NOYB

NOYB – Europäisches Zentrum für digitale Rechte (eigene Schreibweise auch noyb; von englisch none of your business ‚geht dich nichts an‘) ist eine Nichtregierungsorganisation mit Sitz in Wien, die sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union verschrieben hat. Gegründet wurde sie 2017 unter anderem von Max Schrems.^[1] Sie finanziert sich über Spenden und öffentliche und private Fördermittel und zielt darauf ab, strategische Gerichtsverfahren und Medieninitiativen zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO), der vorgeschlagenen ePrivacy-Verordnung und des Datenschutzes im Allgemeinen zu führen.^[2][3] Die Organisation wurde nach einem Finanzierungszeitraum gegründet, in dem sie jährliche Spenden in Höhe von 250.000 Euro von Fördermitgliedern erhalten hat.^[4] Derzeit wird noyb von mehr als 5.100 Fördermitgliedern finanziert.^[5]

NOYB – Europäisches Zentrum für digitale Rechte
Rechtsform	Verein (ZVR: 1354838270)
Gründung	Juni 2017
Gründer	Max Schrems Christof Tschohl Petra Leupold
Sitz	Wien
Motto	My privacy is none of your business
Aktionsraum	Europäische Union
Umsatz	649.284 Euro (2020)
Beschäftigte	ca. 15
Mitglieder	ca. 5.100
Website	noyb.eu

Während viele Datenschutzorganisationen ihr Augenmerk auf öffentliche Überwachung richten, konzentriert sich noyb auf Datenschutzverletzungen von privaten Unternehmen. Gemäß Artikel 80 der DSGVO können gemeinnützige Organisationen Maßnahmen ergreifen oder betroffene Personen vertreten.^[6] noyb ist als „qualifizierte Organisation“ anerkannt, um in Belgien Sammelklagen für Verbraucher und Verbraucherinnen einzureichen.^[7] Zu diesem Zweck hat noyb außerdem, gemeinsam mit Privacy First, die Stiftung CUIC (Customers United in Court) in den Niederlanden gegründet.^[8]

Aktivitäten

Beschwerden wegen „Zwangszustimmung“ (2018)

Nur wenige Stunden nach Inkrafttreten der DSGVO am 25. Mai 2018 reichte NOYB Beschwerden gegen Facebook und dessen Tochterunternehmen WhatsApp und Instagram sowie gegen Google LLC (für Android) ein. Diese würden laut noyb gegen Artikel 7 Absatz 4 verstoßen, indem sie versuchten, ihrer Dienste vollständig für solche Nutzer zu blockieren, die alle Einwilligungen in die Datenverarbeitung verweigern. Die geforderte Einwilligung umfasse dabei auch Daten, die zur Verwendung des jeweiligen Dienstes als unnötig erachtet werden.^{[9][10][11][12][13]} Aufgrund der Beschwerde verhängte die französische Datenschutzbehörde CNIL eine Geldstrafe in Höhe von 50 Mio. EUR gegen Google LLC.^[14] Entscheidungen zu den weiteren Fällen stehen noch aus.

Initiativen gegen Mobiles Tracking

Mitte November 2020 gab noyb bekannt, dass sowohl bei der deutschen als auch bei der spanischen Datenschutzbehörde Beschwerden eingereicht wurden,^[15][16][17] da die einzigartige Zahlen- und Zeichenfolge von Apples „IDFA“ (Apples Identifikator für Werbetreibende) es Apple und Drittanbietern ermöglicht, Benutzer zu identifizieren und ihr Computer- und Handyverhalten über Gerätegrenzen hinweg in Beziehung zu setzen.^[18] Da die Beschwerde sich nicht auf die DSGVO, sondern auf Artikel 5 Absatz 3 der ePrivacy-Richtlinie stützt, könnten laut noyb die spanischen und deutschen Behörden Apple direkt mit einer Geldstrafe belegen.

Am 7. April 2021 reichte noyb in Frankreich eine Beschwerde gegen das Tracking durch Google auf Android Handys ein.

