Massenphänomen "Dark Patterns"Wie Politik und Behörden gegen irreführendes Design vorgehen können

Immer mehr digitale Benutzeroberflächen sind so gebaut, dass sie Nutzer:innen dazu verleiten, der Preisgabe ihrer Daten zuzustimmen oder in Online-Shops besonders schnell auf „kaufen“ zu klicken. Das umgeht die Rechte von Verbraucher:innen, warnt die Stiftung Neue Verantwortung. Sie macht Vorschläge, wie Politik und Behörden auf manipulatives Design reagieren können.

Webseiten oder andere digitale Oberflächen sind teilweise bewusst irreführend gebaut – zum Vorteil der Unternehmen dahinter. Dagegen sollen Behörden und Politik aktiv vorgehen, fordert die Stiftung Neue Verantwortung. Charles Deluvio (modifiziert)

Gut gemachte Websites und Anwendungen machen Spaß, generieren Aufmerksamkeit und binden Nutzer:innen an das eigene Produkt. Das haben erfolgreiche Unternehmen wie Facebook, Amazon, Instagram oder Twitter früh gemerkt und in nutzerorientiertes Design investiert. Schon seit den 1990er Jahren erforschen User-Experience-Designer:innen, wie Menschen mit Computern interagieren – und optimieren auf Grundlage psychologischer und verhaltensökonomischer Erkenntnisse die eigenen Dienste.

Zielkriterium der Optimierung ist dabei meistens nicht das Wohl der Nutzer:innen, sondern der wirtschaftliche Vorteil des eigenen Unternehmen, warnt die Stiftung Neue Verantwortung in ihrem neuen Papier „Dark Patterns: digitales Design mit gesellschaftlichen Nebenwirkungen“.

Die dunkle Seite des User-Experience-Designs benachteiligt die Nutzer:innen etwa durch Tricks wie farblich hervorgehobene Buttons für kostenpflichtige Optionen, zu kleine Schriftarten für wichtige Details und versteckte Regler für Datenschutzoptionen.

Die Politik muss handeln

Die Autor:innen Sebastian Rieger und Caroline Sinders kritisieren, dass europäische Regulierungen für den digitalen Raum bisher kaum Kriterien zum digitalen Produkt- und Oberflächendesign vorgeben. Durch diese Lücke könnten allerdings wichtige Gesetze unwirksam werden. Wenn beispielsweise Datenschutzgesetze den Nutzer:innen durch die Möglichkeit der Einwilligung ein Stück informationelle Selbstbestimmung ermöglichen wollen, das Einwilligungsmenü aber irreführend gestaltet sei, werde die Idee dahinter ad absurdum geführt.

Wenn Onlineshops durch – oftmals irreführende – Warnhinweise oder Countdowns wie „Nur noch 2 Zimmer verfügbar!“ Menschen unter Druck setzen, Preisvergleiche erschweren oder zu Impulskäufen verleiten, dann entstünden ihnen Nachteile. Um das zu verhindern und gegen manipulatives Design vorzugehen, müssten nach Auffassung der Autor:innen nicht zwangsläufig neue Gesetze diskutiert werden.

Stattdessen solle bestehendes Recht konsequenter angewendet werden: Neben der Datenschutz-Grundverordnung und der ePrivacy-Verordnung eigneten sich dafür auch EU-Richtlinien etwa über unlautere Geschäftspraktiken, Verbraucher- und Wettbewerbsrecht oder das deutsche Privatrecht (BGB) und das Telemediengesetz (TMG). 2019 hatte auch die Datenethik-Kommission der Bundesregierung empfohlen, mit dem Gesetz gegen unlauteren Wettbewerb, das irreführendes oder aggressives Markverhalten untersagt, gegen Dark Patterns vorzugehen.

Die Stiftung Neue Verantwortung macht in ihrem Paper deutlich: Es ist unerheblich, ob Nutzer:innen bewusst manipuliert werden sollen oder Entscheidungen versehentlich gelenkt werden – das Stichwort „Dark Patterns“ umfasst alles, was bekanntermaßen ein bestimmtes Verhalten fördert und dadurch zu Nachteilen für Nutzer:innen führen kann.

