Benjamin_Boenisch/breakpilot-compliance
1
1
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity

feat: Deep consent verification — DataLayer, Storage, GCM, TCF

Browse Source 
5 verification layers added to the 3-phase banner test:

1. DataLayer/GTM Interception: Proxy on window.dataLayer captures
   all push() events. Distinguishes safe lifecycle events (gtm.js,
   gtm.dom) from tracking events (page_view, conversion, purchase).
   Flags tracking events before consent as violations.

2. localStorage/sessionStorage Monitoring: Intercepts setItem() to
   detect tracking keys (_ga, _fbp, amplitude, mixpanel, etc.)
   written before consent.

3. Google Consent Mode v2 Runtime Verification: Reads actual GCM
   state (analytics_storage, ad_storage) per phase. Verifies
   default=denied before consent, stays denied after reject,
   switches to granted after accept.

4. TCF v2.2 State: Reads __tcfapi('getTCData') if available.
   Verifies consent purpose states match user choice.

5. Cookie Attribute Analysis: Domain (1st vs 3rd party), expires
   (>13 months), secure flag for tracking cookies.

10 new L2 checks with expert hints (EDPB, CNIL, §25 TDDDG).
All interceptor calls wrapped in try/except for graceful fallback.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-05-10 08:58:44 +02:00
parent 99ef9873ad
commit d2dc0c9fe4
4 changed files with 499 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
consent-tester/checks/banner_checks.py
+210
View File
@@ -705,4 +705,214 @@ BANNER_CHECKLIST = [
"Ablehnung eine leere Seite oder Redirect auf Fehlerseite."
),
},
# =====================================================================
# Deep Verification L2 Checks (consent interceptor data)
# =====================================================================
{
"id": "datalayer_events_before",
"label": "Keine DataLayer-Tracking-Events vor Consent",
"level": 2,
"parent": "banner_pre_consent",
"check_key": "datalayer_events_before",
"severity": "HIGH",
"hint": (
"ss25 Abs. 1 TDDDG: Jeder DataLayer-Push, der ein Tracking-Event "
"ausloest (z.B. page_view, purchase, conversion, gtm.click), "
"stellt einen Zugriff auf das Endgeraet dar, weil dabei "
"personenbezogene Daten (Client-ID, Session-Daten, URL, Referrer) "
"an Drittanbieter-Server uebermittelt werden. Die CNIL hat in "
"ihrer Google-Entscheidung (SAN-2021-023) explizit bestaetigt, "
"dass bereits das Ausloesen eines GA4-Events vor Consent einen "
"Verstoss darstellt. Pruefung: DataLayer auf Tracking-Events "
"wie page_view, add_to_cart, conversion etc. vor jeder Banner-"
"Interaktion pruefen. Ausnahme: gtm.js, gtm.dom, consent_update "
"sind technisch notwendig und zulaessig."
),
},
{
"id": "localstorage_tracking_before",
"label": "Keine Tracking-Keys in localStorage vor Consent",
"level": 2,
"parent": "banner_pre_consent",
"check_key": "localstorage_tracking_before",
"severity": "MEDIUM",
"hint": (
"ss25 Abs. 1 TDDDG, Art. 5(3) ePrivacy-RL: localStorage und "
"sessionStorage sind funktional aequivalent zu Cookies — der "
"Zugriff auf den lokalen Speicher des Endgeraets erfordert "
"dieselbe Einwilligung. Die EDPB Guidelines 05/2020, Rn. 10-11 "
"stellen klar, dass 'any information stored on the terminal "
"equipment' erfasst ist, unabhaengig von der technischen "
"Implementierung. Bekannte Tracking-Keys: _ga, _gid, _fbp, "
