Dark Patterns in Cookie-Bannern: Was ist illegal, was ist riskant und wie bleiben Sie konform
Regulierungsbehörden in Europa prüfen nicht mehr nur, ob Sie ein Cookie-Banner haben — sie prüfen, wie es sich verhält. Dark Patterns — täuschende Designentscheidungen, die Nutzer dazu manipulieren, einer Einwilligung zuzustimmen, die sie nicht beabsichtigten — sind zum Durchsetzungsziel Nummer eins für Datenschutzbehörden in 2025-2026 geworden. Bußgelder sind real, sie wachsen und treffen Unternehmen jeder Größe.
Was sind Dark Patterns bei der Cookie-Einwilligung?
Ein Dark Pattern ist jede Designentscheidung, die Nutzer in Richtung Zustimmung drängt, wenn ein neutrales Design sie dazu bringen würde, abzulehnen oder eine wirklich freie Entscheidung zu treffen. Der Europäische Datenschutzausschuss (EDPB) erließ 2023 verbindliche Leitlinien, die spezifische Dark-Pattern-Kategorien definieren. Dies sind keine Empfehlungen — sie haben Gesetzeskraft in allen EU-Mitgliedstaaten.
Die 7 häufigsten Dark Patterns (und warum sie illegal sind)
1. Versteckter Ablehnen-Button
"Alle akzeptieren" ist ein prominenter grüner Button, während "Ablehnen" ein kleiner grauer Textlink ist, der in einer zweiten Ebene versteckt ist. Mehrere Datenschutzbehörden haben dies für ungültig erklärt. CNIL verhängte gegen ein großes Technologieunternehmen eine Geldbuße von €60 Millionen teilweise wegen dieser Praxis.
2. Vorausgewählte Kontrollkästchen
Das Einwilligungsbanner wird mit allen bereits ausgewählten Cookie-Kategorien geladen. Der CJEU entschied im Fall Planet49 (2019), dass vorausgewählte Kontrollkästchen keine gültige Einwilligung darstellen. Dies ist geltendes Recht.
3. Cookie Walls
Den Zugang zur Website vollständig zu sperren, bis der Nutzer einwilligt. Die EDPB-Leitlinien stellen fest, dass eine Einwilligung nicht freiwillig erteilt wird, wenn der Zugang zum Dienst davon abhängig ist. Die meisten EU-Datenschutzbehörden haben diese Position bestätigt.
4. Verwirrende Sprache
Verwendung von Rechtsjargon, doppelten Verneinungen oder absichtlich komplexen Formulierungen, um Nutzer zu verwirren. "Indem Sie nicht aus nicht wesentlichen Cookies opt-out, stimmen Sie zu..." ist ein Dark Pattern. Klare, verständliche Sprache ist erforderlich.
5. Emotionale Manipulation
Nutzer mit Phrasen wie "Mir ist mein Erlebnis egal" für die Ablehnungsoption unter Druck setzen oder traurige Icons und Warnfarben auf dem Ablehnen-Button verwenden. Regulierungsbehörden haben dies ausdrücklich kritisiert.
6. Asymmetrischer Aufwand
Ein Klick zum Akzeptieren, fünf Klicks zum Ablehnen. Wenn das Verweigern der Einwilligung das Navigieren durch mehrere Bildschirme, Schalter und Bestätigungsdialoge erfordert, während das Akzeptieren ein einzelner Button ist, ist dies ein Dark Pattern.
7. Wiederholte Aufforderungen
Das Einwilligungsbanner erneut Nutzern anzeigen, die bereits abgelehnt haben, in der Hoffnung, dass sie schließlich aus Erschöpfung auf Akzeptieren klicken. Sobald ein Nutzer eine Entscheidung getroffen hat, muss diese respektiert werden, bis er sie aktiv ändert.
Echte Bußgelder für Dark Patterns
- CNIL (Frankreich): Bußgelder von €60M und €40M gegen große Technologieunternehmen für Einwilligungsbanner, bei denen die Ablehnung schwieriger war als die Zustimmung
- Italienische Datenschutzbehörde: Bußgeld von €20M für vorausgewählte Einwilligungskästchen und Cookie Walls
- Spanische AEPD: Bußgeld von €2,5M für manipulatives Cookie-Banner-Design
- Belgische Datenschutzbehörde: Entschied, dass die ursprüngliche TCF-Implementierung von IAB Europe Dark Patterns enthielt
- Österreichische DSB: Mehrere Entscheidungen gegen asymmetrische Einwilligungsdesigns
So prüfen Sie Ihr Banner auf Dark Patterns
Wenden Sie diese Checkliste auf Ihr aktuelles Einwilligungsbanner an:
- Akzeptieren- und Ablehnen-Buttons haben die gleiche Größe, Farbprominenz und Anzahl der Klicks
- Keine Kästchen sind vorausgewählt — alle Einwilligungskategorien beginnen als abgewählt
- Die Website ist ohne Einwilligung zugänglich (keine Cookie Wall)
- Die Sprache ist einfach, klar und in der Sprache des Besuchers
- Kein Schuld machender Text oder emotionale Manipulation bei der Ablehnungsoption
- Frühere Entscheidungen werden gespeichert — Banner erscheint nicht erneut für Nutzer, die abgelehnt haben
- Eine Option "Einstellungen verwalten" existiert neben Akzeptieren und Ablehnen
- Der Widerruf der Einwilligung ist genauso einfach wie ihre Erteilung
FlexyConsent: Dark-Pattern-frei durch Design
FlexyConsent ist mit regulatorischer Compliance als Standard aufgebaut. Gleiche Buttons, keine vorausgewählten Kästchen, keine Cookie Walls, verständliche Sprache in 43+ Sprachen und automatische Respektierung früherer Entscheidungen. Als Google Certified CMP, registriert bei IAB Europe, folgt FlexyConsent der strengsten Auslegung der EDPB-Leitlinien — damit Sie sich nie um die Durchsetzung von Dark Patterns sorgen müssen.