Cookie-Banner-Wahnsinn: Wie uns die DSGVO ein Bürokratiemonster bescherte

Von Keks-Träumen und Klick-Albträumen: Es war einmal, da stand Cookie vor allem für süßes Gebäck. Heute dagegen verbinden Internetnutzer damit ein anderes Ritual: Kaum klickt man eine Webseite an, ploppt ein Fenster auf – „Wir nutzen Cookies…“ – und fordert eine Entscheidung ein. Zustimmen? Ablehnen? Einstellungen anpassen? Egal wie oft man es wegklickt, beim nächsten Besuch beginnt das Spiel von vorn. Cookie-Banner gehören längst zur täglichen Internet-Erfahrung wie der Stau zum Berufsverkehr. Doch was sollte diese Klick-Prozedur ursprünglich bezwecken, und warum ist sie in der Praxis vor allem eins: nervtötend und sinnlos? Ein satirischer Blick auf Europas liebsten Schildbürgerstreich im Netz.

Gut gemeint ist nicht gut gemacht: Die DSGVO und der Cookie-Irrtum

Als 2018 die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft trat, hoffte man auf einen Meilenstein für den Datenschutz. Plötzlich sollten Unternehmen offenlegen, welche Daten sie sammeln, und sich vorab die Einwilligung der Nutzer einholen[^1]. Das klang in der Theorie vernünftig: Niemand wollte ungefragt ausspioniert werden, und die DSGVO versprach „freely given, informed consent“ – also freiwillige, informierte Zustimmung. Soweit die Idee. Doch wie so oft liegt der Teufel im Detail. Die DSGVO selbst erwähnt das Wort „Cookie“ mit keiner Silbe. Woher kommen also die allgegenwärtigen Banner? Hier schlug die große Stunde der überzogenen, formalistischen Auslegung. Vorsichtige Rechtsberater und verunsicherte Webseitenbetreiber beschlossen: Lieber auf Nummer sicher gehen – wir bauen ein Banner ein, damit ja niemand abmahnen kann. Man kombinierte die neuen DSGVO-Grundsätze mit einer schon älteren EU-Richtlinie von 2009, die für Cookies eigentlich eine ausdrückliche Zustimmung forderte[^2]. Ergebnis: Ein digitales Ritual war geboren. Anstatt klarer Regeln entstand zunächst Chaos. Deutschland zum Beispiel setzte die EU-Cookie-Richtlinie jahrelang nicht richtig um, sodass erst 2021 ein spezielles Gesetz (mit dem schönen Namen Telekommunikation-Telemedien-Datenschutz-Gesetz, TTDSG) geschaffen wurde, um die Sache zu regeln. Doch da hatten die meisten Websites längst ihren Banner installiert – sicher ist sicher. Man wollte ja nicht riskieren, gegen die DSGVO zu verstoßen. So kam es, dass fortan jeder Nutzer beim Besuch einer Seite erstmal durch einen Klick-Knebel muss, selbst wenn er bloß die Wettervorhersage checken will.

Jeder Klick ein Krampf: Alltag im Cookie-Banner-Land

Stellen wir uns kurz einen analogen Vergleich vor: Sie betreten einen Supermarkt, doch an der Tür hält Sie ein Mitarbeiter auf. Er wedelt mit einem Formular und fragt höflich: „Dürfen wir Ihnen beim Einkaufen über die Schulter schauen, zu Marketingzwecken natürlich?“ – Erst wenn Sie „Ja“ oder „Nein“ angekreuzt haben, lässt man Sie hinein. Absurd? Genau das passiert online tagtäglich millionenfach.

Für die meisten Nutzer gehört das Wegklicken von Cookie-Hinweisen mittlerweile zur muscle memory. Kaum erscheint das Banner, zielt der Mauszeiger reflexartig auf „Alle akzeptieren“ – weg damit, ich will Inhalte sehen! Einige suchen immerhin den unscheinbaren „Ablehnen“-Button (falls es einen gibt). Andere resignieren und verlassen entnervt die Seite. Informierte Entscheidung? Fehlanzeige – es geht nur noch darum, die Barriere schnell zu beseitigen.

