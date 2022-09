Man will eigentlich nur schnell ein Apfelkuchen-Rezept nachschauen und klickt auf eine Website. Doch bevor diese uns das Mengenverhältnis von Zucker, Mehl und Früchten präsentiert, wartet ein Cookie-Banner. Dabei lassen sich die Seitenbetreiber einiges einfallen, wie sie den Nutzer:innen die Zustimmung für das Setzen von Cookies und damit auch Zustimmung zum Werbetracking abjagen.

Wir haben die 100 reichweitenstärksten Websites in Deutschland systematisch untersucht. Darunter befinden sich Online-Medien, Service-Seiten und Shopping-Portale. Wir haben analysiert, wie viel Mühe Nutzer:innen investieren müssen, um sie möglichst Tracking-frei aufzurufen. Und welche Methoden die Seitenbetreiber nutzen, um unsere Zustimmung zu bekommen.

Im Ergebnis zeigt sich, dass ein Großteil der meistbesuchten Websites in Deutschland es ihre Nutzer:innen bei Cookie-Bannern schwer macht. Von der Apotheken-Umschau über das PONS-Wörtbuch bis zu Portalen wie transfermarkt.de: Um die Einwilligung der Nutzer:innen zu bekommen, dass ihre Daten gesammelt und an zahlreichen Firmen weitergegeben werden dürfen, tricksen viele Anbieter mit unauffälligen Textlinks, komplizierter Menüführung oder Signalfarben.

Zwar sind die Zeiten vorbei, in denen man händisch hunderte Cookies einzeln abwählen muss, doch nur vier der hundert meistbesuchten Websites machen das Ablehnen von Cookies genau so leicht wie das Akzeptieren. Expert:innen kritisieren seit langem, dass Design-Tricks bei Cookie-Bannern gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Die Datenschutzbehörden wissen von dem Problem, doch unsere Recherche zeigt, dass die massenhafte Manipulation an der Tagesordnung bleibt.

77 Prozent haben irreführende Buttons

Für die Auswertung haben wir bei der IVW die 100 Seiten herausgesucht, die im Juni die meisten Visits hatten. Die „Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern“ ermittelt mit Zählpixeln für viele Websites die Seitenaufrufe. Das Ranking der IVW gilt als Indikator, wie relevant eine Seite für Werbetreibende ist. Diese Seiten haben wir einzeln im August ausgewertet.

Nach unserer Untersuchung, deren Ergebnisse wir hier vollständig veröffentlichen, versuchen 77 Prozent der reichweitenstärksten Seiten in ihren Cookie-Dialogen, mit farblich hervorgehobenen Buttons die Nutzer:innen zur Zustimmung zum Tracking zu bewegen. Dabei ist der datenschutzfreundliche Button zum Beispiel weiß oder ausgegraut, während der Zustimmungs-Button in einer auffälligen Farbe ins Auge sticht oder in einem rot markierten Feld platziert ist. Nur 23 von 100 Webseiten verzichten auf diesen Trick – und lenken die Besucher:innen nicht farblich auf die Version mit mehr Tracking.

Solche Design-Tricks nennt man Dark Patterns. So heißen versteckte und manipulative Gestaltungsmuster, die Nutzer:innen zu einer bestimmten Handlung verleiten sollen. Etwa, wenn eine Shopping-Seite uns blinkend suggeriert, es wären nur noch zwei Exemplare zu diesem supersonderreduzierten Preis verfügbar. Oder wenn der Menüpunkt zum Kündigen eines Abos so gut versteckt ist, dass wir geneigt sind, nach langer Suche aufzugeben.

Die Anbieter:innen spekulieren darauf, dass wir die Option mit dem geringsten Aufwand wählen. Bei den Cookie-Bannern heißt das häufig: Die – für die Seitenbetreiber – gewünschte Option ist farblich hervorgehoben, größer und mit einem einzigen Klick erreichbar: „Alle akzeptieren“ und schnell zum Kuchenrezept statt aufwändiger Suche nach der kleinteiligen Ablehnung.

