Datenschutz-KampagneNGO reicht hunderte Beschwerden gegen Verstöße bei Cookie-Bannern ein

Die Datenschutzorganisation noyb reicht Beschwerde gegen rechtswidrige Cookie-Banner ein. Nicht alle Unternehmen reagierten auf eine erste formlose Aufforderung, Mängel zu beheben. Einige große Firmen geben zu, Nutzer wissentlich zu manipulieren.

Ein angebissener "american-style" Cookie auf weissem Grund.
Manipulative Methoden bei Cookie-Bannern sind weit verbreitet. Gemeinfrei-ähnlich freigegeben durch unsplash.com Vyshnavi Bisani

Die Datenschutzorganisation noyb reicht 422 formelle Beschwerden über DSGVO-Verstöße beim Design von Cookie-Bannern ein. In einem ersten Durchlauf scannte eine eigens entwickelte Software Websites großer Unternehmen auf häufig vorkommende Datenschutzverstöße in Bannern. Im Mai ermittelte die Organisation so bei 516 Firmen Mängel in der Umsetzung europäischer Richtlinien.

Unter anderem irreführende Farben und unübersichtliche Designs sollen dazu verleiten, Cookies uneingeschränkt zu zustimmen. Diese „dark patterns“ genannten Methoden manipulieren den Nutzer, kritisiert noyb in einer Pressemitteilung. Am häufigsten fänden sich Verstöße zum Widerruf von Cookies, etwa, indem auf der ersten Bannerseite kein „Ablehnen“-Button zu finden sei. Die DSGVO schreibt vor, dass zum „Ablehnen“ von Cookies die gleichen Anforderungen herrschen müssen wie zur „Zustimmung“. Tatsächlich fand sich nur bei 18 Prozent der gescannten Websites eine gleichermaßen einfache Option, Tracking abzulehnen wie anzunehmen. Der EuGH hatte 2019 betont, dass Daten nur nach der aktiven Zustimmung des Nutzers gesammelt werden dürfen.

Zunächst informierte noyb die betroffenen Unternehmen über die erkannten Probleme in ihren Cookie-Bannern. Dazu verschickte die Organisation einen formlosen Beschwerdeentwurf sowie eine Schritt-für-Schritt-Anleitung, um die Einstellungen zu ändern. Auf diese Aufforderung hin behoben rund 42 Prozent der Unternehmen die angemahnten Verstöße. Besonders häufig änderten Seitenbetreiber irreführende Farben oder entfernten bereits vorangekreuzte Kästchen. Rund 22 Prozent der Unternehmen zogen zudem die Behauptung zurück, ein „berechtigtes Interesse“ am Tracking zu haben.

Unternehmen haben Angst vor Wettbewerbsnachteil

Insgesamt beseitigten die gescannten Firmen 1028 Einzelverstöße in ihren Cookie-Bannern. Einige globale und lokale Großunternehmen, unter anderem Mastercard, Nikon oder Rewe, entfernten sogar alle „dark patterns“ aus ihren Cookie-Bannern. Viele Unternehmen stellten jedoch nur manche Mängel ab. Daher reicht noyb nun in 422 Fällen formal Beschwerde bei insgesamt zehn Datenschutzbehörden ein. „Die Notwendigkeit einer deutlich sichtbaren Option, eine Einwilligung wieder zurückzunehmen, stieß bei den Website-Betreibern auf den größten Widerstand”, sagt Max Schrems, Vorsitzender von noyb.

„In informellen Rückmeldungen haben Unternehmen die Befürchtung geäußert, dass ihre Konkurrenten die Vorschriften nicht einhalten werden, was zu einem unfairen Wettbewerb führen würde“, sagt Schrems zu den Motiven hinter der Nutzung von „dark patterns“. Ein weiterer Grund sei, dass Unternehmen auf eine klare Entscheidung der Behörden warten, bevor sie die Gesetze einhalten.

Insgesamt 36 Unternehmen verweigerten jegliche Anpassung ihrer Banner-Designs. Die Beschwerden in diesen Fällen wird noyb gesondert einreichen. Dies betrifft große internationale Konzerne, die individuelle Banner nutzen und von noyb daher manuell überprüft wurden. Max Schrems kritisiert hierbei die Haltung der informierten Unternehmen:

Größere Akteure und Seiten, die stark von Werbung abhängig sind, haben unsere Verwarnung weitgehend ignoriert. Sie argumentieren teilweise offen, dass sie das Recht hätten, Nutzer mit Manipulationen zu einem Klick auf den ‚Okay‘-Button zu bringen.

