Streit um Cookies : Datenschützer setzen Unternehmen die Pistole auf die Brust
Die Organisation des österreichischen Datenschutzaktivisten Max Schrems heißt „Noyb“. Das ist ein Akronym und steht für „my privacy is None Of Your Business“ – also etwa „meine Privatsphäre geht dich gar nichts an“. Und der Name ist Programm: Denn nachdem Schrems erst nacheinander zwei Abkommen zum transatlantischen Datentransfer juristisch zu Fall gebracht hat, holt er nun zum Schlag gegen Cookies aus. Oder genauer: Dagegen, wie sich Unternehmen die Zustimmung von Nutzern sichern, Cookies setzen zu dürfen.
Noyb teilte am Montag mit, deshalb rund 560 Beschwerdeschreiben an europäische und amerikanische Unternehmen verschickt zu haben, die ihrer Auffassung nach rechtswidrig handeln; weitere 10.000 Beschwerden seien in Vorbereitung. Cookies sind kleine Datensätze, die Internetseiten auf dem Computer desjenigen speichern, der sie betrachtet. Unter anderem nutzen Unternehmen Cookies, um Nutzer durchs Netz zu verfolgen. Denn so können sie die Interessen eines Nutzers mitschreiben – und diese in personalisierte Werbung und damit in bares Geld umsetzen. Gerade Internetkonzerne wie Google oder Facebook verdienen mit solch persönlich zugeschnittener Werbung deutlich mehr als mit ungezielter. Grundsätzlich weiß aber auch jedes andere Unternehmen, das im Internet wirbt, die Vorzüge von Cookies zu schätzen.
Nach Rechtsprechung zur europäischen Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen die Einwilligung eines Nutzers einholen, wenn sie ihn mit Cookies auf diese Weise verfolgen wollen. Deshalb erscheint seit einiger Zeit auf fast allen Internetseiten ein Hinweis, der um die Erlaubnis zum Setzen von Cookies bittet, bevor man zum Inhalt der Seite gelangt. An diesen Cookie-Bannern setzt Schrems an. Aus seiner Sicht gibt die DSGVO vor, dass Nutzer vor eine klare Wahl von „Ja“ oder „Nein“ gestellt werden müssen. Stattdessen versuchten Anbieter, dies mit Tricks zu umgehen: Die Cookie-Banner machten es oft äußerst kompliziert, etwas anderes als den „Akzeptieren“-Knopf anzuklicken.
Im Visier: Tchibo, DHL, Hunkemöller und der Europa-Park
„Eingriffe in Grundrechte und Rechtsbruch“ könnten nicht mit „‘Hey, da klicken nachher x Prozent mehr drauf‘ gerechtfertigt werden“, sagt Schrems der F.A.Z. „Zumindest im Gesetz ist da keine Ausnahme vorgesehen.“ Eine „ganze Industrie von Beratern und Designern“ entwickele „verrückte Klick-Labyrinthe“, um Nutzer zur Zustimmung zu bewegen und „vollkommen unrealistische Zustimmungsraten“ zu generieren. „Menschen mit Tricks zum Zustimmen zu verführen ist ein klarer Verstoß gegen die Prinzipien der DSGVO.“ Unternehmen gäben offen zu, dass nur drei Prozent aller Nutzer tatsächlich Cookies akzeptieren wollen, aber mehr als 90 Prozent dazu verleitet werden können, auf den „Akzeptieren“-Knopf zu klicken.
Noyb gibt an, die Seiten von zahlreichen Unternehmen mit einer speziellen Software auf rechtswidrige Cookie-Banner untersucht und so die Beschwerden generiert zu haben. In Deutschland richten sich die Beschwerden unter anderem gegen das Kaffee- und Versandhaus Tchibo und den Paketdienst DHL, aber auch gegen Mittelständler wie Grohe und Hunkemöller sowie den Europa-Park in Rust. Noyb droht, auf Basis der mutmaßlichen Mängel, Beschwerden bei den zuständigen Datenschutzbehörden zu erheben. Die Organisation setzt den Unternehmen eine Galgenfrist von einem Monat – wenn die Unternehmen die kritisierte Vorgehensweisen bis dahin nicht änderten, würden die Beschwerden eingereicht. Noyb weist darauf hin, dass dann laut DSGVO Bußgelder von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes möglich seien.
„Daten sind das neue Diesel“
Für den auf Datenschutzrecht spezialisierten Rechtsanwalt Tim Wybitul zeigt die Kampagne vor allem die große Rechtsunsicherheit beim Datenschutz. „In den Gesetzen zum Thema Cookies wimmelt es von schwammigen beziehungsweise unbestimmten Rechtsbegriffen“, sagt er. „Deshalb versuchen Aktivisten, Verbraucheranwälte und andere beteiligte Gruppierungen, ihre Vorstellung der Rechtslage auch auf zivilrechtlichem Wege durchzusetzen.“
Das Vorgehen von Schrems‘ Organisation erinnert insofern an das der Deutschen Umwelthilfe (DUH), die 2018 und 2019 gerichtlich zahlreiche Diesel-Fahrverbote in deutschen Städten erstritt. Wybitul stimmt dem zu: „Der Vergleich passt. Für klagende Anwälte sind Daten das neue Diesel.“ Er rechnet damit, dass auf Beschwerden bei den Datenschutzbehörden oftmals Schadenersatzklagen folgen können. Für Unternehmen kann das teuer werden: Wybituls Kanzlei Latham & Watkins hat eine Tabelle zusammengetragen, der zufolge Gerichte Unternehmen bei Datenschutzverstößen zu 300 bis 5000 Euro Schadenersatz verurteilt haben – je betroffenem Nutzer. Bei Tausenden oder Millionen von Nutzern eines Dienstes kann das schnell in die Millionen oder Milliarden gehen.
Im Gegensatz etwa zur DUH arbeitet Noyb als Beschwerdewelle aber unentgeltlich und verschickt keine Abmahnungen mit Zahlungsaufforderung. Das Projekt habe keine Gewinnerzielungsabsicht und werde aus dem allgemeinen Etat von Noyb finanziert, der zu einem großen Teil von rund 4000 Mitgliedern in ganz Europa getragen werde, heißt es von der Organisation.
Schrems wurde vor allen durch sein Vorgehen gegen zwei Abkommen bekannt, die den Datenaustausch zwischen der EU und den USA regelten. Vor dem Europäischen Gerichtshof (EuGH) hat der österreichische Jurist zwei allgemein beachtete Erfolge erzielt. Zuerst, als der EuGH im Oktober 2015 auf seine Klage hin die Vereinbarung „Safe Harbor“ kippte. Dann abermals im vergangenen Juni, als der Österreicher vor dem EuGH auch die Nachfolgeregelung „Privacy Shield“ zu Fall brachte.
Noyb ist auch Teil der Bemühungen von Datenschützern in mehreren europäischen Staaten, die vor kurzem Beschwerde gegen das auf Gesichtserkennung spezialisierte amerikanische Unternehmen Clearview AI eingelegt hat. Clearview hat mehr als drei Milliarden Fotos im Netz gesammelt und daraus eine Biometrie-Datenbank für private Unternehmen und Strafverfolgungsbehörden erstellt. „Nur weil etwas online ist, ist es nicht automatisch Freiwild, das sich andere auf beliebige Weise aneignen können – das ist weder moralisch noch rechtlich zulässig", sagte dazu Alan Dahi, Datenschutzjurist von Noyb.
