IT-Sicherheit Viele Cookie-Banner erschweren den Schutz der eigenen Daten
Cookie-Hinweise entsprechen nicht nur oft nicht den Regeln des Datenschutzes. Sie nutzen auch teils psychologische Tricks, um User zu manipulieren.
Wer im Netz surft, kommt nicht um sie herum: Cookie-Hinweise zum Schutz der persönlichen Daten, auch bekannt als Cookie-Banner. Forscherinnen und Forscher des Horst-Görtz-Instituts für IT-Sicherheit der RUB haben untersucht, wie Cookie-Banner nach der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 auf Websites umgesetzt werden und wie Userinnen und User mit ihnen interagieren. Dabei haben sie herausgefunden, dass viele Banner nicht den Vorschriften der DSGVO entsprechen – und zum Teil psychologische Tricks angewendet werden, um User zu manipulieren.
Christine Utz, Dr. Martin Degeling, Prof. Dr. Sascha Fahl und Prof. Dr. Thorsten Holz veröffentlichten nun in Zusammenarbeit mit Florian Schaub von der University of Michigan dazu ihr Paper „(Un)informed consent: Studying GDPR consent notices in the field“.
Login-Daten oder Infos fürs Marketing
Cookies werden von den Website-Anbietern genutzt, um Informationen über ihre Besucherinnen und Besucher zu speichern. Das können Login-Daten sein, die nicht jedes Mal aufs Neue eingegeben werden müssen. Doch auch Verhaltensweisen und Präferenzen werden – meist zu Marketingzwecken – gespeichert und zudem oftmals an Dritte weitergeben. Die DSGVO sieht jedoch vor, dass diese Daten nicht ohne die Zustimmung der User genutzt werden dürfen.
Tatsächlich zeigen über 60 Prozent beliebter europäischer Websites Cookie-Hinweise an. Das Forschungsteam analysierte bei 1.000 Cookie-Hinweisen die möglichen Positionen, Auswahlmöglichkeiten, Texte und Links.
Kleine Manipulationen sollen die Auswahl lenken
„Es hat sich dabei gezeigt, dass die Mehrheit der Cookie-Hinweise nicht den Vorgaben der europäischen Datenschutzbehörden entspricht, die klar vorgeben, dass die Hinweise transparent sein und wirkliche Entscheidungsfreiheit bieten müssen“, erklärt Christine Utz. Doch nicht nur das: 57 Prozent der untersuchten Websites wenden außerdem sogenannte Nudging-Verfahren an, mit dem das Verhalten von Menschen gezielt mit Änderungen der Rahmenbedingungen oder kleinen Manipulationen gelenkt werden soll.
Innerhalb der Cookie-Banner waren das beispielsweise farbliche Akzentuierungen des „Zustimmen“-Buttons als Hervorhebung oder unübersichtliche Darstellungen der „Opt-Out“-Möglichkeit. Das Ziel dieser Methode: Die User zum Einverständnis zu bewegen, dass ihre Daten genutzt werden können.