Die NGO Noyb des österreichischen Datenschützers Max Schrems hat im Mai eine Offensive gegen Webseiten gestartet, die Nutzer mit Designtricks, sogenannten Dark Patterns, dazu bringen, Cookie-Einstellungen zuzustimmen. Das Team analysierte dafür Webseiten und versendete im ersten Schritt Beschwerdeentwürfe an mehr als 500 Unternehmen. Wie Noyb in einer Presseaussendung bekanntgab, startet die NGO nun den nächsten Schritt und reicht Beschwerden bei den Datenschutzbehörden des jeweiligen Landes ein.

Verstöße teilweise behoben

Nun zieht die Organisation eine erste Bilanz. Den Beschwerdeentwürfen folgend wurden 42 Prozent aller Verstöße behoben. Insgesamt habe jedoch nur ein kleiner Teil, 18 Prozent, aller Unternehmen sämtliche DSGVO-widrigen Praktiken eingestellt, darunter Mastercard, Procter & Gamble, Forever 21 und Nikon.

Gegen die übrigen 82 Prozent der Unternehmen plant Noyb nun weitere Schritte. Somit werde die Organisation 422 formelle Beschwerden wegen DSGVO-Verstößen bei den jeweiligen Datenschutzbehörden einreichen. Innerhalb des nächsten Jahres möchte Noyb bis zu 10.000 Webseiten scannen und in weiterer Folge verwarnen.

Irreführendes Design

Die sogenannten Dark Patterns sollen dabei Nutzerinnen und Nutzer mit unübersichtlichen Cookie-Bannern verwirren und dazu bringen, Einstellungen gegen ihren Willen zu akzeptieren. Zu den DSGVO-Verstößen zählen unter anderem etwa fehlende "Ablehnen"-Optionen, bereits angekreuzte Kästchen oder irreführende Einfärbungen von Zustimm- und Ablehn-Feldern.

Die wenigsten Behebungen verzeichnete die NGO bei fehlenden oder nicht gut sichtbaren Symbolen, die das Widerrufen der Zustimmungserklärung ermöglichen, so wie es von der DSGVO verlangt wird. Zwar reagierten viele Unternehmen mit Verbesserungen, jedoch seien diese oftmals nicht weitreichend genug gewesen, sagte Max Schrems, Gründer von Nyob: "Viele Websites haben jedoch nur die problematischsten Praktiken eingestellt. Sie haben zum Beispiel einen Ablehnungsbutton hinzugefügt, der aber immer noch schwer zu lesen ist."

Vereinheitlichung

Als Grund für die Nichteinhaltung der Vorschriften nannten manche Unternehmen, dass sie auf eine klare Entscheidung der Behörden warten, schilderte Schrems. "In informellen Rückmeldungen haben Unternehmen die Befürchtung geäußert, dass ihre Konkurrenten die Vorschriften nicht einhalten werden, was zu einem unfairen Wettbewerb führen würde", heißt es in der Aussendung. Indes vollständig ignoriert wurden die Entwürfe von großen und auf Cookies angewiesenen Plattformen wie Amazon, Twitter, Google oder Facebook.

Um die Durchsetzung der DSGVO in Sachen Cookie-Banner zu verbessern, werde eine europaweite Vereinheitlichung von Regeln und Definitionen für irreführende Designs benötigt, heißt es von Noyb. "Im Moment hat ein deutsches Unternehmen das Gefühl, dass die Auslegung der DSGVO durch die französischen Behörden nur für Frankreich gilt, obwohl sie innerhalb der EU nach dem gleichen Recht arbeiten", ergänzt Schrems. (hsu, 10.8.2021)