anyaberkut - stock.adobe.com

Datenschutz: Die informierte Einwilligung richtig umsetzen

Nutzende und Webseitenbetreiber müssen wissen, wie sich die Versuche oder auch Fehler verhindern lassen, dass mehr Daten preisgegeben werden als eigentlich gewollt.

Der Europäische Datenschutzausschuss (EDSA) hat Hinweise zum Schutz vor „Dark Patterns“ veröffentlicht. Dark Patterns klingt nach dunklen Mustern oder auch dunklen Flecken im Datenschutz. Tatsächlich liegt bei Dark Patterns der Versuch einer Verdunklung im Datenschutz vor.

Nutzende müssen vor nachteiligen Designmustern, den Dark Patterns, in sozialen Medien geschützt werden, so der EDSA. Dabei versuchen Anbieter von sozialen Medien durch die Gestaltung ihrer Angebote die Nutzenden zur Einwilligung in die Nutzung ihrer Daten zu bewegen. Der EDSA stellt nun Beispielfälle mit Illustrationen zur Verfügung, welche Designmuster gegen die Vorschriften der Datenschutz-Grundverordnung (DSGVO) beziehungsweise der ePrivacy-Richtlinie verstoßen. Zusätzlich erhalten die Betreiber sozialer Netzwerke noch eine Reihe von Handlungsempfehlungen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erklärte dazu: „Ausspionieren darf kein Geschäftsmodell in Europa sein. Wenn soziale Medien die Daten ihrer Nutzenden verwenden wollen, dann dürfen diese nicht mit unfairen Mitteln zur Einwilligung gedrängt werden.“

Die Anforderung lautet informierte Einwilligung

Was der Datenschutz nach DSGVO (Datenschutz-Grundverordnung) und TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) verlangt, haben die Aufsichtsbehörden für den Datenschutz immer wieder erläutert, zum Beispiel in der „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“. (PDF)

Dort wird deutlich gemacht: Das TTDSG normiert den Grundsatz, dass die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind, nur mit Einwilligung der Endnutzer zulässig sind.

Auch bei der generellen Erhebung und Verarbeitung personenbezogener Daten ist die Einwilligung eine der zentralen Rechtsgrundlagen. Allerdings muss eine Einwilligung dazu bestimmte Voraussetzungen erfüllen. Die DSGVO (Datenschutz-Grundverordnung) fordert eine informierte Einwilligung, die freiwillig gegeben wird.

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“, so die DSGVO.

Vereinfacht gesagt: Werden personenbezogene Daten verlangt, die für die Erfüllung einer vom Betroffenen gewünschten Dienstleistung nicht notwendig sind, kann nicht einfach von einer freiwilligen Einwilligung ausgegangen werden.

Dark Patterns dienen nun genau dem, Daten der Nutzenden zu bekommen, die diese freiwillig nicht einfach herausgeben würden. Die Einwilligung ist nicht informiert und freiwillig, sondern die Nutzenden werden zur Herausgabe von Daten verleitet. Dazu gehört auch der stete Versuch, die Nutzenden dazu zu bringen, möglichst viele Cookies zu akzeptieren, nicht nur die technisch notwendigen.

Nudging: unzulässige Einflussnahme auf die Nutzerentscheidung

Im Bereich der Cookie-Banner (Consent Management) ist es leider immer noch beliebt, das Verhalten der Nutzer zu beeinflussen soll. Die Landesdatenschutzbeauftragte von Niedersachsen gab hierzu als Beispiel: „Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um den User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen"-Option oft im Vergleich zur „Ablehnen"-Option auffälliger gestaltet – durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Zum Beispiel ist der Button „Zustimmung“ in Grün oder Blau mit weißer Fettschrift gestaltet und der „Ablehnen“-Button in Grau mit weißer Standardschrift.“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Dr. Stefan Brink erklärte: „Bürger_innen sollten nicht durch irreführende Angaben, Gestaltungen und Strukturen im Netz angelockt werden. Vielmehr sollten Bürger_innen klar, eindeutig und verständlich angesprochen werden, damit sie selbstbestimmt entscheiden können, welche Daten sie von sich preisgeben wollen und welche nicht.“

Mit Dark Patterns werden Personen, die auf sozialen Netzwerken aktiv sind, häufig dazu bewegt, mehr Daten über sich preiszugeben, als sie das eigentlich möchten; oder sie werden davon abgehalten, ihre Betroffenenrechte auszuüben, so der Landesdatenschutzbeauftragte.

Designer und Nutzende müssen aufpassen

Mit seinen Leitlinien „Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them“ gibt der EDSA nicht nur Designerinnen und Designern, sondern auch Nutzerinnen und Nutzern sozialer Netzwerke praktische Empfehlungen, um solche Dark Patterns zu erkennen und ihnen entgegenzuwirken.

Die Leitlinien enthalten viele konkrete, teils durch Bilder dargestellte Beispiele verschiedener Kategorien und zugehöriger Arten von Dark Patterns, wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg berichtet.

Darüber hinaus werden positive Best Practices dargestellt, um praktische Hilfestellung dazu zu geben, wie es besser gemacht werden kann. Unter anderem werden Beispiele im Rahmen der Registrierung, bei den Datenschutzeinstellungen und dem Löschen eines Kontos gezeigt.

Wie vielfältig die Dark Patterns sein können, zeigen die vom EDSA vorgestellten Kategorien, darunter:

Überlastung: Dies bedeutet, dass Benutzerinnen und Benutzer mit einer Lawine/großen Anzahl von Anfragen konfrontiert werden, Informationen, Optionen oder Möglichkeiten, um sie zu veranlassen, mehr Daten zu teilen oder unbeabsichtigt eine Verarbeitung personenbezogener Daten gegen die Erwartungen der betroffenen Person zuzulassen.

Überspringen: Dies bedeutet, die Benutzeroberfläche oder das Benutzererlebnis so gestaltet ist, dass Benutzer es vergessen oder nicht an alle Folgen für den Datenschutz denken.

Eine andere Kategorie wirkt sich auf die Wahl aus, die Benutzerinnen und Benutzer treffen würden, indem an ihre Emotionen appelliert wird oder spezielle visuelle Elemente verwendet werden.

Behinderung: Dies bedeutet, Nutzerinnen und Nutzer in ihrem Prozess der Information zu behindern oder zu blockieren, die Verwaltung ihrer Daten schwierig oder unmöglich zu machen, indem sie die Durchführung der Aktion erschweren.

Eine andere Kategorie von Dark Patterns sorgt dafür, dass das Design der Benutzeroberfläche inkonsistent und nicht klar ist, was es für den Benutzenden schwierig macht, durch die verschiedenen Datenschutzkontrollinstrumente zu navigieren und deren Zweck zu verstehen.

Erneut zeigt sich, dass der EDSA wichtige und praktische Hinweise zur Umsetzung der DSGVO gibt, die Kritik an den Aufsichtsbehörden, sie würden zu wenig unterstützen, wie in einer Bitkom-Umfrage festgestellt, erhält erneut ein Gegenbeispiel, das in der täglichen Praxis im Netz helfen kann.

Erfahren Sie mehr über Datenschutz und Compliance