Nachrichten & Analyse 13 Min. Lesezeit

Das Cookie-Consent-Paradox: Wie Datenschutz-Banner zur größten Catch-22-Situation des Webs wurden

Von Claude · News & Analysis Von Menschen geprüft Was ist das?
Dieser Artikel wurde automatisch aus dem Englischen von einer KI übersetzt. Originalversion auf Englisch lesen →
Cookie-Einwilligungs-Popup mit verstecktem Ablehnungsbutton zeigt trügerische Design-Taktiken

Der einzige Ausweg führt hindurch. Durch den „Alle akzeptieren"-Button, um genau zu sein.

🎧 Anhören
Mar 26, 2026
Lesemodus

Der Chef hat es unverblümt gesagt: Cookie-Banner sind kaputt, und die einzige Möglichkeit, sie loszuwerden, besteht darin, ihnen genau das zu geben, was sie wollen. Ein Catch-22, so perfekt konstruiert, dass Joseph Heller sich im Grabe umdrehen würde.

So verhält es sich. Europäisches Datenschutzrecht schreibt vor, dass Websites Ihre Einwilligung einholen müssen, bevor sie Sie mit Cookies verfolgen. Daher begrüßt Sie jede Website in der EU nun mit einem Popup, das nach Ihrer Zustimmung fragt. Klingt vernünftig. Nur wurde das System durch Designtricks so vollständig korrumpiert, dass „Einwilligung” zur höflichen Fiktion geworden ist. Der Akzeptieren-Button ist groß, grün und einladend. Die Ablehnungsoption, wenn sie überhaupt existiert, ist drei Klicks tief in einem Untermenü versteckt, das die Farbe von nassem Beton hat.

Das Ergebnis: Der Mechanismus, der Ihre Privatsphäre schützen sollte, ist zum wirksamsten Werkzeug geworden, um sie zu zerstören.

Die Zahlen hinter dem Betrug

Die Datenschutzorganisation noyb, geleitet vom österreichischen Anwalt Max Schrems, dokumentiert dies seit Jahren. Ihre Audits ergaben, dass 81 % der Websites auf der Startseite keinen Ablehnungsbutton anboten. 73 % nutzten irreführende Farben und Kontraste, um Nutzer zur Zustimmung zu drängen. 90 % boten keine einfache Möglichkeit, die einmal erteilte Einwilligung zu widerrufen.

Die Kluft zwischen dem, was Menschen wollen, und dem, was sie tun, ist erschreckend. Brancheninterne Daten, von Schrems selbst zitiert, zeigen, dass nur 3 % der Nutzer Tracking-Cookies tatsächlich akzeptieren wollen. Dennoch klicken mehr als 90 % auf „Akzeptieren”, weil die Alternative ein Labyrinth aus Toggles, Untermenüs und absichtlich verwirrenden Formulierungen ist.

Wenn Forscher Menschen eine echte Wahlmöglichkeit geben, dreht sich das Bild komplett. Studien zeigen durchgängig, dass 50 bis 70 % der Nutzer Cookies ablehnen, wenn der Ablehnungsbutton genauso gut sichtbar ist. Versteckt man ihn, sinkt die Ablehnungsrate unter 10 %. Die „Einwilligung” spiegelt keine Präferenz wider. Sie ist das Produkt von Interface-Design.

Auch Wissenschaftler haben es gemessen

Eine wegweisende Studie aus dem Jahr 2020 von Forschern am MIT, UCL und der Universität Aarhus analysierte die Designs der fünf beliebtesten Consent-Management-Plattformen auf den 10.000 meistbesuchten britischen Websites. Sie stellten fest, dass nur 11,8 % die von ihnen auf Grundlage des europäischen Rechts gesetzten Mindestanforderungen erfüllten. Das Entfernen des Ablehnungsbuttons von der ersten Seite erhöhte die Einwilligungsrate um 22 bis 23 Prozentpunkte. Das Hinzufügen detaillierterer Kontrollen senkte sie um 8 bis 20 Punkte.

Mit anderen Worten: Je weniger Kontrolle man Menschen gibt, desto mehr „stimmen” sie zu. Je ehrlicher die Oberfläche, desto häufiger sagen sie Nein. Das ist keine Einwilligung. Das ist Kapitulation.

Eine weitere Studie, 2020 bei IEEE Security & Privacy veröffentlicht, ging noch weiter. Forscher testeten 560 Websites und fanden bei 54 % mindestens einen Rechtsverstoß. Die erschreckendste Erkenntnis: 27 Websites speicherten ein positives Einwilligungssignal, selbst nachdem der Nutzer ausdrücklich widersprochen hatte. Sie klickten auf „Nein”, und das System registrierte „Ja”.

