Im Rahmen eines einjährigen Projekts zu irreführenden Designs und sogenannten »dark patterns« bei Cookie-Bannern wird noyb bis zu 10.000 Websites in Europa scannen, vorwarnen und am Ende die DSGVO durchzusetzen. Nach dem Versand von Warnungen und »Beschwerdeentwürfen« an mehr als 500 Unternehmen am 31. Mai 2021 wurden 42 Prozent aller Verstöße behoben. Allerdings haben 82 Prozent aller Unternehmen ihr DSGVO-widriges Handeln nicht vollständig eingestellt. Daher hat »noyb« heute 422 formale Beschwerden bei zehn Datenschutzbehörden eingereicht.
42 Prozent aller Verstöße behoben. Insgesamt wurden auf den 516 Websiten des ersten Durchlaufs 42 Prozent der Verstöße behoben. Von den Unternehmen, die zuvor gegen das Gesetz verstoßen hatten, fügten 42 Prozent eine »Ablehnen«-Option hinzu. 68 Prozent entfernten bereits angekreuzte Kästchen, 46 Prozent änderten irreführende Farben der Zustimm- und Ablehn-Buttons. 22 Prozent zogen ihre Behauptung zurück »berechtigtes Interesse« zu haben das Tracking ohne Zustimmung der Nutzer:innen erlauben soll. Insgesamt wurden 1028 einzelne Verstöße auf mehr als 516 Websites beseitigt. Zu den Unternehmen, die die Verwendung von »dark patterns« vollständig eingestellt haben, gehören globale Marken wie Mastercard, Procter & Gamble, Forever 21, Seat oder Nikon aber auch lokale Größen wie der österreichische REWE«Konzern der Reiseveranstalter LTUR, der Europapark Rust oder DHL.
»Widerruf« als größtes Hindernis. Der größte Widerstand von Websites betrifft die Anforderung der DSGVO, den Widerruf so einfach wie die Erteilung der Einwilligung zu gestalten. Nur 18 Prozent haben eine solche Option (ein sichtbares »Widerrufssymbol«) auf ihrer Website eingerichtet.
Max Schrems, Vorsitzender von »noyb«: »Wir haben auf vielen Websites große Verbesserungen festgestellt. Wir sind mit den ersten Ergebnissen sehr zufrieden. Einige große Unternehmen wie Seat, Mastercard oder REWE haben ihre Praktiken sofort geändert. Viele andere Websites haben jedoch nur die problematischsten Praktiken eingestellt. Sie haben zum Beispiel einen Ablehnunen-Button hinzugefügt, der aber immer noch schwer zu lesen ist. Die Notwendigkeit einer deutlich sichtbaren Option eine Einwilligung wieder zurückzunehmen stieß bei den Website-Betreibern auf den größten Widerstand.«
422 Beschwerden eingereicht. Da viele Unternehmen nur bestimmte Verstöße behoben haben, musste »noyb« in 422 von 516 Fällen (82 Prozent) formale Beschwerde einreichen. Es wird Aufgabe der Datenschutzbehörden sein, die Beschwerden von noyb zu prüfen und das Gesetz durchzusetzen.
Max Schrems: »In informellen Rückmeldungen haben Unternehmen die Befürchtung geäußert, dass ihre Konkurrenten die Vorschriften nicht einhalten werden, was zu einem unfairen Wettbewerb führen würde. Andere sagten, dass sie auf eine klare Entscheidung der Behörden warten, bevor sie die Gesetze einhalten. Wir hoffen daher, dass die Datenschutzbehörden bald Entscheidungen und Sanktionen erlassen werden.«
Weitere 36 »große« Seiten widersetzten sich vollständig. Unabhängig von der Überprüfung der mehr als 500 Webseiten in der ersten Gruppe untersuchte noyb auch größere globale und nationale Websites, die individuelle »Cookie-Banner« verwenden und daher eine manuelle Überprüfung erfordern. Dazu gehören alle großen Plattformen wie Amazon, Twitter, Google oder Facebook. Sie alle haben sich geweigert, ihr Banner zu verbessern. »noyb« reicht daher weiter 36 Beschwerden gegen diese Unternehmen ein. Diese Webseiten sind in der obigen Statistik nicht enthalten, da die Einzelfälle mitunter anderen Probleme betroffen haben.
