Die Datenschutzorganisation „Noyb“ geht gegen Cookie-Banner vor. Die Datenschutzorganisation untersuchte über 10.000 europäische Webseiten und reichte im Zuge dessen zahlreiche Beschwerden gegen Unternehmen ein, die vermeintliche Verstöße gegen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) begangen haben.

„Noyb“ ( das steht für „ none of your business“: „Geht dich nichts an“) ist eine Datenschutzorganisation, die von dem österreichischen Datenschutzaktivisten Max Schrems geführt wird. Der Österreicher ist kein Unbekannter: Er kämpfte bereits gegen Facebook und schaffte es mit den Urteilen Schrems I und II  Datenschutzabkommen wie das „Safe Harbor“ und „Privacy Shield“ zu kippen. Seiner Datenschutzorganisation zu Folge verstecken sich in den sog. Cookie-Bannern häufig Datenschutzverstöße. Jetzt wurden sogar rund 422 formelle DSGVO-Beschwerden von der europäischen Datenschutzorganisation „noyb“ eingelegt. Dies stellt schon mal einen Schritt in die richtige Richtung dar, gegen die rechtswidrigen Banner vorzugehen.

Cookies sind Datensätze, die zwischen Computerprogrammen ausgetauscht werden. Diese Datensätze werden von Webseiten gespeichert und vor allem dafür genutzt, um Nutzer zu identifizieren z.B indem das individuelle Surfverhalten und Präferenzen der „User“ ermittelt wird. Ziel dieser Cookies ist es, aus den ermittelten Informationen individuelle Werbung und auf den bestimmten Nutzer gezielte Anzeigen zu schalten.

 

Cookie-Banner müssen DSGVO-konform sein

Natürlich möchte man grundsätzlich in den meisten Fällen sein Surfverhalten schützen und dies nicht einfach so preisgeben. Dafür sind die sog. Cookie-Banner gut, mit Hilfe dessen die User selbst entscheiden können, welche Dienste sie auf dieser Webseite erlauben möchten und welche eben nicht. Erst dann können Besucher den Inhalt der Seite sehen. Im Falle der Zustimmung wird man dann von der Technik hinter der Seite analysiert. Manche empfinden sie als „digitale Seuche“, laut Schrems „hasst jeder in Europa Cookie-Banner.” Sie klären die Nutzer auf, dass Cookies auf ihren Geräten gespeichert werden. Und genau hier stellt sich das Problem, mit dem sich vor allem die Datenschutzorganisation von Max Schrems befasst – die Rechtmäßigkeit dieser Cookie-Banner im Einklang mit der DSGVO. Die DSGVO sieht diesbezüglich vor, dass Datenverarbeitungsvorgänge erst erfolgen dürfen, nachdem die Besucher der Webseite aktiv ihre Einwilligung abgegeben haben. Dies hatte der EuGH 2019 explizit betont, dass Daten nur nach der aktiven Zustimmung des Nutzers gesammelt werden dürfen. Schrems zufolge forderten viele Banner jedoch auf rechtswidrige Weise die Zustimmung ein. Er sieht das Problem in der Gestaltung der Banner:  „Sie seien so gestaltet, dass kaum jemand kapiere, welche Daten über ihn erfasst würden, und wie er das verhindern könne.“

„Dark patterns manipulieren den Nutzer“

Unter „dark patterns“ (auch „dunkle Muster“ genannt) versteht man irreführende Farben und unübersichtliche Designs, die dazu verleiten, Cookies uneingeschränkt zuzustimmen. Schrems kritisiert diese „dark patterns“: Sie manipulieren den Nutzer. „Da ist der Knopf für die bedingungslose Zustimmung zur Überwachung markant und farbig, der Knopf zur Ablehnung nicht nur unscheinbar, sondern auch auf Seite zwei oder drei des Banners versteckt.“

Datenschutzorganisation Noyb reicht zahlreiche Beschwerden ein

Noyb hat es sich binnen eines Jahres zur Aufgabe gemacht, die Cookie-Banner von über 10.000 europäischen Webseiten zu untersuchen und war dabei auch erfolgreich: Zahlreiche rechtswidrige Banner wurden gefunden. Die häufigsten Verstöße, die „noyb“  zum Widerruf von Cookies fand, waren vor allem indem auf der ersten Bannerseite kein „Ablehnen“-Button zu finden sei. Die DSGVO sieht jedoch für das „Ablehnen“ von Cookies die gleichen Anforderungen wie für die „Zustimmung“ vor.  Nur bei rund 18 Prozent der überprüften Webseiten stellte sich heraus, dass die Option das Tracking abzulehnen wie anzunehmen gleichermaßen einfach war.

Dementsprechend wurden die ermittelten Unternehmen daraufhin aufmerksam gemacht, die Cookie-Banner ihrer Webseiten DSGVO-konform zu gestalten. Von den kontaktierten Unternehmen haben viele jedoch die Umsetzung verweigert oder sind dieser unzureichend nachgekommen. Gegen 422 Unternehmen wurde deshalb nun Beschwerde bei den zuständigen Datenschutzbehörden erhoben. Laut Schrems sollte die hohe Bußgeldsumme ein Anreiz sein, „einen Banner innerhalb einer Stunde umzusetzen“: Diese beläuft sich nämlich auf bis zu 20 Millionen Euro Strafe.