Laut einer aktuellen Studie der Ruhr-Universität Bochum und der University of Michigan sind die meisten Cookie-Banner auf europäischen Webseiten nicht datenschutzkonform. Außerdem zeigen die Ergebnisse der Untersuchung, welche Cookie-Hinweise Webseitenbesucher eher ablehnen und welche sie eher akzeptieren.
Disclaimer
Dieser Blogbeitrag ist keine Rechtsberatung. Im Rahmen unserer Arbeit als WordPress-Hoster haben wir uns sehr intensiv mit den in der EU geltenden Datenschutzbestimmungen beschäftigt. Wir sind aber weder Juristen noch Datenschutz-Experten. Für die Vollständigkeit, Aktualität und Richtigkeit der von uns bereitgestellten Inhalte wird keine Haftung von uns übernommen.
Bei Cookies herrscht noch immer Unklarheit
Seit dem 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedsstaaten der Europäischen Union wirksam. Das bedeutet, dass bei Missachtung der Vorgaben hohe Bußgelder verhängt werden können. Das Ziel der DSGVO ist es, durch eine Vereinheitlichung des Datenschutzes personenbezogene Daten in allen EU-Mitgliedsstaaten gleichermaßen zu schützen und die Rechte von Internetnutzern stärken.
Da die Vorgaben der DSGVO zum Teil unterschiedlich interpretiert werden, ist die aktuelle Rechtslage zur Nutzung von Cookies alles andere als eindeutig. Diese Unsicherheit spiegelt sich in den unzähligen Variationen von Cookie-Hinweisen auf europäischen Webseiten wider.
Welche Dinge du bei der Umsetzung eines Cookie-Opt-ins beachten musst, hat uns Rechtsanwalt Mario Steinberg in seinem Gastbeitrag “Cookie Banner – Aber richtig!” verraten.
Die sogenannte E-Privacy-Verordnung soll die DSGVO in dieser Hinsicht weiter präzisieren und ergänzen. Da aktuell noch viele inhaltliche Fragen und Diskussionspunkte der Verordnung zu klären sind, werden Webseitenbetreiber wahrscheinlich erst 2020 damit konfrontiert. Das bedeutet aber nicht, dass du dich nicht jetzt schon darauf vorbereiten solltest!
Hinzu kommt, dass ein Urteil des Europäischen Gerichtshofs (EuGH) vom 29. Juli 2019 Cookie-Opt-ins zur abmahnbaren Pflicht erklärt hat. Diese Information scheint allerdings noch lange nicht bei allen Webseitenbetreibern angekommen zu sein. Darauf deutet zumindest eine Studie hin, die ich dir im Folgenden vorstellen möchte.
„*“ zeigt erforderliche Felder an
Studie untersucht Interaktion mit Cookie Bannern
Forscher der Ruhr-Universität Bochum und der University of Michigan haben 1.000 Cookie-Hinweise analysiert, um herauszufinden, wie die Umsetzung von Cookie-Bannern aktuell in der EU aussieht. Im Rahmen ihrer Studie untersuchten sie u.a. die Platzierung der Banner, die Anzahl der Auswahlmöglichkeiten und ob Nutzer zur Einwilligung gedrängt wurden („nudging“).

Außerdem wurde über einen Zeitraum von 4 Monaten bei über 80.000 unique Besuchen auf einer deutschen Shop-Webseite untersucht, wie die Nutzer mit verschiedenen Variationen von Cookie-Hinweisen interagieren.
Das Ziel der Studie ist es herauszufinden, wie man einen Cookie-Banner gestaltet, der Nutzer motiviert, sinnvoll damit zu interagieren, statt den Hinweis wegzuklicken oder die Seite zu verlassen.
Eine Erkenntnis der Studie dürfte vielen Seitenbetreibern und Marketingverantwortlichen Sorgenfalten auf die Stirn treiben. Denn: Bei rechtskonformen Cookie-Bannern war die Einwilligungsrate zum Tracking am geringsten.
Konkret untersucht die Studie folgende Forschungsfragen:
- Beeinflusst die Position des Cookie-Banners, ob ein Besucher einwilligt oder nicht?
- Beeinflusst die Anzahl der Auswahlmöglichkeiten bzw. vorausgefüllte Checkboxen (“nudging”) die Interaktion der Nutzer?
- Beeinflusst das Vorhandensein eines Links zur Datenschutzerklärung oder der Begriff “Cookies” die Entscheidung der Nutzer?
Die wichtigsten Ergebnisse zusammengefasst
Platzierung
Die Studie hat ergeben, dass 58 Prozent der Cookie-Banner am unteren Bildschirmrand platziert sind und 93 Prozent der Banner die Interaktion mit der Website nicht blockieren. Außerdem hat die Position einen Einfluss auf die Interaktion: Cookie-Banner im unteren, linken Teil des Bildschirms erhalten die größte Aufmerksamkeit.

