Original-URL des Artikels: https://www.golem.de/news/manipulierte-zustimmung-die-meisten-cookie-banner-sind-illegal-1909-143773.html    Veröffentlicht: 11.09.2019 08:37    Kurz-URL: https://glm.io/143773

Manipulierte Zustimmung

Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.

Cookie-Banner gehören für die meisten Nutzer zum Webseitenbesuch wie Spam-Mails zum Posteingang. Website-Betreiber wollen Besuchern das schnelle Wegklicken so leicht wie möglich machen, doch das könnte sich demnächst ändern. Denn einer groß angelegten Studie zufolge sind die meisten Cookie-Banner illegal. Forscher der Ruhr-Universität Bochum untersuchten erstmals, wie die Banner nach der Einführung der Europäischen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 auf Websites umgesetzt werden, und wie User mit ihnen interagieren.

Ihre Ergebnisse fassten die Wissenschaftler in der 18-seitigen Studie mit dem Titel (Un)-informierte Zustimmung: Untersuchung von DSGVO-Zustimmungshinweisen in der Praxis (Englisch, PDF) zusammen. Demnach bieten 86 Prozent der untersuchten Websites neben einem Zustimmungs-Button keine weiteren Optionen an. Das verstößt gegen die DSGVO. Diese verlangt, dass Nutzer sich informiert dafür oder dagegen entscheiden dürften. Ein einfaches OK genügt nicht. Mit Cookies erheben Website-Anbieter Informationen über Website-Besucher. Dazu gehören Login-Daten, aber auch Verhaltensweisen und Präferenzen, die oft an Partnerunternehmen weitergereicht werden.

Nudging-Verfahren zur Nutzersteuerung

Mehr als 60 Prozent der stark besuchten europäischen Websites weisen auf die Nutzung von Cookies hin - mit sehr unterschiedlichen Methoden. Das zeigte sich, als die Forscher zunächst ein Sample von 1.000 Cookie-Hinweisen dieser Websites nach den möglichen Positionen, Auswahlmöglichkeiten, Texten und Links untersuchten. Sie wollten dabei herausfinden, wie das Design der Banner den Nutzern helfen könne, eine informierte Entscheidung zu treffen. Denn die DSGVO verlange, dass "die Hinweise transparent sein und wirkliche Entscheidungsfreiheit bieten müssen", sagt Christine Utz vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum.

57 Prozent der untersuchten Websites versuchen mit sogenanntem Nudging (engl.: Anstoßen, Schubsen) die Entscheidung des Nutzers zu manipulieren. Dies sind innerhalb der Cookie-Banner beispielsweise farbliche Akzentuierungen, um den "Zustimmen"-Button hervorzuheben oder unübersichtliche Darstellungen der "Opt-Out"-Möglichkeiten. Damit sollen Nutzer dazu bewogen werden, der Nutzung ihrer Daten zuzustimmen.

Links unten am beliebstesten

In einem weiteren Schritt erprobten die Forscher in einer Feldstudie an mehr als 80.000 Nutzern diverse Cookie-Banner auf einer deutschen E-Commerce-Website. Über vier Monate spielten sie unterschiedliche Cookie-Banner aus und beobachteten die Userinteraktion. Anschließend befragten sie die Nutzer nach ihren Präferenzen und ihrem Wissen zu Cookie-Bannern.

Im Ergebnis interagieren Nutzer am stärksten mit einem Banner, wenn es in der linken unteren Hälfte des Bildschirms erscheint. Utz weist darauf hin, dass Nutzer "bei einer Wahl zwischen zwei Optionen eher gewillt sind, das Datentracking zuzulassen, als wenn sie eine größere Anzahl an Optionen haben". Überdies befürchteten Nutzer häufig, dass die Website nicht richtig funktioniere, wenn sie Cookies ablehnten.

Zustimmung der Nutzer könnte sehr tief fallen

Eine Lösung sehen die Wissenschaftler in einer obligatorischem "Privacy-by-default"-Einstellung, bei der die Daten erst dann erhoben werden, wenn Nutzer einem Tracking explizit zustimmten. Das forderte beispielsweise das Europaparlament in der auf Eis gelegten E-Privacy-Verordnung. Außerdem empfehlen die Wissenschaftler das Setzen von zweckbasierten Cookie-Hinweisen, bei denen die Zustimmung zur Verarbeitung der Daten nach bestimmten Zwecken erfolgt. "Würde sich diese Handhabung durchsetzen, würde das dazu führen, dass die Zustimmung zur Weitergabe der Daten an Dritte unter 0,1 Prozent fallen würde", sagt Utz.

Für den baden-württembergischen Datenschutzbeauftragten Stefan Brink, der kürzlich eigene praktische Anwendungshinweise in Sachen Cookie-Banner veröffentlichte, ist das der interessanteste Punkt der Studie. Dabei geht er in seinen Anforderungen sogar noch weiter als die Forscher: Er vertritt den Standpunkt, "dass ein Cookie-Banner keine gültige Einwilligung nach DSGVO ist, soweit er nicht vollumfänglich transparent über die Weitergabe von Nutzungsdaten an Dritte informiert, sondern nur abstrakt von Cookies und ähnlichem die Rede ist".

