Im Rahmen eines einjährigen Projekts zu irreführenden Designs und sogenannten „dark patterns“ bei Cookie Bannern wird noyb bis zu 10.000 Websites in Europa scannen,  vorwarnen und am Ende die DSGVO durchzusetzen. Nach dem Versand von Warnungen und „Beschwerdeentwürfen“ an mehr als 500 Unternehmen am 31. Mai wurden 42 % aller Verstöße behoben. Allerdings haben 82 % aller Unternehmen ihr DSGVO-widriges Handeln nicht vollständig eingestellt. Daher hat noyb heute 422 formale Beschwerden bei zehn Datenschutzbehörden eingereicht.

42 % aller Verstöße behoben. Insgesamt wurden auf den 516 Websiten des ersten Durchlaufs 42 % der Verstöße behoben. Von den Unternehmen, die zuvor gegen das Gesetz verstoßen hatten, fügten 42 % eine „Ablehnen“-Option hinzu. 68 % entfernten bereits angekreuzte Kästchen, 46 % änderten irreführende Farben der Zustimm- und Ablehn-Buttons. 22 % zogen ihre Behauptung zurück „berechtigtes Interesse“ zu haben das Tracking ohne Zustimmung der Nutzer:innen erlauben soll. Insgesamt wurden 1028 einzelne Verstöße auf mehr als 516 Websites beseitigt. Zu den Unternehmen, die die Verwendung von „dark patterns“ vollständig eingestellt haben, gehören globale Marken wie Mastercard, Procter & Gamble, Forever 21, Seat oder Nikon aber auch lokale Größen wie der österreichische REWE Konzern der Reiseveranstalter LTUR, der Europapark Rust oder DHL.

„Widerruf“ als größtes Hindernis. Der größte Widerstand von Websites betrifft die Anforderung der DSGVO, den Widerruf so einfach wie die Erteilung der Einwilligung zu gestalten. Nur 18 % haben eine solche Option (ein sichtbares „Widerrufssymbol“) auf ihrer Website eingerichtet.

Max Schrems, Vorsitzender von noyb: „Wir haben auf vielen Websites große Verbesserungen festgestellt. Wir sind mit den ersten Ergebnissen sehr zufrieden. Einige große Unternehmen wie Seat, Mastercard oder REWE haben ihre Praktiken sofort geändert. Viele andere Websites haben jedoch nur die problematischsten Praktiken eingestellt. Sie haben zum Beispiel einen ‚Ablehnunen‘-Button hinzugefügt, der aber immer noch schwer zu lesen ist. Die Notwendigkeit einer deutlich sichtbaren Option eine Einwilligung wieder zurückzunehmen stieß bei den Website-Betreibern auf den größten Widerstand.

422 Beschwerden eingereicht. Da viele Unternehmen nur bestimmte Verstöße behoben haben, musste noyb in 422 von 516 Fällen (82 %) formale Beschwerde einreichen. Es wird Aufgabe der Datenschutzbehörden sein, die Beschwerden von noyb zu prüfen und das Gesetz durchzusetzen.

Max Schrems: „In informellen Rückmeldungen haben Unternehmen die Befürchtung geäußert, dass ihre Konkurrenten die Vorschriften nicht einhalten werden, was zu einem unfairen Wettbewerb führen würde. Andere sagten, dass sie auf eine klare Entscheidung der Behörden warten, bevor sie die Gesetze einhalten. Wir hoffen daher, dass die Datenschutzbehörden bald Entscheidungen und Sanktionen erlassen werden.“

Weitere 36 „große“ Seiten widersetzten sich vollständig. Unabhängig von der Überprüfung der über 500 Webseiten in der ersten Gruppe untersuchte noyb auch größere globale und nationale Websites, die individuelle „Cookie-Banner“ verwenden und daher eine manuelle Überprüfung erfordern. Dazu gehören alle großen Plattformen wie Amazon, Twitter, Google oder Facebook. Sie alle haben sich geweigert, ihr Banner zu verbessern. noyb reicht daher weiter 36 Beschwerden gegen diese Unternehmen ein. Diese Webseiten sind in der obigen Statistik nicht enthalten, da die Einzelfälle mitunter anderen Probleme betroffen haben.

Max Schrems: „Größere Akteure und Seiten, die stark von Werbung abhängig sind, haben unsere Verwarnung weitgehend ignoriert. Sie argumentieren teilweise offen, dass das Recht hätten Nutzer mit Manipulationen zu einem Klick auf den ‚Okay‘-Button zu bringen. Wir werden natürlich auch hier Beschwerden einreichen.“

Europäischen Harmonisierung notwendig. Viele Datenschutzbehörden haben bereits unverbindliche Leitlinien zur Verwendung von irreführenden Designs in Cookie-Bannern herausgegeben. Die Behörden gehen zwar alle in die gleiche Richtung, behandeln aber oft nur bestimmte Arten von „dark patterns“. noyb hat sich bei seinen Beschwerden auf die verschiedenen Leitlinien gestützt, aber Unternehmen lehnen Richtlinien von Datenschutzbehörden aus anderen Mitgliedstaaten oftmals ab.

Max Schrems: „Wir brauchen klare gesamteuropäische Regeln. Im Moment hat ein deutsches Unternehmen das Gefühl, dass die Auslegung der DSGVO durch die französischen Behörden nur für Frankreich gilt, obwohl das Recht überall gleich gelten sollte.“

Besondere Rolle der österreichischen Datenschutzbehörde. Wann immer es möglich war, hat noyb direkt bei der zuständigen Datenschutzbehörde (DSB) der Website Beschwerde eingebracht. Etwa 50 % aller Beschwerden werden aber bei der österreichischen Datenschutzbehörde eingereicht. Dabei handelt es sich um Fälle, in denen noyb nicht ín den entsprechenden Landessprachen einreichen konnte und die DSB die Fälle dann weiterleiten muss, oder wenn ein Unternehmen keine Niederlassung in der EU hat. Dies macht die kleine österreichische Datenschutzbehörde zu einem zentralen Akteur in diesem Fall, was für eine Behörde mit begrenztem Budget und Personal eine Herausforderung sein kann. Wir haben uns im Vorfeld mit allen zuständigen Datenschutzbehörden in Verbindung gesetzt.

Max Schrems: „Wir haben alles in unserer Macht stehende getan, um diese Beschwerden zu harmonisieren und zu vereinfachen. Dennoch ist uns bewusst, dass diese erste ‚Massenbeschwerde‘ in der EU eine Herausforderung für die Behörden sein wird.“

Nächste Schritte. Nachdem die erste Testphase mit rund 500 Beschwerdennun abgeschlossen ist, wird noyb das langfristige Ziel verfolgen, innerhalb eines Jahres bis zu 10.000 Websites zu scannen, zu überprüfen, zu verwarnen um im Falle einer Weigerung das Gesetz durchzusetzen damit Nutzer:innen zukünftig eine echte Wahl haben.

Max Schrems: „Wir gehen davon aus, dass mit den ersten Entscheidungen der Behörden auch die meisten anderen Cookie-Banner eine klare Ja- oder Nein-Option bekommen. Mit den ersten Entscheidungen ist wohl Ende des Jahres zu rechnen.“

NOYB