Viele Cookie-Banner erschweren den Schutz der eigenen Daten

idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
idw-Abo
Medienpartner:
Wissenschaftsjahr


Teilen: 
09.09.2019 09:00

Viele Cookie-Banner erschweren den Schutz der eigenen Daten

Meike Drießen Dezernat Hochschulkommunikation
Ruhr-Universität Bochum

    Wer im Netz surft, kommt nicht um sie herum: Cookie-Hinweise zum Schutz der persönlichen Daten, auch bekannt als Cookie-Banner. Forscherinnen und Forscher des Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum (RUB) haben untersucht, wie Cookie-Banner nach der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 auf Websites umgesetzt werden und wie Userinnen und User mit ihnen interagieren. Dabei haben sie herausgefunden, dass viele Banner nicht den Vorschriften der DSGVO entsprechen – und zum Teil psychologische Tricks angewendet werden, um User zu manipulieren.

    Christine Utz, Dr. Martin Degeling, Prof. Dr. Sascha Fahl und Prof. Dr. Thorsten Holz veröffentlichten nun in Zusammenarbeit mit Florian Schaub von der University of Michigan dazu ihr Paper „(Un)informed consent: Studying GDPR consent notices in the field“.

    Login-Daten oder Infos fürs Marketing

    Cookies werden von den Website-Anbietern genutzt, um Informationen über ihre Besucherinnen und Besucher zu speichern. Das können beispielsweise Login-Daten sein, die nicht jedes Mal aufs Neue eingegeben werden müssen. Doch auch Verhaltensweisen und Präferenzen werden – meist zu Marketingzwecken – gespeichert und zudem oftmals an Dritte weitergeben. Die DSGVO sieht jedoch vor, dass diese Daten nicht ohne die Zustimmung der User genutzt werden dürfen.

    Tatsächlich zeigen über 60 Prozent beliebter europäischer Websites Cookie-Hinweise an. Doch die Umsetzung variiert laut den Forschern stark. Sie analysierten innerhalb eines Samples von 1.000 Cookie-Hinweisen die möglichen Positionen, Auswahlmöglichkeiten, Texte und Links der Banner. Sie wollten herausfinden, wie das Design der Banner dazu beitragen kann, es den Usern zu erleichtern, eine informierte Auswahl zu treffen und so ihre Daten zu schützen.

    Kleine Manipulationen sollen die Auswahl lenken

    „Es hat sich dabei gezeigt, dass die Mehrheit der Cookie-Hinweise nicht den Vorgaben der europäischen Datenschutzbehörden entspricht, die klar vorgeben, dass die Hinweise transparent sein und wirkliche Entscheidungsfreiheit bieten müssen“, erklärt Christine Utz. Doch nicht nur das: 57 Prozent der untersuchten Websites wenden außerdem sogenannte Nudging-Verfahren an, mit dem das Verhalten von Menschen gezielt mit Änderungen der Rahmenbedingungen oder kleinen Manipulationen gelenkt werden soll. Innerhalb der Cookie-Banner waren das beispielsweise farbliche Akzentuierungen des „Zustimmen“-Buttons als Hervorhebung oder unübersichtliche Darstellungen der „Opt-Out“-Möglichkeit. Das Ziel dieser Methode: Die User zum Einverständnis zu bewegen, dass ihre Daten genutzt werden können.

    Diese Erkenntnisse haben die Wissenschaftlerinnen und Wissenschaftler genutzt, um sie in einer anschließenden Feldstudie an über 80.000 Nutzerinnen und Nutzern einer deutschen E-Commerce-Website zu erproben. Über vier Monate hinweg haben sie dort unterschiedliche Cookie-Banner ausgespielt, um die Userinteraktion zu beobachten. Zudem fragten sie in einer anschließenden Umfrage die Nutzer nach ihren Präferenzen und Wissen zu Cookie-Bannern. Dabei kam heraus, dass diese am stärksten mit einem Banner interagieren, das in der linken unteren Hälfte des Bildschirms erscheint. „Eine wichtige Erkenntnis war für uns außerdem, dass die Nutzer und Nutzerinnen bei einer Wahl zwischen zwei Optionen eher gewillt sind, das Datentracking zuzulassen, als wenn sie eine größere Anzahl an Optionen haben“, so die Wissenschaftlerin. Antworten aus dem Fragebogen deuten darauf hin, dass Nutzer häufig befürchten, die Website würde nicht richtig funktionieren, wenn sie Cookies ablehnten.

    Empfehlungen des Forschungsteams

    Insgesamt seien viele User dazu bereit, sich mit den Cookie-Hinweisen auseinanderzusetzen, vor allem diejenigen, die das Speichern der Daten nicht erlauben wollen. Nach jetzigem Stand bieten viele Websites ihnen aber diese Handlungsmöglichkeit nicht oder erschweren sie zumindest. Die Lösung wäre eine obligatorische „Privacy-by-default“-Einstellung, bei der die Daten erst dann erhoben werden, wenn die Nutzer einem Tracking explizit zugestimmt haben. Außerdem empfehlen die Wissenschaftler das Setzen von „zweck-basierten“ Cookie-Hinweisen, bei denen die Zustimmung zur Verarbeitung der Daten nach bestimmten Zwecken erfolgt. Dies entspräche den eigentlichen Vorgaben und dem Grundgedanken der DSGVO. „Würde sich diese Handhabung durchsetzen, würde das dazu führen, dass die Zustimmung zur Weitergabe der Daten an Dritte unter 0,1 Prozent fallen würde“, schlussfolgert Christine Utz.

    Die Ergebnisse der Studie können für die weitere Entwicklung der Umsetzung der Europäischen Datenschutzgrundverordnung von großem Wert sein, denn sie ist die erste dieser Art, die sich auf reale Userinnen und User bezieht. So bleibt zu hoffen, dass die Handhabung von Cookie-Bannern sich in den nächsten Jahren verbessert, etwa durch die Einräumung wirklichen Entscheidungsspielraums für die Nutzer oder die Schaffung von Zustimmungsmechanismen im Browser, damit nicht jede Seite selbst um Zustimmung fragen muss.

    Originalveröffentlichung

    Christine Utz, Martin Degeling, Sascha Fahl und Thorsten Holz: (Un)informed consent: Studying GDPR consent notices in the field, Paper als PDF: https://www.syssec.ruhr-uni-bochum.de/media/emma/veroeffentlichungen/2019/09/05/...

    Pressekontakt

    Christina Scholten
    Horst-Görtz-Institut für IT-Sicherheit
    Ruhr-Universität Bochum
    Tel.: 0234 32 27130
    E-Mail: christina.scholten@rub.de


    Originalpublikation:

    https://www.syssec.ruhr-uni-bochum.de/media/emma/veroeffentlichungen/2019/09/05/...


    Merkmale dieser Pressemitteilung:
    Journalisten
    Gesellschaft, Informationstechnik, Wirtschaft
    überregional
    Forschungsergebnisse
    Deutsch


    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).

    Cookies optimieren die Bereitstellung unserer Dienste. Durch das Weitersurfen auf idw-online.de erklären Sie sich mit der Verwendung von Cookies einverstanden. Datenschutzerklärung
    Okay