Noyb startet Beschwerdewelle gegen Cookie-Banner

Noyb startet Beschwerdewelle gegen Cookie-Banner

Beschwerdewelle gegen Cookie-Banner

Noyb startet Beschwerdewelle gegen Cookie-Banner

Die Datenschutzorganisation Noyb übermittelt Beschwerden an mehr als 500 Firmen in Europa und den USA, die auf ihren Webseiten rechtswidrige Cookie-Banner verwenden.

Initiator und Vorstandsvorsitzender von Noyb ist der österreichische Jurist und Datenschutzaktivist Max Schrems. Seine Klagen vor dem Europäischen Gerichtshof beendeten das Safe Harbour Abkommen aus dem Jahr 2000 und den Privacy Shield von 2016. Die Urteile „Schrems I“ und „Schrems II“ gelten heute als Meilensteine im Bereich des Datenschutzes. Mit der aktuellen Beschwerdewelle geht Schrems gegen die weit verbreitet nicht rechtskonformen Cookie-Banner auf den Webseiten großer Unternehmen vor.

Cookies sind kleine Datenpakete, die von Browsern und Webseiten erzeugt und auf Endgeräten gespeichert werden. Dort erfassen sie nutzerbezogene Informationen und stellen diese Webseitenbetreibern zur Verfügung. Die können daraus Statistiken erstellen, Rückschlüsse auf das Surfverhalten der Seitenbesucher ziehen und Nutzerprofile erstellen, die für Targeting-Aktivitäten verwendet werden können.

Meine Privatsphäre – None of your business

Noyb steht als Akronym für „none of your business“ – englisch für „das geht dich nichts an“. Auf ihrer Webseite www.noyb.eu informiert die Organisation über ihre verschiedenen Projekte. Aktuell hat sie es sich zur Aufgabe gemacht, gegen rechtswidrige Zustimmungsabfragen von Cookies vorzugehen. Denn wer die Einwilligung zum Setzen der Cookies und somit zur Erfassung entsprechender Daten verweigern möchte, der sieht sich mitunter mit unübersichtlichen Cookie-Bannern konfrontiert. Rechtswidrigen Bannern, wie Noyb bemängelt. User können dem Datentracking in vielen Fällen nicht einfach mit einem Klick zustimmen oder es ablehnen, so wie es im Sinne der DSGVO ist. Vielmehr sehen sie sich gezwungen, durch komplizierte Datenschutzeinstellungen zu navigieren und auf Unterseiten Einstellungen einzeln manuell durchzuführen. Irreführende Farbcodierung von Buttons und Text können den Nutzer zu täuschen und so zur – auch unbeabsichtigten – Zustimmung bewegen. Das verstoße gegen die DSGVO (Datenschutzgrundverordnung), so Noyb.

Mit einer hierfür entwickelten Software kann Noyb rechtswidrige Cookie-Banner erkennen und automatisiert Beschwerden generieren. Bis zu 10.000 Beschwerden sollen so produziert werden, die zunächst als formlose E-Mail an den Betreiber der jeweiligen Webseite zugestellt werden. Betroffene Unternehmen haben dann einen Monat Zeit, ihre Cookie-Banner entsprechend anzupassen, erst dann erfolgt eine formale Beschwerde bei der zuständigen Behörde, die dann theoretisch eine Strafe von bis zu 20 Millionen Euro verhängen kann. Geld verdient Noyb mit diesen Beschwerden nicht, anders als bei klassischen Abmahnungen entstehen den betroffenen Unternehmen keinerlei Kosten. Noyb finanziert sich ausschließlich durch Spenden der rund 4000 Mitglieder.

Was bringt die Zukunft?

Die Aktion von Noyb richtet sich gegen größere Unternehmen und wird zu einer gewissen Ungerechtigkeit führen: Unternehmen die nicht an die Behörde gemeldet werden, sind im Regelfall keiner Verfolgung ausgesetzt. Betroffene Unternehmen müssen ihren Cookie Banner wohl anpassen, was zu großen Nachteilen beim online Marketing führt. In der Praxis droht so aktuell eine willkürliche Zweiteilung zwischen Unternehmen die durch die Aktion in den Blickpunkt der Behörde kommen und solchen die in einer gewissen Grauzone weiter einen nicht ganz gesetzeskonformen Cookie Banner nutzen.

Spätestens mit Inkrafttreten des neuen TTDSG Ende 2021 wird es aber wohl absehbar sein, dass die Datenschutzbehörden die Kontrollen erhöhen werden und ein streng gesetzeskonformer Cookie Banner zum Standard wird.

Ob der Weg des „Cookieless“ Tracking in der Zukunft ein Usertracking ohne lästige Cookie Banner ermöglichen wird, bleibt abzuwarten: Denn die hier zur Zeit eingesetzten Technologien Fingerprinting, eTags und Authentication Cache erfordern ebenfalls ein Einverständnis des Users.

Google bemüht sich hier mit Google Analytics 4 (GA4) sehr, seine neue Technologie in einem datenschutzkonformen Licht dazustellen und preist ein „cookieless“ Tracking und anonymisierte IP Adressen an. Bei genauerem Hinsehen bleibt es aber auch hier beim gläsernen User und einer Mogelpackung, die ohne Einwilligung des Users nicht datenschutzkonform einsetzbar ist.

