NOYB
NOYB – Europäisches Zentrum für digitale Rechte (eigene Schreibweise auch noyb; von englisch none of your business ‚geht dich nichts an‘) ist eine Nichtregierungsorganisation mit Sitz in Wien, die sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union verschrieben hat. Gegründet wurde sie 2017 unter anderem von Max Schrems.[1] Sie finanziert sich über Spenden und öffentliche und private Fördermittel und zielt darauf ab, strategische Gerichtsverfahren und Medieninitiativen zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO), der vorgeschlagenen ePrivacy-Verordnung und des Datenschutzes im Allgemeinen zu führen.[2][3] Die Organisation wurde nach einem Finanzierungszeitraum gegründet, in dem sie jährliche Spenden in Höhe von 250.000 Euro von Fördermitgliedern erhalten hat.[4] Derzeit wird noyb von mehr als 4.400 Fördermitgliedern finanziert.
NOYB – Europäisches Zentrum für digitale Rechte | |
---|---|
Rechtsform | Verein (ZVR: 1354838270) |
Gründung | Juni 2017 |
Gründer | Max Schrems Christof Tschohl Petra Leupold |
Sitz | Wien |
Motto | My privacy is none of your business |
Aktionsraum | Europäische Union |
Umsatz | 649.284 Euro (2020) |
Beschäftigte | ca. 15 |
Mitglieder | 4.600 |
Website | noyb.eu |
Während viele Datenschutzorganisationen ihr Augenmerk auf öffentliche Überwachung richten, konzentriert sich noyb auf Datenschutzverletzungen von privaten Unternehmen. Gemäß Artikel 80 der Datenschutz-Grundverordnung können gemeinnützige Organisationen Maßnahmen ergreifen oder betroffene Personen vertreten.[5] noyb ist als "qualifizierte Organisation" anerkannt, um in Belgien Sammelklagen für Verbraucher und Verbraucherinnen einzureichen.[6] Zu diesem Zweck hat noyb außerdem, gemeinsam mit Privacy First, die Stiftung CUIC (Customers United in Court) in den Niederlanden gegründet.[7]
Aktivitäten
Beschwerden wegen "Zwangszustimmung" (2018)
Nur wenige Stunden nach Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 reichte NOYB Beschwerden gegen Facebook und dessen Tochterunternehmen WhatsApp und Instagram sowie gegen Google LLC (für Android) ein. Diese würden laut noyb gegen Artikel 7 Absatz 4 verstoßen, indem sie versuchten, ihrer Dienste vollständig für solche Nutzer zu blockieren, die alle Einwilligungen in die Datenverarbeitung verweigern. Die geforderte Einwilligung umfasse dabei auch Daten, die zur Verwendung des jeweiligen Dienstes als unnötig erachtet werden.[8][9][10][11][12] Aufgrund der Beschwerde verhängte die französische Datenschutzbehörde CNIL eine Geldstrafe in Höhe von 50 Mio. EUR gegen Google LLC.[13] Entscheidungen zu den weiteren Fällen stehen noch aus.
Initiativen gegen Mobiles Tracking
Mitte November 2020 gab noyb bekannt, dass sowohl bei der deutschen als auch bei der spanischen Datenschutzbehörde Beschwerden eingereicht wurden,[14][15][16] da die einzigartige Zahlen- und Zeichenfolge von Apple „IDFA“ (Apple‘s Identifikator für Werbetreibende) es Apple und Drittanbietern ermöglicht, Benutzer:innen zu identifizieren und Informationen über ihr Online- und Mobilverhalten zu verbinden".[17] Da die Beschwerde sich nicht auf die DSGVO, sondern auf Artikel 5 Absatz 3 der ePrivacy Richtlinie stützt, könnten laut noyb die spanischen und deutschen Behörden Apple direkt mit einer Geldstrafe belegen.
Am 7. April 2021 reichte noyb in Frankreich eine Beschwerde gegen das Tracking durch Google auf Android Handy ein.
