Datenschutzaktivist Schrems geht gegen „Cookie-Banner-Wahnsinn“ vor

Nachdem der Datenschutzaktivist Max Schrems bereits US-EU Datentransferabkommen Privacy Shield zu Fall gebracht hatte folgt nun der nächste Coup [JULIEN WARNAND]

Nachdem der Datenschutzaktivist Max Schrems bereits das US-EU-Datentransferabkommen Privacy Shield zu Fall gebracht hatte, folgt nun der nächste Coup, diesmal gegen die rechtswidrige Verwendung von Cookies.

Über 500 Beschwerden wurden von Schrems‘ Organisation Noyb am Montag (31. Mai) an Unternehmen übermittelt, die auf ihren Websites rechtswidrige Cookie-Banner verwenden. Es ist die größte Beschwerdewelle seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) vor drei Jahren.

“Eine ganze Industrie von Beratern und Designern entwickelt verrückte Klick-Labyrinthe, um vollkommen unrealistische Zustimmungsraten zu generieren. Menschen mit Tricks zum Zustimmen zu verführen ist ein klarer Verstoß gegen die Prinzipien der DSGVO,” kommentierte Schrems den Vorstoß.

Zwar sieht die DSGVO vor, den Nutzerinnen und Nutzern Selbstbestimmung über die Verwendung ihrer Daten zu ermöglichen, in der Praxis führt das aber gerade in Bezug auf die Verwendung von Cookies oft zu Problemen. Anstatt den Usern einfache „Ja oder Nein“ Optionen über die Verwendung von Cookies zu geben, werden sie durch die komplexe Ausgestaltung von Cookie-Bannern zur Zustimmung verlockt.

Laut Noyb verstoßen viele dieser Designs gegen das EU-Gesetz. Durch die Beschwerden will Schrems dem „Cookie-Banner-Wahnsinn“ nun ein Ende setzten. „Einige Unternehmen versuchen offensichtlich alles, um Datenschutz für die Nutzer möglichst schwer zu machen. Nach dem Gesetz haben sie aber die Pflicht, eine einfache Wahlmöglichkeit zu bieten,“ erklärte Schrems.

Um gegen dieses Problem vorzugehen hat Noyb ein System für die automatische Erkennung von Verstößen entwickelt. Während das juristische Team von Noyb jede Website einzeln prüft, generiert das System eine automatische DSGVO-Beschwerde. Über 10.000 Beschwerden sollen so produziert werden.

Das EU-Cookie Gesetz

Das Problem ist bereits seit längerem bekannt. Europarechtlich ist die Regelung zu Cookies zwischen der ePrivacy-Richtlinie und der DSGVO aufgeteilt. Die 2009 überarbeitete ePrivacy-Richtline – oft auch als Cookie-Gesetz bezeichnet – sieht hierbei strenge Regelungen zur Verarbeitung von Cookies durch Unternehmen vor.

Die ePrivacy-Richtlinie verankert insbesondere das Einwilligungserfordernis bei der Verarbeitung von Cookies. Wie der EuGH in einem Urteil von 2019 festhielt, muss den Nutzerinnen und Nutzern hierbei die Möglichkeit gegeben werden, diese abzulehnen. Die gerade in Deutschland bis dahin weitverbreitete Praxis Cookie-Banner vorauszufüllen und die Ablehnung möglichst schwierig zu gestalten, wurde in dem Urteil untersagt.

Derzeit arbeitet die EU an einer Überarbeitung der ePrivacy Richtlinie, die durch eine neue Verordnung abgelöst werden soll. Die derzeit in Verhandlung befindliche Regelung sieht noch striktere Voraussetzungen für die Verarbeitung von Cookies vor.

Unterschiedliche nationale Regelungen

Die ePrivacy-Richtlinie wurde von jedem EU-Mitgliedstaat einzeln in nationale Gesetze überführt – was zu unterschiedlichen Regelungen in Bezug auf die Cookie-Verarbeitung führte.

Insbesondere Frankreich hat hier einen progressiven Weg eingeschlagen: Erst im vergangenen Jahr gab die französische Datenschutzbehörde CNIL einen Leitfaden zu Cookie-Bannern heraus, der sich stark an der noch in Verhandlung befindlichen EU-Verordnung anlehnt. Zudem kündigte die Behörde härtere Durchsetzungsmaßnahmen an.

In Deutschland wiederum ist das Einwilligungserfordernis der über zehn Jahre alten ePrivacy-Richtlinie erst vor wenigen Wochen (21. Mai) in deutsches Recht übertragen worden. Das neue Datenschutzgesetz (TTDSG) stellte die Regelungen zu Cookies auf neue Grundlagen und schreibt die Einwilligung in die Verarbeitung von Cookies nun erstmals rechtsverbindlich vor.

Jedoch wurde auch Kritik an dem Ansatz der Bundesregierung laut: „Der Gesetzgeber hat heute die Möglichkeit verstreichen lassen, die Entwicklung des europäischen Rechts zu antizipieren und innovatives Recht für zukunftsfähige Telemedien zu setzen,” kommentierte Alexander Golland von PwC Legal die Umsetzung der Richtlinie.

Subscribe to our newsletters

Subscribe