Cookie-Banner und Dark Patterns

Kekse auf einem Teller — Cookie-Banner und Dark Patterns
Ach, geht doch weg!

Der Beitrag wächst seit langem vor sich hin und ich bin immer noch nicht ganz happy damit, man könnte an vielen Stellen weiter ausführen. Aber egal, irgendwann muss man auch mal was fertigbekommen, daher hier mal mein Arbeitsstand. Ich denke, die Grundaussagen sind so weit enthalten.

Die DSGVO zum Thema Cookies und Einwilligung

Seit nun gut zwei Jahren ist die DSGVO in Kraft und hat für viel Verunsicherung bei den Kunden geführt und Juristen, Datenschutzbeaufragten und Entwicklern reichlich Arbeit beschert.

Im Kern soll die DSGVO (und verwandte Regelungen wie ePR) die Privatsphäre von Benutzern/Kunden schützen und Datenmissbrauch verhindern. In der DSGVO finden sich dazu einige nachvollziehbare und eigentlich recht eindeutige Grundsätze, u.a.:

Privacy by Design – Die technische Seite des Datenschutzes. Daten die gar nicht erst anfallen (oder anonymisiert werden) können keinen Schaden anrichten. Datensparsamkeit als Prinzip.
Privacy by Default – Der Standard sollen möglichst datenschutzfreundliche Einstellungen sein, allem Weiteren muss der User mit Opt-In zustimmen.

Kann man damit nun noch überhaupt noch externe Dienste, z.B. Google Analytics, einbinden? Aus meiner Sicht: ja, aber man muss sich vom Benutzer die explizite Einwilligung dazu holen. Das passiert dann über die allseits beliebten Cookie-Banner.

Wie die Einwilligung aussehen soll, wird in der DSGVO unter anderem in Artikel 4 Absatz 11 definiert:

„"Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“

Die Einwilligung muss also freiwillig, informiert und aktiv sein.

Ein „gutes“ Cookiebanner bzw. eine datensschutzkonforme Webseite ist daher so zu gestalten, dass in der Defaulteinstellung (ausser zu notwendigen Zwecken) keine persönlichen Daten erhoben oder verarbeitet werden. Zu weiterer Datenverabeitung, z.B. Analytics, muss der User dann freiwillig, informiert und aktiv zustimmen.

The dark side

Das ist natürlich ein Problem für die Werbetreibenden, denn, und das zeigen auch Studien, bei wirklich freier und informierter Wahl wählen nur die wenigsten Besucher einer Seite die „Oh ja, undurchsichtige Statistik- und Werbenetzwerke, ich will bitte getracked werden“-Option.

Was sehen wir da draussen also für „kreative“ Maßnahmen von Webseitenbetreibern, um möglichst viele Benutzer zu einer Zustimmung zu bewegen?

Neben vielen Seiten, die (aus meiner Sicht) noch viel zu laxe Defaulteinstellungen haben und wahrscheinlich nicht DSGVO-konform sind nun vor allem Cookiebanner in Mode, die versuchen, den Nutzer in Richtung möglichst umfassende Zustimmung zu bewegen.

Dazu werden auch gerne Dark Patterns eingesetzt, also eine absichtlich unklare UI, die den Nutzer in die eine oder andere Richtung lenken soll.

Hier eine kleine Auswahl:

Variante Opt-Out

Cookie Hinweis von bild.de. der nur Opt-Out via einen Link zur Datenschutzerklärung erlaubt.

Die sieht man mittlerweile weniger. Auch Bild.de, von der obiger Screenshot stammt, hat das kurz nach den Screenshots geändert.

Ich bin da nun echt kein Bild-Leser, die mögen ohnehin mein umatrix-Scriptblocker nicht, aber jemand meinte erst in einer Diskussion zu dem Thema: bild.de macht das doch auch so (also, nur einen Cookiehinweis anzeigen mit OK und ohne Wahlmöglichkeiten), also kann ich das doch auch.

Hier gibt es also nur einen OK-Button und einen Link zur Seite Datenschutz, dort dann die Möglichkeit, einige verarbeitende Dienste auszuschalten. Ich hab ja keine Ahnung, aber wenn mich jemand fragen würde, würde ich so eine Lösung für nicht korrekt halten, da der Default falsch ist und Opt-Out statt Opt-in verwendet wird.

Ich hab das nicht weiter untersucht, auffallend war aber noch, dass das Cookiebanner nach etwa 10s verschwunden ist und dann, so würde ich das interpretieren, eine Zustimmung angenommen und gespeichert wurde im cookie oil_data (immerhin nur für die aktuelle Session gültig):

oil_data:"{%22opt_in%22:true%2C%22version%22:%221.3.3-RELEASE%22%2C%22localeVariantName%22:%22deDE_01_bild.de%22%2C%22localeVariantVersion%22:9%2C%22customPurposes%22:[]%2C%22consentString%22:%22%22%2C%22configVersion%22:0}"

Hätte mich wirklich interessiert, was da der zuständige Datenschutzbeauftrage dazu gesagt hätte. Aber mittlerweile machen die das ja wie gesagt anscheinend besser.

Variante "Jamba" / Dark Patterns

Cookie Hinweis avv.de, Screenshot vom 27.09.2020

Bei dieser Variante wird zwar ein an sich korrekter Cookiehinweis mit korrekter Defaultauswahl angezeigt, durch Dark Patterns wird allerdings versucht, eine höhere Zustimmungsquote zu erzielen.

Ich nenne das gerne die Variante „Jamba“. Man versucht hier absichtlich, den Benutzer in die Irre zu führen. Kann man machen, wenn man sein unternehmen gerne in die Nähe dubioser Klingeltonanbieter rücken möchte.

