Heike Dietmann, Chiara Krisam und Melanie Volkamer, KIT, Franz Lehr, TU Dresden

Tricks von Website-Betreibern, um Ihre Einwilligung zum Sammeln und Auswerten von Nutzerdaten über Cookies zu erhalten

Fast bei jedem Aufruf einer Website tauchen sie auf – die sogenannten Cookie-Meldungen. Insbesondere am Smartphone muss man darauf reagieren, da die Cookie-Meldung meist den halben Bildschirm verdeckt. Aber wie? Hmm… Kennen Sie das?? Und denken Sie auch oft: „Am liebsten möglichst schnell weg mit der Meldung, damit ich weiterlesen kann; idealerweise so, dass möglichst wenige Cookies verwendet werden, denn weniger Cookies bedeuten mehr Schutz für meine Privatsphäre.“

I. Ausgestaltung von Cookie-Meldungen bei bekannten Websites

Unsere Forschungsgruppe hat die Cookie-Meldungen der 500 meistaufgerufenen Websites Deutschlands untersucht, 111 Websites wurden hierbei nicht weiter betrachtet, da diese weder in deutscher noch in englischer Sprache verfügbar waren. 389 wurden hinsichtlich der Ausgestaltung der Cookie-Meldungen kategorisiert. Dies geschah basierend auf den angezeigten Informationen zur Datenerhebung durch Cookies und den bereitgestellten Auswahlmöglichkeiten durch die Cookie-Meldung selbst.

Unsere Analyse der 389 Websites zur Cookie-Meldung führt zu einer Aufteilung in 13 Kategorien. Hierzu zählt auch die Kategorie, dass keine Cookie-Meldung angezeigt wird (dies kommt 134 mal vor). 181 Websites zeigen eine Cookie-Meldung mit der Möglichkeit, Cookies abzulehnen. Entsprechend bieten 74 keine solche Option zur Ablehnung an. Fünf von 74 Websites bieten lediglich die Option an, Cookies gegen Bezahlung abzulehnen.

Unsere Ergebnisse zeigen für den Fall, dass es eine Cookie-Meldung gibt, bei der man grundsätzlich die Möglichkeit hat, Cookies abzulehnen, die am häufigsten vorkommenden Kategorien auf Grundlage sogenannter ‚Dark Patterns‘ entstanden sind. Dark Patterns versuchen, Nutzer:innen dazu zu bringen, bestimmte Aktionen entgegen ihres eigentlichen Interesses zu tätigen.

Mehr als 85 % der Websites, 155 von 181, verleiten ihre Nutzer:innen visuell dazu, die Option zu tätigen, allen Cookies zuzustimmen. Hierfür ist der Button zum Akzeptieren optisch auffallender dargestellt als der zum Ablehnen oder die Option zum Ablehnen ist im Text versteckt während es einen Button zum Akzeptieren gibt. Dies wird auch in den Beispielbildern visualisiert.

 

 

Weiterhin zeigt unsere Untersuchung, dass bei 78,5 % der 181 Websites der Aufwand zum Ablehnen optionaler Cookies größer ist, als das generelle Zustimmen meist zu allen Optionen. Entgegen der Zustimmungsmöglichkeit muss man für das Ablehnen mindestens einen Klick mehr tätigen.

11,1% der 181 Cookie-Meldungen verwenden das Opt-Out-Verfahren. Dabei müssen die Nutzer:innen der Website bereits voreingestellte Zustimmungen deaktivieren, wenn sie lediglich die technisch notwendigen Cookies akzeptieren wollen.

II. Wie ist die aktuelle Rechtslage angesichts der oben beschriebenen Sachverhalte?

Die Gestaltung von Cookie-Meldungen ist in der jüngeren Vergangenheit vermehrt Gegenstand gerichtlicher Verfahren geworden. Kernfrage war stets, ob mittels der konkreten Gestaltungen eine informierte und freiwillige Einwilligung erteilt werden kann, die den Anforderungen aus Art. 4 Nr. 11 und Art. 7 Datenschutz-Grundverordnung (DSGVO) entspricht.

