Dark PatternsDatenschutzbehörden warnen vor manipulativem Design im Netz

Schluss mit fiesen Tricks, die Nutzer:innen zu Entscheidungen lenken: Die europäischen Datenschutzbehörden machen deutlich, dass Dark Patterns häufig gegen die Datenschutzgrundverordnung verstoßen. Mit neuen Richtlinien wollen sie helfen, diese besser zu erkennen und zu verhindern.

Ein grün bewachsenes Labyrinth aus der Vogelperspektive
Im Privacy-Labyrinth: Die europäischen Datenschutzbehörden warnen vor Design-Tricks, mit denen Nutzer:innen manipuliert werden – Gemeinfrei-ähnlich freigegeben durch unsplash.com Ben Seibel

Versteckte Datenschutzeinstellungen, voreingestellte Cookie-Banner, unnötig komplizierte Prozesse beim Löschen von Accounts: Dass Online-Anbieter:innen ihre Nutzer:innen mit Gestaltungstricks relativ leicht manipulieren können, ist Daten- und Verbraucherschützer:innen schon lange ein Dorn im Auge. Jetzt haben die europäischen Datenschutzbehörden Richtlinien veröffentlicht, die am Beispiel Sozialer Netzwerke helfen sollen, derlei unethisches Design zu erkennen und zu verhindern.

„Dark Patterns“ werden diese unsichtbaren Muster bei der Gestaltung von Benutzeroberflächen und Entscheidungsprozessen im Netz genannt, mit denen Nutzer:innen zu einer bestimmten Auswahl geleitet werden sollen. Die Gestalter:innen von Online-Umgebungen machen sich dabei zunutze, dass viele Menschen im Netz ähnliche Verhaltensmuster an den Tag legen. Dass sie etwa in der Hektik des Alltags oft die Option auswählen, die für sie am wenigstens Klick-Arbeit bedeutet. Oder dass sie sich durch bestimmte Design-Tricks davon abhalten lassen, eine bestimmte Option auszuwählen. Weil sie dabei auf verhaltenspsychologische Forschung zurückgreifen und täglich das Verhalten von abertausenden Menschen beobachten können, herrscht ein Machtungleichgewicht.

Erst Mitte März deckten Journalist:innen des Business Insider auf, dass Amazon durch Design-Tricks bewusst versucht hat, die Kündigung des Bezahldienstes Amazon-Prime zu erschweren. Offenbar mit Erfolg: Das „Projekt Iliad“ soll die Kündigungsrate um 14 Prozent gesenkt haben. Auch zur Abwehr von Datenschutzbemühungen setzen Unternehmen auf Dark Patterns. Die österreichische Nichtregierungsorgansiation NOYB hat 2021 zum Beispiel hunderte Beschwerden wegen Cookie-Bannern eingereicht, die durch die farbliche Gestaltung oder andere Tricks dazu verleiten sollen, einfach alle Überwachungsmaßnahmen zu akzeptieren.

Cookie-Banner mit großem, gründe hinterlegtem Feld "Alle Akzeptieren"
Der Klassiker: Cookie-Banner mit lenkender Benutzerführung. - Alle Rechte vorbehalten Screenshot Quelle: Internet

Typologie der Design-Tricks

In den gut 60-seitigen Guidelines machen die europäischen Datenschutzbehörden deutlich, dass das Phänomen längst nicht auf Cookie-Banner beschränkt ist. Anhand des Lebenszyklus eines Social-Media-Accounts – von der Erstellung bis zur Löschung – machen sie anschaulich, wie vielfältig die Beeinflussungsversuche im Netz sind.

Und sie zeigen, dass viele davon mit der Datenschutzgrundverordnung nicht vereinbar sind. Je nach Ausprägung können Dark Patterns laut dem Papier gegen ganz unterschiedliche Artikel der DSGVO verstoßen. So etwa gegen die Grundsätze von Fairness und Transparenz oder das Gebot von Datenschutz durch Design und durch datenschutzfreundliche Voreinstellungen. Zudem können eingeholte Einwilligungen unwirksam sein, weil die Anbieter:innen gegen die Anforderungen an die Freiwilligkeit und Informiertheit verstoßen, wenn sie sich die Zustimmung mit Design-Tricks erschleichen.

