noyb lämnar in 422 formella GDPR-klagomål om nervkittlande "cookie-banners"
Som en del av ett ettårigt projekt om "bedräglig design" och "mörka mönster" har noyb som mål att skanna, varna och genomdriva GDPR på upp till 10 000 webbplatser i Europa. Efter att ha skickat en skriftlig varning och ett "utkast till klagomål" till mer än 500 företag den 31 maj åtgärdades 42% av alla överträdelser inom 30 dagar. Dock har 82% av alla företag inte helt slutat bryta mot GDPR. Följaktligen har noyb idag lämnat in 422 klagomål till tio dataskyddsmyndigheter.
42% av alla överträdelser i den första omgången av 516 webbplatser åtgärdades. I den första omgången klagomål åtgärdade företagen 42% av de överträdelser som noyb identifierade under våren 2021. Av de företag som tidigare brutit mot lagen i detta avseende lade 42% till ett "avvisa"-alternativ. 68% tog bort "förkryssade" rutor. 46% löste problem med att använda olika färger för "acceptera"- och "avvisa"-knappar. 22% gav upp att hävda att de har ett "berättigat intresse" som skulle tillåta spårning utan användarens samtycke. Sammantaget tog företagen bort 1028 individuella överträdelser på mer än 516 webbplatser. Bland de företag som helt slutat använda "dark patterns" för att få användarnas samtycke finns globala varumärken som Mastercard, Procter & Gamble, Forever 21, Seat och Nikon.
"Återkallelse"-alternativet största hindret för efterlevnad. Det största motståndet från webbplatserna gäller GDPR:s krav på att det ska vara lika enkelt att återkalla samtycke som att ge samtycke. Endast 18% har lagt till ett sådant alternativ (en "återkallelseikon") på sin webbplats.
Max Schrems, ordförande i noyb: "Vi såg en hel del förbättringar på många webbplatser och är mycket nöjda med de första resultaten. Vissa stora aktörer som Seat, Mastercard eller Nikon har omedelbart ändrat sina rutiner. Många andra webbplatser har dock bara stoppat de mest problematiska metoderna. De kan till exempel ha lagt till ett "avvisa"-alternativ, men det är fortfarande svårt att läsa. Kravet på att visa ett framträdande ångeralternativ har helt klart mött det största motståndet från webbplatsägare."
422 ärenden har lämnats in till dataskyddsmyndigheter i tio länder. Så många företag har bara löst vissa överträdelser, noyb fortfarande att lämna in klagomål i 422 av de 516 fallen, eller i 82% av alla ursprungliga utkast till klagomål. Det kommer därför att vara upp till dataskyddsmyndigheterna att granska klagomålen från noyb och se till att lagen efterlevs.
Max Schrems: " I informell feedback hörde vi att företag oroade sig för att konkurrenter inte skulle följa lagen, vilket skulle skapa orättvisa fördelar. Andra sade att de vill ha ett tydligt beslut från myndigheterna innan de börjar följa lagen. Vi hoppas därför att dataskyddsmyndigheterna kommer att utfärda beslut och sanktioner inom kort."
Ytterligare 36 "större" sidor motsatte sig helt och hållet. Oberoende av att skanna webbplatser i den första omgången tittade noyb också på större globala och nationella webbplatser som använder anpassade "cookie-banners" och krävde manuell granskning. Detta inkluderar alla större plattformar som Amazon, Twitter, Google eller Facebook. Alla dessa har motsatt sig att åtgärda sina banners. noyb kommer därför att lämna in ytterligare 36 klagomål avseende dessa webbplatser. Dessa sidor ingår inte i statistiken ovan, eftersom deras överträdelser var något annorlunda än de automatiskt skannade sidorna.
Max Schrems: "Det finns en trend att större aktörer och sidor som är mycket beroende av annonsering i stor utsträckning ignorerar vårt erbjudande om förlikning. Vissa hävdar öppet att det skulle vara lagligt att manipulera användare till att klicka 'okej'. Vi kommer självklart att ta upp fall även här."
Behov av europeisk harmonisering. Många dataskyddsmyndigheter har redan utfärdat icke-bindande riktlinjer om användningen av "mörka mönster" i cookie-banners. Även om de alla går i samma riktning diskuterar de ofta bara vissa typer av mörka mönster och håller tyst om andra. noyb har baserat sina klagomål på de olika riktlinjerna, men företag avvisade regelbundet riktlinjer från andra dataskyddsmyndigheter från en annan medlemsstat.
Max Schrems: "Vi behöver tydliga paneuropeiska regler. Just nu upplever ett tyskt företag att de franska myndigheternas tolkning av GDPR bara gäller Frankrike, trots att de verkar under samma lag på samma europeiska marknad."
Österrikiska dataskyddsmyndighetens särskilda roll. noyb har försökt att fila direkt med den lokala dataskyddsmyndigheten på webbplatsen när det är möjligt. Vi har kontaktat de relevanta dataskyddsmyndigheterna i förväg. Cirka 50% av alla klagomål kommer att lämnas in till den österrikiska dataskyddsmyndigheten ("Datenschutzbehörde") som i sin tur måste vidarebefordra dessa ärenden till andra länder, eftersom noyb inte kan lämna in på relevanta språk. I cirka 100 fall finns det ingen etablering i EU, vilket gör den österrikiska dataskyddsmyndigheten till den enda myndigheten eftersom de klagande är baserade i Wien. Det faktum att ungefär hälften av ärendena går genom Österrike gör den lilla österrikiska datainspektionen till en central aktör i detta ärende, vilket är ganska krävande för en myndighet med begränsad budget och personal.
Max Schrems: "Vi har gjort allt som står i vår makt för att effektivisera dessa klagomål. Vi är dock fullt medvetna om att detta första "massklagomål" i EU kommer att vara krävande för myndigheterna."
Nästa steg. Eftersom den första testfasen nu är avslutad kommer noyb att sträva efter det nuvarande målet och skanna, granska, varna och verkställa lagen på upp till 10 000 webbplatser inom ett år, så att användarna får ett verkligt val i framtiden.
Max Schrems:"Vi förväntar oss de första besluten i slutet av året. Då bör de flesta andra webbplatser ha övergått till enkla "ja"- eller "nej"-alternativ."
