpsi - posui - obstruxi
    1. problematische Seite

      Wie ist das denn, wenn die Suchmaschine metager.de genutzt wird?

      Die bietet bei ihren Fundstücken ANONYM ÖFFNEN an. Westlotto fragt mich dann nicht nach Cookies.

      Linuchs

  3. problematische Seite

    Dann bekam ich hier Hinweise und Links, dass sich das bald ändern könnte, weil die Problematik ja bekannt ist. Das scheint aber nicht so.

    Wenn du auf dieses Posting von mir anspielst: das ist gerade mal zwei Wochen alt.

    Hat jemand aktuelle Infos?

    Die Europäische Kommission hat jede Menge.

    1. problematische Seite

      Hallo 1unitedpower,

      Wenn du auf dieses Posting von mir anspielst: das ist gerade mal zwei Wochen alt.

      Konkret gibts da viele Hinweise, auch ältere.

      Gruss
      Henry

      --
      Meine Meinung zu DSGVO & Co:
      „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
  4. problematische Seite

    Hallo

    … wenn eine staatliche Seite (westlotto ist doch staatlich anzusehen oder?) das sogar auf die Spitze treibt.

    Du hast selbst ermittelt, dass Westlotto ein privatwirtschaftlich organisiertes Tochterunternehmen einer Anstalt des öffentlichen Rechts ist. Damit ist die Website dieser Firma aber keine „staatliche Webseite“.

    Ja, die Art, wie der Benutzer zum akzeptieren aller Cookies verleitet werden soll, ist hintervotzig. Genau so, wie auf vielen anderen Seiten auch. und wie auf vielen anderen Seiten auch werden eigene Cookies wie auch von Drittanbietern in einem unnötigen Maß als elementar und nicht abwählbar deklariert.

    Das ist aber kein „Missbrauch“ der DSGVO, wie du es skandalisierend bezeichnest, sondern schlicht ein Verstoß gegen selbige. Datenerhebung (hier durch Cookies ermöglicht) darf nur im notwendigen Maß erfolgen, was mindestens bei den Zahlungsanbietern nur dann der Fall wäre, wenn es zu einer Zahlung käme, womit die Zwangscookies der Zahlungsanbieter nicht zwangsweise gesetzt werden dürften.

    So was gehört an den Pranger!

    Wann tut sich da endlich etwas?

    Dann, wenn du oder jemand anderes (Verbraucherschutz?) Westlotto wegen dieses Verstoßes verklagt. Die DSGVO ist Gesetz und ein Verstoß gegen das Gesetz muss von jemandem vor Gericht gebracht werden, um ihn zu ahnden [1].

    Das Werkzeug ist da – ohne dass sich da noch etwas tun müsste. Es will benutzt werden.

    Tschö, Auge

    --
    Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
    Hohle Köpfe von Terry Pratchett

    1. Das gilt natürlich auch für die oben angeführten „vielen anderen Seiten“. ↩︎

    1. problematische Seite

      Hallo Auge,

      Das ist aber kein „Missbrauch“ der DSGVO, wie du es skandalisierend bezeichnest, sondern schlicht ein Verstoß gegen selbige.

      Das ist eine interessante Frage. Wenn ich mir Cookies von somebank.example.com als erforderlich abnicken lasse, aber diese Cookies dann und nur dann setze, wenn der Kunde die Zahlungsdienste dieser Bank in Anspruch nimmt, ist das dann ein DSGVO Verstoß? Denn soweit ich das bei Westlotto sehen konnte, wurde mir kein Cookie von einem dieser Zahlungsdienstleister gesetzt.

      Analogbeispiel: An der Türe einer Lottobude steht: Wenn Sie hier eintreten, willigen Sie ein, von unserem Personal nach Belieben geohrfeigt zu werden. Bitte bestätigen Sie die Einwilligung hier auf dieser Liste, mit Name, Adresse und Unterschrift. Solange das die einzige Lottobude weit und breit bin, werden diejenigen, die unbedingt Lotto spielen wollen, trotzdem kommen (wenn auch vielleicht nicht viele). Die Frage, ob sich das Personal der Körperverletzung schuldig macht, stellt sich nicht.

      Man muss hier vermutlich andere rechtliche Grundsätze anwenden. Sittenwidrig, AGB-Überraschungsklauseln, Nötigung, sowas in der Art. Denn die Masche ist definitiv mies. Die Anbieter sind lediglich zu faul, die benötigten Genehmigungen in dem Moment zu holen, wo sie wirklich gebraucht werden. Einen Zahlungsdienstleister-Cookie brauche ich in dem Moment, wo ich damit bezahlen will. Und brauche ich überhaupt einen Permanentcookie eines Zahlungsdienstleisters? Einer für die Session reicht völlig, und das muss man sich nicht mal erlauben lassen.