Ein großes Problem sei, dass nationale Datenschutzbehörden die EU-Richtlinien oft nicht einheitlich umsetzen, sondern jeweils unterschiedliche „dark patterns“ in ihren Verordnungen benennen. „Im Moment hat ein deutsches Unternehmen das Gefühl, dass die Auslegung der DSGVO durch die französischen Behörden nur für Frankreich gilt, obwohl das Recht überall gleich gelten sollte“, beschreibt Schrems das Problem.

Mit einer Entscheidung rechnet die Datenschutzorganisation Ende des Jahres. Noyb erwartet, dass dabei klare Regeln zum Vorhandensein eines „Widerruf“ und eines „Zustimmung“-Buttons getroffen werden. Im Anschluss plant die Organisation, die Anzahl der gescannten Unternehmen auszuweiten.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

6 Ergänzungen

  1. „Die DSGVO schreibt vor, dass zum „Ablehnen“ von Cookies die gleichen Anforderungen herrschen müssen wie zur „Zustimmung“.“

    Nein. :-) Die DSGVO äußert sich überhaupt nicht zu Cookies bzw. höchstens insofern, als ein Anbieter durchaus „berechtigtes Interesse“ geltend machen kann, ein Konstrukt wie z.B. Cookies zu nutzen. Was Gerichte (insbesondere deutsche Gerichte) daraus machen, steht dann auf einem ganz anderen Blatt.

    Ich schätze, Du meinst den Kommentar einer Datenschutzbehörde zur Cookie-Problematik?

  2. Was ist eigentlich mit Cockie-Bannern, die auftauchen, obwohl Cookies im Browser deaktiviert sind? Die nerven ganz schön. Das kann ich in den meisten Fällen mit NoScript auf dem Desktop beheben, aber so sollte das natürlich nicht sein. Schließlich sollte doch klar sein, wenn Cockies im Browser deaktiviert sind, dass es keine Zustimmung gibt.

    1. Ich bin noch nicht überzeugt, dass mit der „Zustimmung“ nicht noch weitreichendere Zustimmung erteilt wird.

      Grobes Beispielfaul: Zustimmung bei deaktivierten Cookies = Erweiterter Datenverkauf + andere Gemeinheiten, wie z.B. Maustracking per Javascript [alles zu den Zwecken, bzw. wie „eingeholt“]. Dann vom Nutzer abgesegnet gleich das doppelte wert, bzw. an mehr Orten handelbar.

    2. Nach meiner bescheidenen Auffassung, haben die Anzeige von Cockie-Bannern nichts mit den Cookies zu tun. In vielen Fällen werden diese Banner mit Javascript eingeblendet. Setzt du NoScript ein, ist die Anzeige zunächst deaktiviert. Und meist auch die Benutzung der entsprechenden Seite eingeschränkt (was aber nur mit Javascript und nichts mit Cookies zu tun hat). Nach Freigabe der betreffenden Domain und mit Taste F5 werden nun die Banner angezeigt.

  3. Mit dem Firefox-Addon UMATRIX kann man Cookies (& u. a. auch JavaScript)
    gleich global deaktivieren und ggf. fuer einzelne Seiten temporaer
    aktivieren. Zusammen mit NoScript ist man da schon fast auf der sicheren Seite.
    (Bemerkte diese Banner erst, als ich den PC eines Kumpels benutzte 🤪)

    Denkt jedoch bei der Addon-Auswahl immer daran,
    das sich einige Privacy-Extensions am Ende als
    Datenkraken erwiesen haben z. B.
    – Ghostery (Closed Source, Gehoert einem Werbeunternehmen, sendet(e?) Tonnen an Telemtrie-Daten ohne den Nutzer vorher zu informieren)
    – Web of Trust (https://www.kuketz-blog.de/wot-addon-wie-ein-browser-addon-seine-nutzer-ausspaeht/)

    Und wer Chrome / Chromium verwendet kann seine Daten ja sowieso abschreiben.
    (Firefox ist da nicht soviel besser, aber wenigstens ein bisschen )

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.