Dark Pattern und Nudging bei der Einwilligung

Fachbeitrag

Dark Pattern insbesondere in Form von Nudging sind ein beliebtes Mittel um Besucher:innen von Webseiten zu beeinflussen. Die Ziele dieser Beeinflussung sind sehr unterschiedlich, dürfen jedoch nicht genutzt werden, um den Datenschutz zu unterwandern.

Was sind Dark Pattern und Nudging?

Dark Pattern und Nudging, als Untergruppe hiervon, zielen darauf ab, Wahrnehmungsprozesse von User:innen – regelmäßig auch unrechtmäßig – zu beeinflussen. Das Konzept der Dark Pattern, zu Deutsch auch „Dunkle Muster“, versucht wie der Name es bereits vermuten lässt, bestehende Wahrnehmungs- und oder Verhaltensmuster für eigene Zwecke auszunutzen. Die User-Interface-Design Forschung definiert den Begriff als

„eine Benutzeroberfläche, die sorgfältig ausgearbeitet wurde, um Benutzer auszutricksen, damit sie Dinge tun, die sie sonst möglicherweise nicht tun würden.“

Dark Pattern sind Designelemente, die die Wahrnehmung durch Gestaltung, Gewöhnung und komplizierte Entscheidungspfade beeinflussen. Dark Pattern machen sich zu nutzen, das sprachlichen Inhalte in den Hintergrund rücken und die wahrnehmungssteuernden Aspekte entscheidend wirken.

Nudging als eine Form von Dark Pattern setzt auf die sanfte Beeinflussung von zum Beispiel Webseiten-Besucher:innen, indem Verhalten oder auch Entscheidung leicht „angestupst“ werden sollen. Es handelt sich beim Nudging grundsätzlich nicht um eine Form des Zwanges. Die Handlung oder Entscheidung der User:in soll unbewusst in eine von Dritten gewünschte Richtung gelenkt werden.

Einwilligungen und Nudging

Ein höchst relevanter Zusammenhang zum Datenschutz besteht bei der Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Die Einwilligung hat viele Anwendungsfelder. Besonders häufig beim Betreiben von Webseiten. Regelmäßig steht es im Interesse von Webseiten-Betreiber:innen im Rahmen eines Cookie-Banners oder auch Consent-Tools eine Einwilligung von den Besucher:innen zur Verwendung von einwilligungspflichtigen Technologien zu erhalten. Bei einer ordnungsgemäßen Gestaltung des Banners und einer klaren Ablehn-Funktion besteht seitens der Verantwortlichen die Sorge, dass mehr Besucher:innen ablehnen als zustimmen und somit die Aktivitäten auf der Webseite intransparenter für die Betreiber:innen werden.

Aus diesem Grund werden vermehrt subtile, sanft beeinflussende Designelemente durch die Verantwortlichen eingesetzt, um eine Einwilligung von den User:innen zu erhalten. Ziel ist es durch zum Beispiel farbliche Gestaltung eine unbewusste Beeinflussung der Wahrnehmung zu erreichen, die eine quasi „unüberlegte“ Handlung zu Gunsten einer Einwilligung ermöglicht.

Problematisch kann dieses Vorgehen sein, weil die Grundvoraussetzungen der Einwilligung nicht kompromittiert bzw. unterlaufen werden dürfen. Vor allem die Freiwilligkeit der Einwilligung wird sowohl durch die Rechtsprechung, den EDSA als auch einige Aufsichtsbehörden als kritisch bei Nudging und Dark Pattern eingestuft. Werden durch die clevere Design-Elemente Entscheidungen in einer Art dem Zwang ähnlichen Form vorgenommen, mangelt es an einer freiwilligen Entscheidungsfindung und folglich an einer rechtmäßigen Einwilligung. Denkbar sind Szenarien in denen Ablehn-Schaltflächen versteckt werden, kaum wahrnehmbar abgebildet, verwirrenden oder zu viele Entscheidungsmöglichkeiten angeboten werden. Die Bandbreite der denkbaren Beeinflussungsmöglichkeiten ist weit.

Hinsichtlich dieses Aspekts des gesetzlich normierten Kriteriums der Freiwilligkeit hat die Rechtsprechung bereits umfängliche Ausführungen zur ordnungsgemäßen Einholung der Einwilligung in die Verarbeitung von personenbezogenen Daten gemacht. So stellte das LG Rostock zu den Gestaltungskriterien bei der Einwilligung eines Cookie-Banners fest, dass die optische Darstellung der Banner-Schaltflächen ein zu berücksichtigender Faktor sei. Die Schaltflächen wurden auf Grund der verschiedenen Farbgestaltung als unterschiedlich effektiv und als nicht gleichwertige Einwilligungsmöglichkeiten eingeordnet. Überspitzt man diese Einschätzung des Gerichts, könnte geschlussfolgert werden, dass die konkrete Einwilligung allein durch die Farbgestaltung der Schaltflächen einen Zwang auf die Betroffenen ausübt. Die Einwilligung wäre in diesem Fall nicht mehr freiwillig.

Weitere Anforderungen bei der Einwilligung?

