Dark Patterns in Cookie-Bannern: Was erlaubt ist und was nicht

Cookie-Banner begegnen uns auf jeder Website. Doch nicht jeder Banner gibt Nutzern eine echte Wahl. Viele verwenden sogenannte Dark Patterns — manipulative Design-Tricks, die Nutzer dazu verleiten sollen, der Datenverarbeitung zuzustimmen. Das ist nicht nur ethisch fragwürdig, sondern kann richtig teuer werden.

In diesem Artikel erfährst du, was Dark Patterns in Cookie-Bannern sind, welche Muster gegen die DSGVO verstoßen und wie du deinen eigenen Banner auf Probleme prüfst.

Was sind Dark Patterns?

Dark Patterns sind Designentscheidungen, die Nutzer gezielt in eine bestimmte Richtung lenken — meist gegen ihre eigentlichen Interessen. Im Kontext von Cookie-Bannern bedeutet das: Der Nutzer wird dazu gebracht, mehr Cookies zu akzeptieren, als er eigentlich möchte.

Die DSGVO verlangt in Art. 7 eine freiwillige Einwilligung. Das bedeutet: Der Nutzer muss eine echte, unbeeinflusste Wahl haben. Ist die Einwilligung durch manipulatives Design erschlichen, ist sie rechtlich unwirksam — und die gesamte Datenverarbeitung, die darauf basiert, wird rechtswidrig.

Auch die europäischen Datenschutzbehörden haben das Thema längst auf dem Schirm. Der Europäische Datenschutzausschuss (EDSA) hat 2022 eigene Leitlinien zu Dark Patterns veröffentlicht und konkrete Beispiele benannt.

Die 3 häufigsten Dark Patterns in Cookie-Bannern

1. Fehlender oder versteckter Ablehnen-Button

Das wohl verbreitetste Dark Pattern: Der Banner zeigt einen großen, farbigen “Alle akzeptieren”-Button, aber keinen gleichwertigen Button zum Ablehnen. Stattdessen gibt es nur einen kleinen, kaum sichtbaren Link “Einstellungen” oder “Mehr erfahren”, hinter dem sich dann mehrere Klicks verbergen, bis man tatsächlich ablehnen kann.

Was die DSGVO sagt: Das Ablehnen muss genauso einfach sein wie das Akzeptieren. Wenn der Nutzer für “Akzeptieren” einen Klick braucht, darf “Ablehnen” nicht drei Klicks erfordern.

Prüf-Tipp: Zähle die Klicks. “Alle akzeptieren” = 1 Klick? Dann muss auch “Nur notwendige” in 1 Klick erreichbar sein.

2. Der versteckte Ablehnen-Button

Hier existiert zwar ein Ablehnen-Button, aber er ist so gestaltet, dass Nutzer ihn leicht übersehen. Typische Tricks:

• Der “Akzeptieren”-Button ist farbig und groß, der “Ablehnen”-Button ist grau, klein oder als einfacher Textlink ohne Hintergrund dargestellt
• Der Ablehnen-Button steht an einer unerwarteten Stelle (z.B. ganz oben links, während der Fokus auf der Mitte liegt)
• Die Schriftfarbe des Ablehnen-Buttons ist fast identisch mit dem Hintergrund

Was die DSGVO sagt: Beide Optionen müssen gleichwertig dargestellt werden. Gleiche Größe, gleiche visuelle Gewichtung, gleiche Position.

3. Nudging durch Farben und Sprache

Beim Nudging wird der Nutzer durch psychologische Tricks in Richtung “Akzeptieren” geschoben:

• Farbpsychologie: “Akzeptieren” in Grün (positiv), “Ablehnen” in Rot (negativ, Warnung)
• Emotionale Sprache: “Ja, ich möchte das beste Erlebnis” vs. “Nein, ich möchte eine eingeschränkte Version”
• Guilt-Tripping: “Wenn du ablehnst, können wir dir keine personalisierten Inhalte zeigen und müssen unsere Website möglicherweise einstellen”
• Vorausgewählte Checkboxen: Alle Cookie-Kategorien sind bereits angehakt

Was die DSGVO sagt: Die Einwilligung muss informiert und freiwillig sein. Emotionale Manipulation und irreführende Formulierungen verstoßen gegen diesen Grundsatz.