Schrems II – EUGH Urteil zu Privacy Shield (2020)
Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das Datentransfer-Übereinkommen Privacy Shield für ungültig und entschied, dass Facebook und andere Unternehmen, die unter die US-Überwachungsgesetze fallen, sich nicht auf "Standardvertragsklauseln" (SCCs) berufen können, da die US-Überwachungsgesetze im Widerspruch zu den EU-Grundrechten stehen. Dieses Urteil beruht auf einem langjährigen Fall von Max Schrems und noyb, indem es um den fehlenden Schutz von Daten ausländischer Nutzer:innen von US-Unternehmen vor US-Geheimdiensten geschützt. Der EuGH stellte fest, dass dies gegen den "Wesensgehalt" bestimmter EU-Grundrechte verstößt.[18]
Der Gerichtshof hat auch klargestellt, dass die EU-Datenschutzbehörden verpflichtet sind, Maßnahmen zu ergreifen. Der Gerichtshof hob hervor, dass eine Datenschutzbehörde "ihre Verantwortung dafür, dass die DSGVO vollständig durchgesetzt wird, mit der gebotenen Sorgfalt wahrnehmen muss".[19]
Trotz der durch das Urteil vorgenommenen Ungültigkeitserklärungen können absolut "notwendige" Datenströme weiterhin gemäß Artikel 49 der DSGVO fließen. Jede Situation, in der Nutzer:innen wünschen, dass ihre Daten ins Ausland fließen, ist weiterhin legal, da dies auf der informierten Zustimmung der Nutzer:innen beruhen kann, die jederzeit widerrufen werden kann. Ebenso erlaubt das Gesetz die Weitergabe von Daten, die für die Erfüllung eines Vertrags "erforderlich" sind.[20]
Nach dem Schrems-II-Urteil reichte noyb 101 Beschwerden gegen EU-/EWR-Unternehmen ein, die Google Analytics oder Facebook Connect nutzen und damit weiterhin Daten in die USA übermitteln, obwohl der EuGH vom festgestellt wurde (Link zu Privacy Shield), dass die US-Überwachungsgesetze EU-Grundrechte im Kern verletzen. Die Organisation wollte damit auf die mangelnde Durchsetzung von Schrems II hinweisen.[21][22] Diese Musterbeschwerden führten zur Einrichtung einer speziellen Taskforce durch den Europäischen Datenschutzausschuss (EDSA), die die Beschwerden koordinieren und Empfehlungen für Datenverantwortliche und -verarbeiter ausarbeiten soll[23]
Am 12. Januar 2022 traf die österreichische Datenschutzbehörde (DSB) eine Teilentscheidung zugunsten von noyb, in der sie feststellte, dass die anhaltende Nutzung von Google Analytics gegen die DSGVO verstößt,[24] was die meisten Websites in der Europäischen Union betrifft, da Google Analytics das am weitesten verbreitete Statistikprogramm für Webseiten ist.[25] Am 10. Februar 2022 veröffentlichte die französische Datenschutzbehörde (CNIL) eine ähnliche Entscheidung.[26]
Offener Brief an die Europäischen Datenschutzbehörden (2020)
Um die geltenden Datenschutzgesetze durchzusetzen, übt noyb auch Druck auf die jeweiligen Aufsichtsbehörden aus. In einem offenen Brief [18] beschuldigte noyb die irische Datenschutzkommission, zu langsam zu handeln und zehn Treffen mit Facebook vor dem Inkrafttreten der Datenschutz-Grundverordnung abgehalten zu haben.[27]
Strafe für Grindr wegen illegaler Weitergabe von Nutzer:innendaten (2021)
Gemeinsam mit dem norwegischen Verbraucherrat reichte noyb im Januar 2020 drei strategische Beschwerden gegen die Dating-App Grindr und mehrere Adtech-Unternehmen wegen der illegalen Weitergabe von Nutzer:innendaten ein. Bei den geteilten Daten handelte es sich um GPS-Standort, IP-Adresse, Werbe-ID, Alter, Geschlecht und die Tatsache, dass die betreffenden Nutzer:innen bei Grindr war. Durch die geteilten Daten konnten die Nutzer:innen identifiziert werden, und die Empfänger:innen die Daten möglicherweise weitergeben.[28] Diese Beschwerden stützen sich auf den Bericht "Out of Control" des norwegischen Verbraucherrats.[29]
