Alle Cookies ablehnenDanke für das absolute Minimum, Google

Jahrelang hat uns Google mit unnötig komplizierten Cookie-Bannern gequält. Ohne die Drohung einer saftigen Millionenstrafe wäre das noch ewig so weitergegangen. Ein Kommentar.

American Cookies symbolisieren Cookies im Browser; der neue "Reject All"-Button ist sichtbar
Das Mindeste (Symbolbild) – Cookies: Pixabay/ Pape_PhotoArt , Logo und Button: Google; Montage: netzpolitik.org

Ironie in Überschriften funktioniert nicht, das habe ich mal gelernt. Deshalb möchte ich am Anfang einmal kurz klarstellen, dass ich das „Danke“ ironisch meine. Ich bin Google nicht dankbar dafür, dass es bald einen direkt sichtbaren „Reject all“-Button zum einfachen Ablehnen aller Cookies geben soll. Dieser Button ist das Mindeste.

Wer bisher alle verzichtbaren Cookies ablehnen wollte, musste etwa bei Google oder YouTube folgenden Klickweg zurücklegen: Anpassen > Aus > Aus > Aus > Bestätigen. Fünf Klicks. Ich lege hiermit offen: Das habe ich jetzt erst für diesen Artikel ausprobiert. Zuvor habe ich das kein einziges Mal gemacht. Nie. Kein Mensch hat die Nerven dafür, und Google weiß das genau.

Kein Mensch außer diesem einen Kollegen bei netzpolitik.org, der mich nochmal extra darauf hingewiesen hat, dass er teils mehrmals täglich durch die Cookie-Banner-Hölle geht.

Der zwischenmenschlich absolut unzumutbare Klickweg zum Ablehnen der Cookies ist jedenfalls ein ausgestreckter Mittelfinger an Abermillionen Google-Nutzer:innen in Europa. Botschaft: Ihr wollt mehr Privatsphäre? Dann viel Spaß beim Klickweg durch unseren virtuellen Irrgarten, der euch immer wieder aufs Neue innerlich zermürbt, ihr Luschen.

Aber jetzt kommt der „Reject All“-Button. In Frankreich soll es ihn schon geben. Bald soll er in ganz Europa auftauchen.

Neues Cookie-Banner mit Reject-All-Button
Da ist er. - Screenshot: Google

Und zwar genau dort, wo der Blick zuerst hinfällt. Damit die meisten Leute ganz intuitiv immer alle Cookies ablehnen. Google ist da einfach nochmal in sich gegangen und hat erkannt, dass Datensammelei per Cookies ein unverhältnismäßiger Eingriff in die Privatsphäre ist, und dass Überwachungskapitalismus der Gesellschaft mehr schadet als nutzt. – Na, habt ihr das kurz geglaubt? Sorry, das war schon wieder Ironie. Ich bringe damit meine über viele Jahre gereifte Frustration zum Ausdruck. Das nächste Mal markiere ich Ironie mit dem Clowns-Emoji 🤡, damit man sie sofort bemerkt.

Nein, leider ist der neue Reject-All-Button noch immer nicht dort, wo der Blick zuerst hinfällt. Nach wie vor bewegt sich die Maus zuerst intuitiv auf den „Accept All“-Button ganz unten rechts. Solche kleinen Designentscheidungen passieren mit voller Absicht und dienen dazu, die Klicks von Millionen Menschen zu lenken. Große Unternehmen loten in A-B-Testings aus, wie die Nutzer:innen mit ihren Websites interagieren.

Sackdreist durchgemogelt

Immerhin, der neue „Reject All“-Button befindet sich direkt links daneben. Sichtbarer denn je, so viel muss man eingestehen, und ein Klick genügt. Aber Google bewegt sich damit keinen Millimeter weiter, als es unbedingt muss. In der Pressemitteilung zum neuen Button heißt es zur Begründung, „Regulierungsbehörden“ hätten ihre „Leitlinien für die Einhaltung der Vorschriften“ aktualisiert.