Echte Bußgelder: So teuer werden Dark Patterns

Dark Patterns in Cookie-Bannern sind kein theoretisches Risiko. Europäische Datenschutzbehörden verhängen bereits empfindliche Strafen:

• Google (2022): Die französische CNIL verhängte 150 Millionen Euro Bußgeld, weil der Cookie-Banner auf google.fr das Ablehnen deutlich schwieriger machte als das Akzeptieren. Nutzer benötigten mehrere Klicks zum Ablehnen, während ein einziger Klick zum Akzeptieren reichte.

• Microsoft (2022): Ebenfalls von der CNIL kam ein Bußgeld von 60 Millionen Euro gegen Microsoft. Der Bing-Cookie-Banner bot keine gleichwertige Möglichkeit zum Ablehnen.

• TikTok (2023): Die CNIL verhängte 5 Millionen Euro, unter anderem weil das Ablehnen von Cookies schwieriger war als das Akzeptieren.

• Weitere Fälle: Auch in Österreich, Belgien und Italien haben Behörden Bußgelder wegen manipulativer Cookie-Banner verhängt — die Beträge reichen von einigen Tausend bis zu mehreren Millionen Euro.

Die Tendenz ist klar: Die Behörden werden strenger, nicht milder. Und auch kleinere Unternehmen geraten ins Visier, besonders durch Beschwerden von Organisationen wie noyb.

Checkliste: Ist dein Cookie-Banner frei von Dark Patterns?

Geh diese Punkte für deinen eigenen Banner durch:

• Gleichwertige Buttons: “Akzeptieren” und “Ablehnen” sind in Größe, Farbe und Position gleichwertig
• Gleiche Klickanzahl: Ablehnen erfordert nicht mehr Klicks als Akzeptieren
• Keine vorausgewählten Checkboxen: Alle nicht-notwendigen Kategorien sind standardmäßig deaktiviert
• Neutrale Sprache: Keine emotionale Manipulation, keine Schuldzuweisungen
• Keine irreführenden Farben: Keine Rot/Grün-Kodierung, die eine Option als “richtig” oder “falsch” darstellt
• Einstellungen änderbar: Nutzer können ihre Wahl jederzeit über einen dauerhaft sichtbaren Link ändern
• Kein Cookie-Wall: Die Website ist auch ohne Einwilligung nutzbar (kein “Akzeptiere oder geh”)
• Transparente Information: Der Banner erklärt klar, welche Cookies zu welchem Zweck eingesetzt werden

Wie du deinen Banner automatisch prüfen kannst

Viele Dark Patterns sind nicht auf den ersten Blick erkennbar, besonders wenn man den eigenen Banner täglich sieht. Der Compliso Scanner analysiert deinen Cookie-Banner automatisch und erkennt typische Dark Patterns:

• Fehlender oder versteckter Ablehnen-Button
• Ungleiche visuelle Gewichtung der Buttons
• Vorausgewählte Checkboxen
• Tracking vor Einwilligung (Consent wird ignoriert)

Die Analyse liefert dir einen konkreten Score und zeigt dir genau, was du verbessern musst.

Fazit: Fair gewinnt

Dark Patterns mögen kurzfristig die Consent-Rate erhöhen. Aber langfristig riskierst du damit Bußgelder, Vertrauensverlust und rechtlich unwirksame Einwilligungen. Ein fairer, DSGVO-konformer Banner zeigt Nutzern Respekt — und schützt dein Unternehmen vor teuren Konsequenzen.

Erfahre mehr über die automatische Dark-Pattern-Erkennung von Compliso. Oder scanne deine Website jetzt kostenlos und finde heraus, ob dein Cookie-Banner wirklich fair ist.