Manipulative Cookie-BannerViele Beschwerden, wenige Strafen

Cookie-Banner, die Nutzer:innen mit Design-Tricks eine Einwilligung abtricksen, sind heute überall. Wir haben die Datenschutzbehörden gefragt, warum sie nicht mehr dagegen unternehmen und warum es keine saftigen Strafen hagelt.

Eine Reihe leckerer Cookies und ein großes, rotes Warnschild mit einem Menschen darauf, der die Hand noch vor streckt
Eine Plage des jüngeren Internetzeitalters: Manipulative Cookie-Banner sind heute überall. – Cookies: StableDiffusion; Schild: Pixabay/ hpgruesen; Montage: netzpolitik.org

In der zweiten Jahreshälfte 2024 soll mit Tracking-Cookies endgültig Schluss sein, hat Google gerade wieder angekündigt. Bis dahin werden kommerzielle Anbieter weiter versuchen, ihren Besucher:innen mit geschickt gestalteten Cookie-Bannern Einwilligungen zu umfangreichem Tracking abzuluchsen. Ob deutsche Datenschutzbehörden das Problem rechtswidriger Einwilligungs-Banner bis zum Ende der Cookie-Ära in den Griff bekommen?

Eigentlich ist die Sache klar: Damit eine Einwilligung gültig ist, muss sie nach der Datenschutzgrundverordnung (DSGVO) freiwillig, konkret und informiert erfolgen. Damit scheiden die meisten Tricks aus, mit denen Nutzer:innen die Einwilligung abgerungen wird, obwohl sie gar nicht einverstanden sind. Was das für Cookie-Banner heißt, haben die deutschen Datenschutzbehörden zuletzt 2021 klargestellt: Die Optionen müssen gleichwertig präsentiert werden, Online-Tracking abzulehnen muss also genau so leicht sein, wie es zu akzeptieren.

Trotzdem sind Cookie-Banner, die die Nutzer:innen austricksen, an der Tagesordnung. Wie wir jüngst in einer Recherche gezeigt haben, setzt der überwältigende Teil der 100 reichweitenstärksten deutschen Websites auf sogenannte „Dark Patterns“. Das sind Design-Tricks, um das Verhalten der Nutzer:innen zu manipulieren. 78 von 100 arbeiten mit farblich hervorgehobenen Buttons oder versteckten Datenschutz-Optionen. Lediglich bei vier der hundert Seiten war die „Alle ablehnen“-Option genauso leicht auszuwählen wie der „Alle akzeptieren“-Button.

Dass die permanenten DSGVO-Verstöße nach Jahren immer noch an der Tagesordnung sind, ist in den Augen vieler Beobachter:innen die Schuld der Datenschutzbehörden, die nicht konsequent genug gegen die Ad-Tech-Branche vorgehen würden. „Hätten die Aufsichtsbehörden die DSGVO von ihrer Einführung 2018 an strikt durchgesetzt, würde uns die Datenindustrie heute wohl nicht derart flächendeckend mit manipulativen, sinnlosen und nervigen Einwilligungs-Bannern belästigen“, sagte uns etwa der Tracking-Experte Wolfie Christl.

Wir haben uns deshalb unter deutschen Datenschutzbehörden umgehört, wo sie beim Thema Cookie-Banner stehen.

Viele Beschwerden und offene Verfahren

Der Bericht über die Antworten beginnt mit einer guten Nachricht: Unterschiedliche Rechtsauslegungen, wie sie dem föderalen Datenschutzwesen in Deutschland gelegentlich vorgeworfen werden, sind bei diesem Thema offenbar kein Problem. Alle vier von uns angefragten Behörden sagen, dass die beschriebenen Design-Praktiken in der Regel klar gegen die DSGVO verstoßen, wobei man natürlich im Einzelfall entscheiden müsse.

Dabei komme es allerdings nicht auf die Farbgestaltung allein an, sondern darauf, dass die Ablehnoption „als Alternative zur Einwilligung eindeutig erkennbar, leicht wahrnehmbar und unmissverständlich“ sei, so die Berliner Datenschutzbehörde. Ähnlich und teilweise wortgleich antworten auch die Kolleg:innen aus Bayern, Hamburg und Nordrhein-Westfalen.

