Dark Patterns in Cookie-Bannern erkennen
Viele Cookie-Banner sind so gestaltet, dass Nutzer möglichst schnell auf „Alle akzeptieren" klicken — und die Ablehnung schwer finden. Diese Designtricks heißen Dark Patterns. Europäische Datenschutzbehörden gehen zunehmend dagegen vor.
Ein Cookie-Banner soll eine freie und informierte Entscheidung ermöglichen. In der Praxis sieht das oft anders aus: Große grüne Buttons zum Akzeptieren, winzige graue Links zum Ablehnen, vorausgewählte Checkboxen und verwirrende Texte. Das Ergebnis: Die meisten Nutzer klicken auf „Akzeptieren" — nicht weil sie zustimmen, sondern weil es der einfachste Weg ist.
Hinweis: Die folgenden Ausführungen basieren auf veröffentlichten Positionen europäischer Datenschutzbehörden und unserer technischen Analyse. Sie stellen keine Rechtsberatung dar.
Was sind Dark Patterns?
Dark Patterns sind Gestaltungsmuster in Benutzeroberflächen, die Nutzer zu Handlungen verleiten, die nicht in ihrem Interesse liegen. Im Kontext von Cookie-Bannern bedeutet das: Die Einwilligung wird nicht frei erteilt, sondern durch Design erschlichen.
Die Datenschutz-Grundverordnung (DSGVO) verlangt in Art. 7 Abs. 4, dass eine Einwilligung „freiwillig" erfolgt. Der Europäische Datenschutzausschuss (EDPB) hat in seinem Cookie-Banner-Taskforce-Bericht von 2023 acht konkrete Praktiken identifiziert, die gegen dieses Prinzip verstoßen.
Die acht häufigsten Dark Patterns nach EDPB
Der EDPB-Taskforce-Bericht (2023) benennt acht nicht-konforme Gestaltungsmuster, die europäische Datenschutzbehörden bei Cookie-Bannern beanstanden:
1. Kein Ablehnen-Button auf der ersten Ebene
Das häufigste Dark Pattern: Der Banner zeigt prominent „Alle akzeptieren", aber die Möglichkeit zur Ablehnung ist erst auf einer zweiten Ebene versteckt — hinter „Einstellungen" oder „Mehr erfahren". Die Datenschutzkonferenz (DSK) stellt in ihrer Orientierungshilfe (Version 1.2, November 2024) klar: „Die Möglichkeit, die Einwilligung nicht zu erteilen, muss auf der ersten Ebene gleichwertig zur Verfügung stehen."
2. Vorausgewählte Checkboxen
Wenn in den Einstellungen des Banners Kategorien wie „Marketing" oder „Statistik" bereits aktiviert sind, liegt keine aktive Einwilligung vor. Der Europäische Gerichtshof hat dies im Urteil „Planet49" (C-673/17) explizit entschieden: Ein vorausgefülltes Ankreuzkästchen genügt nicht.
3. Irreführende Link-Gestaltung
Die Ablehnung wird als unscheinbarer Textlink gestaltet, während die Zustimmung ein auffälliger Button ist. Der Nutzer übersieht den Link oder hält ihn nicht für klickbar. Die CNIL (französische Datenschutzbehörde) hat im Dezember 2024 mehrere Publisher wegen genau dieser Praxis förmlich abgemahnt.
4. Manipulative Farbgebung
Der „Akzeptieren"-Button leuchtet in einer Signalfarbe (Grün, Blau), während der „Ablehnen"-Button in Grau oder der Hintergrundfarbe gehalten wird. Die Verbraucherzentrale bezeichnet dies als Blicksteuerung — der Nutzer wird visuell zur gewünschten Option gelenkt.
5. Irreführende Kontraste
Eng verwandt mit der Farbmanipulation: Der Ablehn-Button hat bewusst niedrigen Kontrast zum Hintergrund und ist dadurch schlecht lesbar. Das EDPB sieht auch dies als Verstoß gegen das Gebot der Freiwilligkeit.
6. Berechtigtes Interesse als Grundlage
Manche Banner erklären Tracking-Zwecke wie „Personalisierte Werbung" zum „berechtigten Interesse" des Betreibers. Der Nutzer kann dann zwar „widersprechen", muss aber aktiv werden. Die DSK-Orientierungshilfe stellt klar: Für Cookies, die nicht technisch notwendig sind, ist eine Einwilligung erforderlich — berechtigtes Interesse genügt in der Regel nicht.
7. Falsch deklarierte „essenzielle" Cookies
Tracking- oder Marketing-Cookies werden als „technisch notwendig" oder „essenziell" eingestuft und damit der Einwilligung entzogen. In unseren Audits sehen wir dieses Muster regelmäßig: Dienste wie Google Analytics oder Facebook Pixel, die als essenziell kategorisiert werden.
8. Kein sichtbarer Widerrufs-Button
Nach erteilter Einwilligung fehlt eine einfache Möglichkeit, diese zu widerrufen. Art. 7 Abs. 3 DSGVO verlangt: „Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein." Ein Icon oder Button zum erneuten Öffnen des Banners muss dauerhaft sichtbar sein.
Confirmshaming: Schuldgefühle als Designstrategie
Eine besonders manipulative Variante: Der Ablehnen-Button wird mit negativen Formulierungen beschriftet wie „Nein, ich möchte keine bessere Nutzererfahrung" oder „Ich verzichte auf personalisierte Inhalte". Die Verbraucherzentrale warnt: Confirmshaming erzeugt ein schlechtes Gewissen und verfälscht die freie Entscheidung.
Was sagen die Datenschutzbehörden?
