Wer im Netz surft, kommt nicht um sie herum: Cookie-Hinweise zum Schutz der persönlichen Daten, auch bekannt als „Cookie-Banner“. Forscher*innen des Horst Görtz Instituts für IT-Sicherheit haben untersucht, wie Cookie-Banner nach der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 auf Websites umgesetzt werden und wie User*innen mit ihnen interagieren. Dabei haben sie herausgefunden, dass viele Banner nicht den Vorschriften der DSGVO entsprechen – und zum Teil psychologische Tricks angewendet werden, um User zu manipulieren. Christine Utz, Dr. Martin Degeling, Prof. Sascha Fahl und Prof. Thorsten Holz veröffentlichten nun in Zusammenarbeit mit Florian Schaub von der University of Michigan dazu ihr Paper „(Un)informed Consent: Studying GDPR Consent Notices in the Field“.
Login-Daten oder Infos fürs Marketing
Cookies werden von den Website-Anbietern genutzt, um Informationen über ihre Besucher*innen zu speichern. Das können beispielsweise Login-Daten sein, die nicht jedes Mal aufs Neue eingegeben werden müssen. Doch auch Verhaltensweisen und Präferenzen werden – meist zu Marketingzwecken – gespeichert und zudem oftmals an Dritte weitergeben. Die DSGVO sieht jedoch vor, dass diese Daten nicht ohne die Zustimmung der User*innen genutzt werden dürfen.
Kleine Manipulationen sollen die Auswahl lenken
„Es hat sich dabei gezeigt, dass die Mehrheit der Cookie-Hinweise nicht den Vorgaben der europäischen Datenschutzbehörden entspricht, die klar vorgeben, dass die Hinweise transparent sein und wirkliche Entscheidungsfreiheit bieten müssen“, erklärt Christine Utz. Doch nicht nur das: 57 Prozent der untersuchten Websites wenden außerdem sogenannte „Nudging“-Verfahren an, mit dem das Verhalten von Menschen gezielt mit Änderungen der Rahmenbedingungen oder kleinen Manipulationen gelenkt werden soll. Innerhalb der Cookie-Banner waren das beispielsweise farbliche Akzentuierungen des „Zustimmen“-Buttons als Hervorhebung oder unübersichtliche Darstellungen der „Opt-Out“-Möglichkeit. Das Ziel dieser Methode: Die User*innen zum Einverständnis zu bewegen, dass ihre Daten genutzt werden können.
Diese Erkenntnisse haben die Wissenschaftler*innen genutzt, um sie in einer anschließenden Feldstudie an über 80.000 Nutzer*innen einer deutschen E-Commerce-Website zu erproben. Über vier Monate hinweg haben sie dort unterschiedliche Cookie-Banner ausgespielt, um die User*innen-Interaktion zu beobachten. Zudem fragten sie innerhalb einer anschließenden Umfrage die Nutzer*innen nach ihren Präferenzen und Wissen zu Cookie-Bannern. Dabei kam heraus, dass diese am stärksten mit einem Banner interagieren, der in der linken unteren Hälfte des Bildschirms erscheint. Antworten aus dem Fragebogen deuten darauf hin, dass Nutzer*innen häufig befürchten, die Website würde nicht richtig funktionieren, wenn sie Cookies ablehnten.
Empfehlungen des Forschungsteams
Insgesamt seien viele User*innen dazu bereit, sich mit den Cookie-Hinweisen auseinanderzusetzen, vor allem diejenigen, die das Speichern der Daten nicht erlauben wollen. Nach jetzigem Stand bieten viele Websites ihnen aber diese Handlungsmöglichkeit nicht oder erschweren sie zumindest. Die Lösung wäre eine obligatorische „Privacy-by-default“-Einstellung, bei der die Daten erst dann erhoben werden, wenn die Nutzer*innen einem Tracking explizit zugestimmt haben. Außerdem empfehlen die Wissenschaftler*innen das Setzen von „zweck-basierten“ Cookie-Hinweisen, bei denen die Zustimmung zur Verarbeitung der Daten nach bestimmten Zwecken erfolgt. Dies entspräche den eigentlichen Vorgaben und dem Grundgedanken der DSGVO.
Das Paper erhalten Sie hier als PDF.
Pressekontakt:
Christina Scholten, PR-Referentin Horst Görtz Institut für IT-Sicherheit
Tel: +49-(0)234-32-27130
E-Mail: christina.scholten [@] rub.de
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.