Wann sind Webdesigns manipulativ?

Beitrag verfasst von Dr. Rainer Knyrim und Fabian Jelicic – KTR-Newsletter November 2024

Manipulative Webdesigns sind aus unternehmerischer und aus juristischer Sicht ein spannendes und heikles Thema. Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien zu den sogenannten „Deceptive Design Patterns“ speziell auf Social Media-Plattformen überarbeitet und neu veröffentlicht (Guidelines 03/2022).

Die auch als „irreführenden Designs“ bekannten Manipulationstechniken zielen durch den Einsatz psychologischer Tricks darauf ab, Nutzer:innen von Apps oder Websites im Bereich der Benutzeroberfläche zu bestimmten Verhaltensweisen zu verleiten, die meist zugunsten der jeweiligen Plattformbetreiber sind, dies insbesondere in Bezug auf die Verarbeitung personenbezogener Daten. Die Leitlinien richten sich primär an Anbieter sozialer Medien und geben konkrete Empfehlungen für ein datenschutzkonformes Design von Benutzeroberflächen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat zu diesen Leitlinien kürzlich sehr ausführliche und praxisnahe FAQ veröffentlicht (FAQ zu Deceptive Design Patterns).

Grundsätzlich lassen sich Deceptive Design Patterns in sechs Kategorien einteilen. So beschreibt „Overloading“ Situationen, in denen Nutzer:innen mit einer Fülle von Informationen oder Optionen konfrontiert werden, was dazu führen kann, dass sie unbeabsichtigt mehr Daten preisgeben oder einer Datenverarbeitung zustimmen, die sie sonst abgelehnt hätten. Ein Beispiel hierfür ist das „Privacy Maze“, welches es erschwert, Datenschutzeinstellungen zu finden, weil sie hinter vielen Websiteschichten und auf verschiedenen Seiten verteilt sind.

Im Fall von „Skipping“ werden Benutzeroberflächen so gestaltet, dass Nutzer:innen Datenschutzaspekte übersehen oder vergessen. Dies kann etwa durch „Deceptive Snugness“ geschehen, bei dem die datenschutzfeindlichsten Einstellungen bereits vorausgewählt sind.

Stirring“ nutzt Appelle oder visuelle Reize, um Entscheidungen zu beeinflussen, beispielsweise durch „Emotional Steering“, bei dem Wortwahl oder Bilder eingesetzt werden, um bestimmte Gefühle hervorzurufen und einen Steuerungseffekt auf das Verhalten der Nutzer:innen auszuüben.

Bei „Obstructing“ werden Hindernisse geschaffen, die es Nutzer:innen erschweren, Datenschutzeinstellungen zu ändern oder ihre Daten zu verwalten. Dies kann durch komplizierte Prozesse oder technische Barrieren geschehen. Hiervon erfasst sind bestimmte Aktionen die ins Leere führen, etwa wenn Links zu Datenschutzeinstellungen ins Nichts führen und Fehlermeldungen erzeugen (Dead End) oder wenn der Prozess zum Ändern von Einstellungen sowie zum Widerruf einer Einwilligung im Vergleich zur Erteilung der Einwilligung zu lang ist (Longer than necessary).

Fickle“ bezieht sich auf inkonsistente oder verwirrende Benutzeroberflächen, die es schwierig machen, sich zurechtzufinden. Dies kann durch wechselnde Terminologie, unterschiedliche Designs oder unklare Strukturen geschehen.

Im Rahmen von „Left in the Dark“ werden essenzielle Informationen verborgen oder so unklar dargestellt – insbesondere durch widersprüchliche Informationen und mehrdeutige Formulierungen –, dass Nutzer:innen nicht wissen, wie ihre Daten verarbeitet werden oder welche Rechte sie haben.

Der Einsatz von Deceptive Design Patterns kann gegen mehrere Grundsätze der DSGVO verstoßen, insbesondere gegen die Prinzipien der Fairness, Transparenz und Datenminimierung. So können diese Patterns die Freiwilligkeit und Informiertheit der Einwilligung gemäß Art 4 Z 11 iVm Art 7 DSGVO beeinträchtigen. Zudem können vage Formulierungen und fehlende Informationen gegen die Informationspflichten nach Art 12 ff DSGVO verstoßen.

Die Leitlinien enthalten zahlreiche Best-Practice-Empfehlungen, um Deceptive Design Patterns zu vermeiden. Dazu gehört die Bereitstellung von Shortcuts, die direkten Zugang zu relevanten Informationen ermöglichen. Einstellungen mit gleichem Verarbeitungszweck sollten gebündelt, aber dennoch individuell anpassbar sein. Kontaktinformationen und die Erreichbarkeit der zuständigen Aufsichtsbehörde sollten klar und an erwarteten Stellen wie z.B. in der Datenschutzerklärung aufgeführt sein.

