Europäische Datenschutzgruppe, noybhat eine zweite Reihe von Cookie-Zustimmungsbeschwerden (insgesamt 270) abgefeuert – die auf Websites in der Region abzielen, von denen es heißt, dass sie die Zustimmung der Benutzer nicht ordnungsgemäß einfordern, um für das Ad-Targeting verfolgt zu werden.
Das Problem sind Einwilligungs-Popups, die keine klare Auswahl enthalten und/oder illegale dunkle Muster verwenden, um Verbraucher dazu zu bringen, „zuzustimmen“, dass sie verfolgt und profiliert werden, damit der Herausgeber Geld verdienen kann, indem er seine Aufmerksamkeit verkauft.
Die Gegenbotschaft von noyb ist einfach: Reformieren Sie Ihre betrügerischen Cookie-Popups – oder stellen Sie sich der Drohung einer formellen Durchsetzung.
Wenn die Websites, die die Beschwerdeentwürfe von noyb erhalten, die nicht konformen Cookie-Banner, die ihnen gemeldet werden, nicht beheben, heißt es, dass sie formelle Beschwerden bei den EU-Datenschutzbehörden einreichen werden – zu diesem Zeitpunkt riskieren Verstöße gegen die Herausgeber Bußgelder von bis zu 20 Millionen Euro für regionale Daten Schutzrechts (dh wenn die Datenschutzbehörden anschließend einen Verstoß bestätigen und entscheiden, dass eine Geldbuße gerechtfertigt ist).
Der jüngste Schritt von noyb zu manipulativen Cookie-Bannern folgt einer ersten Welle von 560 Beschwerden, die das Unternehmen im vergangenen Jahr an Websites gesendet hat – die sich auf Benutzer der Consent Management-Plattform OneTrust konzentrierten –, eine Aktion, die nach eigenen Angaben zu erheblichen Veränderungen führte, mit fast der Hälfte (42 %) aller Verstöße es wurde festgestellt, dass es innerhalb von 30 tagen behoben wird (noyb gibt den seiten 60 tage, um empfohlene änderungen vorzunehmen, bevor es eine formelle beschwerde einreicht).
Angesichts des weit verbreiteten Ausmaßes von Verstößen gegen die Cookie-Einwilligung in der gesamten EU sieht das nach einer beeindruckenden Erfolgsquote aus. Aber natürlich gibt es immer noch viel zu viele gefälschte Cookie-Banner. noyb beendet die Kampagne also noch nicht.
noyb-Gründer Max Schrems erklärte, dass dieser Stapel eine Aktion im zweiten Schritt sei, die sich auf die ursprüngliche Liste von 5.000 Websites bezieht, die im vergangenen Jahr identifiziert wurden.
„Wir haben eine Liste mit etwa 5.000 Websites. Wir haben die ersten ungefähr 500 letztes Mal durchgesehen, dies ist der Rest, der groß genug war, um relevant zu sein, der OneTrust als CMP verwendet [Consent Management Platform]“, sagte er zu Tech. „Als nächstes werden wir zu anderen CMPs übergehen.“
noyb hat Automatisierung genutzt, um dies zu skalieren „WeComply“-Kampagne — Entwicklung eines Tools, das Einwilligungsströme automatisch analysiert, um Compliance-Probleme bei der Darstellung von Wahlmöglichkeiten für Benutzer zu identifizieren (z. B. kein Opt-out, das auf der obersten Ebene angeboten wird, oder verwirrende Schaltflächenfarben, falsche Opt-ins für „berechtigtes Interesse“ usw.). Die Plattform erstellt dann automatisch einen Berichtsentwurf, der nach Überprüfung durch einen Mitarbeiter der Rechtsabteilung von noyb per E-Mail an eine anstößige Website gesendet werden kann.
Dieser intelligente Ansatz hat es einer winzigen gemeinnützigen Organisation ermöglicht, bis zu 10.000 Cookie-Zustimmungsbeschwerden einzureichen – und sich durch diese Massenaktion mit systematischen Regelverstößen durch den Sektor der Tracking-Anzeigen auseinanderzusetzen, die sogar einige der größten regionalen Datenschutzbehörden betreffen Behörden haben sich immer noch nicht gekümmert (hi ICO!).
Während die Strategie von noyb hier, gegen systemische Gesetzesverstöße am Ende der Adtech-Kette der Publisher vorzugehen, zu einer ersten Welle von Cookie-Banner-Reformen geführt hat, hat seine Aktion auch die systemische Unnachgiebigkeit hervorgehoben: Es sagt die überwiegende Mehrheit der Unternehmen (82 %) dies Die in der ersten Welle kontaktierten Personen erfüllten die Anforderungen nicht vollständig – daher reichten sie 456 Beschwerden bei 20 verschiedenen Datenschutzbehörden in der gesamten EU ein.
Und deshalb reicht es jetzt auch eine weitere Reihe von Beschwerden ein.
