DSGVO Ob Sueddeutsche.de oder Preisvergleiche - Sinn der Cookie-Richtlinie wird versucht zu umgehen

Doch nicht nur dies. Die Richter waren sich einig, dass eine über einen Button pro-aktiv einzuholende Einwilligung oder Ablehnung von Tracking-Cookies durch den Verbraucher Pflicht sei (C-637/17)[1].

Wem immer noch nicht klar ist, was ein digitaler Cookie ist, hier eine Definition des mit künstlicher Intelligenz gestützten, also AI-geführten Frage-Antwort-Chatrooms, des „Bing ChatGPT“ (Stand: 11. Juni 2023):

„Ein Cookie ist eine kleine Textdatei, die von einer Website auf Ihrem Computer oder Mobilgerät gespeichert wird, wenn Sie die Website besuchen. Cookies werden verwendet, um Informationen über Ihre Aktivitäten auf der Website zu speichern und zu verfolgen. Sie können beispielsweise verwendet werden, um Ihre bevorzugten Einstellungen zu speichern oder um zu verfolgen, welche Seiten Sie besucht haben. Cookies werden auf Ihrem Computer oder Mobilgerät gespeichert. Die genaue Speicherung hängt von Ihrem Browser ab. In der Regel werden Cookies in einem speziellen Ordner auf Ihrem Computer oder Mobilgerät gespeichert.[2].“

Klingt harmlos, ist es aber nicht

Klingt harmlos, doch das hat es in sich: Netz-trends.de wertete einmal aus, wie viele solcher Spionage-Cookies, die durchaus nicht nur den technisch notwendigen Zwecken dienen damit eine Webseite gut läuft, Webseiten teils dem Verbraucher zumuten.

Beispiel: Ein Test von Netz-trends.de auf der App von Grindr zeigte, dass, wer auf „alle Cookies zustimmen“ klickt, zustimmt, dass seine Nutzungsdaten an über 600 andere Unternehmen weltweit weitergereicht, beziehungsweise weiterverkauft werden dürfen.

Grindr ist eine Social-Networking- und Online-Dating-Anwendung, die speziell für schwule, bisexuelle, transgender und queere Menschen entwickelt wurde. Laut Statistiken von Mai 2023 hat Grindr etwa 12 Millionen monatlich aktive Nutzer¹. Tendenz steigend.

Die App ist in 190 Ländern verfügbar und 80% der Nutzerprofile sind 35 Jahre alt oder jünger¹. Das Verkaufen von Cookies durch Kontaktportalen an Dritte ist durchaus heikel. So gehört Grindr mittlerweile einem chinesischem Unternehmen und erhält global Einblick in privateste, häufig Sex-Chats, von Millionen Nutzern. Da es auch ein Abo-Modell gibt, können schnell umfangreiche Profile der Nutzer erstellt werden.

Wie Kontaktportale Kundendaten mit Hilfe der Cookie-Zustimmung global weiterverkaufen

Das Cookie-Kundenspektrum von Grindr reicht von China über Russland, Europa bis in die USA. Doch das Problem betrifft auch deutsche, österreichische Schweizer Massenportale – beispielsweise von Medien aber auch der sonstigen Wirtschaft. Einige Anbieter sind äußerst trickreich im Umgehen des Sinns der Cookie-Richtlinie, bekannt hierzulande als Datenschutz-Grundverordnung fürs Internet.

Wenn man wissen möchte, wie viele Cookies man sich von einer Webseite auf seinen Computer laden würde, würde man auf „alle Cookies akzeptieren“ klicken, kann man theoretisch sogenannte angebliche Cookie-Analyse-Tools nutzen. Sie behaupten, sie könnten auswerten, wie viele Cookies eine Webseite einem auf den Computer lädt, wenn man auf „alle Cookies zustimmen“ klickt.

Die Webseite www.cookiebox.pro machte sich einmal die Mühe, kostenfreie Cookie-Scanner zu testen, welche helfen sollen, einen „DSGVO-Website-Check“ durchzuführen. Die Fragestellung dabei laute: Welches ist der beste Cookie & 3rd-party Scanner?

