Die europäische Datenschutzorganisation Noyb legt bei ihrem Kampf gegen rechtswidrige Cookie-Zustimmungsabfragen im Web nach. Nach einer ersten Beschwerdewelle, die sich Ende Mai noch an die Websitebetreiber selbst richtete, will das Team um den österreichischen Datenschutzaktivisten Max Schrems nun 422 formale Beschwerden bei zehn Datenschutzbehörden einreichen.

Cookies sind kleine Datensätze, die Websites hinterlegen, um die Nutzer identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird dann etwa für personalisierte Werbung herangezogen.

Nach den Schreiben an mehr als 500 Unternehmen am 31. Mai seien 42 Prozent aller Verstöße auf mehr als 516 Websites beseitigt worden. Zu den Unternehmen, die die Verwendung von „dark patterns“ zur Einholung der Zustimmung vollständig eingestellt haben, gehören globale Marken wie Mastercard, Procter & Gamble, Forever 21, Seat oder Nikon.

Unter „dark patterns“ versteht man Bedienoberflächen, die Nutzer zu einer Handlung bringen sollen, die nicht ihren eigentlichen Absichten entspricht. Im Fall von Cookie-Hinweisen werden Buttons, Aufbau und Beschriftung gezielt so gewählt, dass die Website-Besucher am ehesten eine datenschutzunfreundliche Auswahl treffen.

Nur eine Minderheit der angeschriebenen Unternehmen kam der Aufforderung von Noyb nach, den Widerruf so einfach wie die Erteilung der Einwilligung zu gestalten. Nur 18 Prozent hätten eine solche Option quasi als Widerrufssymbol auf ihrer Website eingerichtet.

In dem Cookie-Streit hat es die werbetreibende Industrie mit einem einflussreichen Gegner zu tun. Schrems hat in zwei spektakulären Fällen bereits Facebook in die Knie gezwungen. Er setzte zum einen im Oktober 2015 vor dem Europäischen Gerichtshof (EuGH) durch, dass die von Facebook genutzte transatlantische Datenschutzvereinbarung „Safe Harbor“ gekippt wurde. Im Juni 2020 brachte er vor dem EuGH schließlich auch die Nachfolgeregelung „Privacy Shield“ zu Fall.

Schrems erklärte nun, Unternehmen hätten die Befürchtung geäußert, dass ihre Konkurrenten die Vorschriften nicht einhalten, was zu einem unfairen Wettbewerb führen würde. „Andere sagten, dass sie auf eine klare Entscheidung der Behörden warten, bevor sie die Gesetze einhalten. Wir hoffen daher, dass die Datenschutzbehörden bald Entscheidungen und Sanktionen erlassen werden.“ dpa