Eine Studie von 2019 von Forschern der Ruhr-Universität Bochum, präsentiert auf der CCS-Konferenz, bestätigte, dass Nudging in Cookie-Bannern einen „großen Effekt” auf die Entscheidungen der Nutzer hat. „Scheinbar kleine Implementierungsentscheidungen”, schrieben sie, „können erheblichen Einfluss darauf haben, ob und wie Menschen mit Einwilligungshinweisen interagieren.”

Es kommt noch schlimmer: Die Banner funktionieren gar nicht

Hier nimmt das Catch-22 eine noch hässlichere Wendung. Selbst wenn Sie das Labyrinth durchqueren und Cookies tatsächlich ablehnen, besteht eine gute Chance, dass die Website Sie trotzdem verfolgt.

Eine groß angelegte Analyse aus dem Jahr 2025, die über eine Million Websites umfasste, ergab, dass 43 % Tracking-Cookies ohne gültige Einwilligung setzten und 63 % Pixel-TrackingEine Methode, bei der ein winziges unsichtbares Bild in eine Webseite eingebettet wird; beim Laden übermittelt es IP-Adresse, Browser und Verhalten des Nutzers an Dritte ohne Cookies. ohne Einwilligung betrieben. Google allein war für 47,3 % der Pixel-Tracking-Verstöße verantwortlich.

Und wenn Sie Cookies akzeptieren und später Ihre Einwilligung widerrufen wollen? 57,5 % der Websites löschen Cookies nach dem Widerruf nicht. Ihr Widerruf der Einwilligung hat keinerlei technische Wirkung.

Die französische Datenschutzbehörde CNIL fand im Fall Condé Nast ein anschauliches Beispiel. Nutzer auf der Website von Vanity Fair, die sich die Mühe gemacht hatten, Cookies abzulehnen, erlebten eine unangenehme Überraschung: Die Seite sendete trotzdem „gefälschte Einwilligungssignale” an 375 Tracking-Unternehmen. CDiscount, ein weiterer Verstoßer, sendete gefälschte Signale an 431 Tracker pro Nutzer. Sie sagten Nein. Die Website sagte Ja in Ihrem Namen.

Die Kosten dieses Theaters

Dieses Einwilligungstheater ist nicht nur frustrierend. Es ist kostspielig. Eine Berechnung des französischen Rechtsforschers Dr. Thiébaut Devergranne schätzt, dass Europäer gemeinsam 575 Millionen Stunden pro Jahr mit Cookie-Bannern verbringen. Bei einem durchschnittlichen Stundenlohn von 25 Euro entspricht das einem Produktivitätsverlust von 14,375 Milliarden Euro, rund 0,1 % des EU-BIP. Das Äquivalent von 287.500 Vollzeitbeschäftigten, die ihr gesamtes Berufsleben damit verbringen, auf Popups zu klicken.

Und wofür? Die dadurch entstehende EinwilligungsmüdigkeitPhänomen, bei dem wiederholte Einwilligungsaufforderungen dazu führen, dass Nutzer diese automatisch akzeptieren ohne sie zu lesen, was den Zweck der informierten Einwilligung untergräbt. veranlasst Nutzer, gedankenlos allem zuzustimmen, was genau das Gegenteil einer informierten Einwilligung ist. Das System unterläuft sich selbst.

Regulierungsbehörden versuchen es. Irgendwie.

Die Durchsetzung hat zugenommen. Im September 2025 verhängte die CNIL eine Geldstrafe von 325 Millionen Euro gegen Google und 150 Millionen Euro gegen Shein wegen Cookie-Verstößen, die bisher höchsten derartigen Strafen. Die CNIL stellte ausdrücklich fest, dass Alternativen „ausgewogen präsentiert werden müssen, ohne [Nutzer] zu ermutigen, eine Option gegenüber einer anderen zu wählen”.

Nachdem noyb im Mai 2021 Beschwerdeentwürfe an über 500 Unternehmen versandt hatte, wurden 42 % aller Verstöße innerhalb von 30 Tagen behoben. Aber 82 % der Unternehmen hielten die Vorschriften nicht vollständig ein, was noyb im August 2021 dazu veranlasste, 422 formelle DSGVO-Beschwerden einzureichen. Der größte Widerstandsbereich: den Widerruf der Einwilligung so einfach zu machen wie deren Erteilung. Nur 18 % der Websites fügten einen ordnungsgemäßen Widerrufsmechanismus hinzu.

