NOYB
NOYB – Europäisches Zentrum für digitale Rechte (eigene Schreibweise auch noyb; von englisch none of your business ‚geht dich nichts an‘) ist eine Nichtregierungsorganisation mit Sitz in Wien, die sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union verschrieben hat. Gegründet wurde sie 2017 unter anderem von Max Schrems.[1] Sie finanziert sich über Spenden und öffentliche und private Fördermittel und zielt darauf ab, strategische Gerichtsverfahren und Medieninitiativen zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO), der vorgeschlagenen ePrivacy-Verordnung und des Datenschutzes im Allgemeinen zu führen.[2][3] Die Organisation wurde nach einem Finanzierungszeitraum gegründet, in dem sie jährliche Spenden in Höhe von 250.000 Euro von Fördermitgliedern erhalten hat.[4] Derzeit wird noyb von mehr als 5.100 Fördermitgliedern finanziert.[5] Während viele Datenschutzorganisationen ihr Augenmerk auf öffentliche Überwachung richten, konzentriert sich noyb auf Datenschutzverletzungen von privaten Unternehmen. Gemäß Artikel 80 der DSGVO können gemeinnützige Organisationen Maßnahmen ergreifen oder betroffene Personen vertreten.[6] noyb ist als „qualifizierte Organisation“ anerkannt, um in Belgien Sammelklagen für Verbraucher und Verbraucherinnen einzureichen.[7] Zu diesem Zweck hat noyb außerdem, gemeinsam mit Privacy First, die Stiftung CUIC (Customers United in Court) in den Niederlanden gegründet.[8] AktivitätenBeschwerden wegen „Zwangszustimmung“ (2018)Nur wenige Stunden nach Inkrafttreten der DSGVO am 25. Mai 2018 reichte NOYB Beschwerden gegen Facebook und dessen Tochterunternehmen WhatsApp und Instagram sowie gegen Google LLC (für Android) ein. Diese würden laut noyb gegen Artikel 7 Absatz 4 verstoßen, indem sie versuchten, ihrer Dienste vollständig für solche Nutzer zu blockieren, die alle Einwilligungen in die Datenverarbeitung verweigern. Die geforderte Einwilligung umfasse dabei auch Daten, die zur Verwendung des jeweiligen Dienstes als unnötig erachtet werden.[9][10][11][12][13] Aufgrund der Beschwerde verhängte die französische Datenschutzbehörde CNIL eine Geldstrafe in Höhe von 50 Mio. EUR gegen Google LLC.[14] Entscheidungen zu den weiteren Fällen stehen noch aus. Initiativen gegen Mobiles TrackingMitte November 2020 gab noyb bekannt, dass sowohl bei der deutschen als auch bei der spanischen Datenschutzbehörde Beschwerden eingereicht wurden,[15][16][17] da die einzigartige Zahlen- und Zeichenfolge von Apples „IDFA“ (Apples Identifikator für Werbetreibende) es Apple und Drittanbietern ermöglicht, Benutzer zu identifizieren und ihr Computer- und Handyverhalten über Gerätegrenzen hinweg in Beziehung zu setzen.[18] Da die Beschwerde sich nicht auf die DSGVO, sondern auf Artikel 5 Absatz 3 der ePrivacy-Richtlinie stützt, könnten laut noyb die spanischen und deutschen Behörden Apple direkt mit einer Geldstrafe belegen. Am 7. April 2021 reichte noyb in Frankreich eine Beschwerde gegen das Tracking durch Google auf Android Handys ein. Schrems II – EUGH Urteil zu Privacy Shield (2020)Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das Datentransfer-Übereinkommen Privacy Shield für ungültig und entschied, dass Facebook und andere Unternehmen, die unter die US-Überwachungsgesetze fallen, sich nicht auf „Standardvertragsklauseln“ (SCCs) berufen können, da die US-Überwachungsgesetze im Widerspruch zu den EU-Grundrechten stehen. Dieses Urteil beruht auf einem langjährigen Fall von Max Schrems und noyb, indem es um den fehlenden Schutz von Daten ausländischer Nutzer von US-Unternehmen vor US-Geheimdiensten geschützt. Der EuGH stellte fest, dass dies gegen den „Wesensgehalt“ bestimmter EU-Grundrechte verstößt.