      Rolf

      --
      sumpsi - posui - obstruxi
      1. problematische Seite

        Hallo,

        Analogbeispiel: An der Türe einer Lottobude steht: Wenn Sie hier eintreten, willigen Sie ein, von unserem Personal nach Belieben geohrfeigt zu werden.

        hihi, ich stelle mir das gerade bildlich vor. 😉

        Einen Zahlungsdienstleister-Cookie brauche ich in dem Moment, wo ich damit bezahlen will.

        Du willst mit einem Cookie bezahlen? Auch 'ne gute Idee!

        Und brauche ich überhaupt einen Permanentcookie eines Zahlungsdienstleisters? Einer für die Session reicht völlig, und das muss man sich nicht mal erlauben lassen.

        So isses. Weil technisch notwendig.
        Man möchte schließlich keine Anmeldeinformationen als URL-Parameter transportieren.

        Live long and pros healthy,
         Martin

        --
        Für welches Tier mühen wir uns am meisten ab? - Für die Katz'.
      2. problematische Seite

        Hallo

        Das ist aber kein „Missbrauch“ der DSGVO, wie du es skandalisierend bezeichnest, sondern schlicht ein Verstoß gegen selbige.

        Das ist eine interessante Frage. Wenn ich mir Cookies von somebank.example.com als erforderlich abnicken lasse, aber diese Cookies dann und nur dann setze, wenn der Kunde die Zahlungsdienste dieser Bank in Anspruch nimmt, ist das dann ein DSGVO Verstoß? Denn soweit ich das bei Westlotto sehen konnte, wurde mir kein Cookie von einem dieser Zahlungsdienstleister gesetzt.

        Das ist natürlich diffizil. Dass der Bankenkeks offensichtlich nur bei Bedarf gesetzt wird, ist mMn vorbildlich. Für diesen Fall der Fälle eine Genehmigung einzuholen, ist vorausschauend. Wobei Henrys Screenshots nicht verraten, ob und wie der Cookiezwang in diesen Fällen begründet wird. Vermutlich verbirgt sie sich hinter den ❓ der einzelnen Einträge. Als wirklich transparent empfinde ich das nicht.

        Man muss hier vermutlich andere rechtliche Grundsätze anwenden. Sittenwidrig, AGB-Überraschungsklauseln, Nötigung, sowas in der Art.

        Das kann ich nicht mal auf Laienniveau beurteilen.

        Denn die Masche ist definitiv mies. Die Anbieter sind lediglich zu faul, die benötigten Genehmigungen in dem Moment zu holen, wo sie wirklich gebraucht werden.

        Das empfände ich als transparent. Zumal in diesem Moment jedem Benutzer klar sein sollte, dass der oder die Kekse für die Abwicklung der Funktion benötigt werden.

        Einen Zahlungsdienstleister-Cookie brauche ich in dem Moment, wo ich damit bezahlen will. Und brauche ich überhaupt einen Permanentcookie eines Zahlungsdienstleisters? Einer für die Session reicht völlig, und das muss man sich nicht mal erlauben lassen.

        … davon abgesehen.

        Tschö, Auge

        --
        Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
        Hohle Köpfe von Terry Pratchett
  5. problematische Seite

    Hi,

    So was gehört an den Pranger!

    Dann melde es doch einfach dem Datenschutzbeauftragten des Bundeslandes, in dem die Firma sitzt.

    cu,
    Andreas a/k/a MudGuard

    1. problematische Seite

      Hallo MudGuard,

      sowas gehört an den Pranger!

      Dann melde es doch einfach dem Datenschutzbeauftragten des Bundeslandes, in dem die Firma sitzt.

      Und das wäre dann vergleichbar mit einem öffentlichen Schandpfahl? Nein, vor solchen Sachen gehört öffentlich gewarnt und nicht irgendwo eine nicht beachtete Email.

      Aber davon abgesehen, habe ich das natürlich längst dort gemeldet.

      Gruss
      Henry

      --
      Meine Meinung zu DSGVO & Co:
      „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
    2. problematische Seite

      Hallo MudGuard,

      Dann melde es doch einfach dem Datenschutzbeauftragten des Bundeslandes, in dem die Firma sitzt.