Cookie-Analyse-Tools sind oft nutzlos

Klar ist; Magenschmerzen machen ja nicht die technisch notwendigen Cookies, welche Webseiten einem auf den Computer oder das mobile Endgerät stellen, sondern die 3rd Party Cookies – meist Werbeunternehmen weltweit oder seriöse oder weniger seriöse, auch mal dubiose Dienstleister:

Dazu können Mediaagenturen oder Werbeagenturen gehören, E-Commerce-Konzerne, Social Media Konzerne, irgendwelche Dienstleister, Kreditunternehmen, Institute jeglicher Couleur.

Eigentlich hat jeder ein Interesse an Cookies, wer irgendwie ein Geschäft machen möchte und seine Dienstleistung möglichst exakt auf Kunden zuschneiden möchte.

Diese Art von Cookies sind es, welche die Masse ausmachen dürften. Bei ihnen geht es nämlich beim Thema Datenschutz ans Eingemachte. Hier werden Daten von Nutzern verkauft, erhoben, gekauft. Stichwort Big Data.

Doch scheinen die meisten der Cookie-Analyse-Tools das Problem zu haben, dass sie gar nicht an die wichtigsten Informationen kommen. Denn viele grosse Webseitenanbieter wie spiegel.de, bild.de, sueddeutsche.de dürften Crawler-Versuchen solcher Cookie-Analyse-Tools schlicht weitestgehend den Zugriff verwehren.

So kommt es zu solch absurden Ergebnissen, wie beispielsweise auf cookiemetrix.com für Grindr.com. Hier wird behauptet: „No Third-Party Domains Found. Congrats. Seems that on this page there aren't third-party domains that install cookies” (Quelle: cookiemetrix.com).

Ähnlicher Humbug dürfte das Ergebnis von cookieserve.com sein, als Netz-trends.de am 11. Juni 2026 gegen 10:36 einen Test machte und folgendes Ergebnis von cookieserve.com präsentiert bekam: Cookie-Scan-Zusammenfassung für spiegel.de: Es gebe bei dem mächtigen Onlinemagazin aus Hamburg gerade einmal eine Gesamtzahl der Cookies in Höhe von 15 (Quelle: cookieserve.com).

Der Abo-Trick beim Cookie-Banner

Im Sinne des Datenschutzes eigentlich nicht mehr hinnehmbar ist es, dass Tausende Massenportale in Europa, der EU, aber auch weltweit, die global Standard setzende EU-Cookie-Richtlinie mit einem einfachen Trick nahezu aushebeln.

Sie bieten nämlich oft nur zwei Cookie-Varianten an: Alle Cookies akzeptieren, oder es wird der Zugang auf den gewünschten Content, wie beispielswese Artikel oder Preisvergleiche versperrt mit dem Hinweis, man müsse dann eben ein kostenpflichtiges Abo abschließen. Dass selbst Preisvergleichsseiten und viele andere dieses Modell mittlerweile fahren, zeigt, dass es sich in der Regel um ein vorsätzliches Umgehungsmodell des Sinns der Cookie-Richtlinie handelt.

Hinzu kommt die problematische grafische Darstellung der Cookie-Banner, die sich oft im Graubereich des EU-Rechts befindet und manchmal auch ein Verstoß darstelle dürfte, ja wenn denn die Gerichte und Wettbewerbshüter auch dagegen vorgehen würden.

Bezahlmodelle oder Zustimmung zu Hunderten Cookies?

Interessanterweise bemühen sich vor allem die Tausenden kleinen Webseiten ihre Cookie-Banner transparent und im Sinne des Gesetzgebers und Verbraucherschutzes zu präsentieren. Viele werden auch aus idealistischen Gründen geführt oder als Hobby ohne einen ernsthaften kommerziellen Hintergrund.

