Skip to main content

Dark Patterns bei der Cookie-Einwilligung

Ein Dark Pattern ist ein Design einer Benutzeroberfläche, das Nutzer zu Entscheidungen manipuliert, die sie andernfalls nicht treffen würden. Im Kontext der Cookie-Einwilligung lenken Dark Patterns Nutzer dazu, allen Cookies zuzustimmen — nicht durch klare Informationen und eine echte Wahl, sondern durch visuelle Manipulation, verwirrende Sprache und bewusst eingebaute Hürden.

Dark Patterns bei der Cookie-Einwilligung sind nicht nur schlechtes Design — sie stellen ein rechtliches Risiko dar. Datenschutzbehörden in der gesamten EU haben speziell für manipulative Einwilligungsoberflächen erhebliche Bußgelder verhängt, und die aufsichtsrechtliche Kontrolle wird immer strenger.

Warum Dark Patterns die Einwilligung ungültig machen

Nach der GDPR muss die Einwilligung:

  • Freiwillig erteilt werden (Artikel 4 Absatz 11) — der Nutzer muss eine echte Wahl haben, ohne Druck oder Manipulation.
  • Spezifisch sein — die Einwilligung muss für jeden einzelnen Zweck erteilt werden.
  • Informiert erfolgen — der Nutzer muss verstehen, wozu er einwilligt.
  • Unmissverständlich sein — durch eine eindeutige bestätigende Handlung erteilt.

Dark Patterns unterlaufen die Kriterien „freiwillig erteilt" und „informiert" per Design. Wenn die Ablehnungsoption versteckt, visuell in den Hintergrund gedrängt oder hinter mehreren Klicks vergraben ist, wurde die Einwilligung des Nutzers nicht freiwillig erteilt. Wenn die Sprache verwirrend oder irreführend ist, war der Nutzer nicht informiert. In beiden Fällen ist die Einwilligung rechtlich ungültig — und jedes Cookie, das auf Grundlage dieser Einwilligung gesetzt wird, stellt einen Verstoß dar.

Der EU Cookie Pledge

Im November 2023 startete die Europäische Kommission den Cookie Pledge — eine freiwillige Selbstverpflichtung für Unternehmen, faire Cookie-Praktiken anzuwenden. Auch wenn er rechtlich nicht bindend ist, signalisiert der Cookie Pledge die Erwartungen der Kommission und deutet die regulatorische Richtung an.

Zentrale Grundsätze des Cookie Pledge:

  • Das Ablehnen von Cookies muss genauso einfach sein wie das Akzeptieren — bezogen auf die Anzahl der Klicks, die visuelle Darstellung und den kognitiven Aufwand.
  • Keine manipulativen Designelemente, die Nutzer zur Zustimmung lenken.
  • Klare, einfache Sprache, die Nutzer auf einen Blick verstehen.
  • Keine Cookie-Walls, die den Zugang zu Inhalten blockieren.
  • Einfacher Widerruf der Einwilligung zu jeder Zeit.

Zu den Unternehmen, die den Cookie Pledge unterzeichnet haben, gehören mehrere große Marken. Obwohl die Initiative freiwillig ist, haben Datenschutzbehörden in Vollstreckungsentscheidungen ausdrücklich auf die Grundsätze des Pledge Bezug genommen.

EDPB-Leitlinien zu Dark Patterns

Der Europäische Datenschutzausschuss (EDPB) hat die Leitlinien 03/2022 zu Dark Patterns in Benutzeroberflächen von Social-Media-Plattformen veröffentlicht, die weithin auch auf Cookie-Einwilligungsoberflächen angewendet wurden. Die Leitlinien identifizieren sechs Kategorien von Dark Patterns:

  1. Overloading (Überladen) — Nutzer mit übermäßigen Informationen oder Anfragen bombardieren, was zu Entscheidungsmüdigkeit führt.
  2. Skipping (Überspringen) — Oberflächen so gestalten, dass Optionen übersprungen oder vorausgewählt werden, ohne aktive Beteiligung des Nutzers.
  3. Stirring (Beeinflussen) — emotionale Sprache oder visuelle Signale nutzen, um Nutzer zu einer bestimmten Wahl zu lenken.
  4. Hindering (Erschweren) — die Ausübung von Rechten erschweren (z. B. den Ablehnen-Button finden, auf Einstellungen zugreifen, die Einwilligung widerrufen).
  5. Fickle (Unbeständig) — inkonsistentes Design, das Nutzer darüber verwirrt, wo sie sich befinden und was ihre Entscheidungen bedeuten.
  6. Left in the dark (Im Unklaren gelassen) — Informationen verbergen, mehrdeutige Sprache verwenden oder unvollständigen Kontext bereitstellen.