Besonders perfide: Viele Cookie-Banner sind so gestaltet, dass Ablehnen extra umständlich ist. Mal leuchtet der „Zustimmen“-Knopf verlockend grün, während „Ablehnen“ graublass in der Ecke schüchtert. Mal muss man erst auf „Einstellungen“ klicken, sich durch mehrere Untermenüs kämpfen und hundert Häkchen abwählen, nur um am Ende irgendwo „Speichern“ zu drücken. Diese Design-Tricks haben sogar einen Namen: Dark Patterns – manipulative Gestaltungsformen, die Nutzer zu einer gewünschten Aktion drängen. In diesem Fall: Bitte brav auf „Einverstanden“ klicken! Unternehmen scheuen keine Mühe, uns mit kreativen Klick-Labyrinthen mürbe zu machen. Frei nach dem Motto: Wenn du schon nicht freiwillig zustimmst, dann eben genervt und entnervt.

Die Folgen dieses Klickzwangs sind kurios: Anstatt dass wir bewusster über Datenschutz nachdenken, haben wir uns eine neue Reflexhandlung antrainiert. Viele drücken mechanisch „OK“, ohne zu lesen, was sie da eigentlich abnicken. Wer wirklich datensparsam unterwegs sein will, hat oft bereits Tools im Einsatz – Tracker-Blocker, Privacy-Plugins – und findet die Banner ohnehin doppelt lästig. Für diese Nutzer sind Cookie-Hinweise so überflüssig wie ein Sandkasten in der Wüste. Und ironischerweise bestraft das System gerade die Vorsichtigen: Wer Cookies regelmäßig löscht oder blockiert, darf jedes Mal von vorn alle Banner erneut wegklicken. Ein regelrechter Teufelskreis der Bürokratie.

Viel Lärm um nichts: Wozu das Ganze?

Man fragt sich: Wem nützen Cookie-Banner eigentlich? Dem Datenschutz wohl kaum. Kaum ein Nutzer liest die textlastigen Erklärungen im Banner wirklich durch. Die Zahl der Menschen, die freiwillig die dutzenden Seiten an „Partnerliste“ und „Datenschutzerklärung“ studieren, dürfte ungefähr so hoch sein wie die derjenigen, die bei neuen Geräten erst einmal die gesamte Bedienungsanleitung lesen – nämlich verschwindend gering. Die meisten wollen einfach nur die Webseite nutzen, ohne juristische Aufsätze zu wälzen.

Für die Privatsphäre bringen die Banner in der aktuellen Praxis wenig. Viele Nutzer klicken aus Gewohnheit auf „zulassen“ – nicht weil sie Tracking so großartig finden, sondern weil es der schnellste Weg zum Inhalt ist. Studien und Umfragen bestätigen, was jeder ahnt: Wäre die Entscheidung wirklich frei und informiert, würde die Mehrheit der Menschen personalisierte Tracking-Cookies ablehnen. Doch durch geschicktes Design erreichen Webseitenbetreiber häufig Zustimmungsraten von über 90%, während real nur ein winziger Bruchteil der Nutzer – teils wird ein Wert um die 3% genannt – tatsächlich Lust auf umfangreiches Tracking hätte[^3]. Mit anderen Worten: Die allermeisten dieser „Einwilligungen“ sind erklickt unter sanftem Zwang oder genervter Gleichgültigkeit. Für die Nutzer hat das kaum einen Mehrwert – ihre Daten werden weiter gesammelt wie eh und je, nur dass sie vorher einmal auf einen Knopf drücken durften.

