Wir alle kennen das Spiel: Das Cookie-Banner ploppt auf, ganz groß ist darauf „Alles akzeptieren“ zu sehen, doch die Option „Alle ablehnen“ ist versteckt, anders formuliert oder gar nicht vorhanden. Mit solchen Tricks, die Dark Pattern genannt werden, wollen uns die Betreiber:innen von Webseiten dazu verleiten, die für uns schlechtere Datenschutzvariante anzunehmen.

Das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) hat zuletzt etwa 1.000 Webseiten von bayerischen Betreibern mit einem automatisierten Tool überprüft, welches sich die Cookie-Banner angeschaut hat. Kriterium für die Auswahl war, dass die Seiten die Technik einer weit verbreiteten Consent-Management-Plattform (CMP) eines bayerischen Anbieters nutzten.

Bei der Suche wurde die Behörde prompt fündig: Rund 350 der untersuchten Webseiten hätten keine rechtskonformen Cookie-Banner, heißt es in der Pressemitteilung (PDF) der Behörde.

Die Untersuchung hat durchaus Folgen: Die Behörde hat die Betreiber:innen kontaktiert, damit diese sich äußern und die Webseite anpassen können. Angesichts der immer noch viel zu hohen Zahl nicht datenschutzgerechter Apps und Webseiten eröffneten automatisierte Prüfungen neue Handlungsoptionen der Rechtsdurchsetzung für die Datenschutzbehörde, sagt Michael Will, der Präsident des BayLDA.

„Auch wenn weitere Verfahrensschritte und natürlich die abschließende Entscheidung über Abhilfemaßnahmen und Bußgelder fest in der Hand von Sachbearbeiterinnen und Sachbearbeitern bleiben, sind solche automatisierten Prüfverfahren ein wichtiger Schritt, um unseren Kontrollaufgaben unabhängig von Beschwerden Einzelner und trotz unzureichender Ressourcen besser nachzukommen“ so Will weiter.

Die Deutsche Datenschutzkonferenz hatte Webseite-Betreiber:innen schon im Jahr 2021 einen Leitfaden (PDF) an die Hand gegeben, wie solche Banner auszusehen haben.

Problem existiert schon lange

Eine Untersuchung von netzpolitik.org aus dem Jahr 2022 hatte gezeigt, dass eine Mehrheit der meistbesuchten Webseiten in Deutschland gezielt versuchen, Nutzer:innen von datenschutzfreundlichen Entscheidungen abzuhalten. Bei einigen Webseiten hatte die Berichterstattung damals dazu geführt, dass die Cookie-Banner geändert wurden. In letzter Zeit gehen professionelle Medienangebote allerdings dazu über, den Leser:innen kostenpflichtige Pur-Abos statt „Alles Ablehnen“ anzubieten – mit dem Segen der Datenschutzbehörden.