Etwas mehr als ein Jahr nach dem Start eines Großprojekts, das auf Tausende von Websites abzielt, die eklatant gegen die Cookie-Tracking-Regeln in Europa verstoßen, hat eine lokale Datenschutzkampagnengruppe begonnen noyb hat eine weitere Reihe von Beschwerden gegen eine Reihe von Website-Betreibern abgefeuert, die angeblich frühere Warnungen ignoriert oder nicht vollständig umgesetzt haben, um ihre Cookie-Zustimmungsbanner in Übereinstimmung mit dem EU-Rechtsstandard für die Zustimmung, wie der Datenschutz-Grundverordnung (DSGVO), zu bringen ).
Laut Noyb wurden die letzten 226 Beschwerden bei 18 Datenschutzbehörden (DPAs) im ganzen Block eingereicht.
Wie bei früheren Aktionen von noyb beziehen sich alle Beschwerden auf die am weitesten verbreitete Cookie-Banner-Software von OneTrust. Aber es ist nicht die Software selbst, die das Problem darstellt – vielmehr zielen die Beschwerden auf betrügerische Einstellungen ab, die gefunden wurden. Oder es wird den Benutzern der Website überhaupt keine Wahlmöglichkeit geboten, das Tracking zu verweigern, was einen klaren Verstoß gegen das Gesetz zur Einwilligung darstellt.
Täuschende Cookie-Popups haben nicht nur zerstörerische Auswirkungen auf die Datenschutzrechte von Internetbenutzern in der Region, indem sie Menschen systematisch ihres Rechts auf Schutz ihrer Informationen berauben, sondern sie haben auch dem Ruf der EU-Datenschutzvorschriften wie z die DSGVO – ermöglicht es Kritikern, die Verordnung dafür verantwortlich zu machen, dass sie einen Tsunami von lästigen Cookie-Bannern hervorgebracht hat, obwohl das Gesetz den Diebstahl von Einwilligungen durch zynische Taktiken wie das Einfügen von Einwegfriktionen oder das Angebot von Null-Opt-out-„Wahl“ für Benutzer eindeutig verbietet.
Das enorme Ausmaß an Verstößen gegen die Cookie-Einwilligung stellt jedoch eine große Durchsetzungsherausforderung für das Netzwerk der unterfinanzierten Datenschutzbehörden des Blocks dar – daher springt noyb mit einem intelligenten und strategischen Ansatz ein, um die Geißel des „Cookie-Banner-Terrors“ zu beseitigen. als seine Kampagne liegt es.
Angesichts der Fokussierung von noyb auf Auswirkungen und der extrem weit verbreiteten Natur von Cookie-Zustimmungsproblemen hat die Kampagnengruppe versucht, die Anzahl der formellen Beschwerden, die sie bei den Aufsichtsbehörden einreicht, zu minimieren – daher beinhaltet ihre teilweise automatisierte Compliance-Kampagne das Senden erster Beschwerden an die betreffenden Websites, in denen dies der Fall ist Helfen Sie mit, alle dunklen Muster (oder andere falsche Zustimmungsprobleme) zu korrigieren, die noyb identifiziert hat.
Nur Websites, die diese Anstupser und Schritt-für-Schritt-Compliance-Anleitungen wiederholt ignoriert haben, werden jetzt für formelle Beschwerden bei der zuständigen Aufsichtsbehörde ins Visier genommen.
„Wir wollen die Einhaltung sicherstellen, idealerweise ohne Klagen einzureichen. Sollte ein Unternehmen dennoch weiterhin gegen Gesetze verstoßen, sind wir bereit, die Rechte der Nutzer durchzusetzen“, sagt Max Schrems, Vorstandsvorsitzender von noyb, in einer Stellungnahme.
„Nach einem Jahr kamen wir zu den hoffnungslosen Fällen, die kaum auf eine Einladung oder Anleitung reagieren. Diese Fälle müssen nun an die zuständigen Behörden gehen“, fügte er hinzu.
Bisher schreibt noyb seiner Cookie-Consent-Kampagne zu, dass sie einen „großen Spillover-Effekt“ erzeugt hat – nicht nur, dass direkt gezielte Banner, die gegen die Einwilligung verstoßen, geändert werden, sondern auch einige nicht zielgerichtete Websites ihre Einstellungen anpassen, nachdem sie davon erfahren haben Beschwerden. „Das zeigt, dass der Vollzug die Einhaltung über den Einzelfall hinaus sicherstellt“, argumentiert Schrems. „Ich denke, viele Benutzer haben festgestellt, dass zum Beispiel im letzten Jahr auf vielen Websites nach und nach immer mehr „Ablehnen“-Schaltflächen erschienen sind.“
Zu den bisherigen Fortschritten sagte uns eine Sprecherin von noyb: „Wir haben nach unserer ersten Verwarnungsrunde im vergangenen Mai eine steigende Compliance-Rate bei unseren regelmäßigen Scans (bei denen wir mehrere tausend Websites in Europa mit CMP OneTrust scannen) festgestellt. Dies liegt wahrscheinlich an einem erhöhten Bewusstsein aufgrund unserer Beschwerden, der „Angst“, dass dieses Gesetz tatsächlich durchgesetzt werden könnte, und daran, dass Onetrust seine Kunden proaktiv über unsere Beschwerden informiert und ihre Standardeinstellungen so angepasst hat, dass sie „noyb konform‘.
