Woher kommen plötzlich die ganzen “Ablehnen”-Buttons?

27 Okt 2022

Woher kommen plötzlich die ganzen “Ablehnen”-Buttons?

Immer mehr Cookie-Banner haben plötzlich auch eine Option hinzugefügt „Nein“ zu sagen - wie eigentlich von der DSGVO vorgesehen. Woher kommt dieser Trend?

Im März 2021 hat noyb das Internet nach rechtswidrigen Cookie Bannern gescannt und mehr als 700 Beschwerden in ganz Europa eingebracht. Ein großer Scan zeigt eine detaillierte Bilanz nach 1.5 Jahren: mehr als 50% der Seiten haben ihre Banner verbessert, in sehr vielen Fällen, ohne dass noyb jemals Kontakt aufnahm.

Hintergründe und Datenerhebung. Mit einer eigens entwickelten Software hat noyb im März 2021 mehr als 3.600 Webseiten gescannt und erhoben, ob die Einwilligungs-Banner dieser Seiten gegen die DSGVO verstoßen. Auf dieser Basis wurden mehr als 700 Beschwerden gegen die meist besuchten Seiten eingebracht, deren Banner beispielsweise über keinen „Ablehnen“ Button und irreführende Designs verfügen. Dies löste einen massiven Umdenkprozess bei vielen Webseiten und Anbietern von Banner-Software aus. Standard-Einstellungen wurden präventiv auf eine DSGVO-konforme Variante umgestellt, auch wenn noch keine Beschwerde eingebracht wurde.

Diese Beschwerdewelle hat massive präventive Wirkung. Wir hören von Unternehmen, dass schon nach der Ankündigung dieser Durchsetzungswelle umgedacht wurde – auch wenn man selbst noch keine Beschwerde erhalten hat.“ – Max Schrems, Vorsitzender von noyb

Begleitet wurde diese Beschwerdewelle von einzelnen eigenständigen Durchsetzungsmaßnahmen der Datenschutzbehörden, so hat etwa die französische CNIL Google vorgeschrieben einen „Ablehnen“-Button einzuführen, was von vielen Unternehmen ebenfalls als Zeichen gesehen wurde, ihre Banner anzupassen und wohl zu besonders großen, messbaren Verbesserungen in Frankreich führte.

Deutliche Verbesserungen. Im Oktober 2022, also eineinhalb Jahre später, wurde der Scan wiederholt. Für 1.631 Webseiten liegen nun Vergleichswerte vor und diese zeigen eine deutliche Besserung für Nutzer:innen: 56% aller gescannten Seiten haben sich innerhalb der letzten eineinhalb Jahre zum Besseren geändert und verzichten nun beispielsweise auf irreführende Farben bei Links und Buttons und auf vorausgewählte Subkategorien. Der häufigste Verstoß war zugleich auch der nervigste: 82% (1.377) aller Seiten hatten im März 2021 keinen Button zum einfachen Ablehnen aller Cookies. Nutzer:innen mussten sich durch Untermenüs quälen, um eine versteckte „Ablehnen“- Option zu finden. 574 (41%) der gescannten Webseiten haben nach unseren Beschwerdewellen nun einen „Ablehnen“-Button eingeführt. Auch die Anzahl der insgesamt gesetzten Cookies hat sich um ca. 10% reduziert – entgegen dem Trend der letzten Jahre.

 „Wir haben schon nach wenigen Monaten bemerkt, dass Webseiten illegale Designs ändern. Nach 1.5 Jahren kann man eine deutliche Verhaltensänderung sehen, auch auf Seiten die wir nie kontaktiert haben. Wie erleben eine klassische generalpräventive Wirkung.“ - Ala Krinickytė, Datenschutzjuristin bei noyb

Verwarnung steigert Compliance. Von diesen 1.631 Webseiten hat noyb an 483 einen Beschwerdeentwurf übermittelt und ihnen bis zu 60 Tage Zeit gegeben, um die Verstöße zu beheben. Beinahe die Hälfte aller Verstöße wurden in dieser Gruppe behoben. Mehr als die Hälfte hat nun einen „Ablehnen“-Button eingeführt, mehr als 70% haben keine vorausgewählten Kategorien mehr und zwei Drittel haben die irreführenden Farben und Links geändert.

Generalprävention wirkt. Doch nicht nur Webseiten gegen die wir juristisch vorgegangen sind, haben Änderungen vorgenommen. Auch 543 der 1.148 Webseiten in dieser Stichprobe, die keine Beschwerde erhalten haben, haben ihren Cookie Banner verbessert. 78 sind nun sogar völlig DSGVO konform. Auch die Anzahl der insgesamt gesetzten Cookies und solcher mit personenbezogenen Daten hat sich deutlich reduziert.

In einer Gesellschaft halten sich die meisten Menschen normalerweise an das Gesetz. Im Datenschutz fehlt das oft – kann aber anscheinend durch öffentlich wahrnehmbare Durchsetzung durchaus erreicht werden.“ - Ala Krinickytė, Datenschutzjuristin bei noyb

Weitere Beschwerden geplant. In den kommenden Monaten wird noyb weiterhin das Ziel verfolgen, irreführende Cookie-Banner loszuwerden und das Projekt auch auf Seiten ausweiten, die andere Consent Management Platforms (CMPs) als OneTrust verwenden. In einem weiteren Schritt baut noyb seine Software auch aus, um ähnliche Aktionen auch zu anderen Datenschutzverstößen zu starten.

Derzeit wartet noyb immer noch auf erste Entscheidungen in den Beschwerden von August 2021, in manchen davon wurden bereits erhebliche Fortschritte erzielt. Der Europäische Datenschutzausschuss (EDPB) hat eine Taskforce zur Koordination der Datenschutzbehörden für diese Fälle gestartet, weshalb wir auf einen koordinierten Zugang hoffen können.

Methodologie

  • Am 24.03.2021 wurden 3.672 Webseiten die Onetrust als CMP verwenden und Verstöße aufweisen erhoben.
  • Dieser Scan diente als Datengrundlage für die beiden Beschwerdewellen wobei hier nur gegen die am häufigsten besuchten Webseiten nach top level domain vorgegangen wurden. Zusätzlich wurden auch Beschwerden gegen 20 reichweitenstarke Seiten unabhängig vom verwendeten CMP eingebracht. All diese erhielten zunächst einen Beschwerdeentwurf und 60 Tage Zeit, um die Einstellungen zu ändern. Falls der Banner nicht rechtskonform geändert wurde, hat noyb formal Beschwerde eingebracht
  • Am 4.10.2022 wurde der Scan nach demselben Prinzip wiederholt. Dabei wurden 2.137 Webseiten gefunden. 1.631 Seiten waren sowohl im ersten als auch im zweiten Scan vertreten und werden daher für diesen Vergleich herangezogen. Da manche Webseiten mittlerweile nicht mehr existieren, ein anderen CMP-Anbieter oder eine andere OneTrust Version verwenden, die von unserer Software nicht detektiert werden kann, hat sich die Zahl verringert.