Um Dark Patterns besser erkennen und verstehen zu können, nehmen die Datenschutzbehörden zudem eine hilfreiche Typologisierung vor. Sie unterscheiden die Design-Tricks in insgesamt sechs Kategorien:

  • „Overloading“: Bei dieser Methode werden Nutzer:innen mit so vielen Informationen, Anfragen oder Auswahlmöglichkeiten konfrontiert, dass sie bewusst überfordert werden. In diese Kategorie fällt etwa der Trick des „Privacy-Labyrinths“, bei dem die Datenschutzeinstellungen so kompliziert aufgebaut und versteckt sind, dass es extrem aufwendig ist, sie wie gewünscht zu verstellen.
  • „Skipping“: Hierbei werden Auswahlmenüs und -prozesse so kompliziert gestaltet, dass es Nutzer:innen schwer fällt, alle relevanten Aspekte oder ihre ursprüngliche Intention im Blick zu halten und sie deshalb relevante Dinge überspringen. Zum Beispiel bei einem Trick, den die Behörden „trügerische Behaglichkeit“ nennen, bei dem Nutzer:innen durch vorausgewählte Optionen zum Anklicken der weniger datenschutzfreundlichen Option verleitet werden sollen.
  • „Stirring“: In diese Kategorie fallen Versuche, Nutzer:innen mit sprachlichen oder visuellen Reizen zu bestimmten Aktionen zu verführen. So etwa, wenn durch Farben oder andere Formen der graphischen Gestaltung bestimmte Optionen hervorgehoben und andere versteckt werden. Oder wenn Nutzer:innen mit emotionalen Appellen ein schlechtes Gewissen gemacht wird, wenn sie stärkere Datenschutz-Optionen wählen. Oder andersherum, wenn Nutzer mit einem Text zum permanenten Teilen des eigenen Standorts verleitet werden, der dies als besonders soziale Praxis darstellt, mit der man die Welt besser machen kann.
  • „Hindering“: Hierzu zählen die Datenschutzbehörden Tricks, mit denen Nutzer:innen aktiv an der Ausübung ihrer Datenschutzrechte behindert werden. Zum Beispiel durch sachlich falsche Informationen, durch tote Links oder indem Prozesse länger dauern, als sie eigentlich müssten. So etwa beim Anlegen eines Social-Media-Accounts, wenn Nutzer:innen auf die Angabe bestimmter Daten eigentlich verzichten wollen, jedoch durch die wiederholte Rückfrage „Bist du dir sicher?“ verunsichert und aufgehalten werden.
  • „Fickle“: Dies meint Methoden eines bewusst inkonsistenten Designs. Hierzu zählt etwa eine mangelhafte Informationshierarchie, bei der Nutzer:innen an unterschiedlichen Stellen mit scheinbar gleichen oder ähnlichen Informationen und Optionen konfrontiert sind. Dies macht es ihnen unmöglich zu verstehen, wie ihre Daten genau verarbeitet werden. Ein anderes Beispiel sind Datenschutzentscheidungen, die den Nutzer:innen ohne ausreichende Erklärungen und Kontextinformationen vorgesetzt werden.
  • „Left in dark“: In dieser Kategorie geht es um bewusst verstecke Informationen und Einstellungsmöglichkeiten, zum Beispiel durch die Verwendung einer anderen Sprache oder vage und uneindeutige Begriffe, statt klarer Beschreibungen. Ein konkretes Beispiel aus der Praxis (das die Datenschutzbehörden allerdings nicht nennen), sind die AGB und Datenschutzbestimmungen von WhatsApp, die bis zu einer Klage der Verbraucherzentralen vor wenigen Jahren nicht auf deutsch vorlagen. Wie das Beispiel der erst kürzlich geänderten AGB zeigt, ist trotz der deutschen Fassung bis heute nicht wirklich zu verstehen, was sie eigentlich aussagen sollen.

