Die Datenschutzaktivisten der Organisation Noyb („My Privacy is non of your business“) um Max Schrems, welcher unter anderem für die Unzulässigkeit des Privacy Shield und das Schrems II Urteil verantwortlich ist, haben nun mit einem neuen Projekt den Cookie-Bannern bzw. den vorherrschenden Cookie-Consent-Lösungen den Kampf angesagt.

Automatisierte Beschwerden

Die Organisation hat angekündigt, dass in der nächsten Zeit ca. 560 Webseiten automatisiert überprüft wurden, deren Betreiber ein Schreiben mit der Aufforderung erhalten, ihre Webseite innerhalb eines Monats entsprechend an die geltenden Datenschutzvorgaben anzupassen.

Hierfür hat die Organisation eigens einen Scan entwickelt, welcher die Webseiten automatisiert überprüft. Hilfreich war dabei, dass viele Webseiten-Betreiber Consent-Manager für die Cookie-Banner einsetzen, welche leichter zu überprüfen sind.

Als problematisch gelten für Noyb Cookie-Banner, welche in der ersten Ebene keine Möglichkeit zur Ablehnung der Cookies bieten oder durch sogenanntes „Nudging“ beispielsweise durch Auswahl von auffälligen Farben für den Zustimmungs-Button, die Nutzer zur Zustimmung hin manipulieren sollen. Aus Sicht der Webseitenbetreiber, welche mit den gewonnen Daten Geld verdienen wollen, ist dieses Vorgehen nachvollziehbar. Geht es nach den Datenschutzaktivisten stellt dies einen Datenschutzverstoß dar, weil das Ablehnen der Cookies genauso einfach sein soll wie die Zustimmung.

Überprüfung von bis zu 10.000 Webseiten

Zukünftig will Noyb bis zu 10.000 gut besuchte Webseiten überprüfen. Gehen die Webseitenbetreiber nicht auf die Aufforderung der Aktivisten ein, welche eine Anmeldung auf einer Plattform beinhaltet auf der eine Anleitung zum einem datenschutzkonformen Cookie-Banner zu finden ist, so soll eine formelle Beschwerde bei den zuständigen Datenschutzaufsichtsbehörden folgen.

Nach eigenen Angaben, will Noyb hierfür keine Gebühren oder ähnliches von den Webseitenbetreibern fordern, will aber mittels angedrohten Bußgeldern aufgrund der Beschwerden die gewünschte Wirkung erreichen.

Bisher keine gerichtlich festgelegten Regeln für Cookie-Banner

Seitdem EuGH und BGH entschieden haben, dass Cookie-Banner eine konkrete Zustimmung zu den einzelnen Cookies durch die Nutzer enthalten müssen, hat es bisher keine weiteren Urteile dazu gegeben, die konkretisieren, wie diese Cookie-Banner ansonsten auszugestalten sind.

Daher sind sowohl die Ansichten der Webseiten-Betreiber als auch die der Datenschutzaktivisten wohl derzeit durchaus vertretbar. Aus Sicht des Datenschutzes und der Bürger sind einfache Cookie-Banner, welche den Nutzern übersichtlich die Möglichkeit bieten, die Cookies auszuwählen, welchen sie zustimmen möchten, aber natürlich wünschenswert.

Gegebenenfalls kann hier aber das geplante neue Datenschutzgesetz TTDSG (Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien) Abhilfe schaffen, welches auch Regelungen zu Cookie-Bannern enthalten soll.