Die Behörden bestätigen auch, dass das Cookie-Probleme viele Menschen umtreibt und ihre Aufsichtsarbeit prägt. Die Zahl der Bürgerbeschwerden und der laufenden Prüfverfahren zu dem Thema sei hoch, sagen sie unisono. Etwas konkreter wird nur Bayern: Etwa ein Viertel der 6.000 Beschwerdeverfahren beträfen internetbezogene Datenverarbeitungen, wie hoch darunter der Cookie-Anteil ist, werde allerdings nicht erfasst.

Häufig gehe es dabei um eine fehlende „Alles ablehnen“-Option auf der ersten Seite des Cookie-Dialoges. Immer wieder gebe es jedoch auch Beschwerden, dass Website-Betreiber:innen bereits Nutzer:innendaten an Drittanbieter schicken, bevor diese das Cookie-Banner bestätigt haben, teilen die Behörden aus Bayern, Berlin, Hamburg und Nordrhein-Westfalen mit.

Zu den vielen durch Bürgerbeschwerden ausgelösten Verfahren, die noch nicht abgeschlossen sind, gesellt sich zudem ein konzertiertes Prüfverfahren vieler Datenschutzbehörden bei Medienunternehmen. Seit Mitte 2021 seien in elf Bundesländern insgesamt 49 Webangebote von Medienunternehmen in Hinblick auf das Nutzertracking zu Werbezwecken untersucht worden. „Obwohl die bundesweiten Prüfverfahren noch nicht abgeschlossen sind, ist bereits festzustellen, dass die meisten der geprüften Webseiten nicht den rechtlichen Anforderungen für den Einsatz von Cookies und anderen Trackingtechniken entsprechen“, berichtet davon die Aufsichtsbehörde von Nordrhein-Westfalen.

Oft reicht ein Hinweis der Behörde

Da die Untersuchung noch nicht abgeschlossen ist, könnten die Ergebnisse noch nicht veröffentlicht werden. Insgesamt beobachten die Datenschutzbehörde jedoch, dass Seitenbetreiber:innen häufig einlenken, sobald man sie auf die rechtswidrige Gestaltung der Cookie-Banner hinweist. Bei drei Hamburger Medienunternehmen, die im Rahmen der konzertierten Aktion untersucht wurden, habe dies beispielsweise dazu geführt, dass sie auf Pur-Abo-Modelle umgeschaltet hätten, heißt es aus der Hansestadt.

Doch wenn schon einfache Hinweise der Datenschutzbehörden ausreichen, damit Seitenbetreiber:innen ihre Consent-Banner richtig gestalten, warum sind die Cookie-Tricksereien dann immer noch so weit verbreitet? Wer auf eine einfache Antwort der Behörden gehofft hat, wird enttäuscht.

Der Hamburger Datenschutzbeauftragte zum Beispiel verweist darauf, dass sich die Situation bereits verbessert habe, seit die Verbraucherzentralen im Jahr 2020 ein wegweisendes Urteil zu Cookie-Bannern erstritten haben. Ein „Alles-Ablehnen“-Button auf der ersten Ebene des Cookie-Dialogs setze sich mehr und mehr durch. „Beispielhaft sei hier auf die Umstellung des Google Cookie Banners hingewiesen“. Der Konzern habe damit eine Forderung der norddeutschen Behörde umgesetzt.

Die Berliner Datenschutzbehörde lenkt in ihrer Antwort den Blick auf die Verantwortung der Website-Betreiber:innen und mutmaßt, das finanzielle Motive ausschlagend dafür sind, dass diese sich nicht an die rechtlichen Vorschriften halten. „Bei vielen mittelständischen oder kleinen Unternehmen haben wir den Eindruck, dass sie die Trackingemechanismen vor allem verwenden, ‚weil es alle anderen auch tun‘“, ergänzt die Datenschutzbeauftragte von Nordrhein-Westfalen. Bei großen Anbietern geschehe dies „häufig systematischer und bewusster“. Die Behörde teilt zudem mit, sie suche nicht regelmäßig „von Amts wegen das Internet auf datenschutzwidriges Verhalten hin ab“, sondern werde in der Regel dann aktiv, wenn es Bürgerbeschwerden gibt.

Politisches Chaos

Auf einen anderen Aspekt weist die bayerische Aufsichtsbehörde hin. Dass von den vielen laufenden Verfahren zu Tracking-Einwilligung bislang nur wenige formell beendet wurden, erklärt sie damit, dass sich die Rechtslage in Deutschland erst Ende 2021 geändert hat. Tatsächlich hatte die Bundesregierung im letzten Jahr das deutsche Telemedienrecht an EU-Vorgaben angepasst, denen zufolge Online-Tracking nur mit Einwilligung geschehen darf.