Viele Klicks zum Glück

Dabei wäre ein „Alle ablehnen“-Button direkt im ersten Cookie-Fenster die einfachste Variante, den Besucher:innen Souveränität über ihre Daten zu bieten. Bei nur 16 der 100 reichweitenstärktsten Websites lassen sich alle Cookies im ersten Fenster abwählen. Doch nur bei vier der Seiten steht die Ablehnen-Option gleichberechtigt neben der Akzeptieren-Variante.

Oft sind die Akzeptieren-Buttons auffälliger, bei manchen aber nicht einmal als direkte Auswahloption erkennbar. Der Weg zur schnellen Ablehnung verbirgt sich dann hinter einem unterstrichenen Textlink, etwa bei der Apotheken-Umschau oder auf bei Ebay Kleinanzeigen. Bei den restlichen Websites brauchen die Nutzer:innen noch mehr Geduld und Sorgfalt, um alles abzuwählen. In einigen Fällen sind es mehr als zehn Klicks – und auch dann nur, wenn man genau weiß, wo man hinklicken muss.

So etwa bei watson.de, einem reichweitenstarken Online-Medium aus dem Hause Ströer. Hier braucht man ganze zehn Klicks, um alle Cookies abzulehnen. Dafür muss man aber wissen, welche Menüs man anwählt und ausklappt. Würden Nutzer:innen im Optionsmenü direkt die Anbieter ansteuern, müssten sie 107 Mal extra klicken, um jeden Anbieter einzeln abzuwählen. Wir haben bei Watson.de gefragt, warum sie ihren Leser:innen datenschutzfreundliche Einstellungen so schwer machen – und trotz Rückfrage keine Antwort bekommen.

Inhalt von datawrapper.dwcdn.net anzeigen Hier klicken, um den Inhalt von datawrapper.dwcdn.net anzuzeigen



Inhalt von datawrapper.dwcdn.net immer anzeigen

Watson.de ist in guter Gesellschaft: 12 Klicks benötigt man beispielsweise beim Portal Sport1.de, um sich ohne Tracking zu informieren – „akzeptieren & schließen“ geht mit einem Klick. Bei der Sport-Website ist man sich keines Problems bewusst. Die genutzten Darstellungen seien weder geeignet einen Nutzer zu täuschen, noch ihn manipulativ zu veranlassen, eine bestimmte Entscheidung zu treffen.

„Das gewählte Design ermöglicht es unserer Meinung nach, dem Nutzer eine eigenständige Entscheidung zu treffen“, sagt der Pressesprecher gegenüber netzpolitik.org. Sport1 habe sich mit den „Anforderungen an einen Einwilligungsbanner intensiv befasst“ und verfolge die aktuell laufenden Entwicklungen.

Bei knapp der Hälfte der 100 meistbesuchten Websites führen zwei bis fünf Klicks zur vollständigen Abwahl der optionalen Cookies, ergibt die Untersuchung von netzpolitik.org. Dennoch wäre eine Ein-Klick-Lösung technisch ohne weiteres möglich: Das demonstrieren das Spielemedium gamesworld.de, die Börsennachrichten deraktionaer.de und die Formel-1-Seite speedweek.com, wo ein „Alle ablehnen“-Button in gleicher Farbe und Größe unter oder neben dem „Alle akzeptieren“-Feld erscheint.

Auch die linke Tageszeitung taz gehörte lange Zeit zu den Seiten, die es ihren Leser:innen unnötig schwer machten, Tracking abzuwehren. Ein farblich hervorgehobener Button lockte zu „Alle akzeptieren“, um Cookies abzulehnen, musste man sich zunächst weiterklicken. Doch kurz nach unserer Presseanfrage hat das Medium das Cookie-Banner umgestellt: „Wir sind seit einiger Zeit mit unserem Werbeplatzvermarkter im Gespräch mit dem Ziel, unser Consent Tool verbraucherfreundlicher zu gestalten“, schrieb uns der Datenschutzbeauftragte des Medienhauses. Wenig später ist dort „Alle ablehnen“ auf der ersten Seite des Cookie-Banners möglich.

