Dark Patterns: Google zahlt 325 Millionen Euro Strafe für Cookie-Tricks

Design-Tricks zur Zustimmungserpressung sind ab sofort tabu – Unternehmen drohen Milliardenstrafen.

Jahrelang setzten Digitalkonzerne auf manipulative Designs, um Nutzer zur Datenpreisgabe zu bewegen. Doch damit ist Schluss: Europäische Aufsichtsbehörden gehen massiv gegen sogenannte „Dark Patterns" in Cookie-Bannern vor. Die Botschaft an die Wirtschaft ist eindeutig – wer nicht auf neutrale, symmetrische Auswahlmöglichkeiten setzt, riskiert Millionenstrafen.

DSGVO-Bußgelder treffen auch kleine Unternehmen – sind Sie wirklich auf der sicheren Seite? Dieser kostenlose Leitfaden zeigt, welche 5 Schritte Sie sofort umsetzen müssen, um Abmahnungen zu vermeiden. In 5 Schritten zur rechtssicheren DSGVO-Umsetzung

Von der Theorie zur Praxis: Milliardenstrafen für Verstöße

Die Grundlage für die neue Härte liefern die Leitlinien 03/2022 der Europäischen Datenschutzkonferenz (EDPB) zu irreführenden Designmustern, die im Februar 2023 finalisiert wurden. Sie kategorisieren verbotene Praktiken wie das „Überladen" von Nutzern mit Entscheidungen oder das „Weglassen" wesentlicher Informationen.

Aus diesen theoretischen Vorgaben sind längst handfeste Strafen geworden. Im September 2025 verhängte die französische Datenschutzbehörde CNIL Rekordbußgelder: 325 Millionen Euro gegen Google und 150 Millionen Euro gegen den Modehändler Shein. Grund waren asymmetrische Zustimmungsdesigns, bei denen das Ablehnen von Cookies deutlich schwieriger war als das Akzeptieren.

Ein im März 2026 veröffentlichter Branchenbericht zeigt die Dimension: Die Gesamtsumme aller DSGVO-Strafen hat seit Einführung der Verordnung die Marke von 5,88 Milliarden Euro überschritten. Allein 2024 kamen rund 1,2 Milliarden Euro hinzu. Trotz dieser Abschreckung erfüllt eine Studie zufolge nur etwa jeder siebte europäische Webshop die Mindestanforderungen der DSGVO.

Deutschland und Frankreich gehen voran

In Deutschland hat die Datenschutzkonferenz (DSK) mit ihrer aktualisierten „Orientierungshilfe für digitale Dienste" (v1.2) vom November 2024 klare Regeln aufgestellt. Der Schlüsselparagraph: Nach § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) benötigen Cookies eine ausdrückliche Einwilligung – es sei denn, sie sind „zwingend erforderlich".

Die deutschen Behörden verlangen konkret:
- Gleiche Sichtbarkeit: Steht ein „Alle akzeptieren"-Button, muss „Alle ablehnen" optisch gleichwertig sein
- Keine vorangekreuzten Kästchen: Jede Zustimmung erfordert aktives Handeln
- Echte Wahlfreiheit: Nutzer müssen einzelne Kategorien wie Performance oder Werbung separat auswählen können

Ein wegweisendes Urteil fällte im Mai 2026 das österreichische Bundesverwaltungsgericht (BVwG). Es verpflichtete den ORF, sein Cookie-Banner neu zu gestalten, weil der farblich hervorgehobene „Akzeptieren"-Button das „Ablehnen" in den Hintergrund drängte – ein klarer Fall von irreführendem Design.

Auch Großbritannien zeigt Wirkung: Nachdem die Aufsichtsbehörde ICO im Januar 2025 bei zwei Dritteln der Top-1000-Websites Verstöße feststellte, hatten bis Dezember 2025 über 95 Prozent ihre Oberflächen angepasst.

Benötigt Ihr Unternehmen einen Datenschutzbeauftragten, um solche komplexen Design-Vorgaben rechtssicher zu prüfen? Ein kostenloser DSGVO-Leitfaden klärt auf – und liefert gleich die passende Checkliste dazu. Kostenlosen DSGVO-Leitfaden inkl. Checkliste sichern

Das „Pay or Okay"-Modell in der Kritik

Immer mehr Verlage setzen auf ein Modell, bei dem Nutzer zwischen Zustimmung zum Tracking oder einer Bezahlschranke wählen müssen. Doch auch diese Praxis gerät unter Druck. Eine im Dezember 2025 veröffentlichte Studie der Digitalrechtsorganisation NOYB zeigt: Nur 20 Prozent der Nutzer würden freiwillig der Datenanalyse zustimmen – konfrontiert mit der Wahl zwischen Tracking und Pflichtzahlung entscheiden sich jedoch 90 Prozent für die „Zustimmung".

Die österreichische Justiz erklärte dieses Modell bei einem großen Nachrichtenportal für illegal. Der EDPB bereitet nun einheitliche Leitlinien vor, um sicherzustellen, dass finanzielle Hürden die Freiwilligkeit der Einwilligung nicht untergraben.

Die Nutzerdaten aus dem ersten Halbjahr 2026 belegen einen klaren Trend: Die durchschnittliche Zustimmungsrate für Marketing-Cookies in der EU ist auf 46 Prozent gefallen – 2023 lag sie noch bei 54 Prozent. Besonders deutlich ist der Rückgang in Deutschland mit nur 36 Prozent, während Italien mit 63 Prozent die höchste Rate verzeichnet. Rund 27 Prozent der europäischen Internetnutzer klicken inzwischen sofort auf „Alle ablehnen", ohne die Informationen zu lesen.

Ausblick: Digital Fairness Act und Omnibus-Reform

Die EU-Kommission treibt die Regulierung weiter voran. Der im November 2025 vorgestellte „Digital Omnibus Regulation" soll die „Cookie-Müdigkeit" der Nutzer adressieren:
- Ein-Klick-Ablehnung: „Akzeptieren" und „Ablehnen" müssen auf derselben Ebene erscheinen
- Standardisierte Speicherung: Einmal getroffene Entscheidungen sollen bis zu sechs Monate gültig bleiben
- Automatisierte Signale: Browser sollen Nutzerpräferenzen direkt an Websites übermitteln können

Der für Ende 2026 erwartete „Digital Fairness Act" (DFA) will zudem Lücken im Verbraucherschutz schließen. Nach einem Ende 2024 abgeschlossenen „Digital Fairness Fitness Check" wird das Gesetz voraussichtlich „süchtig machendes Design" und „unfaire Personalisierung" in allen digitalen Dienstleistungen verbieten.

Für Unternehmen gilt: Cookie-Design ist kein nebensächliches Gestaltungselement mehr, sondern eine Compliance-Frage mit existenziellen Risiken. Die Beweislast für eine gültige Einwilligung liegt beim Datenverarbeiter. Experten raten zu regelmäßigen Audits der Consent-Management-Plattformen – und dazu, dass das Widerrufen einer Zustimmung genauso einfach sein muss wie ihre Erteilung.

de | wirtschaft | 69416671 |