7 Dark Pattern für Cookie-Banner inkl. rechtlicher Einordnung
Cookie-Banner sind allgegenwärtig, auf fast jeder Webseite wird man von einem begrüßt. Für Unternehmen sind sie ein notwendiges Übel, um die DSGVO umzusetzen.
Aber es gibt ein großes Problem – bis zu 70 % der Besucher*innen ignorieren die Banner oder geben keine Zustimmung. Ohne Zustimmung fallen viele Funktionen auf den Webseiten weg oder landen hinter einer sogenannten 2-Klick-Lösung. Oft werden diese dann von den Besucher*innen kaum oder gar nicht mehr genutzt. Die Performance der Website lässt nach. Die Verweildauer sinkt und die Absprungrate steigt.
Es liegt also nahe, möglichst viel dafür zu tun, dass sehr viele Besucher*innen auf „Akzeptieren“ klicken. Dies wird durch manipulative Designs – sogenannte Dark Patterns – erreicht. In diesem Artikel haben wir die gängigsten Dark Patterns inklusive einer rechtlichen Einordnung aufgelistet. Obwohl etwa 80 Prozent diese Praktiken anwenden, ist vieles davon nicht erlaubt. (Quelle)
Dark Pattern: Vorausgewählte Boxen für Besucher*innen
Status:
Dies ist nicht DSGVO-konform.
Beschreibung:
Essenzielle Cookies sind erlaubt und können ausgewählt werden. Es bietet sich an, die anderen Kategorien einfach noch auszuwählen. Damit am Ende mehr Besucher*innen gerade auch den funktionalen Cookies zustimmen, denn sie ermöglichen erst viele Funktionen einer modernen Webseite. Mit der Kombination "Alle akzeptieren" und "Einstellung speichern" hätte man dann direkt zwei Buttons, bei denen die Besucher*innen zustimmen. Aber merken: in der EU nicht erlaubt.
Dark Pattern 2: Falsch zugeordnete Cookies
Status:
Das ist nicht DSGVO-konform.
Beschreibung:
Wenn schon der erste Trick mit den vorausgewählten Boxen nicht funktioniert, dann vielleicht einfach die wichtigsten Funktionen als wesentlich deklarieren? Das ist ziemlich offensichtlich nicht erlaubt.
Das große Problem mit den essenziellen Cookies ist - es sind nur sehr, sehr wenige erlaubt.
- Analytics? Nope. Nicht essenziell. Euer Google Analytics muss draußen bleiben.
- Videos? Haha. Nein, zumindest wenn man dafür Vimeo, YouTube oder Wistia benutzt. Übrigens auch nicht mit YouTube NoCookie oder Vimeo DoNotTrack.
- Etwas mit Werbung? Der Meta oder Google Pixel? Ähm, nein. Natürlich nicht.
- Euer CRM? Ganz klar ... nicht essenziell.
... und so geht es leider weiter.
Dark Pattern 3: kein Ablehnen im ersten Screen
Status:
Das ist nicht DSGVO-konform.
Beschreibung:
Was man auch oft sieht, sind Cookie-Banner, bei denen die Option, alle Cookies abzulehnen, nicht direkt verfügbar ist. Die entsprechende Funktion macht man dann hinter "Einstellungen" oder so. Das steigert die Zustimmung zu euren Cookies enorm, weil weniger Besucher*innen den umständlichen Weg gehen. Generell muss die Ablehnung gleichwertig zur Zustimmung sein, d. h. die Option muss auf dem ersten Screen sein.
Dark Pattern 4: Den Ablehnen-Button im Cookie-Banner unauffällig gestalten und verstecken
Status:
Das ist nicht DSGVO-konform.
Beschreibung:
Okay, wenn die Ablehnungsoption schon direkt auf dem ersten Screen sein muss, dann wenigstens so, dass man sie kaum sieht. Besucher*innen haben keine Lust sich lange mit Bannern auseinanderzusetzen und nehmen in der Regel einen der großen Buttons. So etwas erhöht auch die Akzeptanzrate von Cookies. Das geht aber leider nicht - siehe Dark Pattern 3. Die Ablehnungsoption muss gleichwertig sein.
Dark Pattern 5: Ablehn-Button weniger prominent gestalten
Status:
In einigen EU-Ländern okay.
Beschreibung:
Hey, so lange kommen wir in eine Region, in der man etwas tun kann? Hmm, najaaaa. Wenn wir in der aktuellen Logik weitermachen, ist der nächste Schritt natürlich die Gestaltung der beiden Schaltflächen: Akzeptieren und Ablehnen. Das ist in einigen Ländern der EU gerade noch in Ordnung.
In Österreich gab es hier im Januar 2025 eine Entscheidung, die ganz klar von visuell gleichwertig spricht. In Deutschland hat das OLG Köln im Januar 2024 ähnlich entschieden.