Natürlich gibt es auch legitime Cookies, die für das Funktionieren einer Website nötig sind (z.B. Warenkorb-Cookies im Online-Shop). Dafür bräuchte es aber keine aufdringlichen Banner, diese dürfen sogar ohne Zustimmung gesetzt werden. Die lästige Banner-Flut dreht sich fast ausschließlich um Marketing- und Tracking-Cookies, also um das Profiling unseres Online-Verhaltens für Werbezwecke. Hier soll theoretisch durch die Nachfrage im Banner unsere Kontrolle über die Daten gestärkt werden. In der Praxis verkommt es zur bloßen Formalität: Ein Häkchen im Protokoll – der User hat ja „freiwillig“ zugestimmt, also ist alles in Butter. Ob der Nutzer wirklich verstanden hat, worin er einwilligt, interessiert am Ende keinen Prüfer mehr. Hauptsache, die Formalie ist erfüllt.

Praxisbeispiele: Zwischen Regelwut und Realität

Man könnte fast lachen, wenn es nicht so traurig wäre: Die Regulierungswut hat ein Bürokratiemonster geschaffen, das jetzt sogar Gerichte beschäftigt. Ein Beispiel gefällig? Das Nachrichtenportal Focus.de wurde jüngst vom Landgericht München I dazu verdonnert, seinen Cookie-Banner umzugestalten[^4]. Warum? Weil dort genau jene Trickkiste angewandt wurde: ein fetter „Alle akzeptieren“-Button auf Seite eins, aber die Ablehnung erst nach zusätzlichem Klick in einem versteckten Untermenü. Die Richter stellten fest, dass von freiwilliger Einwilligung keine Rede sein kann, wenn Nutzer de facto gezwungen werden, mit einer komplizierten Consent-Plattform zu interagieren, nur um die Seite zu lesen. Ein Klick zu viel, urteilte das Gericht trocken – und verbot das Banner in der vormals praktizierten Form. Ironischerweise musste also erst ein Rechtsstreit geführt werden, um die umständliche Umsetzung einer anderen Vorschrift zu korrigieren. Bürokratie auf Bureaucracy, könnte man sagen.

Ähnliche Geschichten hören wir aus ganz Europa. Frankreichs Datenschutzbehörde CNIL etwa hat Tech-Giganten wie Google und Microsoft kräftig auf die Finger geklopft. Der Vorwurf: Ihre Cookie-Banner machten es zu schwer abzulehnen. Das Ergebnis: Bußgelder in Millionenhöhe und peinlich berührte Gesichter in den Konzernzentralen. Microsoft musste etwa 60 Millionen Euro bezahlen, weil seine Suchmaschine Bing den „Ablehnen“-Knopf gut versteckt bzw. gar nicht erst angeboten hatte – man kann sich vorstellen, wie schnell nach so einer Summe ein gut sichtbarer „Alle ablehnen“-Button plötzlich doch implementiert werden konnte. Google & YouTube haben nach ähnlichem Druck ebenfalls endlich ein „Alles ablehnen“ eingeführt. Offenkundig war das Design vorher also bewusst anders – mit dem Ziel, Ablehnung zu erschweren. Erst die Aussicht auf saftige Strafen sorgte für ein Umdenken.