Datenschützer bestätigt Forschungsergebnis

Aus seiner Praxis kann Brink bestätigen, dass "die überwiegende Mehrheit aller Cookie-Banner falsch eingesetzt" werde: "Entweder sind sie überflüssig oder stellen keine gültige Einwilligung dar. Dabei geht es gar nicht primär um Cookies, sondern um die Erhebung und/oder Weitergabe personenbezogener Daten." Vielen Website-Betreibern sei nicht klar, dass sie schon durch die Einbindung von Social-Media-Plugins oder externen Analysetools etwa von Facebook oder Google Analytics eine Weitergabe personenbezogener Daten an Dritte auslösten und gemeinsam mit diesen verantwortlich seien. Auch dort sei die Einwilligung der Nutzer erforderlich.

Dass die meisten Website-Anbieter Nutzer nur mangelhaft informierten oder ihnen keine wirkliche Wahlmöglichkeit böten, ist für Brink rechtswidrig: "Die DSGVO duldet ein solches Verhalten nicht, sondern schützt die Grundrechte der Nutzer. Seitenbetreiber, die sich nicht an die Gesetzesvorgabe halten, müssen mit entsprechenden Konsequenzen rechnen, da die Aufsichtsbehörden vermehrt gegen diese vorgehen." Eine rechtsgültige Einwilligung habe "informiert, vorherig, aktiv, freiwillig, separat von anderen Erklärungen sowie widerruflich zu erfolgen".

Noch keine Sanktionen verhängt

An diesen Bedingungen scheiterten aber die meisten Cookie-Banner, die eigentlich Datenweitergabe-Einwilligungs-Banner heißen und entsprechend formuliert sein müssten. Denn es muss keine Einwilligung für die Nutzung von Cookies eingeholt werden, wohl aber für die Weitergabe von personenbezogenen Daten an Dritte. "Dies muss dann aber auch so beschrieben werden, dass es der normale Nutzer versteht", fordert Brink.

Gefragt nach der Höhe der zu verhängenden Sanktionen sagt Brink jedoch nur: "Seitenbetreiber, die sich nicht an die Gesetzesvorgabe halten, müssen mit entsprechenden Konsequenzen rechnen, da die Aufsichtsbehörden vermehrt gegen diese vorgehen." Seines Wissens nach wurden in Deutschland bisher keine Sanktionen verhängt. Beschwerden von Bürgern über falsche Cookie-Banner stellten derzeit "keinen besonderen Schwerpunkt" dar, doch "das Thema steht bei uns oben auf der Vollzugsliste".

Brink hofft auf Einsicht der Webseiten-Betreiber

Die baden-württembergische Aufsicht ist bisher auch noch nicht gegen den Einsatz von Google Analytics auf behördlichen Websites vorgegangen. Eine gemeinsame Prüfung von Websites durch mehrere Aufsichtsbehörden ist dem Vernehmen nach nicht geplant.

Brink setzt im Moment noch auf die Einsicht der Website-Betreiber. Entsprechend interessant für ihn ist daher dieser Studienbefund: Werden sie mit vorausgefüllten Elementen zur Zustimmung gedrängt, akzeptieren nur zwölf Prozent der Desktop-Nutzer diese Vorauswahl. Dies zeigt laut Brink, "dass den Nutzern ihre Privatsphäre durchaus wichtig ist". Website-Betreiber sollten daher stärker den Wunsch der Nutzer nach mehr Privatsphäre respektieren und den Einsatz von Tracking deutlich zurückfahren. Seine Behörde würde Betreiber gern beraten, wie sich ein moderner Onlinedienst ganz ohne Tracking betreiben ließe.

Zeitungsverlage im Visier

Brink hat mit dieser Bemerkung vor allem Zeitungsverleger und Medienunternehmen im Sinn, die noch keine Alternativen zum Onlinetracking entwickelt haben. Diese wollten mit Unterstützung der Werbeagentur Jung von Matt derzeit lieber eine Kampagne mit dem Titel Gerechtes Netz gegen Amazon, Google und Facebook fahren. Die großen US-Unternehmen machten "ihre Gewinne mit den aufwendig erstellten Inhalten anderer", die "großen Verlierer" seien Zeitungen, Zeitschriften und Bücher.

Nachdem ein internes Schreiben der VG Media geleakt wurde, hat der Zeitungsverlegerverband BDZV sich von der Kampagne distanziert. Kritik an der Kampagne hatte es zuvor bereits vom Europaabgeordneten Tiemo Wölken (SPD) gegeben. Die Kampagne fordere von Google Datenschutz ein, während Seiten wie Bild.de selbst viele Tracker einsetzten und das Verhalten der Leser analysierten. Das könnte demnächst auch ohne die gefürchtete E-Privacy-Verordnung schwieriger werden.  (csh)


Verwandte Artikel:
Elektronische Beweismittel: Regierung sieht Grundrechte durch EU-Pläne gefährdet   
(08.07.2019, https://glm.io/142399 )
Messenger: Telegram löschte Nachrichten nicht zuverlässig   
(11.09.2019, https://glm.io/143797 )
Open-Source-Förderung: EU fragt nach Vorschlägen für Fossa-Projekt   
(03.09.2019, https://glm.io/143598 )
Werbenetzwerke: Weitere DSGVO-Untersuchung gegen Google gestartet   
(23.05.2019, https://glm.io/141468 )
Einigung mit Trump: Frankreich könnte Digitalsteuer wieder zurückzahlen   
(27.08.2019, https://glm.io/143469 )

© 1997–2019 Golem.de, https://www.golem.de/