Das gilt EU-weit eigentlich schon seit 2009, doch diverse Bundesregierungen weigerten sich, die Vorgabe in deutsches Recht zu überführen. Dies führte lange zu großem Chaos und Rechtsunsicherheit: Die Werbeindustrie konnte sich auf das Telemediengesetz berufen, demzufolge Tracking auch ohne Einwilligung möglich war, während die Datenschutzbehörden auf Einhaltung der EU-Vorgaben pochten. Endgültige Klarheit brachte erst das Telekommunikation-Telemedien-Datenschutz-Gesetz, das seit Dezember 2021 gilt.

Den Schuh der mangelhaften Rechtsdurchsetzung bei Cookie-Bannern müssen sich die Datenschutzbehörden also tatsächlich nicht alleine anziehen, auch jede Bundesregierung seit 2009 hat ihren Anteil am heutigen Chaos. Davon mal abgesehen, dass eine politische Lösung, die Cookie-Banner komplett überflüssig gemacht hätte, in der EU bereits 2018 hätte verabschiedet werden sollen, unter dem großen Druck der Datenindustrie (und deutscher Zeitungsverlage) seitdem aber blockiert wird.

Zusammengefasst lässt sich die Position der Datenschutzbehörden wohl so formulieren: Wir sind dran, aber die Dinge brauchen eben Zeit. Aus den Antworten spricht dabei einige Zuversicht, dass es eine Signalwirkung haben wird, wenn mehr Prüfverfahren abgeschlossen und Gerichtsurteile gesprochen sind. Dies werde das Umdenken in der Branche beschleunigen, so die Hoffnung.

Offen bleibt freilich nur, ob das noch geschieht, bevor Google & Co. den Tracking-Cookie ganz aussortiert haben.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

4 Ergänzungen

  1. >>> Wir sind dran, aber die Dinge brauchen eben Zeit. Aus den Antworten spricht dabei einige Zuversicht, dass es eine Signalwirkung haben wird, wenn mehr Prüfverfahren abgeschlossen und Gerichtsurteile gesprochen sind. <<<

    Da unsere Mühlen langsam mahlen, und vor Ende 2024 ohnehin kaum ein Urteil rechtskräftig sein wird, kümmern wir uns lieber um anderes.

    Fazit: Die Lobbyisten der Werbebranche leisteten volle Arbeit, und haben das Geschäftsmodell für weitere Jahre gesichert.

    Die Internet-Werbebranche ist derweil so verhasst und verachtet unter den Nutzern, weil wirklich jeder so genervt davon ist. Man hört immer mehr "wer mich nervt, von dem kauf ich nix!" Zumindest das macht Hoffnung.

  2. Gibt es ein Projekt, das die cookie-banner der namhaften deutschen Presse untersucht? Da würde ich gerne mitmachen.

    Und anfangen würde ich mit dem Javascript Kram von http://www.zeit.de

  3. Shops haben gerne mal… mehere Dialoge bis zur Anpassung, immer noch. Dabei ist „alles akzeptieren“ stets ein großer bunter Button, und der Anpassungslink ein unscheinbarer kleiner Text (Link) ohne farbliche Hinterlegung…

    Für Rechtsarchitekten: Bei aller Kritik am Abmahnbusiness, wäre das hier mal ein Feld, wo man den Durchsetzungsteil über Anmahnungen seitens Dritter „zugänglich“ machen könnte. Freilich NACH Klarstellung des „was eigentlich“, zum Nutzen der Gesellschaft (direkt, nicht irgendwie, weil es sowas für irgendwas völlig anderes im Allgemeinen, bzw. real das ja eigtnlich nicht wirklich, geben sollen will, muss, bzw.).

  4. Meine ganz persönliche Erfahrung nach mehreren datenschutzrechtlichen Beschwerden über die vergangenen Jahre ist, dass die Landesdatenschutzbeauftragten selbst bei sehr krassen Verstößen (sogar dann, wenn sie es selbst so bewerten) völlig untätig bleiben oder höchstens mal „ermahnen“.
    Für mich sind die öffentlich bestellten Datenschutzbeauftragten die Hauptdarsteller in einer Schmierenkomödie, mit der uns die Politik vorgaukeln will, dass sie etwas zum Schutz unserer Rechte täte.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.