Gut erforscht, politisch unterschätzt

Der Twitter-Account @darkpatterns sammelt hunderte Beispiele für manipulatives Design. Die Bandbreite der Mechanismen ist laut dem Papier groß, aber gut erforscht und klassifiziert. Zuletzt hatte auch das Büro für Technikfolgenabschätzung des Bundestages vor der Praxis gewarnt.

Trotzdem werde ihr Einfluss in Politik und Öffentlichkeit unterschätzt. Viel zu häufig bleibe den einzelnen Nutzer:innen in der Informationsflut der vielen Apps, Online-Dienste und Anbieter keine Zeit für informierte Entscheidungen. Problematische Design-Praktiken würden dabei gar nicht bewusst gesehen oder einfach hingenommen.

Dabei sind Dark Patterns kein individuelles Problem, sondern ein „Massenphänomen der digitalen Welt“. Laut einer zitierten Studie verwenden bis zu 11 Prozent der weltweit am häufigsten besuchten Shopping-Webseiten Design-Taktiken, die Nutzer:innen zu unbeabsichtigten und möglicherweise schädlichen Entscheidungen zwingen, anleiten oder sie täuschen. Dabei geht ihr Einfluss weit über Online-Einkäufe hinaus, sondern betrifft sogar Betriebssysteme von Computern und Smartphones.

Es fehle ein öffentliches Problembewusstsein für manipulative Designtechniken, kritisieren die Autor:innen des Papiers. Um hier mehr Sichtbarkeit herzustellen, müssten Daten- und Verbraucherschutzorganisationen gemeinsam mit Behörden die digitale Manipulation von Nutzer:innen auch in den Mittelpunkt einzelner Prozesse stellen. Wie das aussehen kann, zeigten 2018 mehrere europäische Verbraucherschutzorganisationen: Sie stießen Datenschutzaufsichtsverfahren gegen Google an, weil der Konzern beim Einholen der Einwilligung zur Nutzung von Standortdaten trickse. Für diese Arbeit bräuchten zivilgesellschaftliche Organisationen mehr Ressourcen, fordern Sinders und Rieger.

Besonders problematisch für den Datenschutz

Immer mehr Geschäftsmodelle basieren darauf, Daten von Nutzer:innen zu sammeln, auszuwerten und zu verkaufen. Deshalb werden auch digitale Oberflächen so gestaltet, dass Nutzer:innen möglichst viele Daten mit den Unternehmen teilen und die Verarbeitung erlauben. Eigentlich schreibt die Datenschutzgrundverordnung „by Design“ und „by Default“ vor, doch die Einstellungen sind häufig so irreführend, dass Nutzer:innen zu möglichst niedrigen Datenschutzeinstellungen gedrängt werden, zeigte eine Untersuchung der norwegischen Verbraucherschutzbehörde Forbrukerrådet am Beispiel von Google, Facebook und Microsoft. Gleiches gelte für die „Cookie-Banner“ der meisten Internetseiten.

Die Design-Tricks zum Erschleichen von Einwilligungen sind einer der Gründe, warum viele Datenschützer:innen seit langem skeptisch gegenüber dem Instrument sind. Eigentlich müssten Einwilligungen der Datenschutz-Grundverordnung zufolge informiert und freiwillig erfolgen – beides ist oft nicht der Fall. Auf netzpolitik.org berichten wir immer wieder kritisch darüber, wie Unternehmen sich Einwilligungen erschleichen.

Die Autor:innen des Papiers fordern, dass sich Regierungen und Behörden intensiv mit der „Architektur digitaler Produkte und Oberflächen beschäftigen“, um hier die richtigen Strategien gegen irreführendes Design zu entwickeln. Als Vorbilder nennen sie die norwegische Verbraucherschutzbehörde, die Dark Patterns umfangreich untersucht hat, oder die französische Datenschutzbehörde CNIL, die sich mit digitalem Produktdesign beschäftigt hat und gezielt versucht, ein Problembewusstsein auch innerhalb der Design-Industrie zu schaffen.

Aber bitte zusammen

Auch deutsche Verbraucherschutzorganisationen hätten bereits verstreute Expertise, die allerdings weder systematisch genutzt noch weiterentwickelt werde. Die Autor:innen des Papiers fordern schnelles Handeln in einer gemeinsamen Einheit von Jugend-, Daten- und Verbraucherschutz- und gegebenenfalls Wettbewerbsbehörden.