Hingegen sind ausgerechnet große Webseiten wie sueddeutsche.de, spiegel.de, welt.de, bild.de, krone.at, stern.de, standard.at, check24 oder preisvergleich.de und viele andere in der EU verbreiteten Massenseiten recht erfinderisch, um den Datenschutz der Verbraucher im Bereich Datenschutz ad absurdum zu führen durch die Koppelung zwischen der Cookie-Frage und dem Abo-Angebot oder sonstigen Bezahlmodellen, die man abschließen müsse, wenn man nicht bereit sei, auf „alle Cookies akzeptieren“ zu klicken.

So gaukelt einem selbst eine angesehene Sueddeutsche.de vor: „Sie haben die Wahl. Wir stellen Ihnen frei verfügbaren digitale SZ-Angebote zur Verfügung. Sie stellen Daten bereit für Nutzungsanalyse und Produktoptimierung, Personalisierte Inhalte und Marketing, Werbung durch Dritte (IAB), oder man klicke auf „Weiter mit SZ Plus-Abo. Die Wahl hat man dann kaum und das eine hat eigentlich mit dem anderen nichts zu tun.

Der große grün hinterlegte Zustimmungs-Banner auf Sueddeutsche.de ist fragwürdig

Dass eine Sueddeutsche.de dann auch einen grün hinterlegten Banner einem anbietet, der so deutlich grafisch singulär hervorgehoben ist, dass man fast schon automatisch verführt ist, auf „Ich bin einverstanden“ zu klicken, ist natürlich problematisch. Das ist genau jenes, was früher Journalisten gerne als Klickfalle bezeichnet haben.

Einige Cookie-Zustimmungs-Banner sind grafisch so gestaltet, dass die Einwilligung zu Cookies einem geradezu untergeschoben wird, während man oftmals sowohl auf Display-Bannern der Computer, als auch in den diversen browsergesteuerten Smartphone-Angeboten die Banner teils mehrmals rauf und runter schieben muss, bis man irgendwann noch den Banner zum Ablehnen findet. Manche sind so programmiert, dass das der Klick auf den Ablehne-Button fast unmöglich wird. Oder er ist in einer Unterseite geschickt versteckt.

Die dreisten Einzelabfragen zu Cookies kommen wieder

Neu und dreist ist, wenn jetzt einige anfangen, Einzel-Abfragen zu den Cookie-Bannern grundsätzlich nur noch anzubieten, statt, wie es der EU Datenschutz seit fünf Jahren klar vorgibt, dass gleichwertig angeboten werden muss, ob man die Zustimmung generell ablehne, oder den technisch notwendigen wenigstens zustimmen möchte. Dass Nutzer aber jetzt dazu genötigt werden, wieder bei einzelnen Webseiten umständlich herumzuklicken, welchen Cookies man zustimmt und welchen nicht (ein Modell das Google auch jahrelang gefahren hat), ist eine rechtliche Zumutung, beziehungsweise nach unserer Einschätzung sogar illegal.

Ein Cookie darf nur dann gesetzt werden, so ist unsere Überzeugung, wenn ein klares und grafisch gleichwertiges „Cookie-Opt-In” vorhanden ist, oder eben ein „Cookie-Opt-Out“ und zwar auf der gleichen Seite.

Die Nutzer müssen also aktiv, freiwillig und nach vorheriger Informierung ihre Zustimmung oder Ablehnung von Cookies setzen können dürfen[3].

Die EU-Mitgliedsländer haben diese Regelungen in unterschiedliche nationale Gesetze und Verordnungen gegossen, wobei in den einen Ländern schärfer gegen Verstöße vorgegangen wird, in anderen, wie in Irland, lasch bis gar nicht.

Dies liegt daran, dass US-Internetmultis sich gerne in Ländern wie Irland oder den Niederlanden steuergünstig niederlassen und man ihnen dann halt rechtlich und regulatorisch offenbar gerne weit entgegen kommen möchte und dabei so manches Mal EU-Recht im Datenschutz weitestgehend versucht möglichst großzügig auszulegen oder gar zu ignorieren oder auf die lange Bank zu schieben.