[19] Der Gerichtshof hat auch klargestellt, dass die EU-Datenschutzbehörden verpflichtet sind, Maßnahmen zu ergreifen. Der Gerichtshof hob hervor, dass eine Datenschutzbehörde „ihre Verantwortung dafür, dass die DSGVO vollständig durchgesetzt wird, mit der gebotenen Sorgfalt wahrnehmen muss“.[20] Trotz der durch das Urteil vorgenommenen Ungültigkeitserklärungen können absolut „notwendige“ Datenströme weiterhin gemäß Artikel 49 der DSGVO fließen. Jede Situation, in der Nutzer wünschen, dass ihre Daten ins Ausland fließen, ist weiterhin legal, da dies auf der informierten Zustimmung der Nutzer beruhen kann, die jederzeit widerrufen werden kann. Ebenso erlaubt das Gesetz die Weitergabe von Daten, die für die Erfüllung eines Vertrags „erforderlich“ sind.[21] Nach dem Schrems-II-Urteil reichte noyb 101 Beschwerden gegen EU-/EWR-Unternehmen ein, die Google Analytics oder Facebook Connect nutzen und damit weiterhin Daten in die USA übermitteln, obwohl vom EuGH festgestellt wurde (Link zu Privacy Shield), dass die US-Überwachungsgesetze EU-Grundrechte im Kern verletzen. Die Organisation wollte damit auf die mangelnde Durchsetzung von Schrems II hinweisen.[22][23] Diese Musterbeschwerden führten zur Einrichtung einer speziellen Taskforce durch den Europäischen Datenschutzausschuss (EDSA), die die Beschwerden koordinieren und Empfehlungen für Datenverantwortliche und -verarbeiter ausarbeiten soll.[24] Am 12. Januar 2022 traf die österreichische Datenschutzbehörde (DSB) eine Teilentscheidung zugunsten von noyb, in der sie feststellte, dass die anhaltende Nutzung von Google Analytics gegen die DSGVO verstößt,[25] was die meisten Websites in der Europäischen Union betrifft, da Google Analytics das am weitesten verbreitete Statistikprogramm für Webseiten ist.[26] Am 10. Februar 2022 veröffentlichte die französische Datenschutzbehörde (CNIL) eine ähnliche Entscheidung.[27] Offener Brief an die Europäischen Datenschutzbehörden (2020)Um die geltenden Datenschutzgesetze durchzusetzen, übt noyb auch Druck auf die jeweiligen Aufsichtsbehörden aus. In einem offenen Brief beschuldigte noyb die irische Datenschutzkommission, zu langsam zu handeln und zehn Treffen mit Facebook vor dem Inkrafttreten der Datenschutz-Grundverordnung abgehalten zu haben.[28] Strafe für Grindr wegen illegaler Weitergabe von Nutzerdaten (2021)Gemeinsam mit dem norwegischen Verbraucherrat reichte noyb im Januar 2020 drei strategische Beschwerden gegen die Dating-App Grindr und mehrere Adtech-Unternehmen wegen der illegalen Weitergabe von Nutzerdaten ein. Bei den geteilten Daten handelte es sich um GPS-Standort, IP-Adresse, Werbe-ID, Alter, Geschlecht und die Tatsache, dass die betreffenden Nutzer bei Grindr waren. Durch die geteilten Daten konnten die Nutzer identifiziert werden, und die Empfänger die Daten möglicherweise weitergeben.[29] Diese Beschwerden stützen sich auf den Bericht Out of Control des norwegischen Verbraucherrats.[30] Ein Jahr nach Einreichung der Beschwerde gab die norwegische Datenschutzbehörde der Beschwerde gegen Grindr statt und bestätigte, dass Grindr im Voraus keine gültige Zustimmung der Nutzer erhalten hatte. Die Behörde verhängte eine Geldstrafe von 100 Mio. NOK (9,63 Mio. €) gegen Grindr,[31] die in der endgültigen Entscheidung auf 65 Mio. NOK (6,5 Mio. €) herabgesetzt wurde, da die tatsächlichen Einnahmen von Grindr niedriger waren als zuvor angenommen und das Unternehmen Maßnahmen zur Behebung von Mängeln in seiner früheren Consent Management Platform (engl. ‚Plattform zur Verwaltung von Einwilligungen‘) ergriffen hatte.