Schrems II – EUGH Urteil zu Privacy Shield (2020)

Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das Datentransfer-Übereinkommen Privacy Shield für ungültig und entschied, dass Facebook und andere Unternehmen, die unter die US-Überwachungsgesetze fallen, sich nicht auf „Standardvertragsklauseln“ (SCCs) berufen können, da die US-Überwachungsgesetze im Widerspruch zu den EU-Grundrechten stehen. Dieses Urteil beruht auf einem langjährigen Fall von Max Schrems und noyb, indem es um den fehlenden Schutz von Daten ausländischer Nutzer von US-Unternehmen vor US-Geheimdiensten geschützt. Der EuGH stellte fest, dass dies gegen den „Wesensgehalt“ bestimmter EU-Grundrechte verstößt.^[19]

Der Gerichtshof hat auch klargestellt, dass die EU-Datenschutzbehörden verpflichtet sind, Maßnahmen zu ergreifen. Der Gerichtshof hob hervor, dass eine Datenschutzbehörde „ihre Verantwortung dafür, dass die DSGVO vollständig durchgesetzt wird, mit der gebotenen Sorgfalt wahrnehmen muss“.^[20]

Trotz der durch das Urteil vorgenommenen Ungültigkeitserklärungen können absolut „notwendige“ Datenströme weiterhin gemäß Artikel 49 der DSGVO fließen. Jede Situation, in der Nutzer wünschen, dass ihre Daten ins Ausland fließen, ist weiterhin legal, da dies auf der informierten Zustimmung der Nutzer beruhen kann, die jederzeit widerrufen werden kann. Ebenso erlaubt das Gesetz die Weitergabe von Daten, die für die Erfüllung eines Vertrags „erforderlich“ sind.^[21]

Nach dem Schrems-II-Urteil reichte noyb 101 Beschwerden gegen EU-/EWR-Unternehmen ein, die Google Analytics oder Facebook Connect nutzen und damit weiterhin Daten in die USA übermitteln, obwohl vom EuGH festgestellt wurde (Link zu Privacy Shield), dass die US-Überwachungsgesetze EU-Grundrechte im Kern verletzen. Die Organisation wollte damit auf die mangelnde Durchsetzung von Schrems II hinweisen.^[22][23] Diese Musterbeschwerden führten zur Einrichtung einer speziellen Taskforce durch den Europäischen Datenschutzausschuss (EDSA), die die Beschwerden koordinieren und Empfehlungen für Datenverantwortliche und -verarbeiter ausarbeiten soll.^[24]

Am 12. Januar 2022 traf die österreichische Datenschutzbehörde (DSB) eine Teilentscheidung zugunsten von noyb, in der sie feststellte, dass die anhaltende Nutzung von Google Analytics gegen die DSGVO verstößt,^[25] was die meisten Websites in der Europäischen Union betrifft, da Google Analytics das am weitesten verbreitete Statistikprogramm für Webseiten ist.^[26] Am 10. Februar 2022 veröffentlichte die französische Datenschutzbehörde (CNIL) eine ähnliche Entscheidung.^[27]

Offener Brief an die Europäischen Datenschutzbehörden (2020)

Um die geltenden Datenschutzgesetze durchzusetzen, übt noyb auch Druck auf die jeweiligen Aufsichtsbehörden aus. In einem offenen Brief beschuldigte noyb die irische Datenschutzkommission, zu langsam zu handeln und zehn Treffen mit Facebook vor dem Inkrafttreten der Datenschutz-Grundverordnung abgehalten zu haben.^[28]

Strafe für Grindr wegen illegaler Weitergabe von Nutzerdaten (2021)

Gemeinsam mit dem norwegischen Verbraucherrat reichte noyb im Januar 2020 drei strategische Beschwerden gegen die Dating-App Grindr und mehrere Adtech-Unternehmen wegen der illegalen Weitergabe von Nutzerdaten ein. Bei den geteilten Daten handelte es sich um GPS-Standort, IP-Adresse, Werbe-ID, Alter, Geschlecht und die Tatsache, dass die betreffenden Nutzer bei Grindr waren. Durch die geteilten Daten konnten die Nutzer identifiziert werden, und die Empfänger die Daten möglicherweise weitergeben.^[29] Diese Beschwerden stützen sich auf den Bericht Out of Control des norwegischen Verbraucherrats.^[30]

