DSGVO-Cookiebanner (Teil 2 von 2): Quo vadis?

DSGVO-Cookiebanner (Teil 2 von 2): Quo vadis?

Nachdem wir im letzten Artikel eine kleine Reise durch das Gesetz vollzogen haben, schauen wir uns heute einmal an, wie es in der Wirklichkeit der Weblandschaft so aussieht und wie sie in Zukunft aussehen könnte. Dabei ist uns wichtig, dass wir niemanden anprangern wollen. Wir werden hier daher über generelle Designelemente berichten, die in der relevanten Wissenschaft und den Gesetzesrichtlinien aktiv benannt werden. Uns geht es um die Klarstellung der für Webseitenbetreiber wichtigen Fakten und um die Verbesserung der User Experience im Web – auf dass wir alle ein modernes und benutzerfreundliches Web genießen können.

Teil 2: Quo vadis?

Wie im letzten Artikel angemerkt, zählt der Cookiebanner nicht unbedingt zu den beliebtesten Erfindungen der Webdesigner. Diese Antipathien liest man gerne mal auf diversen englischsprachigen Foren: Die EU habe durch die DSGVO (GDPR im Englischen – General Data Protection Regulation) das Web insgesamt nerviger zu bedienen gemacht. Das ist verständlich, da sie einen künstlichen Eingriff in die Bedienungsschnelligkeit einer Seite darstellen. Dennoch sind sie notwendig, um mit dem Gesetz im Reinen zu sein. Es wäre aber inzwischen ein Trugschluss, dafür alleine die EU verantwortlich zu machen. Denn die EU steht längst nicht mehr alleine mit ihrem Datenschutzmandat da. So ist in Kalifornien seit Anfang des Jahres der California Consumer Protection Act (CCPA) in Kraft. Es gibt zwischen den beiden Gesetzen einige Unterschiede (hier auf Englisch durch die Anwälte der Kanzlei Bakerhostetler LLP dargelegt), aber sie sind sich in mindestens zwei für Webseitenbetreiber wichtigen Fakten einig:

  1. Zwar ist die Reichweite der DSGVO weiter als die des CCPAs, aber beide Gesetze gelten grundsätzlich auch außerhalb ihres Ursprungslandes (S. 1 – 2).
  2. Es betrifft grundsätzlich ähnliche Informationsbereiche (S. 2 – 3).

Wir dürfen also für die Zukunft davon ausgehen, dass sich alleine anhand der wirtschaftlichen Kraft Kaliforniens und der EU ein De-facto-Konsens über Datenschutz im Internet entwickeln wird – wenn er nicht längst existiert. Was also tun?

Dark Patterns

Wenn es in der Mensch-Computer-Interaktion (Human-Computer-Interface; HCI) um Consentdesign geht, also der gewollten und informierten Zustimmungsgabe zur Datenweiterverarbeitung, gibt es bestimmte Muster, die dazu gedacht sind User zu ködern, zu täuschen, zu ermüden und ihnen letztendlich die Daten zu entlocken. Diese Muster bezeichnet man im Sammelbegriff als Dark Patterns. So beschreibt es der dem Büro für Technikfolgen-Abschätzung beim Bundestag (TAB) vorgelegte Report von Wirtschaftsingenieur Christoph Bogenstahl. Der Name wurde 2010 von Kognitionswissenschaftler Harry Brignull ins Leben gerufen, welcher seit jeher als Experte sich öffentlich gegen sie ausspricht. Seine Expertise wurde beispielsweise 2018 im weitläufig publizierten Consentdesignreport des Norwegischen Verbraucherrats verwendet. Zum Einfluss des Begriffs auf beispielsweise die Politik schreiben die Digitalrechtsforscher Nouwens et al. 2020 Folgendes:

„Seine Verrufenheit hat die EU und Datenschutzbeauftragte dazu veranlasst bestimmte weitverbreitete Dark Patterns als DSGVO-ungültige Beispiele in deren Beratungsdokumenten anzuführen. […] US-Senatoren haben dazu kürzlich einen spezifischen Gesetzesentwurf vorgelegt, der diese Praktiken verbieten soll.“ (S. 3)

Nouwens et al. haben in ihrer Studie die 10 000 populärsten britischen Webseiten untersucht, welche sich der fünf beliebtesten Cookie-Management-Plattformen (CMPs) bedienten. Dabei haben sie herausgefunden, dass nur 11,8 % der Webseiten den gesetzlichen Minimalstandards entsprachen, sie aber einen Marktanteil von 58 % besaßen (S. 4). Dark Patterns seien dabei nahezu überall verwendet worden, um den Nutzern ihre Daten zu entnehmen.

