16. November 2022
Irreführende „Cookie“-Consent-Banner, komplizierte und langwierige Prozesse für das Löschen von Accounts oder gut versteckte Datenschutzeinstellungen – derartige Praktiken lassen sich unter dem Begriff der „Dark Patterns“ zusammenfassen. Website-Betreiber*innen setzen diese gezielt ein, um Nutzer*innen zu einer Entscheidung zu bewegen, die sie eigentlich gar nicht treffen möchten. Doch was hat das Ganze mit Datenschutz zu tun? Dieser Blogbeitrag soll Licht ins Dunkel bringen.
Bevor wir uns der Frage widmen, was Dark Patterns konkret mit Datenschutz zu tun haben, bedarf es zunächst einer Erläuterung des Begriffs. Unter Dark Patterns versteht man Design-Elemente (z.B. die Größe und Farbe von Buttons) oder Prozesse auf Websites (z.B. die Änderung von Einstellungen und die Löschung des Kontos), die Informationen nicht objektiv darstellen oder deren Auffindbarkeit erschweren. Die Benutzeroberfläche einer Website ist häufig nur deshalb so intuitiv bedienbar, da dessen Aufbau und Design auf Erkenntnissen der Verhaltenspsychologie beruhen. Durch den Besuch von Websites haben wir beispielsweise gelernt, dass ein farbig hinterlegter Button bei Betätigung eine Aktion auslöst. Dark Patterns beruhen auf genau diesen Verhaltensmustern und führen zu Handlungen, die für Nutzer*innen möglicherweise nicht von Vorteil sind. Eine solche Handlung könnte etwa das Anklicken eines grünen Buttons mit der Aufschrift „Alle Cookies akzeptieren“ innerhalb eines Consent-Banners sein. Durch das Akzeptieren gelangen wir zwar uneingeschränkt auf die Inhalte der Website, stimmen aber der Verarbeitung unserer personenbezogenen Daten durch alle auf der Website eingebundenen Drittanbieter-Dienste zu, auch wenn dies durch den*die Nutzer*in womöglich nicht gewünscht ist.
Andere Arten von Dark Patterns verbergen gewünschte Informationen so gut, dass sie nicht mehr oder nur schwer auffindbar sind. Oftmals ist dies etwa bei Abmeldevorgängen von bestimmten Diensten oder der Löschung von Nutzerkonten der Fall, die entweder vage benannt werden oder gar nicht auf der Website existieren. Der Onlineversand-Riese Amazon dient hier als negatives Beispiel: Während für die Anmeldung zu seinem kostenpflichtigen Prime-Abonnement nur wenige Klicks notwendig sind, werden Nutzer*innen beim Versuch der Kündigung mit zahlreichen Warnhinweisen, manipulativer Sprache, Auflistungen vermeintlicher Vorteile sowie irritierender Buttons und Menüstrukturen konfrontiert, die Nutzer*innen wieder an den Anfang des Prozesses zurückleiten.
Des Weiteren gibt es spezielle Techniken, die gezielt unsere Wahrnehmungen und Reaktionen ausnutzen. So ist wissenschaftlich erwiesen, dass Menschen seltener bewusste Entscheidungen treffen, wenn sie mit Informationen überflutet werden. Hier eignen sich erneut Consent-Banner als Beispiel: Ist die Auswahl der Consent-Einstellungen sehr umfangreich und detailliert, kann davon ausgegangen werden, dass insbesondere technisch unerfahrene Nutzer*innen die vom Anbieter präferierten (Standard)-Einstellungen auswählen.
In einem vom European Data Protection Board (EDPB) veröffentlichten Papier zu Dark Patterns auf Social-Media-Plattformen wird deutlich, dass die oben geschilderten Praktiken nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar sind. So verstoßen Dark Patterns beispielsweise gegen die Grundsätze von Fairness und Transparenz gem. Art. 5 Abs. 1 lit. a) DSGVO oder gegen die Grundsätze von Privacy by Design und Privacy by Default gem. Art. 25 DSGVO. Darüber hinaus können mithilfe von Consent-Bannern eingeholte Einwilligungen unwirksam sein, sofern den Nutzer*innen Datenschutzinformationen vorenthalten werden und so gegen die Anforderungen an die Freiwilligkeit und Informiertheit gem. Art. 7 Abs. 2 DSGVO und Art. 7 Abs. 4 DSGVO verstoßen wird. Die Leitlinien des EDPB lassen die Betreiber*innen von Social-Media-Plattformen allerdings nicht allein und zeigen anhand konkreter Beispiele auf, wie man Dark Patterns erkennen und verhindern kann. Diese Leitlinien lassen sich, ohne dass explizit vom EDPB darauf verwiesen wird, auch analog auf Websites übertragen. Denn wie auch auf Social-Media-Plattformen begegnen uns hier häufig dieselben Erscheinungsformen von Dark Patterns.
Es ist kein Geheimnis, dass Dark Patterns Datenschützer*innen und Datenschutz-Aufsichtsbehörden ein Dorn im Auge sind. Zwar werden die Aufsichtsbehörden üblicherweise nicht von sich aus tätig, allerdings erhalten sie zunehmend Beschwerden von Datenschutzorganisationen oder Verbraucher*innen. Die NGO „noyb“ (ausgeschrieben „none of your business“) um den Datenschutzaktivisten Max Schrems etwa hat eine Vielzahl von Website-Betreiber*innen abgemahnt, welche das Consent-Tool des Herstellers „OneTrust“ auf ihrer Website irreführend gestaltet haben. Und auch von Privatpersonen gehen bei den Aufsichtsbehörden zahlreiche Beschwerden, beispielsweise aufgrund irreführender Consent-Banner, ein. Dies nehmen die Aufsichtsbehörden zum Anlass, zum Teil hohe Geldstrafen gegen Websitebetreiber*innen zu verhängen.
Mit Dark Patterns auf Websites gehen ohne jeden Zweifel Datenschutzrisiken einher. Um die Gefahr von Abmahnungen und Bußgeldern auf ein Minimum zu reduzieren, ist es deshalb essenziell, Dark Patterns zu erkennen und zu beseitigen. Die Datenschutz-Experten der valantic Management Consulting GmbH – a valantic company – decken mithilfe der Datenschutz-Websiteprüfung unter anderem auf, ob Dark Patterns auf Ihrer Website enthalten sind und geben Ihnen konkrete Handlungsempfehlungen zur Beseitigung mit auf den Weg.
Enthält eine Website Inhalte von Drittanbietern, welche nicht für den Betrieb einer Website erforderlich sind (z.B. Marketing- oder Trackingdienste), muss von den Nutzer*innen vorab eine Einwilligung zur Verarbeitung ihrer Daten durch jene Dienste eingeholt werden. Dies geschieht derzeitig mithilfe von Consent-Bannern, welche beim ersten Aufruf einer Website erscheinen (siehe Abbildung als Beispiel).
Nichts verpassen.
Blogartikel abonnieren.