Ein großer grüner Button auf der Website, und schon ist die Einwilligung erteilt. Noch schnell das nicht mehr gewünschte Abonnement kündigen, um dann festzustellen, dass man den Dienst lediglich pausiert hat. Auf diese oder ähnliche Weise verleiten uns manipulative Darstellungen dazu, Dinge zu tun, die wir nicht beabsichtigt haben. Grafische Gestaltungen, Farbwahl, Anordnung, Größe und Führung auf Websites sind nur zum Teil Ausdruck von ästhetischer Darstellung. In vielen Fällen werden die Wahrnehmungsfähigkeiten des Menschen gezielt dazu benützt, um dessen Entscheidungen zu beeinflussen. Dann nennt man sie "Dark Patterns".

Besonders das Datenschutzrecht ist davon betroffen, beruht das europäische Datenschutzregime doch zu einem guten Teil auf Aufklärung und Zustimmung des oder der Betroffenen. Freilich bewegen sich viele Dark Patterns in einer rechtlichen Grauzone. Die Einordnung als unzulässige Gestaltung nach der Datenschutz-Grundverordnung (DSGVO) ist nicht immer ganz einfach. Zunehmend gerät diese Art der (bewussten oder unbewussten) Manipulation der Entscheidungen von Betroffenen jedoch in den Fokus der datenschutzrechtlichen Überlegungen. So hat der Europäische Datenschutzausschuss (EDSA) im März 2022 einen Leitfaden veröffentlicht, der Designerinnen und Designern von Social-Media-Plattformen praktische Empfehlungen zur Erkennung und Vermeidung von Dark Patterns gibt, um Social-Media-Plattformen im Einklang mit der DSGVO zu gestalten. Aber auch die EU im Rahmen des Digital Services Act und zuletzt auch die österreichische Datenschutzbehörde (DSB) mit ihren FAQs zu Cookies und Datenschutz befassen sich mit Dark Patterns.

Dark Patterns auf Cookie-Bannern

Häufig begegnen uns Dark Patterns im Zusammenhang mit Cookie-Bannern. Diese sind mittels Farbwahl, Positionierung der Buttons sowie durch Sprachwahl so gestaltet, dass möglichst viele Besucherinnen und Besucher der Website in die Verarbeitung ihrer persönlichen Daten einwilligen. Sei es, dass die Auswahl von Cookies über viele Klicks als mühsam empfunden wird oder eine leichte Ablehnung von technisch nicht notwendigen Cookies nur durch konzentriertes Durchsuchen des Banners möglich ist.

Erst kürzlich hat die österreichische Datenschutzbehörde in ihren FAQs zu Cookies und Datenschutz öffentlich klargestellt, dass Dark Patterns in Cookie-Bannern datenschutzrechtliche Auswirkungen haben können. So dürfen Websitebesucher weder unmittelbar noch subtil durch unfaire Praktiken zur Abgabe einer Einwilligung gedrängt werden (Verbot des "Nudging"). Wenn die Gestaltung eines Cookie-Banners dazu führt, dass eine Person bei ihrer Entscheidung keine gleichwertigen Auswahlmöglichkeiten hat, kann nicht von einer gültigen Zustimmungserklärung ausgegangen werden.

Dark Patterns auf Social-Media-Plattformen

Oft ist es eine Herausforderung, einen Dienst oder einen Social-Media-Account zu löschen. Nicht selten muss man sich durch ein Labyrinth von Löschbestätigungen klicken, während man an alle Vorteile erinnert wird, die man durch die Löschung aufgibt. Eine vorübergehende Deaktivierung anstelle einer Löschung ist ebenfalls ein gängiger Trick, um den Nutzer oder die Nutzerin und vor allem seine Daten nicht zu verlieren. Der Erfolg dieser Arten von Dark Patterns spricht für sich. Abwanderungsraten werden dadurch erheblich gesenkt.

Auch dieser Umstand wurde im Frühjahr von der EDSA in einer neuen Datenschutzleitlinie aufgegriffen. Anhand des "Lebenszyklus" eines Social-Media-Accounts, von der Registrierung eines Kontos bis zu seiner Beendigung, werden Beispiele für verschiedene Dark Patterns und die entsprechenden potenziellen Verstöße gegen die DSGVO erläutert. Der EDSA-Leitfaden geht das Problem der Dark Patterns auf praktische Weise an und stellt somit einen wichtigen Anhaltspunkt dafür dar, was sie als unzulässige Gestaltung sieht.

Dark Patterns auf Online-Plattformen

Auch im Digital Services Act (DSA), auf den sich die EU-Institutionen im April geeinigt haben, werden Dark Patterns thematisiert. Im Zusammenhang mit der Verpflichtung der Plattformen, ihre Benutzeroberflächen nicht in einer Art und Weise zu gestalten, die Nutzerinnen und Nutzer eines Dienstes täuscht, manipuliert, beeinflusst oder ihre Wahlmöglichkeiten durch die Struktur und Gestaltung beeinträchtigt, werden in Erwägungsgrund 51b des DSA insbesondere Dark Patterns genannt und erläutert. Dazu gehört unter anderem, dass die Verfahren zur Beendigung eines Dienstes nicht wesentlich aufwendiger sein dürfen als die Anmeldung.

Dark Patterns sind nicht auf soziale Medien, Online-Plattformen und Cookie-Banner beschränkt, sondern werden auf unzähligen Websites und Apps verwendet. Die aktuellen Schritte zeigen, dass das Problem der Dark Patterns insbesondere auch im datenschutzrechtlichen Zusammenhang erhöhte Aufmerksamkeit gewinnt. Damit steigt auch das Risiko für einen Verstoß gegen das Datenschutzrecht durch die grafische Gestaltung des eigenen Onlineauftritts. In vielen Fällen ist die Abgrenzung zwischen zulässiger werblicher Gestaltung und unzulässigem Dark Pattern zudem schwierig. Dark Patterns – ein Aspekt der nicht unterschätzt werden sollte. (Ivo Rungg, Florian Defrancesco, 6.8.2022)