Sie zitieren dabei auch unter anderem zwei weitere relevante Studien: Die Studie von Utz et al. 2019, die für sich zudem bereits feststellte, dass mindestens 57,4 % der 1000 zufällig gewählten europäischen Webseiten Dark Patterns verwenden, um die Nutzer in privatsphärenuntaugliche Optionen zu drängen (sogenanntes Nudging, engl. für Anstoßen). 86 % von ungefähr 5000 untersuchten Cookiehinweisen boten dem Nutzer hier zudem lediglich einen simplen Okaybutton an (S. 4). Und Matte et al. 2019 fanden heraus, dass ungefähr 12 % der 30 000 untersuchten europäischen Webseiten bereits ein Zustimmungssignal sendeten, bevor die Nutzer überhaupt mit der CMP interagierten – ein klares Fehlverhalten.

Es sieht also wahrlich düster aus im europäischen Web. Nicht nur impliziert es, dass unser aller Privatsphäre als Nutzer wenig beachtet wird; wie wir im letzten Artikel gezeigt haben, wird es wahrscheinlich nur eine Frage der Zeit sein, bis sich Abmahner diese Zustände zunutze machen. Aber wie sehen diese schlechten Cookiehinweise eigentlich aus? Wie interagieren Nutzer mit den Hinweisen im Allgemeinen? Die Wissenschaftler machen das klar.

Informed Consent?

Das Konzept Informed Consent stellt ein allgemeines Gedankengerüst aus der Ethikforschung dar. Es findet in nahezu allen Wirtschafts- und Wissenschaftsbereichen Anwendung und ist für diesen einen Beitrag ein zu breites Themenfeld. Lassen Sie es uns jedoch zum Zwecke des Beitrags einfach als gegebene Verständnisbasis akzeptieren. Bei weiteren Fragen hilft das eigenständige Googeln. Natürlich ist es jedenfalls für das nutzerorientierte Consentdesign im Web besonders wichtig. Es bietet daher die Basis der folgenden Punkte und Kriterien.

Nouwens et al. haben drei für sie massenhaft messbare Hauptkriterien festgestellt, die sie als minimal notwendig betrachteten, um sich an aktuell geltendes europäische Gesetz zu halten:

  1. Die Zustimmung muss explizit sein, also etwas wie ein Klick.
  2. Vollständige Ablehnung darf nicht mehr Klicks als vollständige Zustimmung kosten.
  3. Für den Webseitenbetrieb unnötige Einstellungen, wie zum Beispiel Tracking, dürfen nicht voreingestellt sein. (S. 4)

Die Vertretung aller drei Prinzipien sei jedoch nicht weitläufig. Stattdessen finde man einen Flickenteppich an Compliance (engl. hier für Ordnungsmäßigkeit oder Regelkonformität) vor: Lediglich 30,3 % hielten sich ausschließlich an die erste Kondition, 25 % an die zweite, null an die dritte und 33 % an eine unzureichende Kombination aller Konditionen  (S. 6). Um dann herauszufinden, wie Nutzer mit diesen Möglichkeiten interagieren und welche Konditionskonstellation zu welchem Interaktionsverhalten führen, haben sie Probanden zusammen mit Meinungsumfragen das Web mittels einer eigens entwickelten Extension für Google Chrome surfen lassen. Diese präsentierte ihnen dabei verschiedene synthetische, von den echten inspirierte, CMP-Designs. Die wenigsten personalisierten im Banner ihre Auswahl, vor allem wenn diese bereits nur eine Interaktionsebene tiefer lag. Die überwältigende Mehrheit tendierte eher zu einer Option, die auf Kondition 2 basierte: große, einfache ‚Alles akzeptieren‘- und ‚Alles ablehnen‘-Buttons auf der ersten Interaktionsebene. Nur 12,8 % aller getesteten Webseiten implementierten ihren ‚Alles ablehnen‘-Button auf der ersten Ebene. Das hat wohl seinen Grund: Im Probandentest erhöhte es die Zustimmungsrate um mehr als ein Fünftel. Das sei aber laut des letztens besprochenen Falls vorm BGH und EuGH nicht mehr compliant (S. 8).

Eine kleine Überraschung dabei ist, dass die Darstellungsart des Banners oder Popups keinen Einfluss auf die Zustimmungsrate der Probanden nahm. Sogenannte Cookiewalls, also das Verhindern der Seiteninteraktion solange noch keine Nutzerauswahl vorliegt, sind als Barrieretyp im Gegensatz zu einfachen Bannern, die unten oder oben an der Seite kleben, aber definitiv aufmerksamkeitsheischender. Die einfachen Banner wurden über dreieinhalbmal so häufig von den Nutzern schlichtweg ignoriert (S. 8). Ihre Legalität ist dabei trotzdem fortlaufend fraglich, vor allem weil sie nun spezifisch in den neuen Richtlinien des EU-Datenschutzauschusses vom Mai dieses Jahres genannt und als nicht regelkonform eingestuft werden (§ 38 – 41). Und falls es inzwischen noch nicht klar sein sollte: Einfaches Scrollen oder Weiterbenutzen der Seite gelten nicht als aktive Zustimmung zum Tracking (§ 86).

Kurzgesagt müssen also nach dem baden-württembergischen Datenschutzbeauftragten Stefan Brin