Zurück zum Blog
DSGVODark PatternsCookie-Einwilligung

Dark Patterns in Cookie-Bannern: Was Sie Bußgelder kostet

81% der Cookie-Banner verwenden Dark Patterns. Lernen Sie die 6 EDPB-Kategorien, echte DSGVO-Bußgelder und wie Sie prüfen, ob Ihr Banner konform ist.

Von CookieCompliance Team||6 Min. Lesezeit
ENESDEFRIT
Geteilter Bildschirmvergleich eines manipulativen Cookie-Banner-Designs gegenüber einem konformen transparenten Cookie-Banner

81% der Cookie-Banner Sind Darauf Ausgelegt, Sie zu Manipulieren

Eine Studie aus 2024 der Interessengruppe noyb ergab, dass 81% der Cookie-Banner keine "Ablehnen"-Option auf der ersten Ebene anbieten. Von denen, die es tun, verwenden 73% täuschende Farbkontraste, um Nutzer zum Klicken auf "Akzeptieren" zu lenken. Nur 2,18% der Nutzer, die auf "Einstellungen verwalten" klicken, erreichen tatsächlich die zweite Ebene der Einstellungen. Der Rest gibt auf und akzeptiert alles.

Dies sind keine zufälligen Designentscheidungen. Es sind Dark Patterns: Benutzeroberflächen-Designs, die gezielt darauf ausgelegt sind, Nutzer dazu zu bringen, ihre Datenschutzrechte aufzugeben. Und europäische Regulierungsbehörden haben deutlich gemacht: Dark Patterns in Cookie-Bannern verstoßen gegen die DSGVO, und sie werden Sie dafür bestrafen.

Infografik mit gängigen Dark-Pattern-Typen in Cookie-Bannern mit Statistiken

Was Genau Sind Dark Patterns?

Der Europäische Datenschutzausschuss (EDPB) veröffentlichte Leitlinien 03/2022, die Dark Patterns im Kontext des Datenschutzes spezifisch definieren. Sie identifizierten sechs Kategorien, die direkt auf die Cookie-Einwilligung anwendbar sind:

1. Überladung (Overloading)

Nutzer mit Einwilligungsanfragen, Präferenzbildschirmen oder Informationen bombardieren, bis sie aufgeben und akzeptieren. Ein Cookie-Banner, das fünf Klicks zum Ablehnen von Cookies erfordert, während "Alle akzeptieren" ein Klick ist, ist ein Paradebeispiel.

2. Überspringen (Skipping)

Den Einwilligungsfluss so gestalten, dass die datenschutzfreundlichsten Einstellungen nicht die Standardeinstellung sind. Vorangekreuzte Einwilligungsboxen, verboten durch den Gerichtshof der EU (EuGH) im Planet49-Urteil (C-673/17), fallen in diese Kategorie.

3. Emotionale Beeinflussung (Stirring)

Emotionale Sprache, visuelle Hierarchie oder Farbmanipulation einsetzen, um Nutzer zu einer bestimmten Wahl zu drängen. Ein leuchtend grüner "Alle akzeptieren"-Button neben einem kaum sichtbaren grauen "Ablehnen"-Link ist emotionale Beeinflussung in Aktion.

4. Behinderung (Hindering)

Es schwierig oder unmöglich machen, Cookies abzulehnen oder die Einwilligung zu widerrufen. Wenn Ihr "Ablehnen"-Button die Navigation durch mehrere Bildschirme erfordert, während "Akzeptieren" ein Klick ist, ist das Behinderung.

5. Unbeständigkeit (Fickle)

Eine Einwilligungsoberfläche gestalten, die inkonsistent oder verwirrend ist, sodass Nutzer nicht verstehen können, worauf sie sich einlassen. Kippschalter, die über ihren Ein-/Aus-Zustand unklar sind, oder Kategorien mit vagen Bezeichnungen wie "Funktional", die tatsächlich Werbetracker enthalten.

6. Im Dunkeln lassen (Left in the Dark)

Keine klaren Informationen darüber bereitstellen, was Cookies tun und wer die Daten erhält. Ein Banner, das sagt "Wir verwenden Cookies, um Ihre Erfahrung zu verbessern", ohne Werbung Dritter oder Datenweitergabe zu erwähnen, lässt Nutzer im Dunkeln.

