Studie: Mehrheit der Cookie-Banner verstößt gegen DSGVO

Eine Studie von Forschern des MIT, der dänischen Aarhus University und des University College London hat ergeben, dass die Mehrheit der britischen Websites Online-Formulare für die Zustimmung von Cookies einsetzt, die gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Demnach erfüllen nur 11,8 Prozent der sogenannten Cookie-Banner zumindest deren Mindestanforderungen.

Die Forscher fanden auch heraus, dass immer mehr Websites die Zustimmung über outgesourcte Consent-Management Platforms (CMPs) einholen, also Lösungen von Drittanbietern nutzen, um die Aufklärungspflichten in Bezug auf Cookies und Tracking zu erfüllen. Die CMPs blieben jedoch unter dem Radar der EU-Datenschutzbehörden, die der Durchsetzung der DSGVO nicht genug Aufmerksamkeit schenkten.

Für die Studie untersuchten die Forscher zahllose Cookie-Formulare von CMPs, die in den 10.000 beliebtesten britischen Websites implementiert sind. Die Analyse führten sie mithilfe von selbst entwickelten, automatisierten Tools durch.

„Die Durchsetzung in diesem Bereich ist sehr mangelhaft. Die Datenschutzbehörden sollten automatisierte Tools wie das von uns entwickelte einsetzen, um die Aufdeckung und Durchsetzung zu beschleunigen'“, argumentierten die Forscher. „Designer könnten hier helfen, Werkzeuge für die Regulierungsbehörden zu entwerfen, und nicht nur für die Nutzer oder für Websites. Die Regulierungsbehörden sollten auch weiter im Vorfeld arbeiten und erwägen, Anforderungen an die Anbieter von CMPs zu stellen, damit nur konforme Designs auf den Markt gebracht werden können.“

Unter anderem müssen Websites eine eindeutige Zustimmung von Nutzern für das Setzen von Cookies und Trackern einholen. Die DSGVO sieht beispielsweise vor, dass Ein Button angeklickt werden muss, bevor ein Nutzer mit der Website interagieren kann. Außerdem müssen alle Punkte der Zustimmung gleich einfach zu erreichen sein und es dürfen noch keine Haken für die Zustimmung einzelner oder aller Punkte gesetzt sein. Seiten, die es erlauben, den Cookie-Banner während des Besuchs zu ignorieren, werden diesen Anforderungen nicht gerecht.

Von den 10.000 Websites holten beispielsweise nur etwa 30 Prozent eine eindeutige Zustimmung ein. Zudem machten es viele CMPs deutlich schwieriger, alle Punkte abzulehnen, als sie anzunehmen. Einen Button, mit dem sich die Zustimmung zu allen Punkten verweigert werden kann, boten weniger als die Hälfte der untersuchten Seiten an. Nur bei 12,6 Prozent der Seiten war dieser Button so einfach zu erreichen wie der Button, mit der allen Punkten zugestimmt werden kann.

Ein weiterer Kritikpunkt der Studie: Weder für die Forscher noch für Nutzer ist ersichtlich, ob die gesetzten oder eben auch nicht gesetzten Haken für Cookies und Tracker wie beabsichtigt umgesetzt werden. Im Mittel gibt jede Website laut der Studie Daten an 315 Tracker von Drittanbietern weiter.