Feedback erwünscht

Einen besonders fiesen Design-Trick haben die Datenschutzbehörden in ihrer Aufzählung bislang vergessen: Nicht selten kommt es vor, dass Nutzer:innen bestimmte Entscheidungsfragen bewusst in Momenten vorlegt werden, in denen ihr Nutzungsverhalten darauf schließen lässt, dass sie gerade emotional oder zeitlich gestresst sind, sodass sie keine Ruhe für kluge Entscheidungen haben.

Wer in den Guidelines weitere fehlende Dark Patterns entdeckt oder andere Hinweise zu dem Thema hat, kann den Datenschutzbehörden bis Anfang Mai dazu auf ihrer Website Rückmeldungen geben.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

25 Ergänzungen

  1. Warnen vor bösem Scheiß, den wir noch nicht verboten haben, weil?

    Wie auch immer, kaum ein halbes Jahrhundert zu spät!

    Jetzt weiter mit Werbung und Politik…

    1. Schwierig ist der Nachweis… weswegen das wohl auch besser in Staatshand gehört, wenn man bedenkt, was auf uns zukommt.

      Und dann noch das Lied: Ist doch der Nachweis schwer, führt erst der Wille zum Zweck […].

  2. Andere Grey oder Dark Patterns sind dann noch so Sachen wie die Kommentarsektion bei Youtube.

    Kommentare können ohne dass es ersichtlich ist versteckt werden, Es gibt kaum relevante Such- und Sortierfunktionen, usw. usf. Alles auf „das Relevanteste anzeigen“ abgestimmt, zudem ist die Interaktion mit gewisser Wahrscheinlichkeit sinnlos bis Fake.

  3. Danke für den informativen Artikel.
    Ich kämpfe mich auch immer tapfer durch alle Cookie-Einstellungen, um sie abzulehnen.
    Es wird gefühlt immer schwieriger, da Einstellungen vermehrt verschachtelt und als Baumstruktur aufgebaut sind.
    Irgendwann gibt man auf und klickt einfach nur weiter, um einfach nur seine Ruhe zu haben.
    Es ist gut, wenn etwas dagegen getan wird.

    Ein großes Minus fürs Gendern.
    Sprache kann sich ja durchaus verändern und das tut sie auch.
    Aber um Geschlechtergerechtigkeit zu erreichen, ist das erzwungene grammatikalische Vergewaltigen der Sprache m.E. der falsche Weg.

    Dass das natürliche Geschlecht und das grammatikalische Geschlecht zwei verschiedene Dinge sind, weiß jeder Journalist.

    Ich lasse immer gern etwas Geld für gut geschriebene Artikel da.
    Hier muss ich es leider bleiben lassen.

      1. Schon eine eher dünnhäutige Replik. Fakt ist, dass diese Sprachform vom Großteil der Bevölkerung abgelehnt wird. Siehe dazu die Umfrage hier: https://www.infratest-dimap.de/umfragen-analysen/bundesweit/umfragen/aktuell/weiter-vorbehalte-gegen-gendergerechte-sprache/
        Interessanterweise hat die Zustimmung mit einem Rückgang von 35% auf 26% im Jahr seit der letzten Umfrage noch einmal deutlich abgenommen.
        Da kann man sich als Journalist oder Verlag schon mal die Frage gefallen lassen, was das eigentlich soll. Insbesondere da die wissenschaftliche Faktenlage dazu dünn und umstritten ist.

        1. Wissen Sie, der Genderwahn der Gegner:innen von geschlechtergerechter Sprache nervt einfach nur noch. Jetzt reden wir hier wegen Ihnen übers Gendern statt über Dark Patterns. Lassen Sie doch jeden Menschen einfach so schreiben, wie er oder sie Lust hat. Ist das so schwer?

          Diese ganze Gender-Debatte hat doch einen Bart und ich bin einfach müde zum 500. Mal die immer gleiche Leier zu diskutieren. Und ich verstehe sowieso nicht, wie man den ganzen Tag nichts anderes zu tun haben kann – als sich bei Krieg, Gaskrise, Nahrungsmittelkrise und Klimakrise über irgendwelche Doppelpunkte oder Sternchen zu echauffieren. Muss irgendein Stellvertreterkrieg sein, den Sie da führen.