Besetzt werden könnte eine solche Einheit interdisziplinär mit Produkt- und Interface-Designer:innen, Jurist:innen, IT-Forscher:innen und Expert:innen aus den Behörden, die dann wiederum Ministerien im Gesetzgebungsprozess beraten – etwa das Familienministerium zur geplanten Jugendschutznovelle. Sie warnen vor Parallelstrukturen wie im Bereich der Cybersicherheit. Stattdessen sollte eher auf europäischer Ebene gedacht und mit anderen Ländern kooperiert werden.

Denn in Zukunft rechnen Rieger und Sinders mit noch mehr Online-Anbietern und Diensten, die international angeboten werden. Wichtig werden für sie neben visueller Gestaltung auch Audio- oder Sprachpatterns, wenn Sprachassistenten immer mehr genutzt werden.

12 Ergänzungen

  1. Wir sehen hier eine sehr gefährliche Tendenz in unserer Gesellschaft: Immer mehr Menschen finden, dass immer mehr Menschen unmündig sind und vor ihren eigenen Entscheidungen geschützt werden müssen.

    Wenn sich dieses Menschenbild durchsetzt, kann man die Demokratie nicht mehr lange halten.

    Die Antwort kann nur lauten: mehr Bildung, vor allem mehr digitale Bildung.

    1. Eine nur aus „mehr Bildung“ bestehende Antwort ist letztlich Sozialdarwinismus: jeder kaempft fuer sich alleine gegen alle anderen, und wer zu schwach ist, der verliert halt. Das ist nicht die Grundlage einer breiten Gemeinschaft.

      Bildung ist wichtig, hat aber ebenso wie Aufmerksamkeit individuelle Grenzen und kann Vertrauen nicht ersetzen. Und Vertrauen basiert nicht auf dem offensichtlich nicht allgemein erreichbaren Ziel, schlauer als alle Gegner zu sein, sondern auf sinvollen Regeln und deren allgemeiner Einhaltung.

      1. Warum „Sozialdarwinismus“? Den Kommentar von Tim verstehe ich so, dass diese Bildung eben nicht durch den einzelnen erworben werden muss (status quo), sondern in einem wie auch immer organisierten Prozess einer möglichst großen Gruppe vermittelt wird.

        Den Vorteil sehe ich darin, dass eine entsprechend gebildete Gesellschaft eine direktere und schnellere Einflussnahme haben kann als ein entsprechendes Gesetzespaket, welches ja immer auf den Konsens der Legislative angewiesen ist und zudem durch Lobbyarbeit beeinflussbar ist.

        Wenn hingegen die Bevölkerung die notwendige Kompetenz vermittelt bekäme, könnte jeder für sich entscheiden, wie er auf Angebote reagiert und eine Beeinflussung wäre deutlich erschwert

  2. Man kennt es: „Um Tracking und Cookies zu Deaktivieren bitte erlauben sie Cookies und Skripte in ihrem Browser“ Anstatt einfach die DNT Anforderung zu Akzeptieren geschweige den per default nicht zu Tracken… aber das ist leider Wunschdenken.

  3. Vorschlag für ein Missing Link zur Corona App debatte:
    Das beste Beispiel für ein Dark Pattern koennte man bei der Debatte um Zentralitaet vs Dezentralität bzw. dem „politized Design“ von DP3T nachweisen.

    Es wird dabei versucht die gesamte Backend-Architecture von 400 Gesundheitsaemtern auszublenden und mit der verminderten Opsec von „air-gapped“ Telefonie zu ersetzen.
    Das neue Meldegesetz belegt dass selbst negative Tests nun registriert werden muessen, das heisst jede Art von Covid-Test im Datenfluss schliesslich mit der User-Registrierung und Authentifizierung beim zuständigen Gesundheitsamt endet, das von hier aus zum jeweils zentralen Root of Trust wird und damit einen Designentwurf von Grund auf bestimmt. Eine App ist in erster Linie eine Einflugschneise auf einen solchen Cororona-Test mit erhoehtem Wahrscheinlichkeitswert.

