Nein heißt Nein! Oder auch nicht.

Nein heißt Nein. Punkt! Wenn jemand zu mir nein sagt, dann respektiere ich das. Und wenn ich zu jemandem nein sage, dann erwarte ich, dass das respektiert wird. Wenn es Gesetze gibt, dann erwarte ich, dass diese eingehalten werden. Ich weiß, ich bin ein Träumer, aber so ticke ich. Wenn jemand mein Fahrrad klaut, obwohl es mit zwei Stufe 15 Schlössern angeschlossen war, dann erwarte ich, dass die Polizei diesen kriminellen Akt verfolgt. Es gibt sicherlich schlimmere Verbrechen. Aber was passiert, wenn Raddiebe einfach davon ausgehen können, dass sie niemals verfolgt werden? Oder Einbrecher? Oder Mörder?
Das sehen wir im digitalen Bereich. Gesetze werden nicht eingehalten und Verfehlungen nicht verfolgt. Wie sagte mir ein Anwalt zum Thema Datenschutz:

Microsoft Office 365 kann nicht legal eingesetzt werden, aber es interessiert auch niemanden, denn würde man die Gesetze umsetzen, dann wäre die Wirtschaft lahmgelegt.“

Ein Anwalt zu mir vorletzte Woche

Wenn ich in meinem Browser sage, ich will nicht getrackt werden, dann erwarte ich, dass das auch nicht getan wird. Passiert es trotzdem und ich finde das heraus, möchte ich die Möglichkeit haben, mein Recht einzuklagen. Doch Rechtstaatlichkeit hört beim Digitalen auf. Ist die digitale Firma dann noch groß, reich und die Regierung und Wirtschaft komplett abhängig von ihr, dann gelten Gesetze nicht. Ein sehr schöner Kommentar zu Microsoft und dem BSI, die in diesem Kontext mal was sagen sollten, sich aber gehorsam zurückhalten, hat heise publiziert. Lesenswert.

Aber ich will auf etwas anderes hinaus.

Die ETH Zürich (🇬🇧PDF) hat sich die Mühe gemacht herauszufinden, wieviele Webseitenbetreiber den Wunsch der Nutzer respektieren, nicht getrackt zu werden. Dazu haben sie 97.090 Webseiten überprüft. Sie haben sich angeschaut, ob die Cookie-Banner, die wir alle so lieben, rechtlich korrekt sind und ob Seitenbetreiber die Einstellungen, die Nutzer vornehmen, respektieren (was sie nicht betrachtet haben, welche Daten schon vor dem Erscheinen des Cookie-Banner abgesaugt werden. Darüber habe ich vor längerer Zeit berichtet).

Pause. Denken Sie mal nach. 5%? 20%? 50%? Was glauben Sie, wieviele der überprüften Webseiten halten sich nicht an die aktuelle Rechtsprechung und respektieren Ihren Wunsch nicht?

Aus der Einleitung der Publikation:

Datenschutzvorschriften wie die Allgemeine Datenschutzverordnung (DSGVo) verlangen von Websites, dass sie die in der EU ansässigen Nutzer über die Erhebung nicht wesentlicher Daten informieren und ihre Zustimmung zu dieser Praxis einholen. Frühere Studien haben weit verbreitete Verstöße gegen diese Vorschriften dokumentiert.

Wir stellen die erste allgemeine, automatisierte, groß angelegte Analyse der Einhaltung von Cookie-Hinweisen vor. Unsere Methode interagiert mit Cookie-Hinweisen, z. B. indem sie durch deren Einstellungen navigiert. Sie beobachtet die angegebenen Verarbeitungszwecke und die verfügbaren Zustimmungsoptionen mithilfe von Natural Language Processing und vergleicht sie mit der tatsächlichen Verwendung von Cookies. Durch die Allgemeingültigkeit und den Umfang unserer Analyse korrigieren wir den Selektionsfehler, der in früheren Studien auftritt, die sich auf spezifische Consent Management Platforms (CMP) konzentrieren. Wir geben auch einen allgemeineren Überblick über die Einhaltung der Vorschriften, indem wir eine Reihe von 97 000 in der EU beliebten Websites heranziehen. Wir stellen insbesondere fest, dass 65,4 % der Websites, die eine Option zur Ablehnung von Cookies anbieten, wahrscheinlich trotz ausdrücklicher negativer Zustimmung Nutzerdaten sammeln.

-Übersetzt mit DeepL.com-

https://www.usenix.org/system/files/sec23winter-prepub-107-bouhoula.pdf

Fast 2/3 der getesteten Webseiten sammeln wahrscheinlich trotz Ihrer Ablehnung Ihre Daten.

Das Dokument beschreibt noch weitere Verstöße, bspw. haben 56,7% keinen „Ablehnen-Knopf“, wie es die DSGVo vorschreibt. 73,4% der Webseiten gehen von einer impliziten Zustimmung aus.

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil in der Rechtssache Planet49 die Auslegung der DSGVo und der Datenschutzrichtlinie für elektronische Kommunikation durch die deutsche Datenschutzbehörde bestätigt, wonach voraktivierte Kontrollkästchen auf Einwilligungsbannern ungültige Formen der Einwilligung sind, abgesehen von unbedingt erforderlichen Cookies.

Außerdem:

Wenn ein Cookie-Hinweis eine Schaltfläche zum Schließen enthält, sollte seine Funktionalität nicht gleichbedeutend mit der Annahme von Cookies sein, da dies gegen den oben genannten Grundsatz der positiven und ausdrücklichen Zustimmung verstößt. Wir nennen dies einen Verstoß gegen die „implizite Zustimmung nach dem Schließen“ und stellen ihn bei 77,5 % der 4974 Websites fest, die in ihrem Cookie-Hinweis eine Schaltfläche zum Schließen haben.

s.o.

Interessant fand ich in der Studie auch, dass große Firmen (Websites) korrektere Cookie-Banner haben, aber die Antworten weniger respektieren.

Das bedeutet, dass die tatsächliche Durchsetzung unserer Privatsphäre weder den Gesetzgebern und ihren Rechtsvorschriften noch den Websites überlassen werden kann. Der Gesetzgeber hat keine Lust und keine Ressourcen, die selbst gemachten Gesetze umzusetzen oder einzuhalten oder die Möglichkeit zu bieten, die Einhaltung einzuklagen.

Daher:

Die Verbraucher müssen sich wehren und ggf. auch auf neue Technologien drängen, um diese Aufgabe aus den Händen von Dritten zu nehmen. Ich weiß, dass es verrückt klingt, wenn ich das sage, aber genau dafür wurde die Google Privacy Sandbox entwickelt. Ich bin wahrlich kein Google Freund und ich würde mir wünschen, in einer Gesellschaft zu leben, in der meine Wünsche respektiert werden und ich Recht bekomme, wenn gegen Gesetze verstossen wird. Aber da das nicht funktioniert, muss ich auf Google und andere Techies hoffen. Das ist traurig und schade, aber ich kann es nicht ändern.

Grafig des Missbrauchs

Das Nichteinhalten von Gesetzen, kann Geld kosten, nur nicht in Deutschland. Aber zum Besipiel in Frankfreich: Die französische Datenschutzbehörde (CNIL) verhängte gegen Amazon.fr eine Geldstrafe in Höhe von 35 Millionen Euro, unter anderem wegen der Verarbeitung personenbezogener Daten ohne vorherige Ankündigung.