Dark Patterns nach TTDSG

Wie Dark Patterns Nutzer im Web manipulieren: Erfahren Sie mehr über die Fehler und wie das TTDSG dagegen vorgeht.

Wir verwenden Cookies, um Ihre Erfahrungen auf unserer Website zu verbessern und um Ihnen personalisierte Werbung anzuzeigen.

So lautet der Standard-Text in Cookie Bannern auf unzähligen Websites. Cookie Banner sollen bzw. müssen laut EU-Vorgaben BesucherInnen die Möglichkeit geben, dem Einsatz von Tracking-Cookies zuzustimmen oder abzulehnen. Wie eine Untersuchung internationaler Forschenden zeigt, entsprechen nur 12% von 10.000 untersuchten britischen Websites den vom europäischen Gesetzgeber aufgestellten Minimalanforderungen.

Wie wir täglich im Netz manipuliert werden:

Doch VerbraucherschützerInnen sehen die Gefahr nicht nur bei den Daten. Wer sich heutzutage als Konsument durchs Internet klickt, muss ganz schön achtsam sein. Immer wieder aufpoppende Banner, versteckte Werbung, Kleingedrucktes, Klicklabyrinths und viele weitere Methoden sollen NutzerInnen zu bestimmten Handlungen bewegen. So kann es passieren, dass man auf einmal einen Vertrag abgeschlossen hat, ohne es zu merken oder einem Cookie zugestimmt hat, den man eigentlich ablehnen wollte. Bei diesen Methoden sprechen ExpertInnen von sogenannten Dark Patterns.

Was sind Dark Patterns?

Das Dark Pattern Detection Project (dapde) definiert Dark Patterns folgendermaßen:

Bei Dark Patterns handelt es sich um Designmuster, die Nutzer:innen zu einem bestimmten Verhalten verleiten, das ihren Interessen widerspricht, und dabei die Gestaltungsmacht einseitig im Interesse ihrer Verwender:innen ausnutzt.

Wer oder was ist DAPDE?

Dapde ist ein Verbundprojekt der informatischen Fakultät der Universität Heidelberg und dem Deutschen Forschungsinstitut für öffentliche Verwaltung in Speyer. Ziel des Projekts ist es, Dark Patterns in Online-Interaktionen zu erkennen, sodass NutzerInnen frühzeitig vor Gefahren gewarnt werden können. Doch auch dieses Projekt birgt aus rechtlicher und regulatorischer Sicht einige Herausforderungen. Soll eine Dark-Pattern-Detection-App personalisierte Reaktionen erzeugen, muss diese aus datenschutz- und diskriminierungs- oder wettbewerbsrechtlicher Sicht erforscht und optimiert werden.

Welche Arten der Manipulation durch Dark Pattern gibt es?

Es werden verschiedene Arten der Manipulation unterschieden:

Druck (sozialer Druck, Nagging, Zeitdruck, angebliche Verknappung von Gütern etc.)
Operativer Zwang (Ohne diese Handlung kann die nächste Handlung nicht vorgenommen werden)
Hindernisse (Click Fatigue, Vorauswahl, versteckte Information u.v.m.)
Erschleichen (z.B. zusätzliche Artikel im Warenkorb)
Irreführung (Grafische Manipulation von Buttons, versteckte Werbung etc.)

Im Fall von Cookie Bannern werden vor allem die Methoden „Hindernisse“ und „Irreführung“ angewandt. So werden Buttons, Aufbau und Beschriftung gezielt so gewählt, dass die Website-BesucherInnen mit hoher Wahrscheinlichkeit eine datenschutzunfreundliche Auswahl treffen – und damit gegen ihre eigenen Interessen handeln.

Statistiken zu Dark Patterns

Diese Methoden zeigen, wie zu erwarten, ihre Erfolge: wird die Option zur Ablehnung einzelner Cookies erst angezeigt, wenn der Nutzer zuvor einen bestimmten Button oder Link anklicken muss, erhöht sich laut den WissenschaftlerInnen die Zustimmungsrate um 22 bis 23 Prozent. Erhalten BesucherInnen jedoch direkt granulare Einstellungsmöglichkeiten für die jeweils eingesetzten Cookies, dann sinkt die Zustimmungsrate um acht bis 20 Prozentpunkte.

In dem folgenden Diagramm sehen Sie, welche Buttons typischerweise auf Cookie Bannern zu finden sind.

Quelle: Dapde

Gesetzeslage zu Dark Patterns:

Auszug aus ZfDR (Zeitschrift für Digitalisierung und Recht):

"Einwilligungen bedürfen einer „unmissverständlich abgegebene[n] Willensbekundung […] oder […] sonstigen […] bestätigenden Handlung“ (Art. 4 Nr. 11 iVm Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO). Zu diesem Gebot stehen jedenfalls Opt-out-Gestaltungen, mithin Preselection-Patterns, im Widerspruch (Erwgr. 32 S. 3 DSGVO). Ein Anbieter darf bspw. in der Eingabemaske für ein Online-Gewinnspiel nicht standardmäßig davon ausgehen, dass die Teilnehmenden Werbe-Cookies zustimmen. Zweifel an einer eindeutig bestätigenden Handlung können auch Trick Question und Misdirection-Patterns auslösen, die kontraintuitiv zu ihrer tatsächlichen Funktionalität gestaltet sind. […] Erklärungen, die ein Anbieter durch starke Täuschung oder Drohung mit erheblichen negativen Wirkungen erreicht, sind nicht von der Autonomie des Einwilligenden getragen und deshalb unfreiwillig.

