Datenschutz-Aktivisten von Noyb machen Ernst: Beschwerden gegen 422 Firmen eingereicht

Die in Wien ansässige Datenschutzorganisation Noyb hatte im Frühjahr angekündigt, mit dem „Cookie-Banner-Wahnsinn“ endlich Schluss zu machen. Nun hat Noyb die zweite Stufe seiner Aktions-Rakete gezündet, deren weiterer Flug in der EU aufmerksam beobachtet wird.

Im Frühjahr (wir berichteten hier) gingen die Datenschutz-Aktivisten bereits daran, 10000 häufig besuchte europäische Webseiten dahingehend zu prüfen, ob deren Betreiber sogenannte „Dark Patterns“ oder irreführende Designs von Cookie-Bannern verwendeten, die eine Zustimmung des Nutzers manipulieren bzw. unmöglich machen – und damit gegen die DSGVO verstoßen. Dabei stellte die Datenschutz-NGO über 500 Verstöße fest und versandte an jedes der betroffenen Unternehmen eine Beschwerde mit der Androhung, bei Nichtbeheben des Verstoßes eine formale Datenschutzbeschwerde zu erheben.

Finsteres Spiel mit Cookie-Bannern

„Dark Pattern“ – dunkle Muster – sind Tricks von Webseiten-Betreibern, bei der Zustimmung von Cookies genau den Klick zu erhalten, der dem Anbieter den gewünschten Datentransfer sichert, den User aber durch verwirrende Angaben und grafische Elemente hinters Licht führt. Davon gibt es zahlreiche Varianten: Mal muss man eine bestimmte Aktion ausführen, weil man sonst nicht wie gewünscht weitergeleitet wird. Anbieter von Produkten täuschen eine künstliche Verknappung vor, der man nur mit einer schnellen Entscheidung zuvorkommen kann. Oder das Webdesign ist so unübersichtlich, dass man schnell die Geduld verliert und ungewollt persönliche Daten preisgibt. Insofern ist es eine zwar laute, aber durchaus lobenswerte Aktion, die Noyb gerade über die Ländergrenzen hinaus bekanntmacht.

Riesige Beschwerdewelle losgetreten

Wie Noyb nun mitteilt, muss die Frühjahrskampagne ein voller Erfolg gewesen sein: 42 Prozent aller Verstöße seien behoben worden. Noyb-Vorsitzender Max Schrems: „Wir sind mit den ersten Ergebnissen sehr zufrieden. Einige große Unternehmen, wie Seat, Mastercard oder REWE, haben ihre Praktiken sofort geändert. Viele andere Websites haben jedoch nur die problematischsten Praktiken eingestellt. Sie haben zum Beispiel einen ‚Ablehnung‘-Button hinzugefügt, der aber immer noch schwer zu lesen ist. Die Notwendigkeit einer deutlich sichtbaren Option, eine Einwilligung wieder zurückzunehmen, stieß bei den Website-Betreibern auf den größten Widerstand.“ 82 Prozent der kontaktierten Unternehmen hätten jedenfalls „ihr DSGVO-widriges Handeln nicht vollständig eingestellt“. Wie angekündigt folgte umgehend eine zweite Welle von 422 formalen Beschwerden, die Noyb bei zehn europäischen Datenschutzbehörden einreichte.

Die Ausreden der Unternehmen

Warum setzen sich die angeschrieben Firmen weiteren Problemen aus? Das Noyb-Team lässt auf seiner eigenen Website durchblicken, dass es offenbar informelle Rückmeldungen aus den Reihen der 500 angezählten Unternehmen gab. Deren Argumente: Wenn Wettbewerber sich nicht an die Vorschriften hielten, seien sie als strikt DSGVO-konforme Firma im Nachteil. Andere würden erst einmal auf Entscheidungen der Datenschutzbehörden warten, „bevor sie die Gesetze einhalten“.

Internetgiganten reagieren nicht

Noyb hebt hervor, dass viele der angeschriebenen Banner-Sünder die DSGVO als Auslegungssache begriffen. Andere – nämlich 36 „große“ Seiten wie Amazon, Twitter, Google oder Facebook – , die anfangs noch nicht überprüft worden waren, lehnten es rundweg ab, ihre Banner zu optimieren. Max Schrems: „Größere Akteure und Seiten, die stark von Werbung abhängig sind, haben unsere Verwarnung weitgehend ignoriert. Sie argumentieren teilweise offen, dass Sie das Recht hätten, Nutzer mit Manipulationen zu einem Klick auf den ‚Okay‘-Button zu bringen. Wir werden natürlich auch hier Beschwerden einreichen.“ Weiterhin moniert Noyb, dass Firmen aus einem EU-Staat Maßnahmen der Datenschutzbehörden aus einem anderen auch nur für dieses Land als gültig auffassten. Hier müssten „gesamteuropäische Regeln“ her. Derweil scannt Noyb weiter Websits auf der Jagd nach missbräuchlichen Cookie-Bannern. Eine behördliche Reaktion auf das große Beschwerdepaket wird für Jahresende erwartet.