Forscher und ‚Kekse‘ – wenn Cookie Banner gegen die DSGVO verstoßen

Das Abnicken der Cookies auf Websites gehört mittlerweile zum Alltag eines Internetnutzers, wir wählen die kleinen Kekse aus, die im Hintergrund unsere Daten sammeln, setzen Häkchen, nein die nicht, dafür aber die, oder doch nicht, aber wir müssen ja… also OK oder AKZEPTIEREN anklicken und fleißig weitersurfen (dürfen).

Wie ist das nun mit den Häkchen und den bereits gesetzten? Der Haken an der Sache ist, dass das Einholen der Zustimmung für Tracker und Cookies mittlerweile häufig an Drittanbieter ausgelagert wird, bzw. an deren Consent-Management-Plattformen (CMP). So spart man sich vermeintlich viel Arbeit. Doch nur 11,8 Prozent solcher Seiten erfüllen die Mindestanforderungen der DSGVO!

Oft werden u.a. die Häkchen auf Cookie Bannern schon gesetzt, und wir brauchen nur noch zu akzeptieren. Das bewies eine Studie von Forschern des MIT, der Aarhus Universität aus Dänemark und des University College London. Dies sei nicht DSGVO konform, so die Forscher. Durch eigens dafür entwickelte und automatisierte Tools prüften die Forscher nämlich etliche Cookie-Formulare von CMPs, die in den 10.000 bekanntesten britischen Websites implementiert sind. Das Ergebnis, mangelhaft! Solche Drittanbieter Websites setzen die DSGVO nicht richtig um. Das sollte nicht der Fall sein. Um solche Anbieter ausfindig zu machen könnten die Datenschutzbehörden automatisierte Tools verwenden, wie die von den Forschern entwickelten und eingesetzten, so die Forscher. Designer könnten diese benutzerfreundlich gestalten.

Für das Setzen von Cookies und Trackern ist ein eindeutige Zustimmung der Nutzer erforderlich. Laut DSGVO muss ein Button angeklickt werden bevor man auf der Website surfen kann. Die einzelnen Punkte für die Zustimmung müssen gut sichtbar sein und einfach zu erreichen. Einzelne oder alle Punkte dürfen nicht bereits mit einem Haken vorausgewählt sein. Ebenfalls nicht DSGVO konform: Websites auf denen man trotz des Cookie Banners weiter surfen kann, weil er sich ignorieren lässt.

Nur etwa 30 Prozent der geprüften 10.000 Websites holten sich eine eindeutige Zustimmung ein. Viele CMPs erleichterten die Auswahl an Buttons fürs Akzeptieren der Cookie und Tracking Einstellungen, erschwerten hingegen das Ablehnen aller Punkte. Solch einen Button zum Abwählen aller Punkte gab es nur bei ca. der Hälfte der untersuchten Seiten. Bei nur 12,6 Prozent war dieser so einfach zu erreichen wie der mit dem man allen Punkten zustimmen konnte. Ein weiterer Kritikpunkt der Studie ist, dass für den User nicht ersichtlich ist, ob die Cookie und Tracker Einstellungen auch tatsächlich so umgesetzt werden. Die Studie machte deutlich, dass jede von den Forschern geprüfte Website durchschnittlich Daten an 315 Tracker von Drittanbietern weiter gibt.