Einzelfälle verboten

Bestimmte Vorkommen von Dark Patterns sind bereits laut geltendem Recht verboten. So wissen wir spätestens seit dem Planet-49 Urteil durch den EuGH, dass verhaltenssteuernde Lenkung, etwa vorausgewählte Kästchen oder Verzerrung von Informationen bußgeldbewährt sind. Dabei handelt es sich jedoch lediglich um Einzelformen von Dark Patterns.

Dark Pattern Beispiele

Dies sind Beispiele von Dark Pattern, die wir häufig auf Websites finden.

Das erste Beispiel, zeigt, was seit dem Planet 49 Urteil eindeutig
nicht erlaubt ist. Nämlich, dass die einzelnen Kästchen im Cookie Banner bereits angehakt sind. Das bedeutet, dass NutzerInnen viele Klicks machen müssen, um die Voreinstellungen zu ändern. Sie müssen also ein Opt-Out tätigen anstatt das vorgesehene Opt-In, welches die einzige Variante ist, die eine freiwillige Zustimmung widerspiegelt.

Das zweite ist ein klassisches Beispiel für ein manipulatives Design. Der Akzeptieren Button soll geklickt werden. Deshalb ist er in Größe und Farbe hervorgehoben. Während der Ablehnen Button kaum sichtbar und nicht selten gar nicht erst vorhanden ist.

TTDSG

Der im Mai vom Bundestag verabschiedete Entwurf des Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) hat das Ziel, die Datenschutzvorgaben für Telemedien- und Telekommunikationsdienste zu konsolidieren sowie an das geltende europäische Recht anzugleichen. Durch das neue Gesetz sollen in Zukunft die durch die Co-Existenz von DSGVO, TMG und TKG entstehenden Rechtsunsicherheiten vermieden werden.

Um VerbraucherInnen besser zu schützen, soll das neue Gesetz (TTDSG) zum 01.12. in Kraft treten. In einer Stellungnahme bezüglich des Entwurfes für das TTDSG, hob der Ausschuss für Wirtschaft und Energie die Problematik der Dark Patterns besonders hervor:

Zuletzt verzichtet der Entwurf auch auf Regelungen, die das Problem von Dark Patterns adressieren. Durch missbräuchliches Design von Einwilligungserklärungen werden Nutzende zur Abgabe einer Erklärung motiviert, die Zweifel an der Wirksamkeit der Einwilligung aufkommen lassen, sei es durch täuschende, unnötig komplizierte oder nicht barrierefreie Gestaltung.

Auch die ZfDR fordert eine klarere Abgrenzung unzulässiger Gestaltungsformen:

Immerhin liefert Art. 25 Abs. 1 DSGVO das grundsätzliche normative Rüstzeug dafür, Designgestaltungsformen zu erfassen, die den Datenschutzgrundsätzen widersprechen. Dieses gilt es zu nutzen und Standards herauszuarbeiten bzw. anhand von Fallbeispielen die Schwelle zu definieren, ab der Verwender missbräuchlich vorgehen, also einseitig ihre Gestaltungsmacht über Oberflächen ausnutzen.

Mögliche Lösung: PIMS - Personal Information Management Services

Ein Vorschlag des Ausschusses für Wirtschaft und Energie ist jedoch erfolgreich in den Gesetzentwurf übernommen worden. So soll es zukünftig offizielle und finanziell unabhängige Dienste von Treuhändern geben, die InternetnutzerInnen mehr Kontrolle über ihre personenbezogenen Daten geben. Die Idee hinter den PIMS ist, dass NutzerInnen auf Dashboards Datenschutzeinstellungen vornehmen, die von den Diensteanbietern übernommen werden müssen. Dies soll verhindern, dass NutzerInnen ständig Cookie Banner wegklicken müssen und von den Dark Patterns zur Einwilligung der Verarbeitung ihrer personenbezogenen Daten gedrängt werden.

Was kann die E-Privacy Verordnung gegen Dark Patterns tun?

In diesem YouTube Video diskutieren Dapde-Forschungsreferent Christian Drews mit Maryant Fernandez (BEUC), Cristiana Santos (Utrecht University) und Peter Eberl (Europäische Kommission) über die neue ePrivacy Verordnung und wie sie Dark Patterns im Bereich Cookie-Consent effektiv limitieren kann/ sollte:

Fazit und Aussicht

Auch nach dem neuen Gesetzesentwurf des TTDSG bleiben einige Rechtsunsicherheiten bestehen, die es Website- und Onlineshop-BetreiberInnen möglich machen, die Grauzonen zu ihrem Vorteil auszunutzen. Mit den PIMS könnte jedoch ein wichtiger Schritt in die Selbstbestimmung persönlicher Daten gemacht sein. Es ist außerdem zu erwarten, dass Initiativen wie die im vorherigen Beitrag erwähnten NOYB dafür Sorgen tragen werden, dass immer mehr Dark Patterns durch neue Rechtssprechungen verboten werden und Wort wörtlich von der Bildfläche verschwinden.

Jörg ter Beek

Datenschutzexperte & DSB

Cookie Banner richtig konfigurieren

Mangelhafe Cookie Banner sind die Regel – nicht die Ausnahme. Wir unterstützen Sie bei der richtigen Konfiguration.

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.