Datenschutz-Beschwerden gegen unzulässige Cookie-Banner von noyb

Im Kampf gegen irreführende Cookie-Banner, die Website-Besucher zum Akzeptieren eigentlich unerwünschter Cookies bewegen sollen, haben die Datenschutzaktivisten von noyb die nächste Stufe gezündet und nach einer zunächst erfolgten Aufforderung zur Nachbesserung über 400 formelle Beschwerden bei Behörden eingereicht.

Cookies sind schon seit den frühen Jahren des World Wide Web umstritten. Bei diesen Datenkeksen handelt es sich um einfache, kurze Textdateien, die von den Webservern über die Browser auf die Endgeräte der Surfer gelangen und die ein Wiedererkennen des Seitenbesuchers ermöglichen.

Gute Cookies, schlechte Cookies: Nutzerfreundliche Funktionen, Third-Party-Cookies  

Diese Technik ist nicht per se übel oder unerwünscht, lassen sich hierüber doch Funktionen wie Warenkorbsysteme in Online-Shops realisieren oder bei wiederholten Seitenbesuchen können einmal gemachte Einstellungen der Besucher automatisch übernommen und müssen nicht umständlich erneut vorgenommen werden.

Andere  Cookies sind dagegen nicht so unproblematisch. Dies gilt insbesondere für Cookies, die nicht direkt von den angesteuerten Webservern gesetzt werden, sondern von Drittanbietern kommen, die ihre Cookies auf zahlreichen Websites platzieren.

  • Über diese Third-Party-Cookies können die Surfer über die Grenzen einzelner Webserver wiedererkannt werden
  • und es lassen sich Profile zum Nutzerverhalten anlegen, die dann etwa als Grundlage für die Auswahl von Werbeanzeigen dienen.
  • Auch zur Analyse des Nutzerverhaltens und für andere Marketingzwecke werden Cookies eingesetzt.

Cookies sind nur nach Zustimmung zulässig

Insbesondere bei diesen Third-Party-Cookies erfolgt in vielen Fällen eine Verarbeitung personenbezogener Daten, wenn etwa Daten wie die IP-Adresse oder sogar Mail-Adressen erfasst werden. Vor der Verarbeitung solcher Daten muss nach der DSGVO jedoch die Zustimmung der Betroffenen eingeholt werden (→BGH verlangt aktive Zustimmung zu Cookies auf Portalen ) und dabei sind wiederum umfangreiche Informationen zu geben, etwa zu den genauen Verarbeitungszwecken bis hin zu Widerspruchsmöglichkeiten etc.

Dies geschieht üblicherweise in Form der sogenannten Cookie-Banner, die daher bei den allermeisten Websites beim ersten Aufruf eingeblendet werden, und die den Surfern vor allem auch die Wahlmöglichkeit bieten sollen, Cookies anzunehmen oder abzulehnen.

Informations-Overflow und gezielte Verwirrung durch Cookie-Banner

In der Praxis haben sich diese Cookie-Banner jedoch keine Freunde machen können. Zum einen liegt das daran, dass auf vielen Websites extrem viele der problematischen Third-Party-Cookies eingesetzt werden, etwa auch zu  Analysezwecken und zu jedem einzelnen dieser Cookies Informationen angeboten werden müssen sowie jeweils eine individuelle Zustimmung oder Ablehnung möglich sein muss.

Kaum ein Surfer, der nur einem Link auf eine zuvor noch nicht besuchte Website gefolgt ist, wird Lust haben, sich durch Dutzende von Seiten mit schwer verständlichen Beschreibungen von Verarbeitungszwecken der unterschiedlichen Cookies zu kämpfen und Entscheidungen über Annahme oder Ablehnung treffen, nur um an den gewünschten Inhalt zu gelangen.

Zum anderen sind viele der Cookie-Banner so gestaltet, dass sie die Nutzer dazu verführen, diese Mühen nach Möglichkeit gar nicht erst auf sich zu nehmen, sondern einfach die Option zum Akzeptieren aller Cookies (inklusive der problematischen Third-Party-Cookies) zu wählen, die dazu entsprechend prominent auf dem Banner herausgestellt wird.

Deaktivieren wird teilweise mit Tricks erschwert                   

Nutzern, die bestimmte Cookie-Kategorien gezielt deaktivieren wollen, wird dies zudem durch verschiedene Tricks erschwert, indem etwa die Banner so designt werden, dass diese Abwahloptionen erst nach Anklicken eines Links erreichbar sind oder es durch  irreführende Farben oder Kontraste bei Schaltflächen und Schaltern gar nicht ersichtlich ist, ob man die Cookies nun blockiert oder aktiviert.

