Was sind Dark Patterns im Cookie-Consent?

Der Begriff Dark Patterns bezeichnet Gestaltungstricks in Benutzeroberflächen, die Nutzende dazu verleiten, Entscheidungen zu treffen, die nicht ihren Interessen entsprechen — in diesem Fall: der Einwilligung in die Verarbeitung personenbezogener Daten, die sie bei freier Wahl abgelehnt hätten. Im Kontext von Cookie-Consent-Bannern ist dieses Phänomen so verbreitet, dass der Europäische Datenschutzausschuss (EDPB/EDSA) im Mai 2022 eigene Leitlinien 3/2022 zu Dark Patterns in sozialen Netzwerken verabschiedet hat, die von Aufsichtsbehörden inzwischen analog auf alle Arten von Websites angewendet werden.

Die rechtliche Grundlage, aus der sich das Verbot von Dark Patterns ergibt, ist mehrdimensional. Nach Art. 7 DSGVO muss eine Einwilligung freiwillig, spezifisch, informiert und unmissverständlich erteilt werden — durch eine aktive Handlung. Gleichzeitig verlangt § 25 TTDSG, dass das Einlesen oder Speichern von Informationen auf Endgeräten (also das Setzen von Cookies) nur nach vorheriger Einwilligung erfolgen darf, sofern sie nicht technisch unbedingt erforderlich sind. Diese Einwilligung muss ihrerseits den DSGVO-Anforderungen genügen.

Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe für Anbieter von Telemedien (2021, aktualisiert März 2022) konkrete Mindestanforderungen an Cookie-Banner formuliert, die für alle in Deutschland tätigen Unternehmen verbindlich sind. Wer diesen Anforderungen nicht entspricht, riskiert Bußgelder nach Art. 83 DSGVO — im schlimmsten Fall bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Dark Pattern #1: Vorausgewählte Checkboxen (Pre-ticked boxes)

Das einfachste und zugleich am häufigsten anzutreffende Dark Pattern ist die vorausgefüllte Checkbox. Beim Aufruf des Cookie-Banners sind einzelne oder alle Kategorien — Analytics, Marketing, Personalisierung — bereits mit einem Häkchen versehen. Der Nutzer muss aktiv tätig werden, um die Einwilligung zu verweigern, statt sie zu erteilen.

Diese Praxis verstößt klar gegen Art. 7 Abs. 2 DSGVO, der vorschreibt, dass eine Einwilligung „durch eine eindeutige bestätigende Handlung" erteilt werden muss. Erwägungsgrund 32 der DSGVO präzisiert: „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit" stellen keine Einwilligung dar. Der EuGH hat dies in der Rechtssache C-673/17 (Planet49) höchstrichterlich bestätigt; der BGH hat das Urteil in seinem Beschluss vom 28. Mai 2020 (I ZR 7/16) für das deutsche Recht umgesetzt.

Durchsetzungsbeispiele: Die französische Datenschutzbehörde CNIL hat Google und Facebook 2022 Bußgelder in Höhe von jeweils 150 Millionen Euro auferlegt, unter anderem wegen mangelhafter Consent-Gestaltung. In Deutschland hat der BfDI mehrfach öffentlich kritisiert, dass vorausgefüllte Kästchen nach wie vor gang und gäbe seien, und entsprechende Prüfverfahren eingeleitet. Automatisierte Scanner können vorausgewählte Zustände von Checkboxen direkt im DOM der Seite erkennen.

Dark Pattern #2: Versteckter Ablehn-Button oder fehlendes Opt-out

Ein weit verbreitetes Muster zeigt auf der ersten Ebene des Cookie-Banners einen großen, farblich hervorgehobenen „Alle akzeptieren"-Button — und keinen gleichwertigen Ablehnungsbutton. Um Cookies abzulehnen, muss der Nutzer erst auf „Einstellungen", „Mehr erfahren" oder „Einstellungen verwalten" klicken und sich durch mehrere Untermenüs navigieren.

Die DSK hat in ihrer Orientierungshilfe Telemedien unmissverständlich festgestellt: Die Möglichkeit zur Ablehnung muss auf der ersten Ebene des Banners genauso leicht zugänglich sein wie die Einwilligung. Wenn „Alle akzeptieren" direkt sichtbar ist, muss „Alle ablehnen" es ebenfalls sein — in vergleichbarer Position, vergleichbarer Schriftgröße und vergleichbarem Kontrast. Eine Pflicht zur absoluten optischen Identität besteht zwar nicht, aber jede deutliche Asymmetrie begründet den Verdacht eines Dark Patterns.

Der LfDI Baden-Württemberg hat in seinem Tätigkeitsbericht 2022 ausdrücklich darauf hingewiesen, dass das Fehlen eines direkten Ablehnungsbuttons als Verstoß gegen das Freiwilligkeitsgebot des Art. 7 DSGVO gewertet wird. Entsprechende Prüfverfahren gegen Betreiber populärer deutscher Nachrichtenportale wurden eingeleitet.