Es gibt aber auch andere Meinungen, bei einem Datenschutz-Audit werdet ihr damit kaum punkten. Dasselbe gilt für Frankreich und Italien.
Dark Pattern 6: Cookie-Banner immer wieder anzeigen für Besucher*innen, die abgelehnt haben
Status:
In einigen EU-Ländern okay.
Beschreibung:
Einfach nicht speichern, wenn jemand abgelehnt hat. Wenn die Besucher*innen regelmäßig kommen, werden sie irgendwann so genervt sein, dass sie zustimmen. Diesen Prozess des wiederholten Fragens nennt man "Nudging".
Ganz klar: Das Speichern der Antwort im Cookie-Banner gehört zu den essenziellen Technologien, d. h. es ist erlaubt und es gibt keinen Grund dagegen. Ist vielleicht auch nicht so geil für eure Besucher*innen, wenn sie beim Aufrufen eurer Webseite direkt genervt werden, oder?
Dark Pattern 6: "Sticky" mit Zustimmung bei Nutzung
Status:
Ihr denkt es euch: nicht okay.
Beschreibung:
Hat man über einen längeren Zeitraum immer wieder gesehen. Ein Banner, das am Fuß einer Webseite klebt ("sticky"). Manchmal mit dem Zusatz, dass man automatisch zustimmt, wenn man die Webseite benutzt.
Dazu gibt es zwei Antworten: Automatisches Einverständnis ist nicht in Ordnung. Ein Sticky Banner an sich ist nicht unbedingt etwas, was gegen die Datenschutzgrundverordnung verstößt. Wichtig ist hier nur, dass keine Interaktion mit dem Banner dann mit einer Ablehnung gleichgesetzt wird. In der Regel habt ihr dann mit so einem Banner eine deutlich höhere Ablehnungsquote, weil die meisten Besucher*innen es einfach ignorieren.
Beispiel: so sollten Cookie-Banner in der Praxis gestaltet sein
Es bleibt nicht viel übrig. Die Kurzversion der ganzen Dark Pattern ist:
Wenn es die Besucher*innen zu etwas drängt, geht es eigentlich nicht.
ConPolicy hat zusammen mit CookieFirst, Access Now, Telefonica oder dem BMUV ein "Best Practice" für Cookie-Banner entwickelt. Details können hier eingesehen werden.
Ihr benötigt:
- Gleichwertige Optionen. Sowohl um allen Cookies zuzustimmen, als auch um alle Cookies abzulehnen.
- Bietet eine Option, um die Zustimmung anzupassen. Dies kann auf dem ersten Bildschirm geschehen, muss aber nicht.
- Wenn ihr eine Option zum Schließen des Banners anbietet, ist dies gleichwertig zu "alle ablehnen".
Weitere Details und Quellen
Wir beziehen uns oben oft auf diesen Bericht vom Sommer 2024: "noyb's Consent Banner Report: How authorities actually decide". Dort könnt ihr die Entscheidungen und Regelungen für die genannten Länder im Detail nachlesen. Wir empfehlen jedoch immer, die von euch gewählte Option mit euren Datenschutzexperten zu besprechen.
Das beste Cookie-Banner-Design:
Gar kein Cookie-Banner.
Ja, ist manchmal schwer zu lösen, aber niemand zwingt dich, ein Cookie-Banner zu haben. Das Stichwort ist hier: Cookie- und einwilligungsfreie Tools.
Für viele Dienste gibt es Alternativen, die keine DSGVO-Zustimmung erfordern. Sie sind so konzipiert, dass sie nicht mit den persönlichen Daten eurer Besucher*innen arbeiten.
Beispiel:
- Für Videos. Ähm. Uns! Ignite ist Privacy-First und Consentfrei. Damit eine hervorragende Alternative zu YouTube, Vimeo, Wistia, ...
- Eine Alternative zu Google Analytics ist zum Beispiel "Plausible" oder "SimpleAnalytics".
- Eine Alternative zu Googles ReCaptcha ist Friendly Captcha.
- usw.
Sobald ihr einen Service habt der Zustimmung benötigt, braucht ihr aber auch wieder den Cookie-Banner. Das sollte euch aber nicht daran hinter die Anbieter zu ersetzen, schließlich funktionieren die Tools dann bei allen Besucher*innen und nicht nur bei allen, die zustimmen.
Gerade bei Videos macht sich dieser Effekt deutlich bemerkbar. Ihr habt sehr viel Geld für die Produktion eurer Videos ausgegeben, diese hinter 2-Klick-Lösungen zu verstecken ergibt keinen Sinn. Je mehr Menschen eure Videos auch wirklich sehen, desto besser.
Video-Hosting aus Deutschland
Damit Marken das volle Potenzial eures Videocontents ausschöpfen können, haben wir Video-Hosting Cookie- und Consent-frei gemacht. DSGVO-konform, gehostet in Deutschland & einfach zu integrieren. Made for Europe.