[32] Beschwerden gegen „Dark Pattern“ bei Cookie-Banner (2021)Am 10. August 2021 reichte noyb 422 Beschwerden gegen Unternehmen ein, die irreführende Cookie-Banner auf ihrer Website verwenden. Diese Beschwerdewelle war das Ergebnis einer „Legal Tech“-Initiative der Organisation, in deren Verlauf Tausende von Webseiten in Europa mit einem eigens dafür entwickelten Tool automatisch auf Verstöße überprüft worden waren.[33][34] Als Reaktion auf diese Beschwerden wurde eine EDSA-Taskforce eingerichtet, um sich über die rechtliche Analyse und mögliche Verstöße auszutauschen und die Kommunikation zu straffen.[35] Noyb hat gemeinsam mit dem Sustainable Computing Lab der Wirtschaftsuniversität Wien Advanced Data Protection Control (ADPC) entwickelt, um eine Alternative zu Cookie-Bannern aufzuzeigen. Das ADPC-Browsersignal stellt eine praktikable Alternative zu Cookie-Bannern dar, da es einen automatisierten Mechanismus für die Kommunikation der Datenschutzentscheidungen der Benutzer mit den Antworten der Datenverantwortlichen bietet.[36][37] PUR-AbosIm August 2021 legte NOYB eine Beschwerde gegen die PUR-Abos (gegen Bezahlung Inhalte werbefrei lesen und Tracking vermeiden) auf deutschen Websites ein. Die Beschwerde betrifft die großen Medienhäuser mit Cookie-Paywalls: SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at und t-online.de.[38] Der Nutzer muss dabei entweder der Datenweitergabe an hunderte Tracking-Firmen zustimmen, was dem Verlag pro Monat und Besucher wenige Cent einbringt, oder ein PUR-Abo für 24 bis 80 € pro Jahr abschließen.[39] Die Zahlung des Hundertfachen des Marktpreises, um seine Daten zu behalten, könne nicht als „freiwillig“ angesehen werden.[38] CRIF-BürgelNOYB fand heraus, dass der Adressverlag AZ Direct wahrscheinlich millionenfach Datensätze an die Kreditauskunftei CRIF-Bürgel weitergegeben hat und hat dagegen Beschwerde eingereicht.[40] Beschwerde gegen die EU-KommissionEnde 2023 legte NOYB Beschwerde[41] gegen die EU-Kommission beim EU-Datenschutzbeauftragten (EDPS) ein.[42][43][44] Die von der EU in der Werbung für die Chatkontrolle-Verordnung präsentierten Daten seien umstritten.[42] Das Posting mit der niederländischen Werbung sei nun mit einem Hinweis versehen, dass es sich um irreführende Informationen (Desinformation) handle.[42] Die EU-Kommission scheine versucht zu haben, die öffentliche Meinung in Staaten wie den Niederlanden zu beeinflussen, um die Position der nationalen Regierungen im EU-Rat zu untergraben.[44] Bei der Zielgruppenauswahl der Werbung seien politische und religiöse Filter angewendet worden.[43] EU-Innenkommissarin Ylva Johansson sei laut eigener Aussage „mit den Details dieser Kampagne nicht vertraut und gleichzeitig in die Durchführung der Kampagne nicht involviert gewesen“.[43][45] Beschwerde gegen den ChatGPT-Anbieter OpenAIEnde April 2024 wurde, zusammen mit einem betroffenen europäischen Bürger, eine Datenschutzbeschwerde gegen den ChatGPT-Anbieter OpenAI wegen des Verstoßes gegen die DSGVO eingereicht.[46][47] Seit 1995 besagt das EU-Recht, dass persönliche Daten korrekt sein müssen.[47] Die österreichische Datenschutzbehörde (DSB) wird zu einer Untersuchung der Datenverarbeitungspraktiken von OpenAI aufgefordert.[47] SonstigesNOYB hat auch ein kollaboratives Wiki über die DSGVO gestartet, genannt GDPRhub.eu. Auf der Webseite werden englische Zusammenfassungen von DSGVO-Entscheidungen von Datenschutzbehörden oder Gerichten in ganz Europa gesammelt.[48] Einzelnachweise
|