HTTP-Cookie: Datenschützer kämpfen weiter gegen Banner

Die europäische Datenschutzorganisation noyb legt bei ihrem Kampf gegen rechtswidrige Cookie-Zustimmungsabfragen im Internet nach.

Nach einer ersten Beschwerdewelle gegen manipulative und rechtswidrige Cookie-Banner hat ein Teil der betroffenen Firmen nachgebessert. Andere müssen nun mit formalen Beschwerden rechnen.

Eine erste Beschwerdewelle richtete sich Ende Mai noch an die Webseitenbetreiber selbst. Nun will das Team um den österreichischen Datenschutzaktivisten Max Schrems 422 formale Beschwerden bei zehn Datenschutzbehörden einreichen.

Nach Ansicht der Aktivisten verstossen die Firmen mit manipulativen Cookie-Bannern gegen die europäische Datenschutz-Grundverordnung (DSGVO).

Cookies sind kleine Datensätze, die Webseiten hinterlegen, um die Nutzer identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird dann etwa für personalisierte Werbung herangezogen.

Nach den Schreiben an mehr als 500 Unternehmen am 31. Mai seien 42 Prozent aller Verstösse auf mehr als 516 Websites beseitigt worden.

Zu den Unternehmen gehören globale Marken wie Mastercard, Procter & Gamble, Forever 21, Seat oder Nikon. Und zwar diese, die die Verwendung von «dark patterns» zur Einholung der Zustimmung vollständig eingestellt haben.

Unter «dark patterns» versteht man Bedienoberflächen, die Nutzer zu einer Handlung bringen sollen, die nicht ihren eigentlichen Absichten entspricht. Im Fall von Cookie-Hinweisen werden Buttons, Aufbau und Beschriftung gezielt so gewählt. Und zwar, dass die Website-Besucher am ehesten eine datenschutz-unfreundliche Auswahl treffen.

Nur eine Minderheit der angeschriebenen Unternehmen kam der Aufforderung von noyb nach. Diese forderte, den Widerruf so einfach wie die Erteilung der Einwilligung zu gestalten. Nur 18 Prozent hätten eine solche Option quasi als Widerrufssymbol auf ihrer Website eingerichtet.

In dem Cookie-Streit hat es die werbetreibende Industrie mit einem einflussreichen Gegner zu tun. Schrems hat in zwei spektakulären Fällen bereits Facebook in die Knie gezwungen.

Er setzte zum einen im Oktober 2015 durch, dass die von Facebook genutzte transatlantische Datenschutzvereinbarung «Safe Harbor» gekippt wurde. Und zwar vor dem Europäischen Gerichtshof (EuGH).

Im Juni 2020 brachte er vor dem EuGH schliesslich auch die Nachfolgeregelung «Privacy Shield» zu Fall. Schrems erklärte nun, Unternehmen hätten die Befürchtung geäussert, dass ihre Konkurrenten die Vorschriften nicht einhalten.

Dies würde zu einem unfairen Wettbewerb führen. «Andere sagten, dass sie auf eine klare Entscheidung der Behörden warten, bevor sie die Gesetze einhalten. Wir hoffen daher, dass die Datenschutzbehörden bald Entscheidungen und Sanktionen erlassen werden.»

Schrems und sein Team nahmen auch grössere globale und nationale Websites unter die Lupe. Und zwar solche, die individuelle «Cookie-Banner» verwenden und daher eine manuelle Überprüfung erfordern. Dies, unabhängig von der Überprüfung der mehr als 500 Webseiten in der ersten Beschwerdewelle.

Dazu gehören alle grossen Plattformen wie Amazon, Twitter, Google oder Facebook. «Sie alle haben sich geweigert, ihre Banner zu verbessern», erklärten die Datenschutz-Aktivisten. Noyb reiche deshalb weitere 36 Beschwerden gegen diese Unternehmen ein.

«Grössere Akteure und Seiten, die stark von Werbung abhängig sind, haben unsere Verwarnung weitgehend ignoriert», beklagte Schrems. «Sie argumentieren teilweise offen, dass sie das Recht hätten, Nutzer mit Manipulationen zu einem Klick auf den «Okay»-Button zu bringen.»

Schrems setzte sich für «klare gesamteuropäische Regeln» ein. «Im Moment hat ein deutsches Unternehmen das Gefühl, dass die Auslegung der DSGVO der französischen Behörden nur für Frankreich gilt. Dies, obwohl das Recht überall gleich gelten sollte.»