Blog

Die DSGVO-Beschwerden von noyb bezüglich Cookie-Bannern: Was Sie wissen müssen

Sourcepoint
März 9, 2022

Am 31. Mai 2021 startete die Datenschutzgruppe noyb eine neue Initiative, um Unternehmen zu identifizieren, deren Cookie-Banner ihrer Meinung nach nicht mit der DSGVO übereinstimmen. Unter der Leitung des österreichischen Datenschutzaktivisten Max Schrems fungiert noyb in unserem Ökosystem als NRO zur Durchsetzung des Datenschutzes. Am 10. August 2021 gab noyb bekannt, dass 422 formelle DSGVO-Beschwerden eingereicht worden waren.

Noyb arbeitet derzeit daran, die 10.000 wichtigsten europäischen Websites zu ermitteln, die ihrer Meinung nach nicht konforme Cookie-Banner aufweisen. Bislang hat die Gruppe Google, Twitter und mehr als 500 weitere Unternehmen identifiziert.

Nach Ansicht von noyb ist dies erst der Anfang. Die Gruppe hat ein automatisiertes System entwickelt, mit dem sie ihren Angaben zufolge gegebenenfalls bis zu 10.000 Beschwerden im Jahr einbringen kann, um die ihrer Meinung nach weit verbreiteten Verstöße gegen die Datenschutzgrundverordnung durch die Verwendung unrechtmäßiger Cookie-Banner aufzudecken.

Wir bei Sourcepoint wissen, dass die Einhaltung der DSGVO entscheidend, nicht verhandelbar – und komplex ist. Obwohl dies definitiv etwas ist, mit dem sich alle Unternehmen auf eigene Faust beschäftigen sollten, lesen Sie weiter, um unsere Sichtweise der neuen Initiative von noyb zu erfahren.

Wer ist noyb?

Das Europäisches Zentrum für digitale Rechte, auch bekannt als noyb (None of Your Business), ist eine gemeinnützige Organisation, die 2017 vom österreichischen Datenschutzaktivisten, Anwalt und Autor Max Schrems gegründet wurde. 

In den letzten Jahren wurde Schrems in der Welt des Datenschutzes bekannt, weil er die Datenschutzpraktiken von Tech-Giganten wie Facebook in Frage stellte und ein Gerichtsverfahren anstrengte, das darauf abzielte, die Art und Weise der Datenübermittlung aus dem Europäischen Wirtschaftsraum in bestimmte Länder wie die Vereinigten Staaten zu ändern. 

Seit 2018 hat noyb zahlreiche Fälle im Zusammenhang mit Datenschutz- und Werbetechnikpraktiken vor die europäischen Gerichte gebracht. Die Gruppe verwies dabei auf den Grundsatz der Datenminimierung der DSGVO, um gegen Unternehmen vorzugehen, die Besucher angeblich dazu zwingen, ein Konto zu erstellen, sowie auf Fälle, die noyb als „erzwungene Einwilligung“ bezeichnet, bei denen die Nutzer aufgefordert werden, der Verwendung ihrer persönlichen Daten vollständig zuzustimmen, um einen Dienst weiter nutzen zu können.  

Die DSGVO sollte einen Wendepunkt in der Art und Weise darstellen, wie Unternehmen mit Nutzerdaten umgehen. Statt den Nutzern die volle Kontrolle über ihre persönlichen Daten zu geben, sind nach Ansicht von noyb jedoch unnötig komplexe Cookie-Banner auf Webseiten aufgetaucht, die „dunkle Muster“ verwenden, um die Nutzer zur Einwilligung in die Verwendung ihrer persönlichen Daten zu bewegen. 

„Eine ganze Branche von Beratern und Designern entwickelt verrückte Klick-Labyrinthe, um imaginäre Einwilligungsraten zu gewährleisten. Menschen durch Frust dazu zu bringen, auf „OK“ zu klicken, ist ein klarer Verstoß gegen die Grundsätze der DSGVO. Laut Gesetz müssen Unternehmen es den Nutzern ermöglichen, ihre Wahl zu treffen, und Systeme fair gestalten. Die Unternehmen geben offen zu, dass nur 3 % aller Nutzer tatsächlich Cookies akzeptieren wollen, aber mehr als 90 % können dazu gebracht werden, auf die „Zustimmen“-Schaltfläche zu klicken.“