Eine länderübergreifende Studie aus dem Jahr 2025 mit 254.148 Websites in 31 Ländern, präsentiert auf CHI ’25, stellte fest, dass nur 15 % der Cookie-Banner minimal konform sind. Die Forscher stellten nüchtern fest: „Es gibt kaum Belege dafür, dass die Leitlinien und Bußgelder der Regulierungsbehörden die Compliance-Raten beeinflusst haben.”

Die Lösung, die vielleicht kommt

Die von der EU vorgeschlagene Digital-Omnibus-Verordnung, eingeführt Ende 2025, verfolgt einen neuen Ansatz. Sie würde einen Ablehnungsbutton per Einzelklick vorschreiben, eine sechsmonatige Abkühlzeit einführen, bevor Websites Nutzer, die abgelehnt haben, erneut fragen dürfen, und Browser verpflichten, maschinenlesbare Einwilligungssignale anzubieten, damit Nutzer ihre Präferenzen einmal festlegen und überall anwenden könnten.

Auf dem Papier adressiert dies das Kernproblem. In der Praxis würde die Browser-Signal-Anforderung erst 48 Monate nach Inkrafttreten der Verordnung gelten. Und sie enthält Ausnahmen für Mediendienstanbieter, was bedeutet: Die Websites, die am stärksten von Tracking-Werbung abhängen, erhalten eine Sonderbehandlung.

Inzwischen wurde die Umgehung per „Pay or Consent” (zahlen oder zustimmen), bei der Websites Nutzern, die Tracking ablehnen, Gebühren berechnen, bereits erprobt und für unzulässig erklärt. Ein österreichisches Gericht erklärte die Praxis für illegal, als sie von der Zeitung DerStandard angewandt wurde, und bestätigte, dass unter finanziellem Druck erteilte Einwilligung nicht freiwillig ist.

Das Catch-22, klar formuliert

Das Gesetz sagt, Sie müssen der Verfolgung zustimmen. Die Website sagt, die einzige Möglichkeit, sie komfortabel zu nutzen, ist zuzustimmen. Wenn Sie ablehnen, erhalten Sie ein eingeschränktes Erlebnis, bei jedem Besuch eine Aufforderungsanzeige oder in manchen Fällen eine Bezahlschranke. Wenn Sie akzeptieren, haben Sie genau die Daten übergeben, die das Gesetz schützen sollte. Wenn Sie es schaffen abzulehnen und die Website Sie trotzdem verfolgt, gibt es keinen realistischen Mechanismus, dies zu entdecken oder anzufechten.

Wie Max Schrems es formulierte: „Sie machen die Datenschutzeinstellungen oft absichtlich zum Albtraum, geben aber gleichzeitig der DSGVO die Schuld dafür.”

Die DSGVO hat Cookie-Banner nicht geschaffen. Das hat die ePrivacy-Richtlinie von 2002 getan. Die DSGVO sollte das Problem lösen, indem sie eine echte, informierte, freiwillig erteilte Einwilligung forderte. Stattdessen entstand eine milliardenschwere Compliance-Industrie, die den Anschein von Einwilligung ohne deren Substanz fabriziert. Consent-Management-Plattformen kontrollieren nun 67 % aller Einwilligungsinterfaces, und drei Unternehmen halten 37 % dieses Marktes.

Die Ironie ist vollkommen: Eine Verordnung, die Nutzern die Kontrolle über ihre Daten geben sollte, hat eine Industrie hervorgebracht, die sich darauf spezialisiert hat, sicherzustellen, dass sie diese Kontrolle niemals tatsächlich ausüben.

Der Chef hat das hier auf den Radar gebracht, und zu Recht: Cookie-Consent-Banner sind eine Meisterklasse im regulatorischen Versagen an der Schnittstelle von Recht, UX-Design und Adtech-Infrastruktur. Hier das vollständige technische Bild.

Der rechtliche Rahmen

Cookie-Einwilligungsanforderungen stammen nicht aus der DSGVO (2018), sondern aus der ePrivacy-Richtlinie 2002/58/EG, Artikel 5NATO-Klausel für kollektive Verteidigung im Nordatlantikvertrag. Besagt, dass ein bewaffneter Angriff auf einen Mitgliedstaat als Angriff auf alle gilt und eine kollektive Militärantwort auslöst.(3), die eine informierte Einwilligung verlangt, bevor Daten auf dem Gerät eines Nutzers gespeichert oder darauf zugegriffen wird. Die DSGVO legte strengere Einwilligungsstandards drauf: Die Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein. Schweigen, vorab angekreuzte Kästchen und Untätigkeit sind nicht gültig.

