Manipulative Cookie-Banner erkennen – acht Designtricks im Überblick

Begriff und Geschichte: Wie aus einem Fachartikel ein Rechtsbegriff wurde

Der Begriff „Dark Patterns" stammt nicht aus Brüssel, sondern aus London. Der britische UX-Forscher Harry Brignull prägte ihn 2010 in einem Beitrag über täuschende Designmuster im Online-Umfeld. Kurz darauf gründete er die Plattform darkpatterns.org, die später in deceptive.design umbenannt wurde und bis heute als zentrales Archiv manipulativer Gestaltungsmuster dient. Was als Nerd-Thema begann, ist heute europäischer Rechtsdiskurs.

Aber wie kommt ein UX-Begriff in die DSGVO? Ganz einfach: durch Wiederholung. Die Electronic Frontier Foundation (EFF) griff den Begriff früh auf, US-Verbraucherschützer zogen nach, der Europäische Datenschutzausschuss (EDPB) behandelte 2023 in seinem Bericht der Cookie Banner Taskforce ausdrücklich auch Nudging und „dark patterns". Seitdem taucht er in Stellungnahmen nationaler Aufsichtsbehörden auf – von Paris bis Rom, von Brüssel bis Berlin. Aus einem Blogartikel wurde ein juristisches Kampfwort.

Im Deutschen kursieren mehrere Übersetzungen: „manipulative Designmuster", „täuschende Gestaltungsmuster", „Nudging-Fallen". Sie meinen alle dasselbe – Interfaces, die Nutzer gegen ihr eigenes Interesse lenken. Und Dark Patterns sind keineswegs auf Cookie-Banner beschränkt. Sie stecken in Kündigungsstrecken, in Newsletter-Anmeldungen, in Premium-Upgrades. Aber im Cookie-Banner sind sie am sichtbarsten – und zunehmend auch rechtswidrig. Kurz gesagt: Wer sie kennt, sieht sie überall.

Warum Dark Patterns funktionieren: Ein Blick in den Kopf der Nutzer

Dark Patterns sind nicht böse. Sie sind effektiv. Und genau das ist das Problem. Wer verstehen will, warum ein grüner Akzeptieren-Button und ein grauer Ablehnen-Link zu Zustimmungsquoten jenseits der 90 Prozent führen, muss einen kurzen Ausflug in die Verhaltenspsychologie machen. Keine Sorge, wir machen es kurz.

Der stärkste Hebel ist die Macht der Voreinstellung (Default-Effekt). Menschen wählen in der großen Mehrheit der Fälle schlicht das, was bereits angekreuzt oder vorgeblendet ist – egal ob es um Organspende, Altersvorsorge oder Cookie-Einwilligungen geht. Der zweite Hebel heißt Auswahl-Überforderung (Choice Overload): Wer vor zu vielen Optionen steht, klickt auf die auffälligste und lässt die anderen links liegen. Der dritte ist die Verlustaversion (Loss Aversion). Der gefühlte Verlust einer Funktion wiegt schwerer als der abstrakte Gewinn an Datenschutz. Und dann ist da noch die Bannerblindheit: Werbebanner-artige Elemente werden vom Gehirn schlicht ausgeblendet. Und Cookie-Banner sehen nun einmal genau so aus.

Der heimliche Mitspieler ist aber die Entscheidungsmüdigkeit (Decision Fatigue). Wer an einem normalen Arbeitstag durchs Netz surft, sieht dutzende Einwilligungsdialoge. Nach dem zehnten Banner klickt jeder auf „Alles akzeptieren", weil das Gehirn erschöpft ist. Es ist keine bewusste Entscheidung mehr – es ist ein Reflex. Stellen Sie sich vor, an jeder Supermarktkasse würde Sie jemand fragen, ob Sie Ihre Einkaufsgewohnheiten protokollieren lassen möchten, mit Anmeldeformular und drei Unterschriften. Nach dem fünften Mal nicken Sie einfach ab. Genau das passiert online.

