Wenn Design fehlschlägt – Wie Dark Patterns mit der DSGVO und CCPA in Konflikt stehen

,

Geschrieben von Karolina Matuszewska, Sebastian Synowiec

Veröffentlicht April 29, 2021

Das Design von Websites und Apps führt Nutzer häufig durch die Informationslandschaft und navigiert sie auf einfache Weise durch diese Inhalte. Das allbekannte “X”-Symbol dient zum Schließen von Dokumenten und Programmen. Die rote Farbe, die das „X“ umschließt, ist ein Warnsignal, das auf sich aufmerksam macht. Website-Designer nutzen gewisse Muster, die das Unterbewusstsein der Website-Besucher ansprechen und direkte Handlungen andeuten und somit die Verwendung von Websites und Software vereinfachen. Aber was, wenn jemand unterbewusste Reize anwendet, um Besucher dazu zu bringen, etwas zu tun, was Sie sonst vielleicht nicht tun würden? Sie klicken auf Ja statt auf Nein, weil die Schaltfläche “Ja” auf dem Banner stärker hervorgehoben wurde. Oder Sie klicken auf Weiter anstatt auf Nein, da Sie sonst mehrere Seiten durchsuchen müssten, bevor Sie den Inhalt erreichen, der Sie interessiert. Kurz gesagt, das sind Dark Design Patterns.Was wäre, wenn dieses “Ja” bedeutet, dass Sie der Weitergabe personenbezogener Daten zustimmen? Häufig verwenden Verlage und Marken Dark Patterns, um User dazu zu bringen, Daten auf Kosten des Datenschutzes weiterzugeben.  Die Verbreitung von Dark Patterns über Web- und mobile Schnittstellen ist für den Gesetzgeber zu einem Problem geworden. Die Vorschriften befassen sich direkt mit dem Problem. Sowohl der California Consumer Privacy Act (CCPA) als auch die Datenschutz-Grundverordnung (DSGVO) schaffen rechtliche Ecken und Kanten, an denen unethische Dark Patterns anstoßen.

Was sind Dark Patterns?

Der Vater des Begriffs “Dark Patterns” ist Harry Brignull, ein in Großbritannien ansässiger User Experience-Forscher. Im Jahr 2010 enthüllte der E-Commerce-Boom fragwürdige Praktiken, bei denen ein Design angewendet wurde, um Käufer zu täuschen oder zu manipulieren.Bringnull bemerkte den Trend, “eine Benutzeroberfläche anzuwenden, die sorgfältig ausgearbeitet wurde, um User dazu zu verleiten, Dinge zu tun, wie zum Beispiel Versicherung beim Kauf abzuschließen oder sich für wiederkehrende Rechnungen anzumelden”. Die Mechanismen hinter den Dark Patterns sind nicht neu. Sie stützen sich auf unethische und oft illegale Geschäftspraktiken, die seit Jahrzehnten angewendet werden.Dark Patterns nehmen verschiedene Formen an und sind mehr als nur irreführende Bilder. Der Begriff bezieht sich auf beispielsweise eine Website oder App, die:

  • verwirrende Sprache, z. B. doppelte Negationen, verwendet
  • den vollen Preis eines Produkts oder einer Dienstleistung versteckt
  • wichtige Informationen auslässt oder herunterspielt

Viele Datenschutzforscher und Verbraucherschützer weisen auf die Verbreitung dieser Dark Patterns hin. Eine internationale Studie aus dem Jahr 2019 ergab, dass von 5.000 analysierten Datenschutzmitteilungen verschiedener, europäischer Unternehmen 54 % Dark Patterns verwenden und 95,8 % keine Wahl bezüglich der Einwilligung geben oder nur eine Ankündigung abgeben, dass Daten gesammelt werden.Obwohl Dark Patterns keine allgemein akzeptierte Definition haben, haben sie dennoch, sogar aus rechtlicher Sicht, ihren Platz in den Datenschutzgesetzen gefunden. Der CCPA bezeichnet sie als „Benutzeroberfläche, die so entworfen oder manipuliert wurden, dass die Autonomie, Entscheidungsfindung oder Auswahl der Nutzer untergraben oder beeinträchtigt wird“. Wir werden später in diesem Artikel auf die rechtliche Seite des Problems zurückkommen.

