Die Datenschützer von noyb haben im Mai eine Beschwerdewelle gegen manipulative und rechtswidrige Cookie-Banner auf großen Websites gestartet. Ein Teil der betroffenen Firmen hat inzwischen nachgebessert. Andere müssen nun mit formalen Beschwerden rechnen.
Die europäische Datenschutzorganisation noyb legt bei ihrem Kampf gegen rechtswidrige Cookie-Zustimmungsabfragen im Internet nach. Nach einer ersten Beschwerdewelle, die sich Ende Mai noch an die Webseitenbetreiber selbst richtete, will das Team um den österreichischen Datenschutzaktivisten Max Schrems nun 422 formale Beschwerden bei zehn Datenschutzbehörden einreichen. Nach Ansicht der Aktivisten verstoßen die Firmen mit manipulativen Cookie-Bannern gegen die europäische Datenschutz-Grundverordnung (DSGVO).
Cookies sind kleine Datensätze, die Webseiten hinterlegen, um die Nutzer identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird dann etwa für personalisierte Werbung herangezogen.
Nach den Schreiben an mehr als 500 Unternehmen am 31. Mai seien 42 Prozent aller Verstöße auf mehr als 516 Websites beseitigt worden. Zu den Unternehmen, die die Verwendung von «dark patterns» zur Einholung der Zustimmung vollständig eingestellt haben, gehören globale Marken wie Mastercard, Procter & Gamble, Forever 21, Seat oder Nikon.
Unter „dark patterns“ versteht man Bedienoberflächen, die Nutzer zu einer Handlung bringen sollen, die nicht ihren eigentlichen Absichten entspricht. Im Fall von Cookie-Hinweisen werden Buttons, Aufbau und Beschriftung gezielt so gewählt, dass die Website-Besucher am ehesten eine datenschutzunfreundliche Auswahl treffen.
Nur eine Minderheit der angeschriebenen Unternehmen kam der Aufforderung von noyb nach, den Widerruf so einfach wie die Erteilung der Einwilligung zu gestalten. Nur 18 Prozent hätten eine solche Option quasi als Widerrufssymbol auf ihrer Website eingerichtet.
Unternehmen wollen Recht auf Manipulation
In dem Cookie-Streit hat es die werbetreibende Industrie mit einem einflussreichen Gegner zu tun. Schrems hat in zwei spektakulären Fällen bereits Facebook in die Knie gezwungen. Er setzte zum einen im Oktober 2015 vor dem Europäischen Gerichtshof (EuGH) durch, dass die von Facebook genutzte transatlantische Datenschutzvereinbarung „Safe Harbor“ gekippt wurde. Im Juni 2020 brachte er vor dem EuGH schließlich auch die Nachfolgeregelung „Privacy Shield“ zu Fall.
Schrems erklärte nun, Unternehmen hätten die Befürchtung geäußert, dass ihre Konkurrenten die Vorschriften nicht einhalten, was zu einem unfairen Wettbewerb führen würde. „Andere sagten, dass sie auf eine klare Entscheidung der Behörden warten, bevor sie die Gesetze einhalten. Wir hoffen daher, dass die Datenschutzbehörden bald Entscheidungen und Sanktionen erlassen werden.“
Unabhängig von der Überprüfung der mehr als 500 Webseiten in der ersten Beschwerdewelle nahmen Schrems und sein Team auch größere globale und nationale Websites unter die Lupe, die individuelle „Cookie-Banner“ verwenden und daher eine manuelle Überprüfung erfordern. Dazu gehören alle großen Plattformen wie Amazon, Twitter, Google oder Facebook. „Sie alle haben sich geweigert, ihre Banner zu verbessern“, erklärten die Datenschutz-Aktivisten. Noyb reiche deshalb weitere 36 Beschwerden gegen diese Unternehmen ein.
„Größere Akteure und Seiten, die stark von Werbung abhängig sind, haben unsere Verwarnung weitgehend ignoriert“, beklagte Schrems. „Sie argumentieren teilweise offen, dass sie das Recht hätten, Nutzer mit Manipulationen zu einem Klick auf den „Okay“-Button zu bringen.“ Schrems setzte sich für „klare gesamteuropäische Regeln“ ein. „Im Moment hat ein deutsches Unternehmen das Gefühl, dass die Auslegung der DSGVO durch die französischen Behörden nur für Frankreich gilt, obwohl das Recht überall gleich gelten sollte.“
