Die Illusion der Zustimmung: Gericht erklärt Cookie-Pop-ups für unzulässig

Ein EU-Berufungsgericht hat in einem Urteil bestätigt, dass ein Mechanismus namens Transparency and Consent Framework (TCF) — der Tracking und somit trackingbasierte Online-Werbung ermöglicht — nicht mit dem Grundpfeiler des europäischen Datenschutzrechts, der Datenschutz-Grundverordnung (DSGVO), vereinbar ist.

Mit diesem Urteil bestätigte das Gericht die Position der belgischen Datenschutzbehörde, die bereits 2022 zu demselben Ergebnis bezüglich der Rechtmäßigkeit des TCF gekommen war.

Auf dem Papier sieht dies zumindest wie ein großer Erfolg für den Datenschutz aus, Nutzer:innen und datenschutzorientierte Dienste wie AdGuard. Und obwohl das Urteil nur für die EU gilt, ist es dennoch eine positive Entwicklung.

Es bleibt abzuwarten, wie sich das auf große Technologieunternehmen wie Google, Amazon, Microsoft, Adobe und Meta auswirken wird, die für den Großteil des Trackings verantwortlich sind. Das Interactive Advertising Bureau (IAB), das das TCF entwickelt hat, wird eine Geldstrafe zahlen müssen und Änderungen daran vornehmen. Europäische Aufsichtsbehörden werden diese Änderungen überwachen.

Warum das Sie betrifft

Das mag wie eine Ansammlung von juristischen Fachbegriffen klingen, die weit von der Realität entfernt sind — doch dem ist nicht so. Diese Angelegenheit betrifft ganz normale Menschen, denn sie kommen täglich, oft unbewusst, mit diesem System in Kontakt. Dieses System treibt die lästigen Cookie-Einwilligungsfenster an, die auf versteckte Weise um Erlaubnis bitten, Nutzer:innen zu verfolgen. Das neue Urteil bedeutet effektiv, dass dieses Modell so nicht mehr ausreicht.

Wird der Cookie-Hinweis verschwinden und durch etwas anderes ersetzt? Wird das System grundlegend verändert oder nur der Text angepasst? Das werden wir erst wissen, wenn die Urteile in Kraft treten. Bis dahin werden wir weiterhin Pop-up-Cookie-Hinweise für AdGuard-Nutzer:innen blockieren — solange dadurch die Website nicht beschädigt wird. Und falls das Blockieren der Hinweise Probleme verursacht, werden wir alternative Methoden einsetzen, um sicherzustellen, dass das Tracking rund um die Cookie-Einwilligung so gering wie möglich bleibt.

Wie AdGuard mit Cookie-Pop-ups umgeht

Bei AdGuard haben wir schon seit einiger Zeit einen speziellen Filter für Cookie-Hinweise, mit dem wir Cookie-Dialoge verschiedener Consent Management Plattformen (CMPs) blockieren — das sind Tools, die Websites helfen, die Zustimmung einzuholen und zu verwalten — gemäß unserer Filterrichtlinie.

Dieser Filter ist darauf ausgelegt, sowohl die Cookie-Pop-ups als auch die zugrundeliegenden CMP-Anfragen zu blockieren. In den meisten Fällen reicht es aus, die entsprechenden Skripte einfach zu blockieren oder zu verstecken. In komplexeren Situationen, zum Beispiel wenn eine Website Inhalte erst anzeigt, wenn eine Entscheidung zur Zustimmung getroffen wurde, wenden wir fortgeschrittene Techniken an:

• Verwendung von Scriptlets, um die Anfrage zu umgehen,

• Setzen von Cookies oder localStorage-Schlüsseln, um eine Auswahl zu simulieren, oder

• Simulation von Nutzerinteraktionen — wie das Klicken auf den „Ablehnen“-Schaltfläche (unsere bevorzugte Methode) oder „Akzeptieren“ (nur als letzter Ausweg).

Wenn wir eine Auswahl simulieren, insbesondere „Akzeptieren“, stellen wir sicher, dass alle dadurch geladenen Analyse-Skripte mit unserem Tracking-Schutzfilter blockiert werden.

So sieht unser CTO und Mitgründer von AdGuard, Andrey Meshkov, das Urteil und seine Auswirkungen:

Unsere Haltung war immer klar: Selbst wenn ein Cookie-Dialog erscheint, entscheiden sich AdGuard-Nutzer:innen bewusst dafür, sich vor Tracking zu schützen, indem sie beispielsweise den Tracking-Schutzfilter aktivieren. Auch wenn wir einen Dialog zulassen, erlauben wir kein Tracking. Entweder lehnen wir automatisch die Zustimmung ab oder blockieren die Tracker direkt. Aus unserer Sicht ist dieser Ansatz technisch einwandfrei und DSGVO-konform.

Gleichzeitig waren wir schon lange besorgt darüber, dass CMP-Plattformen oft das Nutzerverhalten rund um den Einwilligungsprozess selbst verfolgen — noch bevor eine Zustimmung erteilt wird.
Jetzt, da bestätigt wurde, dass das aktuelle TCF-Framework nicht den DSGVO-Standards entspricht, sind wir der Meinung, dass Websites das Blockieren eines CMP als klares und gültiges Signal dafür ansehen sollten, dass man die Zustimmung verweigert. Wir hoffen, dass dieses Urteil es den Nutzer:innen erleichtert und sicherer macht, ihre Einwilligungen zu verwalten, ohne sich bei jedem Besuch im Netz durch verwirrende oder manipulative Pop-ups kämpfen zu müssen.