All diese Effekte sind als kognitive Verzerrungen (Cognitive Biases) gut erforscht. Die Ökonomen Richard Thaler und Cass Sunstein haben sie in ihrer Theorie des sanften Anstoßens (Nudging) systematisch beschrieben: kleine Design-Signale, die Entscheidungen in eine Richtung lenken, ohne Optionen zu verbieten. Sanfte Anstöße können gut sein – zum Beispiel wenn eine Kantine gesunde Gerichte auf Augenhöhe platziert. Und sie können manipulativ sein – zum Beispiel wenn ein Banner den Ablehnen-Button ausgraut. Der Unterschied liegt in der Frage, wessen Interesse am Ende bedient wird.

Dark Patterns sind nicht böse – sie sind effektiv. Und genau das ist das Problem.

Die acht häufigsten Designtricks: Was der EDPB benennt

Der EDPB-Bericht der Cookie Banner Taskforce (Januar 2023) listet acht nicht-konforme Praktiken – wir nennen sie hier umgangssprachlich Designtricks, weil genau das sie sind. Die gute Nachricht: Sie können jedes davon in fünf Minuten an Ihrem eigenen Banner erkennen. Die schlechte: Sie werden vermutlich fündig. Gehen wir sie der Reihe nach durch.

1. Kein Ablehnen-Button auf der ersten Ebene

Der Klassiker – und das dreisteste Dark Pattern überhaupt. Das Banner zeigt prominent „Alle akzeptieren". Die Möglichkeit zur Ablehnung? Versteckt hinter „Einstellungen", „Mehr erfahren" oder einem Zahnrad-Symbol, das aussieht wie eine Einladung zum Verirren. Eine große deutsche Nachrichtenseite hat es in der Vergangenheit vorgemacht: drei Klicks bis zur Ablehnung, einer zum Akzeptieren. Das sehen Sie häufig schon, wenn Sie in den Browser-Entwicklerwerkzeugen die DOM-Struktur des Banners aufklappen – die Ablehnoption steckt dann zum Beispiel in einem versteckten Overlay-Element, das erst nach einem zweiten Klick erscheint.

Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe (Version 1.2, November 2024) klargestellt: Ablehnen darf nicht mit höherem Aufwand verbunden sein als Akzeptieren. Je nach Ausgestaltung des Banners kann das bedeuten, dass eine Ablehnoption bereits auf der ersten Ebene erforderlich ist – insbesondere dann, wenn Besucher das Banner aktiv bedienen müssen, um die Seite weiter nutzen zu können. Kurz gesagt: Wer Ablehnen schwer macht, riskiert die Gültigkeit der ganzen Einwilligung.

2. Vorausgewählte Checkboxen

Sie öffnen die Einstellungen – und „Marketing", „Statistik" und „Personalisierung" sind bereits angehakt. Das ist keine Einwilligung. Das ist eine Voreinstellung. Der Europäische Gerichtshof hat das im Urteil „Planet49" (C-673/17, 1. Oktober 2019) sehr deutlich gemacht: Ein vorausgefülltes Ankreuzkästchen genügt nicht. Der EuGH argumentierte, eine Einwilligung müsse durch eine aktive Handlung erteilt werden – Nichtstun ist keine Zustimmung. Punkt. Das Urteil gilt als häufig herangezogenes Referenzurteil für die spätere Behördenpraxis zu Cookie-Bannern in Europa.

Technisch erkennen Sie vorausgewählte Häkchen in den Entwicklerwerkzeugen Ihres Browsers zum Beispiel an aktivierten Schaltern oder gesetzten Häkchen, ohne dass Sie selbst etwas angeklickt haben. Kurz gesagt: Wenn Sie beim ersten Öffnen des Consent-Layers irgendwo ein aktives Häkchen sehen, das Sie nicht selbst gesetzt haben, ist das Banner bereits angreifbar.