Kritik an Cookie-Bannern kommt interessanterweise von allen Seiten: Nutzer finden sie nervig und sinnlos, Datenschützer sehen in vielen Bannern einen Etikettenschwindel (scheinbare Wahlfreiheit, die keine ist), und selbst die Werbewirtschaft stöhnt mittlerweile über den Zustimmungszirkus – allerdings aus anderen Gründen (Conversion-Einbrüche und die Angst, Nutzer könnten doch mal „Nein“ klicken). Die österreichische NGO noyb um Max Schrems bezeichnete die allgegenwärtigen Pop-ups gar als „Cookie-Banner-Terror“ und reichte 2021 über 500 Beschwerden ein, um gegen die schlimmsten Auswüchse vorzugehen[^5]. Schrems monierte, viele Unternehmen würden absichtlich Privacy zum Hindernislauf machen, nur um dann die DSGVO als Schuldigen hinzustellen: Die armen Firmen müssten ja solche komplizierten Banner schalten – während in Wirklichkeit oft die Firmen selbst die Gestaltung verbocken, um mehr Daten abzugreifen. Ein ganzer Beratungszweig verdiene inzwischen Geld damit, immer neue Tricks zu ersinnen, wie man Nutzer „in die Einwilligung frustrieren“ kann, so Schrems sinngemäß. Das Resultat ist ein absurdes Theater, bei dem alle Beteiligten unzufrieden sind: Die Nutzer genervt, die Datenschützer enttäuscht, die ehrlichen Unternehmen wettbewerbsbenachteiligt – und die Datensammler, naja, die jammern offiziell, freuen sich aber insgeheim, dass ihr Zweck letztlich doch erfüllt wird.

Auch einige prominente Tech-Stimmen melden sich polemisch zu Wort. Der dänische Unternehmer David Heinemeier Hansson etwa ätzte, die EU habe mit ihrer Cookie-Regulierung ein „unsägliches Ärgernis“ geschaffen, das Milliarden koste und Nutzer weltweit auf die Palme bringe – ohne deren Privatsphäre messbar zu verbessern. Ein „bürokratisches Labyrinth“, aus dem man offenbar nicht herausfinde, wetterte er sinngemäß, und ein abschreckendes Beispiel dafür, wie gut gemeinte Regulierung in der Umsetzung scheitern kann. Zwar mag das überspitzt sein, doch im Kern spricht er vielen aus der Seele: Cookie-Banner zeigen (leider) exemplarisch, wie man es nicht machen sollte.

Digitale Folklore: Bürokratie zum Anclicken

Inzwischen sind Cookie-Banner fester Bestandteil der digitalen Folklore geworden – jener kleinen Alltagsrituale im Netz, über die man weltweit Witze reißt. So wie die Deutschen für ihren Papierkram und Formulare belächelt werden, liefert Europa nun mit den Cookie-Hinweisen eine neue Pointe: „Ihr Europäer klickt euch erst durch fünf Fenster, bevor ihr eine Seite anschauen dürft?“ – „Ja, ist Gesetz.“ Es hat etwas Tragikomisches, dass ausgerechnet eine Datenschutzverordnung, die Bürgerrechte stärken sollte, als Symbol sinnfreier Internet-Bürokratie verspottet wird. In Memes und Cartoons tauchen Cookie-Banner als Running Gag auf – mal fragt ein Kühlschrank, ob er „notwendige Cookies“ speichern dürfe, mal wird der berüchtigte „Accept All“-Button mit einem echten Keks verwechselt. Die Phrase „Dieses Website verwendet Cookies…“ hat sich ins kollektive Gedächtnis eingebrannt, allerdings eher als Warnsignal für aufkommenden Klick-Frust denn als seriöse Informationsquelle.

Selbst Behörden und Regulierer machen keinen Hehl mehr daraus, dass hier etwas schiefläuft. Die EU arbeitet – man glaubt es kaum – an Regelungen gegen die Regelungsfolgen. So sollen in Zukunft Einwilligungs-Management-Dienste das Ganze entschärfen: Etwa ein zentraler Schalter im Browser, der allgemein „Nein zu Tracking“ signalisiert, damit die einzelnen Banner überflüssig werden. Deutschland hat mit §26 TTDSG bereits angedacht, anerkannte Dienste zu etablieren, über die Nutzer ihre Präferenzen verwalten können – gewissermaßen ein Generalschlüssel, der die zahllosen einzelnen Cookie-Pop-ups ersetzt. Die Werbewirtschaft läuft dagegen Sturm (verständlicherweise, denn es würde ihr liebgewonnenes Banner-Spiel verderben). Ob und wann solche Lösungen kommen, steht in den Sternen. Die ursprüngliche ePrivacy-Verordnung, die das Cookie-Thema EU-weit endgültig regeln sollte, hat sich jedenfalls jahrelang im Kreis gedreht und wurde 2025 schließlich sang- und klanglos zurückgezogen – ein implizites Eingeständnis, dass man aus dem Schlamassel nicht so leicht herausfindet.

