noyb dient 422 formele GDPR-klachten in over zenuwslopende "Cookie Banners"
Als onderdeel van een eenjarig project over "misleidende ontwerpen" en "duistere patronen", wil noyb de GDPR scannen, waarschuwen en afdwingen op maximaal 10.000 websites in Europa. Nadat op 31 mei een schriftelijke waarschuwing en een "ontwerpklacht" naar meer dan 500 bedrijven waren gestuurd, werd 42% van alle overtredingen binnen 30 dagen verholpen. 82% van alle bedrijven is echter niet volledig gestopt met het schenden van de GDPR. Daarom heeft noyb vandaag 422 klachten ingediend bij tien gegevensbeschermingsautoriteiten.
42% van alle overtredingen in de eerste batch van 516 websites hersteld. In de eerste reeks klachten hebben bedrijven 42% van de overtredingen verholpen die noyb in het voorjaar van 2021 had vastgesteld. Van de bedrijven die eerder in dit opzicht de wet overtraden, heeft 42% een "weiger"-optie toegevoegd. 68% verwijderde "vooraf aangevinkte" vakjes. 46% loste problemen op in verband met het gebruik van verschillende kleuren voor de knoppen "aanvaarden" en "verwerpen". 22% gaf het op om te beweren dat zij een "rechtmatig belang" hebben dat tracking zonder toestemming van de gebruiker mogelijk zou maken. In totaal werden 1028 individuele overtredingen op meer dan 516 websites door de bedrijven verwijderd. Onder de bedrijven die volledig zijn gestopt met het gebruik van "dark patterns" om toestemming van de gebruiker te krijgen, bevinden zich wereldmerken als Mastercard, Procter & Gamble, Forever 21, Seat of Nikon
"Intrekking" optie grootste obstakel voor naleving. De grootste weerstand van websites betreft de eis van de GDPR om het intrekken van toestemming net zo eenvoudig te maken als het geven van toestemming. Slechts 18% heeft een dergelijke optie (een "intrekkingspictogram") op hun website geplaatst.
Max Schrems, voorzitter van noyb: "We zagen veel verbeteringen op veel websites en zijn erg blij met de eerste resultaten. Sommige grote spelers zoals Seat, Mastercard of Nikon hebben hun praktijken onmiddellijk veranderd. Veel andere websites zijn echter alleen gestopt met de meest problematische praktijken. Zij kunnen bijvoorbeeld een "weiger"-optie hebben toegevoegd, maar maken deze nog steeds moeilijk leesbaar. De eis om een duidelijke terugtrekkingsoptie te tonen, stuitte duidelijk op de grootste weerstand van website-eigenaren.”
422 zaken ingediend bij gegevensbeschermingsautoriteiten in tien landen Aangezien veel bedrijven alleen bepaalde overtredingen hebben opgelost, noyb moesten nog steeds klachten worden ingediend in 422 van de 516 gevallen, of in 82% van alle eerste ontwerp-klachten Het is dus aan de gegevensbeschermingsautoriteiten (DPA's) om de klachten van noyb te beoordelen en de wet te handhaven.
Max Schrems: "In de informele feedback hoorden we dat bedrijven zich zorgen maakten dat concurrenten zich niet aan de regels zouden houden, wat tot oneerlijke voordelen zou leiden. Anderen zeiden dat zij een duidelijke uitspraak van de autoriteiten willen, voordat zij zich aan de regels gaan houden. Wij hopen dan ook dat de gegevensbeschermingsautoriteiten spoedig besluiten zullen nemen en sancties zullen opleggen."
Nog eens 36 "belangrijke" pagina's hebben zich volledig verzet. Onafhankelijk van het scannen van websites in de eerste batch, heeft noyb ook gekeken naar grotere wereldwijde en nationale websites die aangepaste "cookiebanners" gebruiken en handmatige controle vereisten. Hieronder vallen alle grote platforms zoals Amazon, Twitter, Google of Facebook. Al deze platforms hebben zich verzet tegen het aanpassen van hun banners. noyb zal bijgevolg nog eens 36 klachten over deze websites indienen. Deze pagina's zijn niet opgenomen in de bovenstaande statistieken, omdat hun overtredingen iets anders waren dan de automatisch gescande pagina's.
Max Schrems: "Er is een trend waarneembaar dat grotere spelers en pagina's die erg afhankelijk zijn van advertenties ons aanbod om zaken te schikken grotendeels naast zich neerleggen. Sommigen beweren openlijk dat het legaal zou zijn om gebruikers te manipuleren zodat ze op 'oké' klikken. Uiteraard zullen we ook hier zaken aanhangig maken."
Behoefte aan Europese harmonisatie. Veel gegevensbeschermingsautoriteiten hebben al niet-bindende richtlijnen uitgevaardigd over het gebruik van "dark patterns" in cookiebanners. Hoewel ze allemaal in dezelfde richting gaan, hebben ze het vaak alleen over bepaalde soorten donkere patronen en zwijgen ze over andere. noyb heeft zijn klachten gebaseerd op de verschillende richtsnoeren, maar bedrijven hebben regelmatig richtsnoeren van andere gegevensbeschermingsautoriteiten uit een andere lidstaat verworpen.
Max Schrems: "We hebben duidelijke pan-Europese regels nodig. Op dit moment heeft een Duits bedrijf het gevoel dat de interpretatie van de GDPR door de Franse autoriteiten alleen voor Frankrijk geldt, ook al opereren ze onder dezelfde wet binnen dezelfde Europese markt."
Speciale rol van Oostenrijkse DPA. noyb heeft geprobeerd om waar mogelijk rechtstreeks bij de lokale DPA van de website in te dienen. Wij hebben vooraf contact opgenomen met de betrokken gegevensbeschermingsautoriteiten. Ongeveer 50% van alle klachten zal worden ingediend bij de Oostenrijkse gegevensbeschermingsautoriteit ("Datenschutzbehörde"), die deze zaken op haar beurt zal moeten doorgeven aan andere landen, aangezien noyb niet in staat is de zaak in de relevante talen in te dienen. In ongeveer 100 gevallen is er geen vestiging in de EU, waardoor de Oostenrijkse gegevensbeschermingsautoriteit de enige instantie is, aangezien de klagers in Wenen gevestigd zijn. Het feit dat ongeveer de helft van de zaken via Oostenrijk loopt, maakt het kleine Oostenrijkse gegevensbeschermingsbureau tot een centrale speler in deze zaak, wat nogal veeleisend is voor een autoriteit met een beperkt budget en personeel.
Max Schrems: "Wij hebben alles gedaan wat in ons vermogen ligt om deze klachten te stroomlijnen. Niettemin zijn we ons er ten volle van bewust dat deze eerste 'massaklacht' in de EU veel zal vergen van de autoriteiten."
Volgende stappen. Nu de eerste testfase is afgerond, zal noyb zich richten op het huidige doel en binnen een jaar tot 10.000 websites scannen, beoordelen, waarschuwen en de wet handhaven, zodat gebruikers in de toekomst een echte keuze hebben.
Max Schrems:"We verwachten de eerste beslissingen tegen het einde van het jaar. Tegen die tijd zouden we de meeste andere websites moeten zien overschakelen op eenvoudige 'ja'- of 'nee'-opties."