3. Irreführende Link-Gestaltung

Die Zustimmung ist ein fetter Button. Die Ablehnung ein zarter Textlink in 11 Pixel Hellgrau. Viele Besucher übersehen ihn schlicht – oder halten ihn für eine Fußnote. Ein beliebter Online-Shop aus dem Modesegment platzierte den Ablehnen-Link jahrelang unter dem eigentlichen Banner, in derselben Farbe wie der Datenschutzhinweis. Wer nicht wusste, dass dort ein Button ist, fand ihn nicht.

Die CNIL hat solche Fälle besonders im Visier. Im Dezember 2024 verschickte die französische Datenschutzbehörde mehreren Website-Betreibern eine formelle Aufforderung („mise en demeure") – mit der unmissverständlichen Forderung, die Ablehnung ebenso einfach zu gestalten wie die Zustimmung („refuser aussi simple qu'accepter"). Klare Ansage aus Paris.

4. Manipulative Farbgebung

Der Akzeptieren-Button leuchtet in Signalgrün, der Ablehnen-Button trägt das Grau eines verregneten Mittwochs. Das ist kein Zufall, sondern Blicksteuerung – ein typisches Nudging-Muster und ein viel zitiertes Dark Pattern. Der Besucher wird visuell zur gewünschten Antwort gelenkt, ohne es bewusst zu bemerken. Das Prinzip ist aus der Werbepsychologie seit Jahrzehnten bekannt: auffällige Farben ziehen den Blick, gedämpfte Farben verschwinden im Hintergrund. Auf einem Consent-Dialog wird daraus ein Mechanismus, der die Entscheidungsfreiheit untergräbt.

5. Irreführende Kontraste

Eng verwandt mit der Farbmanipulation: Der Ablehnen-Button hat bewusst niedrigen Kontrast zum Hintergrund und ist dadurch kaum lesbar. Europäische Datenschutzbehörden sehen visuelles Nudging – also die gezielte optische Lenkung durch Farben, Kontraste oder Button-Größen – kritisch. Der EDPB-Bericht nennt solche Gestaltungsmuster als typische Beispiele für unfreiwillige Einwilligungsgestaltung. Prüfen Sie den Kontrast mit einem einfachen WCAG-Kontrast-Checker. Liegt der Wert des Ablehnen-Buttons unter dem des Akzeptieren-Buttons? Dann ist Ihr Banner visuell verzerrt.

6. Berechtigtes Interesse als Grundlage

Manche Banner erklären Tracking-Zwecke wie „personalisierte Werbung" kurzerhand zum „berechtigten Interesse" des Betreibers. Der Besucher kann dann zwar widersprechen, muss aber aktiv werden – und merkt es meist gar nicht. Für nicht technisch notwendige Cookies ist typischerweise eine Einwilligung erforderlich. Das sogenannte „berechtigte Interesse" reicht in der Regel nicht, um Tracking oder Marketing ohne Einwilligung zuzulassen – mit Ausnahmen, die vom konkreten Zweck abhängen. Die endgültige Bewertung im Einzelfall hat Ihr Datenschutzbeauftragter.

7. Falsch deklarierte „essenzielle" Cookies

Tracking- und Marketing-Cookies werden als „technisch notwendig" eingestuft – und damit der Einwilligung entzogen. In unseren Audits sehen wir das Muster regelmäßig: Dienste wie Google Analytics oder Facebook Pixel landen in der Schublade „essenziell". Das Problem dabei: Was nicht essenziell ist, wird trotzdem geladen – und der Besucher erfährt es nicht. Etikettenschwindel mit System. Ein klassisches Dark Pattern, das europäische Aufsichtsbehörden – darunter auch der italienische Garante – in ihrer Praxis kritisch sehen.

8. Kein sichtbarer Widerrufs-Button

Einmal akzeptiert, für immer gefangen? So fühlt es sich oft an. Nach erteilter Einwilligung fehlt eine einfache Möglichkeit, sie zu widerrufen. Art. 7 Abs. 3 DSGVO ist hier sehr deutlich: „Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein." Ein Icon oder Button, der das Banner erneut öffnet, gehört dauerhaft sichtbar – nicht versteckt im Footer hinter „Datenschutz / Cookie-Einstellungen / dritter Absatz". Einige CMPs bieten dafür einen kleinen Fingerabdruck-Button am linken Bildschirmrand, andere einen Floating-Link. Beides funktioniert – Hauptsache sichtbar.