Max Schrems, Vorsitzender bei noyb

Noyb sieht in einigen der neu eingeführten Cookie-Banner eher einen direkten Verstoß gegen die DSGVO als ein Problem der Benutzerfreundlichkeit. Um gegen die ihrer Meinung nach problematischen Einwilligungspraktiken vorzugehen, hat die Organisation ein automatisiertes System entwickelt, das einzelne Websites auf potenzielle Verstöße überprüft und einen Entwurf einer DSGVO-Beschwerde erstellt. Der Beschwerdeentwurf wird dann per E-Mail an das Unternehmen geschickt, zusammen mit einer schrittweisen Anleitung, die Empfehlungen für Unternehmen enthält, wie sie ihr Cookie-Banner aktualisieren können, damit es der Verordnung entspricht. Danach hat das Unternehmen 30 Tage Zeit, die Verstöße zu beheben. Andernfalls, so noyb, wird die Beschwerde offiziell bei der zuständigen Datenschutzbehörde eingereicht. Dies kann dazu führen, dass das Unternehmen mit einer Geldstrafe von bis zu 20 Millionen Euro oder 4 % seines Jahresumsatzes (je nachdem, welcher Betrag höher ist) belegt wird. Die Organisation erklärt, dass ihr Ziel darin besteht, die Einhaltung der Vorschriften zu erleichtern; sie wird jedoch eine formelle Beschwerde einreichen, wenn ein Unternehmen weiterhin gegen die DSGVO verstößt.

Die ersten 500 Beschwerden, die noyb eingereicht hat, betreffen sowohl Tech-Giganten wie Google und Twitter als auch lokale Websites mit relativ hohem Datenverkehr. Zu dieser Gruppe gehören 560 Websites in 33 Unternehmen, darunter in allen EU-/EWR-Mitgliedstaaten – mit Ausnahme von Malta und Liechtenstein. Eine vollständige Liste ist noch nicht veröffentlicht worden.

Momentan konzentriert sich noyb auf beliebte Seiten in Europa. Es ist jedoch wichtig zu beachten, dass jedes Unternehmen, das Besucherverkehr von Nutzern aus der EU/dem EWR erhält, die DSGVO in Bezug auf alle von diesen Nutzern erhobenen personenbezogenen Daten, die in den Anwendungsbereich des Gesetzes fallen, einhalten muss. Noyb plant, sein automatisiertes System zu nutzen, um mit Hilfe der Spenden von Tausenden von Fördermitgliedern weitere 10.000 Beschwerden zu generieren.

Es ist klar, dass die Durchsetzung der DSGVO auch in Zukunft ein wichtiger Schwerpunkt für Unternehmen und einzelne Nutzer sein wird, und die europäischen Gerichte werden zusammen mit den regionalen Datenschutzbehörden ihre Anwendung des Gesetzes weiter ausbauen. 

Warum sollten sich Publisher dafür interessieren?

Publisher, die die Einwilligung der Nutzer über Cookie-Banner einholen, müssen sich an die Richtlinien ihrer lokalen Datenschutzbehörde (DPA) halten. Um den sich entwickelnden Datenschutzbestimmungen und den von den Datenschutzbehörden herausgegebenen Richtlinien sowie den Herausforderungen von Organisationen wie noyb gerecht zu werden, müssen die Publisher in der Lage sein, schnell zu reagieren und ihre Einwilligungsmöglichkeiten entsprechend anzupassen.

Im August 2021 gab noyb bekannt, dass die Gruppe eine weitere Reihe von DSGVO-Beschwerden gegen Publisher eingereicht hat, die sogenannte PUR-Abos, also „werbefreie“ Versionen, anbieten. Angesichts neuer Vorschriften und rechtlicher Herausforderungen wird eine anpassbare und flexible CMP-Lösung für Publisher immer wichtiger, um Cookie-Banner zu aktualisieren und zu optimieren, ohne das Kundenerlebnis zu beeinträchtigen, und um sicherzustellen, dass sie ihre Arbeit unterstützen und den Verbrauchern dennoch eine klare Auswahl bieten können.

Was müssen Publisher tun?