Nationale Datenschutzbehörden haben diese Kategorien als Rahmen genutzt, um Cookie-Banner in Vollstreckungsverfahren zu bewerten.

Häufige Dark Patterns mit Beispielen

Vorangekreuzte Kontrollkästchen

Cookie-Kategorien mit bereits angekreuzten Kontrollkästchen darzustellen, sodass der Nutzer sie aktiv abwählen muss, um die Einwilligung zu verweigern. Dies wurde vom Gerichtshof der Europäischen Union im Fall Planet49 (C-673/17, Oktober 2019) ausdrücklich für ungültig erklärt. Das Gericht entschied, dass vorangekreuzte Kontrollkästchen keine „aktive Willensbekundung" der Einwilligung darstellen.

Trotz dieses eindeutigen Urteils verwenden viele Websites weiterhin vorangekreuzte Präferenzpanels, insbesondere für „Analyse"- oder „Funktions"-Kategorien. Jede dieser Umsetzungen erzeugt eine ungültige Einwilligung.

Kein Ablehnen-Button

Auf der ersten Ebene nur „Alle akzeptieren" und „Einstellungen verwalten" anzuzeigen, ohne eine Option zum Ablehnen. Der Nutzer muss auf „Einstellungen verwalten" klicken, ein sekundäres Panel navigieren, alle Kategorien abwählen und dann auf „Speichern" klicken — typischerweise drei bis fünf Klicks zum Ablehnen gegenüber einem Klick zum Akzeptieren.

Die CNIL (Frankreichs Datenschutzbehörde) ist bei der Durchsetzung gegen dieses Muster besonders energisch vorgegangen. In ihren Vollstreckungsmaßnahmen vom Januar 2022 gegen Google (150 Millionen EUR) und Facebook (60 Millionen EUR) führte die CNIL ausdrücklich das Fehlen eines unkomplizierten Ablehnungsmechanismus auf der ersten Ebene als Verstoß an.

Visuelle Manipulation

Den „Akzeptieren"-Button visuell dominant gestalten und gleichzeitig die „Ablehnen"-Option in den Hintergrund drängen. Häufige Techniken sind:

  • Ein großer, leuchtend gefärbter „Alle akzeptieren"-Button neben einer kleinen, grauen oder transparenten „Ablehnen"-Option.
  • „Akzeptieren" als ausgefüllter, kontraststarker Button, während „Ablehnen" ein Textlink oder Ghost-Button ist.
  • „Akzeptieren" im visuellen Fokuspfad des Nutzers (mittig, rechtsbündig oder in Primärposition), während „Ablehnen" an einer weniger auffälligen Stelle platziert wird.
  • Grün für „Akzeptieren" verwenden (Signal für Sicherheit/Los) und Rot oder Grau für „Ablehnen" (Signal für Gefahr/Stopp/deaktiviert).

Das Prinzip ist einfach: Wenn ein durchschnittlicher Nutzer die Akzeptieren-Option allein aufgrund des visuellen Designs als „Standard-" oder „empfohlene" Aktion wahrnehmen würde, verwendet der Banner ein Dark Pattern.

Verwirrende Sprache und „berechtigtes Interesse"

Manche Einwilligungsoberflächen stellen bestimmte Tracking-Zwecke als auf „berechtigtem Interesse" statt auf Einwilligung beruhend dar, wobei diese Zwecke vorab aktiviert sind und ein Opt-out statt eines Opt-in erfordern. Dies ist nach der GDPR bei echten berechtigten Interessen technisch zulässig, wird jedoch weithin missbraucht.

Wenn ein Cookie-Banner Dutzende von Werbeanbietern unter „berechtigtem Interesse" mit winzigen Schaltern auflistet, ist die praktische Folge, dass die meisten Nutzer nicht verstehen, was sie sehen, und nicht tätig werden — was zu Tracking als Standard führt. Mehrere Datenschutzbehörden, darunter die belgische APD, haben diese Praxis angefochten und argumentiert, dass berechtigtes Interesse nicht die Rechtsgrundlage für Werbetracking sein kann.

