| Sicherheit im Umgang mit digitalen Daten |
|
 |
Europäische Union Cyberstrategie, Datenschutz & Medienrecht |
|
Umgang mit digitalen Daten im Internet |
|
ICT Informationen |
|
|
| Kampf gegen falsche oder ungenügende Cookie-Bannern |
 |
|
noyb setzt dem Cookie-Banner-Wahnsinn ein Ende
noyb.eu übermittelte als 500 Beschwerden an Unternehmen, die auf ihrer Webseite rechtswidrige Cookie-Banner verwenden - und startet damit die grösste Beschwerdewelle seit dem Inkrafttreten der DSGVO vor drei Jahren.
Nach der DSGVO müssen Nutzer/innen eine simple Ja/Nein-Option haben. Da die meisten Banner diesen Anforderungen nicht entsprechen, hat noyb eine Software entwickelt, die verschiedene Arten von rechtswidrigen Cookie-Bannern erkennt und automatisch Beschwerden generiert.
Bevor die formalen Beschwerden eingebracht werden, haben die Unternehmen ein Monat Zeit ihr Cookie-Banner an die rechtlichen Anforderungen anzupassen. Mit diesem System kann noyb die meistbesuchten Websites in Europa überprüfen und gegebenenfalls bis zu 10'000 Beschwerden einbringen.
Ist dieses System erfolgreich, sollten im Laufe dieses Jahres immer mehr Webseiten in Europa einfache und rechtskonforme "Ja oder Nein"-Optionen anbieten und den Nutzer/innen der derzeit zur Ablehnung nötige Spiessrutenlauf erspart werden.
|
 |
Zustimmung aus Frust.
Die DSGVO soll Nutzer/innen die volle Kontrolle über ihre Daten geben, aber das Surfen im Internet ist für Menschen in ganz Europa mittlerweile vor allem frustrierend: Lästige Cookie-Banner tauchen an jeder Ecke auf und machen es oft äusserst kompliziert, etwas anderes als den "Akzeptieren"-Button anzuklicken. Unternehmen nutzen so genannte "Dark Patterns", um mehr als 90% der Nutzer/innen zur Zustimmung zu verlocken, obwohl laut Statistiken der Industrie nur 3% wirklich zustimmen wollen.
Max Schrems, Vorsitzender von noyb: "Eine ganze Industrie von Beratern und Designern entwickelt verrückte Klick-Labyrinthe, um vollkommen unrealistische Zustimmungsraten zu generieren. Menschen mit Tricks zum Zustimmen zu verführen ist ein klarer Verstoss gegen die Prinzipien der DSGVO. Nach dem Gesetz müssen Unternehmen Systeme fair gestalten und den Nutzern eine echte Wahlmöglichkeit bieten. Unternehmen geben offen zu, dass nur 3% aller Nutzer tatsächlich Cookies akzeptieren wollen, aber mehr als 90% dazu verleitet werden können, auf den "Akzeptieren"-Button zu klicken."
DSGVO als Sündenbock.
Viele Nutzer/innen halten diese ärgerliche Praxis fälschlicherweise für eine von der DSGVO auferlegte Notwendigkeit. Tatsächlich verwenden jedoch viele Unternehmen Designs, die gegen das Gesetz verstossen. Die DSGVO verlangt nämlich ein einfaches "Ja" oder "Nein" - und will damit irreführende Banner eigentlich verhindern. Die Entscheidung, wie die DSGVO genau umgesetzt und kommuniziert wird, liegt aber bei den Unternehmen.
Max Schrems: "Einige Unternehmen versuchen offensichtlich alles, um Datenschutz für die Nutzer möglichst schwer zu machen. Nach dem Gesetz haben sie aber die Pflicht, eine einfache Wahlmöglichkeit zu bieten. Fast alle Situationen in denen Nutzer mit Datenschutz konfrontiert werden, werden aber von Unternehmen gestaltet. Diese machen Datenschutz-Einstellungen oft bewusst zu einem Albtraum, geben aber gleichzeitig der DSGVO die Schuld dafür. Dieses Prinzip wird auf Tausenden von Seiten wiederholt und so den Nutzern glaubhaft vermittelt, dass diese verrückten Banner gesetzlich vorgeschrieben sind."
System soll bis zu 10'000 Beschwerden produzieren. Um gegen dieses weitverbreitete Problem vorzugehen, hat noyb ein System entwickelt, das automatisch verschiedene Arten von Verstössen aufdeckt. Das juristische Team von noyb prüft jede Website, während das System automatisch eine DSGVO-Beschwerde generiert. Unternehmen erhalten einen formlosen Beschwerdeentwurf per E-Mail und bekommen sogar eine Schritt-für-Schritt-Anleitung (PDF), wie sie ihre Softwareeinstellungen ändern können. Wenn ein Unternehmen seine Einstellungen nicht innerhalb eines Monats ändert, wird noyb die Beschwerde bei der zuständigen Behörde einbringen, die ein Bussgeld von bis zu 20 Millionen Euro verhängen kann.