Echte Bußgelder für Dark Patterns

Regulierungsbehörden veröffentlichen nicht nur Leitlinien. Sie verhängen erhebliche Bußgelder. Hier sind die bedeutendsten Durchsetzungsmaßnahmen, die sich speziell auf Dark Patterns in Cookie-Bannern beziehen:

Google - 150 Millionen EUR (Frankreich, 2022): Die CNIL verhängte ein Bußgeld gegen Google, weil google.fr und youtube.com es einfach machten, alle Cookies mit einem Klick zu akzeptieren, aber mehrere Klicks zum Ablehnen erforderten. Diese Asymmetrie verstieß gegen Artikel 82 des französischen Datenschutzgesetzes, der die EU-ePrivacy-Richtlinie in französisches Recht umsetzt.

Facebook - 60 Millionen EUR (Frankreich, 2022): In derselben Durchsetzungswelle bestrafte die CNIL Metas Facebook für dasselbe Problem: einen asymmetrischen Einwilligungsfluss, bei dem Akzeptieren ein Klick war, Ablehnen aber mehrere Schritte erforderte.

Microsoft - 60 Millionen EUR (Frankreich, 2022): Microsofts bing.com wurde für zwei Verstöße bestraft: Werbe-Cookies wurden automatisch ohne jegliche Einwilligung gesetzt, wenn Nutzer die Seite besuchten, und der Einwilligungsmechanismus machte das Ablehnen von Cookies schwieriger als das Akzeptieren.

TikTok - 5 Millionen EUR (Frankreich, 2023): TikTok wurde bestraft, weil sein Cookie-Banner das Ablehnen schwieriger machte als das Akzeptieren und keine ausreichenden Informationen über die Zwecke seiner Cookies bereitstellte.

Amazon - 35 Millionen EUR (Frankreich, 2020): Einer der früheren Meilenstein-Fälle, bei dem Amazon für das Setzen von Werbe-Cookies auf den Geräten der Nutzer ohne vorherige Einwilligung und ohne angemessene Information bestraft wurde.

Schweden - Formelle Rügen (April 2025): Die schwedische Datenschutzbehörde IMY erteilte ATG, Aller Media und Warner Music formelle Rügen speziell für die Verwendung täuschender Farbkontraste und Buttongrößen in ihren Cookie-Bannern.

Vergleich eines Dark-Pattern-Cookie-Banners mit versteckter Ablehnungsoption neben einem konformen Banner mit gleichwertigen Akzeptieren- und Ablehnen-Buttons

Wie Regulierungsbehörden Ihr Banner Testen

Zu verstehen, wie Regulierungsbehörden Cookie-Banner bewerten, hilft Ihnen, Ihres zu korrigieren. Darauf achten sie:

Klickzählung: Sie zählen die Anzahl der Klicks, die zum Akzeptieren im Vergleich zum Ablehnen von Cookies erforderlich sind. Wenn Ablehnen mehr Klicks erfordert als Akzeptieren, haben Sie ein Problem.

Visuelle Hierarchie: Sie untersuchen Buttongrößen, Farben und Platzierung. Ein großer, farbiger "Akzeptieren"-Button neben einem kleinen, grauen "Ablehnen"-Textlink ist ein Warnsignal.

Laden vor Einwilligung: Sie öffnen die Entwicklertools des Browsers und prüfen, welche Cookies und Tracker geladen werden, bevor eine Einwilligung erteilt wurde. Wenn irgendetwas vor dem Klicken geladen wird, ist das ein Verstoß, unabhängig von Ihrem Banner-Design.

Funktionstest: Sie klicken auf "Alle ablehnen" und prüfen dann, ob Cookies tatsächlich blockiert werden. Der SHEIN-Fall (150 Millionen EUR, 2025) bewies, dass Regulierungsbehörden überprüfen, ob der Ablehnungsbutton tatsächlich funktioniert. Ihrer tat es nicht.

Einwilligungswiderruf: Sie akzeptieren Cookies, versuchen dann die Einwilligung zu widerrufen und prüfen, ob Cookies nicht mehr gelesen werden. Der Orange-Fall (50 Millionen EUR, 2024) zeigte, dass Cookies weiterhin Daten übertrugen, selbst nach dem Einwilligungswiderruf.