Übermäßig viele Klicks zum Ablehnen

Die Asymmetrie des Aufwands ist vielleicht das am weitesten verbreitete Dark Pattern:

Aktion Erforderliche Klicks
Alle Cookies akzeptieren 1 Klick
Alle Cookies ablehnen (Dark Pattern) 3–7 Klicks (Einstellungen öffnen, jede Kategorie abwählen, speichern, ggf. bestätigen)
Alle Cookies ablehnen (rechtskonform) 1 Klick („Alle ablehnen"-Button auf der ersten Ebene)

Die Einwilligungsleitlinien des EDPB sind eindeutig: „Der Widerruf der Einwilligung sollte so einfach sein wie ihre Erteilung." Entsprechend sollte das Ablehnen der Einwilligung nicht mehr Aufwand erfordern als ihre Erteilung.

Cookie-Walls

Eine Cookie-Wall blockiert den Zugang zur Website vollständig, sofern der Nutzer nicht Cookies akzeptiert. Der Seiteninhalt ist hinter einem Overlay verborgen, und die einzige Möglichkeit fortzufahren besteht darin, auf „Akzeptieren" zu klicken.

Der EDPB hat in seinen Leitlinien 05/2020 festgestellt, dass Cookie-Walls in der Regel keine freiwillig erteilte Einwilligung darstellen, weil dem Nutzer keine echte Wahl gelassen wird — es heißt „einwilligen oder gehen". Einige Rechtsordnungen erlauben eine differenzierte Variante (die niederländische Datenschutzbehörde hat beispielsweise angedeutet, dass Cookie-Walls akzeptabel sein können, wenn der Nutzer eine echte gleichwertige Alternative hat), aber die sicherere Position besteht darin, sie ganz zu vermeiden.

Überladen mit Informationen

Manche Banner präsentieren seitenweise dichten Rechtstext, Dutzende von Anbieter-Schaltern und komplexe Kategoriehierarchien — nicht um zu informieren, sondern um zu überfordern. Angesichts einer Textwand und 150 einzelner Anbieter-Schalter klicken die meisten Nutzer schlicht aus Ermüdung auf „Alle akzeptieren". Dies ist das vom EDPB identifizierte „Overloading"-Dark-Pattern: erschöpfende Informationen nutzen, um eine sinnvolle Auseinandersetzung zu verhindern.

Die Lösung ist ein mehrschichtiger Ansatz: kurze, klare Informationen auf der ersten Ebene, wobei detaillierte Informationen verfügbar, aber nicht zwingend zu navigieren sind.

Emotionale Manipulation

Schuldgefühle auslösende oder emotional aufgeladene Sprache verwenden, um Einwilligungsentscheidungen zu lenken:

  • „Nein danke, ein personalisiertes Erlebnis ist mir egal"
  • „Ich sehe lieber irrelevante Werbung"
  • „Mit eingeschränktem Erlebnis fortfahren"
  • Traurige Emojis oder missbilligende Bilder verwenden, wenn sich der Nutzer der Ablehnung nähert

Diese „Confirmshaming"-Techniken vermitteln dem Nutzer das Gefühl, dass die Ablehnung von Cookies eine schlechte oder unsoziale Entscheidung ist. Die Sprache sollte neutral und sachlich sein, nicht emotional.

Reale Vollstreckungsbeispiele

Datenschutzbehörden sind von Leitlinien zur Durchsetzung übergegangen. Hier sind bemerkenswerte Fälle, in denen Dark Patterns bei der Cookie-Einwilligung zu erheblichen Bußgeldern geführt haben:

CNIL gegen Google (150 Millionen EUR) — Januar 2022

Die CNIL stellte fest, dass google.fr keinen Mechanismus bot, um Cookies genauso einfach abzulehnen wie zu akzeptieren. Das Akzeptieren von Cookies erforderte einen Klick; das Ablehnen erforderte das Navigieren durch mehrere Bildschirme. Das Bußgeld wurde durch die Anordnung ergänzt, innerhalb von drei Monaten einen „Alle ablehnen"-Button auf der ersten Ebene bereitzustellen.

CNIL gegen Facebook (60 Millionen EUR) — Januar 2022

Dieselbe Vollstreckungsmaßnahme. Facebooks Cookie-Banner auf facebook.com fehlte eine Ablehnungsoption auf der ersten Ebene. Nutzer mussten sich durch die Einstellungen navigieren, um Cookies abzulehnen. Die CNIL verhängte das Bußgeld und ordnete Abhilfe an.

CNIL gegen Microsoft (60 Millionen EUR) — Dezember 2022

Die CNIL stellte fest, dass bing.com Werbe-Cookies ohne ordnungsgemäße Einwilligung ablegte und dass der Cookie-Banner keine gleich einfache Möglichkeit bot, Cookies abzulehnen.