Europäische Datenschutzbehörden gehen zunehmend aktiv gegen Dark Patterns in Cookie-Bannern vor:
- CNIL (Frankreich): Im Dezember 2024 verschickte die CNIL förmliche Mahnungen an mehrere Website-Betreiber, deren Cookie-Banner keine gleichwertige Ablehnoption auf der ersten Ebene anboten.
- NOYB: Die Datenschutzorganisation um Max Schrems hat 226 Beschwerden gegen Websites eingereicht, deren OneTrust-basierte Cookie-Banner irreführend gestaltet waren — mit versteckter Ablehnoption und manipulativen Farbgebungen.
- EDPB: Die Cookie-Banner-Taskforce koordiniert seit 2023 ein einheitliches Vorgehen aller europäischen Datenschutzbehörden. Die acht identifizierten Verstöße gelten als gemeinsame Durchsetzungslinie.
- DSK (Deutschland): Die aktualisierte Orientierungshilfe (Version 1.2, November 2024) fordert ausdrücklich eine „gleichwertige Ablehnmöglichkeit auf der ersten Ebene" und verbietet vorausgewählte Checkboxen.
Was Nutzer wirklich wollen
Die forsa-Umfrage im Auftrag des Bundesbeauftragten für den Datenschutz (BfDI, Januar 2026) zeigt ein klares Bild:
- 83 % der Befragten legen Wert auf den Schutz ihrer persönlichen Daten im Internet.
- 77 % würden Cookies ablehnen, wenn die Option einfach zugänglich wäre.
- 56 % können nicht erklären, was Cookies genau bewirken.
Das bedeutet: Die Mehrheit der Nutzer möchte Cookies ablehnen, kann dies aber häufig nicht — weil der Banner es ihnen erschwert. Dark Patterns nutzen genau diese Wissenslücke und die Hürde aus.
Was unsere Audits zeigen
In unseren über 185.000 Audits (Stand: Februar 2026) deutscher Websites prüfen wir Cookie-Banner technisch — mit einem echten Browser, der den Banner bedient und das Ergebnis auswertet. Dabei sehen wir die Auswirkungen von Dark Patterns indirekt:
- 16,8 % der geprüften Websites laden Tracking-Dienste, bevor der Nutzer zugestimmt hat — ein Zeichen dafür, dass der Banner die technische Umsetzung nicht korrekt steuert.
- 27,2 % der Websites zeigen keinen bewertbaren Cookie-Banner — bei einigen davon fehlt nicht der Banner, sondern die Ablehnmöglichkeit ist so versteckt, dass sie auch automatisiert nicht gefunden wird.
- Die technisch korrekt funktionierenden Banner (52,6 %) zeigen: Eine saubere Umsetzung ohne Dark Patterns ist möglich und verbreitet.
Dark Patterns sind nicht nur ein Designproblem — sie führen oft auch zu technischen Mängeln, weil ein Banner, der den Nutzer zur Zustimmung drängt, häufig auch bei der technischen Implementierung unsauber arbeitet.
Checkliste: Dark Patterns erkennen
Prüfen Sie Ihren Cookie-Banner anhand dieser Kriterien:
| Kriterium | Anforderung |
|---|---|
| Ablehnen-Button | Gleichwertig zum Akzeptieren-Button auf der ersten Ebene |
| Farbgebung | Beide Optionen gleich auffällig gestaltet |
| Checkboxen | Nicht-essenzielle Kategorien standardmäßig deaktiviert |
| Widerruf | Jederzeit über sichtbaren Button möglich |
| Sprache | Neutral, ohne Schuldgefühle oder Wertung |
| Essenzielle Cookies | Nur wirklich technisch notwendige Cookies als essenziell |
| Berechtigtes Interesse | Nicht als Grundlage für Tracking oder Marketing |
Was Sie tun können
Wenn Ihr Cookie-Banner eines oder mehrere dieser Muster aufweist, sollten Sie handeln:
- Banner prüfen: Nutzen Sie unser Audit-Tool, um die technische Umsetzung Ihres Banners zu testen.
- Ablehnen gleichwertig anbieten: Ein „Alle ablehnen"-Button muss genauso sichtbar und erreichbar sein wie „Alle akzeptieren".
- Voreinstellungen prüfen: Stellen Sie sicher, dass nicht-essenzielle Cookie-Kategorien standardmäßig deaktiviert sind.
- Widerruf ermöglichen: Ein dauerhaft sichtbarer Button (z. B. ein Fingerabdruck-Icon) muss den Banner erneut öffnen.
- CMP-Einstellungen überprüfen: Viele Consent-Management-Systeme bieten die Optionen für ein faires Design — sie müssen aber aktiv konfiguriert werden.
Fazit
Dark Patterns in Cookie-Bannern sind kein Kavaliersdelikt. Europäische Datenschutzbehörden haben klare Regeln formuliert und setzen diese zunehmend durch. Die gute Nachricht: Ein fairer Cookie-Banner ist technisch einfach umzusetzen — und schafft Vertrauen bei Ihren Nutzern.
Mehr als die Hälfte der von uns geprüften Websites zeigt, dass es funktioniert. Die technischen Grundlagen für datenschutzkonforme Cookie-Banner sind vorhanden. Es braucht nur den Willen, sie auch einzusetzen.
Quellen und weiterführende Links
- EDPB: Report of the work undertaken by the Cookie Banner Taskforce (2023)
- DSK: Orientierungshilfe Telemedien, Version 1.2 (November 2024)
- BfDI: forsa-Umfrage zum Datenschutz (Januar 2026)
- NOYB: 226 Complaints about deceptive cookie banners
- CNIL: Formal notices for non-compliant cookie banners (Dezember 2024)
- exatics: Ist Ihr Cookie-Banner wirklich korrekt eingerichtet?