Immer diese kleinkarierten, bürokratischen Finessen. 🤡

In Wahrheit hat sich Google jahrelang sackdreist durchgemogelt und den eigentlichen Sinn von Cookie-Bannern mit manipulativen Klickwegen untergraben. Das hat nichts mit unklar formulierten Leitlinien zu tun. Wer das Ablehnen von Cookies hinter fünf Klicks versteckt, handelt gezielt, mutwillig und gegen die Interessen von Menschen, die aus gutem Recht nicht von Cookies getrackt werden möchten.

Bisheriger Klickweg um alle Cookies abzulehnen
Ich habe aus dem bisherigen Klickweg zum Ablehnen aller Cookies eine Collage gebaut und gebe ihr den Titel „OB DAS EIN WITZ SEIN SOLL HAB ICH GEFRAGT“. - Screenshot: Google. Collage: netzpolitik.org

Was Google wohl wirklich Dampf gemacht hat: Im Januar hat die französische Datenschutzbehörde CNIL eine dreistellige Millionenstrafe verhängt – 150 Millionen Euro – weil Google das Annehmen aller Cookies viel einfacher macht als das Ablehnen. Drei Monate Zeit hat die Behörde Google gegeben, um etwas zu ändern. Für jeden Tag Verzug hätte der Konzern 100.000 Euro Strafe zahlen müssen. Und siehe da, drei Monate später ist der Reject-All-Button da.

Tatsächlich erwähnt Google die französische CNIL ausdrücklich in der eigenen Pressemitteilung, schreibt allerdings von „spezifischen Anweisungen“ der Behörde. Ich vermute mal, die „spezifische Anweisung“ aus Frankreich bestand vor allem aus drei Worten: 150 Millionen Euro. Schade, dass es solche Strafen offenbar braucht, bis sich etwas bewegt. Ob ich glaube, dass nun auch alle anderen Websites dem Beispiel von Google freiwillig folgen und ihre hinterhältigen Cookie-Banner abschaffen? Nun: 🤡.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

21 Ergänzungen

  1. Bedeutet der „reject all“-Klick, dass man auch dem bestimmt behaupteten „legitimate interest“ von google widerspricht? Die Möglichkeit habe ich bis jetzt bei den Untermenüs auf google-Seiten noch gar nicht gefunden.

    1. Aus dem Screenshot des neuen Cookie-Banners aus der Google-Pressemitteilung geht hervor, dass trotz Reject All noch Cookies genutzt werden für u.a. „protect against spam, fraud and abuse“ und „measure audience engagement and site statistics“.

      1. „protect against spam, fraud and abuse“ – also strategische Datensammlung für die Ewigkeit.

        „measure audience engagement and site statistics“ – wie kann das jetzt mit einem „reject-all button“ konform gehen?

        Das sollte alles immer noch illegal sein. Man muss ja auch bedenken, dass das eine Übervorteilung aller anderen Teilnehmer ist, die sich an die DSGVO halten.

      2. Willst du daraus etwa auch einen Strick drehen? „Legitimes Interesse“ mag übermäßig beansprucht werden, allerdings gibt es durchaus einen legitimen Kern. Die genannten Punkte „protect against spam, fraud and abuse“ und „measure audience engagement and site statistics“ würde ich durchaus dazuzählen. Es ist in der Welt AFK auch nicht möglich, mit Tarnumhang herumzuziehen.

        1. Hallo Bert o/ Nee, Daniel hat nur gefragt, welche Cookies nicht vom „Reject All“-Button betroffen sind. Aber zu den Tarnumhängen… wenn sie sehr gut funktionieren, wie sollten wir je von ihnen erfahren? 🤡

        2. Kein AFK Tarnumhang?
          Naja fast ein bischen. Öfffentliche Verkehrsmittel, Sonnenbrille. Man kann nicht alles machen, aber im Grunde geht da schon was.

