wissen.de Artikel
Datenschutz: Wie Cookie-Hinweise uns manipulieren
Cookies sind kleine Codeschnipsel, die beim Besuch einer Website auf unserem Computer abgelegt werden. Die Website-Anbieter nutzen sie, um Informationen über die Besucher zu speichern. Das können beispielsweise Login-Daten sein, die nicht jedes Mal aufs Neue eingegeben werden müssen. Doch auch Verhaltensweisen und Präferenzen werden – meist zu Marketingzwecken – gespeichert und zudem oftmals an Dritte weitergeben. Hinzu kommt, dass manche Cookies auch von später besuchten anderen Webseiten ausgelesen werden können.
Seit Mai 2018 schreibt die Europäische Datenschutzgrundverordnung (DSGVO) vor, dass Websites das Ablegen von Cookies transparent machen müssen – und dass diese Daten nicht ohne die Zustimmung der User genutzt werden dürfen. Aber funktioniert dieser Datenschutz in der Praxis auch? Das haben nun IT-Forscher der Ruhr-Universität Bochum (RUB) erstmals näher untersucht. Für ihre Studie analysierten sie mehr als 1.000 Websites und deren Cookie-Hinweise und testeten in einem großangelegten Online-Test, wie User mit verschiedenen Formen solcher Cookie-Banner interagieren.
Wir haben oft nur scheinbar die Wahl
Dabei zeigte sich: Zwar zeigen inzwischen mehr als 60 Prozent beliebter europäischer Websites solche Cookie-Hinweise an – aber für Nutzer bedeuten sie nicht immer einen wirklichen Fortschritt an Transparenz und Datenschutz. „Es hat sich dabei gezeigt, dass die Mehrheit der Cookie-Hinweise nicht den Vorgaben der europäischen Datenschutzbehörden entspricht, die klar vorgeben, dass die Hinweise transparent sein und wirkliche Entscheidungsfreiheit bieten müssen“, erklärt Christine Utz von der RUB.
Stattdessen bieten viele Websites ihren Nutzern gar keine Wahl: In 86 Prozent der Cookie-Banner gibt es entweder gar keine Wahlmöglichkeit oder aber es gibt nur einen Zustimmen-Button – ein Ablehnen der Cookies ist damit gar nicht möglich. Gleichzeitig jedoch führen gerade die Banner mit nur einem Zustimmen-Button oft zu Missverständnissen beim Nutzer: Wie die Forscher in ihrem Online-Test feststellten, dachten die meisten Teilnehmer, dass erst dann Cookies gespeichert werden, wenn sie auf Zustimmen geklickt haben. Doch das ist ein Irrtum: Diese Websites legen schon vom ersten Aufrufen der Seite an Cookies an – der Klick auf den Zustimmen-Button ist damit reine Makulatur.
Nudging: Subtile Manipulation
Doch nicht nur das: 57 Prozent der untersuchten Websites nutzten zudem psychologische Tricks, um die User zu manipulieren. Bei diesen sogenannten Nudging-Verfahren sorgen schon subtile Aspekte im Design oder Aufbau der Cookie-Hinweise dafür, dass die Entscheidung der Nutzer beeinflusst wird. Das Ziel dabei: Die User dadurch zum Einverständnis zu bewegen, dass ihre Daten genutzt werden können.
"Unsere Experimente zeigen, dass schon scheinbar kleine Änderungen einen erheblichen Einfluss darauf haben können, ob und wie Menschen mit solchen Cookie-Hinweise interagieren", erklären Utz und ihr Team. Ein Klassiker unter solchen Tricks ist die Farbgebung der Buttons: Indem beispielsweise der "Zustimmen"-Button farblich deutlich hervorgehoben wird, verführt man die Nutzer eher dazu, ihn anzuklicken. Im Online-Test brachte schon dies rund 15 Prozent mehr Zustimmung als eine Version, bei der beide Optionen gleich aussahen.
Noch ausgeprägter ist der Effekt des Nudging bei Cookie-Hinweisen, in denen man eine Auswahl verschiedener Cookie-Sorten bekommt. So kann man bei manchen beispielsweise gezielt auswählen, ob man nur technisch nötige Cookies möchte oder auch Scripte, die zur Personalisierung, dem Marketing oder der Erhebung analytischer Daten dienen. "Die Versionen, in denen all diese Optionen bereits vor ausgewählt, führten dazu, dass 30 Prozent der Handynutzer und zehn Prozent der Desktopcomputer-Nutzer allen Cookies zustimmten", berichten die Forscher. Waren dagegen zu Beginn alle Optionen deaktiviert, stimmten weniger als 0,1 Prozent der Nutzer allen Cookie-Sorten zu.
Was sollte sich ändern?
"Unsere Ergebnisse demonstrieren, dass es für die Regulierung wichtig ist, nicht nur die Zustimmung einzufordern, sondern dass es auch klare Vorgaben geben muss, wie diese Zustimmung eingeholt werden soll", betonen Utz und ihre Kollegen. Denn nur dann könne sichergestellt werden, dass die Besucher der Websites auch wirklich eine freie und informierte Entscheidung über diese Form der Datenspeicherung treffen können.
Nach Ansicht der Forscher wäre eine mögliche Lösung eine obligatorische "Privacy-by-default"-Einstellung. Bei dieser werden die Daten erst dann erhoben, wenn die Nutzer einem Tracking explizit zugestimmt haben. Außerdem empfehlen die Wissenschaftler, nicht nur eine Ja-Nein-Entscheidung zu fordern, sondern den Nutzern die Cookie-Sorten nach Zweck aufzulisten und ihnen dann die Auswahl zu überlassen – ohne dass diese Kategorien bereits vorausgewählt sind.
"Würde sich diese Handhabung durchsetzen, würde das dazu führen, dass die Zustimmung zur Weitergabe der Daten an Dritte unter 0,1 Prozent fallen würde", schlussfolgert Christine Utz. Aber dieses Verfahren entspräche den eigentlichen Vorgaben und dem Grundgedanken der DSGVO.