Der EDSA empfiehlt weiters, die Datenschutzerklärung übersichtlich zu gestalten, etwa durch ein Inhaltsverzeichnis. Generell erleichtern einheitliche Formulierungen und die Erklärung technischer Begriffe das Verständnis. Datenschutzrechtlich relevante Elemente sollten optisch hervorgehoben werden und ein Datenschutz-Onboarding nach Eröffnung eines Accounts kann Nutzer:innen helfen, von Anfang an ihre Präferenzen festzulegen. Standardmäßig sollten jedoch die datenschutzfreundlichsten Optionen aktiviert sein. Kontextbezogene Informationen, selbsterklärende URLs und ein Formular für die Ausübung von Betroffenenrechten tragen ebenfalls dazu bei, eine DSGVO-konforme Plattform zu betreiben. Deceptive Design Patterns können erhebliche rechtliche Konsequenzen nach sich ziehen, so hat die französische Datenschutzbehörde CNIL eine Strafe wegen der Verwendung von „Dark Patterns“ von EUR 10 Mio. gegen Yahoo verhängt (SAN-2023-024).

Wenngleich die Leitlinien des Europäischen Datenschutzausschusses speziell für Social Media-Plattformen verfasst wurden, empfehlen wir, auch bei der Entwicklung von Websites und Apps die aufgezählten Deceptive Design Patterns zu vermeiden und die Empfehlungen des Datenschutzausschusses umzusetzen.

Artikel drucken

Beiträge

Newsletter November 2024

Erste Pflichten und Verbote aus dem AI Act

Der AI Act wird bis August 2026 in drei Phasen anwendbar. Bereits ab Februar 2025 müssen Anbieter und Betreiber sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt und dass keine verbotenen KI-Anwendungen zum Einsatz kommen. Was genau ist hier notwendig?

KI und Datenschutz – Infos und Tipps von DSB und DSK

Unternehmen müssen sicherstellen, dass sie KI-Anwendungen datenschutzkonform betreiben und sollten klare interne Richtlinien zur Nutzung implementieren. Wir haben uns dazu die FAQ der österreichischen Datenschutzbehörde und die Orientierungshilfe der Deutschen Datenschutzkonferenz angesehen.

10 Jahre „Datenschutz konkret“

Mit einem „Datenschutz-Heurigen“ wurde das 10-jährige Bestehen der Zeitschrift „Datenschutz konkret“ gefeiert.

Wann sind Webdesigns manipulativ?

Manipulative Webdesigns, auch „Deceptive Design Patterns“ genannt, nutzen psychologische Tricks, um Nutzer:innen zu bestimmten Verhaltensweisen zu verleiten, oft zu deren Nachteil. Der EDSA hat dazu Leitlinien für Social Media-Plattformen veröffentlicht. Die Empfehlungen für datenschutzkonformes Design sind auch für Websites und Apps relevant.

Das kann der EDSA-Datenschutz-Leitfaden für KMU (nicht)

Der Leitfaden des EDSA für kleine Unternehmen, seit Sommer 2024 auf Deutsch verfügbar, bietet grundlegende Informationen zu Datenschutzpflichten. Er erklärt etwa die Betroffenenrechte und Datenschutzverletzungen, ist jedoch in mehreren Bereichen zu oberflächlich.

200 Vorträge zum Datenschutz!

Dr. Rainer Knyrim wurde auf der PriSec 2024 für über 200 Vorträge und 9 Jahre Engagement als fachlicher Leiter mit einem einzigartigen „Pokal“ geehrt.

Schlechte IT-Sicherheit kann teuer werden! Stadt Baden muss für Datenleck Schadenersatz zahlen

Das OLG Wien bestätigte die Verurteilung der Stadt Baden wegen eines Datenlecks im März 2022. Auch ohne nachweisbaren Missbrauch wurde einem betroffenen Bürger Schadenersatz zugesprochen. Die finanziellen Risiken von Datenschutzverletzungen können bei einer hohen Zahl von Geschädigten erheblich werden.

Publikationen unserer Kanzlei

Das Knyrim Trieb Rechtsanwälte Team war wie immer aktiv und hat in den letzten Monaten u.a. zu NIS-2, Medienprivileg, Datenzugangsansprüchen und Restschuldbefreiung publiziert. Für den „DatKomm“ gab es ein 361 Seiten-Upgrade und Dr. Rainer Knyrim hat sich nebenbei noch mit dem Data Act befasst.