          Im Netz so nicht ohne weiteres, vor allem wenn doch noch Verhaltensdaten „aus Sicherheitsgründen“ ausgewertet werden. Man kann dort gar nicht so leicht in einer Menge von Menschen untergehen, da bei Aufzeichnung einfach alles vorliegt, und letztlich andere (Kriterien zu irgendeinem Zeitpunkt) entscheiden, wann wer oder was interessant genug ist, um hinzugucken. Menschenmengen „AFK“ hochaufgelöst aufzunehmen, ist noch mal ein anderer Schnack, wohingegen digital gesammelte Daten, bei unklarer bzw. auch länderspezifisch einfach verschiedener Gesetzeslage, vielleicht irgendwann irgendwo plötzlich mal kaufbar werden, oder im um Kunden aus genehmen und internationalen Wirtschaftspartnern erweiterten „militärisch-industriellen“ Techsumpf versickern. Die Frage nach Legetimität und nach Warnschildern ist eigentlich durchaus angesagt.

          Und diese „Sicherheitscookies“ sind nun … permanent? Abgesehen von der Legetimität, die technisch schon zu diskutieren wäre (etwa ein spamspezifisches Verhaltensprofil, also was geguckt und gekauft wird etc., so dass Spammer am Verhalten aller anderen Nutzer erkannt werden?), wäre das einfach mal eine strategische Datensammlung.

          In Echt wird Videoüberwachung von Privat auch mit Schildern angezeigt. Es wäre sicherlich angebracht im „Cookiedialog“ eben doch transparent die gesammelten Daten, deren Verwendung, Speicherorte und Speicherdauer direkt aufzuzeigen. Dabei sind Schaltflächen und Kategorien gesetzlich vorgegeben. Aber das erfordert einen kompetenten und auf das Wohl der Gesellschaft ausgerichteten Gesetzgebungsprozess, der…

          Im Allgemeinen sollte davon auszugehen sein, dass es gar keine legetimen Interessen gibt, wenn nicht technisch geklärt ist was wie wofür erhoben, gespeichert, verarbeitet wird, und was der wissenschaftliche Stand dazu ist. Der Prozess muss zunächst komplett offengelegt sein, da von legalem Verhalten gar nicht mehr ausgegangen werden kann, als würden sich die bisher freundlichst drauf scheißenden Techfuzzies plötzlich an Datenschutzgesetze halten. Wenn die sich offiziell dran halten, kann man schon fast davon ausgehen, dass sämtliche Schutzziele verfehlt worden sind.

    2. „Berechtigte Interessen“ sind beim Betrieb einzig und allein die technischen Cookies, wie sie z.B. für das Zwischenspeichern von Warenkörben nötig sind. Alles Andere ist für den Betrieb nicht nötig und auch nicht berechtigt. Schon gar nicht cookiebasierte (oder sonstwie) Datensammelei für die Werbeschaltung. Wenn sie mit ihrer Website Geld verdienen wollen, sollen sie vom Nutzer Geld dafür nehmen. Punkt. Oder aber eben Werbung ohne Tracking schalten. Funktioniert in Zeitung, Funk und Fernsehen seit Jahrzehnten. Die Werbeindustrie (und die Plattformbetreiber) jammern nur immer herum, um es in die Köpfe der Menschen einzuhämmern, dass es ohne Datensammelei nicht möglich sei, „das Internet“ zu betreiben. Und uninformierte Zeitgenossen (oder Fanboys) glauben das auch noch. Genauso wie die Mär, dass man urheberrechtliche Verstöße z.B. bei YouTube nicht verhindern könne und die Urheber es zu akzepztieren hätten, weil man nicht genug Personal für die Prüfung hätte. Und deshalb soll man das durchgehen lassen? Macht YouTube kostenpflichtig, und schon sind die Mittel dafür da. Ansonsten: zumachen.

  2. Als Organisation könnt ihr doch einfach man 30 Seiten aufrufen und nicht nur Google.

    „ unzumutbare Klickweg zum Ablehnen der Cookies“ sollte das nicht eigentlich sowieso schon längst ein Ende haben?

