Erfolgreiche Abmahn-KampagneTricksende Cookie-Banner gehen zurück

Nach hunderten Abmahnungen wegen illegaler Cookie-Banner setzen sich DSGVO-konforme Einwilligungsdialoge mehr und mehr durch, sagt noyb. Die Nichtregierungsorganisation bleibt trotzdem am Ball und kündigt eine Ausweitung der Kampagne an.

Im Hintergrund ein Tunnelende, davor Kekse
– Cookies: StableDiffusion; Tunnel: Pixabay/ Tama66; Montage: netzpolitik.org

Immer mehr Websites bieten auf ihren Cookie-Bannern einen einfachen „Alles ablehnen“-Button an. Zu diesem Schluss kommt die österreichische Datenschutzorganisation None of Your Business (noyb) in einer automatisierten Analyse von 1631 Internetseiten.

Zum Vergleich zieht noyb eine Untersuchung aus dem März 2021 heran. Damals hatte die Nichtregierungsorganisation Verstöße gegen die Datenschutzgrundverordnung bei hunderten Cookie-Bannern festgestellt und in der Folge mehr als 700 Abmahnungen an Seitenbetreiber:innen verschickt. Seitdem habe sich mehr als die Hälfte der untersuchten Websites (56 Prozent) zum besseren gewandelt, indem sie beispielweise auf irreführende Farben bei Links und Buttons und auf vorausgewählte Subkategorien verzichten.

Besonders erfreulich: 41 Prozent der gescannten Websites haben laut noyb nun auf der ersten Seite des Cookie-Dialogs einen Button, mit dem man schnell jegliches Tracking ablehnen kann. Vor eineinhalb Jahren hätten lediglich 18 Prozent der untersuchten Websites einen „Alles ablehnen“-Button gehabt.

Druck machen wirkt

Mit Design-Tricks wie versteckten Optionen und farblich hervorgehobenen Buttons sollen Nutzer:innen dazu verleitet werden, möglichst weitreichende Einwilligungen zum Online-Tracking zu geben. Dies erleichtert der Werbeeindustrie den Einsatz zielgerichteter Werbung, bei dem Informationen über das Surfverhalten in Profilen zusammengeführt und an viele Firmen weitergegeben werden. Die sogenannten Dark Patterns verstoßen in vielen Fälle gegen die Datenschutzgrundverordnung, sind aber immer noch recht weit verbreitet.

Für die meistbesuchten deutschen Websites waren wir von netzpolitik.org im August 2022 beispielsweise noch zu einem weniger erfreulichen Ergebnis gekommen: Bei einer manuellen Untersuchung der 100 reichweitenstärksten Online-Werbeträger hatten wir gezeigt, dass lediglich 16 Seiten einen „Alles ablehnen“-Button auf der ersten Seite des Cookie-Dialoges anbieten. Nur vier von hundert machten die Verweigerung zum Tracking so einfach wie die Zustimmung.

Doch auch wir konnten einen positiven Effekt unserer Recherche feststellen: Von uns kritisierte Medien wie die taz oder das Redaktionsnetzwerk Deutschland veränderten ihre Cookie-Banner und bieten inzwischen einen „Alles ablehnen“-Button an.

Auch noyb führt die nun festgestellten Verbesserungen auf den öffentlichen Druck durch die Abmahn-Kampagne zurück und sieht sich in dem gewählten Vorgehen bestätigt. „Wir haben schon nach wenigen Monaten bemerkt, dass Webseiten illegale Designs ändern“, sagt die Datenschutzjuristin Ala Krinickytė. Eineinhalb Jahre später könne man eine deutliche Verhaltensänderung sehen, „auch auf Seiten die wir nie kontaktiert haben“. Man erlebe eine „klassische generalpräventive Wirkung“, so Krinickytė.

noyb kündigt Ausweitung der Kampagne an

Noybs Beschwerdewelle sei zudem von stärkeren Aktivitäten der Datenschutzbehörden flankiert worden. So hat etwa die französische CNIL dem US-Konzern Google vorgeschrieben, einen „Alles Ablehnen“-Button einzuführen. Dies sei von vielen Unternehmen ebenfalls als Zeichen gesehen worden, ihre Banner anzupassen. Insbesondere in Frankreich habe dies zu messbaren Verbesserungen geführt, so noyb.

Neue Browser-Erweiterung entfernt Cookie-Banner

Die Nichtregierungsorganisation will sich mit dem Erreichten jedoch nicht zufriedengeben und kündigt weitere Beschwerden an, um irreführende Cookie-Banner loszuwerden. So habe sich das Projekt bislang auf Seiten konzentriert, die den Einwilligungsdienst OneTrust verwenden. Künftig wolle man auch andere Dienstleister in den Blick nehmen. Außerdem will noyb die genutzte Analyse-Software ausbauen, um auch andere Datenschutzverstöße automatisiert aufspüren zu können.