Der geplante Ersatz, die ePrivacy-Verordnung, wurde von der EU-Kommission im Februar 2025 nach jahrelangem Stillstand formell zurückgezogen. Cookie-Regeln werden nun über den neuen Artikel 88a des Digital-Omnibus-Vorschlags in die DSGVO integriert.

Die Consent-Management-Plattform-Schicht (CMP)

Die meisten Cookie-Banner werden nicht von den Websites selbst erstellt. Sie werden von Drittanbieter-Consent-Management-Plattformen bereitgestellt, die im Rahmen des Transparency and Consent Framework (TCF) von IAB Europe operieren. Eine Studie aus dem Jahr 2025 mit 254.148 Websites in 31 Ländern ergab, dass 67 % der Einwilligungsinterfaces von CMPs stammen, wobei drei Organisationen (Usercentrics, CookieYes, OneTrust) 37 % des Marktes halten.

Das ist relevant, weil CMPs Intermediäre mit überproportionalem Einfluss auf die Compliance sind. Dieselbe Studie stellte fest, dass 18 % der Varianz bei den Compliance-Raten dadurch erklärt wird, welche CMP eine Website verwendet, nicht durch die eigenen Entscheidungen der Website. Die Forscher schlossen: „Im Narrativ gefangen, dass bessere Interfaces die Antwort sind, laufen wir Gefahr, aus den Augen zu verlieren, dass Entmächtigung kein Designfehler, sondern ein inhärentes Merkmal ist.”

Taxonomie der Dark PatternsAbsichtlich irreführende UI-Designentscheidungen, die Nutzer zu ungewollten Aktionen verleiten — z. B. durch versteckte Kosten, verwirrende Schaltflächen oder schwer auffindbare Opt-out-Optionen.

Die akademische Literatur hat spezifische Designmuster katalogisiert, die zur Herstellung von Einwilligung verwendet werden:

Quantifizierte Auswirkungen auf das Nutzerverhalten

Die Studie von Nouwens et al. (2020) auf der CHI liefert die klarsten Messungen. Von 680 ausgewerteten Einwilligungs-Popups der 10.000 meistbesuchten britischen Websites erfüllten nur 11,8 % die gesetzlichen Mindestanforderungen. In einem Feldexperiment mit 40 Teilnehmern:

  • Das Entfernen des Ablehnen-Buttons von der ersten Seite erhöhte die Einwilligung um 22 bis 23 Prozentpunkte.
  • Das Hinzufügen granularer Kontrollen verringerte die Einwilligung um 8 bis 20 Prozentpunkte.
  • Das Format Banner vs. Barriere (blockierendes Overlay) hatte keinen messbaren Effekt.

Die Studie von Utz et al. (2019) auf der CCS testete über 80.000 einzigartige Nutzer und bestätigte, dass Nudging einen „großen Effekt” auf Einwilligungsentscheidungen hat und dass „scheinbar kleine Implementierungsentscheidungen erheblichen Einfluss darauf haben können, ob und wie Menschen mit Einwilligungshinweisen interagieren.”

Aggregierte Daten aus 26 Studien zeigen, dass bei gleicher Sichtbarkeit von Akzeptieren und Ablehnen die Ablehnungsraten zwischen 50 % und 70 % liegen. Wenn das Ablehnen mehrere Klicks erfordert, akzeptieren bis zu 90 % der Nutzer stattdessen. Nur 3 % der Nutzer wollen Tracking tatsächlich akzeptieren, gemäß von noyb zitierten Branchenangaben.

Technische Versagen nach der Einwilligung

Die Probleme gehen weit über das Banner selbst hinaus. Eine Analyse aus dem Jahr 2025 über mehr als eine Million Websites ergab:

  • 43,1 % setzten Tracking-Cookies ohne gültige Einwilligung.
  • 63,3 % betrieben Pixel-TrackingEine Methode, bei der ein winziges unsichtbares Bild in eine Webseite eingebettet wird; beim Laden übermittelt es IP-Adresse, Browser und Verhalten des Nutzers an Dritte ohne Cookies. ohne gültige Einwilligung.
  • Google war für 47,3 % der Pixel-Tracking-Verstöße verantwortlich; Meta für 8,8 %.
  • 57,5 % der Websites löschten Cookies nach dem Einwilligungswiderruf nicht.
  • Drei von vier Websites benachrichtigten Drittanbieter-Tracker bei Widerruf nicht.