Telemediengesetz regelt in Deutschland Cookies, in der Schweiz gibt es keine feste Deklaration, aber man orientiert sich an der EU

Das Telemediengesetz (TMG) regelt in Deutschland die Umsetzung der EU-Richtlinie zur Verwendung von Cookies[4]. In der Schweiz gibt es keine feste Deklaration für Cookies und deren Anwendung[5] [6], obgleich Schweizer Medienunternehmen sich meist am EU-Recht orientieren, da das EU-Recht global im Internet als Maßstab für Verbraucherschutz gilt. Ausserdem will man nicht negativer als die anderen auffallen. Das neue Datenschutzgesetz in der Schweiz bringt kein Obligatorium für Cookie-Banner[7]. In Österreich ist die EU-Richtlinie im Telekommunikationsgesetz § 96 Abs. 3 (TKG) umgesetzt und seit 22.11.2011 in Kraft[8] [9] [10].

Diskussionen gibt es, ob man das EU-Recht hinsichtlich Cookie-Zustimmung oder Cookie-Ablehnung grafisch gleichwertig anzubieten habe. Die einen legen die Richtlinie so aus, als gäbe es keine spezifischen Vorgaben für die grafische Gestaltung von Cookie-Bannern. Die anderen sagen, das lasse sich durchaus aus der Richtlinie herauslesen, wenn die EU fordere, dass die Nutzer klar und deutlich über die Verwendung von Cookies informiert werden und ihre Zustimmung oder Ablehnung eindeutig erkennbar sein müsse[11].

Das Klar und Deutlich hat mittlerweile ein Gericht spezifiziert. Eine klare und verständliche Verwendung von Cookie-Bannern bedeute, dass die Nutzer klar und deutlich über die Verwendung von Cookies informiert werden und ihre Zustimmung oder Ablehnung eindeutig erkennbar sein müsse. Die Nutzer müssten auch die Möglichkeit haben, ihre Zustimmung oder Ablehnung jederzeit zu widerrufen. Nur dann gelte beispielsweise in Deutschland die viel gerühmte Verwaltung der Cookie-Einwilligung als DSGVO-konform.

Bundesministerium für Verbraucherschutz übt am Wildwest-Verhalten einiger deutliche Kritik

Am 26. Januar 2023 teilte das deutsche Bundesministerium für Verbraucherschutz das folgende im Rahmen einer Medienverlautbarung mit. Auf Grund der Wichtigkeit der Meldung, die wir von Netz-trends.de voll und ganz unterstützen, veröffentlichen wir die Pressemeldung hiermit ungekürzt:

„Derzeit kann kaum eine Internetseite besucht werden, ohne dass zuerst ein Banner zur Einwilligung in Cookies erscheint. Über Cookies können Unternehmen Daten und Informationen über die Nutzerinnen und Nutzern sammeln. Diese Informationen werden dann für personalisierte Werbung oder zur Personalisierung des Angebots genutzt. Cookie-Banner und Einwilligungsabfragen sind allerdings in der Internet-Praxis häufig kompliziert und irreführend gestaltet. Um hier zu Verbesserungen für die Nutzerinnen und Nutzern zu kommen, hat heute eine vom BMUV geförderte europäische Stakeholder-Initiative die von ihr entwickelten Design-Guidelines für nutzerfreundliche Cookie-Banner sowie ein Muster-Cookie-Banner präsentiert.

Staatssekretärin Dr. Christiane Rohleder: ‚Einwilligungsbanner sind oft unübersichtlich und irreführend, teilweise sogar manipulativ gestaltet. Um wichtige Informationen und die gewünschte Einstellung zu finden, braucht es regelrechte Klick-Marathons. Mit fairen und übersichtlichen Einwilligungsabfragen können Unternehmen demgegenüber ein starkes Signal für Verbraucherfreundlichkeit setzen, das schon beim ersten Klick auf die Webseite wirkt. Mit den von der EU-Stakeholder-Gruppe entwickelten Design-Guidelines und dem Muster-Cookie-Banner wurde ein praktisches Handwerkzeug für verbraucherfreundliche Einwilligungsbanner geschaffen.‘

Durch die Gestaltung der Cookie-Banner wird oft eine freie Entscheidung erschwert: Ein Akzeptieren der Cookies ist häufig viel einfacher möglich als das Besuchen der Seite ohne Cookies, weil beispielsweise der ‚Alles Akzeptieren‘-Button viel stärker hervorgehoben ist oder das Ablehnen mehr Klicks benötigt. Auch werden wichtige Informationen oft in vielen Untermenüs versteckt. In diesen Fällen können Verbraucherinnen und Verbraucher ihre Rechte nicht ausüben.

