Vandaag las ik met stijgende droefenis een verhaal van noyb (steun die club) over cookie banners: noyb success: ORF.at must correct misleading cookie banner:

The Austrian Broadcasting Corporation (ORF) must amend its cookie banner on ORF.at to bring it into line with the GDPR. This has now been decided by the Federal Administrative Court (BVwG), thereby upholding a decision made by the Austrian Data Protection Authority in 2024. Specifically, the ORF must ensure that the buttons to ‘accept’ or ‘reject’ tracking cookies are designed equally so that visitors are not tricked into agreeing. Currently, the ‘Accept’ option is misleadingly highlighted in colour, which can lead to unintended consent.

Dit is natuurlijk een wijdverbreid en tranentrekkend fenomeen; alles wordt door site-eigenaren in het werk gesteld om de data grab van gebruikersdata te maximeren door knoppen zodanig te tonen dat gebruikers gedachtenloos op de Accepteer knop klikken.
De oorspronkelijke klacht werd door noyb in augustus 2021 bij de Oostenrijkse DPA gemeld en leidde in oktober 2024 tot een uitspraak:

In its decision of October 2024, the Austrian Data Protection Authority agreed with the substance of noyb’s complaint and ordered the ORF to place “Reject” and “Accept” buttons of equal prominence on its cookie banner.

Drie jaar… Het duurt (in Oostenrijk) meer dan drie jaar om van een klacht over een klip-en-klare overtreding van de privacy-wetgeving tot een uitspraak te komen. En daarna is er blijkbaar ook nog eens een beslissing van de bestuursrechter nodig, waardoor er nog eens anderhalf jaar langer moet worden gewacht. Viereneenhalf jaar, aka een eeuwigheid, en in de tussentijd hebben ontelbare bezoekers van de ORF.at site vermijdbaar op de Accepteer knop geklikt…

In het licht van de onvoorstelbaar grote, en nog altijd groeiende, data grab lijkt het me zaak dat privacy-overtredingen via een lik-op-stuk beleid kunnen worden berecht.