Warum Dark Patterns so mächtig sind

Dark Patterns beruhen auf menschlicher Psychologie und spielen mit kognitiven Verzerrungen, deren wir uns nicht bewusst sind. Kognitive Vorurteile sind in der Verhaltenspsychologie ein menschlicher „Fehler“ oder eine „Schwäche“, die Menschen dazu veranlasst, irrationale Entscheidungen zu treffen. Wie die Commission Nationale de l’Informatique et des Libertés (CNIL), eine französische Datenschutzbehörde, in ihrem Bericht Gestaltung der Entscheidungen in der digitalen Welt hervorhebt:„Techniken, die mit unserer Aufmerksamkeitsspanne und unseren kognitiven Vorurteilen spielen, um manipulative und/oder irreführende Interfaces zu erstellen, haben Einfluss auf unsere Fähigkeit unsere Rechte aufrechtzuerhalten. Wir werden dermaßen beeinflusst und geschult mehr und mehr Informationen preiszugeben, ohne dabei zu merken, dass wir letzten Endes unsere Rechte und Freiheiten aufgeben.”Einige Unternehmen nutzen diese kognitiven Vorurteile aus und wenden hinterhältige Designpraktiken an, um deren Umsatz zu steigern und mehr Userdaten zu erhalten. Dies passiert wenn User:

  • auf die Schaltflächen “Akzeptieren” und “Zustimmen” klicken, um störende Banner zu entfernen
  • sich für unerwünschte Newsletter-Abonnements anmelden, nur um zu einem Service zu gelangen

Die Art und Weise, wie diese Designtechniken User beeinflussen, variiert, was es auch schwierig macht, sie zu erkennen. Zum Beispiel kann eine App-Schnittstelle erfordern, dass User Kontakte, Standort- oder Facebook-Kontoinformationen teilen, damit alles funktioniert, während es ohne diese Daten tatsächlich einwandfrei funktionieren könnte. Oder eine Suchmaschine könnte datenhungrige Standardeinstellungen verwenden, bei denen der Anbieter auf Kosten eines Users profitiert. Der User wird diese Einstellungen wahrscheinlich nie überprüfen oder ändern.

Kategorien von Dark Patterns

Zahlreiche Verbraucherorganisationen und Datenschutzspezialisten erforschen intensiv die Verwendung von Dark Patterns. Auf diese Weise erhöhten sie unsere Wahrnehmung auf die verschiedenen Formen der unsauberen Muster. Einer der bekanntesten Berichte auf diesem Gebiet lautet “Vom Design getäuscht”, erstellt von Forbrukerrådet, einem norwegischen Verbraucherrat. Hier sind die fünf Kategorien, die sie identifiziert haben.

1. Standardeinstellungen

Service Provider erstellen ihre digitalen Produkte normalerweise mit Optionen für den Datenschutz. Die Standardeinstellungen bleiben jedoch fast immer unberührtes Gebiet. Untersuchungen zeigen, dass 95 % der User die Grundeinstellungen nicht ändern.Das auffälligste Beispiel dafür, wie mächtig die Standardeinstellung sein kann, sind Studien zur Organspende. Es gibt zwei allgemeine Arten von öffentlichen Richtlinien für das Sammeln von Einwilligungen:

  • Vermutete Einwilligung, bei der Personen standardmäßig einer Spende zustimmen
  • Explizites Opt-in, bei der Personen ein zusätzliches Kontrollkästchen aktivieren, um Spender zu werden.