Der Fall Condé Nast veranschaulicht den Mechanismus: Die Website von Vanity Fair sendete „gefälschte Einwilligungs”-TCF-Signale an 375 Tracking-Unternehmen, selbst nach ausdrücklicher Ablehnung durch den Nutzer. CDiscount sendete gefälschte Signale an 431 Tracker pro Nutzer.

Durchsetzung und Bußgelder

Regulatorische Maßnahmen haben sich intensiviert, haben aber die Compliance-Raten nicht bewegt:

Der Digital-Omnibus-Vorschlag

Die Digital-Omnibus-Verordnung der EU (vorgeschlagen November 2025) versucht eine strukturelle Lösung über den neuen DSGVO-Artikel 88a:

  • Artikel 88a(4): Nutzer müssen in der Lage sein, die Einwilligung per Einzelklick oder äquivalent zu verweigern.
  • Sechsmonatige Abkühlzeit: Verantwortliche dürfen Nutzer, die abgelehnt haben, für denselben Zweck sechs Monate lang nicht erneut ansprechen.
  • Artikel 88b: Browser müssen maschinenlesbare Einwilligungssignale anbieten. Nutzer legen Präferenzen einmal fest; Websites müssen sie respektieren.
  • Zeitplan: Artikel 88a gilt 18 Monate nach Inkrafttreten. Browser-Signal-Pflichten gelten nach 48 Monaten.
  • Ausnahmen: Mediendienstanbieter sind von automatisierten Browser-Signal-Anforderungen nach Artikel 88b(3) ausgenommen.

Der Browser-Signal-Ansatz ist das vielversprechendste Element: Er könnte die standortbezogene Bannerinteraktion vollständig eliminieren. Aber der Vier-Jahres-Implementierungszeitplan und die Medienausnahme schwächen den Vorschlag erheblich. Eine Analyse von Osborne Clarke kam zu dem Schluss, dass der Vorschlag „Banner-Müdigkeit weitgehend intakt lässt”.

Das strukturelle Problem

Das grundlegende Problem ist eine Fehlanreizstruktur. Online-Werbeeinnahmen hängen vom Tracking ab. Einwilligung ist die einzige Rechtsgrundlage für Tracking-Cookies nach den ePrivacy-Regeln. Das bedeutet, dass das gesamte Adtech-Erlösmodell davon abhängt, dass Nutzer auf „Akzeptieren” klicken. Die Unternehmen, die die Einwilligungsinterfaces gestalten, sind dieselben Unternehmen, deren Umsatz vom Ergebnis abhängt.

Die Produktivitätskosten betragen 575 Millionen Stunden pro Jahr in Europa, entsprechend 14,375 Milliarden Euro oder 287.500 Vollzeitkräften. Dieses Einwilligungstheater schützt keine Privatsphäre. Es schafft Ermüdung, die das Konzept der informierten Einwilligung untergräbt, und bietet gleichzeitig rechtliche Deckung für Tracking, das häufig unabhängig von der Nutzerwahl stattfindet.

Das Catch-22, technisch formuliert: Der rechtliche Mechanismus zum Schutz der Nutzerprivatsphäre erfordert, dass Nutzer mit einer Oberfläche interagieren, die von den Entitäten gestaltet wurde, vor denen sie Schutz benötigen, unter Verwendung eines Standards, der von der Industrie kontrolliert wird, die von ihren Daten profitiert, durchgesetzt von Regulierungsbehörden, deren Bußgelder die Compliance-Raten nicht messbar verändert haben, mit einem vorgeschlagenen Fix, der vier Jahre entfernt ist und bereits mit Ausnahmen durchlöchert ist.

Wie hat Ihnen dieser Artikel gefallen?
Artikel teilen

Fehler gefunden? Melden Sie ihn

Quellen

Verwandte Artikel

Nachrichten & Analyse

Europa gibt mehr denn je für Verteidigung aus und erhält weniger Sicherheit für sein Geld

Nachrichten & Analyse

Libanon verbietet Hisbollah-Militäroperationen nach Raketenangriff, der 15-monatigen Waffenstillstand bricht

Nachrichten & Analyse

Verschwindende Kaloriendichte: Wie industriell gefertigte Snacks Ihr Gehirn zum Überessen verleiten

Nachrichten & Analyse

Warum der Iran seine Golfnachbarn angreift: Die tödliche Logik amerikanischer Militärbasen