Ein Jahr nach Einreichung der Beschwerde gab die norwegische Datenschutzbehörde der Beschwerde gegen Grindr statt und bestätigte, dass Grindr keine gültige Zustimmung der Nutzer:innen im Voraus erhalten hatte. Die Behörde verhängte eine Geldstrafe von 100 Mio. NOK (9,63 Mio. €) gegen Grindr,[30] die in der endgültigen Entscheidung auf 65 Mio. NOK (6,5 Mio. €) herabgesetzt wurde, da die tatsächlichen Einnahmen von Grindr niedriger waren als zuvor angenommen und das Unternehmen Maßnahmen zur Behebung von Mängeln in seiner früheren Consent Management Platform (engl. Plattform zur Verwaltung von Einwilligungen) ergriffen hatte.[31]
Beschwerden gegen „Dark Pattern“ bei Cookie-Banner (2021)
Am 10. August 2021 reichte noyb 422 Beschwerden gegen Unternehmen ein, die irreführende Cookie-Banner auf ihrer Website verwenden. Diese Beschwerdewelle war das Ergebnis einer "Legal Tech"-Initiative der Organisation, in deren Verlauf Tausende von Webseiten in Europa mit einem eigens dafür entwickelten Tool automatisch auf Verstöße überprüft worden waren.[32][33] Als Reaktion auf diese Beschwerden wurde eine EDSA-Taskforce eingerichtet, um sich über die rechtliche Analyse und mögliche Verstöße auszutauschen und die Kommunikation zu straffen.[34]
Noyb hat gemeinsam mit dem Sustainable Computing Lab der Wirtschaftsuniversität Wien Advanced Data Protection Control entwickelt, um eine Alternative zu Cookie-Bannern aufzuzeigen. Das ADPC-Browsersignal stellt eine praktikable Alternative zu Cookie-Bannern dar, da es einen automatisierten Mechanismus für die Kommunikation der Datenschutzentscheidungen der Benutzer:innen und der Antworten der Datenverantwortlichen bietet.[35][36]
PUR-Abos
Im August 2021 legte NOYB eine Beschwerde gegen die PUR-Abos auf deutschen Websites ein. Die Beschwerde betrifft die großen Medienhäuser mit Cookie-Paywalls: SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at und t-online.de.[37]
Der Nutzer muss dabei entweder der Datenweitergabe an hunderte Tracking-Firmen zustimmen, was dem Verlag pro Monat und Besucher wenige Cent einbringt, oder ein PUR-Abo für 24 bis 80 € pro Jahr abschließen.[38] Die Zahlung des Hundertfachen des Marktpreises, um seine Daten zu behalten, könne nicht als "freiwillig" angesehen werden.[37]
CRIF-Bürgel
NOYB fand heraus, dass der Adressverlag AZ Direct wahrscheinlich millionenfach Datensätze an die Kreditauskunftei CRIF-Bürgel weitergegeben hat und hat dagegen Beschwerde eingereicht.[39]
Sonstiges
NOYB hat auch ein kollaboratives Wiki über die DSGVO gestartet, genannt GDPRhub.eu. Auf der Webseite werden englische Zusammenfassungen von DSGVO-Entscheidungen von Datenschutzbehörden oder Gerichten in ganz Europa gesammelt.[40]
Einzelnachweise
- Max Schrems gründete in Wien Datenschutz-NGO NOYB. In: derStandard.at. 28. November 2017, abgerufen am 23. Januar 2019.
- Austrian activist launches consumers' digital rights group. 28. November 2017, abgerufen am 24. Februar 2022 (englisch).
- Derek Scally Berlin: Time to tell tech firms that private data is ‘none of your business’ – Max Schrems. Abgerufen am 24. Februar 2022 (englisch).
- Rebecca Hill: Max Schrems launches privacy NGO, wins €60k within first 24 hours. Abgerufen am 24. Februar 2022 (englisch).
- L_2016119EN.01000101.xml. Abgerufen am 24. Februar 2022.
- Moniteur Belge - Belgisch Staatsblad. Abgerufen am 24. Februar 2022.
- It’s 'None of Your Business': The Privacy Nonprofit Founded by Lawyer Max Schrems Is Gearing Up. Abgerufen am 24. Februar 2022 (amerikanisches Englisch).
- GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook. NOYB.eu. 25. Mai 2018. Archiviert vom Original am 25. Mai 2018. Abgerufen am 26. Mai 2018.