Confirmshaming: Schuldgefühle als Designstrategie

Es geht noch perfider. Manche Banner beschriften den Ablehnen-Button mit Sätzen wie „Nein, ich möchte keine bessere Nutzererfahrung" oder „Ich verzichte auf personalisierte Inhalte". Wer hier klickt, soll sich klein fühlen. Das nennt sich Confirmshaming – ein Begriff, der ebenfalls aus dem Umfeld von Brignulls deceptive.design stammt. Es ist die Cookie-Banner-Variante des Türstehers, der mit hochgezogener Augenbraue fragt: „Sicher, dass Sie reinwollen? Sehen ja nicht so aus."

Wer sich schlecht fühlen soll, wenn er „Nein" sagt, wird nicht frei gefragt. Und noch etwas: Die Verbraucherzentrale warnt regelmäßig vor genau diesem Muster – es verzerrt die freie Entscheidung und gehört zu den ehrlichsten Indikatoren für ein unehrliches Banner. Ein Dark Pattern in Reinform. Die Varianten reichen von passiv-aggressiv („Schade, wir hätten Ihnen gerne etwas Persönliches gezeigt") bis offen manipulativ („Ohne Cookies funktioniert unsere Seite leider nicht richtig"). Letzteres ist in aller Regel schlicht unwahr – und nach Einschätzung der Aufsichtsbehörden rechtswidrig.

Was das Recht sagt: DSGVO, TDDDG und ein prägendes EuGH-Urteil

Dark Patterns sind kein rein ästhetisches Problem. Sie sind ein juristisches. Die Rechtsgrundlagen für Einwilligungen im digitalen Raum sind dabei bemerkenswert übersichtlich – wenn Sie wissen, wo Sie hinschauen müssen. Hier wird es konkret.

Die zentrale Norm ist Art. 4 Nr. 11 DSGVO. Eine Einwilligung ist dort definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung". Vier Merkmale, vier Hürden. Fehlt auch nur eines, ist die Einwilligung unwirksam. Art. 7 DSGVO ergänzt die Bedingungen: Der Betreiber muss die Einwilligung nachweisen können, sie muss verständlich formuliert sein, und sie muss so einfach widerrufbar sein wie sie erteilt wurde. Art. 7 Abs. 4 nimmt dabei explizit Bezug auf das Kopplungsverbot – also auf die Frage, ob Nutzer unter Druck gesetzt werden, weil sie ohne Einwilligung keinen Service bekommen.

Für Cookies und vergleichbare Technologien kommt eine zweite Ebene dazu: das TDDDG § 25 (vormals TTDSG), die deutsche Umsetzung der europäischen ePrivacy-Richtlinie 2002/58/EG. Diese Norm verlangt eine Einwilligung bereits für das Speichern oder Auslesen von Informationen auf Endgeräten – unabhängig davon, ob dabei personenbezogene Daten verarbeitet werden. Kurz gesagt: Das TDDDG zieht die Schwelle für Cookie-Banner niedriger als die DSGVO allein.

Das EuGH-Urteil „Planet49" (C-673/17, 1. Oktober 2019) ist die prägende Leitentscheidung. Der EuGH urteilte auf Vorlage des Bundesgerichtshofs, dass ein vorangekreuztes Kästchen keine wirksame Einwilligung darstellt – weder nach der ePrivacy-Richtlinie noch nach der DSGVO. Das klingt technisch, aber die Tragweite ist enorm: Jeder Banner-Mechanismus, der eine Entscheidung durch Untätigkeit herbeiführt, ist seitdem angreifbar. Nach gängiger Rechtsauslegung sind manipulative Designmuster, die Nutzer unbewusst lenken, deshalb in der Regel rechtswidrig. Die Aufsichtsbehörden berufen sich in ihren Verfahren regelmäßig auf dieses Urteil.