  3. Was alles aus Sicht der Anbieter unter „Berechtigtes Interesse“ fällt, kann wirklich nur deren Sichtweise sein. Das wird bei Google nicht besser sein als bei zig anderen Seiten. Beispiel: warum bei einer Seite mit Börseninformationen zu diesen legitimen Interessen Cookies von Spotify, Podigee, Adition, Adform und 26 weiteren Werbenetzwerken zählen sollen, erschließt sich mir nicht wirklich – aus Nutzersicht.
    Oder wieso darf ein Anbieter an mir mit Tracking ein paar Cent verdienen, solange er mir anbietet, für etliche Euros mich davon freizukaufen? Das steht doch in keinem Verhältnis. Von mangelhafter Umsetzung dieses Versprechens mal ganz abgesehen.
    Und letztlich: ein Blick hinter die Kulissen diverser Smartphone-Apps zeigt, dass es dort noch mal viel schlimmer ist, weil man schon verraten und verkauft wird, bevor überhaupt das erste Mal nachgefragt wird.

    Kurz: bis zur Einhaltung der Regeln durch große und kleine Konzerne ist es noch ein weiter, weiter Weg. Meist ist es einfach noch viel zu attraktiv, die Grenzen nicht nur auszureizen, sondern sich bewußt drüber hinwegzusetzen. Denn ein Vorgehen wie bei CNIL ist noch immer die absolute Ausnahme.

  4. Was Google (und z.B. FB) da tut ist IMHO ein schlechter Witz und nichts als Ablenkung. In der Regel ist es kein Problem für Google, Nutzer auch ohne Cookies oder nur mit den „notwendigen“ Cookies wiederzuerkennen.

    Sie brauchen tatsächlich gar keine Cookies. Wir sollen das nur glauben, damit wir ihnen für den Button und ihre Gnade danken und uns (und die Gerichte) in Sicherheit wiegen. Es ist für Google sogar ein Vorteil, wenn Cookies gar nicht mehr erlaubt sind weil das ihre Konkurenz weit mehr schädigt.

    Cookies sind nicht das Problem. Die illegale Datensammlung ist das Problem. Die hört auch mit einem Cookie-Anlehnknopf nicht auf. Sie wird nur noch unkontrollierbarer. Der Schachzug von Google ist genial und täuscht die gesamte EU und hier besonders Frankreich.

    Es gibt keine andere sinnvolle Möglichkeit als Google zu meiden oder mit deren Vorstellungen und Geschäftsmodell zu leben. Jedenfalls so lange, wie sich die Politik und die Gerichte von Google an der Nase herumführen lassen.

  5. Meiner Meinung müssen strenge Regeln her:
    1. Gewisse Prozesse zu Daten die gesammelt werden, dürfen KEIN manuellen Zugriff bekommen außer die Behörde weist nach das es um eine Straftat geht. Ansonsten KEIN manueller Zugriff auf die IP-Adressen, ID-Kennungen

    2. Geräte-IDs, Kennungs-IDs usw. müssen nach 48h gelöscht werden und dürfen nicht verkauft werden an Datenbroker wenn ich „Technische Cookies“ klicke

    3. Es dürfen keine Tracking-IDs erstellt werden wenn nur „Technische Cookies“ bzw die Tracking-ID muss nach 24h gelöscht werden und darf wedet an Datenbroker verkauft noch intern aufbewahrt werden

    4. Jeder (!) soll kostenlosen Zugriff auf die eigene erstellte Internetprofilakte bekommen, wie sie aus Sicht der Datenbroker verkauft bzw verarbeitet werden

    5. Müssen müssen die Allgemeinheit transparent darüber aufklären, wie sie Daten sammeln, welche Daten sie sammeln und dieses Paket aus all dem visualisiert darstellen das man ein Einblick bekommt wie sie mit den Daten arbeiten, mit wem sie die Daten teilen

    Und letztens Endes sollte sich eine Kommission dem Thema Internet widmet, inwiefern es überhaupt noch freies Internet gibt

  6. Lieber Autor,
    wenn mich meine literarische und rhetorische Grundbildung nicht ganz im Stich lässt, wird hier das Stilmittel des Sarkasmus genutzt und nicht die Ironie ;).
    Ansonsten, guter Artikel. Ich erwarte nicht viel von Google und Konsorten und bin trotzdem immer mal wieder unterweltigt.