      Ich habe nun auch die Rückmeldung davon. Ich erspare euch den langen Text, aber der von mir verstandene Tenor daraus lautet:

      "Wir haben und grösste Mühe gegegeben sind sicher es perfekt im Sinne unserer Besucher umgesetzt zu haben. Auch die Anfangssequenz, den User nicht schnell alles abwählen zu lassen, erachten wir absolut für richtig."

      Das meinte ich, so eine Meldung ist sinnlos. Bringt gar nichts. Einzig die Öffentlichkeit kann da was bewegen.

      Gruss
      Henry

      --
      Meine Meinung zu DSGVO & Co:
      „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
      1. problematische Seite

        Hallo Henry,

        Dann melde es doch einfach dem Datenschutzbeauftragten des Bundeslandes, in dem die Firma sitzt.

        Rückmeldung:

        "Wir haben und grösste Mühe gegegeben […]

        Das meinte ich, so eine Meldung ist sinnlos. Bringt gar nichts. Einzig die Öffentlichkeit kann da was bewegen.

        Wieso spricht der Datenschutzbeauftragte des Bundeslandes von „wir“, wenn er die Lotto-Seite meint??

        Bis demnächst
        Matthias

        --
        Du kannst das Projekt SELFHTML unterstützen,
        indem du bei Amazon-Einkäufen Amazon smile (Was ist das?) nutzt.
        1. problematische Seite

          Hallo Matthias,

          Wieso spricht der Datenschutzbeauftragte des Bundeslandes von „wir“, wenn er die Lotto-Seite meint??

          Upps, da hast du recht. "Datenschutzbeauftragte des Bundeslandes" Da ist ja jemand ganz anderes gemeint. Ich hatte den Datenschutzbeauftragten angeschrieben der bei der Lotto-Seite genannt wird. Dann werde ich jetzt mal eine Instanz höher gehen und den anderen kontaktiern. Mal sehen, bin gespannt. Danke für den Hinweis.

          Gruss
          Henry

          --
          Meine Meinung zu DSGVO & Co:
          „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
          1. problematische Seite

            Hallo

            Wieso spricht der Datenschutzbeauftragte des Bundeslandes von „wir“, wenn er die Lotto-Seite meint??

            "Datenschutzbeauftragte des Bundeslandes" Da ist ja jemand ganz anderes gemeint. … Dann werde ich jetzt mal eine Instanz höher gehen und den anderen kontaktiern.

            Nur zur Klarstellung. Der Landesdatenschutzbeauftragte ist keine höhere Instanz sondern eine andere. Der eine ist der von der Firma bestellte, der andere der der Landesregierung.

            Tschö, Auge

            --
            Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
            Hohle Köpfe von Terry Pratchett
            1. problematische Seite

              Hallo,

              sondern eine andere.

              Wäre es möglich, dass es sich dabei aber um die selbe Person handelt? Grade im gegebenen Fall besteht ja eine Art von Verbindung zwischen Unternehmen und Staat…

              Gruß
              Kalk

              1. problematische Seite

                Hallo

                sondern eine andere.

                Wäre es möglich, dass es sich dabei aber um die selbe Person handelt? Grade im gegebenen Fall besteht ja eine Art von Verbindung zwischen Unternehmen und Staat…

                Das kann ich mir, ohne es zu prüfen, schon alleine wegen des möglichen Interessenkonflikts (Vertretung der eventuell gegensätzlichen Interessen der beiden Instanzen) nicht so recht vorstellen.

                Tschö, Auge

                --
                Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
                Hohle Köpfe von Terry Pratchett
      2. problematische Seite

        Hallo Henry,

        unabhängig von der (geklärten) Verwirrung darüber, welcher DSB da geantwortet hat: Wer einen Sumpf trockenlegen will, darf nicht die Frösche fragen. Der DSB von Westlotto wird also nur bei klaren Verstößen gegen geltendes Recht aktiv werden.

        Für die Frage, ob eine Handlungsweise gegen geltendes Recht verstößt, kann man den Landes-DSB fragen. Oder den Anwalt seines geringsten Misstrauens. Und letztlich gibt es eine zuständige Instanz für solche Fragen: Gerichte. Auch wenn deren Kompetenz gelegentlich von gewissen Metallfacharbeitern angezweifelt wird, sind sie dennoch zuständig. Ohne ein Urteil wird wohl nichts passieren.

        Rolf

        --
        sumpsi - posui - obstruxi
        1. problematische Seite

          Hi,

          Für die Frage, ob eine Handlungsweise gegen geltendes Recht verstößt, kann man den Landes-DSB fragen. Oder den Anwalt seines geringsten Misstrauens. Und letztlich gibt es eine zuständige Instanz für solche Fragen: Gerichte. Auch wenn deren Kompetenz gelegentlich von gewissen Metallfacharbeitern angezweifelt wird, sind sie dennoch zuständig. Ohne ein Urteil wird wohl nichts passieren.