„Trotz einiger Verbesserungen im Bannerdesign wird mehr Arbeit erforderlich sein, um auch die anhaltend nicht konformen Unternehmen umzukehren“, sagte Ala Krinickytė, Datenschutzbeauftragter bei noyb, in einer Erklärung.
Zusätzlich zu den direkten Maßnahmen von noyb, um die Compliance der Verlage anzustoßen, kündigte der Europäische Datenschutzausschuss (EDPB) anschließend eine Sonderaktion an Einsatzgruppe um die Antworten auf die formellen Beschwerden zu koordinieren – und noyb sagt, dass jetzt „die meisten“ Datenschutzbehörden den Erhalt dieser Beschwerden bestätigt haben.
Und während die Entscheidungen über die Beschwerden im Allgemeinen noch ausstehen, ist klar, dass der Durchsetzungszug in den Fragen der Cookie-Einwilligung in Gang kommt. Daher unsere Warnung aus dem letzten Jahr, dass Europas Cookie-Einwilligungs-Abrechnung bevorsteht.
In den letzten Monaten haben wir auch bereits einige wichtige Entscheidungen zu Cookies gesehen – wie die französische CNIL, die Google und Facebook im Januar wegen dunkler Muster, die in ihre Cookie-Banner eingebrannt wurden, mit einer Geldstrafe belegte; und die Entscheidung des Europäischen Datenschutzbeauftragten, ebenfalls zu Beginn des Jahres, die das Europäische Parlament wegen verwirrender und irreführender Cookie-Zustimmung schlägt.
Frankreich hat im Dezember 2020 auch Google und Amazon mit saftigen Bußgeldern belegt, weil sie Tracking-Cookies automatisch abgelegt haben – dh ohne auch nur ein Pantomime-Feigenblatt der Zustimmung.
(Und selbst die scheidende britische Informationskommissarin warnte die Adtech-Branche, dass das Ende des Trackings nahe sei, als sie sich im vergangenen Herbst in den Privatsektor begab.)
Während die Durchsetzung der EU-Datenschutz-Grundverordnung (DSGVO) dazu geführt hat, dass viele grenzüberschreitende Beschwerden über die irische Datenschutzbehörde geleitet wurden, wodurch ein berüchtigter Engpass geschaffen wurde, der die Durchsetzung der DSGVO behindert, konnte Frankreich in diesem speziellen Fall die Initiative gegen Technologiegiganten ergreifen da die Cookie-Einwilligung unter die ältere Datenschutzrichtlinie für elektronische Kommunikation fällt, die nicht vorschreibt, dass Beschwerden gegen grenzüberschreitende Betreiber an einen „federführenden“ Datenverantwortlichen weitergeleitet werden müssen.
ePrivacy bedeutet auch, dass Beschwerden über Cookies gegen Herausgeber in Bezug auf ihre Aktivitäten in Mitgliedstaaten in der gesamten EU eingereicht werden können – so werden Hunderte von Noyb-Beschwerden zur Cookie-Zustimmung über mehrere Datenschutzbehörden verteilt und nicht auf dem Schreibtisch von ein oder zwei gesichert.
Solche strategischen Maßnahmen – von noyb und der französischen CNIL – geben einen Vorgeschmack darauf, wie eine funktionale (dh aktive) dezentrale Durchsetzung des EU-Datenschutzes aussehen kann (wörtlich: hohe Geldbußen für Technologiegiganten und obligatorische Reformanordnungen für systemische Regelbrüche); und was dies wiederum für die Menschen und das gesamte Web bedeuten kann (weniger dunkle Muster, weniger mühsames Klicken, besserer Schutz von Informationen … und ein Anstoß für Reformen, der Adtech-Giganten wie Google dazu zwingt, sich damit auseinanderzusetzen, wie sie das gesamte Targeting-Geschäft überdenken können ).
noyb hat eine Galerie mit Vorher-Nachher-Screenshots einiger der Cookie-Banner zusammengestellt, die seine Kampagne bisher erfolgreich anvisiert hat – was meistens zeigt, dass den Websites auf der obersten Ebene eine klare „Alle ablehnen“-Option fehlte (d. h. das Äquivalent zum „Alle akzeptieren“-Button). ); und dass diese Untergruppe von Publishern nach ihrer Kampagne dazu übergegangen ist, ihren Nutzern eine klare Wahlmöglichkeit zu bieten, sich vom Tracking abzumelden.
Siehst du – das war nicht so schwer, oder?
noyb hebt auch hervor, was es als „Spill-over“-Effekt bezeichnet, und sagt, es habe bemerkt, dass einige Websites, die es in der ersten Beschwerdewelle nicht angesprochen hatte, ihre Cookie-Banner dennoch verbesserten – wahrscheinlich als Folge des steigenden Bewusstseins der Branche für das Thema.