Dazu kommt die DSK-Orientierungshilfe Telemedien (Version 1.2, November 2024), die die Position der deutschen Aufsichtsbehörden zusammenfasst: Ablehnen darf nicht aufwendiger sein als Akzeptieren, essenzielle und nicht-essenzielle Dienste müssen klar getrennt werden, und die Einwilligung muss granular möglich sein. Das Abmahn- und Bußgeldrisiko steigt spürbar. Art. 83 DSGVO erlaubt Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. In der Praxis sind die bisher verhängten Beträge niedriger, aber die Durchsetzung nimmt zu. Nach Einschätzung der Behörden sind manipulative Cookie-Banner rechtswidrig – wer online Dienste anbietet, sollte das im Hinterkopf haben. Das ist keine Rechtsberatung, sondern eine Zusammenfassung der gängigen Auslegung.

Was die Aufsichtsbehörden machen: Ein europäischer Durchsetzungsatlas

Die Zeiten, in denen Dark Patterns als Kavaliersdelikt durchgingen, sind vorbei. Europäische Datenschutzbehörden werden zunehmend aktiv – und sie koordinieren sich. Wer genauer hinschaut, sieht einen ganzen Durchsetzungsatlas, der Land für Land Farbe bekommt.

Die CNIL in Frankreich ist der bekannteste Treiber. Im Dezember 2024 verschickte sie mehrere „mise en demeure", also formelle Aufforderungen, an Website-Betreiber mit unausgewogenen Cookie-Bannern. Historisch prägend sind die großen Fälle: 60 Millionen Euro Bußgeld gegen Google im Jahr 2022, 150 Millionen Euro gegen Facebook – beides wegen manipulativ gestalteter Consent-Dialoge. Diese Präzedenzfälle wirken bis heute nach und haben andere Aufsichtsbehörden ermutigt, ähnlich zu handeln.

Das britische ICO hat 2023 die Betreiber der meistbesuchten britischen Websites direkt angeschrieben und klargestellt: Ein „Accept all"-Knopf ohne gleichwertige Ablehnung reicht nicht. Der italienische Garante hat mehrere Publisher mit Bußgeldern belegt, unter anderem wegen falsch deklarierter essenzieller Cookies. Die Belgian DPA stufte 2022 Teile des IAB Transparency & Consent Framework (IAB-TCF) als rechtswidrig ein und setzte eine sechsmonatige Frist zur Überarbeitung – ein Urteil, das einen gesamten Industriestandard erschütterte.

Die Datenschutzorganisation NOYB um Max Schrems reiht sich als nicht-staatlicher Akteur ein. In mehreren Kampagnen hat sie Beschwerden gegen Hunderte von Websites mit irreführend gestalteten Cookie-Bannern eingereicht. Die Aufsichtsbehörden greifen diese Beschwerden regelmäßig auf. Der Europäische Datenschutzausschuss (EDPB) koordiniert das Ganze. Sein Cookie-Banner-Taskforce-Bericht vom Januar 2023 ist die gemeinsame Durchsetzungslinie – acht Verstöße, ein Rahmen, 27 Mitgliedstaaten. In Deutschland setzt die DSK die Position der Landesdatenschutzbehörden um. Wer glaubt, in einem Rechts-Schonraum zu agieren, unterschätzt, wie eng die Aufsicht inzwischen zusammenarbeitet. Kurz gesagt: Das Netz zieht sich zu.

Was unsere Audits zeigen: Das Bild im deutschsprachigen Markt

Genug Theorie. Wie sieht es draußen wirklich aus? In unseren über 2,3 Mio. Audits (Stand: April 2026) deutschsprachiger Websites prüfen wir Cookie-Banner technisch. Und das Bild ist eindeutig.