"_hjSession, _clck, amplitude_*, mixpanel_*. Pruefung: "
"Storage.setItem()-Aufrufe vor Consent auf bekannte Tracking-"
"Praefix-Muster ueberpruefen."
),
},
{
"id": "gcm_runtime_denied",
"label": "Google Consent Mode Runtime = denied vor Consent",
"level": 2,
"parent": "banner_pre_consent",
"check_key": "gcm_runtime_denied",
"severity": "HIGH",
"hint": (
"Google Consent Mode v2 (GCM): Die Laufzeit-Werte fuer "
"analytics_storage, ad_storage, ad_user_data und "
"ad_personalization muessen nach dem gtag('consent','default') "
"Aufruf tatsaechlich auf 'denied' stehen. Diese Pruefung geht "
"ueber den statischen Quelltext hinaus und verifiziert den "
"effektiven Runtime-Zustand im Browser. Haeufiger Fehler: Der "
"CMP sendet gtag('consent','default',{...}) korrekt, aber ein "
"spaeterer gtag('consent','update',{...}) ueberschreibt die "
"Werte zu 'granted' noch VOR der Nutzer-Interaktion. Auch "
"Region-basierte Defaults (z.B. 'granted' fuer Nicht-EU) "
"koennen bei fehlerhafter Geo-Erkennung zu einem Verstoss "
"gegen ss25 TDDDG fuehren."
),
},
{
"id": "datalayer_events_after_reject",
"label": "Keine neuen DataLayer-Events nach Ablehnung",
"level": 2,
"parent": "banner_post_reject",
"check_key": "datalayer_events_after_reject",
"severity": "CRITICAL",
"hint": (
"ss25 Abs. 1 TDDDG, CNIL SAN-2022-009 (Criteo, 40 Mio. EUR): "
"Wenn nach ausdruecklicher Ablehnung weiterhin DataLayer-"
"Tracking-Events gefeuert werden (z.B. page_view, conversion), "
"liegt ein schwerwiegender Verstoss vor. Der Nutzer hat seinen "
"Willen unmissverstaendlich erklaert — jedes weitere Tracking-"
"Event ist rechtswidrig. Haeufiger Fehler: Der CMP setzt den "
"Consent-Status korrekt, aber GTM-Container-Tags pruefen den "
"Status nicht oder verwenden veraltete Trigger-Konfigurationen. "
"Pruefung: DataLayer nach dem Reject-Klick auf neue Tracking-"
"Events ueberwachen."
),
},
{
"id": "gcm_stays_denied",
"label": "Consent Mode bleibt denied nach Ablehnung",
"level": 2,
"parent": "banner_post_reject",
"check_key": "gcm_stays_denied",
"severity": "CRITICAL",
"hint": (
"Google Consent Mode v2: Nach Ablehnung MUSS der CMP den "
"Befehl gtag('consent','update',{analytics_storage:'denied', "
"ad_storage:'denied', ...}) senden. Wenn der Consent Mode "
"nach Reject auf 'granted' steht oder unveraendert bleibt, "
"sendet GA4 weiterhin vollstaendige Hits statt consent-"
"reduzierter Pings. Die CNIL Leitlinie (Okt. 2020) und "
"EDPB Guidelines 05/2020, Rn. 112 fordern, dass technische "
"Massnahmen die Ablehnung 'effektiv umsetzen'. Pruefung: "
"Runtime-Werte von analytics_storage, ad_storage, "
"ad_user_data, ad_personalization nach Reject verifizieren."
),
},
{
"id": "storage_cleared_after_reject",
"label": "Tracking-Storage nach Ablehnung geleert",
"level": 2,
"parent": "banner_post_reject",
"check_key": "storage_cleared_after_reject",
"severity": "MEDIUM",
"hint": (
"CNIL Leitlinie (Okt. 2020), Rn. 23: Der Verantwortliche muss "
"sicherstellen, dass 'le refus est effectivement mis en oeuvre'. "
"Wenn nach Ablehnung weiterhin Tracking-Schluesse in "
"localStorage/sessionStorage geschrieben werden (z.B. _ga, "
"_hjSession, _clck), ist die Ablehnung nicht wirksam umgesetzt. "
"Auch bestehende Tracking-Eintraege sollten idealerweise "
"bereinigt werden. Pruefung: Storage.setItem()-Aufrufe nach "
"dem Reject-Klick auf bekannte Tracking-Keys ueberpruefen. "