„Deshalb betrachten wir jene Webseiten, die trotz aller Abmahnungen immer noch gegen die DSGVO verstoßen, als ‚hoffnungslose‘ Fälle. Bei allen handelt es sich um neue Fälle, sodass keines der Unternehmen, die bereits im letzten Jahr ins Visier genommen wurden, in dieser Gruppe enthalten ist.“
Zu den sogenannten „hoffnungslosen“ Fällen gehört eine Mischung aus (kleineren) Medienseiten, beliebten Einzelhändlern und lokalen Seiten, so die Sprecherin von noyb.
Als sie mehr als ein Jahr nach Beginn der Compliance-Kampagne der Gruppe nach Beispielen für Seiten gefragt wurde, die immer noch gegen „fast alles“ verstoßen (dh wenn es um Cookie-Zustimmungsregeln geht), verwies sie auf Medienseiten, einschließlich https://www.elle.com/ und https://www.menshealth.com/; Rezeptseite www.delish.com; Online-Reisebüro booking.com; und Modehändler aboutyou (in verschiedenen EU-Ländern).
Andere hochkarätige Websites, die jetzt für formelle Beschwerden ins Visier genommen werden – und die nach noybs Einschätzung „mindestens einige Verstöße“ (wenn auch nicht andere) behoben haben – sind Fußball-Websites fifa.com; Kosmetik Einzelhändler rituals.com und clinique.at/de; und Streaming-Gigant hbo.com.
Während noyb sagt, dass „die meisten“ Websites, über die es sich formell beschwert, Benutzern keine Möglichkeit bieten, ihre Zustimmung zum Tracking zu widerrufen, bemerkte seine Sprecherin: „Andere haben eine Ablehnungsschaltfläche implementiert (30 % aller gewarnten Websites), sind es aber Andere Aspekte wie irreführende Designs werden immer noch ignoriert.“
Die Cookie-Beschwerden von Noyb haben bereits zu einigen regulatorischen Maßnahmen geführt, wobei der Europäische Datenschutzausschuss (EDPB) im vergangenen Jahr eine spezielle Taskforce eingerichtet hat, um die Antworten auf die Vorschläge der Gruppe zu koordinieren, die dazu führen könnten, dass bis zu 10.000 Cookie-Zustimmungsbeschwerden eingereicht werden – obwohl die erste DPA-Entscheidungen zu Beschwerden, die sie im vergangenen Jahr eingereicht hatte, stehen noch aus.
„Wir hoffen auf das koordinierte Vorgehen der EDPB-Taskforce“, sagte ihre Sprecherin und fügte hinzu: „Die österreichische Datenschutzbehörde war bisher die aktivste bei der Bearbeitung der Beschwerden, gefolgt von einigen deutschen Datenschutzbehörden. Wir hoffen, bis Ende dieses Jahres die ersten Entscheidungen zu erhalten.“
Jetzt, da diese letzte Runde von OneTrust-Beschwerden eingereicht wurde, sagt die gemeinnützige Gruppe, dass sie auf Websites umziehen wird, die andere sogenannte Consent Management Platforms (CMPs) verwenden, um den Umfang ihrer automatisierten Beschwerde-cum-Compliance-Plattform zu erweitern konkurrierende CMPs wie TrustArc, Cookiebot, Usercentrics und Quantcast.
So werden zahlreiche weitere Websites, die noch nicht von Noybs Sweeps erfasst wurden, trotz des Betriebs offensichtlich falscher Zustimmungsbanner, in naher Zukunft Empfänger eines gezielten Schreibens bezüglich ihrer Cookie-Compliance sein.
Parallel zum Abfeuern vieler dieser Briefe im vergangenen Jahr hat noyb auch Daten über die Auswirkungen des Cookie-Beschwerdeprojekts gesammelt – und plant, später in diesem Jahr einen Bericht über die Erkenntnisse herauszugeben.
Unabhängig davon war die französische Datenschutzbehörde CNIL ziemlich aktiv bei der Durchsetzung der Cookie-Einwilligung – sie hat einige harte Maßnahmen gegen eine Reihe von Technologiegiganten (Amazon, Facebook und Google) im Rahmen der ePrivacy-Richtlinie ergriffen, die es ihr ermöglicht haben, einige hohe Bußgelder zu verhängen missbräuchliche Cookie-Tracking-Praktiken – und die anscheinend (einige) Reformen erzwungen haben.
Der ePrivacy-Rechtsweg hat es der CNIL ermöglicht, den One-Stop-Shop-Mechanismus der DSGVO zu umgehen, den Kritiker dafür verantwortlich machen, dass sie die Durchsetzung der Vorzeige-Datenschutzverordnung des Blocks, insbesondere gegen Big Tech, untergraben haben, indem sie Beschwerden durch eine Handvoll solcher leiten (und blockieren). -genannte führende DPAs (Irland ist die größte) aufgrund einer Handvoll Märkte, auf deren Boden eine große Anzahl von Technologiegiganten regional angesiedelt ist.
Der Ansatz von noyb, große Mengen thematischer DSGVO-Beschwerden einzureichen, ist eine weitere Strategie, um Verzögerungen bei der Durchsetzung abzuwehren, indem gleichzeitig Datenschutzbehörden im gesamten Block eingesetzt werden, um ein Problem anzugehen, Koordination, gemeinsames Arbeiten und (so hofft es) eine Pipeline von Entscheidungen zum Schutz der europäischen Bürger zu fördern ‚ Rechte.