    Die Ethik des pandemischen Imperativ basiert auf Ja-Nein Enscheidungen im täglichen Verhalten der einzelnen die darauf zielen das Ansteckungsrisiko der Allgemeinheit zu verringern. Wahrscheinlichkeiten verhalten sich im Kollektiv anders als die Freiheitsentscheidungen des Einzelnen. Das zu vermitteln ist auch Aufgabe von Technologie die dabei hilft Verhaltensentscheidungen besser zu treffen (ausserhalb von Kaufentscheidungen usw. ) Also ist die App eine Art tool fuer pandemisches Nudging, dem wir alle zustimmen wenn sich dadurch das Freiheitsversprechen fuer alle in seiner Wahrscheinlichkeit verbessert. Nudging ist hier positiv konnotiert, so wie Maskenpflicht. Eine Corona App ist nicht mit einem kommerziellen Konsumentenprodukt zu verwechseln. Es gibt natuerlich auch ein Camp der Widerstaendigen, die der Wissenschaft, der Technik und dem positivismus der datengetriebenen Rationalitaet von Grund auf misstrauen. Eine kritische Rationalitaet versucht jedoch die dominanten Modelle zu verstehen, ihre Schwachstellen mit Skeptizismus zu begegenen und zum Wohle aller die Modelle zu verbessern.

    Der Designfehler der wohl eher einer politischen Doktrin des libertären Regierungsferne entspringt, setzt sich nun fort bei der App von SAP und Telekom, bei der ein Call Center vor das Gesundheitsamt gesetzt wird (Third Party Opsec Nightmare) und die paralelle kryptographische Infrastruktur am Gesundheitsamt vorbei weitergefuehrt wird, bei der alle Ärzte in Deutschland mit der Fähigkeit versorgt werden sollen, valide Zertifikate für Covid-Tests per QR code zu erstellen. Ein logistischer Unsinn wenn man sich den Datenfluss der durch Praxis und Meldegesetz definiert wird genauer anschaut.

    Hinzu kommt dass Privacy By Design hier so verstanden wird, dass durch fortwährenden Focus auf den Endverbraucher und Alice & Bob Scenarien missachtet wird dass es sich bei der Corona Tracing App um einen Client handelt dem die Spezifikation fuer die Kommunikation mit dem Server fehlt, das heisst die Interoperabilität mit den Backends von SORMAS (fuer Contact Tracing Teams) bzw. dem noch in diesem Jahr zu erwartenden DEMIS als Middleware-Meldeportal des RKI schlicht komplett fehlt.

    Die reduzierte und wissensarme Sicht der Journalisten die lieber auf eine Story und rethorische Figuren schauen als auf die wissenschaftlich-technischen-juristischen Fakten entsteht eine Mitschuld der Civil Society schlechte Designentwürfe weiter durchzuwinken nur weil man das gesamte Problemfeld nicht genug recherchiert hat. Selbst die Fehleranfaelligkeit von Bluetooth Tracing liesse sich durch Machine Learning und Kontext-Sensitivitaet verbessern, dafuer muesste aber in klar definierten Grenzen ein Mitprotokollieren durch Apple/Google erlaubt werden um z.b. Triangulierungs und Bayessche Filter per Machinelearning zu trainieren die spaeter unabhaengig auf den Endgeraeten laufen (Tensorflow Light). Kalibrierung der Chipsets und Antennen sowie erwartbare Iterationen im Designentwurf benoetigen jedenfalls Gesetzentwuerfe der Opposition die halbwegs technologisch informiert und zielorientierter sind als dies bisher der Fall war.

    Die Contact Tracing Debatte zeigt die Dark Patterns der Digital Civil Society bei der „red herrings“ am Fliessband produziert werden, durch mimetisches Nachbeten der immergleichen Fehlinterpretation. Es geht nicht um ein Ausspielen von Dezentral gegen Zentral sondern die Erkenntnis dass der gesamte Usecase sich aus den analogen contact tracing teams der Gesundheitsaemter ableiten laessst und vom foederalen Backend gegen die Zentralisierung von Gesundheitsdaten gesehen werden sollte, wenn es darum geht Privatheit zu verteidigen und die regionale Datenhoheit kommunaler Institutionen zu staerken.

    Wie sich durch Neoliberalismus und populistischen Regierungswechsel eine Gesundheitspolitik systemisch verschlechtern kann ist leicht am Beispiel von UK und USA zu beobachten. Eine App ist also durchaus als ein Luxusproblem zu betrachten bei einem ohnehin einsatzfaehigen Infrastruktur und solidarischem Verhalten der Bevoelkerung , ohne den Grundverdacht dass jede Gesundheits-Institutionen von vorhernerein als ein Bad Actor aus dem Graph der Datenfluesse moeglichst augeschlossen werden sollte, eine Position die sich im politischen Diskurses durchaus in das Feld der Coronaleugner und Anti-Vacc-Bewegung eintraegt.

