Das Ende der Cookie-Pop-ups?
Cookie-Zustimmungs-Pop-ups sind inzwischen ein fester Bestandteil des Internets in Europa — und das schon seit einer gefühlten Ewigkeit. Sie wurden als Antwort auf datenschutzfreundliche EU-Vorschriften eingeführt: zuerst die ePrivacy-Richtlinie von 2009 und dann die DSGVO von 2018. Seitdem haben sich diese Banner wie ein Lauffeuer im durch die EU regulierten Web verbreitet.
Der Grund für die Einführung war eigentlich ganz einfach: Es sollte klar und deutlich angezeigt werden, welche Daten gesammelt werden und was mit ihnen passiert. Es ging darum, dass alle im Internet wissen sollten, wenn auf einer Seite Daten für Tracking-Zwecke gesammelt werden.
Cookies sind kleine Dateien, die auf dem Gerät gespeichert werden. Sie speichern Informationen, die Webseiten brauchen, um zu funktionieren oder sich Dinge zu merken, wie zum Beispiel den Login-Status, Spracheinstellungen oder Werbe-IDs. Es gibt zwei Arten von Cookies:
-
Erforderliche Cookies: Diese sind für die grundlegende Funktion der Seite unerlässlich, etwa damit der Warenkorb funktioniert, die Navigation der Seite gewährleistet ist oder um den Login-Status zu speichern.
-
Nicht erfordliche Cookies: Diese sind oft mit Analyse-Tools, Personalisierungen und gezielter Werbung verbunden. Sie können auch Daten an Dritte weitergeben und ermöglichen das Tracking über verschiedene Seiten hinweg — das Rückgrat der Online-Überwachung.
Meistens gibt es die Wahl: Alle Cookies akzeptieren, nur erforderliche Cookies zulassen oder die Einstellungen über das oft etwas unübersichtliche Menü für „Cookie-Einstellungen“ anpassen.
Theoretisch sollte dieser Ansatz mehr Datenschutz und mehr Kontrolle für die Menschen bieten, was zweifellos gute Ziele sind. In der Praxis führte er jedoch zu so viel Lärm, dass die Banner zu einer Art digitalem Summen im Hintergrund wurden — wie eine hartnäckige Fliege, die man schnell vertreiben möchte.
Noch schlimmer ist, dass viele gegenüber diesen Bannern abgestumpft sind. Was ursprünglich als wichtige Aufforderung gedacht war, wurde zu einem blinden Fleck, einer nervigen Hintergrunderscheinung, die einfach weggedrückt wird. Der Akt, irgendeine Option auszuwählen, ist zu einer automatischen, gedankenlosen Geste geworden. Und viel zu oft neigen die Menschen dazu, instinktiv die erste Option zu wählen, die fast immer „Alle Cookies akzeptieren“ lautet. Statt echten Datenschutz zu gewährleisten, wird eine enttäuschende Wahl präsentiert: eine Illusion der Zustimmung, die in eine verpflichtende Benutzeroberfläche verpackt wurde.
Die allgegenwärtigen Cookie-Banner haben zu einem Phänomen geführt, das inzwischen als Cookie-Banner-Müdigkeit bekannt ist. Das Ignorieren des Problems funktioniert nicht ewig, und die Europäische Kommission scheint dieses Limit erreicht zu haben. In ihrem neuen Vorschlag zur digitalen Omnibus-Verordnung, veröffentlicht am 19. November, hat die Kommission schließlich beschlossen, die Last zu erleichtern, indem neue Regeln für Cookie-Zustimmungsformulare eingeführt werden und diese möglicherweise komplett in den Browser integriert werden.
Was die Kommission ändern möchte
Das neue Digitale Omnibus-Gesetz der Europäischen Kommission tritt nun in Kraft und wirkt wie eine längst überfällige Erkenntnis der Realität. Nach Jahren des Hoffens, dass sich das Chaos mit den Cookie-Bannern irgendwie von selbst regeln würde, scheint Brüssel nun bereit zu sein, einzugreifen und einige der Theateraufführungen rund um die „Zustimmung“ zu beseitigen.
Zu Beginn möchte die Kommission neu gestalten, wie die Zustimmung überhaupt abgefragt wird. Websites müssten eine echte Ein-Klick-Wahl anbieten: Ja oder Nein, was offenbar die kognitive Belastung verringern soll. Und entscheidend: Sobald eine Entscheidung getroffen wurde, muss die Website diese für mindestens sechs Monate respektieren. Dies ist ein direkter Versuch, den psychologischen Druck zu beenden, dem alle ausgesetzt waren — die endlosen Fragen, ob wir wirklich diese Cookies akzeptieren möchten oder nicht.
Als Nächstes verlagert der Vorschlag einen Teil der Last von den einzelnen Websites in den Browser selbst. In Zukunft sollten Nutzer:innen ihre Datenschutzpräferenzen zentral einstellen können, sodass sie selbst entscheiden können, mit welchen Arten von Cookies sie einverstanden sind. Websites müssten diese Einstellungen automatisch respektieren. Wenn dies umgesetzt wird, könnte es endlich den Kreislauf brechen, in dem immer wieder dieselbe Frage auf jeder Website gestellt wird, als hätten diese Websites nie von der vorherigen Antwort gehört.
