Browser-Voreinstellungen Datenschützer legen Beschwerden über Cookie-Banner von 422 Firmen ein

Aktivisten prangern manipulative Cookie-Banner auf großen Websites an. Einige Anbieter haben inzwischen nachgebessert. Andere müssen nun mit formalen Beschwerden rechnen.
Cookie-Banner: Zustimmen ist leicht, ablehnen häufig schwieriger

Cookie-Banner: Zustimmen ist leicht, ablehnen häufig schwieriger

Foto: Bernd Weissbrod/ dpa

Die europäische Datenschutzorganisation noyb (»none of your business«, übersetzt: Das geht dich gar nichts an) legt bei ihrem Kampf gegen rechtswidrige Cookie-Zustimmungsabfragen im Web nach. Nach einer ersten Beschwerdewelle, die sich Ende Mai noch an die Websitebetreiber selbst richtete, will das Team um den österreichischen Datenschutzaktivisten Max Schrems nun 422 formale Beschwerden bei zehn Datenschutzbehörden einreichen. Seiner Ansicht nach verstoßen die Firmen mit manipulativen Cookie-Bannern gegen die Datenschutz-Grundverordnung (DSGVO).

Cookies sind kleine Datensätze, die Webseiten hinterlegen, um die Nutzer identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird dann etwa für personalisierte Werbung herangezogen.

Nach den Schreiben an mehr als 500 Unternehmen am 31. Mai seien 42 Prozent aller Verstöße auf mehr als 516 Websites beseitigt worden, teilte noyb mit. Zu den Unternehmen, die die Verwendung von sogenannten Dark Patterns zur Einholung der Zustimmung vollständig eingestellt haben, gehören globale Marken wie Mastercard, Procter & Gamble, Forever 21, Seat oder Nikon.

Unternehmen argumentieren mit unfairem Wettbewerb

Unter Dark Patterns versteht man Bedienoberflächen und Designs, die Nutzer zu einer Handlung bringen sollen, die nicht ihren eigentlichen Absichten entspricht. Im Fall von Cookie-Hinweisen werden Buttons, Aufbau und Beschriftung gezielt so gewählt, dass die Website-Besucherinnen und -Besucher am ehesten eine datenschutzunfreundliche Auswahl treffen.

Nur eine Minderheit der angeschriebenen Unternehmen kam der Aufforderung von noyb nach, den Widerruf so einfach wie die Erteilung der Einwilligung zu gestalten. Lediglich 18 Prozent hätten eine solche Option quasi als Widerrufssymbol auf ihrer Website eingerichtet.

Der Name noyb mag noch nicht sehr geläufig sein, aber in dem Cookie-Streit hat es die werbetreibende Industrie mit einem ernst zu nehmenden Gegner zu tun. Schrems hat in zwei spektakulären Fällen bereits Facebook in die Knie gezwungen. Er setzte zum einen im Oktober 2015 vor dem Europäischen Gerichtshof (EuGH) durch, dass die von Facebook genutzte transatlantische Datenschutzvereinbarung Safe Harbor gekippt wurde. Im Juni 2020 brachte er vor dem EuGH schließlich auch die Nachfolgeregelung Privacy Shield zu Fall.

Schrems erklärte nun, Unternehmen hätten die Befürchtung geäußert, dass ihre Konkurrenten die Vorschriften nicht einhalten, was zu einem unfairen Wettbewerb führen würde. »Andere sagten, dass sie auf eine klare Entscheidung der Behörden warten, bevor sie die Gesetze einhalten. Wir hoffen daher, dass die Datenschutzbehörden bald Entscheidungen und Sanktionen erlassen werden.«

Unabhängig von der Überprüfung der mehr als 500 Websites in der ersten Beschwerdewelle nahmen Schrems und sein Team auch größere globale und nationale Websites unter die Lupe, die individuelle »Cookie-Banner« verwenden und daher eine manuelle Überprüfung erfordern. Dazu gehören alle großen Plattformen wie Amazon, Twitter, Google oder Facebook. »Sie alle haben sich geweigert, ihre Banner zu verbessern«, erklärten die Datenschutz-Aktivisten. Noyb reiche deshalb weitere 36 Beschwerden gegen diese Unternehmen ein.

»Größere Akteure und Seiten, die stark von Werbung abhängig sind, haben unsere Verwarnung weitgehend ignoriert«, beklagte Schrems. »Sie argumentieren teilweise offen, dass sie das Recht hätten, Nutzer mit Manipulationen zu einem Klick auf den Okay-Button zu bringen.« Schrems setzte sich für »klare gesamteuropäische Regeln« ein. »Im Moment hat ein deutsches Unternehmen das Gefühl, dass die Auslegung der DSGVO durch die französischen Behörden nur für Frankreich gilt, obwohl das Recht überall gleich gelten sollte.«

pbe/dpa
Die Wiedergabe wurde unterbrochen.