Am 9. Februar veröffentlichte die bayerische Datenschutzbehörde eine Pressemitteilung zu den Ergebnissen einer groß angelegten, teilweise automatisierten Untersuchung von Cookies. Die Behörde vermutet, dass mindestens 350 Websites und 15 Apps gegen EU-Recht verstoßen und Cookies ohne Zustimmung platzieren.
Obwohl die Untersuchung nur vorläufig ist, gibt es einige wichtige Aspekte, die es wert sind, diskutiert zu werden.
- Warum ist diese Untersuchung wichtig?
- Was war mit den Cookie-Bannern nicht in Ordnung?
- Sind betrügerische Cookie-Banner legal?
- Warum sehe ich immer noch einen Haufen betrügerischer Cookie-Banner?
- Das Gesamtbild
- Abschließende Überlegungen
Warum ist diese Untersuchung wichtig?
In der Pressemitteilung werden zwei wichtige Punkte hervorgehoben. Erstens verlangt die Behörde eine "Alles ablehnen"-Option am ersten Hebel des Cookie-Banners - etwas, worauf auch der Europäische Datenschutzausschuss besteht. Zweitens hat die Behörde für die groß angelegte Untersuchung automatisierte Tools eingesetzt und will deren Einsatz in Zukunft weiter prüfen.
Beginnen wir mit den Cookie-Bannern. Welche Probleme hat die Behörde festgestellt, und wie können Sie sie auf Ihrer eigenen Website vermeiden?
Was war mit den Cookie-Bannern nicht in Ordnung?
Der Behörde zufolge boten die meisten Cookie-Banner auf der ersten Ebene keine Option zum Ablehnen aller". Das mag wie eine Kleinigkeit erscheinen, ist es aber nicht, und hier ist der Grund dafür.
Ich möchte Sie etwas fragen: Wann war es das letzte Mal schwierig oder verwirrend, Cookies von einer Website zu akzeptieren? Die Antwort lautet wahrscheinlich: nie. Das Ablehnen von Cookies ist in der Regel lästig, verwirrend und mühsam. Dabei ist es kinderleicht, sie zu akzeptieren.
Das ist so gewollt. Das EU-Recht schreibt die Zustimmung zu Cookies vor (mit engen Ausnahmeregelungen, die nicht wirklich auf Webanalysen zutreffen). Da Websites Sie ohne Ihre Zustimmung nicht verfolgen können, bemühen sie sich, die Ablehnung von Cookies so schwierig und lästig wie möglich zu gestalten.
In der Regel befindet sich die Option "Cookies ablehnen" auf einer tieferen Ebene des Cookie-Banners und ist zwischen anderen nutzlosen, verwirrenden Optionen versteckt. Dadurch wird das Cookie-Banner zu einem lästigen kleinen Rätsel: Entweder Sie nehmen sich die Zeit, es zu lösen, oder Sie akzeptieren alle Cookies und machen mit Ihrem Leben weiter. Es gibt noch andere Tricks in der Werkzeugkiste des Cookie-Banners, aber der wichtigste ist das Verstecken der Option "Alle ablehnen" in einer zweiten Ebene.
Der Trick funktioniert. Vielen Nutzern fehlt einfach die digitale Kompetenz, um die absichtlich verwirrende Sprache und das Layout von Cookie-Bannern zu durchschauen. Wir sprechen hier von Millionen von Menschen, die systematisch von nicht konformen Websites herumgeschubst werden! Selbst besser ausgerüstete Nutzer geben oft der Ermüdung nach, weil es lästig und zeitraubend ist, das dumme Cookie-Minispiel für jede einzelne Website zu spielen.
Sind betrügerische Cookie-Banner legal?
Wenn ich auf die Schaltfläche "Alles akzeptieren" klicke, weil mir die Zeit/Geduld/die digitale Kompetenz fehlt, um herauszufinden, wie ich ein betrügerisches Cookie-Popup "lösen" kann, habe ich nicht freiwillig eingewilligt, und meine Einwilligung ist daher nach der Datenschutz-Grundverordnung völlig bedeutungslos.
Dies ist auch der Standpunkt des Europäischen Datenschutzausschusses (d. h. der EU-Institution, die die Datenschutzbehörden zusammenbringt). In einem kürzlich veröffentlichten Dokument des EDPB wird darauf bestanden, dass Cookie-Pop-ups die Verweigerung der Einwilligung erleichtern müssen, indem sie auf der ersten Ebene die Option "Alle ablehnen" anbieten. Dies ist zwar keine völlig einhellige Position, aber es ist die Position der großen Mehrheit der Datenschutzbeauftragten in Europa, und die bayerische Behörde bezieht sich in ihrer Pressemitteilung ausdrücklich darauf.
In der Praxis bedeutet dies, dass die europäischen Behörden irreführende Cookie-Banner sehr, sehr ungern sehen. Nicht nur das Verstecken der "Ablehnen"-Schaltfläche in der zweiten Ebene, sondern auch die ganze Trickkiste.
Warum sehe ich immer noch einen Haufen betrügerischer Cookie-Banner?
Die bayerische Behörde hat nicht wirklich etwas Neues gesagt. Wir haben diese Regeln für die Einwilligung in Cookies schon seit Jahrzehnten - sie sind älter als die DSGVO selbst.