Die Macht dieser Standardeinstellungen kann negativ genutzt werden. Viele digitale Dienstleister nutzen dies und konfigurieren Einstellungen, um so viele Userdaten wie möglich zu erfassen. Diese Daten werden dann häufig an Dritte weitergegeben.In solchen Fällen sind die Einstellungen häufig versteckt. Wenn eine Option angezeigt wird, diese zu ändern, ist die Schaltfläche “Akzeptieren” hervorgehoben, sodass die User zum Dienst weitergeleitet werden, ohne die Details dessen zu überprüfen, was sie akzeptieren.

2. Leichtigkeit – wie einfach es ist, eine Wahl zu treffen

Es gibt zahlreiche Methoden, um User zu einer bestimmten Aktion zu verleiten, wodurch eine echte Entscheidung schwierig oder unmöglich ist, z. B.:

  • Die Einwilligung zur Datensammlung von Usern mittels Datenschutzrichtlinien oder Nutzungsbedingungen erzwingen, bevor der Service oder das Produkt genutzt werden können.
  • Gewisse Buttons und Optionen sichtbarer oder ansprechender zu machen als andere.

Die obere Abbildung ist ein klassisches Beispiel dafür, wie man sowohl die Auswahl einschränkt als auch eine Option attraktiver macht. User wissen nicht, was sie von einer Schaltfläche wie “Einstellungen konfigurieren” erwarten können, was sie vom Klicken abhalten könnte. Sie wissen nicht, ob sich hinter der Schaltfläche wichtige Konfigurationen zu ihren Präferenzen befinden und sie wichtige Entscheidungen treffen könnten. Die Schaltfläche “Ich akzeptiere” ist optisch attraktiver und ermöglicht ihnen auch den schnellen Zugriff auf die Website.

3. Framing – positives vs. negatives Wording

Wenn Sie die Motivationen der User erraten oder kennen, präsentieren Sie eine Auswahl auf manipulative Weise. Sie nutzen jene Sprache und gestalten ein Gerüst, dass sich an den Motivationen des Users ausrichtet und gleichzeitig wichtige Fakten weglässt. Nehmen Sie zum Beispiel die Einführung der Gesichtserkennungsfunktion von Facebook. Viele Nutzer und Datenschutzbehörden waren alarmiert. Aufgrund ihrer Proteste hat Facebook diese Funktion für EU-Bürger ausgeschaltet. Später veröffentlichte Facebook sie mit DSGVO-Popups, um die User davon zu überzeugen, dass diese Technologie dazu dient, sie vor Böswilligen zu schützen und Sehbehinderten zu helfen.

Diese Taktik spielt auch mit der Angst und Schuld der User. Die Aussagen mögen sogar wahr sein, bringen aber nicht die komplette Wahrheit ans Licht, wie die Technologie eingesetzt wird.Indem das Negative beschönigt wird, wendet es die Aufmerksamkeit der User von ernsteren Problemen ab, wie zum Beispiel der Monetarisierung persönlicher Daten der User ohne ausdrücklicher Einwilligung.

4. Belohnung und Bestrafung

Es ist möglich, die User mit möglichen Belohnungen zur gewollten Entscheidung zu lenken. Dies ist auch eine der häufigsten Überzeugungstechniken. Die Belohnung könnte eine zusätzliche Funktion, ein Rabatt oder eine kostenlose Lieferung sein. Das Gegenteil kann ebenfalls wirksam sein. Beispielsweise versuchen einige Online-Services, durch eine „Bestrafung“ Bedingungen aufzuerlegen. Ein Beispiel davon sind bekannte Cookie-Walls, bei denen User die Website nicht betreten können, ohne Tracking-Cookies zu akzeptieren. Diese Take-It-Or-Leave-It-Wahl hat jedoch wenig mit der freien, informierten Entscheidung zu tun, die den Usern zur Verfügung stehen sollten.

