Na jaren van groeiende kritiek over invasieve advertentietracering, kondigde Google in september 2023 aan dat het cookies van derden geleidelijk uit de Chrome-browser zou verwijderen. Sindsdien worden gebruikers er geleidelijk in geluisd om een vermeende "advertentieprivacyfunctie" in te schakelen die in feite mensen volgt. Hoewel de zogenaamde "Privacy Sandbox" wordt aangeprezen als een verbetering ten opzichte van extreem invasieve tracking door derden, wordt de tracking nu gewoon gedaan binnen de browser door Google zelf. Om dit te doen heeft het bedrijf theoretisch dezelfde geïnformeerde toestemming van gebruikers nodig. In plaats daarvan misleidt Google mensen door te doen alsof het "een advertentieprivacyfunctie inschakelt". noyb heeft daarom een klacht ingediend bij de Oostenrijkse autoriteit voor gegevensbescherming.
- Klacht bij de Oostenrijkse gegevensbeschermingsautoriteit (EN)
- Klacht bij de Oostenrijkse autoriteit voor gegevensbescherming (DE)
"Geïnformeerd", "transparant" en "eerlijk"? Google's interne browsertracking werd bij gebruikers geïntroduceerd via een pop-up met de tekst "schakel de advertentieprivacyfunctie in" na het openen van de Chrome-browser. In de Europese Unie krijgen gebruikers de keuze om "Aan te zetten" of om "Nee bedankt" te zeggen, dus om toestemming te weigeren. In een brief aan noyb voerde Google aan dat de keuze om op "Zet het aan" te klikken inderdaad zou worden beschouwd als toestemming voor tracking onder artikel 6(1)(a) van de GDPR. In werkelijkheid verzweeg het bedrijf dat het selecteren van deze optie first-party tracking zou inschakelen.
Donkere patronen. Het is geen geheim dat Google heeft geëxperimenteerd met verschillende bewoordingen en interface-ontwerpen om de toestemmingspercentages onder gebruikers te maximaliseren. Dit wordt gedaan met behulp van zogenaamde dark patterns, wat manipulatieve ontwerpen zijn die door bedrijven worden gebruikt om gebruikers te misleiden, vaak op onrechtmatige wijze, om akkoord te gaan met dingen die ze anders nooit zouden accepteren.
Maar dit is een extreem geval: Google veranderde niet alleen de kleur of grootte van een knop, maar loog gewoon tegen zijn gebruikers. De enige logische manier om de Privacy Sandbox-pop-up te interpreteren die aan gebruikers wordt getoond, is door te denken dat Google Chrome hen nu (technisch) begint te beschermen tegen het volgen van advertenties. Deze boodschap werd zelfs versterkt door het herhaalde gebruik van woorden als "beschermen", "beperken" en "privacyfuncties", vergezeld van misleidende afbeeldingen.
Max Schems, erevoorzitter van noyb: "Google heeft zijn gebruikers simpelweg voorgelogen. Mensen dachten dat ze instemden met een privacyfunctie, maar werden bedrogen om Google's first-party advertentietracering te accepteren. Toestemming moet geïnformeerd, transparant en eerlijk zijn om legaal te zijn. Google heeft precies het tegenovergestelde gedaan."
Minder erg zijn" is geen "privacykenmerk". Het belangrijkste argument van Google is dat de nieuwe Privacy Sandbox minder ingrijpend is dan tracking-systemen van derden. Dit mag dan waar zijn, het betekent niet dat Google kan doen wat het wil zonder zich te houden aan de Europese wetgeving voor gegevensbescherming.
Max Schrems: "Als je alleen maar minder geld van mensen steelt dan een andere dief, kun je jezelf geen 'welvaartsbeschermer' noemen. Maar dat is in feite wat Google hier doet."
Browser berekent nu interesses van gebruiker. Met zijn Privacy Sandbox wil Google volledige controle krijgen over de analyse van het online gedrag van zijn gebruikers: Chrome volgt nu elke website die je bezoekt om een lijst met advertentiethema's te genereren. Deze omvatten "Studentenleningen & Studiefinanciering", "Ondergoed" of "Ouderschap", "Banen & Onderwijs" en "Financiën/Krediet & Leningen/Kredietrapportage & Controle". Adverteerders ontvangen deze informatie vervolgens van de Chrome-browser.
Max Schrems: "Mensen worden steeds kritischer over het feit dat grote techbedrijven miljarden verdienen aan invasieve advertentietrackingtechnologieën. In plaats van de situatie daadwerkelijk te verbeteren, reageert Google met een soort onrechtmatige 'privacywassing' door een nieuw trackingsysteem te introduceren."
Klacht ingediend. Artikel 4(11) van de GDPR stelt duidelijk dat toestemming onder andere een "specifieke, geïnformeerde en ondubbelzinnige indicatie van de wensen van de betrokkene" moet zijn. Gezien de zeer misleidende pop-upbanner kon de klager op geen enkele manier weten dat hij daadwerkelijk toestemming gaf voor de verwerking van zijn gegevens voor gerichte reclame. In plaats daarvan werd hem wijsgemaakt dat Google zijn persoonlijke gegevens zou beschermen. Dit betekent dat Google duidelijk niet voldeed aan de vereisten voor vrije toestemming onder de GDPR. noyb vraagt de Oostenrijkse DPA om Google op te dragen zijn verwerkingsactiviteiten in overeenstemming te brengen met de GDPR, de verwerking van gegevens die zijn verzameld op basis van ongeldige toestemming te stoppen en de ontvangers van de gegevens te informeren dat ze moeten stoppen met de verwerking van deze gegevens. Tot slot stelt noyb voor dat de autoriteit een effectieve, evenredige en afschrikkende boete oplegt.