Die NGO „None of your business“ (noyb) um den österreichischen Datenschutzaktivisten Max Schrems hat in 422 Fällen Beschwerde bzgl. manipulativer Cookie-Banner bei zehn Datenschutzbehörden eingelegt, die nach Ansicht von noyb gegen die Datenschutz-Grundverordnung verstoßen. Dies teilte noyb am 10. August 2021 in einem Beitrag auf ihrer Webseite mit.

Vorausgegangen waren Beschwerden bei mehr als 500 Unternehmen wegen datenschutzrechtlicher Verstöße auf deren Webseiten, über die wir bereits berichtet hatten.

Zur Erinnerung: Cookies sind kleine Textdateien, die auf dem Endgerät gespeichert und ausgelesen werden können. Man unterscheidet zwischen Session-Cookies, die wieder gelöscht werden, sobald die Nutzer ihren Browser schließen und permanenten Cookies, die über die einzelne Sitzung hinaus gespeichert werden. Mithilfe von Cookies können Nutzerprofile erstellt werden, die Rückschlüsse auf das Surfverhalten und die Lebensgewohnheiten der Nutzer zulassen.

noyb hat bereits in zwei Fällen wichtige Urteile gegen Facebook erwirkt. Hierbei ging es in 2015 um die Datenübermittlung in die USA auf Grundlage des Safe Harbor-Abkommens, das der Europäische Gerichtshof (EuGH) für unwirksam erklärt hatte. Ebenso wurde in 2020 das EU US-Privacy Shield als Nachfolgeregelung auf Betreiben von Max Schrems für unwirksam erklärt. Beide Urteile zeigen die Wirkmächtigkeit der von noyb initiierten Verfahren.

In ihrem Beitrag vom 10. August 2021 gab noyb an, dass bisher 42 Prozent der Verstöße auf mehr als 516 Webseiten beseitigt worden sind, darunter bei globalen Marken wie Mastercard, Procter & Gamble, Seat oder Nikon, aber auch bei anderen, teilweise eher lokal bekannten Unternehmen, wie der österreichischen Sparte des REWE Konzerns, dem Reiseveranstalter LTUR, dem Europa-Park Rust oder der DHL.

Wogegen richten sich die Beschwerden bzgl. der Cookie-Banner?

Gegenstand der Beschwerden waren sog. „Dark Patterns“, bei denen die Nutzer zu einem Verhalten animiert werden sollen, das nicht ihren wirklichen Absichten entspricht. Dabei werden die Cookie-Banner so gestaltet, dass die Nutzer zu einer datenschutzunfreundlichen Auswahl verleitet werden.

Nach Ansicht des Datenschutzaktivisten Schrems hoffen die Unternehmen auf eindeutige Entscheidungen der Aufsichtsbehörden, bevor sie ihre Cookie-Banner anpassen. Es geht dabei auch um einen fairen Wettbewerb, weil nicht alle Unternehmen die datenschutzrechtlichen Anforderungen an Cookie-Banner einhalten. Schrems erhofft sich Sanktionen seitens der Aufsichtsbehörden.

Interessant ist auch, dass sich nach Darstellung von noyb große Internet-Anbieter wie Amazon, Twitter, Google oder Facebook nicht bereit erklärt haben, ihre Cookie-Banner anzupassen. Hierbei handelte es sich um individuelle Cookie-Banner, die eine individuelle Prüfung erforderlich machen. Laut der Argumentation der Anbieter bestehe das Recht, die Nutzer so zu manipulieren, dass diese weitreichende Cookies akzeptieren. Max Schrems spricht sich vor diesem Hintergrund für einheitliche gesamteuropäische Regelungen aus, bei denen die Auslegung der DSGVO durch die Mitgliedsstaaten nicht voneinander abweicht. Das Recht soll „überall gleich gelten“, wie Schrems im Beitrag von noyb zitiert wird.

Fazit

Das Vorgehen von Schrems in Bezug auf die Transparenz von Cookie-Bannern ist zu begrüßen. Einheitliche Regelungen seitens der Aufsichtsbehörden würden für einen fairen Wettbewerb sorgen und das geläufige Argument gegen die datenschutzkonforme Gestaltung von Webseiten entkräften, „Mitbewerber verhielten sich doch auch datenschutzwidrig“.

Nachdem Schrems bereits in zwei Verfahren vor dem EuGH wichtige Erfolge erzielen konnte, ist es gut vorstellbar, dass seine NGO noyb auch bei den Aufsichtsbehörden reüssieren wird. Die Beschwerden sind bei zehn Aufsichtsbehörden anhängig, die nun gezwungen sein dürften, sich stärker untereinander abzustimmen. Falls die Beschwerden Bußgelder zur Folge haben, muss davon ausgegangen werden, dass diese von den betroffenen Unternehmen gerichtlich angefochten werden. Daher wird in absehbarer Zeit nicht mit rechtskräftigen Entscheidungen der Aufsichtsbehörden zu rechnen sein.

noyb hat sich als langfristiges Ziel gesetzt, innerhalb eines Jahres bis zu 10.000 Webseiten zu scannen, zu überprüfen und zu verwarnen, damit die Nutzer zukünftig eine echte Wahl bei den Cookie-Bannern haben.

Wir halten Sie in unserem Blog gerne über den Ausgang der Beschwerdeverfahren auf dem Laufenden.