Anders als bei "Abmahnungen" die gerade in Deutschland problematische Ausmasse angenommen haben, fallen für die betroffenen Unternehmen dabei keinerlei Kosten an, da das Projekt durch Spenden der rund 4'000 Fördermitglieder von noyb finanziert wird.
project flow
Max Schrems: "Wir wollen die Einhaltung der Vorschriften sicherstellen, im Idealfall ohne überhaupt die Beschwerde einbringen zu müssen. Wenn ein Unternehmen jedoch weiterhin gegen das Gesetz verstösst, stehen wir bereit, um die Rechte der Nutzer durchzusetzen. Da wir uns über Spenden finanzieren, bieten wir den Unternehmen eine kostenlose und einfache Möglichkeit für eine kostenfreie ausserbehördliche Erledigung an - im Gegensatz zur üblichen Praxis von deutschen Anwaltskanzleien. Es sind wohl die unternehmensfreundlichsten Ermahnungen seit langem. "
Verstösse auf den meisten Webseiten. Von den 560 beanstandeten Webseiten haben 81% nicht einmal einen "Ablehnen"-Button auf der ersten Seite. Nutzer/innen müssen sich durch Untermenüs quälen, um eine versteckte "Ablehnen"-Option zu finden. 73% aller Seiten nutzen irreführende Farben und Kontraste, die Nutzer/innen zum "Akzeptieren" verleiten sollen. Insgesamt 90% bieten keine Möglichkeit, die Zustimmung einfach zu widerrufen.
violations statistics
Max Schrems: "Anstatt eine einfache Ja- oder Nein-Option anzubieten, versuchen Unternehmen alle möglichen Tricks, um Nutzer zu manipulieren. Wir haben mehr als fünfzehn häufige Verstösse identifiziert. Das häufigste Problem ist, dass es auf der Startseite keinen "Ablehnen"-Button gibt."
Erster Durchlauf mit 560 Websites in 33 Ländern. noyb hat heute die erste Runde gestartet und Beschwerden an 560 Website-Betreiber aus 33 Ländern übermittelt, darunter alle EU/EWR-Mitgliedsstaaten ausser Malta und Liechtenstein. Die Unternehmen reichen von grossen Playern wie Google oder Twitter bis hin zu lokalen Seiten mit hohen Besucherzahlen. Im Laufe des Jahres 2021 werden bis zu 10'000 solcher Beschwerden ausgesendet.
Max Schrems: "Wir konzentrieren uns auf populäre Seiten in ganz Europa. In diesem Projekt können wir 10'000 Beschwerden erreichen. Wir hoffen, dass die meisten Beschwerden schnell beigelegt werden können und alle Europäerinnen und Europäer bald eine echte Wahl haben."
| Quelle: Text noyb, 31. Mai 2021 |
|
nach
oben
| Neues Browser-Signal könnte Cookie-Banner obsolet machen |
|
Zusammen mit dem Sustainable Computig Lab ("CSL") der Wirtschaftuniversität Wien veröffentlichte noyb einen Vorschlag für ein neues automatisches Browser-Signal, um Cookie-Banner endgültig abzuschaffen. "Advanced Data Protection Control" (ADPC) soll zeigen, dass eine nutzerfreundliche europäische Lösung für Datenschutzeinstellungen leicht umsetzbar ist.
Cookie Banner für Nutzer/innen und Unternehmen nervig. Cookie-Banner sind nicht nur oft rechtswidrig (wie unsere über 500 Beschwerden von vor zwei Wochen zeigen), sondern vor allem auch unglaublich nervig für Nutzer/innen. Für Unternehmen, die eigentlich eine einfach nutzbare Webseite betreiben wollen, gibt es keine Alternative zu nervigen Banner, wenn sie Cookies setzen wollen.
Gesetzlich vorgesehen, aber nicht existent. Nach Artikel 21(5) der DSGVO und der ePrivacy Verordnung, die gerade neu verhandelt wird, sollten eigentlich automatische Signale des Browsers Webseiten im Hintergrund mitteilen, ob ein Nutzer oder eine Nutzerin einer Datenverarbeitung zustimmt. Das einzige Problem: Ein solches Signal existiert derzeit nicht - wohl auch weil viele Tracking-Unternehmen mehr Einwilligungen durch nervige Banner versprechen.