"Haeufiger Fehler: CMP loescht Cookies, vergisst aber "
"localStorage-Eintraege von Hotjar, Clarity oder Amplitude."
),
},
{
"id": "cookie_domain_check",
"label": "Keine 3rd-Party-Tracking-Cookies vor Consent",
"level": 2,
"parent": "banner_pre_consent",
"check_key": "cookie_domain_check",
"severity": "HIGH",
"hint": (
"ss25 Abs. 1 TDDDG, EuGH C-673/17 (Planet49), Rn. 61: "
"Tracking-Cookies wie _ga, _gid, _fbp, _fbc, IDE, _gcl_*, "
"_tt_*, _pin_*, li_sugr, _hj* duerfen erst NACH expliziter "
"Einwilligung geschrieben werden. Diese Pruefung ueberwacht "
"document.cookie-Schreibvorgaenge in Echtzeit und erkennt "
"Tracking-Cookie-Patterns bereits beim Setzen — nicht erst "
"beim nachtraeglichen Cookie-Scan. Haeufiger Fehler: CMP "
"konfiguriert Consent-Default auf 'granted', wodurch GA4 "
"sofort _ga/_gid setzt und erst bei Ablehnung loescht — "
"zu diesem Zeitpunkt wurde der Zugriff aber bereits "
"rechtswidrig durchgefuehrt."
),
},
{
"id": "cookie_expires_check",
"label": "Tracking-Cookies nicht ueber 13 Monate",
"level": 2,
"parent": "banner_consent_valid",
"check_key": "cookie_expires_check",
"severity": "MEDIUM",
"hint": (
"CNIL Leitlinie (01.10.2020), Art. 5: Die Gueltigkeitsdauer "
"von Tracking-Cookies darf 13 Monate (ca. 395 Tage) nicht "
"uebersteigen. Auch die DSK-Orientierungshilfe Telemedien "
"(Dez. 2021) empfiehlt diese Obergrenze. Pruefung: Das "
"Expires/Max-Age-Feld der per document.cookie geschriebenen "
"Tracking-Cookies auswerten. Haeufiger Fehler: GA4 setzt "
"_ga mit Standardablauf von 2 Jahren (730 Tage) — das "
"ueberschreitet die CNIL-Empfehlung deutlich. Loesung: "
"Cookie-Lebensdauer in der GA4-Konfiguration auf maximal "
"13 Monate begrenzen."
),
},
{
"id": "tcf_consent_valid",
"label": "TCF v2.2 Consent-Status korrekt",
"level": 2,
"parent": "banner_consent_valid",
"check_key": "tcf_consent_valid",
"severity": "MEDIUM",
"hint": (
"IAB TCF v2.2 Specification, ss4.1: Wenn ein CMP das "
"Transparency and Consent Framework implementiert, muss die "
"__tcfapi('getTCData') Antwort valide sein — insbesondere "
"gdprApplies, purpose.consents und vendor.consents muessen "
"den tatsaechlichen Consent-Status widerspiegeln. Die "
"belgische DPA hat im TCF-Entscheid (02/2022) festgestellt, "
"dass fehlerhafte TC-Strings die gesamte Consent-Kette "
"ungueltig machen. Pruefung: __tcfapi verfuegbar, tcString "
"nicht leer, gdprApplies korrekt gesetzt. Haeufiger Fehler: "
"CMP meldet gdprApplies=false fuer EU-Nutzer wegen "
"fehlerhafter GeoIP-Erkennung."
),
},
{
"id": "response_blocked_before",
"label": "Tracking-Requests werden vor Consent blockiert",
"level": 2,
"parent": "banner_pre_consent",
"check_key": "response_blocked_before",
"severity": "MEDIUM",
"hint": (
"ss25 Abs. 1 TDDDG, EDPB Guidelines 05/2020, Rn. 10: Auch "
"navigator.sendBeacon()-Aufrufe an Tracking-Domains stellen "
"einen Zugriff auf das Endgeraet dar, weil dabei Nutzer-"
"Informationen (URL, Referrer, Timing-Daten) uebermittelt "
"werden. Diese Methode wird haeufig fuer Analytics-Pings "
"verwendet (GA4 Measurement Protocol, Meta CAPI). Pruefung: "
"sendBeacon-Aufrufe vor Consent auf bekannte Tracking-"
"Domains (google-analytics.com, facebook.com/tr, "
"analytics.tiktok.com etc.) ueberpruefen. Haeufiger Fehler: "
"Web-Vitals-Library sendet Metriken per sendBeacon an "
"Google Analytics noch bevor der CMP geladen ist."
),
},
]