Nach jahrelanger Kritik an invasivem Werbetracking kündigte Google im September 2023 an, Drittanbieter-Cookies aus dem Chrome-Browser zu entfernen. Seitdem werden Nutzer:innen nach und nach dazu aufgefordert, mit der “Privacy Sandbox” eine angebliche “Funktion zum Datenschutz bei Werbung” zu aktivieren. In Wirklichkeit verbirgt sich dahinter eine neue Form des Trackings. Der Unterschied: Es findet künftig innerhalb des Browsers und unter der Kontrolle von Google statt. Eigentlich bräuchte Google hierfür dieselbe informierte Einwilligung der User:innen. Stattdessen führt das Unternehmen diese mit Datenschutzversprechen in die Irre. noyb hat daher eine Beschwerde bei der österreichischen Datenschutzbehörde eingebracht.
- Beschwerde bei der österreichischen Datenschutzbehörde (DE)
- Beschwerde bei der österreichischen Datenschutzbehörde (EN)
“Informiert” und “unmissverständlich”? Google konfrontiert seine User:innen mit einem neuen Tracking-System im Chrome-Browser. Beim Öffnen des Browsers werden sie aufgefordert, eine "Funktion zum Datenschutz bei Werbung” zu aktivieren. In der Europäischen Union haben die Nutzer:innen hier die Wahl, entweder auf “Aktivieren” zu klicken oder das System mit “Kein Interesse” abzulehnen. In einem Schreiben an noyb argumentierte Google, dass das Unternehmen die Wahl der “Aktivieren”-Option tatsächlich als Einwilligung gemäß Artikel 6(1)(a) DSGVO versteht. In Wirklichkeit verheimlicht das Unternehmen die Tatsache, dass man damit First-Party-Tracking einschaltet.
Dark Patterns. Es ist kein Geheimnis, dass Google mit verschiedenen Formulierungen und Designs für die Benutzeroberfläche experimentiert hat, um die Einwilligungsrate zu erhöhen. Hierfür werden sogenannte Dark Patterns verwendet. Dabei handelt es sich um manipulative Designs, die Nutzer:innen zu einer Wahl verleiten sollen, die sie sonst nicht treffen würden.
Die Privacy Sandbox ist ein Extremfall. Google hat nicht nur die Farbe oder Größe einer Schaltfläche verändert, sondern seine Nutzer:innen schlichtweg angelogen. Die einzig logische Interpretation des oben beschriebenen “Privacy Sandbox”-Pop-ups ist, dass Google neue Schutzmaßnahmen für Werbetracking einführt. Diese Botschaft wurde durch die wiederholte Verwendung von Wörtern wie “schützen”, einschränken” und “Datenschutzfunktion” nochmal verstärkt.
Max Schrems, Vorsitzender von noyb: “Google hat seine Nutzer:innen einfach belogen. Die Leute dachten, sie würden einer Datenschutzfunktion zustimmen. Stattdessen wurden sie dazu verleitet, Googles First-Party-Werbetracking zu akzeptieren. Um gültig zu sein, muss eine Einwilligung informiert und unmissverständlich sein. Google hat genau das Gegenteil getan.”
“Weniger schlimm“ zu sein ist noch kein “Datenschutzfeature”. Googles Hauptargument ist, dass die Privacy Sandbox weniger invasiv ist als Tracking durch Drittanbieter-Cookies. Das mag zwar stimmen, bedeutet aber nicht, dass Google einfach geltendes Datenschutzrecht ignorieren kann.
Max Schrems: “Wenn man den Leuten nur weniger Geld stiehlt als ein anderer Dieb, kann man sich deswegen auch nicht als ‘Vermögensschützer’ bezeichnen. Aber das ist im Grunde genau das, was Google hier macht.”
Der Browser errechnet jetzt Interessen. Mit der Privacy Sandbox will Google die volle Kontrolle über die Analyse des Onlineverhaltens seiner Nutzer:innen übernehmen. Chrome trackt jede besuchte Website, um eine Liste von Werbethemen zu erstellen. Beispiele dafür sind „Student Loans & College Financing“, „Undergarments“ oder „Parenting“, „Jobs & Education“ und „Finance/Credit & Lending/Credit Reporting & Monitoring“. Die Werbetreibenden erhalten diese Informationen dann über den Chrome-Browser.
Max Schrems: “Die Menschen sehen es zunehmend kritisch, dass große Tech-Unternehmen Milliarden mit invasivem Werbetracking verdienen. Anstatt die Situation tatsächlich zu verbessern, reagiert Google mit einer Art rechtswidrigem 'Privacy Washing' und der Einführung eines neues Tracking-Systems."
Beschwerde eingebracht. Artikel 4(11) der DSGVO besagt eindeutig, dass eine Einwilligung eine “für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung” sein muss. Angesichts des äußerst irreführenden Pop-up-Banners konnte der Beschwerdeführer aber gar nicht wissen, dass er eigentlich der Verarbeitung seiner Daten für personalisierte Werbung zustimmt. Er wurde im Glauben gelassen, dass Google seine Daten künftig besser schützt. Die DSGVO-Anforderungen an eine freie Einwilligung erfüllt das Unternehmen daher eindeutig nicht. noyb fordert die österreichische Behörde deshalb auf, Google anzuweisen, die Datenverarbeitung in Einklang mit der DSGVO zu bringen und schlägt die Verhängung einer wirksamen, verhältnismäßigen und abschreckenden Geldstrafe vor.