CNIL gegen TikTok (5 Millionen EUR) — Dezember 2022

TikToks Cookie-Banner erforderte mehrere Aktionen, um Cookies abzulehnen. Die CNIL befand, dass dies gegen die Anforderung gleich zugänglicher Einwilligungs- und Ablehnungsmechanismen verstieß.

Italienische Garante gegen verschiedene Unternehmen — 2023

Die italienische Datenschutzbehörde führte Kontrollaktionen gegen Dark Patterns bei Cookie-Bannern durch und verhängte Verwarnungen und Bußgelder gegen mehrere Unternehmen wegen manipulativer Gestaltung von Akzeptieren-/Ablehnen-Buttons.

So gestalten Sie ethische Einwilligungsoberflächen

Die Gestaltung einer ethischen Cookie-Einwilligungsoberfläche geht nicht nur darum, Bußgelder zu vermeiden — es geht darum, Ihre Nutzer zu respektieren und Vertrauen aufzubauen. Hier sind die Grundsätze:

  1. Gleiche Auffälligkeit. Akzeptieren- und Ablehnen-Optionen müssen in Größe, Farbgewicht und Platzierung visuell identisch sein. Wenn „Akzeptieren" ein ausgefüllter blauer Button ist, muss „Ablehnen" ebenfalls ein ausgefüllter Button gleicher Größe sein.
  2. Gleicher Aufwand. Das Ablehnen von Cookies muss dieselbe Anzahl von Klicks erfordern wie das Akzeptieren. Ein Klick zum Akzeptieren bedeutet ein Klick zum Ablehnen.
  3. Klare Sprache. Verwenden Sie einfache, neutrale Sprache. „Alle akzeptieren" und „Alle ablehnen" — nicht „Akzeptieren" und „Mehr erfahren".
  4. Keine Voreinstellungen. Alle nicht notwendigen Cookie-Kategorien müssen standardmäßig deaktiviert sein. Keine vorangekreuzten Kontrollkästchen, keine vorab aktivierten berechtigten Interessen.
  5. Ehrliche Informationen. Beschreiben Sie sachlich, was Cookies tun. Keine Beschönigungen, keine Angsttaktiken, keine emotionale Manipulation.
  6. Zugängliche Einstellungen. Das Präferenzpanel sollte unkompliziert zu navigieren sein, mit klaren Kategorien und prägnanten Beschreibungen.
  7. Einfacher Widerruf. Ein dauerhaft sichtbares Einstellungssymbol oder ein Link muss auf jeder Seite verfügbar sein, damit Nutzer ihre Präferenzen jederzeit ändern können.

Checkliste: Ist mein Banner frei von Dark Patterns?

Verwenden Sie diese Checkliste, um Ihren aktuellen Cookie-Banner zu prüfen:

  1. Gibt es einen „Alle ablehnen"-Button auf der ersten Ebene des Banners?
  2. Hat der Ablehnen-Button die gleiche Größe wie der Akzeptieren-Button?
  3. Hat der Ablehnen-Button denselben visuellen Stil wie der Akzeptieren-Button (beide ausgefüllt, beide umrandet usw.)?
  4. Erfordert das Ablehnen von Cookies dieselbe Anzahl von Klicks wie das Akzeptieren?
  5. Sind alle nicht notwendigen Cookie-Kategorien im Präferenzpanel standardmäßig deaktiviert?
  6. Ist die Sprache neutral und sachlich (kein Schuldgefühl-Erzeugen, keine emotionale Manipulation)?
  7. Kann der Nutzer auf die Inhalte der Website zugreifen, ohne Cookies zu akzeptieren (keine Cookie-Wall)?
  8. Kann der Nutzer seine Präferenzen jederzeit über einen sichtbaren Link oder ein Symbol ändern?
  9. Ist die Zweckbeschreibung spezifisch (nicht nur „Ihr Erlebnis verbessern")?
  10. Werden keine Cookies gesetzt, bevor der Nutzer eine Wahl trifft?

Wenn Sie eine dieser Fragen mit „nein" beantwortet haben, enthält Ihr Banner möglicherweise Dark Patterns, die Sie einem aufsichtsrechtlichen Risiko aussetzen.

Der Einwilligungsbanner von Passiro ist von Grund auf so konzipiert, dass er frei von Dark Patterns ist und standardmäßig jedes Kriterium dieser Checkliste erfüllt. Erfahren Sie, wie Passiro Ihnen helfen kann, eine ethische, rechtskonforme Cookie-Einwilligung umzusetzen.

Erfüllt Ihre Website die Cookie-Vorschriften?

Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.

Cookies kostenlos scannen