Zurück
Jürgen Baumgartner
16. December 2024

Von Cookie-Bannern und Dark Patterns

In der Schweiz müssen gemäss Fernmeldegesetz (FMG) Nutzer:innen über den Zweck der Datenbearbeitung auf ihren Geräten informiert werden (Art. 45c FMG). Vom Prinzip her toll. Ich finde heraus, ob meine Daten verarbeitet werden und kann entscheiden, was mit meinen Daten passiert, resp. wer diese benutzen darf. Doch man muss schon sehr aufmerksam sein, damit das wirklich so passiert. Gerade bei Cookie-Bannern tummeln sich einige «Deceptive Design Patterns», welche Nutzer:innen auf subtile Weise dazu bringen, Cookies zu akzeptieren. Dabei handelt es sich um absichtliche Designentscheidungen, bei welchen sogenannte «Dark Patterns» zum Einsatz kommen.

Nudging

Wir alle kennen es, man ist am surfen, kommt auf eine Seite und wird dann als Erstes gefragt, ob man Cookies akzeptieren möchte. Cookie-Banner hindern uns im Flow und unterbrechen die eigentliche Hauptaufgabe (z.B. Informationen auf einer Seite finden). Teils geht auch kein Weg am Cookie-Banner vorbei. Ein oft angewendeter Ansatz ist das «Nudging» (Stupsen). Es ist das gezielte Lenken um erwünschtes Verhalten attraktiver zu machen. Im Beispiel von hostpoint.ch geschieht dies, indem ein Akzeptieren-Button visuell hervorgehoben und andere Aktionen (wie Cookies ablehnen) visuell in den Hintergrund gerückt werden.

Cookie-Banner, bei welchem «Akzeptieren» visuell hervorgehoben ist.
Beispiel für ein Cookie-Banner, bei welchem «Akzeptieren» visuell hervorgehoben ist. Quelle: https://www.hostpoint.ch/

Fies ist aber, wenn ein Toggle-Switch dazukommt, der wie im Beispiel von digezz.ch auf Default «Notwendig» eingestellt ist. Dem User wird visuell suggeriert, dass bei einer Bestätigung mit der Primäraktion (d.h. mit dem auffällig eingefärbten Button) nur notwendige Cookies zugelassen werden. Aber in Wahrheit führt es genau zum gegenteiligen Resultat, dass alle Cookies akzeptiert werden. Um nur notwendige Cookies zu verwenden müsste der User «Auswahl erlauben» drücken. Schon etwas irreführend.

Cookie-Banner mit mehreren Dark Patterns.
Beispiel für ein Cookie-Banner mit mehreren Dark Patterns. Quelle: https://www.digezz.ch/

Obstruction

Eine weitere Taktik besteht darin, einen Ablehnen-Button gar nicht von vornerein anzuzeigen. Im Beispiel von sbb.ch verbirgt sich diese Aktion unter «Zweck anzeigen». Auf den ersten Blick wirkt es daher so, also ob diese Funktion nicht existiert. «Zweck anzeigen» suggeriert zudem eher Information, nicht unbedingt weitere Funktionen. Generell nennt sich diese Taktik «Obstruction» (Behinderung). Im genannten Beispiel besteht die Behinderung in der Erhöhung der Interaktionskosten. Dabei steigt die Wahrscheinlichkeit, dass ein Durchschnittsuser eher alle Cookies akzeptiert, als sich die Mühe gibt herauszufinden wie unerwünschte Cookies deaktiviert werden.

Cookie-Banner, bei welchem die Möglichkeit nicht-erforderliche Cookies abzulehnen erst in einem zweiten Schritt angeboten wird.
Beispiel für ein Cookie-Banner, bei welchem die Möglichkeit nicht-erforderliche Cookies abzulehnen erst in einem zweiten Schritt angeboten wird (Zwecke anzeigen). Quelle: https://www.sbb.ch/de
Cookie-Banner, bei welchem «Alle Cookies Akzeptieren» als einziger Button angeboten wird. Anpassen der Cookies ist erst möglich, wenn man auf den Link «Cookie Consent Manager» drückt.
Beispiel für ein Cookie-Banner, bei welchem «Alle Cookies Akzeptieren» als einziger Button angeboten wird. Anpassen der Cookies ist erst möglich, wenn man auf den Link «Cookie Consent Manager» drückt. Quelle: https://www.heroku.com/

Der Stand der Dinge

Solche manipulativen Taktiken sind zwar moralisch fragwürdig, doch leider in der Schweiz nicht explizit verboten. Gemäss Datenschutzgesetz muss die Datenverarbeitung transparent und verständlich sein, und die Zustimmung der Nutzer:innen für die Datenverarbeitung muss freiwillig und informiert erfolgen. Jetzt kann darüber gestritten werden, inwiefern visuelle Tricks oder eine Verkomplizierung des Prozesses diesen Prinzipien noch gerecht wird oder nicht. Solange sich niemand beklagt, solange wird auch nicht darüber gerichtet. Jedenfalls gibt es die Möglichkeit, Dark Patterns beim Konsumentenschutz via Formular zu melden.

Die EU ist uns diesbezüglich einen Schritt voraus. Mit der Einführung der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 wurden strengere Anforderungen an den Schutz der Privatsphäre und den Umgang mit persönlichen Daten eingeführt. Es ist explizit festgelegt, dass die Einwilligung zu Cookies freiwillig erfolgen muss, ohne dass Nutzer:innen durch irreführende Designs oder „Dark Patterns“ beeinflusst werden. Unternehmen können auch gebüsst werden, wenn irreführende Cookie-Banner verwendet werden. Die NGO NOYB (none of your business) macht bei Nicht-Einhaltung Druck indem sie Beschwerden an Firmen verschickt. Falls die Firmen nicht innerhalb eines Monats das jeweilige Cookie-Banner konform gestalten, werden die Beschwerden an die zuständige Behörde weitergeleitet. Mehr Infos zu diesem Projekt finden sich hier.