Advanced Data Protection Control (ADPC). Im Vergleich zu binären "Opt-Out"-Ansätzen aus den USA (wie "Do not Track" oder "Global Privacy Control") sieht ADPC differenziertere Möglichkeiten vor: So soll das Signal auch spezifische Einwilligungen ("Opt-In") für eine bestimmte Webseite und einen bestimmten Zweck darstellen können.
Schrems: "Für Europa brauchen wir mehr als nur ein 'opt-out', damit es in unseren Rechtsrahmen passt. Daher nennen wir den Prototyp auch 'Advanced' Data Protection Control, weil es viel flexibler und spezifischer ist als die bisherigen Ansätze."
Wie "smarte" Kamerafreigabe im Browser. Webseiten können maschinenlesbar ihre Datenschutz-Anfragen senden und ADPC erlaubt einen Übertrag der Antwort mittels Header-Signalen oder über Java Script. Genauso wie etwa eine "Kamerafreigabe" können Nutzer/innen durch ein einheitliches, simples Pop-Up im Browser ihre Daten freigeben. Damit gehören auch absurde Klick-Marathons auf absichtlich komplexen Bannern der Vergangenheit an. ADPC erlaubt aber vor allem auch ein intelligentes Management von Anfragen und deren automatische Beantwortung: So könnten gleichartige Anfragen einheitlich für alle Webseiten positiv oder negativ beantwortet werden. Nutzer/innen könnten auch wählen, nur besimmte Anfragen zu erhalten - ähnlich einem "Spam-Filter" bei E-Mails.
Schrems: "ADPC erlaubt intelligentes Management von Datenschutzanfragen. Ein Nutzer könnte etwa sagen, 'bitte frage mich erst, wenn ich auf der Seite mehrmals war' oder 'frag mich nach 3 Monaten wieder'. Ebenso ist es möglich, gleichartige Anfragen zentral zu beantworten. ADPC ermöglicht, die Flut von Datenanfragen sinnvoll zu managen."
Privilegierung für Qualitätsinhalte möglich. Wichtig ist den Entwicklern von ADPC auch, dass es mit sogenannten "Whitelists" möglich wird, etwa Qualitätsjournalismus oder Kunst und Kultur mit einem Klick zu bevorzugen: Verbände könnten damit etwa "Whitelists" anbieten und promoten, die Nutzer/innen mit einem Klick übernehmen können. Das könnte mit einer gesetzliche Regelung nicht umgesetzt werden, da der Gesetzgeber - anders als die Nutzer/innen - keinen spezifischen Wirtschaftssektor bevorzugen darf.
Schrems: "Viele Nutzer sind vermutlich bereit, mit Qualitätsmedien etwas mehr Daten zu teilen, aber wollen ihre Daten nicht an hunderte externe Tracking-Firmen geben. Mit ADPC kann etwa ein Zeitungsverband eine Whitelist bewerben, wodurch gewisse Daten durch Qualitätsmedien automatisch verarbeitet werden düfen. Der Nutzer kann so mit einem Klick gewisse Gruppen unterstützen."
ePrivacy-Verordnung bringt Entscheidung. Ob ein solches Signal am Ende auch von Unternehmen genutzt werden muss und damit erfolgreich ist, liegt beim Gesetzgeber: Im Rahmen der ePrivacy-Verordnung, die nun final verhandelt wird, wird ein solches Signal vorgeschlagen. Strittig ist noch, ob und in welcher Form es gesetzlich verpflichtend wird. Hier ist Kalifornien der EU voraus: Dort kann eine staatliche Stelle ein solches Signal verbindlich machen.
Schrems: "Wir wollen dem europäischen Gesetzgeber mit ADPC auch zeigen, dass so ein Signal einfach machbar ist und für alle Seiten Vorteile bringt. Wir hoffen, dass die Verhandler der Mitgliedsstaaten und des Europäischen Parlaments hier für eine solide Rechtsgrundlage sorgen, die schon in kurzer Zeit geltendes Recht sein könnte. Was Kalifornien schon hat, sollte die EU auch können."
Hintergründe. ADPC ist eine Kooperation zwischen noyb und dem Sustainable Computing Lab an der Wirtschaftsuniversität Wien. Das Projekt wurde von netidee (hinter der die österreichische Domain-Verwaltung nic.at steht) teilweise gefördert. In den letzen zwei Jahren hatten wir unzählige Gespräche mit Experten und bauen auf den Erfahrungen von "Do not Track" und ähnlichen Signalen wie "Global Privacy Control" in Kalifornien auf. ADPC ist eine technische Spezifikation und ein Prototyp für ein simples Browser-Plugin und soll als Diskussionsgrundlage dienen und für reges Feedback sorgen.
| Quelle: Text noyb, Juni 2021 |
|
nach
oben
 |
| Europäische Union: Cyberstrategie, Datenschutz & Medienrecht |
|
| Links |
|
 |
|
Externe Links |
|
