Efter år av växande kritik mot invasiv annonsspårning meddelade Google i september 2023 att man skulle fasa ut tredjepartscookies från webbläsaren Chrome. Sedan dess har användare gradvis lurats att aktivera en påstådd "integritetsfunktion för annonser" som faktiskt spårar människor. Medan den så kallade "Privacy Sandbox" marknadsförs som en förbättring jämfört med extremt invasiv tredjepartsspårning, görs spårningen nu helt enkelt i webbläsaren av Google själv. För att göra detta behöver företaget teoretiskt sett samma informerade samtycke från användarna. Istället lurar Google människor genom att låtsas "Slå på en funktion för annonsintegritet". noyb har därför lämnat in ett klagomål till den österrikiska dataskyddsmyndigheten.
- Klagomål till den österrikiska dataskyddsmyndigheten (EN)
- Klagomål till den österrikiska dataskyddsmyndigheten (DE)
"Informerad", "transparent" och "rättvis"? Googles interna webbläsarspårning presenterades för användarna via en popup-ruta med texten "slå på funktionen för annonsintegritet" när de öppnade webbläsaren Chrome. I EU ges användarna möjlighet att antingen "slå på funktionen" eller att säga "Nej tack", dvs. vägra samtycke. I ett brev till noyb hävdade Google att valet att klicka på "Turn it on" verkligen skulle anses vara ett samtycke till spårning enligt artikel 6.1 a i GDPR. I själva verket dolde företaget det faktum att om man valde detta alternativ skulle man slå på förstapartsspårning.
Mörka mönster. Det är ingen hemlighet att Google har experimenterat med olika formuleringar och gränssnittsutformningar för att maximera samtyckesgraden bland användarna. Detta görs med hjälp av så kallade mörka mönster, som är manipulativa mönster som används av företag för att lura användare, ofta olagligt, att gå med på saker som de aldrig annars skulle acceptera.
Men det här är ett extremt fall: Google har inte bara ändrat färg eller storlek på en knapp, utan helt enkelt ljugit för sina användare. Det enda logiska sättet att tolka popup-fönstret Privacy Sandbox som visas för användarna är att tro att Google Chrome nu (tekniskt sett) börjar skydda dem från annonsspårning. Detta budskap förstärktes till och med av den upprepade användningen av ord som "skydda", "begränsa" och "integritetsfunktioner", tillsammans med vilseledande bilder.
Max Schrems, hedersordförande i noyb: "Google har helt enkelt ljugit för sina användare. Folk trodde att de samtyckte till en integritetsfunktion, men lurades att acceptera Googles förstapartsspårning av annonser. Samtycke måste vara informerat, transparent och rättvist för att vara lagligt. Google har gjort precis tvärtom."
Att vara "mindre hemsk" är inte en "integritetsfunktion". Googles huvudargument är att den nya Privacy Sandbox är mindre invasiv än spårningssystem från tredje part. Även om detta kan vara sant betyder det inte att Google kan göra vad de vill utan att följa europeisk dataskyddslagstiftning.
Max Schrems: "Om du bara stjäl mindre pengar från folk än en annan tjuv kan du inte kalla dig "förmögenhetsskyddsagent". Men det är i princip vad Google gör här."
Webbläsaren beräknar nu användarens intressen. Med sin Privacy Sandbox vill Google ta full kontroll över analysen av användarnas beteende på nätet: Chrome spårar nu varje webbplats du besöker för att generera en lista med reklamämnen. Dessa inkluderar "Studentlån & Collegefinansiering", "Underkläder" eller "Föräldraskap", "Jobb & Utbildning" och "Finans/Kredit & Utlåning/Kreditrapportering & Övervakning". Annonsörerna får sedan denna information från webbläsaren Chrome.
Max Schrems: "Människor blir alltmer kritiska till det faktum att stora teknikföretag tjänar miljarder på invasiv teknik för spårning av annonser. Istället för att faktiskt förbättra situationen svarar Google med ett slags olaglig 'privacy washing' genom att introducera ett nytt spårningssystem."
Klagomål inlämnat. I artikel 4.11 i GDPR anges tydligt att samtycke bland annat måste vara en "specifik, informerad och otvetydig viljeyttring från den registrerade". Med tanke på den mycket vilseledande popup-bannern hade den klagande ingen möjlighet att veta att han faktiskt samtyckte till att hans uppgifter behandlades för riktad reklam. Istället förleddes han att tro att Google skulle skydda hans personuppgifter. Detta innebär att Google uppenbarligen inte uppfyllde kraven på fritt samtycke enligt GDPR. noyb ber den österrikiska dataskyddsmyndigheten att beordra Google att få sin behandling att överensstämma med GDPR, att stoppa behandlingen av uppgifter som samlats in på grundval av ogiltigt samtycke och att informera datamottagarna om att de måste sluta behandla dessa uppgifter. Sist men inte minst föreslår noyb att myndigheten utdömer ett effektivt, proportionerligt och avskräckande bötesbelopp.