Und so klebt der Cookie-Hinweis weiterhin zäh an unserem digitalen Alltag. Er ist zum Mahnmal bürokratischer Fehlentwicklungen geworden: Ein kleiner Layer am Bildschirmrand, der sagt „Hier läuft was falsch, aber wir wissen uns nicht besser zu helfen.“ Fast möchte man ihn als Kulturgut anmelden – die erste EU-weit standardisierte Nervensäge im Internet, gewissermaßen.

[^1]: Art. 6 Abs. 1 DSGVO fordert eine „freiwillige, spezifische, informierte und unmissverständliche“ Einwilligung des Nutzers für nicht notwendige Datenverarbeitungen.
[^2]: EU-Richtlinie 2009/136/EG („Cookie-Richtlinie“) verlangte bereits zuvor die vorherige Zustimmung für viele Cookies. Deutschland setzte diese erst spät um (2021 im TTDSG), was zunächst zu Unsicherheit führte.
[^3]: Interne Studien der Werbeindustrie zeigen, dass nur rund 3% der Nutzer freiwillig umfassendem Tracking zustimmen würden – durch Design-Tricks („Dark Patterns“) lassen sich jedoch über 90% dazu bewegen, auf „zustimmen“ zu klicken.
[^4]: LG München I, Urteil vom 29.11.2022 (Az. 33 O 14776/19): Das Cookie-Banner von Focus.de wurde als unzulässig bewertet, weil die Ablehnung für Nutzer deutlich umständlicher war als die Zustimmung – keine „freiwillige“ Einwilligung im Sinne der DSGVO.
[^5]: Die Datenschutz-NGO noyb (Max Schrems) startete 2021 eine Kampagne gegen „Cookie-Banner-Terror“ und reichte über 500 Beschwerden bei verschiedenen Datenschutzbehörden ein, um manipulative Einwilligungs-Dialoge abzustrafen.

Fazit: Kann weg – oder?

Cookie-Banner sind das digitale Äquivalent zum Formular-Wahnsinn: Niemand liebt es, jeder erträgt es nur. Sie sollten mal unsere Daten schützen, doch geworden sind sie ein Synonym für sinnfreie Klick-Bürokratie. Die DSGVO hat vieles Gute angestoßen, keine Frage – aber das Kapitel Cookie-Banner darf getrost als Betriebsunfall verbucht werden. Letztlich schützt sich der Nutzer hier vor allem vor eines: vor dem Inhalt, den er eigentlich sehen wollte, bis das Banner verschwand.

Was also tun? Am liebsten würden wir diesen Spuk auf den Müllhaufen der Internet-Geschichte schicken. Technisch ließen sich elegantere Lösungen finden: globale Opt-Out-Signale, datensparsame Voreinstellungen – Möglichkeiten gäbe es genug. Der Ball liegt bei den Gesetzgebern und Browser-Herstellern, endlich einen Weg zu schaffen, der echte Wahlfreiheit ohne Belästigung ermöglicht. Bis es so weit ist, bleibt uns nur Galgenhumor: Klicken wir uns halt weiter durch, als wäre nichts dabei. Und vielleicht denken wir dabei an die Ironie, dass wir uns ausgerechnet für „Cookies“ entscheiden müssen – wo uns doch eigentlich längst der Appetit vergangen ist. Guten Appetit, könnte man sagen, und auf dass uns der Keks nicht noch ganz im Halse stecken bleibt.

 

Weitere Beiträge zum Thema Compliance