Wann es sich aber um eine unrechtmäßige Beeinflussung handelt, ist relativ unklar. Wie sehr sich Aufsichtsbehörden und Gerichte in die Gestaltung einmischen werden, bleibt abzuwarten. Wieviel Regulierung ist in diesem Bereich überhaupt möglich und nötig? Mit zunehmender Klarheit über die grundsätzlichen Aspekte wie gleichwertige Schaltflächen im ersten Layer des Consent-Tools und deutliche Ablehn-Möglichkeiten, rücken jedoch weitere Feinheiten und Details über die Gestaltung in den Vordergrund. Es ist dennoch ratsam die Wirksamkeit der Einwilligung nicht zu gefährden, nur um prozentual bzw. quantitativ mehr Zustimmung zu erlangen, die dann einer Überprüfung nicht standhalten kann.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

12 Kommentare zu diesem Beitrag

  1. Wir hatten kürzlich unser Banner rechtskonform ohne Nudging umgebaut. Mit der Folge, dass nur noch rund 25% einwilligen. Das war unserem Chef zu wenig – und wir haben es zurückgedreht. Gestern kam eine Abmahnung :-(
    Ihren Artikel habe ich eben weitergeleitet. Danke für die gute Klarstellung!
    Es bleibt die Frage, wie man die Rate dennoch verbessern kann. Gibt es Tipps dazu? Braucht man wirklich immer eine Einwilligung?

    • Nein, es gibt durchaus auch Möglichkeiten eine Website so zu gestalten, dass keine Einwilligung eingeholt werden muss. Knackpunkt ist dabei oft das Nutzertracking. Wenn man dabei auch mit weniger Daten auskommt, kann z.B. auf eine Webanalyse gesetzt werden siehe Webanalyse & Datenschutz: Nutzerstatistiken ohne Einwilligung. Ansonsten kann auch der Personenbezug entfernt werden, kein Zugriff auf das Endgerät der Nutzer vorgenommen werden oder die Einwilligung mit einem Nutzeraccount verknüpft werden, um dabei ohne Cookies und Einwilligung auszukommen. Einige technischen Umsetzungsmöglichkeiten dazu haben wir im Beitrag Cookieless Tracking ohne Einwilligung und Google Analytics vorgestellt.

      • Vielen Dank für die interessanten Verweise, Dr. Datenschutz.

        Bei uns geht es eigentlich nur um Google Analytics. In Ihrem Kommentar bei einem der genannten Artikel sagen Sie: „Mit Google Analytics gibt es keine Lösung, mit der man auf einen Cookie-Consent verzichten könnte.“

        Also ist Google Analytics ohne Einwilligung unmöglich und wir müssen eine andere Alternative suchen, um ohne Einwilligung wieder alle Besucher zu erfassen? Ist das so noch gültig und habe ich das richtig verstanden?

        Toll wäre eine kurze, klare Aussage statt mehr Verweise ;-) Ich bin keine Juristin und muss das alles irgendwie meinem Chef erklären.
        Vielen Dank für Ihre super Hilfe!

  2. Gendersprache, daher nicht weitergelesen. Halten Sie sich bitte an die gültige Rechtschreibung und nicht an irgendwelchen ideologischen Murks (Lesetipp: linguistik-vs-gendern.de) Gerade als Juristin sollten Sie doch an einer präzisen Sprache interessiert sein.

      • Die Quantität der Blog-Artikel steigt während die Qualität rapide sinkt – von der albernen Sprachentgleisung mal ganz abgesehen. Ich bin enttäuscht über die vielen Clickbaits und den mangelnden Tiefgang hier. Schade!

          • Ich vermute „Fachmann“ geht es ähnlich wie mir. Sie verlinken oben Ihren Artikel mit der Überschrift „Cookieless Tracking ohne Einwilligung und Google Analytics“. Am Ende erfährt man dann, dass die Überschrift irreführend ist, da es „ohne Einwilligung“ mit Google gar nicht geht. Sowas heißt heute wohl „Clickbait“ und nicht mehr Irreführung. Aber vielleicht ist das ja inhaltlich auch überholt und Sie haben die Güte, meine Frage (oben) dazu zu beantworten.

            • Ich ahne, woher das Missverständnis kommt. Sie lesen die Überschrift als „Cookieless Tracking und Google Analytics ohne Einwilligung“, jedoch ist die Reihenfolge bewusst gewählt, damit der Sinn ist: „Cookieless Tracking ohne Einwilligung und (ohne) Google Analytics“. Hintergrund war die im Artikel angesprochene Entscheidung der österreichischen Aufsichtsbehörde zu GA, welche der Auslöser dafür war, dass der Autor den Artikel verfasste. Die Überschrift hätte zugebenermaßen klarer ausfallen können.

    • Zur Wirksamkeit gendergerechter Sprache mögen die Meinungen auseinandergehen. (Darüber wollen wir hier aber auch keine Diskussion beginnen. Diese findet an geeigneteren Orten schon lang und breit genug statt.) Nur die Absicht dahinter ist unbestritten positiv. Wieso also nicht die Zeit und Energie für die Reaktanz auf die gewählte Ausdrucksweise des Autors stattdessen in andere positive und in Ihren Augen sinnvolle Kleinigkeiten im Alltag investieren, damit die Welt ein bisschen besser wird. Leben und leben lassen.

      • Richtig, aber unabhängig von der Meinung zum Gendern, gilt: Wenn schon gendern, dann richtig. Und hier
        1. Webseiten-Betreiber sind hier Institutionen und keine Personen. Es werden auch Unternehmen wie Friseure und Hersteller nicht gegendert.
        2. Wenn man schon den englischen Begriff User gendert, der ja schon geschlechtsneutral ist, dann auch vollständig: der/die User*in.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.