„In einer Gesellschaft halten sich die meisten Menschen normalerweise an das Gesetz“, kommentiert Ala Krinickytė von noyb die Situation. „Im Datenschutz fehlt das oft – kann aber anscheinend durch öffentlich wahrnehmbare Durchsetzung durchaus erreicht werden.“

5 Ergänzungen

  1. Das klingt zwar sehr erfreulich, dennoch muss ich Skepsis am „Alles Ablehnen“-Button hervorheben:

    1. Alles abzulehnen muss auch bedeuten, technisch notwendige Cookies abzulehnen. Weil warum sollen Firmen wie Kameleoon oder Firmen mit „analyt“ im Namen technisch wichtige Cookies zur Darstellung der Seite bereitstellen? Da könnte weitaus mehr dahinter stecken, als nur technisch notwendige Cookies.

    2. Wenn ich auf „Alles Ablehnen“ klicke, kann bewiesen werden, dass auch wirklich keine Tracker meinen PC infizieren? Ohne einen unabhängigen Richter, der den Cookie-Banner inspizieren darf und ohne ausreichende Tests, welche Daten wohin versendet werden, muss man hier skeptisch sein. Könnte ja nur ein Button zur Dekoration sein.

    1. 1. Oft ist es auch „nicht notwendige Cookies ablehnen“. Tatsächlich wäre es nicht schlecht einen Begriff zu haben, sonst lehne ich ab nicht ausgezogen und durchleuchtet zu werden?
      2. Nee, das war noch nie so der Fall. Es wäre allerdings höchst sinnvoll, wenn das Gesetz hier eine Referenzierungspflicht bzw. Wortwahl vorgegeben hätte, auch um andere Sachen mit Zustimmen/Ablehnen überhaupt diffrerenzieren zu können.

      Mich wundert schon, dass die kleinsten einfachsten aber notwendigen Sachen dem Gang vor die Gerichte anvertraut werden, nach dem Motto „mit Reibung siegen“. Kein Wunder, dass man von einem Staat hinter dem Staate ausgehen muss (o.ä.). Man kann einfach nicht alles mit Inkompetenz und „besonderer Eleganz“ erklären.

    2. @Pranee: In den Entwicklertools des Browsers kann bequem geschaut werden, ob Cookies gesetzt werden. Ich kenne wenigstens eine Website, die in Browser-APIs eingreift, um Consent-Tool-Wahl zu forcieren. Das deckt natürlich nur klassisches Tracking mithilfe eingebundener Dritt-Ressourcen ab. AWIN zB. fährt eine mehrgleisige Strategie, darunter „Server-To-Server Tracking“: https://www.awin.com/de/affiliate-marketing/server-to-server-tracking

      „Da beim serverseitigen Tracking die Daten nur dem Advertiser zur Verfügung stehen und nicht über mehrere Websites hinweg weitergegeben werden, entspricht das Server-to-Server Tracking den allgemeinen Datenschutzbestimmungen (DSGVO).“

      Nun ja, ich bin sicher, dass manche Ergänzer:innen hier dennoch Pickel beim Lesen des Artikels bekommen, wenn sie denn dem Höllen-Link überhaupt folgen…

      Am Ende des Tages handelt es sich um ein Vertrauensproblem, dass auf den Servern tatsächlich keine schändlichen Dinge mit den persönlichen Daten angestellt werden. Ich sehe zwei Dinge, die die Situation verbessern: zum einen können die Abmahnungen von noyb als Bildungselement angesehen werden. Zum anderen lenken Datenschutzbeauftragte die Softwareentwicklungen in die richtige Richtung (insbesondere, wenn es ihr Haupt-Job ist).

      Entwickler:innen tragen eine besondere Verantwortung, kein schändliches Tracking zu implementieren. Im Gegensatz zu einem gewissen Weltkrieg wird ihr Leben nicht bedroht und müssen keinen Befehlen folgen. Von daher mein Appell an meine lieben Mit-Entwickler:innen: widersteht der dunklen Macht!

  2. Das waren ganz offensichtlich keine Abmahnungen nach UWG (NOYB steht mit den Betreibern ja nicht im Wettbewerb), sondern Beschwerden nach DSGVO.

    1. Datenschutzverstöße können auch allgemein durch Verbraucherschutzverbände abgemahnt werden. Selbst Abmahnungen durch einzelne Verbraucher sind möglich (wenn auch eher selten), falls das individuelle Recht auf informationelle Selbstbestimmung verletzt wird z.B. indem auf eine Anfrage zur Datenauskunft keine Antwort gegeben wird.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.