Dark Pattern #3: Cookie-Wall (Zustimmung als Zugangsbedingung)

Eine Cookie-Wall macht den Zugang zu einem Website-Inhalt davon abhängig, dass der Nutzer der Verarbeitung seiner Daten — typischerweise für Werbezwecke — zustimmt. Wer ablehnt, sieht eine Fehlermeldung oder wird weitergeleitet. Die Einwilligung ist in diesem Kontext per definitionem nicht freiwillig, denn sie steht unter dem Druck des Inhaltsverlustes.

Erwägungsgrund 42 DSGVO stellt klar, dass eine Einwilligung nicht als freiwillig gilt, wenn die betroffene Person keine echte oder freie Wahl hat oder ihre Einwilligung nicht verweigern oder widerrufen kann, ohne Nachteile zu erleiden. Die DSK hat in einer Beschlussfassung von 2019 festgestellt, dass reine Cookie-Walls — Einwilligung oder kein Zugang, ohne jede Alternative — mit dem DSGVO-Freiwilligkeitsgebot grundsätzlich unvereinbar sind.

Eine differenziertere Rechtslage besteht beim Pay-or-Consent-Modell (auch „Pur-Abo-Modell" genannt): Hierbei können Nutzer zwischen kostenpflichtiger Nutzung ohne Tracking und kostenloser Nutzung mit Tracking wählen. Der EDPB hat in seiner Stellungnahme 04/2024 zu diesen Modellen festgestellt, dass eine solche Wahl unter bestimmten Bedingungen mit der DSGVO vereinbar sein kann — insbesondere dann, wenn das Abo-Entgelt angemessen ist und keine weiteren Nachteile entstehen. Für redaktionelle Medienangebote hat der LfDI Bayern einzelne Pur-Abo-Modelle als zulässig eingestuft. Die Grenzlinie bleibt jedoch eng und einzelfallabhängig.

Dark Pattern #4: Irreführende Formulierungen

Sprache ist ein wirksames Manipulationsinstrument. Wenn ein Button mit „OK" beschriftet ist, ohne klar zu machen, wozu der Nutzer „OK" sagt, fehlt es an der nach Art. 7 DSGVO geforderten informierten Einwilligung. Ähnlich problematisch ist ein Button, der mit „Ich stimme zu" beschriftet ist, dabei aber in Wirklichkeit Marketing-Profiling, Retargeting und die Weitergabe von Daten an mehrere hundert Werbepartner autorisiert — ohne dass diese Konsequenz auf der ersten Ebene des Banners erkennbar ist.

Besonders tückisch ist die Kategorie der irreführend neutralen Formulierungen: „Ihre Datenschutzpräferenzen verwalten" klingt nach einer Einstellungsseite, ist aber in Wirklichkeit ein Akzeptier-Button. „Zur personalisierten Nutzung fortfahren" suggeriert einen neutralen nächsten Schritt, schließt aber in der Regel eine Einwilligung in Tracking ein. Die EDPB-Leitlinien 3/2022 nennen diese Kategorie ausdrücklich als „Misleading interface" und fordern, dass die Formulierung eindeutig erkennen lässt, welche datenschutzrechtliche Konsequenz die Handlung hat.

Für deutsche Unternehmen gilt: Eine Einwilligung ist nach Art. 7 Abs. 1 DSGVO nur dann wirksam, wenn der Verantwortliche nachweisen kann, dass die betroffene Person in Kenntnis der Sachlage eingewilligt hat. Unklare oder verschleiernde Schaltflächentexte können diesen Nachweis von vornherein unmöglich machen.

Dark Pattern #5: Interface-Manipulation (drückendes Design)

Selbst wenn alle Buttons formal vorhanden sind, kann die visuelle Gestaltung des Banners eine manipulative Wirkung entfalten. Der EDPB hat in den Leitlinien 3/2022 eine eigene Kategorie für sogenannte „Visual Interference" (visuelle Eingriffe) definiert, zu der folgende Muster zählen:

• Kontrastmanipulation: Der „Akzeptieren"-Button ist in kräftigem Grün oder Blau gehalten und hebt sich optisch deutlich vom Hintergrund ab; der „Ablehnen"-Button ist grau, blass oder kaum vom Hintergrund zu unterscheiden.
• Schriftgrößenunterschiede: Der Akzeptiertext ist in 14pt, der Ablehntext in 10pt gesetzt — formal vorhanden, aber praktisch übersehen.
• Positionierung: „Akzeptieren" steht links oben (natürlicher Lesepfad), „Ablehnen" rechts unten — oder umgekehrt, wenn die kulturelle Leserichtung ausgenutzt wird.
• Psychologische Formulierungen: „Jetzt starten" vs. „Nein danke, ich möchte eine schlechtere Erfahrung" — sogenannte confirm-shaming-Muster, die Schuldgefühle oder FOMO (Fear of missing out) für die Ablehnung erzeugen.

Auch wenn einzelne dieser Elemente für sich betrachtet keine offensichtliche Rechtsverletzung darstellen mögen, ist das Gesamtbild entscheidend. Aufsichtsbehörden bewerten das Banner in seiner Gesamtwirkung auf den durchschnittlichen Nutzer — nicht anhand eines technischen Checkbox-Tests. Der BfDI hat angekündigt, bei Bannern, die zwar formal alle Elemente enthalten, aber durch Design systematisch auf Einwilligung hinlenken, Bußgeldverfahren nach Art. 83 Abs. 5 lit. a DSGVO zu prüfen.