    1. „Dass das natürliche Geschlecht und das grammatikalische Geschlecht zwei verschiedene Dinge sind, weiß jeder Journalist.“
      Darum geht es hier ja nicht. Es geht um die Frage, ob die ausschließliche Verwendung eines bestimmten grammatischen Geschlechts neutral wahrgenommen wird (wie von vielen, die das sog. generische Maskulinum unterstützen, behauptet) oder es die Wahrnehmung beeinflusst. Psychologische und sprachwissenschaftliche Forschung sind da längst nicht so eindeutig wie Sie meinen. Tatsächlich gibt es zum Beispiel viele, viele Untersuchungen, die unter Anderem darauf hindeuten, dass das grammatische Geschlecht sogar bei Gegenständen die gedankliche Zuordnung männlicher oder weiblicher Attribute beeinflusst (Maciuszek et al 2019, Vernich et al 2017, Pavlidou & Alvanoudi 2013, Chiu & Hong 2013, Boroditsky et al 2003, Sera et al 1994).

    2. Niemand hat Ihnen vorgeschrieben, wie Sie zu schreiben haben. Ad hominems statt inhaltlicher auseinandersetzung zeigen bestenfalls daß man keine Argumente mehr hat sondern den anderen nur noch auf persönlicher Ebene angreifen kann.

    3. Binnen-I be gone Erweiterung für Firefox installieren und sich über solche Sachen nicht mehr aufregen. ;)

  4. „Der Klassiker: Cookie-Banner mit lenkender Benutzerführung. – Alle Rechte vorbehalten Screenshot Quelle: Internet“

    Kann es sein, das da was fehlt? Irgendwie sehe ich da kein Bild.

      1. Hallo Ingo,
        Schuß ins Knie.
        Tja, wenn der „`Cookie-Banner-Ublock„` zuschlägt…
        Vielleicht bei der Wahl des Dateinamen in Zukunft kreativer sein ;)
        Danke für die Aufklärung.
        Angenehmes WE!

  5. Ironisch: Um diesen Artikel lesen zu können, wurde ich auch gedrängt, entweder alle Tracker (Cookies) zu akzeptieren oder ein Benutzerkonto zu erstellen bzw. zu spenden.

    1. Keine Ahnung, was du wo im Internet geklickt hast, aber auf netzpolitik.org gibt es weder Tracker noch Cookie-Banner, die man akzeptieren könnte. Ein Benutzerkonto kann man bei uns auch nicht anlegen ¯\_(ツ)_/¯

      1. Stattdessen setzt netzpolitik.org ein Cookie einfach ohne zu fragen. Ob das so in Ordnung ist???

        1. Wir setzen einen Cookie, wenn kommentierende Nutzer:innen auswählen, dass ihre Daten gespeichert werden sollen. Das ist dafür notwendig und in Ordnung.

  6. Als Entwickler von Webshops habe ich mit Cookie-Bannern zu kämpfen. In diesem Zusammenhang ist mir Piwik Pro positiv aufgefallen. Sie integrieren einen Tag Manager, Consent Manager und Analytics in einem Produkt auf DSGVO-konforme Weise. Ich finde es einen guten Kompromiss zwischen den Interessen der Besucher und der Seitenbetreiber.

    Pro Besucher: Das Consent-Tool befüllt sich automatisch anhand der Code-Schnipsel im Tag Manager, es kann keine Diskrepanz geben. Die Darstellung ist klar, es gibt feste Kategorien. Mit einem Klick kann alles abgelehnt werden. „Do Not Track“ wird respektiert (in dem Fall taucht gar kein Banner auf).

    Pro Betreiber: Es gibt neben dem Ablehnen-Button auch einen Akzeptieren-Button. Das Analytics-Tool ermöglicht einen Einblick in den Besucherverkehr, ohne Benutzer persönlich zu identifizieren.