„Viele Websites, die wir noch nicht kontaktiert haben, haben ihre Einstellungen schnell verbessert, nachdem wir begonnen hatten, Beschwerden einzureichen. Das heißt, unser Ansatz war die Sicherstellung der Compliance über den Einzelfall hinaus“, ergänzte Krinickytė.
Die Beobachtung von noyb deutet darauf hin, dass die aktive Durchsetzung des Datenschutzes eine elektrisierende Wirkung haben kann – zumindest auf kundenorientierte Unternehmen wie Verlage – was dazu beitragen könnte, eine umfassendere Reform der dysfunktionalen „Normen“ der Adtech-Branche anzustoßen.
Schließlich müssen Verlage Reputationsrisiken berücksichtigen – wenn also genügend Websites von schädlichen Standardeinstellungen weggehen, könnte dies einen Impuls für einen Massenbruch mit dem Gegendruck der Tracking-Industrie geben, die Daten der Menschen zu erfassen, unabhängig davon, was sie sagen, wenn sie ihre „Privatsphäre-Entscheidungen“ signalisieren.
Es ist auch völlig klar, dass ein historischer Mangel an Durchsetzung des Datenschutzes den gegenteiligen Effekt hatte – es ermöglichte eine zügellose zustimmungslose Verfolgung von Webbenutzern und eine ganze düstere Industrie von Datenmaklern, „Anreicherern“ und Händlern, die wie ein im Schatten aufwachsen Weed – und erst jetzt, Jahre nachdem die langjährigen Datenschutzbefugnisse der EU durch die DSGVO aktiviert wurden (und das Durchsetzungspotenzial entscheidend gestärkt wurde, indem zivilgesellschaftliche Gruppen wie noyb ermächtigt wurden, die Rechte des Einzelnen zu verteidigen), fangen wir an um die ersten grünen Triebe einer echten Datenschutzreform zu sehen.
Consent-Management-Plattformen (CMPs) wurden von der Adtech-Branche viel zu lange als strategisches Instrument zum systematischen Diebstahl von Einwilligungen eingesetzt – wie die jüngste Feststellung der belgischen DPA, dass das „Transparency and Consent Framework“ des IAB Europe gegen die DSGVO verstößt, unterstreicht.
Es ist auch interessant zu bedenken, wie viele einzelne Publisher sich gerade wegen der systembedingten Gesetzlosigkeit der Tracking-Industrie, die so lange ungestraft blieb, angestoßen und/oder abgeschirmt gefühlt haben, illegale Standardeinstellungen in ihren Cookie-Bannern zu konfigurieren.
Viele haben vielleicht einfach die Art von „Zustimmungs“-Standardeinstellungen festgelegt, die sie überall online gesehen haben – sie haben sich an eine Adtech-geformte „Norm“ angepasst, ohne zu erkennen, wie dysfunktional und, äh, illegal sie war.
Das macht die Cookie-Kampagne von noyb so stark: Wenn sie genug Schwung erzeugt, könnte die gesamte Branche in eine neue Ausrichtung übergehen – wo Servicequalität, nicht manipulative dunkle Muster, die geheime Zutat ist, die Sie brauchen, um das Vertrauen der Verbraucher zu gewinnen, um ihre Informationen bereitzustellen.
In der Zwischenzeit wird noyb seine WeComply-Kampagne weiter ausbauen, um das Web von irreführenden Cookie-Bannern zu säubern – und weiterhin mehr Beschwerden einreichen (bis zu seinem Ziel von 10.000); einschließlich, wie Schrems feststellt, durch die Ausweitung des Umfangs der Kampagne auf Seiten, die andere CMPs verwenden, für deren Erkennung die Software derzeit nicht konfiguriert ist (wie TrustArc, Cookiebot, Usercentrics, Quantcast usw.).
Und wenn Sie immer noch der Meinung sind, dass es viel zu mühsam ist, auf jeder besuchten Website auf eine Schaltfläche „Alle ablehnen“ oder „Alle akzeptieren“ klicken zu müssen, hat noyb zuvor eine technische Lösung dafür vorgeschlagen: Eine erweiterte Steuerung auf Browserebene, um vom Benutzer konfigurierte Entscheidungen auszudrücken . Es braucht nur die EU-Gesetzgeber, um den Staffelstab in die Hand zu nehmen und solche Signale eindeutig rechtsverbindlich zu machen (DSGVO erlaubt bereits automatisierte Signale vom Browser, die Zustimmungsentscheidungen zum Ausdruck bringen; aber die Reform von ePrivacy, wo ein solcher Mechanismus ausdrücklich festgelegt werden könnte, bleibt ins Stocken geraten). .
Das wiederum macht eine breite Industriereform zu einem Schlüsselfaktor; Gesetzgeber fühlen sich immer wohler, verbraucherfreundliche Änderungen voranzutreiben, wenn sie nicht Tausende von Unternehmen haben, die sie anschreien, das genaue Gegenteil zu tun.