5. Erzwungene Aktion und Timing

Wenn User dazu genötigt werden, bestimmte Aktionen schnell abzuschließen, oder mit einer zeitlichen Abgrenzung bedrängt werden, treffen User uninformierte Entscheidungen. Durch die Verwendung der Fear of Missing Out können Manipulatoren User zu schlechten oder riskanten Entscheidungen veranlassen, häufig in Bezug auf Datenschutz oder Sicherheit im Web. Eine erzwungene Aktion ist häufig Teil undurchsichtiger Opt-out-Mechanismen, die die Datenerfassung maximieren und User dazu zwingen, ein Produkt oder eine Dienstleistung weiterhin zu verwenden. Um einen vollständigen Satz von Funktionen zu erhalten, müssen User Bedingungen zustimmen, die es Unternehmen ermöglichen, vertrauliche Daten wie Standort und frühere oder aktuelle Gesundheitsprobleme auszutauschen.

Es gibt andere fragwürdige Methoden, um einen User zum Ausführen einer Aktion zu bewegen. Woodrow Hartzog, Professor und Forscher, der sich auf Datenschutz spezialisiert, spricht in einem kürzlich erschienenen Artikel über einen solchen Fall: Project Baseline. Die Plattform für medizinische Forschung zu COVID-19 ermutigt User, sich mit einem vorhandenen Google-Konto anzumelden. Schlimmer noch, der Schöpfer von Project Baseline ist Verily Life Sciences, eine Abteilung von Alphabet. Alphabet ist die Muttergesellschaft von Google. Die meisten Menschen möchten wahrscheinlich keine sensiblen Gesundheitsdaten mit ihrem Google-Konto verknüpfen, aber in diesem Fall werden sie dazu angeregt.

Dark Patterns und der rechtliche Rahmen

Datenschutz-Grundverordnung (DSGVO)

Manipulative Designpraktiken wirken sich häufig auf die Privatsphäre der User aus, was bedeutet, dass sie im Widerspruch zu den Datenschutzgesetzen stehen. Die DSGVO zum Beispiel ist eines der strengsten Gesetze zum Schutz personenbezogener Daten. Dark Patterns widerstreben sich dem genauen Konzept der Einwilligung im Sinne der DSGVO, d. h.: “Jede frei gegebene, spezifische, informierte und eindeutige Angabe der Wünsche einer betroffenen Person, durch die sie oder er durch eine Aussage oder eine klar bestätigende Handlung, signalisiert eine Einwilligung zum Prozessieren persönlicher Daten abzugeben.”User können jedoch häufig nicht frei entscheiden, ob sie zustimmen oder nicht, sondern stoßen auf vorab aktivierte Optionen. Laut dem Bericht “Respektieren Cookie-Banner meine Wahl”, in dem das Design von Cookie-Bannern, “auf einer Untergruppe von 560 Websites (aus Ländern, deren Sprache die Autoren sprechen), analysiert wurde, bieten 236 (47%) Websites den Usern eine vorgewählte Schablone zur Einwilligung der Optionen, während 38 (7%) Websites keine Möglichkeit bieten, die Einwilligung zu verweigern.”Eine andere Studie bestätigte, dass „Dark Patterns und implizite Einwilligung allgegenwärtig sind; Nur 11,8% erfüllen die Mindestanforderungen, die wir auf der Grundlage des europäischen Rechts festgelegt haben.”Der Europäische Gerichtshof und die Regulierungsbehörden betonen ebenfalls die Bedeutung einer frei erteilten Einwilligung. Aus diesem Grund ist eine implizite Einwilligung, z. B. wenn Besucher weiterhin ohne Einwilligung auf einer Website surfen, nicht gültig. Die häufigsten Beispiele für Dark Patterns, die gegen die Einwilligungsregeln verstoßen, sind:

  • Vorausgewählte Optionen
  • Einwilligungserklärungen und Mitteilungen ohne die Option “Alles ablehnen”
  • Es ist mehr Aufwand erforderlich, die Datenverarbeitung abzulehnen, als ihr zuzustimmen (z. B. der User ist gezwungen, mehrere Seiten mit Datenschutzrichtlinien oder Geschäftsbedingungen durchzugehen).

