Klick auf "Cookies ablehnen" bringt oft überhaupt nichts

Seit der Einführung von Cookie-Bannern auf Webseiten als Teil von EU-Gesetzen sind sie zur Normalität geworden. Wer erstmals eine Webseite besucht, kann im Banner meist auf "Alles akzeptieren" oder "Alles ablehnen" klicken. Wählt man Letzteres, müsste man sich eigentlich darauf verlassen können, dass man tatsächlich nicht mehr getrackt wird, schließlich ist das ja im Rahmen der DSGVO so festgelegt. 

Die Realität kann aber anders aussehen. Das haben Sicherheitsexperten von webXray aus Kalifornien jetzt ermittelt. Sie bieten ein kostenpflichtiges Tool an, mit dem Unternehmen, Datenschützer und Werbetreibende solche Schwachstellen aufspüren können. 

➤ Mehr lesen: Cookie-Banner nerven: Jetzt schreitet die EU ein

Tech-Firmen ignorieren Cookie-Einstellungen einfach

Nachdem die EU die Cookie-Banner zur Pflicht gemacht hat, haben auch andere Länder wie die USA sie eingeführt. In ihrem Test zeigte sich aber, dass 194 Werbedienste auf mehr als 7.000 geprüften Webseiten einfach ignorieren, wenn kalifornische Nutzer die Cookies ablehnen. "Von Google zertifizierte Cookie-Banner verhindern nicht, dass Google Cookies setzt, nachdem die Nutzer über ein globales standardisiertes Opt-Out-Signal dagegen entschieden haben", heißt es im Bericht.

Ihre Tests ergaben, dass 55 Prozent der getesteten Webseiten trotz der Ablehnung Werbe-Cookies setzten. 78 Prozent der geprüften Cookie-Banner schützten die Nutzer nicht ordentlich, weshalb trotz des Opt-Outs insgesamt 126.106 Cookies fälschlicherweise gesetzt wurden. 

Milliarden-Strafen bei Verstößen

Im kalifornischen Civil Code ist gesetzlich festgelegt, dass Konsumenten die Möglichkeit eines Opt-Out haben müssen. Unternehmen, die persönliche Daten an Dritte verkaufen, müssen sich daran halten. Laut webXray käme die gesammelte Strafe für die ermittelten Verstöße in Kalifornien allein auf 5,8 Milliarden Dollar. 

Google fiel im Test mit 86 Prozent nicht funktionierenden Bannern besonders negativ auf. Bisher musste das Unternehmen laut dem Bericht weltweit 2,31 Milliarden Dollar Strafe für Vergehen bezahlen. Bei Meta waren es 69 Prozent und 9,304 Milliarden Dollar Strafe. Microsoft lag bei 50 Prozent und vergleichsweise moderaten 390 Millionen Dollar bisherigen Strafzahlungen.   

Der Test zeigte, dass Meta scheinbar gar nicht erst überprüft, was Nutzer ausgewählt haben, sondern das Cookie einfach immer setzt. Das führt dazu, dass beim Test 21 Prozent der Webseiten, auf denen man die Cookies ablehnte, ihre Nutzer trotzdem aktiv tracken. 

Google, Meta und Microsoft widersprechen dem Bericht

Die Tech-Konzerne sehen den webXray-Test kritisch. Gegenüber 404 Media teilte Google mit: "Der Bericht basiert auf einem fundamental falschen Verständnis davon, wie unser Produkt funktioniert." Man halte sich an die geltenden Gesetze. Auch Meta beschreibt den Bericht als Fehlinterpretation und nennt ihn einen "Marketing-Trick", mit dem webXray sein Tool bewerben möchte. Microsoft ergänzt, dass einige gesetzte Cookies für die Nutzung von Webseiten notwendig seien. 

➤ Mehr lesen: Google führt "Alles ablehnen”-Button ein

WebXray-Gründer Timothy Libert ist davon nicht überzeugt: "Die Regulatoren sehen, wie ein Fuchs in den Hühnerstall geht und sagt "Ich bin nur hier, um Eier zu zählen, ich esse keine Hühner", und die Regulatoren glauben das." Die derzeitigen Strafen seien nicht wirksam, und die Firmen würden sie einfach endlos bezahlen, ohne etwas zu ändern.

Strengere Situation in der EU

Der Test beschreibt die Situation für kalifornische Nutzer. Ob es ähnliche Probleme in Europa gibt, wo aufgrund der DSGVO die Webseitenbetreiber für solche Verstöße haften und es für Nutzer einfacher ist, Verstöße individuell zu melden, ist dabei unklar. Fraglich ist daher, ob hierzulande solche von Google als "zertifiziert" eingestuften Cookie-Banner, die die Auswahl aber einfach ignorieren, aufgrund der geltenden Gesetze überhaupt zum Einsatz kommen. 

➤ Mehr lesen: TikTok muss in Europa 530 Millionen Euro Strafe zahlen

Laut Artikel 26 der DSGVO gilt die "Gemeinsame Verantwortung". Dort ist festgelegt, dass die Verantwortung zur Einhaltung der Gesetze nicht bei einer Instanz, also den Werbetreibenden, Tech-Konzernen oder Cookie-Banner-Anbietern, sondern allen Beteiligten inklusive den Webseitenbetreibern liegt. Selbst wenn den großen Tech-Konzernen also egal ist, ob sie Strafe zahlen, wird das auf Webseitenbetreiber in der EU weniger zutreffen. Trotzdem müssen Tech-Riesen wie Meta, Apple, TikTok und Microsoft auch in der EU immer wieder Rekordstrafen wegen DSGVO- und DMA-Verstößen bezahlen.