Inhalt von datawrapper.dwcdn.net anzeigen Hier klicken, um den Inhalt von datawrapper.dwcdn.net anzuzeigen



Inhalt von datawrapper.dwcdn.net immer anzeigen

Der Trick mit dem „berechtigten Interesse“

Kompliziert gemacht wird die Cookie-Auswahl auch mit der Dark-Pattern-Variante „berechtigtes Interesse“. Hierbei setzen die Anbieter auf einen besonders fiesen Design-Trick: In den ohnehin schon vollkommen mit Text überladenen Bannern werden relevante Optionen versteckt. Lehnen die Nutzer:innen in einem ersten Schritt Cookies ab, für die eine Einwilligung nötig ist, werden nur bestimmte Cookies wirklich abgewählt. Diese abgewählten Cookies sind dann hinter Schiebereglern rot markiert und suggerieren damit, dass nun alles Tracking ausgeschaltet sei.

Doch hinter einem anderen Reiter im Menü des Cookie-Banners finden sich unter „Berechtigtes Interesse“ zahlreiche weitere Auswahlmöglichkeiten. Watson.de definiert zum Beispiel 107 Anbieter als „berechtigtes Interesse“. In der Datenschutzerklärung finden sich Informationen dazu, was Watson.de unter berechtigtem Interesse versteht: Etwa, Dienste bereitzustellen und zu warten. Aber auch, „um Ihnen maßgeschneiderte Inhalte anzubieten, beispielsweise, um Ihnen relevantere Suchergebnisse und personalisierte Werbung zur Verfügung zu stellen“. Das „berechtigte Interesse“ kann also sehr weit gefasst sein.

Selbst wenn Nutzer:innen erfolgreich alles abgelehnt haben, laufen sie im letzten Schritt nochmal Gefahr, ihre Klickarbeit wieder zunichte zu machen. Viele Dialoge enden mit einer Auswahlmöglichkeit zwischen „Einstellungen speichern“ und „Alle akzeptieren“, wobei letzteres oft wieder farblich hervorgehoben ist. Doch nur der unauffälligere Button „Einstellungen speichern“ führt dazu, dass die Cookies auch wirklich wie gewünscht abgelehnt werden.

In der Endlosschleife vom PUR-Abo

Eine andere Strategie verfolgen offenbar die PUR-Abo-Angebote. Die Nutzer:innen können sich entscheiden: Kostenlos weiterlesen und Tracking akzeptieren oder für Datenschutz zahlen. Die Option, ihre Zustimmung zu widerrufen gibt es dabei trotzdem. Dieser Widerruf ist jedoch damit verbunden, dass sie das Angebot nicht nutzen können und wieder beim ursprünglichen Abfrage-Dialog landen. Also entweder Cookies oder PUR-Abo.

PUR-Abo-Angebote haben aktuell 27 der 100 reichweitenstärksten Seiten, vor allem journalistische Angebote wie Spiegel, Zeit oder FAZ. Die meisten Pur-Abos kosten zwischen 2,99 Euro und 4,99 Euro im Monat. Das summiert sich schnell, wenn jemand mehrere Online-Zeitungen ohne Tracking lesen will. Zugriff auf Plus-Artikel hinter der Paywall oder andere Zusatzleistungen sind bei den meisten dieser Angebote nicht inklusive.

Die österreichische Datenschutzbehörde hat 2018 entschieden, dass das Pur-Angebot des Standard rechtmäßig ist. Die Datenschutzorganisation noyb jedoch wirft Anbietern vor, die Nutzer:innen müssten sich ihre Daten „zum Wucherpreis“ zurückkaufen. 2021 hat noyb daher Beschwerden gegen sieben große Nachrichtenseiten eingereicht.

Die Abozahlen der Pur-Angebote sind vergleichsweise gering, für die meisten Nutzer:innen ist es offenbar keine echte Alternative. Bei Zeit Online sind es bei fast 16 Millionen monatlichen Nutzern nur etwa 20.000, die ein solches Abo abgeschlossen haben, teil die Pressestelle auf Anfrage mit. Das ist etwa jede:r Tausendste Nutzer:in. Auch beim reichweitenstärkeren Spiegel, der allein täglich rund 4 Millionen Besucher:innen zählt, sind es nur 29.000 Abos. Die Springer-Medien Bild und Welt wollten gegenüber netzpolitik.org keine Abo-Zahlen nennen.