Unsere Methodik in Kürze: Unser Audit lädt jede Website in einem echten Browser (Chromium) und prüft, welche Tracking-Dienste bereits vor einer Einwilligung aktiv werden. Wir messen ausschließlich die Phase vor dem Consent (siehe auch unser Ratgeber zur Methodik). Geprüft wird der deutschsprachige Business-Markt im DACH-Raum. Ein Banner gilt als „technisch korrekt", wenn vor der Einwilligung keine nicht-essenziellen Tracker laden. Alles andere ist ein Befund.

• Über die Hälfte der geprüften Websites (50,2 %) lädt Tracking-Dienste, bevor der Besucher überhaupt zugestimmt hat – ein deutliches Zeichen, dass das Banner die technische Umsetzung nicht steuert.
• 29,4 % der Websites zeigen keinen bewertbaren Cookie-Banner. In manchen Fällen fehlt das Banner ganz, in anderen ist die Ablehnoption so versteckt, dass selbst ein automatisierter Browser sie nicht findet.
• Nur rund ein Drittel der Banner (5,5 %) funktioniert technisch sauber. Die Mehrheit eben nicht.

Das ist kein Randphänomen. Dark Patterns und schlampig konfigurierte Banner gehen Hand in Hand: Wer den Besucher zur Zustimmung drängt, arbeitet meistens auch im Maschinenraum nicht sauber. Die Wirkung nach außen verrät, was unter der Haube passiert. Oder anders gesagt: Ein Banner, das manipuliert, ist selten ein Banner, das technisch korrekt blockt.

Banner-Qualität in der Praxis: Wie viele Cookie-Banner funktionieren technisch sauber? (Stand: April 2026)

Wie Sie Ihr Banner selbst prüfen: In fünf Minuten zum ersten Befund

Sie müssen kein Entwickler sein, um ein Cookie-Banner auf Dark Patterns zu prüfen. Drei einfache Schritte reichen für die erste Einschätzung – und sind mit jedem modernen Browser machbar. Fangen wir mit dem einfachsten an.

Schritt 1: Die Sichtprüfung. Öffnen Sie Ihre Website in einem privaten Browserfenster (damit keine alten Cookies das Bild verfälschen). Drei Fragen reichen. Erstens: Gibt es auf der ersten Ebene einen „Ablehnen"-Button, ohne dass Sie vorher „Einstellungen" oder „Mehr" klicken müssen? Zweitens: Sind Akzeptieren und Ablehnen optisch gleichwertig – gleiche Größe, gleiche Farbe, gleicher Kontrast? Drittens: Wie viele Klicks brauchen Sie, bis Sie Tracking vollständig ablehnen können? Ein Klick ist fair, zwei ist grenzwertig, drei ist rechtlich riskant.

Schritt 2: Die technische Prüfung. Öffnen Sie die Entwicklertools Ihres Browsers (F12) und wechseln Sie auf den Reiter „Network" oder „Netzwerk". Laden Sie die Seite neu. Schauen Sie sich an, welche Domains angefragt werden, bevor Sie eine Entscheidung im Banner getroffen haben. Taucht dort Google Analytics auf? Facebook? Hotjar? TikTok? Dann lädt die Website Tracking-Dienste vor der Einwilligung – ein klares Signal, dass etwas nicht stimmt. Ein zweiter Blick lohnt sich im Reiter „Application" oder „Speicher" unter „Cookies": Sind dort bereits Drittanbieter-Cookies gesetzt?

Schritt 3: Die Belastungsprobe. Widerrufen Sie die Einwilligung. Finden Sie einen Button dafür, ohne lange zu suchen? Funktioniert er tatsächlich, oder bleiben die Cookies trotzdem bestehen? Ein einfacher Test, der viele Banner scheitern lässt. Wer es automatisiert haben möchte, kann unser Audit-Tool nutzen – es prüft die gleichen Punkte maschinell und dokumentiert die Ergebnisse. Schnell. Direkt. Nachvollziehbar.