Dark Pattern #6: Bundled Consent (Koppelung)

Art. 7 Abs. 4 DSGVO enthält ein ausdrückliches Koppelungsverbot: Eine Einwilligung gilt nicht als freiwillig erteilt, wenn sie an die Erfüllung eines Vertrags geknüpft ist und die Verarbeitung für die Vertragserfüllung nicht erforderlich ist. Das Koppelungsproblem tritt im Cookie-Bereich in einer Variante auf, die schwerer zu erkennen ist: die Bündelung mehrerer Einwilligungen in einem einzigen Klick.

Typisches Beispiel: Ein „Alle akzeptieren"-Button erteilt gleichzeitig die Einwilligung für technisch nicht notwendige Session-Erweiterungen, für Analytics, für Verhaltens-Retargeting und für die Weitergabe von Gerätekennzeichnungen an Advertising-Netzwerke — ohne dass der Nutzer für jeden dieser Zwecke separat zugestimmt hat. Das Bundling macht es unmöglich, selektiv einzuwilligen, was der DSGVO-Anforderung der spezifischen Einwilligung widerspricht.

Eine besonders problematische Spielart ist die Koppelung von Marketing-Einwilligung an die Nutzung einer App oder eines Dienstes: „Zur Nutzung unserer App müssen Sie unserer Datenschutzrichtlinie zustimmen" — wobei die „Datenschutzrichtlinie" neben den unvermeidlichen Nutzungsdaten auch Profiling für Werbezwecke einschließt. Dies entspricht strukturell dem von Art. 7 Abs. 4 DSGVO verbotenen Kopplungsverbot und wurde von der irischen Datenschutzbehörde DPC sowie dem LfDI Bayern in Aufsichtsverfahren entsprechend gewürdigt.

Gemäß den EDPB-Leitlinien 05/2020 zur Einwilligung müssen Einwilligungen granular erteilt werden können: Für jeden Verarbeitungszweck ist eine separate Einwilligungsmöglichkeit vorzusehen, wenn die Verarbeitungen nicht notwendigerweise verbunden sind. Ein Button für alles genügt dieser Anforderung grundsätzlich nicht.

Automatische Erkennung von Dark Patterns

Die manuelle Prüfung eines Cookie-Banners auf Dark Patterns ist aufwendig und fehleranfällig — insbesondere, weil Banner sich je nach Browser, Gerät, Geolokalisierung oder A/B-Testvariante unterschiedlich darstellen können. Viele Unternehmen testen verschiedene Banner-Versionen und sind sich nicht bewusst, dass einzelne Varianten DSGVO-widrig sind.

Automatisierte Compliance-Scanner analysieren Cookie-Banner in der tatsächlich ausgelieferten Form und prüfen folgende Merkmale systematisch:

• DOM-Analyse auf vorausgefüllte Checkboxen: Sind im HTML-DOM Checkbox-Elemente mit dem Attribut checked für nicht-essentielle Cookie-Kategorien vorhanden?
• Button-Symmetrie: Gibt es auf der ersten Ebene sowohl einen Akzeptier- als auch einen Ablehnungsbutton? Ist das Verhältnis der Schriftgrößen und Kontraste messbar asymmetrisch?
• Klick-Tiefe für Ablehnung: Wie viele Interaktionsschritte sind erforderlich, um alle Nicht-Essentiellen Cookies abzulehnen? Mehr als zwei Schritte gelten nach DSK-Maßstäben als problematisch.
• Cookie-Setzung vor Einwilligung: Werden nicht-essentielle Cookies bereits beim ersten Seitenaufruf — vor jeder Interaktion — gesetzt? Dies ist der gravierendste Verstoß und direkt über Netzwerkanalyse nachweisbar.
• Drittanbieter-Ressourcen: Werden Drittanbieter-Skripte (Google Analytics, Meta Pixel, LinkedIn Insight Tag) bereits ohne Einwilligung geladen?

Juralex Audit führt all diese Prüfungen automatisch durch. Der Cookie-Audit umfasst über 15 einzelne Checks, die direkt auf die DSK-Orientierungshilfe Telemedien und die EDPB-Leitlinien 3/2022 abgestimmt sind. Das Ergebnis ist ein priorisierter Befundbericht — unterschieden nach kritischen Verstößen (z. B. Cookie-Setzung vor Einwilligung) und Optimierungsempfehlungen (z. B. Kontrastverhältnis der Buttons).

Für Datenschutzbeauftragte und Compliance-Verantwortliche besonders wertvoll: Der Bericht wird als PDF mit Zeitstempel exportiert und kann als Nachweis der Überwachungstätigkeit im Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO oder gegenüber einer Aufsichtsbehörde nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) verwendet werden. Unternehmen, die regelmäßig scannen und festgestellte Mängel dokumentiert beheben, befinden sich in einer deutlich besseren Verhandlungsposition, wenn eine Behörde Prüfungsanfragen stellt.