Die Daten­schüt­zer von noyb haben im Mai eine Beschwer­de­wel­le gegen mani­pu­la­ti­ve und rechts­wid­ri­ge Coo­kie-Ban­ner auf gro­ßen Web­sites gestar­tet. Ein Teil der betrof­fe­nen Fir­men hat inzwi­schen nach­ge­bes­sert. Ande­re müs­sen nun mit for­ma­len Beschwer­den rechnen.

Die euro­päi­sche Daten­schutz­or­ga­ni­sa­ti­on noyb legt bei ihrem Kampf gegen rechts­wid­ri­ge Coo­kie-Zustim­mungs­ab­fra­gen im Inter­net nach. Nach einer ersten Beschwer­de­wel­le, die sich Ende Mai noch an die Web­sei­ten­be­trei­ber selbst rich­te­te, will das Team um den öster­rei­chi­schen Daten­schutz­ak­ti­vi­sten Max Schrems nun 422 for­ma­le Beschwer­den bei zehn Daten­schutz­be­hör­den ein­rei­chen. Nach Ansicht der Akti­vi­sten ver­sto­ßen die Fir­men mit mani­pu­la­ti­ven Coo­kie-Ban­nern gegen die euro­päi­sche Daten­schutz-Grund­ver­ord­nung (DSGVO).

Coo­kies sind klei­ne Daten­sät­ze, die Web­sei­ten hin­ter­le­gen, um die Nut­zer iden­ti­fi­zier­bar zu machen. Mit ihrer Hil­fe kön­nen indi­vi­du­el­le Pro­fi­le erstellt wer­den, die weit­rei­chen­de Rück­schlüs­se über Surf­ver­hal­ten, Vor­lie­ben und Lebens­ge­wohn­hei­ten zulas­sen. Die­ses Wis­sen wird dann etwa für per­so­na­li­sier­te Wer­bung herangezogen.

Nach den Schrei­ben an mehr als 500 Unter­neh­men am 31. Mai sei­en 42 Pro­zent aller Ver­stö­ße auf mehr als 516 Web­sites besei­tigt wor­den. Zu den Unter­neh­men, die die Ver­wen­dung von «dark pat­terns» zur Ein­ho­lung der Zustim­mung voll­stän­dig ein­ge­stellt haben, gehö­ren glo­ba­le Mar­ken wie Master­card, Proc­ter & Gam­ble, Fore­ver 21, Seat oder Nikon.

Unter „dark pat­terns“ ver­steht man Bedien­ober­flä­chen, die Nut­zer zu einer Hand­lung brin­gen sol­len, die nicht ihren eigent­li­chen Absich­ten ent­spricht. Im Fall von Coo­kie-Hin­wei­sen wer­den But­tons, Auf­bau und Beschrif­tung gezielt so gewählt, dass die Web­site-Besu­cher am ehe­sten eine daten­schutz­un­freund­li­che Aus­wahl treffen.

Nur eine Min­der­heit der ange­schrie­be­nen Unter­neh­men kam der Auf­for­de­rung von noyb nach, den Wider­ruf so ein­fach wie die Ertei­lung der Ein­wil­li­gung zu gestal­ten. Nur 18 Pro­zent hät­ten eine sol­che Opti­on qua­si als Wider­rufs­sym­bol auf ihrer Web­site eingerichtet.

Unter­neh­men wol­len Recht auf Manipulation

In dem Coo­kie-Streit hat es die wer­be­trei­ben­de Indu­strie mit einem ein­fluss­rei­chen Geg­ner zu tun. Schrems hat in zwei spek­ta­ku­lä­ren Fäl­len bereits Face­book in die Knie gezwun­gen. Er setz­te zum einen im Okto­ber 2015 vor dem Euro­päi­schen Gerichts­hof (EuGH) durch, dass die von Face­book genutz­te trans­at­lan­ti­sche Daten­schutz­ver­ein­ba­rung „Safe Har­bor“ gekippt wur­de. Im Juni 2020 brach­te er vor dem EuGH schließ­lich auch die Nach­fol­ge­re­ge­lung „Pri­va­cy Shield“ zu Fall.

Schrems erklär­te nun, Unter­neh­men hät­ten die Befürch­tung geäu­ßert, dass ihre Kon­kur­ren­ten die Vor­schrif­ten nicht ein­hal­ten, was zu einem unfai­ren Wett­be­werb füh­ren wür­de. „Ande­re sag­ten, dass sie auf eine kla­re Ent­schei­dung der Behör­den war­ten, bevor sie die Geset­ze ein­hal­ten. Wir hof­fen daher, dass die Daten­schutz­be­hör­den bald Ent­schei­dun­gen und Sank­tio­nen erlas­sen werden.“

Unab­hän­gig von der Über­prü­fung der mehr als 500 Web­sei­ten in der ersten Beschwer­de­wel­le nah­men Schrems und sein Team auch grö­ße­re glo­ba­le und natio­na­le Web­sites unter die Lupe, die indi­vi­du­el­le „Coo­kie-Ban­ner“ ver­wen­den und daher eine manu­el­le Über­prü­fung erfor­dern. Dazu gehö­ren alle gro­ßen Platt­for­men wie Ama­zon, Twit­ter, Goog­le oder Face­book. „Sie alle haben sich gewei­gert, ihre Ban­ner zu ver­bes­sern“, erklär­ten die Daten­schutz-Akti­vi­sten. Noyb rei­che des­halb wei­te­re 36 Beschwer­den gegen die­se Unter­neh­men ein.

Grö­ße­re Akteu­re und Sei­ten, die stark von Wer­bung abhän­gig sind, haben unse­re Ver­war­nung weit­ge­hend igno­riert“, beklag­te Schrems. „Sie argu­men­tie­ren teil­wei­se offen, dass sie das Recht hät­ten, Nut­zer mit Mani­pu­la­tio­nen zu einem Klick auf den “Okay”-Button zu brin­gen.“ Schrems setz­te sich für „kla­re gesamt­eu­ro­päi­sche Regeln“ ein. „Im Moment hat ein deut­sches Unter­neh­men das Gefühl, dass die Aus­le­gung der DSGVO durch die fran­zö­si­schen Behör­den nur für Frank­reich gilt, obwohl das Recht über­all gleich gel­ten sollte.“