Gegen mehr als 500 Unternehmen EU-weit hat die NGO Noyb des Datenschützers Max Schrems Beschwerde eingereicht. Sie sollen gegen die Datenschutzgrundverordnung (DSGVO) verstoßen, die seit 2018 einen achtsameren Umgang mit Nutzerdaten vorschreibt. Dabei geht es vor allem um "Cookie-Banner-Terror", wie die Non-Profit-Organisation kritisiert: Die DSGVO sehe vor, dass Nutzerinnen und Nutzer eine klare Ja-/Nein-Option bei Cookies haben.

Unternehmen würden allerdings auf sogenannte "Dark Patterns" setzen, um das zu unterbinden. Dabei wird die Webseite bewusst so gestaltet, dass die Schaltflächen zur Ablehnung schwieriger zu finden sind. Das Ziel: Nutzer sollen so frustriert werden, dass sie aufgeben und zustimmen. Die NGO will das nun auf breiter Ebene EU-weit ändern. Hierfür hat sie eine eigene Software entwickelt, die automatisiert Verstöße erkennt und automatisch Beschwerden generiert.

Noyb hat zunächst die Unternehmen mit einer Vorlage seiner Beschwerde konfrontiert, in einem Monat soll diese an die Datenschutzbehörde des jeweiligen Landes gehen, wenn sie ihre Webseiten nicht anpassen. Aus Österreich sind 22 Unternehmen betroffen. Die Datenschützer haben bei heimischen Firmen mehr Verstöße entdeckt als im europäischen Durchschnitt, allerdings würden sie insgesamt weniger Cookies nutzen, die persönliche Daten abgreifen. Die Liste der beanstandeten Webseiten liegt dem STANDARD vor – dazu gehören etwa shoepping.at, die Webseite von Billa, geizhals.at und die Raiffeisen Bank.

Zustimmungsoptimierung

Die Praktik, so viele Daten wie möglich anhand eines besonders nutzerunfreundlichen Webdesigns abzusaugen, wird auch als "Consent Optimization" – Zustimmungsoptimierung – bezeichnet und ist mittlerweile bei vielen Unternehmen gang und gäbe. Entsprechende Dokumente aus der Branche zu dem Vorgehen liegen vor. Die Unternehmen machten "Datenschutz-Einstellungen oft bewusst zu einem Albtraum, geben aber gleichzeitig der DSGVO die Schuld dafür", sagt der Jurist Max Schrems.

"Menschen mit Tricks zum Zustimmen zu verführen ist ein klarer Verstoß gegen die Prinzipien der DSGVO. Nach dem Gesetz müssen Unternehmen Systeme fair gestalten und den Nutzern eine echte Wahlmöglichkeit bieten", erklärt Schrems. Durch das Vorgehen würden zahlreiche Webseiten Usern glaubhaft vermitteln, "dass diese verrückten Banner gesetzlich vorgeschrieben sind". Nur ein Bruchteil aller Nutzer wolle tatsächlich zustimmen – in der Realität sind es dennoch 90 Prozent, die dazu verleitet werden.

Unterschiedliche Schweregrade

Die vorgeworfenen Verstöße unterscheiden sich in ihrer Schwere: Manche Unternehmen lassen Nutzer etwa nur ablehnen, wenn sie auf eine zweite Oberfläche zugreifen. Andere vergeben standardmäßig eine Zustimmung, die Punkt für Punkt erst abgewählt werden kann, weitere gestalten die Schaltfläche zum "Annehmen" farblich weitaus erkennbarer – das ist bei sämtlichen Firmen aus Österreich so –, und so weiter.

Im Laufe des Jahres will Noyb bis zu 10.000 weitere Verstöße verfolgen. Die ersten 500 würden somit nur den Anfang machen. Hierfür soll die eigens entwickelte Software zum Einsatz kommen. Immer mehr Webseiten sollen so dazu gezwungen werden, sich an ein einfacheres System zu halten. In den kommenden Wochen soll zudem ein weiteres Tool folgen, mit dem User bereits im Hintergrund ihre Privatsphäre-Einstellungen wählen können, um sich so künftig nicht mehr durch Cookie-Banner klicken zu müssen.

Handlungswille bei Apple und Google

In den vergangenen Monaten war die massive Überwachung von Nutzern durch Datensammler vermehrt in den Fokus geraten. Mit iOS 14.5 ist Apples App-Tracking-Transparency Realität – und erlaubt Tracking nur, wenn User explizit dem zustimmen. Auch Google will eigentlich mit "Federated Learning of Cohorts" (Floc) Third-Party-Cookies nach Apples Vorbild standardmäßig blockieren, trifft dabei aber auf viel Gegenwind – so haben sich Konkurrenten wie DuckduckGo und Browser wie Brave und Mozilla dagegen ausgesprochen.

Bei dem System soll der Browser selbst auswerten, auf welchen Webseiten Nutzerinnen und Nutzer unterwegs waren, und daraus Werbeempfehlungen generieren. Die Kritik: Damit würde das Unternehmen selbst über die Daten herrschen – auch wenn Floc keine Rückschlüsse ziehen lassen soll. Unterdessen überlegen sich Werbetreibende bereits neue Wege nebst Cookies, um an Daten zu kommen – etwa indem der Zugriff auf Inhalte nicht mehr kostenlos möglich ist, ohne freiwillig Informationen zur Verfügung zu stellen. (Muzayen Al-Youssef, 31.5.2021)