Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal

Cookie-Banner gehören für die meisten Nutzer zum Webseitenbesuch wie Spam-Mails zum Posteingang. Website-Betreiber wollen Besuchern das schnelle Wegklicken so leicht wie möglich machen, doch das könnte sich demnächst ändern. Denn einer groß angelegten Studie zufolge sind die meisten Cookie-Banner illegal. Forscher der Ruhr-Universität Bochum untersuchten erstmals, wie die Banner nach der Einführung der Europäischen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 auf Websites umgesetzt werden, und wie User mit ihnen interagieren.

Ihre Ergebnisse fassten die Wissenschaftler in der 18-seitigen Studie mit dem Titel (Un)-informierte Zustimmung: Untersuchung von DSGVO-Zustimmungshinweisen in der Praxis (Englisch, PDF) zusammen. Demnach bieten 86 Prozent der untersuchten Websites neben einem Zustimmungs-Button keine weiteren Optionen an. Das verstößt gegen die DSGVO. Diese verlangt, dass Nutzer sich informiert dafür oder dagegen entscheiden dürften. Ein einfaches OK genügt nicht. Mit Cookies erheben Website-Anbieter Informationen über Website-Besucher. Dazu gehören Login-Daten, aber auch Verhaltensweisen und Präferenzen, die oft an Partnerunternehmen weitergereicht werden.

Nudging-Verfahren zur Nutzersteuerung

Mehr als 60 Prozent der stark besuchten europäischen Websites weisen auf die Nutzung von Cookies hin - mit sehr unterschiedlichen Methoden. Das zeigte sich, als die Forscher zunächst ein Sample von 1.000 Cookie-Hinweisen dieser Websites nach den möglichen Positionen, Auswahlmöglichkeiten, Texten und Links untersuchten. Sie wollten dabei herausfinden, wie das Design der Banner den Nutzern helfen könne, eine informierte Entscheidung zu treffen. Denn die DSGVO verlange, dass "die Hinweise transparent sein und wirkliche Entscheidungsfreiheit bieten müssen", sagt Christine Utz vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum.

57 Prozent der untersuchten Websites versuchen mit sogenanntem Nudging (engl.: Anstoßen, Schubsen) die Entscheidung des Nutzers zu manipulieren. Dies sind innerhalb der Cookie-Banner beispielsweise farbliche Akzentuierungen, um den "Zustimmen"-Button hervorzuheben oder unübersichtliche Darstellungen der "Opt-Out"-Möglichkeiten. Damit sollen Nutzer dazu bewogen werden, der Nutzung ihrer Daten zuzustimmen.

Links unten am beliebstesten

In einem weiteren Schritt erprobten die Forscher in einer Feldstudie an mehr als 80.000 Nutzern diverse Cookie-Banner auf einer deutschen E-Commerce-Website. Über vier Monate spielten sie unterschiedliche Cookie-Banner aus und beobachteten die Userinteraktion. Anschließend befragten sie die Nutzer nach ihren Präferenzen und ihrem Wissen zu Cookie-Bannern.

Im Ergebnis interagieren Nutzer am stärksten mit einem Banner, wenn es in der linken unteren Hälfte des Bildschirms erscheint. Utz weist darauf hin, dass Nutzer "bei einer Wahl zwischen zwei Optionen eher gewillt sind, das Datentracking zuzulassen, als wenn sie eine größere Anzahl an Optionen haben". Überdies befürchteten Nutzer häufig, dass die Website nicht richtig funktioniere, wenn sie Cookies ablehnten.