- Facebook and Google hit with $8.8 billion in lawsuits on day one of GDPR. In: The Verge. Abgerufen am 26. Mai 2018.
- Max Schrems files first cases under GDPR against Facebook and Google (en-US). In: The Irish Times. Abgerufen am 26. Mai 2018.
- Facebook, Google face first GDPR complaints over 'forced consent'. In: TechCrunch. Archiviert vom Original am 26. Mai 2018. Abgerufen am 26. Mai 2018.
- David Meyer: Google, Facebook hit with serious GDPR complaints: Others will be soon (en), ZDNet. Abgerufen am 26. Mai 2018.
- The CNIL's restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC | CNIL. In: www.cnil.fr. Abgerufen am 8. Juni 2020.
- SPANISH COMPLAINT UNDER ARTICLE 22(2) LEY 34/2002. In: noyb.eu.
- GERMAN COMPLAINT. In: noyb.eu.
- Apple tracks iPhone users without consent, claims activist Max Schrems. In: ft.com, 16. November 2020.
- noyb files complaints against Apple's tracking code "IDFA". In: noyb.eu.
- NOYB Annual Report 2020. In: NOYB. 24. Juni 2021. Abgerufen am 1. Februar 2022.
- JUDGMENT OF THE COURT (Grand Chamber). In: CURIA. 16. Juli 2020. Abgerufen am 1. Februar 2022.
- CJEU Statement - First Statement. In: NOYB. 24. Juni 2020.
- 101 Complaints on EU-US Transfers filed. In: noyb. 17. August 2020. Abgerufen am 1. Februar 2022.
- Max Schrems on the EU court ruling that could cut Facebook in two. In: TechCrunch, 26. August 2020. Abgerufen am 1. Februar 2020.
- European Data Protection Board - Thirty-seventh Plenary session. In: noyb. 4. September 2020. Abgerufen am 1. Februar 2022.
- Partial Decision of the Austrian DSB. In: noyb. 13. Januar 2022. Abgerufen am 1. Februar 2022.
- Usage statistics of traffic analysis tools for websites. In: W3Techs. 27. Februar 2019. Abgerufen am 1. Februar 2022.
- Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply | CNIL. Abgerufen am 24. Februar 2022.
- NOYB Annual Report 2020. In: NOYB. 24. Juni 2021. Archiviert vom Original am 28. Dezember 2019. Abgerufen am 1. Februar 2022.
- Three GDPR Complaints filed against Grindr, Twitter and the AdTech companies Smaato, OpenX, AdColony and AT&T’s AppNexus. In: noyb. 14. Januar 2020. Abgerufen am 1. Februar 2022.
- Report: Out of control. In: Forbrukerrådet . 14. Januar 2020. Abgerufen am 1. Februar 2022.
- The NO DPA imposes fine against Grindr LLC. Abgerufen am 24. Februar 2022 (englisch).
- Norwegian DPA imposes fine against Grindr LLC. In: European Data Protection Board. 13. Dezember 2021. Abgerufen am 1. Februar 2022.
- noyb files 422 formal GDPR complaints on nerve-wrecking "Cookie Banners". In: noyb. 10. August 2021. Abgerufen am 1. Februar 2022.
- noyb Takes Aim at "Cookie Banner Terror" While CNIL Enforces Cookie Guidelines. In: JD SUPRA. 2. Juli 2021. Abgerufen am 1. Februar 2022.
- EDPB establishes cookie banner taskforce. In: EDPB. 27. September 2021. Abgerufen am 1. Februar 2022.
- Advanced Data Protection Control (ADPC). In: ADPC. Abgerufen am 1. Februar 2022.
- Advanced Data Protection Control (ADPC). In: Vienna University of Economics and Business. 13. September 2021. Abgerufen am 1. Februar 2022.
- Leser:innen sollen eigene Daten zum Wucherpreis „zurückkaufen“. In: NOYB. 13. August 2021 .
- Lukas Feiler, Max Schrems: Cookies oder Zahlen: Für und Wider zum Datenschutz-Spruch. In: derStandard.at. 10. Dezember 2018 (österreichisches Deutsch).
- Eva-Maria Weiß: Adressverlag gibt Daten an Auskunftei CRIF weiter – NOYB klagt. In: heise online. 18. März 2021 .
- GDPRhub. Abgerufen am 24. Februar 2022.