Checkliste: Dark Patterns erkennen

Sie wollen es konkret? Bitte sehr. Diese Tabelle ersetzt keine juristische Prüfung – aber sie zeigt in zwei Minuten, wo Ihr Banner steht.

Was Sie konkret tun können

Gefunden? Dann handeln. Die gute Nachricht: Die Umsetzung ist in den meisten Fällen erstaunlich unkompliziert. Die meisten Consent-Tools bieten die nötigen Optionen – sie müssen nur aktiv konfiguriert werden. Was nicht klingt wie Raketenwissenschaft, ist auch keine.

1. Banner prüfen: Nutzen Sie unser Audit-Tool, um die technische Umsetzung Ihres Banners zu testen.
2. Ablehnen gleichwertig anbieten: Ein „Alle ablehnen"-Button muss genauso sichtbar und erreichbar sein wie „Alle akzeptieren". Gleiche Größe, gleiche Farbe, gleiche Ebene.
3. Voreinstellungen prüfen: Stellen Sie sicher, dass nicht-essenzielle Cookie-Kategorien standardmäßig deaktiviert sind.
4. Widerruf ermöglichen: Ein dauerhaft sichtbarer Button (etwa ein Fingerabdruck-Icon in der Ecke) muss das Banner erneut öffnen können.
5. CMP-Einstellungen überprüfen: Viele Consent-Management-Plattformen bieten faire Voreinstellungen. Aktivieren Sie sie. Schnell. Direkt. Nachvollziehbar.
6. Dokumentation anlegen: Halten Sie die getroffenen Einstellungen schriftlich fest – das hilft im Zweifel gegenüber Aufsichtsbehörden und Datenschutzbeauftragten.

Fazit

Manipulative Cookie-Banner sind kein Kavaliersdelikt mehr. Europäische Datenschutzbehörden haben klare Regeln formuliert und setzen sie zunehmend durch – von Paris bis Berlin, von Rom bis Brüssel. Ein faires Banner ist technisch einfach umzusetzen und schafft Vertrauen. Dark Patterns sind seit Harry Brignulls erstem Aufsatz 2010 gut dokumentiert. Die Ausreden werden weniger.

Unsere Auditdaten zeigen ein klares Bild: Nur rund ein Drittel der geprüften Cookie-Banner funktioniert technisch sauber (5,5 %). Mehr als die Hälfte weist deutliche Mängel auf – Tracking vor Einwilligung, fehlendes Banner, manipulatives Design. Die technischen Grundlagen für datenschutzkonforme Cookie-Banner sind seit Jahren vorhanden. Sie werden nur zu selten genutzt.

Quellen und Hinweise

• EDPB: Report of the work undertaken by the Cookie Banner Taskforce (Januar 2023)
• DSK: Orientierungshilfe Telemedien, Version 1.2 (November 2024) (PDF)
• Harry Brignull: deceptive.design (vormals darkpatterns.org)
• NOYB: Kampagnen gegen irreführende Cookie-Banner
• CNIL: Formal notices for non-compliant cookie banners (Dezember 2024)
• exatics: Ist Ihr Cookie-Banner wirklich korrekt eingerichtet?
• Die rechtliche Einordnung stellt keine Rechtsberatung dar. Die endgültige Bewertung hat Ihr Datenschutzbeauftragter.
• Audit-Daten stammen aus eigenen exatics-Prüfungen.

Weiterführende Artikel

• Cookie-Banner-Vergleich: So schneiden die Top-CMPs ab
• Welche Consent-Tools nutzt Deutschland?
• Häufigste Datenschutz-Verstöße auf deutschen Websites
• Tracking ohne Einwilligung: Was unsere Audits aufdecken
• CMS-Marktanteile: Welche Systeme schneiden beim Datenschutz am besten ab?
• Was ist exatics Audit? – Alle Prüfkategorien

* Aufgrund einer notwendigen Änderung in den Bewertungen verschiedener Services und der Korrektur von Bewertungen für die Effizienz von Consent-Bannern haben sich unsere Ratings korrigiert.

Jetzt Ihre Website prüfen