Understanding the impact of banner interaction on user tracking via web cookies

Abstract

The Internet has become a cornerstone of modern society, revolutionizing how people communicate, conduct business, and access information. Its connectivity capabilities have enabled the emergence of new types of services in the form of online platforms, such as messaging and shopping. In parallel, advertising has become a dominant revenue model for these platforms. Consequently, advertising companies utilize tracking technologies, such as cookies, to collect large amounts of data, including Personally Identifiable Information (PII), enabling them to deliver personalized content and targeted advertisements. Although these practices enhance user experience and platform monetization, the extensive collection, storage, and analysis of personal data at scale raises concerns regarding user autonomy and privacy. Recognizing these concerns, governments and regulatory bodies have introduced frameworks, including the General Data Protection Regulation (GDPR), to safeguard user privacy. Under the GDPR, any website or service that collects or processes personal data—defined in Article 4(1) as any information relating to an identified or identifiable natural person (“data subject”)—of individuals located in the EU must obtain users’ consent prior to data collection. In response to publishers’ efforts to comply with these requirements, consent mechanisms such as cookie banners have emerged to inform users about data collection practices and obtain explicit consent for processing their personal data. In this study, we evaluate cookie banners from different perspectives in accordance with GDPR provisions and mandates. First, we introduce BannerClick, a tool capable of interacting with cookie banners with nearly 99% accuracy. Using BannerClick, we examine the web cookie landscape through various lenses, including geographic location, device type, and banner interaction modes, providing a comprehensive understanding of how these factors influence the deployment of tracking cookies. Furthermore, we investigate the emerging trend of cookie paywalls, which allow users to choose between accepting tracking or paying for an ad-free experience, assessing their implications for privacy and accessibility. Lastly, we explore the structural misalignments between existing consent mechanisms and regulatory objectives, demonstrating how seemingly opposing interactions with banners can influence the behavior of subsequently visited websites, thereby extending unwanted tracking via cookies. Ultimately, our findings highlight significant gaps between current consent practices—primarily in the form of cookie banners—and the objectives of privacy laws, emphasizing the need for more practical and user-centric solutions.

Das Internet ist zu einem Eckpfeiler der modernen Gesellschaft geworden und hat revolutioniert, wie Menschen kommunizieren, Geschäfte tätigen und Informationen abrufen. Seine weitreichenden Vernetzungsmöglichkeiten haben zur Entstehung neuer Dienstleistungen in Form von Online-Plattformen wie Messaging und Online- Shopping geführt. Parallel dazu ist Werbung zu einem dominierenden Einnahmemodell für diese Plattformen geworden. Werbeunternehmen setzen dementsprechend Tracking-Technologien wie Cookies ein, um große Mengen an Daten, einschließ- lich personenbezogener Informationen (Personally Identifiable Information, PII), zu sammeln und dadurch personalisierte Inhalte sowie gezielte Werbung bereitzustellen. Obwohl diese Praktiken die Benutzererfahrung und Monetarisierung verbessern, wirft die umfassende Sammlung und Analyse persönlicher Daten erhebliche Bedenken hinsichtlich der Autonomie und Privatsphäre der Nutzer auf. Angesichts dieser Bedenken haben Regierungen und Regulierungsbehörden Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) eingeführt, um die Privatsphäre der Nutzer zu schützen. Gemäß der DSGVO muss jede Website oder jeder Dienst, der personenbezogene Daten2 von Personen innerhalb der EU verarbeitet, vor der Datenerhebung eine ausdrückliche Einwilligung einholen. Als Reaktion darauf haben sich Einwilligungsmechanismen—wie Cookie-Banner—entwickelt, um Nutzer über Datenerfassungspraktiken zu informieren und deren Zustimmung einzuholen. In dieser Studie analysieren wir die Verbreitung von Cookie-Bannern sowie den Einfluss von Nutzerinteraktionen auf die Platzierung und Übertragung von Web-Cookies unter verschiedenen Konfigurationsbedingungen. Für diese großangelegte, automatisierte Analyse stellen wir BannerClick vor—ein Tool, das mit einer Genauigkeit von nahezu 99% mit Cookie-Bannern interagiert. Mithilfe von BannerClick untersuchen wir die Cookie-Landschaft des Webs aus verschiedenen Perspektiven, darunter geografische Lage, Gerätetyp und Interaktionsmodi, um zu verstehen, wie diese Faktoren die Platzierung von Tracking-Cookies beeinflussen. Darüber hinaus analysieren wir den aufkommenden Trend der Cookie-Paywalls, die Nutzern die Wahl lassen, entweder Tracking zu akzeptieren oder für ein werbefreies Erlebnis zu bezahlen, und bewerten deren Auswirkungen auf Privatsphäre und Zugänglichkeit. Schließlich untersuchen wir strukturelle Diskrepanzen zwischen bestehenden Einwilligungsmechanismen und regulatorischen Zielen, um aufzuzeigen, wie verschiedene Interaktionen mit Bannern das Verhalten nachfolgend besuchter Websites beeinflussen und so unerwünschtes Tracking verlängern können. Unsere Ergebnisse verdeutlichen erhebliche Lücken zwischen aktuellen Einwilligungspraktiken— hauptsächlich in Form von Cookie-Bannern—und den Zielen der Datenschutzgesetze und unterstreichen die Notwendigkeit praktischerer, nutzerzentrierter Lösungen.