Die Durchsetzung ist das Problem. Viele Datenschutzbehörden in ganz Europa leisten gute Arbeit, aber Budget- und Personalknappheit hindern sie daran, mehr zu tun. Sie sind nicht in der Lage, gegen jede einzelne Website vorzugehen, die ein nicht konformes Cookie-Banner verwendet.
Aus diesem Grund ist der Einsatz automatisierter Werkzeuge wichtig. Die Automatisierung einer ersten Phase der Arbeit könnte es den Behörden ermöglichen, das Gesetz wirksamer durchzusetzen und Unternehmen mit groß angelegten Untersuchungen wie der in Bayern eingeleiteten zu drohen.
Es ist das erste Mal, dass eine europäische Datenschutzbehörde Software einsetzt, um einen Teil der Ermittlungsarbeit zu automatisieren, aber die Strategie ist nicht völlig neu im Bereich des Datenschutzes: Die Datenschutz-NGO noyb hat ähnliche Werkzeuge erfolgreich für groß angelegte Rechtsstreitigkeiten gegen die Nichteinhaltung von Cookie-Richtlinien eingesetzt, trotz bescheidener personeller und technischer Mittel.
Fazit: Automatisierte Tools sind kein Ersatz für eine angemessene Finanzierung, aber sie können dennoch eine große Hilfe sein. Sie sind ein sehr interessantes Instrument, und wir hoffen, dass sich die Behörden eine Scheibe von Bayern abschneiden und ihren Einsatz erkunden werden.
(Und um es klar zu sagen: Niemand wird zu einem Bußgeld verurteilt, nur weil der Computer es sagt! Die Behörde hat nur den "dümmsten" Teil der Arbeit automatisiert. Bußgelder können nur nach einer menschlichen Untersuchung jedes einzelnen Falles verhängt werden, und die Websites werden sich in einem ordentlichen Gerichtsverfahren verteidigen können.)
Das Gesamtbild
Diese ganze Diskussion über das Design von Pop-ups mag wie Erbsenzählerei erscheinen, ist es aber nicht. Die trügerische Gestaltung von Cookie-Bannern ist das Symptom eines umfassenderen Problems.
Unternehmen verfolgen gerne Nutzer, aber die Nutzer wollen nicht verfolgt werden. 96 % der iPhone-Nutzer haben sich gegen die Datenerfassung durch Dritte entschieden, sobald Apple ihnen die Möglichkeit dazu gab. Und im Jahr 2022 nutzten 35 % der Internetnutzer weltweit einen Werbeblocker, obwohl die Werbeblocker-Funktion nicht in den Standardbrowsern enthalten ist.
Da die Nutzer nicht gerne verfolgt werden, muss die Werbetechnikbranche an die Fiktion der Zustimmung appellieren und dabei alle möglichen Tricks anwenden, um die Zustimmung zu erpressen. Diese Fiktion spielt eine entscheidende Rolle, wenn es darum geht, wie die Werbetechnikbranche den Einsatz von invasiven und schädlichen Tracking-Tools in einer zunehmend auf Privatsphäre bedachten Welt legitimiert.
Wir sehen diese Strategie auch in anderen Szenarien. Google behauptet, dass alle Android-Nutzer irgendwie zugestimmt haben, über ihre Werbe-IDs verfolgt zu werden, obwohl sie gar nicht erst gefragt wurden. Und Meta behauptet, dass es "frei" sei, der Erstellung von Profilen zuzustimmen - ganz zu schweigen davon, dass die Alternative darin besteht, 250 € pro Jahr zu zahlen.
Aber die Datenschutz-Grundverordnung macht es schwer, diese Fiktion aufrechtzuerhalten. Aus diesem Grund machen die Aufsichtsbehörden Meta schon seit einiger Zeit wegen seines Geschäftsmodells die Hölle heiß, und die Klagen gegen den Missbrauch von Google Analytics und ähnlichen Tracking-Tools werden auf europäischer Ebene immer erfolgreicher (z. B. der jüngste und möglicherweise bahnbrechende Sieg gegen den Ad-Tech-Riesen Criteo).
Abschließende Überlegungen
Schritt für Schritt kommt endlich Bewegung in den Kampf gegen die Online-Überwachung. Es ist zwar immer noch möglich, die Vorschriften zu umgehen, aber das Risiko wird von Tag zu Tag größer.
Wenn Sie sicherstellen möchten, dass Ihr Cookie-Banner den Vorschriften entspricht, lesen Sie unseren Blog zu diesem Thema. Aber täuschen Sie sich nicht: Das Design von Cookie-Bannern, die den Vorschriften entsprechen, senkt die Opt-in-Raten erheblich. Das ist der Grund, warum so viele Websites gegen die klaren Regeln verstoßen, die wir haben!
Es gibt also einen grundlegenden Kompromiss für Cookie-basierte Analysen. Sie können gute Opt-in-Raten haben, oder die Einhaltung der Regeln.
Wir haben Simple Analytics entwickelt, damit Sie sich nicht entscheiden müssen. Wir geben Ihnen alle nötigen Einblicke in die Leistung Ihrer Website, ohne Cookies zu verwenden und ohne ein einziges Stück persönlicher Daten zu sammeln. Unsere Software ist leicht und einfach zu erlernen, mit einer intuitiven Benutzeroberfläche und einem praktischen KI-Assistenten.
Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach aus!