  7. Wobei Youtube… nicht das schlimmste, aber sehr nicht nett.
    „Spielen sie ad hoc das 2. brandenburgische Konzert von J.S.Bach auf einer 12-saitigen Gitarre, um alle Cookies abzulehnen.“

    Manche mögen es.

    1. Im Moment ist auch Google noch genau so wie vorher.

      (X)Anpassen/Stimme zu:
      – 4x Trackinganpassungen, muss aktiv auswählen.
      – Cookies f. Einstellungen, Anaylsen und Messungen (?), „Dienstverbesserung und Werbung, und dann abschaltbare personalisierte Werbung“… Schnittmengen gerne mal nicht leer und nicht alles beschrieben.

      Wie sieht das nachher aus, oder habe ich da was übersehen?

  8. Strikt gesehen ist das allerdings nicht nur ein Cookieversprechen, da sind ja auch Sachen wie personalisierte Werbung u.ä.

    Cookies sind zwar sehr böse, aber das gesamte Tracking hätte man schon gerne gleich mit anfassen können, auch wenn es in der DSGVO der Theorie nach bereits geregelt ist.

  9. Unklar für mich:
    Auf der von Herrn Meineck zur Collage gestalteten Seite wird auch ein Google(!)-Tool zum Download angeboten hinsichtlich Google-Analytics. Also nicht ein Button, der Google-Analytics grundsätzlich ablehnt. Mir ist die Konsequenz der Installation genau dieser Google-Software recht unklar.

    Allerdings bin ich mir recht sicher, dass mein PC so spezifisch ist, dass es keiner Cookies zur Wiedererkennung bedarf.
    Aber die SparDa-„Banking“-Software TEO will unbedingt Google-Cookies und die sollen laut Telefonsupport der Bank auch nie gelöscht werden, vorzugsweise soll der Google-Browser Verwendung finden …

  10. Im Artkel hätten die Begriffe Nudging und Dark Pattern erwähnt+erklärt werden können/sollen.

    Erklärung Dark Pattern: „Ein Dark Pattern ist ein Benutzerschnittstellen-Design, das darauf ausgelegt ist, den Benutzer zu Handlungen zu verleiten, die dessen Interessen entgegenlaufen.“, siehe https://de.wikipedia.org/wiki/Dark_Pattern)

    Erklärung Nudging = Form der Beeinflussung, um den Nutzer in seiner Entscheidung/Verhalten zu manipulieren, z.B. durch optische Gestaltung einer Auswahl-Schaltfläche).

    Siehe auch:
    https://netzpolitik.org/?s=Nudging
    https://netzpolitik.org/?s=Dark+Patterns

  11. Also gut, Youtube hat einen „alles Ablehnen“ Button.

    Die Werbefrequenz ist jetzt so extrem, dass eine Benutzung außerhalb von Livestreams mitunter keinen Sinn mehr ergibt. Kurz ein paar Minuten vorspulen? Werbung! 3 Sekunden Video, Werbung!

    Verbietet’s doch besser gleich komplett.

  12. Im Grunde sind Dark Patterns auch damit noch nicht vorbei (youtube).

    Öffnet man mehrere Links vor Bearbeiten des Cookiedialogs, landet jede Seite auf „consent. …“. Das ist zwar leicht zu umgehen, indem man erst mal eine Seite öffnet, aber es stellt schon eine Form des Nudgings dar, wenn man auch mit Aktualisieren der Seiten, doch auf jeder einzelnen noch mal zustimmen muß. Denn es ist eine Vorschaltseite und kein Banner.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.