    Es ist absurd es als Erfolg zu verbuchen fuer eine Digitale Zivilgesellschaft wenn technisch unterstuetzte Gesundheitspolitik in solchen Krisenfaellen erschwert und verunmoeglicht wird, im Namen eines technisch und konzeptionell das heisst wissenschaftlich nicht haltbaren kritischen Verstaendnisses, das in zu vielen Faellen auf Zuschreibungen, Aengsten, Fehlinformationen und Übertreibungen basiert, die absurderweise dort wiederwillig akzeptiert werden wo sie laengst schon Teil der kapitalistischen Plattformoekonomie geworden sind, und als Social Graph das Geschaeftsmodell antreiben.

    1. „Es gibt natuerlich auch ein Camp der Widerstaendigen, die der Wissenschaft, der Technik und dem positivismus der datengetriebenen Rationalitaet von Grund auf misstrauen. Eine kritische Rationalitaet versucht jedoch die dominanten Modelle zu verstehen, ihre Schwachstellen mit Skeptizismus zu begegenen und zum Wohle aller die Modelle zu verbessern.“

      Das soll doch wohl ein Witz sein. An der App ist nichts Wissenschaftliches, außer dem Weglassen des offensichtlich Dümmsten, was man stattdessen hätte tun können, sowie Studien und „Ergebnisse“ die zeigen, dass auch noch datengreifendere Appkonzepte kaum funktionieren.

      Schlucken Sie doch mal freiwillig die Impfstoffkandidaten vor der Tierversuchsserie.

  4. Auch Spendenbanner kann man hier erwähnen. Die setzen ja auch Teilweise ganz schön unter Druck. Sind groß, unterbrechen den Lesefluss usw usf. Und als privatsphäre-bewusster Mensch muss man sie ständig weg klicken, da ja Tor Browser und Co richtigerweise keine Cookies speichern.

    Aber ist denn da kein technischer Ansatz möglich? UBlock oder GreaseMonkey scripts um zumindest so Schriftgrößen/farben sachen anzugehen wären ja rein technisch möglich, oder?

  5. Ich finde ja auch die Buttons „[Spenden] [Ich spende schon] [Schließen]“ die am unteren Rand der netzpolitik.org Seite eingeblendet werden etwas manipulativ. Die Auswahl „[Spenden] [Ich will das nicht mehr sehen]“ wäre aus Benutzersicht genauso funktional, ist aber weniger dazu geeignet ein schlechtes Gewissen zu machen. (Nebenbei bemerkt, ich spende schon, aber ich wüsste nicht, warum das irgendwas zur Sache tut ich das anklicken sollte.)

    1. Danke für das Feedback, wir geben das an unseren Gestalter weiter :)

      Aber findest du wirklich, dass das vergleichbar ist mit farblich versteckten Datenschutzoptionen und künstlichem Kaufdruck à la „nur zwei Exemplare vorhanden“?

      1. Nein, vergleichbar ist es nicht. Aber es hat mich jedesmal gestört und jetzt war die Gelgenheit es zu sagen. Ich bin auch nicht sicher, ob es andere Leute stört.

  6. An wen richtet sich dieser Artikel?
    Er ist unnötig in die Länge gezogen, ziellos und enthält kein einziges konkretes Beispiel.
    Es gibt keine Zusammenfassung.

    Auf mich, einfacher Benutzer und erfahrener Programmierer, macht er den Eindruck, seinen Zeck konterkarieren zu wollen. So erreichen wir nie eine Veränderung.

    1. Der Artikel richtet sich an Menschen, die das Papier der Stiftung Neue Verantwortung nicht selbst lesen wollen und sich noch nicht mit dem Thema aus einem (netz-)politischen Blickwinkel beschäftigt haben. Deshalb werden als Beispiele etwa die norwegische Verbraucherschutzbehörde Forbrukerrådet oder die französische Datenschutzbehörde CNIL genannt, die sich aktiv mit dem Problem der „Dark Patterns“ beschäftigen. Genau darum geht es den Autoren des Papiers und deshalb auch in unserer Zusammenfassung. Schade, dass das für dich nicht prägnant genug war.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.