Cookie-Banner: Diese Tricks sind illegal

Fast jede Webseite begrüßt ihre Besucher mit einem Cookie-Banner. Doch viele dieser Banner sind so gestaltet, dass sie Nutzer in die Zustimmung drängen, anstatt eine echte Wahlmöglichkeit zu bieten. Das Deutsches Institut für Verbraucherschutz (DIV) hat hunderte Cookie-Banner deutscher Webseiten untersucht und zeigt, welche Praktiken gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Diese Cookie-Tricks sind rechtswidrig

• Ablehnen schwerer als Zustimmen: Das Ablehnen von Cookies muss genauso einfach sein wie das Akzeptieren. Ein großer, farbiger „Alle akzeptieren"-Button neben einem kleinen, grauen „Einstellungen"-Link verstößt gegen Art. 7 DSGVO. Die Einwilligung muss freiwillig sein – ein Design, das die Ablehnung erschwert, erfüllt diese Anforderung nicht.
• Fehlende Ablehn-Option: Manche Banner bieten nur die Optionen „Akzeptieren" und „Einstellungen verwalten" an, ohne eine direkte Möglichkeit zur Ablehnung. Dies ist nach Rechtsprechung des Europäischen Gerichtshofs (EuGH) unzulässig.
• Vorausgewählte Häkchen: Wenn in den Cookie-Einstellungen bestimmte Kategorien vorausgewählt sind, ist dies ein Verstoß gegen die DSGVO. Die Einwilligung muss durch eine aktive Handlung erfolgen (Opt-in).
• Cookie-Walls: Einige Webseiten sperren den Zugang vollständig, wenn Cookies abgelehnt werden. Diese sogenannten Cookie-Walls sind in den meisten Fällen unzulässig, da sie die Freiwilligkeit der Einwilligung untergraben.
• Unvollständige Information: Das Banner muss klar darüber informieren, welche Cookies zu welchem Zweck gesetzt werden und welche Drittanbieter Daten erhalten. Vage Formulierungen wie „Wir verwenden Cookies, um Ihr Erlebnis zu verbessern" reichen nicht aus.

Aktuelle Rechtsprechung und Bußgelder

Die deutschen Datenschutzbehörden gehen zunehmend gegen rechtswidrige Cookie-Praktiken vor. Die Datenschutzkonferenz (DSK) hat klare Leitlinien veröffentlicht: Der Ablehn-Button muss auf der ersten Ebene des Banners sichtbar sein und darf in Farbe, Größe und Platzierung nicht gegenüber dem Zustimmungs-Button benachteiligt werden.

In Frankreich hat die Datenschutzbehörde CNIL bereits Millionenstrafen gegen Google und Facebook verhängt, weil deren Cookie-Banner die Ablehnung unverhältnismäßig erschwerten. Auch in Deutschland drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes nach Art. 83 DSGVO.

So setzen Sie Ihre Rechte durch

Wenn ein Cookie-Banner gegen die DSGVO verstößt, haben Sie mehrere Möglichkeiten: Reichen Sie eine Beschwerde bei der zuständigen Datenschutzbehörde Ihres Bundeslandes ein. Die Beschwerde ist kostenlos und kann in der Regel online eingereicht werden. Die Behörde ist verpflichtet, den Fall zu prüfen.

Nutzen Sie die Browser-Erweiterung „I don't care about cookies" oder ähnliche Tools, die automatisch alle nicht notwendigen Cookies ablehnen. Aktivieren Sie die „Do Not Track"-Einstellung in Ihrem Browser und verwenden Sie regelmäßig die Cookie-Löschfunktion. Das DIV rät: Nehmen Sie sich die wenigen Sekunden Zeit, Cookies aktiv abzulehnen – Ihre persönlichen Daten sind es wert.