Wann sind Webdesigns manipulativ?
Beitrag verfasst von Dr. Rainer Knyrim und Fabian Jelicic – KTR-Newsletter November 2024
Manipulative Webdesigns sind aus unternehmerischer und aus juristischer Sicht ein spannendes und heikles Thema. Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien zu den sogenannten „Deceptive Design Patterns“ speziell auf Social Media-Plattformen überarbeitet und neu veröffentlicht (Guidelines 03/2022).
Die auch als „irreführenden Designs“ bekannten Manipulationstechniken zielen durch den Einsatz psychologischer Tricks darauf ab, Nutzer:innen von Apps oder Websites im Bereich der Benutzeroberfläche zu bestimmten Verhaltensweisen zu verleiten, die meist zugunsten der jeweiligen Plattformbetreiber sind, dies insbesondere in Bezug auf die Verarbeitung personenbezogener Daten. Die Leitlinien richten sich primär an Anbieter sozialer Medien und geben konkrete Empfehlungen für ein datenschutzkonformes Design von Benutzeroberflächen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat zu diesen Leitlinien kürzlich sehr ausführliche und praxisnahe FAQ veröffentlicht (FAQ zu Deceptive Design Patterns).
Grundsätzlich lassen sich Deceptive Design Patterns in sechs Kategorien einteilen. So beschreibt „Overloading“ Situationen, in denen Nutzer:innen mit einer Fülle von Informationen oder Optionen konfrontiert werden, was dazu führen kann, dass sie unbeabsichtigt mehr Daten preisgeben oder einer Datenverarbeitung zustimmen, die sie sonst abgelehnt hätten. Ein Beispiel hierfür ist das „Privacy Maze“, welches es erschwert, Datenschutzeinstellungen zu finden, weil sie hinter vielen Websiteschichten und auf verschiedenen Seiten verteilt sind.
Im Fall von „Skipping“ werden Benutzeroberflächen so gestaltet, dass Nutzer:innen Datenschutzaspekte übersehen oder vergessen. Dies kann etwa durch „Deceptive Snugness“ geschehen, bei dem die datenschutzfeindlichsten Einstellungen bereits vorausgewählt sind.
„Stirring“ nutzt Appelle oder visuelle Reize, um Entscheidungen zu beeinflussen, beispielsweise durch „Emotional Steering“, bei dem Wortwahl oder Bilder eingesetzt werden, um bestimmte Gefühle hervorzurufen und einen Steuerungseffekt auf das Verhalten der Nutzer:innen auszuüben.
Bei „Obstructing“ werden Hindernisse geschaffen, die es Nutzer:innen erschweren, Datenschutzeinstellungen zu ändern oder ihre Daten zu verwalten. Dies kann durch komplizierte Prozesse oder technische Barrieren geschehen. Hiervon erfasst sind bestimmte Aktionen die ins Leere führen, etwa wenn Links zu Datenschutzeinstellungen ins Nichts führen und Fehlermeldungen erzeugen (Dead End) oder wenn der Prozess zum Ändern von Einstellungen sowie zum Widerruf einer Einwilligung im Vergleich zur Erteilung der Einwilligung zu lang ist (Longer than necessary).
„Fickle“ bezieht sich auf inkonsistente oder verwirrende Benutzeroberflächen, die es schwierig machen, sich zurechtzufinden. Dies kann durch wechselnde Terminologie, unterschiedliche Designs oder unklare Strukturen geschehen.
Im Rahmen von „Left in the Dark“ werden essenzielle Informationen verborgen oder so unklar dargestellt – insbesondere durch widersprüchliche Informationen und mehrdeutige Formulierungen –, dass Nutzer:innen nicht wissen, wie ihre Daten verarbeitet werden oder welche Rechte sie haben.
Der Einsatz von Deceptive Design Patterns kann gegen mehrere Grundsätze der DSGVO verstoßen, insbesondere gegen die Prinzipien der Fairness, Transparenz und Datenminimierung. So können diese Patterns die Freiwilligkeit und Informiertheit der Einwilligung gemäß Art 4 Z 11 iVm Art 7 DSGVO beeinträchtigen. Zudem können vage Formulierungen und fehlende Informationen gegen die Informationspflichten nach Art 12 ff DSGVO verstoßen.
Die Leitlinien enthalten zahlreiche Best-Practice-Empfehlungen, um Deceptive Design Patterns zu vermeiden. Dazu gehört die Bereitstellung von Shortcuts, die direkten Zugang zu relevanten Informationen ermöglichen. Einstellungen mit gleichem Verarbeitungszweck sollten gebündelt, aber dennoch individuell anpassbar sein. Kontaktinformationen und die Erreichbarkeit der zuständigen Aufsichtsbehörde sollten klar und an erwarteten Stellen wie z.B. in der Datenschutzerklärung aufgeführt sein.
Der EDSA empfiehlt weiters, die Datenschutzerklärung übersichtlich zu gestalten, etwa durch ein Inhaltsverzeichnis. Generell erleichtern einheitliche Formulierungen und die Erklärung technischer Begriffe das Verständnis. Datenschutzrechtlich relevante Elemente sollten optisch hervorgehoben werden und ein Datenschutz-Onboarding nach Eröffnung eines Accounts kann Nutzer:innen helfen, von Anfang an ihre Präferenzen festzulegen. Standardmäßig sollten jedoch die datenschutzfreundlichsten Optionen aktiviert sein. Kontextbezogene Informationen, selbsterklärende URLs und ein Formular für die Ausübung von Betroffenenrechten tragen ebenfalls dazu bei, eine DSGVO-konforme Plattform zu betreiben. Deceptive Design Patterns können erhebliche rechtliche Konsequenzen nach sich ziehen, so hat die französische Datenschutzbehörde CNIL eine Strafe wegen der Verwendung von „Dark Patterns“ von EUR 10 Mio. gegen Yahoo verhängt (SAN-2023-024).
Wenngleich die Leitlinien des Europäischen Datenschutzausschusses speziell für Social Media-Plattformen verfasst wurden, empfehlen wir, auch bei der Entwicklung von Websites und Apps die aufgezählten Deceptive Design Patterns zu vermeiden und die Empfehlungen des Datenschutzausschusses umzusetzen.