Unfreiwillig und unfair

Das umstrittene Pur-Abo ist für viele Medien also ein Weg, an Tracking-Einwilligungen zu kommen, ohne auf Design-Tricks zu setzen. Die meisten anderen beliebten Seiten im Netz dürften mit ihren Cookie-Bannern gegen die Vorgaben der Datenschutzgrundverordnung verstoßen. Allein der Trick mit den farblich hervorgehobenen Buttons wird von fast 80 Prozent der reichweitenstärksten Websites genutzt.

Dabei hatten die europäischen Datenschutzbehörden erst im Frühjahr 2022 Richtlinien zu Dark Patterns bei Sozialen Medien veröffentlicht, die deutschen Datenschützer:innen eine Orientierungshilfe (PDF) schon im vergangenen Dezember. Demzufolge verstoßen die Tricks häufig gegen die DSGVO, etwa gegen die Grundsätze von Fairness und Transparenz. Einwilligungen müssten zudem informiert und freiwillig sein.

Doch viele Dark Patterns schränkten diese Wahlfreiheit ein, erklärt die Datenschutz-NGO noyb. „Wenn für eine Einwilligung nur ein Klick notwendig ist, für das Ablehnen des Trackings aber beispielsweise drei Klicks, dann besteht keine freie Wahl und keine gültige Einwilligung“, sagt Jurist Felix Mikolasch. Gemeinsam mit dem Team um Facebook-Schreck Max Schrems hatte er 2021 mehr als 400 Beschwerden bei Aufsichtsbehörden wegen illegaler Cookie-Banner eingereicht.

Von „Pseudo-Einwilligungen“, in die Websites und andere Online-Dienste ihre Nutzer:innen hunderte Mal pro Woche hineintricksen würden, spricht deshalb der Wiener Tracking-Forscher Wolfie Christl. Dies solle als Legitimation dafür dienen, dass die Websites die Daten ihrer Nutzer:innen im Rahmen von Werbe-Auktionen an teils hunderte Firmen weitergeben.

Legitimation für Online-Werbe-Maschine

Die Zustimmung im Cookie-Banner ist das technische Signal zum Start der „Real-Time-Bidding“ genannten Online-Werbe-Maschine. Wenn die Nutzer:innen akzeptiert haben, erzeugt ein Protokoll im Hintergrund einen individuellen Identifikator für sie. Mit diesem werden die Datenprofile der Nutzer:innen verknüpft. Heraus kommt ein Bild über Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und so weiter.

Wenn eine Person im Cookie-Banner auf „Alle akzeptieren“ geklickt hat, findet in Sekundenschnelle eine automatisierte Auktion unter den Anbietern von Werbeanzeigen statt, das Real-Time Bidding. Das Profil und der Anzeigenpreis entscheiden darüber, welche Werbung die Nutzer:innen zu sehen bekommen – etwa für die Schuhe, die sie sich gestern in einem Online-Shop angeschaut haben. Oder die Kosmetik-Marke, die denkt, dass man zu ihrer Zielgruppe gehören könnte.

Unsere Recherche zeigt, dass vielen Anbietern offenbar so viel an der Einwilligung liegt, dass sie ihre Nutzer:innen dafür austricksen. Aber wie viel ist unsere Zustimmung zum Tracking eigentlich genau wert? Das herauszufinden, gestaltet sich schwierig. Keine der angefragten Websites und Medien wollte uns dazu Zahlen mitteilen.

Auch Branchenverbände der Tracking-Industrie, der Deutsche Dialogmarketing-Verband und der Bundesverband Digitalwirtschaft, wollten sich auf Anfrage lieber nicht dazu äußern, welche Einnahmen einer Website entgehen, wenn Nutzer:innen Tracking ablehnen. Zu dieser Frage gibt es unterschiedliche Studien, doch sie zeichnen kein einheitliches Bild, sondern schätzen zwischen vier und gut 50 Prozent Umsatzeinbußen.