Nicht lange suchen muss man nach der Variante, bei der es einen großen, farbig hervorgehobenen Button gibt, der dann alle Cookies/Datenverarbeitung erlaubt. Um nur notwendige Cookies zuzulassen, muss man meist einen weniger prominenten Button suchen oder ein Einstellungsmenü öffnen.

Die Vorauswahl ist hier richtig, nur notwendige Cookies sind erlaubt. Klickt man aber auf den hervorgehobenen „Alles akzeptieren“ Button, dann werden auch weitere externe Dienste erlaubt.

Der obige Screenshot stammt vom Aachener Verkehrverbund und war eben der erste mit diesem Dark Pattern, der mir eben beim Suchen danach unterkam. Ich möchte betonen, dass mir, abgesehen von der (absichtlich?) irreführenden UI, die restliche Umsetzung hier recht gut gefällt. Und man soll auch manchmal was loben, hab ich gehört:

Auch wenn man alle Cookies/externen Dienste akzeptiert, wird hier kein Mist (aka zig Werbetracker) geladen, sondern optionale Inhalte wie Google Maps, die eben funktionsbedingt bei externen Anbietern liegen. Auch das Tracking bzw. Erstellen von Statistiken mit einer selbstgehosteten Matomo-Instanz ist vorbildlich.

Variante Ufo-Kommandozentrale

Sehr beliebt sind auch Cookie-Banner, die mehrere Ebenen haben und hunderte Optionen, die man einzeln abwählen muss.

Variante Button verstecken

Öfter fielen mir nun auch Cookie-Hinweise auf, wo der datenfreundliche Button irgendwie versteckt war. Also entweder ausserhalb des Viewports, so dass man scrollen muss, oder gleich verdeckt durch ein weiteres Banner oder statischen Footer. Kann natürlich einfach nur schlecht getestet sein, aber vielleicht ist das bei manchen dann doch eher ein gewünschtes Feature als ein Bug.

Final thoughts und mein kleiner Beitrag

Viele Webseitenbetreiber versuchen, sich irgendwie die Zustimmung zu User-Tracking zu erschleichen. Oft mit Methoden, die im „Graubereich“ angesiedelt sind und Dark Patterns einsetzen, um die Zustimmungsrate zu erhöhen. Studien zeigen auch, dass die Zustimmungsrate sehr niedrig ausfällt, wenn man dem Nutzer wirklich die freie und informierte Wahl lässt.

Ich habe nichts gegen Werbung, wenn das das Finanzierungsmodell für eine Webseite ist. Ich verstehe auch, dass ein Webseitenbetreiber einige Daten und Statistiken zu den Besuchern und der Nutzung seiner Seite braucht. Aber ich habe kein Verständnis dafür, dass die Daten dann in große und intransparente Trackingnetzwerke fliessen.

Ich halte es für begrüßenswert, dass sich unsere Datenschutzbehörden dem Thema nun endlich annehmen wollen und zunächst mal die 100 grössten Nachrichtenseiten prüfen. Man bemerkt jetzt schon erste Anpassungen, z.B. hat bild.de nun einen korrekteren Cookie-Hinweis und nicht mehr ein einfaches „OK“ wie oben als Beispiel gezeigt. Es bleibt zu hoffen, dass hier klare Richtlinien im Sinne des Datenschutzes aufgestellt und auch konsequent überprüft und durchgesetzt werden.

Ganz unabhängig von den Gesetzen werden bald auch die Browserhersteller (also Chrome und die paar Prozent andere Browser, die es noch gibt) die Daumenschrauben weiter anziehen und Third-Party-Cookies per Default blocken. Ab da wird sich die Werbeindustrie ohnehin weiter anpassen müssen.

Die Werbeindustrie sucht auch bereits nach Wegen, trotz all dieser Einschränkungen weiter im Geschäft zu bleiben. Bleibt zu hoffen, dass es dabei nicht nur darum gehen wird, weitere Schlupflöcher zu finden und die Privatsphäre der Nutzer noch tiefer zu penetrieren, sondern Datenschutz höchste Priorität bekommt.

Als Webseitenbetreiber sollte man sich fragen: Brauche ich diese Werbenetzwerke wirklich? Was bringt mir das? Und auf der anderen Seite: Wie viel Schaden wird verursacht. Z.B. schaden irreführende Cookie-Hinweise glaube ich dem Ruf eines Unternehmens. Klar kann man seine Nutzer mit psychologischen Tricks reinlegen um mehr tracken zu können. Es könnte aber auch sein, dass der Nutzer das durchschaut und das Vertrauen in ein Unternehmen dadurch schwindet. Abgesehen davon: Ich glaube es ist aus Merketingsicht ganz schlecht, einen neuen Benutzer mit Cookie-Bannern zu nerven, vor allem, wenn der Nutzer dann auch noch nachdenken muss. „Don't make me think“.

Fun-Fact: Die originale Cookie-Spezifikation (1997) war DSGVO-konform.

Mein kleiner Beitrag

Ich achte darauf, immer nur die minimal notwendigen Cookies in den Cookie-Hinweisen zu erlauben. Wenn ich auf irreführende Cookie-Hinweise treffe oder solche, wo sich Werbetracker nicht abwählen lassen, dann verlasse ich diese Seiten auch wieder. Andere Webserver haben auch schöne Webseiten. Ich habe die Hoffnung, dass da irgendwo Marketingleute sitzen, denen die Ablehnung bzw. die Absprungraten auffallen werden. Vielleicht kommen die dann irgendwann zu dem Schluss, dass so umfangreiches Tracking weder notwendig noch lohnend ist. Also, falls die Statistiken überhaupt irgendjemand anschaut.