Zuerst gab es Aufforderungen zur Nachbesserung der Banner

Nach Ablauf der Frist konnte noyb einen gewissen Teilerfolg vermelden:

Teilweise erfolgten Nachbesserungen

Immerhin 42 Prozent aller an die Unternehmen gemeldeten Verstöße waren behoben worden. Allerdings folgten nicht einmal 20 Prozent der Unternehmen allen Aufforderungen, sodass die Organisation wie angekündigt nun formelle Beschwerden in 442 Fällen (86 Prozent der angeschriebenen Unternehmen) bei insgesamt zehn verschiedenen nationalen Datenschutzbehörden eingelegt hat.

Am häufigsten erfolgten Anpassungen etwa bei dem Entfernen von zunächst aktivierten Kästchen mit einer Zustimmung zu den Cookies (68 Prozent), in 46 Prozent der Fälle wurden irreführende Farben bei Ablehnungs- und Zustimmungsoptionen angepasst und in immerhin 42 Prozent wurde auch die einfache Ablehnungsoption eingefügt. Am geringsten befolgt wurde die Aufforderung zur Einrichtung einer einfachen Widerrufsoption, was nur in 18 Prozent der Beanstandungen erfolgte.

Insgesamt wurden auf den 516 beanstandeten Websites 1028 Einzelverstöße behoben. Alle unzulässigen Optionen entfernten Unternehmen wie Mastercard, Seat, Nikon oder auch der Reisveranstalter LTUR von ihren Webseiten.

Große Websites zeigen sich uneinsichtig

Unabhängig von der teils automatisierten Überprüfung der 516 Websites hatte noyb auch die individuell erstellten Cookie-Banner von Internet-Giganten wie Google, Twitter, Facebook oder Amazon separat begutachtet und hier ebenfalls erhebliche Verstöße gegen die Vorgaben festgestellt. Diese Konzerne hatten sich jedoch grundsätzlich geweigert, ihre Banner nachzubessern, sodass die Organisation auch hier Beschwerden einreichen wird.

Harmonisierung der Regelauslegung erwünscht

Bei ihrem Vorgehen gegen die Cookie-Banner sehen sich die Datenschutzaktivisten durch uneinheitliche Auslegungen der Regeln zur Gestaltung der Cookie-Banner in unterschiedlichen EU-Staaten etwas behindert. So gebe es zwar Leitlinien verschiedener Datenschutzbehörden, die jedoch oftmals nur bestimmte dieser „dark patterns“  beträfen und die nicht immer gegenseitig anerkannt würden.  Hier vermisst Max Schrems, der die Datenschutzinitiative noyb gegründet hatte, daher klare, gesamteuropäische Regeln.

In gut der Hälfte der Beschwerden hat sich noyb daher an die für die Website bzw. das Unternehmen zuständige Datenschutzbehörde gewandt, 50 Prozent der Fälle landeten allerdings vor der österreichischen Datenschutzbehörde, etwa wenn das betreffende Unternehmen keine Niederlassung in der EU hat oder die Beschwerden von noyb nicht in der Landessprache vorgebracht werden konnten.

Ausdehnung der Website-Überprüfungen angekündigt

Die Überprüfung der Cookie-Banner auf rund 500 Websites war nach Angaben von noyb lediglich der Testlauf für ein größtenteils automatisiertes Verfahren. Geplant ist, innerhalb des nächsten Jahres bis zu 10.000 Scans von Websites vorzunehmen und bei Beanstandungen unverändert vorzugehen, also die Betreiber zunächst zu Nachbesserungen aufzufordern und im Falle einer Weigerung anschließend Beschwerde bei den Behörden einzureichen.

Weitere News zum Thema:

BGH verlangt aktive Zustimmung zu Cookies auf Portalen

Datenschutzbehörden verabschieden einheitliches Bußgeldkonzept

EuGH zu Datenschutzpflichten bei der Verwendung von Cookies

Hintergrund: Noyb (None of your Business)

Der österreichische Datenschutzaktivist Max Schrems, der große Konzerne schon lange wegen seine Datenschutzmängel angreift,  hat eine Organisation auf die Beine gestellt, mit der Datenschutzrechte besser geschützt werden sollen. Der Datenschützer Max Schrems ist vor allem durch seine Klagen gegen Facebook bekannt geworden, in deren Folge die Datenschutzabkommen Safe Harbor zwischen der EU und den USA gekippt wurde. Später kippte er vor dem EuGH Privacy Shield.

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) haben auch Verbände ein Klagerecht bekommen. Mit dem von ihm mitbegründeten Verein namens Noyb (None of your Business – Geht Dich nichts an) können Ansprüche mehrerer Personen gebündelt werden. Noyb (None of your Business) ging als Crowdfunding-Projekt an den Start, um die erweiterten Rechte und verschärften Sanktionen der Datenschutzgrundverordnung zu nutzen.