          GGf. reicht tatsächlich die Anfrage/Anweisung vom LDSB. Habe selbst schon Dinge ändern dürfen, weil der LDSB den Chefs was angeordnet hat. (Klar, wir hätten auch bis zum Urteil warten können, aber die Sachen waren sehr eindeutig ...)

          Der Weg über den LDSB hat den Vorteil, daß für den Melder kein Kostenrisiko besteht - bei einer Klage trägt man ggf. die Kosten des Verfahrens.

          cu,
          Andreas a/k/a MudGuard

          1. problematische Seite

            Hallo,

            GGf. reicht tatsächlich die Anfrage/Anweisung vom LDSB.

            wenn man sich seiner Sache sehr sicher ist, reicht es manchmal auch schon, dem "Schuldigen" (bewusst in Anführungszeichen) die Meldung an den LDSB nur anzudrohen.

            Ich habe die Erfahrung selbst schon in einigen Fällen gemacht, wenn es um den gesetzwidrigen Umgang mit meinen persönlichen Daten ging.

            Habe selbst schon Dinge ändern dürfen, weil der LDSB den Chefs was angeordnet hat.

            Auch das kann ich mir gut vorstellen.

            Der Weg über den LDSB hat den Vorteil, daß für den Melder kein Kostenrisiko besteht - bei einer Klage trägt man ggf. die Kosten des Verfahrens.

            Wenn's blöd läuft, ja.

            Live long and pros healthy,
             Martin

            --
            Für welches Tier mühen wir uns am meisten ab? - Für die Katz'.
            1. problematische Seite

              Hallo Martin,

              wenn man sich seiner Sache sehr sicher ist,

              Ja. Natürlich. Aber wir reden hier doch von den allseits üblichen Dark Patterns der Kekshausierer. Wenn die Sache völlig eindeutig rechtswidrig wäre, dann würde ich mal annehmen, dass das nur vereinzelt passierte. Es passiert aber fast überall.

              Deswegen ist meine Arbeitshypothese, dass man da eher eine Regelungslücke ausnutzt als klar gegen Recht zu verstoßen. Ein Urteil könnte dazu dienen, zu einer besseren Rechtsauslegung zu kommen und damit die Lücke zu schließen. Oder es könnte klar stellen, dass die Dark Patterns nach geltendem Recht legal sind und legislativer Handlungsbedarf besteht.

              Es sollte im Sinne von Verbraucherschutzverbänden sein, eine solche Klärung herbeizuführen. Aber das ist schon im Gange, und es ist träge. Gerade gelesen.

              Rolf

              --
              sumpsi - posui - obstruxi
              1. problematische Seite

                Hallo Rolf,

                wenn man sich seiner Sache sehr sicher ist,

                Ja. Natürlich. Aber wir reden hier doch von den allseits üblichen Dark Patterns der Kekshausierer.

                am Anfang des Threads vielleicht schon. Aber dort, wo ich heute eingestiegen bin, ging es um die Meldung von Verstößen beim Datenschutzbeauftragten. Das umfasst weit mehr als nur ein regelwidriges Keksmanagement.

                Wenn die Sache völlig eindeutig rechtswidrig wäre, dann würde ich mal annehmen, dass das nur vereinzelt passierte.

                Auch Sachen, die eindeutig rechtswidrig sind, passieren massenhaft. Zum Beispiel die unerwünschte Zusendung von persönlich adressierter Werbung (Kaltacquise). Das ist für sich genommen ein Verstoß gegen UWG §7; dem geht aber in der Regel auch ein Verstoß gegen den Datenschutz voraus, denn sonst hätte das werbende Unternehmen ja gar nicht meine Anschrift.

                Es passiert aber fast überall.

                Eben.

                Deswegen ist meine Arbeitshypothese, dass man da eher eine Regelungslücke ausnutzt als klar gegen Recht zu verstoßen.

                Ich glaube eher, wir haben hier das Prinzip "Wo kein Kläger, da kein Richter". Weil niemand den Aufwand und die Kosten riskieren will, endlich mal gegen solche Praktiken zu klagen.

                Es sollte im Sinne von Verbraucherschutzverbänden sein, eine solche Klärung herbeizuführen. Aber das ist schon im Gange, und es ist träge. Gerade gelesen.

                Aber wenigstens lässt das hoffen.

                Live long and pros healthy,
                 Martin

                --
                Für welches Tier mühen wir uns am meisten ab? - Für die Katz'.