„Die Einwilligung verkommt zur Farce“

Dass Dark Patterns bei Cookie-Bannern heute so weit verbreitet sind, ist Wolfie Christl zufolge auch die Schuld der Datenschutzbehörden. „Hätten die Aufsichtsbehörden die DSGVO von ihrer Einführung 2018 an strikt durchgesetzt, würde uns die Datenindustrie heute wohl nicht derart flächendeckend mit manipulativen, sinnlosen und nervigen Einwilligungs-Bannern belästigen“, sagt der Tracking-Experte. „Die Einwilligung verliert damit jeden Wert und verkommt zur Farce.“

Dabei hatte die belgische Datenschutzbehörde erst im Februar dieses Jahres einen technischen Standard, den fast alle Websites für ihre Cookie-Banner nutzen, für rechtswidrig erklärt. Seither sei leider nicht viel passiert, so Christl. Er fordert: „Die Aufsichtsbehörden müssen nun so schnell wie möglich tätig werden und massive Strafen und Verarbeitungsverbote gegen prominente Übeltäter verhängen.“

Hoffnungen setzen einige auch in den jüngst verabschiedeten Digital Services Act der EU. Er verbietet Praktiken, mit denen „darauf abgezielt oder tatsächlich erreicht wird, dass die Fähigkeit der Nutzer, eine autonome und fundierte Entscheidung oder Wahl zu treffen, erheblich verzerrt oder beeinträchtigt wird“. Allerdings ist auch diese Hoffnung mit einem Fragezeichen versehen.

„Leider wurde der Text in der finalen Verhandlungsrunde dahingehend abgeschwächt, dass bereits von bestehender Verbraucherschutz- und Datenschutzgesetzgebung abgedeckte Praktiken nicht in diesem Verbot enthalten sind“, sagt die Europaabgeordnete Alexandra Geese zu netzpolitik.org. Die Grünen-Politikerin war selbst an den Verhandlungen zum DSA beteiligt. „Dark Patterns sind in der DSGVO bereits verboten“, so Geese. Es fehle allerdings an Durchsetzung. Sie sieht die Europäischen Kommission in der Verantwortung, diese Ungerechtigkeit jetzt anzugehen.

Die Cookie-Dämmerung hat längst begonnen

Doch auch in Deutschland arbeitet die Regierung an einer Lösung für das Cookie-Problem. Das Bundesministerium für Digitales und Verkehr (BMDV) hat kürzlich eine Verordnung entworfen, die es Nutzer:innen einfacher machen soll, ihre Einwilligungen zu überblicken. Mit der Einwilligungsverwaltungsverordnung sollen sie „vom Treffen vieler Einzelentscheidungen entlastet werden“. Denkbar sei beispielsweise ein Browser-Plugin, in dem man einmal seine Wunscheinstellungen vornimmt und das dann alle Einwilligungen verwaltet.

Doch der Verordnungsentwurf lässt offenbar bisher ein Schlupfloch offen. Websites, die ganz oder teilweise werbefinanziert sind, sollen die Nutzer:innen zum Beispiel auf ein kostenpflichtiges Angebot hinweisen dürfen. Das umstrittene Pur-Abo-Modell, das heute schon mehr als ein Viertel der Top-Websites nutzt, könnte sich dadurch noch weiter verbreiten.

Das tatsächliche Ende der nervigen Cookie-Banner könnte unterdessen bald aus ganz einer ganz anderen Richtung kommen. Denn in den letzten Jahren haben Google und Apple angefangen, dem Tracking mit Third-Party-Cookies in ihren Browsern und Betriebssystemen einen Riegel vorzuschieben. Dabei geht es zwar weniger darum, die Nutzer:innen zu schützen, sondern mehr darum, das Geschäft mit dem Online-Tracking zu monopolisieren. Für Nutzer:innen könnte das aber trotzdem bedeuten, dass sie nicht mehr ständig mit unterschiedlichen Einwilligungs-Bannern genervt werden.

Ob dies auch ein Ende der Dark Patterns bedeutet? Unwahrscheinlich. Denn bis Google selbst auf seinem Cookie-Banner einen „Alle ablehnen“-Button im ersten Dialog einführte, hat es mehrere Jahre und enormen Druck der Datenschutzbehörden gebraucht. Zudem gibt es ja nicht nur Cookie-Banner, sondern auch andere Dark Patterns – ob nun bei Amazon Prime oder bei Hotel-Buchungsportalen, die mit vermeintlich mangelnder Verfügbarkeit von Zimmern Druck auf die Nutzer:innen aufbauen.

Update 2.9.2022:

Wir haben noch die Orientierungshilfe der Datenschutzkonferenz (PDF) im Text verlinkt.