Max Schrems: »Größere Akteure und Seiten, die stark von Werbung abhängig sind, haben unsere Verwarnung weitgehend ignoriert. Sie argumentieren teilweise offen, dass das Recht hätten Nutzer mit Manipulationen zu einem Klick auf den ›Okay‹-Button zu bringen. Wir werden natürlich auch hier Beschwerden einreichen.«
Europäischen Harmonisierung notwendig. Viele Datenschutzbehörden haben bereits unverbindliche Leitlinien zur Verwendung von irreführenden Designs in Cookie-Bannern herausgegeben. Die Behörden gehen zwar alle in die gleiche Richtung, behandeln aber oft nur bestimmte Arten von »dark patterns«. »noyb« hat sich bei seinen Beschwerden auf die verschiedenen Leitlinien gestützt, aber Unternehmen lehnen Richtlinien von Datenschutzbehörden aus anderen Mitgliedstaaten oftmals ab.
Max Schrems: »Wir brauchen klare gesamteuropäische Regeln. Im Moment hat ein deutsches Unternehmen das Gefühl, dass die Auslegung der DSGVO durch die französischen Behörden nur für Frankreich gilt, obwohl das Recht überall gleich gelten sollte.«
Besondere Rolle der österreichischen Datenschutzbehörde. Wann immer es möglich war, hat »noyb« direkt bei der zuständigen Datenschutzbehörde (DSB) der Website Beschwerde eingebracht. Etwa 50 Prozent aller Beschwerden werden aber bei der österreichischen Datenschutzbehörde eingereicht. Dabei handelt es sich um Fälle, in denen noyb nicht ín den entsprechenden Landessprachen einreichen konnte und die DSB die Fälle dann weiterleiten muss, oder wenn ein Unternehmen keine Niederlassung in der EU hat. Dies macht die kleine österreichische Datenschutzbehörde zu einem zentralen Akteur in diesem Fall, was für eine Behörde mit begrenztem Budget und Personal eine Herausforderung sein kann. Wir haben uns im Vorfeld mit allen zuständigen Datenschutzbehörden in Verbindung gesetzt.
Max Schrems: »Wir haben alles in unserer Macht stehende getan, um diese Beschwerden zu harmonisieren und zu vereinfachen. Dennoch ist uns bewusst, dass diese erste ›Massenbeschwerde‹ in der EU eine Herausforderung für die Behörden sein wird.«
Nächste Schritte. Nachdem die erste Testphase mit rund 500 Beschwerden nun abgeschlossen ist, wird noyb das langfristige Ziel verfolgen, innerhalb eines Jahres bis zu 10.000 Websites zu scannen, zu überprüfen, zu verwarnen um im Falle einer Weigerung das Gesetz durchzusetzen damit Nutzer:innen zukünftig eine echte Wahl haben.
Max Schrems: »Wir gehen davon aus, dass mit den ersten Entscheidungen der Behörden auch die meisten anderen Cookie-Banner eine klare Ja- oder Nein-Option bekommen. Mit den ersten Entscheidungen ist wohl Ende des Jahres zu rechnen.«
»noyb.eu« – Europäisches Zentrum für Digitale Rechte. Der Verein »noyb.eu« treibt seit Mai 2018 die Durchsetzung von Europäischen Datenschutzrechten voran und hat bisher mehr als 140 Verfahren gegen zahlreiche vorsätzliche Verstöße eingebracht – unter anderem gegen Unternehmen wie Google, Apple, Facebook und Amazon. Mehr als 4.300 Fördermitglieder ermöglichen die Arbeit von »noyb.eu«.
Der Datenschutzexperte in Gütersloh ist Heiko Franke von FHD, der Franke & Partner GmbH & Co. KG …