Die Kommission zieht auch eine klare Grenze zwischen Cookies, die die Privatsphäre wesentlich betreffen, und denen, die dies nicht tun. „Unschädliche“, Erstanbieter-Cookies, die nur für grundlegende Funktionen oder einfache Zählungen von Besuchern verwendet werden, würden keine Pop-ups mehr erfordern. Theoretisch sollte dies die Flut an Bannern verringern, die keinen anderen Zweck haben, als den Unternehmen zu helfen, hohe Geldstrafen zu vermeiden, weil sie die Anforderungen nicht umsetzen.
Der heutige Vorschlag modernisiert die „Cookie-Regeln“ und stellt durch starke Schutzmaßnahmen sicher, dass Menschen selbst entscheiden können, welche Cookies auf ihren verbundenen Geräten (z. B. Handys oder Computern) abgelegt werden und was mit ihren Daten passiert.
Die neuen Regeln bieten echte Wahlmöglichkeiten, mit einem vereinfachten Design und effektiven Anforderungen, um die Zustimmung zu erfragen oder die Möglichkeit zu geben, sie abzulehnen. Sie schaffen auch die Grundlage für technologische Lösungen, die eine weitere Vereinfachung und zentrale Steuerung ermöglichen.
Die Änderung der Regeln soll allen zugutekommen, auch Unternehmen, die laut der Europäischen Kommission insgesamt mehr als 800 Millionen Euro pro Jahr sparen könnten.
Was bedeutet das alles?
Wenn die neuen Regeln für Cookie-Pop-ups in der gesamten EU eingeführt werden, versprechen sie, einen Großteil des visuellen Überflusses zu beseitigen, mit dem Menschen jahrelang konfrontiert wurden. Stattdessen soll eine einfachere, binäre Wahl eingeführt werden: Ja oder Nein. Die wahre Veränderung würde jedoch mit dem nächsten Schritt kommen — der Möglichkeit, Cookie-Präferenzen direkt im Browser zu setzen. Dieser Schritt würde einen bedeutenden Fortschritt in Richtung eines stärkeren und stabileren Datenschutzes darstellen. Selbst eine einfache „Ja“- oder „Nein“-Entscheidung auf jeder Website führt jedoch weiterhin zu der altbekannten Pop-up-Müdigkeit. Doch wenn diese Entscheidung in den Browser verlagert wird und Websites sie für mindestens sechs Monate respektieren müssen, würde der endlose Strom von Aufforderungen endlich nachlassen.
Im Wesentlichen verfolgt die EU mit den neuen Regeln ein Ziel, das bereits von Werbeblockern erfolgreich umgesetzt wurde. Dass Cookie-Zustimmungs-Pop-ups eine Quelle der Irritation sind, ist ein offenes Geheimnis, das viele dazu gezwungen hat, Filter zu aktivieren, um diese zu blockieren.
Beispielsweise können die Filter von AdGuard die meisten Cookie-Pop-ups in Echtzeit blockieren, egal ob die Browsererweiterungen oder eigenständigen Apps verwendet werden. Mit dem AdGuard Cookie-Hinweise-Filter können lästige Zustimmungsbanner ausgeblendet oder mit dem AdGuard Tracking-Schutzfilter selektiv Tracking- und Werbe-Cookies blockiert werden, sodass das Surfen angenehmer wird, ohne die Funktionalität der Websites zu beeinträchtigen.
Für weitere Informationen zu den verschiedenen Arten von Cookies, wie Erstanbieter-Cookies, Drittanbieter-Cookies, die für Tracking und Werbung verwendet werden, und schädlichen Cookies, die die Privatsphäre verletzen, sowie darüber, wie man diese effektiv blockieren kann, z. B. mit AdGuards Selbstzerstörung von Cookies und Tracking-Schutzfiltern, lesen Sie diesen Leitfaden.
Die europäische Nichtregierungsorganisation NOYB (None of Your Business), die sich auf den Schutz der Privatsphäre und die Bekämpfung unrechtmäßiger Datenpraktiken in Europa spezialisiert hat, übt seit langem Kritik an der weit verbreiteten Ineffizienz von Cookie-Zustimmungsmechanismen. In ihrer Analyse der vorgeschlagenen Cookie-Klausel im Digital Omnibus Gesetz hebt NOYB dies als einen potenziell positiven Schritt für Unternehmen hervor, die nicht in weit verbreitete Tracking-Praktiken involviert sind.
Wie NOYB anmerkt, „Die meisten Websites betreiben keine Online-Werbung oder Tracking, benötigen jedoch ein Zustimmungsbanner, um (anonyme) Statistiken zu sammeln. Wenn diese Art der Verarbeitung allgemein legal gemacht wird, sollten theoretisch die Cookie-Banner von den meisten „normalen“ Websites in Europa verschwinden.“
Allerdings warnt NOYB auch zu Recht, dass „andere täuschende Designs nicht erwähnt werden und ein Teil des Problems mit den Cookie-Bannern einfach zu Mustern führen könnte, die nicht mit dem Vorhandensein eines Ablehn-Buttons zu tun haben.“ Dem stimmen wir voll und ganz zu: Einfach nur Banner zu entfernen, löst nicht automatisch das größere Problem manipulativer Zustimmungsmechanismen. Dies ist eine echte Gefahr, vor der sowohl Menschen als auch Regulierungsbehörden wachsam bleiben müssen.
