WrightStudio - stock.adobe.com
Per Manipulation werden personenbezogene Daten gesammelt
Nutzerinnen und Nutzer werden dazu verleitet, mehr Daten preiszugeben, als sie eigentlich wollen. Datenschutzbehörden warnen vor Manipulationsversuchen.
Wenn eine Person ungewollt personenbezogene und andere vertrauliche Daten gegenüber Dritten preisgibt, denkt man zuerst an einen Fall von Social Engineering. Doch es muss sich nicht um diese Art von Cyberattacke handeln, es kann sich auch um eine manipulative Technik handeln, die zum Beispiel im Internet eingesetzt wird, damit Nutzerinnen und Nutzer beispielsweise mehr Online-Tracking erlauben, als sie eigentlich wollen.
Im Datenschutz spricht man dann unter anderem von Deceptive Design Patterns. Darunter versteht man Benutzeroberflächen insbesondere in sozialen Medien, die so ausgestaltet sind, dass sie Nutzende mit Hinblick auf die Verarbeitung personenbezogener Daten zu einer bestimmten Verhaltensweise (in der Regel zugunsten der verarbeitenden Social-Media-Plattform) verleiten. Dies kann etwa über verschiedene Aspekte beim Design, wie durch eine bestimmte Farbwahl oder die Platzierung von Inhalten, geschehen, erklärt die Datenschutzaufsicht von Baden-Württemberg.
Ein anderer Begriff ist „Nudging“. Dies bezeichnet Techniken, durch die das Verhalten der Nutzerinnen und Nutzer beeinflusst werden soll. Diese Beeinflussung kann grundsätzlich im Interesse des Nutzers oder der Nutzerin erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um Userinnen und User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen"-Option oft im Vergleich zur „Ablehnen"-Option auffälliger gestaltet – durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Zum Beispiel ist der Button „Zustimmung“ in Grün oder Blau mit weißer Fettschrift gestaltet und der „Ablehnen“-Button in Grau mit weißer Standardschrift.
„Alles ablehnen“-Schaltfläche ist ein Muss
Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 die Rechtsauffassung der Datenschutzaufsichtsbehörde Niedersachsen bestätigt und die Rechte von Internetnutzerinnen und -nutzern in Sachen Datenschutz gestärkt: Webseitenbetreiber müssen bei Cookie-Einwilligungsabfragen eine gut sichtbare „Alles ablehnen“-Schaltfläche auf der ersten Ebene im Einwilligungsbanner anbieten, wenn es eine „Alle akzeptieren“-Option gibt.
Einwilligungsbanner dürften nicht gezielt zur Abgabe der Einwilligung hinlenken und von der Ablehnung der Cookies abhalten, so das Verwaltungsgericht Hannover in seiner Urteilsbegründung. Andernfalls seien die derart eingeholten Einwilligungen unwirksam, was einen Verstoß gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz sowie die Datenschutz-Grundverordnung darstellt.
Hintergrund des Verfahrens war eine Anordnung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gegenüber einem niedersächsischen Medienhaus. Dieses hatte Cookie-Einwilligungen mittels eines Banners eingeholt, ohne Nutzerinnen und Nutzern eine echte Wahlmöglichkeit zu bieten.
Was das Gericht als Verstoß ansieht
Das Verwaltungsgericht kritisierte die Aufmachung und Gestaltung des Cookie-Banners in mehrerlei Hinsicht:
- das Ablehnen von Cookies war deutlich umständlicher als das Akzeptieren,
- Nutzerinnen und Nutzer wurden durch ständige Banner-Wiederholungen zur Einwilligung gedrängt,
- die Überschrift „optimales Nutzungserlebnis“ und die Beschriftung „akzeptieren und schließen“ auf dem Schließen-Button waren irreführend,
- der Begriff der „Einwilligung“ fehlte vollständig,
- die Zahl der eingebundenen Partner und Drittdienste war nicht ersichtlich und
- Hinweise auf das Recht zum Widerruf der Einwilligung und eine Datenverarbeitung in Drittstaaten, außerhalb der EU waren erst nach Scrollen sichtbar.
Das Gericht erkannte, dass Nutzerinnen und Nutzer keine informierte, freiwillige und eindeutige Einwilligung gegeben hatten, wie es die DSGVO verlangt.
Dazu erklärte der Landesbeauftragte für den Datenschutz in Niedersachsen, Denis Lehmkemper: „Die allermeisten Menschen sind vermutlich von Cookie-Bannern genervt. Diese erfüllen jedoch eine wichtige Funktion für die Aufrechterhaltung der Privatsphäre im Internet. Genau deshalb setzen sich die Datenschutz-Aufsichtsbehörden für eine echte Wahlmöglichkeit bei der Gestaltung der Banner ein. Diese Wahlmöglichkeit wird von vielen Webseitenbetreibern bisher jedoch nicht umgesetzt. Ich hoffe, das Urteil sendet ein Signal an möglichst viele Anbieter und trägt so dazu bei, datenschutzkonforme Einwilligungslösungen umzusetzen.“
Wie sich solche „Manipulationsversuche“ vermeiden lassen
Anders als beim Social Engineering steckt hinter solchen „Manipulationsversuchen“ nicht automatisch eine böse Absicht, vielmehr wissen es manche Webseiten-Betreiber nicht besser und machen so Fehler bei dem Einholen der Einwilligung. Oder aber sie fragen in Formularen mehr Daten ab, als sie eigentlich benötigen, und verstoßen so gegen das Prinzip der Datenminimierung.
Um die sogenannten „Deceptive design patterns“ zu vermeiden, sollte Unternehmen als Webseiten-Betreiber die Leitlinien (PDF) des Europäischen Datenschutzausschusses (EDSA) umsetzen. Dann vermeidet man, Nutzende zu Einwilligungen zu verleiten, die diese eigentlich gar nicht wollen.
Erfahren Sie mehr über Datenschutz und Compliance
-
![]()
Datenschutz-Kontrollen: Aus den Fehlern beim Tracking lernen
Von: Oliver Schonschek
-
![]()
KI-Training mit personenbezogenen Daten: Das ist zu beachten
Von: Oliver Schonschek
-
![]()
Wie die Flut an Cookie-Bannern reduziert werden soll
Von: Oliver Schonschek
-
![]()
Datenminimierung in der Praxis: Was Firmen oft falsch machen
Von: Oliver Schonschek