Auswahlmöglichkeiten
86 Prozent der Cookie-Banner stellen gar keine Auswahlmöglichkeiten zur Wahl, sondern informieren die Nutzer lediglich darüber, dass Cookies verwendet werden. Darüber hinaus versucht die Mehrheit der Banner (57%), die Nutzer zur Einwilligung zu bewegen (“nudging”). Das geschieht zum Beispiel durch die optische Hervorhebung des OK-Buttons, der alle vorausgefüllten Cookies bestätigt, sowie das Ausgrauen der weiterführenden Optionen.
Was ist der Einfluss der Auswahl auf die Interaktion? Bei komplexeren Auswahlmöglichkeiten (z.B. verschiedene Kategorien von Cookies, die aktiv ausgewählt werden müssen) akzeptieren die meisten Webseitenbesucher die Cookies nicht. Wenn die Häkchen allerdings bereits ausgefüllt sind und das Design die Einwilligung hervorhebt, übernehmen viele Nutzer die (datenschutzunfreundlichen) Standardeinstellungen. Eine hohe Interaktion findet bei binären Auswahlmöglichkeiten statt (ein Button zum Akzeptieren und ein Button zum Ablehnen aller Cookies).

Außerdem fanden die Forscher heraus, dass der Begriff “Cookies” im Banner die Akzeptanz verringert. Das lässt darauf schließen, dass die Nutzer etwas Negatives oder nicht vertrauenswürdiges mit dem Wort “Cookies” verbinden. Somit wäre als alternative Überschrift des Cookie-Banners “Nutzung persönlicher Daten” oder “Datenschutzeinstellungen” denkbar.
92 Prozent der untersuchten Cookie-Hinweise enthalten zwar einen Link zur Datenschutzerklärung, aber nur ein Drittel (39%) nennen den Zweck der Datenerhebung oder die Information, wer auf die Daten zugreifen kann (21%).
Die Forschergruppe kommt zu dem Schluss, dass nur ein Bruchteil der Nutzer (<0,1%) allen Cookies zustimmt, wenn der Banner alle Forderungen der Datenschutzbehörden regelkonform umsetzt (einzelne Cookie-Kategorien, nicht vorausgefüllt, kein nudging).
Laut eines Facebook-Posts von Rechtsanwalt Dr. Thomas Schwenke ist jedoch noch nicht gerichtlich entschieden, ob die Checkboxen der einzelnen Cookie-Kategorien vorausgefüllt sein dürfen oder nicht. Bis diese Frage gerichtlich geklärt ist, werden sich vermutlich die meisten Webmaster für die vorausgefüllte Variante entscheiden.

Fazit
Zusammenfassend zeigt die Studie, dass die Platzierung, die Art des Opt-in-Verfahrens sowie das Design des Banners die Interaktion der Webseitenbesucher maßgeblich beeinflussen. Die Unterschiede der Nutzerinteraktion mit dem Banner lagen dabei zwischen 5 und 55 Prozent.
Insgesamt gilt: Je mehr Auswahlmöglichkeiten in einem Cookie-Hinweis angeboten werden, desto wahrscheinlicher ist es, dass Nutzer die Verwendung von Cookies ablehnen. Wenn bei mehreren möglichen Cookie-Kategorien keine Checkbox vorausgefüllt ist (was nach der DSGVO-Vorgabe „privacy by default“ gegeben sein müsste), würden weniger als 0,1 Prozent der Besucher allen Cookies zustimmen.
Was sagst du zu den Ergebnissen der Studie? Hast du bereits einen wasserdichten Cookie-Hinweis im Einsatz oder wartest du auf die E-Privacy-Verordnung? Ich freue mich über deinen Kommentar!
Quelle: Die Studienergebnisse werden zeitnah in einem Paper mit dem Titel “(Un)informed Consent: Studying GDPR Consent Notices in the Field” veröffentlicht, welches uns in der Vorab-Version vorliegt. Die Autoren des Papers sind Christine Utz, Martin Degeling, Sascha Fahl, Florian Schaub, und Thorsten Holz. Die verwendeten Grafiken stammen aus einem Twitter-Thread von Martin Degeling.
Beitragsbild: Nadine Shaabana | Unsplash
Thank you for this tool. By far, everything is green for my website, too.
A big problem for website owners are some of the „free plugins“. There are a lot of companies which, through this free plugins, spies the website audience, without the consent of them or even of the website’s owner.
Hi Leefke,
Ich denke, diese Studie zeigt die richtigen Ergebnisse. Niemand mag Cookies.
Daher setzen viele Websites Cookies ohne Erlaubnis.
Ich überprüfe immer unbekannte Websites, bevor ich sie herunterlade. Ich überprüfe ihre Cookies.
Es gibt einen Dienst, der dies sehr schnell erledigt: https://2gdpr.com
Wenn Cookies sofort gesetzt werden, ist das Cookie-Banner auf der Website eine Lüge.
Liebe Grüße – Archi
Hi Archi
Danke für den Tipp mit dem Tool, kannte ich ebenfalls noch nicht.
Bei mir zeigts alles grün an.
Bedeutet dies, dass meine getestete Website somit (offiziell) mit der DSGVO im Einklang ist oder ist dies lediglich ein Anhaltspunkt? Wie schätzt du dies ein?
Liebe Grüsse
Michael
Hi Archi,
vielen Dank für deinen Input, den Dienst kannte ich tatsächlich noch gar nicht. Sehr praktisch!
Liebe Grüße
Leefke