Laut einer aktuellen Studie der Ruhr-Universität Bochum und der University of Michigan sind die meisten Cookie Banner auf europäischen Websites nicht datenschutzkonform. Außerdem zeigen die Ergebnisse der Untersuchung, welche Cookie Hinweise eher abgelehnt und welche eher akzeptiert werden.
Disclaimer
Dieser Blogbeitrag ist keine Rechtsberatung. Im Rahmen unserer Arbeit als WordPress Hoster haben wir uns sehr intensiv mit den in der EU geltenden Datenschutzbestimmungen beschäftigt. Wir sind aber weder Juristen noch Datenschutzexperten. Für die Vollständigkeit, Aktualität und Richtigkeit der von uns bereitgestellten Inhalte wird keine Haftung von uns übernommen.
Bei Cookies herrscht noch immer Unklarheit
Seit dem 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedsstaaten der Europäischen Union wirksam. Das bedeutet, dass bei Missachtung der Vorgaben hohe Bußgelder verhängt werden können. Das Ziel der DSGVO ist es, durch eine Vereinheitlichung des Datenschutzes personenbezogene Daten in allen EU-Mitgliedsstaaten gleichermaßen zu schützen und die Rechte der Menschen im Internet zu stärken.
Da die Vorgaben der DSGVO zum Teil unterschiedlich interpretiert werden, ist die aktuelle Rechtslage zur Nutzung von Cookies alles andere als eindeutig. Diese Unsicherheit spiegelt sich in den unzähligen Variationen von Cookie Hinweisen auf europäischen Websites wider.
Welche Dinge du bei der Umsetzung eines Cookie Opt-ins beachten musst, hat uns Rechtsanwalt Mario Steinberg in seinem Gastbeitrag “Cookie Banner – Aber richtig!” verraten.
Die sogenannte E-Privacy-Verordnung soll die DSGVO in dieser Hinsicht weiter präzisieren und ergänzen. Da noch viele inhaltliche Fragen und Diskussionspunkte der Verordnung zu klären sind, werden wir damit aber bis jetzt nicht konfrontiert. Das bedeutet aber nicht, dass du dich nicht jetzt schon darauf vorbereiten solltest!
Hinzu kommt, dass ein Urteil des Europäischen Gerichtshofs (EuGH) vom 29. Juli 2019 Cookie Opt-ins zur abmahnbaren Pflicht erklärt hat. Diese Information scheint allerdings noch lange nicht bei allen angekommen zu sein. Darauf deutet zumindest eine Studie hin, die ich dir im Folgenden vorstellen möchte.
„*“ zeigt erforderliche Felder an
Studie untersucht Interaktion mit Cookie Bannern
An der Ruhr-Universität Bochum und der University of Michigan wurden 1.000 Cookie Hinweise analysiert, um herauszufinden, wie die Umsetzung von Cookie Bannern aktuell in der EU aussieht. Im Rahmen ihrer Studie untersuchten sie u.a. die Platzierung der Banner, die Anzahl der Auswahlmöglichkeiten und ob man zur Einwilligung gedrängt wurde („nudging“).
Außerdem wurde über einen Zeitraum von 4 Monaten bei über 80.000 unique Besuchen auf einer deutschen Shop-Website untersucht, wie mit verschiedenen Variationen von Cookie Hinweisen interagiert wird.
Das Ziel der Studie ist es herauszufinden, wie man einen Cookie Banner gestaltet, der zu einer sinnvollen Interaktion damit motiviert, statt den Hinweis wegzuklicken oder die Website zu verlassen.
Eine Erkenntnis der Studie dürfte vielen Leuten Sorgenfalten auf die Stirn treiben. Denn: Bei rechtskonformen Cookie Bannern war die Einwilligungsrate zum Tracking am geringsten.
Konkret untersucht die Studie folgende Forschungsfragen:
- Beeinflusst die Position des Cookie Banners, ob jemand einwilligt oder nicht?
- Beeinflusst die Anzahl der Auswahlmöglichkeiten bzw. vorausgefüllte Checkboxen („nudging“) die Interaktion?
- Beeinflusst das Vorhandensein eines Links zur Datenschutzerklärung oder der Begriff „Cookies“ die Entscheidung?
Die wichtigsten Ergebnisse zusammengefasst
Platzierung
Die Studie hat ergeben, dass 58 Prozent der Cookie Banner am unteren Bildschirmrand platziert sind und 93 Prozent der Banner die Interaktion mit der Website nicht blockieren. Außerdem hat die Position einen Einfluss auf die Interaktion: Cookie Banner im unteren, linken Teil des Bildschirms erhalten die größte Aufmerksamkeit.
Auswahlmöglichkeiten
86 Prozent der Cookie Banner stellen gar keine Auswahlmöglichkeiten zur Wahl, sondern informieren lediglich darüber, dass Cookies verwendet werden. Darüber hinaus versucht die Mehrheit der Banner (57%), die Personen zur Einwilligung zu bewegen (“nudging”). Das geschieht zum Beispiel durch die optische Hervorhebung des OK-Buttons, der alle vorausgefüllten Cookies bestätigt, sowie das Ausgrauen der weiterführenden Optionen.