Ein Jahr nach Einreichung der Beschwerde gab die norwegische Datenschutzbehörde der Beschwerde gegen Grindr statt und bestätigte, dass Grindr im Voraus keine gültige Zustimmung der Nutzer erhalten hatte. Die Behörde verhängte eine Geldstrafe von 100 Mio. NOK (9,63 Mio. €) gegen Grindr,^[31] die in der endgültigen Entscheidung auf 65 Mio. NOK (6,5 Mio. €) herabgesetzt wurde, da die tatsächlichen Einnahmen von Grindr niedriger waren als zuvor angenommen und das Unternehmen Maßnahmen zur Behebung von Mängeln in seiner früheren Consent Management Platform (engl. ‚Plattform zur Verwaltung von Einwilligungen‘) ergriffen hatte.^[32]

Beschwerden gegen „Dark Pattern“ bei Cookie-Banner (2021)

Siehe auch: Dark Pattern

Am 10. August 2021 reichte noyb 422 Beschwerden gegen Unternehmen ein, die irreführende Cookie-Banner auf ihrer Website verwenden. Diese Beschwerdewelle war das Ergebnis einer „Legal Tech“-Initiative der Organisation, in deren Verlauf Tausende von Webseiten in Europa mit einem eigens dafür entwickelten Tool automatisch auf Verstöße überprüft worden waren.^[33][34] Als Reaktion auf diese Beschwerden wurde eine EDSA-Taskforce eingerichtet, um sich über die rechtliche Analyse und mögliche Verstöße auszutauschen und die Kommunikation zu straffen.^[35]

Noyb hat gemeinsam mit dem Sustainable Computing Lab der Wirtschaftsuniversität Wien Advanced Data Protection Control (ADPC) entwickelt, um eine Alternative zu Cookie-Bannern aufzuzeigen. Das ADPC-Browsersignal stellt eine praktikable Alternative zu Cookie-Bannern dar, da es einen automatisierten Mechanismus für die Kommunikation der Datenschutzentscheidungen der Benutzer mit den Antworten der Datenverantwortlichen bietet.^[36][37]

PUR-Abos

Im August 2021 legte NOYB eine Beschwerde gegen die PUR-Abos (gegen Bezahlung Inhalte werbefrei lesen und Tracking vermeiden) auf deutschen Websites ein. Die Beschwerde betrifft die großen Medienhäuser mit Cookie-Paywalls: SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at und t-online.de.^[38]

Der Nutzer muss dabei entweder der Datenweitergabe an hunderte Tracking-Firmen zustimmen, was dem Verlag pro Monat und Besucher wenige Cent einbringt, oder ein PUR-Abo für 24 bis 80 € pro Jahr abschließen.^[39] Die Zahlung des Hundertfachen des Marktpreises, um seine Daten zu behalten, könne nicht als „freiwillig“ angesehen werden.^[38]

CRIF-Bürgel

NOYB fand heraus, dass der Adressverlag AZ Direct wahrscheinlich millionenfach Datensätze an die Kreditauskunftei CRIF-Bürgel weitergegeben hat und hat dagegen Beschwerde eingereicht.^[40]

Beschwerde gegen die EU-Kommission

Ende 2023 legte NOYB Beschwerde^[41] gegen die EU-Kommission beim EU-Datenschutzbeauftragten (EDPS) ein.^[42][43][44] Die von der EU in der Werbung für die Chatkontrolle-Verordnung präsentierten Daten seien umstritten.^[42] Das Posting mit der niederländischen Werbung sei nun mit einem Hinweis versehen, dass es sich um irreführende Informationen (Desinformation) handle.^[42] Die EU-Kommission scheine versucht zu haben, die öffentliche Meinung in Staaten wie den Niederlanden zu beeinflussen, um die Position der nationalen Regierungen im EU-Rat zu untergraben.^[44] Bei der Zielgruppenauswahl der Werbung seien politische und religiöse Filter angewendet worden.^[43] EU-Innenkommissarin Ylva Johansson sei laut eigener Aussage „mit den Details dieser Kampagne nicht vertraut und gleichzeitig in die Durchführung der Kampagne nicht involviert gewesen“.^[43][45]