Nach der Entscheidung des Gerichtshofs der Europäischen Union (EuGH) „Planet49“ (Urteil vom 1.10.2019 – C-673/17) liegt eine wirksame Einwilligung in das Setzen von Cookies nicht vor, wenn diese unter Verwendung einer Opt-Out-Gestaltung, d.h. über vorausgewählte Schaltflächen abgegeben wurde. Zudem ist nach der Entscheidung „Orange Romania“ des EuGH (Urteil vom 11.11.2020 – C-61/19) die freie Entscheidung des Betroffenen ungebührlich beeinträchtigt, wenn die Verweigerung einer Einwilligung einen größeren Aufwand darstellt als die Erteilung der Einwilligung.

Darüber hinaus urteilte das Landgericht Rostock (Urteil vom 15.09.2020 – 3 O 762/19), dass in diesem Fall keine wirksame Einwilligung vorliegt, wenn die Schaltflächen für das Setzen nur technisch notwendiger Cookies und für das Setzen von Tracking- und Analyse-Cookies in der Art optisch unterschiedlich gestaltet sind, dass die Schaltfläche zum Einwilligen in alle Cookies besonders hervorgehoben ist. Wie im obigen Screenshot könne der Betroffene die Option zum Setzen nur technisch notwendiger Cookies nicht als gleichwertige Einwilligungsmöglichkeit wahrnehmen.  

Damit sind 155 der 181 untersuchten Websites rechtlich fraglich bis unzulässig.

III. Handlungsfelder und zukünftiger Umgang 

1. Sensibilisieren der Nutzer:innen

Vermutlich ist es vielen Nutzer:innen nicht bewusst, welche Daten sie mit ihrer Einwilligung von Cookies tatsächlich für die Betreiber von Websites freigeben und wie diese (weiter)verwendet werden (können). Zunächst ist es wichtig, potentielle negative Konsequenzen der Datensammlung zu kennen und zu verstehen sowie von den Tricks der Websitebetreiber zu wissen, damit Nutzer:innen ihre Privatsphäre besser schützen können. Zum Beispiel können mit den gesammelten Daten, Nutzungs- und Nutzer:innenprofile erstellt und so personalisierte Werbeinhalte zugesendet werden. Wer dies und weiteres nicht möchte, dem sollte klar sein, worauf zu achten ist und weshalb sich der (gegenwärtige) Mehraufwand zum Ablehnen von Cookies lohnt.

Eine entsprechende Sensibilisierung sollte bereits im Rahmen der Schule erfolgen.

Diese sollte außerdem die Informationen über mögliche Schutzmaßnahmen, wie Browser-Einstellungen oder zusätzliche Anti-Tracking Tools, vermitteln. Eine Empfehlung wäre zum Beispiel, die Browser-Einstellungen bezüglich der Cookie-Meldungen derart zu verändern, dass Cookies nach dem Schließen des Browsers generell automatisch gelöscht werden. Lediglich Cookies von ausgewählten Websites könnten als Ausnahmen gespeichert werden.

2. Sensibilisierung der Websitebetreiber:innen

Vermutlich ist vielen – insbesondere kleinen – Websitebetreiber:innen nicht bewusst, was in Bezug auf die Verwendung von Cookies und die Gestaltung von Cookie-Meldungen rechtlich fragwürdig beziehungsweise unzulässig ist. Insbesondere für die kleineren Unternehmen wäre es wichtig, wenn sie zum Thema Cookie-Meldungen/ Cookies Informationen von entsprechenden Fachverbänden wie zum Beispiel der IHK (Industrie- und Handelskammer) erhalten würden. Idealerweise würden diese auch auf entsprechende Vorlagen verweisen.