Der Rechtliche Standard: Freiwillige Einwilligung

Die grundlegende rechtliche Anforderung ergibt sich aus DSGVO Artikel 4(11) und Artikel 7, verstärkt durch Erwägungsgrund 42: Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein. Der EDPB hat weiter klargestellt, dass die Einwilligung nicht freiwillig ist, wenn:

  • Ein klares Ungleichgewicht zwischen der Einfachheit des Akzeptierens und Ablehnens besteht (asymmetrisches Design)
  • Der Nutzer Nachteile durch die Verweigerung der Einwilligung erleidet (z.B. gesperrte Inhalte)
  • Die Einwilligung an die Annahme von Nutzungsbedingungen gekoppelt ist
  • Die Einwilligung nicht so einfach widerrufen werden kann, wie sie erteilt wurde

Gemäß Artikel 83(5)(a) können Verstöße gegen die Einwilligungsregeln Bußgelder von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes auslösen, je nachdem, welcher Betrag höher ist.

Was 2026 Kommt

Der Digital Omnibus-Vorschlag der EU (veröffentlicht im November 2025) wird die Regeln weiter verschärfen:

  • Ablehnung mit einem Klick wird zur gesetzlichen Anforderung. Das Verstecken der Ablehnung hinter "Einstellungen verwalten" hat ein Ende
  • Sechsmonatige Abkühlung: wenn ein Nutzer Cookies ablehnt, dürfen Sie für denselben Zweck sechs Monate lang nicht erneut fragen
  • Maschinenlesbare Einwilligungssignale wie Global Privacy Control werden rechtlich anerkannt
  • Das geplante Gesetz zur Digitalen Fairness wird sich gezielt gegen manipulative Einwilligungsdesigns richten und die Dark-Pattern-Regulierung über die DSGVO hinaus erweitern

Diese Regeln sollen voraussichtlich Ende 2026 in Kraft treten.

Schnelle Selbst-Audit-Checkliste

Prüfen Sie Ihr Cookie-Banner gegen diese Anforderungen:

  • Gleiche Hervorhebung: Akzeptieren- und Ablehnen-Buttons haben die gleiche Größe, Farbe und den gleichen Stil
  • Ablehnung auf erster Ebene: Nutzer können alle nicht-essentiellen Cookies ablehnen, ohne auf einen zweiten Bildschirm wechseln zu müssen
  • Keine vorangekreuzten Boxen: Alle optionalen Cookie-Kategorien sind standardmäßig deaktiviert
  • Kein Laden vor Einwilligung: Null Cookies oder Tracker werden aktiviert, bevor der Nutzer eine Wahl trifft
  • Klare Sprache: Das Banner erklärt, wofür Cookies verwendet werden und wer die Daten erhält
  • Funktionierende Ablehnung: Ein Klick auf "Ablehnen" verhindert tatsächlich das Setzen von Cookies
  • Einfacher Widerruf: Nutzer können ihre Einwilligung so einfach ändern, wie sie sie erteilt haben
  • Keine Cookie-Walls: Nutzer können auf die Seite zugreifen, ohne gezwungen zu sein, Cookies zu akzeptieren

Wenn Sie auch nur einen dieser Punkte nicht erfüllen, könnte Ihr Banner eine Untersuchung auslösen.

Prüfen Sie Ihr Banner Jetzt

Sie müssen Ihr Banner nicht manuell auditieren. Scannen Sie Ihre Website kostenlos und sehen Sie genau, was ein Regulierer finden würde: Cookies vor Einwilligung, Tracker die vor der Zustimmung laden, Dark-Pattern-Indikatoren und Banner-Compliance-Probleme. Es dauert 30 Sekunden.

Die oben aufgeführten Bußgelder sind nicht hypothetisch. Es sind echte Strafen, die echten Unternehmen auferlegt wurden, viele davon gingen davon aus, dass ihr Cookie-Banner in Ordnung war, weil ein Entwickler es einmal eingerichtet und nie getestet hat. Regulierungsbehörden testen, was tatsächlich in Ihrem Browser passiert, nicht was Ihre Datenschutzerklärung sagt. Stellen Sie sicher, dass Ihr Banner denselben Test besteht.

Ist Ihre Website konform?

Scannen Sie Ihre Website kostenlos und finden Sie heraus, ob Ihr Cookie-Banner die DSGVO-Anforderungen erfüllt.

Website Scannen - Kostenlos