Beschwerde gegen den ChatGPT-Anbieter OpenAI

Ende April 2024 wurde, zusammen mit einem betroffenen europäischen Bürger, eine Datenschutzbeschwerde gegen den ChatGPT-Anbieter OpenAI wegen des Verstoßes gegen die DSGVO eingereicht.^[46][47] Seit 1995 besagt das EU-Recht, dass persönliche Daten korrekt sein müssen.^[47] Die österreichische Datenschutzbehörde (DSB) wird zu einer Untersuchung der Datenverarbeitungspraktiken von OpenAI aufgefordert.^[47]

Sonstiges

NOYB hat auch ein kollaboratives Wiki über die DSGVO gestartet, genannt GDPRhub.eu. Auf der Webseite werden englische Zusammenfassungen von DSGVO-Entscheidungen von Datenschutzbehörden oder Gerichten in ganz Europa gesammelt.^[48]

Einzelnachweise

1. Max Schrems gründete in Wien Datenschutz-NGO NOYB. In: derStandard.at. 28. November 2017, abgerufen am 23. Januar 2019.
2. Austrian activist launches consumers' digital rights group. 28. November 2017, abgerufen am 24. Februar 2022 (englisch).
3. Derek Scally: Time to tell tech firms that private data is 'none of your business’ – Max Schrems. Abgerufen am 24. Februar 2022 (englisch).
4. Rebecca Hill: Max Schrems launches privacy NGO, wins €60k within first 24 hours. Abgerufen am 24. Februar 2022 (englisch).
5. noyb: Annual Report 2022. Abgerufen am 5. März 2024 (englisch).
6. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), abgerufen am 24. Februar 2022
7. Moniteur Belge – Belgisch Staatsblad. Abgerufen am 24. Februar 2022.
8. It’s 'None of Your Business': The Privacy Nonprofit Founded by Lawyer Max Schrems Is Gearing Up. Abgerufen am 24. Februar 2022 (amerikanisches Englisch).
9. GDPR: noyb.eu filed four complaints over „forced consent“ against Google, Instagram, WhatsApp and Facebook. NOYB.eu, 25. Mai 2018, abgerufen am 26. Mai 2018.
10. Facebook and Google hit with $8.8 billion in lawsuits on day one of GDPR In: The Verge. Abgerufen am 26. Mai 2018
11. Max Schrems files first cases under GDPR against Facebook and Google In: The Irish Times. Abgerufen am 26. Mai 2018 (amerikanisches Englisch).
12. Facebook, Google face first GDPR complaints over 'forced consent'. In: TechCrunch. Abgerufen am 26. Mai 2018.
13. David Meyer: Google, Facebook hit with serious GDPR complaints: Others will be soon, ZDNet. Abgerufen am 26. Mai 2018 (englisch).
14. The CNIL's restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC | CNIL. In: www.cnil.fr. Abgerufen am 8. Juni 2020.
15. SPANISH COMPLAINT UNDER ARTICLE 22(2) LEY 34/2002. In: noyb.eu. Abgerufen im 1. Januar 1
16. GERMAN COMPLAINT. In: noyb.eu. Abgerufen im 1. Januar 1
17. Apple tracks iPhone users without consent, claims activist Max Schrems In: ft.com, 16. November 2020
18. noyb files complaints against Apple's tracking code „IDFA“. In: noyb.eu. Abgerufen im 1. Januar 1
19. NOYB Annual Report 2020. In: NOYB. 24. Juni 2021, abgerufen am 1. Februar 2022.
20. JUDGMENT OF THE COURT (Grand Chamber). In: CURIA. 16. Juli 2020, abgerufen am 1. Februar 2022.
21. CJEU Statement – First Statement. In: NOYB. 24. Juni 2020; abgerufen im 1. Januar 1.
22. 101 Complaints on EU-US Transfers filed. In: noyb. 17. August 2020, abgerufen am 1. Februar 2022.