    Dem Akzeptieren-Button habe ich die Akzentfarbe der Farbpalette gegeben. Der Ablehnen-Button sitzt direkt darunter, ist jedoch unscheinbarer. Damit wähne ich mich nicht auf der dunklen Seite der Macht, da es einen geringen Vorschub der Betreiber-Interessen darstellt und ansonsten Privatsphäre respektiert wird.

    Etwas Sichtbarkeit der Besucher ist für Betreiber wünschenswert. In einem Ladengeschäft ist es auch nicht möglich, völlig unsichtbar einzukaufen. Das Analytics-Tool wird durch Ablehnen nicht eingebunden. Solange die Besucheranalyse keine persönliche Identifkation ermöglicht, fände ich es fein, das Analyse-Tool unconditional einzubinden. Der ganze Überwachungs-Kapitalismus-Kram wie Remarketing kann von mir aus weiter im Consent-Tool bleiben, aber ich bin auch kein Marketeer.

    1. Bei Sichtbarkeit fände ich gut, mal eine Suchmaschine zu bauen, die Nutzern und Shopbetreiber entgegenkommt.

      D.h. keine Shops wenn ich nicht nach Shops suche, und nur Shops, wenn ich nach Shops suche. Dazu Eingrenzungsmöglichkeiten, geographisch, Versand/Zahlmöglichkeiten (etwas gefährlich), usw. usf, also eine Strukturierte kontextbezogene Suche. Natürlich als Infrastruktur ohne jegliches Tracking, sowie vom Gesetz so begleitet, dass transparent ist, was genau hinter einem Shop steht, ob die gleichen Lager benutzt werden (die man dann strukturiert in der Suche ausschließen oder priorisieren kann), Einschränkung auf registrierte Shops (in EU / DEU z.B.) usw.

      Sowas dürfen nur Unternehmer mit Geschäftsmodell denken. Und das Geschäftsmodell hat im Internet leider kaum jemand: Zivilisation

      1. Da gehören aber auch Sanktionen dazu. Heutzutage gehören offensichtlich Sanktionen dazu. Z.B., wenn ein Shop/betreiber/in/äh eine Landingpage ohne Shopindikator baut, d.h. so tut, als wäre es gar kein Shop, um in der Nichtshopsuche aufzufallen. Im Allgemeinen kann man da nur Seiten und Betreiber sperren. Sperren sind heutzutage offensichtlich wichtig. So macht man das heutzutage. Nicht auszudenken, würden Sanktionen und Sperren an den falschen Stellen verhängt… So macht man das heutzutage, offensichtlich.

  7. Vielen Dank.

    Gibt es eigentlich ein Firefox addon mit dem man automatisiert dark patterns an die Aufsichtsbehörden melden kann?

    Vielen Dank
    Konstantin

  8. Sämtliche Tracker werden bei mir erfolgreich geblockt. Das geschieht mit einem Browser-Addon:
    https://add.startpage.com/protection/

    Zudem verrichtet ein effizienter Adblocker seine Dienste:
    https://ublockorigin.com/

    Hiermit kann man einsehen, welche Cookies einer aktuellen Seite gesetzt werden, mit der Möglichkeit, sie nachträglich zu löschen:
    https://www.editthiscookie.com/

    Es gibt auch noch ein Addon zum automatischen Löschen von Cookies beim Verlassen einer Seite:
    https://chrome.google.com/webstore/detail/cookie-autodelete/fhcgjolkccmbidfldomjliifgaodjagh/
    https://addons.mozilla.org/en-US/firefox/addon/cookie-autodelete/
    https://microsoftedge.microsoft.com/addons/detail/cookie-autodelete/djkjpnciiommncecmdefpdllknjdmmmo

    Manche Seiten erkennen einen Adblocker. Hiermit kann man das umgehen:
    https://chrome.google.com/webstore/detail/bypass-adblock-detection/lppagnomjcaohgkfljlebenbmbdmbkdj

    Wenn so viele wie möglich, die hier genannten Tipps anwenden, dann können wir der Datenklau-Industrie einen kräftigen Arschtritt verpassen.

    Gruß
    Jeremy

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.