3. Sensibilisieren durch die Nutzer:innen

Nutzer:innen können auch helfen, dass Cookie-Meldungen datenschutzfreundlicher werden. In diesem Kontext dürfen wir Sie herzlich einladen, die Datenschutzbeauftragten oder die Betreiber:innen der Websites selbst anzuschreiben, um sie nach einer neutralen und leicht verständlichen Cookie-Meldung zu bitten. Dies wäre eine Grundlage für eine gut informierte Einwilligungsmöglichkeit. Je mehr Nutzer:innen sich melden, desto eher wird sich etwas ändern! Wir alle können hier einen Beitrag leisten!

Es wäre schön, wenn Sie hierbei zusätzlich auch mit uns in den Dialog treten und uns Rückmeldung über die erhaltene Antwort und deren Inhalt geben.

4. Sensibilisierung der Politik

Es braucht mehr Artikel, Medien, Diskussionen und Fachvorträge, die das Thema Cookie-Meldungen behandeln. Weitere Forschungen zum Thema des Designs der Cookie-Meldungen sind notwendig, um besser zu verstehen, welches Design welchen Einfluss hat, um dies als Input für Gerichtsverfahren nutzen zu können.

Großflächige Änderungen durch gesellschaftliche Initiativen erreicht man nur, wenn sich viele Nutzer:innen finden. Darauf kann man sich nicht immer verlassen. Hier kann man die Nutzer:innen nicht allein lassen, daher ist es notwendig, dass von Seiten des Gesetzgebers und der Politik mehr gesetzliche Vorgaben gemacht und konsequenter durchgesetzt werden.

Bisher kann nur mit erhöhter Aufmerksamkeit und teilweise dem Mehraufwand zum Tätigen gewünschter Einstellungen die Privatsphäre geschützt werden. Stattdessen sollte es gesellschaftlicher und politischer Konsens sein, dass Privatspährenschutz nicht mit Mehraufwand für die jeweiligen Nutzer:innen verbunden sein sollte, sondern als grundlegend wichtig und schützenswert angesehen wird. Als selbstverständlich kann dabei gelten, dass Dark Patterns seitens der Gesetzgebung stärker adressiert werden sollten.

Zusätzliche Informationen zu unserem digilog@bw-Projekt „TrusD (Trust Indicators in the Digital World)“ finden Sie hier.

Kontaktadresse: contact(at)secuso.org

Weiterführende Literatur

Dark Patterns in the Wild: Review of Cookie Disclaimer Designs on Top 500 German Websites.
Krisam, Chiara; Dietmann, Heike; Volkamer, Melanie; Kulyk, Oksana
2021. The 2021 European Symposium on Usable Security (EuroUSEC), online, October 11 & 12, 2021.

Wahrnehmungen und Reaktionen der Endnutzer auf Cookie-Meldungen “Diese Webseite verwendet Cookies”.
Kulyk, Oksana; Gerber, Nina; Volkamer, Melanie; Hilt, Annika
2019. Datenschutz und Datensicherheit, 43 (2), 81–85. doi:10.1007/s11623-019-1068-8

A Concept and Evaluation of Usable and Fine-Grained Privacy-Friendly Cookie Settings Interface.
Kulyk, Oksana; Mayer, Peter; Käfer, Oliver; Volkamer, Melanie
2018. The 17th IEEE International Conference On Trust, Security And Privacy In Computing And Communications (TrustCom 2018), New York, NY, August 1-3, 2018, IEEE, Piscataway, NJ

"This Website Uses Cookies": Users’ Perceptions and Reactions to the Cookie Disclaimer.
Kulyk, Oksana; Hilt, Annika; Gerber, Nina; Volkamer, Melanie
2018. 3rd European Workshop on Usable Security (EuroUSEC), London, England, April 23, 2018, Internet Societa, Reston 8VY)

Workshop Event

Zu diesem Thema hat am 26.06.2021 der Workshop „Trust me! - digilog@bw“ im ZKM stattgefunden.