Zweite Runde: noyb gegen irreführende Cookie-Banner

04 Mär 2022

Zweite Runde: noyb gegen irreführende Cookie-Banner

Diese Woche startete noyb seine zweite Beschwerdewelle gegen irreführende Cookie-Banner. Hunderten Beschwerden im Mai 2021 folgen nun weitere 270 Beschwerdeentwürfe an Website-Betreiber, deren Cookie-Banner gegen die DSGVO verstoßen. Unternehmen haben 60 Tage Zeit, um ihre Banner anzupassen. Nach Ablauf der Schonfrist folgen formelle Beschwerden gegen jene Unternehmen, die weiter gegen das Gesetz verstoßen. Als Reaktion auf die erste Beschwerdewelle führten bereits immer mehr Websites DSGVO-konforme Banner ein: auch Unternehmen, die noyb gar nicht kontaktiert hatte, verbesserten ihre Banner.

User leiden unter irreführenden Bannern. Die DSGVO sollte Internet Nutzer:innen in Europa volle Kontrolle über ihre Daten geben. Stattdessen wurde das Surfen im Web zu einer frustrierenden Angelegenheit: An jeder Ecke tauchen lästige Banner auf. Das Ablehnen von Cookies wird mit Absicht bis aufs Äußerste verkompliziert. Mit sogenannten „Dark Patterns“ bringen Unternehmen über 90% ihrer Website-Besucher:innen dazu, Cookies zu akzeptieren, von sich aus wollen das laut Statistiken aber nur 3%.

"Viele Menschen machen die DSGVO verantwortlich für diese ärgerliche Situation. In Wirklichkeit sind aber die Unternehmen schuld, die rechtswidrige, irreführende Banner-Designs verwenden. Die DSGVO verlangt ein einfaches "Ja" oder "Nein", nicht mehr". Ala Krinickytė, Datenschutzjuristin bei noyb

noyb bietet Unterstützung. Bevor das System automatisierte DSGVO-Beschwerden erstellt, prüft das juristische Team jede einzelne Website. Die Unternehmen bekommen dann einen formlosen Beschwerdeentwurf, eine Schritt-für-Schritt-Anleitung (PDF), wie sie ihre Softwareeinstellungen anpassen können und 60 Tage Zeit, um zu kooperieren. Sollte ein Unternehmen weitherhin die DSGVO ignorieren, reicht noyb ein formale Beschwerde bei der zuständigen Behörde ein. Geldstrafen bis zu 20 Millionen Euro sind dabei möglich. Weitere Einzelheiten sind in den FAQ auf unserer Plattform zu finden.

"Wir wollen die Einhaltung der DSGVO sicherstellen, idealerweise ohne eine formale Beschwerde einzureichen. Wenn ein Unternehmen jedoch weiterhin gegen das Gesetz verstößt, stehen wir bereit, um die Rechte der Nutzerinnen und Nutzer durchzusetzen." Max Schrems Vorsitzender von noyb

Weniger Verstöße nach der ersten Runde. In der ersten Runde wurden 42% aller Verstöße innerhalb von 30 Tagen behoben. Da jedoch 82% der Unternehmen ihre Banner nur teilweise angepasst hatten, reichte noyb insgesamt 456 Beschwerden bei 20 verschiedenen Datenschutzbehörden in ganz Europa ein. Der Europäische Datenschutzausschuss (EDSA) richtete darauf eine spezielle Taskforce ein, um die Reaktionen der Behörden zu koordinieren. Erfreulicherweise haben manche Unternehmen ihre Banner noch im Laufe des Verfahren verbessert: drei Beschwerden haben wir deshalb sogar zurückgezogen.

"Wir sehen bereits erste Verbesserungen. Es wird aber noch viel Arbeit auf uns zukommen, bis auch das letzte Unternehmen seine Banner umgestellt hat." – Ala Krinickytė, Datenschutzjuristin  bei noyb

Viele Websites haben ihren Banner verbessert. Viele der Websites, die von noyb kontaktiert wurden, haben ihr Design bereits auf eine "Ja/Nein"-Option umgestellt. Dazu gehören etwa Nikon, Domino's Pizza oder Unilever. Hier einige Vorher/Nachher-Beispiele:

"Generalprävention" wirkt. Bei der Arbeit an der zweiten Beschwerderunde stellte noyb fest, dass gescannte Webseiten inzwischen Verstöße beendet hatten - auch wenn sie nicht von noyb kontaktiert worden waren. Die Verhaltensänderung war so immens, dass noyb alle Websites erneut scannen musste, um verbleibende Verstöße zu finden. Dies könnte auf Informationskampagnen der Anbieter von Cookie-Banner-Software zurückzuführen sein, die die Unternehmen über die Aktion von noyb informierten. In der Rechtstheorie sollte die Durchsetzung nicht nur zu einer Verhaltensänderung des Einzelnen, sondern auch zu einer Abschreckung ("Generalprävention") führen. Genau das ist hier geschehen.

"Die erste Runde führte zu einer Verhaltensänderung weit über die Beschwerdegegner hinaus. Viele Webseiten, die wir noch gar nicht kontaktiert hatten, haben ihre Einstellungen rasch verbessert. Man sieht damit, dass Rechtsdurchsetzung auch zu einer selbstständigen Einhaltung der Gesetze führt." Ala Krinickytė, Datenschutzjuristin bei noyb

Weitere Runden folgen. In den kommenden Monaten wird noyb sein Ziel weiterverfolgen, irreführende Cookie-Banner loszuwerden. Bis zu 10.000 Websites werden gescannt, geprüft, verwarnt und schließlich das Gesetz durchgesetzt. In Zukunft werden auch Seiten inkludiert, die andere Consent Management Plattformen (CMPs) als OneTrust verwenden (z.B. TrustArc, Cookiebot, Usercentrics, Quantcast usw.) und derzeit nicht von der Software erkannt werden.