Die von der BMUV-geförderten EU-Stakeholder-Initiative hat Design-Guidelines für nutzerfreundliche Cookie-Banner sowie ein Muster-Cookie-Banner entwickelt, um die Nutzerfreundlichkeit zu verbessern. Zentrales Element der Guidelines ist, dass es einen zum ‚Alles Akzeptieren‘-Button gleichwertigen "Alles Ablehnen"-Button auf der gleichen Ebene geben soll. Außerdem soll die Gestaltung des Cookie-Banners klar, übersichtlich und verständlich erfolgen, so dass den Nutzerinnen und Nutzern einfach und selbstbestimmt entscheiden können. Diese Design-Guidelines wurden für Cookie-Banner entwickelt, die Prinzipien gelten aber ebenso für andere Einwilligungsabfragen und Auswahloptionen auf Online-Interfaces.

Beteiligt an dieser EU-Stakeholder-Initiative sind Unternehmen, Verbraucherorganisationen, Netzcommunity, Wissenschaft und Verwaltung. Telefónica, Cookie First, Access Now, BEUC und Privacy International unterstützen die Design Guidelines und wollen diese umsetzen.“

Und was sagt Bing Chat GPT zum Thema Klickfallen?

„Klickfallen sind eine Methode, bei der Benutzer dazu verleitet werden, auf etwas zu klicken, das sie normalerweise nicht anklicken würden. Dies kann durch irreführende Gestaltung oder Platzierung von Schaltflächen oder Links geschehen. Ein Beispiel dafür ist, wenn ein Benutzer auf eine Schaltfläche klickt, die er für harmlos hält, aber tatsächlich einen kostenpflichtigen Dienst abonniert.

Verlage nutzen Klickfallen zunehmend aus einfachen wirtschaftlichen Gründen: Je mehr Klicks man bekommt, desto mehr Menschen sind auf der eigenen Website und desto mehr kann man für Werbung verlangen¹. Ein Bericht des Columbia Journalism Review hob den Fall des Online-Magazins Slant hervor, das Autoren 100 US-Dollar pro Monat zahlt, plus 5 US-Dollar für jeweils 500 Klicks auf ihre Geschichten¹. Slant ist in dieser Hinsicht keineswegs einzigartig und dieses Geschäftsmodell wird immer häufiger. Kritiker argumentieren jedoch, dass dies dazu führen könnte, dass Journalisten Geschichten herunterspielen, um mehr Klicks zu bekommen und damit ihren Lebensunterhalt zu verdienen¹."

Unsere Meinung: Es muss eine Mittelweg zwischenn wirtschaftlicher Notwendigung auf Werbung und Datenschutz geben

Eines ist aber auch klar: Die Refinanzierung von Journalismus ist extrem schwer. Der Versuch nun über die Verbindung der Cookie-Zustimmung oder Cookie-Ablehnung Abonnenten zu gewinnen, ist wirtschaftlich verständlich, aber datenschutzrechtlich problematisch. Und die Frage bleibt: Ist es wirklich notwendig Hunderte Cookies einem Nutzern durch nur eine Webseite aufzunötigen? Wir meinen: Nein.

Ein Mittelweg könnte sein, indem die EU die Anzahl und Qualität von Cookies sich näher anschaut und reglementiert. Kein Medium, erst recht kein Kontaktportal wie Grindr braucht fürs wirtschaftliche Überleben wirklich Hunderte Cookies auf den Computer eines Nutzers zu überspielen. Hier ist ein Wildwuchs, ein Wildwest, der dringend weiter reglementiert werden muss..