Publisher sollten idealerweise die Richtlinien ihrer Aufsichtsbehörde konsultieren und so feststellen, welche Anforderungen auf ihr Unternehmen zutreffen. Es sind noch nicht alle Anforderungen von noyb verfügbar, doch bisher umfasst die Liste (hier unter Verwendung der noyb-Taxonomie aufgelistet) Folgendes: 

  • Typ A: Keine Ablehnungsoption in der Nachricht der ersten Ebene
    • noyb erklärt, dass der Verbraucher in der Lage sein sollte, alle Verarbeitungszwecke über die Nachricht der ersten Ebene abzulehnen, anstatt eine Nachricht der zweiten Ebene anklicken zu müssen. 
  • Typ B: Vorausgewählte Einwilligungsoptionen in der zweiten Ebene
  • Typ C: Irreführende Linkgestaltung
    • Beispiel: Die Schaltfläche, die zu der Option führt, die entsprechenden Verarbeitungszwecke abzulehnen, verwendet einen Textlink, während der Call-to-Action „Zustimmen“ ein typisches Schaltflächendesign verwendet.
  • Typ D: Irreführende Schaltflächenfarben 
    • Beispiel: Die Schaltfläche „Weitere Details“ hat dieselbe Hintergrundfarbe wie das Banner, wodurch sie nicht auffällt, während die Schaltfläche „Zustimmen“ eine andere Farbe hat, wodurch sie hervorgehoben erscheint. 
  • Typ E: Irreführender Kontrast bei Schaltflächen 
    • Beispiel: Das Kontrastverhältnis für die Schaltflächen „Weitere Details“ und „Zustimmen“ liegt unter den W3C-Mindeststandards für die Zugänglichkeit von Webinhalten (WCAG 2.0), die für Text einen Mindestwert von 4,5:1 vorschreiben.
  • Typ H: Vermeintliche berechtigte Interessen
    • Der Verantwortliche berief sich auf ein berechtigtes Interesse zu Werbezwecken, und die einzige Möglichkeit, diesen Zwecken zu widersprechen, bestand in der Nachricht der zweiten Ebene.
  • Typ I: Ungenaue Klassifizierung von Cookies
  • Typ K: Widerruf der Einwilligung ist nicht so einfach wie ihre Erteilung
    • Es gibt keine sichtbare Option zum Widerruf der Einwilligung, weder im Banner noch an anderer Stelle auf der Seite. 

Ressourcen für Sourcepoint-Kunden

Wenn Sie der Meinung sind, dass Sie die oben aufgeführten Anforderungen von noyb nicht erfüllen und Ihre CMP-Implementierung aktualisieren möchten, finden Sie in den folgenden Artikeln des Help Centers weitere Anweisungen. Wenn Sie weitere Fragen haben, wenden Sie sich bitte wie immer an Ihren technischen Kundenbetreuer.

Auch hier ist es wichtig, dass Sie sich bei Ihrer örtlichen Datenschutzbehörde über genauere Richtlinien zur Einhaltung der DSGVO und der lokalen Datenschutzgesetze und -vorschriften informieren. 

Als Dienstleister für das Einwilligungsmanagement möchten wir sicherstellen, dass Sie mit unseren Softwareprodukten immer auf dem neuesten Stand sind und den sich ändernden Vorschriften voraus sind. Dazu gehört auch, dass wir Sie über Software-Updates und verbesserte Funktionen für das Einwilligungsmanagement informieren. Wenn Sie erfahren möchten, wie die Plattform von Sourcepoint Ihnen helfen kann, sich zeitnah an die sich ständig ändernden DSGVO-Praktiken anzupassen, fordern Sie eine Demo an!

Latest Blog Posts

Für Publisher: 5 Tipps zur Optimierung der Anbieterprüfung

April 4, 2022

Sie müssen die Datenverarbeiter auf Ihrer Seite genauer unter...

Warnbeispiele hinsichtlich der Anbieterliste: Was Sie tun können, um Ihre Website zu schützen

April 4, 2022

Wann haben Sie das letzte Mal einen Blick auf...

FAQ: Die Entscheidung der belgischen Datenschutzbehörde bezüglich des TCF des IAB

März 11, 2022

Dieser Beitrag wurde aktualisiert, um die Entscheidung der belgischen...

Latest White Papers

Ebook: Publisher-leitfaden zur Kuratierung von Anbieterlisten

Juni 9, 2022

Gesetzliche Anforderungen einhalten und Compliance-Lücken erkennen

Let's explore what we can do together.

We'll be in touch within 48 hours

    First name *

    Last name *

    Email address *

    Company *

    Message *

    * indicates required fields