23. Max Schrems on the EU court ruling that could cut Facebook in two In: TechCrunch, 26. August 2020. Abgerufen am 1. Februar 2020
24. European Data Protection Board – Thirty-seventh Plenary session. In: noyb. 4. September 2020, abgerufen am 1. Februar 2022.
25. Partial Decision of the Austrian DSB. In: noyb. 13. Januar 2022, abgerufen am 1. Februar 2022.
26. Usage statistics of traffic analysis tools for websites. In: W3Techs. 27. Februar 2019, abgerufen am 1. Februar 2022.
27. Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply. CNIL, abgerufen am 24. Februar 2022.
28. NOYB Annual Report 2020. In: NOYB. 24. Juni 2021, abgerufen am 1. Februar 2022.
29. Three GDPR Complaints filed against Grindr, Twitter and the AdTech companies Smaato, OpenX, AdColony and AT&T’s AppNexus. In: noyb. 14. Januar 2020, abgerufen am 1. Februar 2022.
30. Report: Out of control. In: Forbrukerrådet. 14. Januar 2020, abgerufen am 1. Februar 2022.
31. The NO DPA imposes fine against Grindr LLC. Abgerufen am 24. Februar 2022 (englisch).
32. Norwegian DPA imposes fine against Grindr LLC. In: European Data Protection Board. 13. Dezember 2021, abgerufen am 1. Februar 2022.
33. noyb files 422 formal GDPR complaints on nerve-wrecking „Cookie Banners“. In: noyb. 10. August 2021, abgerufen am 1. Februar 2022.
34. noyb Takes Aim at „Cookie Banner Terror“ While CNIL Enforces Cookie Guidelines. In: JD SUPRA. 2. Juli 2021, abgerufen am 1. Februar 2022.
35. EDPB establishes cookie banner taskforce. In: EDPB. 27. September 2021, abgerufen am 1. Februar 2022.
36. Advanced Data Protection Control (ADPC). In: ADPC. Abgerufen am 1. Februar 2022.
37. Advanced Data Protection Control (ADPC). In: Vienna University of Economics and Business. 13. September 2021, abgerufen am 1. Februar 2022.
38. Leser:innen sollen eigene Daten zum Wucherpreis „zurückkaufen“. In: NOYB. 13. August 2021; abgerufen am 15. Februar 2022.
39. Lukas Feiler, Max Schrems: Cookies oder Zahlen: Für und Wider zum Datenschutz-Spruch. In: derStandard.at. 10. Dezember 2018, abgerufen am 15. Februar 2022 (österreichisches Deutsch).
40. Eva-Maria Weiß: Adressverlag gibt Daten an Auskunftei CRIF weiter – NOYB klagt. In: heise online. 18. März 2021; abgerufen am 15. Februar 2022.
41. Maschinelle Übersetzung der Beschwerde aus dem Englischen
42. ORF at/Agenturen red: Kommission wegen gezielter Onlinewerbung in der Kritik. 16. November 2023, abgerufen am 19. November 2023.
43. Markus Reuter: Chatkontrolle: Noyb reicht Beschwerde gegen Mikrotargeting von Ylva Johansson ein. 16. November 2023, abgerufen am 19. November 2023 (deutsch).
44. Gezielte Werbung für Chatkontrolle: noyb-Beschwerde gegen EU-Kommission. Abgerufen am 19. November 2023.
45. Markus Reuter: Lobbynetzwerk und Mikrotargeting: Ylva Johansson weicht Fragen im EU-Innenausschuss aus. 25. Oktober 2023, abgerufen am 19. November 2023 (deutsch).
46. Beschwerde von Datenschützern zu ChatGPT. orf.at, 29. April 2024, abgerufen am 29. April 2024.
47. ChatGPT verbreitet falsche Infos über Personen – und OpenAI kann nichts tun. Abgerufen am 29. April 2024.
48. GDPRhub. Abgerufen am 24. Februar 2022.