Was ist der Einfluss der Auswahl auf die Interaktion? Bei komplexeren Auswahlmöglichkeiten (z.B. verschiedene Kategorien von Cookies, die aktiv ausgewählt werden müssen) akzeptieren die meisten die Cookies nicht. Wenn die Häkchen allerdings bereits ausgefüllt sind und das Design die Einwilligung hervorhebt, übernehmen viele die (datenschutzunfreundlichen) Standardeinstellungen. Eine hohe Interaktion findet bei binären Auswahlmöglichkeiten statt (ein Button zum Akzeptieren und ein Button zum Ablehnen aller Cookies).
Außerdem fanden die Forscher heraus, dass der Begriff „Cookies“ im Banner die Akzeptanz verringert. Das lässt darauf schließen, dass die meisten etwas Negatives oder nicht vertrauenswürdiges mit dem Wort „Cookies“ verbinden. Somit wäre als alternative Überschrift des Cookie Banners „Nutzung persönlicher Daten“ oder „Datenschutzeinstellungen“ denkbar.
92 Prozent der untersuchten Cookie Hinweise enthalten zwar einen Link zur Datenschutzerklärung, aber nur ein Drittel (39%) nennen den Zweck der Datenerhebung oder die Information, wer auf die Daten zugreifen kann (21%).
Die Forschergruppe kommt zu dem Schluss, dass nur ein Bruchteil der Nutzer (<0,1%) allen Cookies zustimmt, wenn der Banner alle Forderungen der Datenschutzbehörden regelkonform umsetzt (einzelne Cookie Kategorien, nicht vorausgefüllt, kein nudging).
Laut eines Facebook Posts von Rechtsanwalt Dr. Thomas Schwenke ist jedoch noch nicht gerichtlich entschieden, ob die Checkboxen der einzelnen Cookie Kategorien vorausgefüllt sein dürfen oder nicht. Bis diese Frage gerichtlich geklärt ist, werden sich vermutlich die meisten Webmaster für die vorausgefüllte Variante entscheiden.
Borlabs Cookie Plugin
Wenn du ein Plugin zur Unterstützung deines Cookie Banners benutzen möchtest, ist Borlabs Cookie immer ein guter Tipp.
Fazit
Zusammenfassend zeigt die Studie, dass die Platzierung, die Art des Opt-in Verfahrens sowie das Design des Banners die Interaktion der Websitebesucher maßgeblich beeinflussen. Die Unterschiede der Nutzerinteraktion mit dem Banner lagen dabei zwischen 5 und 55 Prozent.
Insgesamt gilt: Je mehr Auswahlmöglichkeiten in einem Cookie Hinweis angeboten werden, desto wahrscheinlicher ist es, dass Nutzer die Verwendung von Cookies ablehnen. Wenn bei mehreren möglichen Cookie Kategorien keine Checkbox vorausgefüllt ist (was nach der DSGVO Vorgabe „privacy by default“ gegeben sein müsste), würden weniger als 0,1 Prozent der Besucher allen Cookies zustimmen.
Was sagst du zu den Ergebnissen der Studie? Hast du bereits einen wasserdichten Cookie Hinweis im Einsatz oder wartest du auf die E-Privacy-Verordnung? Ich freue mich über deinen Kommentar!
Quelle: Die Studienergebnisse werden zeitnah in einem Paper mit dem Titel “(Un)informed Consent: Studying GDPR Consent Notices in the Field” veröffentlicht, welches uns in der Vorabversion vorliegt. Die Autoren des Papers sind Christine Utz, Martin Degeling, Sascha Fahl, Florian Schaub, und Thorsten Holz. Die verwendeten Grafiken stammen aus einem Twitter Thread von Martin Degeling.
Beitragsbild: Nadine Shaabana | Unsplash
Thank you for this tool. By far, everything is green for my website, too.
A big problem for website owners are some of the „free plugins“. There are a lot of companies which, through this free plugins, spies the website audience, without the consent of them or even of the website’s owner.
Hi Leefke,
Ich denke, diese Studie zeigt die richtigen Ergebnisse. Niemand mag Cookies.
Daher setzen viele Websites Cookies ohne Erlaubnis.
Ich überprüfe immer unbekannte Websites, bevor ich sie herunterlade. Ich überprüfe ihre Cookies.
Es gibt einen Dienst, der dies sehr schnell erledigt: https://2gdpr.com
Wenn Cookies sofort gesetzt werden, ist das Cookie-Banner auf der Website eine Lüge.
Liebe Grüße – Archi
Hi Archi
Danke für den Tipp mit dem Tool, kannte ich ebenfalls noch nicht.
Bei mir zeigts alles grün an.
Bedeutet dies, dass meine getestete Website somit (offiziell) mit der DSGVO im Einklang ist oder ist dies lediglich ein Anhaltspunkt? Wie schätzt du dies ein?
Liebe Grüsse
Michael
Hi Archi,
vielen Dank für deinen Input, den Dienst kannte ich tatsächlich noch gar nicht. Sehr praktisch!
Liebe Grüße
Leefke