Es bleibt abzuwarten, ob es zukünftig wirklich neue Technologien und Denkansätze von Unternehmen gibt, die ein Tracking ohne Cookies und ohne lästige Banner ermöglichen und dabei gleichzeitig ohne aktive Einwilligung datenschutzkonform einsetzbar sind.

SCHREMS zu SCHREMS II am 28.10.2020

SCHREMS zu SCHREMS II am 28.10.2020

Rechtsanwalt Max Schrems zum aktuellen facebook Urteil (Schrems II – EuGH 311/18)

 

28.10.2020 – 16:00 bis 17:00 Uhr

 

Der Europäische Gerichtshof (EuGH) hat in einem wegweisenden Urteil (Urteil vom 16. Juli 2020, Rechtssache C-311/18- „Schrems II“) über Instrumente für internationale Datentransfers entschieden. Er hat den so genannten EU-Privacy Shield  (Beschluss 2016/1250 – „Privacy Shield“) für unwirksam erklärt.

Es freut uns deshalb besonders, dass wir Herrn Kollegen Max Schrems – den Kläger dieses Urteils – als Keynote Speaker gewinnen konnten, und so unseren Mandanten Informationen und Hintergründe aus erster Hand zur Verfügung stellen können.

 

Agenda:

  • Einführung und Hintergründe facebook / Schrems II Urteil
  • Live Interview mit Herrn Rechtsanwalt Max Schrems
  • Q&A: Ihre Fragen – direkt an den Referenten
  • Abschluss: Konsequenzen für die Praxis – Checkliste hierzu
Die neue Rechtslage bei Datenübermittlung in die USA

Die neue Rechtslage bei Datenübermittlung in die USA

Ausgangslage

Personenbezogene Daten können an einen Empfänger in den USA übermittelt werden, wenn besondere Garantien für ein ausreichendes Datenschutzniveau vorgesehen werden. Solche Garantien können vor allem in einem Abschluss sog. EU-Standardvertragsklauseln, dem Vorhandensein von verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) beim Empfängerunternhmen oder in einem Beschluss der Europäischen Kommission, in welchem die Beachtung eines angemessenen Datenschutzstandards durch den Empfänger bestätigt wird, gesehen werden.

Checkliste – Datenschutz im Home Office

Checkliste – Datenschutz im Home Office

Gesicherte Systemumgebung / Technische Anforderungen

Nutzen Sie ausschließlich die gesicherte Systemumg Ihres Unternehmens. Die Anforderungen richten sich technisch nach dem IT Grundschutz Kompendium:

Wichtig ist vor allem ein gesicherter VPN Zugang zum Firmennetzwerk und eine verschlüsselte Festplatte. Weiterhin gehört eine Zwei-Faktor
Authentifizierzung zum gesetzlichen Standard. Eine vollständige Übersicht zu allen technischen Anforderungen finden Sie am Ende dieser Checkliste.

Aktuelles BGH Urteil zu Cookies

Aktuelles BGH Urteil zu Cookies

Bereits im vergangenen Jahr hat der Europäische Gerichtshof EuGH in der Rechtssache Planet49 entschieden, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung des Internetnutzers bedarf. Ein unveränderte, vorbelegte Auswahlfelder zu Cookies ist nach diesem Urteil also nicht zulässig.

Gegenstand der Entscheidung war die Frage, unter welchen Voraussetzungen Internetanbieter Cookies auf den Endgeräten ihrer Nutzer platzieren können. In diesem Zusammenhang stellte der EuGH fest, dass eine wirksame datenschutzrechtliche Einwilligung in diesem Kontext auch im Internet ein aktives Verhalten des Betroffenen voraussetzt. Dieses müsse sich zudem konkret auf die Einwilligung beziehen. Nicht ausreichend sei hingegen die Bestätigung eines vorausgewählten Ankreuzkästchens durch Anklicken einer anderweitigen Schaltfläche, etwa zur Teilnahme an einem Gewinnspiel.

Zudem hat der EuGH klargestellt, dass der Websitebetreiber dem Nutzer klare und umfassende Informationen bereitstellen muss, damit die Einwilligung wirksam erteilt werden kann. Hierzu gehören auch die Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können. 

Bußgelder steigen stark an

Bußgelder steigen stark an

Die Umsetzung der DS-GVO und gestiegene Anzahl an behördlichen Prüfungen führt zu immer höheren Bußgeldern.

Hohe Strafe für deutschen Immobilienkonzern

Nach dem alten BDSG waren maximal 300.000 Bußgeld möglich. Nun können nach der DS-GVO bis zu 20 Millionen Euro fällig werden – oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes.

Auch wenn der volle Bußgeldrahmen noch nicht ausgeschöpft wurde, steigen die Bußgelder stark an: Das höchste Bußgeld in Deutschland wurde gegen die Immobilienfirma Deutsche Wohnen verhängt. Die Berliner Datenschutzbehörde erließ hier im November letzten Jahres ein Bußgeld in Höhe von 14,5 Millionen Euro wegen der unerlaubten Speicherung von Mieterdaten im Konzern.

Verhängte Bußgelder haben sich vervierfacht

Auch wenn spektakuläre Bußgelder wie die oben dargestellten bislang kaum vorkommen, ist doch ein Trend erkennbar: Die Anzahl der gemeldeten Verstöße und Bußgelder nehmen im letzten halben Jahr stark zu. Im Jahr 2018 hatten die Behörden „nur“ 40 Bußgelder ausgesprochen. Im abgelaufenen Jahr war wurden mehr als 185 Bußgelder verhängt.