Die DSGVO schlägt außerdem vor, technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass die Datenschutzgrundsätze von Beginn der Produktentwicklung an eingehalten werden.

Warum konforme Design Patterns ein gutes Geschäft sind

Die Welt bewegt sich in Richtung eines stärkeren Schutzes von Verbraucherdaten. Die Einführung von DSGVO und CCPA sowie ähnliche Vorschriften auf der ganzen Welt bestätigen diesen Trend. In einigen Jahren werden Verbraucher hoffentlich Unternehmen im Internet vertrauen. Dies wäre eine große Veränderung gegenüber der aktuellen Situation, in der die meisten von uns so viel Software zum Blockieren von Werbung und Cookies wie möglich installieren. Das Vermeiden von Dark Patterns und die Verwendung vertrauenswürdiger Datenerfassungstechniken ist mehr als nur eine bewährte Methode oder eine nette Sache – es ist ein gutes Geschäft. Alle Daten, die mit weniger als ehrlichen Methoden gesammelt wurden, haben uns zu einem schlechten Punkt geführt, den manche als Subprime Datenkrise bezeichnen. Wenn wir uns von solchen Methoden entfernen, können wir bessere Daten für die Organisationen erhalten, in denen wir arbeiten, und das gesamte Internet-Daten-Ökosystem zu einem wahrheitsgetreueren Ort machen. Datenschutzbehörden erlassen bereits Urteile und verhängten Strafen für die Verwendung von Dark Patterns. Die Vermeidung der Geldstrafen und des Reputationsschadens ist ein weiterer offensichtlicher Vorteil.Darüber hinaus ist es einfacher, Ihre Einwilligung und Do Not Sell-Anfragen zu entwerfen, als es scheint. Hier sind einige praktische Schritte, mit denen Sie sie bewerten und verbessern können:

  • Stellen Sie Opt-in- und Opt-out-Optionen ohne vorab angekreuzte Kästchen bereit
  • Helfen Sie Usern zu verstehen, wie sie ihre Daten- und Erfassungseinstellungen verwalten können
  • Informieren Sie die User über alle Zwecke der Datenerfassung
  • Machen Sie das Opt-out genauso einfach wie das Opt-in
  • Stellen Sie sicher, dass Ihr Anfrageformular:
    1. einfach zu verstehen ist
    2. Prägnant ist
    3. getrennt von anderen Geschäftsbedingungen ist
    4. in einfacher Sprache verfasst ist
  • Lassen Sie User jederzeit ihre Meinung ändern
  • Ermöglichen Sie Usern, freie und informierte Entscheidungen zu treffen (üben Sie keinen Druck aus mit der Art der Wörter oder der Präsentation der Optionen)

Weitere Informationen zum Erhalt einer gültigen Einwilligung gemäß der DSGVO finden Sie in diesen Artikeln:

Beim Vermeiden Dark Patterns geht es um klare Kommunikation und Sprache, die User bereits kennen und verstehen. Rotes X schließt Fenster, grüne Schaltflächen sagen Ja und orangefarbener Text dient als Warnung. Nach unserer Erfahrung sind die besten Unternehmen diejenigen, die ein solides Wertversprechen klar und ehrlich kommunizieren. Wir würden sogar sagen, dass ehrliches Design ohne Dark Patterns ein Wettbewerbsvorteil ist. Wenn Sie Dark Patterns weiter diskutieren und mehr darüber erfahren möchten, wie Sie Ihre Einwilligung auf datenschutzkonforme Weise einholen können, setzen Sie sich mit uns in Verbindung.