Noyb startet Beschwerdewelle gegen Cookie-Banner
Die Datenschutzorganisation Noyb übermittelt Beschwerden an mehr als 500 Firmen in Europa und den USA, die auf ihren Webseiten rechtswidrige Cookie-Banner verwenden.
Initiator und Vorstandsvorsitzender von Noyb ist der österreichische Jurist und Datenschutzaktivist Max Schrems. Seine Klagen vor dem Europäischen Gerichtshof beendeten das Safe Harbour Abkommen aus dem Jahr 2000 und den Privacy Shield von 2016. Die Urteile „Schrems I“ und „Schrems II“ gelten heute als Meilensteine im Bereich des Datenschutzes. Mit der aktuellen Beschwerdewelle geht Schrems gegen die weit verbreitet nicht rechtskonformen Cookie-Banner auf den Webseiten großer Unternehmen vor.
Cookies sind kleine Datenpakete, die von Browsern und Webseiten erzeugt und auf Endgeräten gespeichert werden. Dort erfassen sie nutzerbezogene Informationen und stellen diese Webseitenbetreibern zur Verfügung. Die können daraus Statistiken erstellen, Rückschlüsse auf das Surfverhalten der Seitenbesucher ziehen und Nutzerprofile erstellen, die für Targeting-Aktivitäten verwendet werden können.
Meine Privatsphäre – None of your business
Noyb steht als Akronym für „none of your business“ – englisch für „das geht dich nichts an“. Auf ihrer Webseite www.noyb.eu informiert die Organisation über ihre verschiedenen Projekte. Aktuell hat sie es sich zur Aufgabe gemacht, gegen rechtswidrige Zustimmungsabfragen von Cookies vorzugehen. Denn wer die Einwilligung zum Setzen der Cookies und somit zur Erfassung entsprechender Daten verweigern möchte, der sieht sich mitunter mit unübersichtlichen Cookie-Bannern konfrontiert. Rechtswidrigen Bannern, wie Noyb bemängelt. User können dem Datentracking in vielen Fällen nicht einfach mit einem Klick zustimmen oder es ablehnen, so wie es im Sinne der DSGVO ist. Vielmehr sehen sie sich gezwungen, durch komplizierte Datenschutzeinstellungen zu navigieren und auf Unterseiten Einstellungen einzeln manuell durchzuführen. Irreführende Farbcodierung von Buttons und Text können den Nutzer zu täuschen und so zur – auch unbeabsichtigten – Zustimmung bewegen. Das verstoße gegen die DSGVO (Datenschutzgrundverordnung), so Noyb.
Mit einer hierfür entwickelten Software kann Noyb rechtswidrige Cookie-Banner erkennen und automatisiert Beschwerden generieren. Bis zu 10.000 Beschwerden sollen so produziert werden, die zunächst als formlose E-Mail an den Betreiber der jeweiligen Webseite zugestellt werden. Betroffene Unternehmen haben dann einen Monat Zeit, ihre Cookie-Banner entsprechend anzupassen, erst dann erfolgt eine formale Beschwerde bei der zuständigen Behörde, die dann theoretisch eine Strafe von bis zu 20 Millionen Euro verhängen kann. Geld verdient Noyb mit diesen Beschwerden nicht, anders als bei klassischen Abmahnungen entstehen den betroffenen Unternehmen keinerlei Kosten. Noyb finanziert sich ausschließlich durch Spenden der rund 4000 Mitglieder.
Was bringt die Zukunft?
Die Aktion von Noyb richtet sich gegen größere Unternehmen und wird zu einer gewissen Ungerechtigkeit führen: Unternehmen die nicht an die Behörde gemeldet werden, sind im Regelfall keiner Verfolgung ausgesetzt. Betroffene Unternehmen müssen ihren Cookie Banner wohl anpassen, was zu großen Nachteilen beim online Marketing führt. In der Praxis droht so aktuell eine willkürliche Zweiteilung zwischen Unternehmen die durch die Aktion in den Blickpunkt der Behörde kommen und solchen die in einer gewissen Grauzone weiter einen nicht ganz gesetzeskonformen Cookie Banner nutzen.
Spätestens mit Inkrafttreten des neuen TTDSG Ende 2021 wird es aber wohl absehbar sein, dass die Datenschutzbehörden die Kontrollen erhöhen werden und ein streng gesetzeskonformer Cookie Banner zum Standard wird.
Ob der Weg des „Cookieless“ Tracking in der Zukunft ein Usertracking ohne lästige Cookie Banner ermöglichen wird, bleibt abzuwarten: Denn die hier zur Zeit eingesetzten Technologien Fingerprinting, eTags und Authentication Cache erfordern ebenfalls ein Einverständnis des Users.
Google bemüht sich hier mit Google Analytics 4 (GA4) sehr, seine neue Technologie in einem datenschutzkonformen Licht dazustellen und preist ein „cookieless“ Tracking und anonymisierte IP Adressen an. Bei genauerem Hinsehen bleibt es aber auch hier beim gläsernen User und einer Mogelpackung, die ohne Einwilligung des Users nicht datenschutzkonform einsetzbar ist.
Es bleibt abzuwarten, ob es zukünftig wirklich neue Technologien und Denkansätze von Unternehmen gibt, die ein Tracking ohne Cookies und ohne lästige Banner ermöglichen und dabei gleichzeitig ohne aktive Einwilligung datenschutzkonform einsetzbar sind.