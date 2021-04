Mit lästigen Einstellungsmenüs oder künstlich verknappten Angeboten nehmen Webseiten Einfluss auf das Nutzerverhalten. (123rf/stv)

Cookie-Banner sind lästig. So lästig, dass viele Nutzer sie einfach wegklicken, mit einem Klick auf einen deutlich hervorgehobenen Knopf. „Alles bestätigen“ oder „Empfohlene Einstellungen verwenden“ steht meist an dieser Stelle. Die Unternehmen, die die Webseiten betreiben, freut das. Schließlich hat der Nutzer gerade zugestimmt, dass Daten gesammelt und auf dem Rechner des Webseitenbesuchers gespeichert werden dürfen – sehr wichtig etwa für personalisierte Werbung. Nutzer werden in diesem Fall Opfer sogenannter Dark Patterns. Bremens Landesdatenschutzbeauftragte Imke Sommer und Dark-Pattern-Forscher Quirin Weinzierl erklären, worum es sich dabei genau handelt und warum sie nicht im Sinne des Datenschutzes sind.

Was sind Dark Patterns?

„Im Kern sind es Gestaltungen von Benutzeroberflächen, die Nutzerinnen zu einem bestimmten Verhalten verleiten, das ihren Interessen widerspricht“, sagt Weinzierl. Er leitet das vom Bundesjustizministerium geförderte Dark-Pattern-Detection-Projekt (Dapde) am Deutschen Forschungsinstitut für öffentliche Verwaltung und der Universität Heidelberg. Typische Beispiele sind neben den Cookie-Bannern auch künstliche Countdowns auf Shoppingseiten oder künstliche Verknappungen nach dem Muster „Nur noch ein Zimmer in diesem Hotel frei“. Der Begriff „Dark Pattern“ ist noch dabei recht jung. Der Experte für Nutzerführung auf Webseiten, Harry Brignull, prägte den Begriff 2010. Dark Patterns „sind aber vermutlich so alt wie das Internet“, sagt Weinzierl.

Ist Dark Pattern gleich Dark Pattern?

Nein. Über 20 verschiedene Arten hat das Dark-Pattern-Detection-Projekt bisher identifiziert. Es kämen jedoch ständig neue dazu, sagt Weinzierl. Grund dafür sei, dass Unternehmen ständig neue Varianten ausprobieren könnten. Webseiten zu ändern sei einfach und günstig. „Außerdem haben sie Millionen, manchmal Milliarden Menschen und deren Entscheidungen als Versuchsmaterial“, sagt der Projektleiter.

Gibt es ein analoges Äquivalent zu Dark Patterns?

Tatsächlich ist die Mechanik nicht neu. Die analoge Variante bezeichnen Fachleute als Dark Nudging (zu Deutsch: dunkles Stupsen). Ein Beispiel: Die Cafeteria-Kasse, an der Obst ausliegt, damit Menschen sich gesünder ernähren. Diese subtilen Stupser müssen nicht zwangsläufig negativ sein. Das hängt immer von der Absicht ab. Gesunde Ernährung ist beispielsweise eine lautere Absicht.

Welche Kritik gibt es an der Irreführung?

Experte Weinzierl erklärt: „Dark Patterns haben die Eigenschaft, die Autonomie von NutzerInnen zu untergraben. Sie wirken, weil Menschen nicht immer in der Lage sind, abwägende, rationale Entscheidungen zu treffen, die alle Informationen berücksichtigen.“ Unternehmen setzen Dark Patterns zudem häufig dann ein, wenn sie Vorteile erlangen wollen und sensible Rechtsgüter der Nutzer – etwa der Datenschutz – betroffen sind. Firmen haben somit die Chance, an Daten zu kommen, die sie unter normalen Umständen nicht erhalten würden, oder Webseitenbesucher in Einkäufe zu drängen.

Wie viele Webseiten nutzen Dark Patterns?

Das ist schwer zu sagen, da das Studienmaterial dünn ist. Elf Prozent der 11.000 untersuchten Shopping-Webseiten würden Dark Patterns nutzen, sagt Weinzierl mit Bezug auf eine Studie der Universität Princetown. Eine andere Studie der Universität Bochum komme zu dem Ergebnis, dass etwa 57 Prozent der Cookie-Banner Dark Patterns nutzen.

Ist das legal?

Eigentlich nicht. Mit Blick auf die Cookie-Banner regelt etwa die Datenschutzgrundverordnung (DSGVO) der Europäischen Union, dass Tracking – also das Speichern von Nutzerdaten mittels Cookies – nur erlaubt ist, wenn Nutzer unmissverständlich zustimmen können, erklärt Imke Sommer, Landesdatenschutzbeauftragte für Bremen. Konkret müssen Webseiten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ darüber informieren, warum sie Cookies nutzen. Farbliche Hervorhebungen etwa, die Internetnutzer subtil zu einer Zustimmung der Cookie-Nutzung drängen, verstoßen entsprechend gegen Artikel 12 der DSGVO.

Wie können sich Nutzer schützen?

Manche Irreführung, wie Voreinstellungen, kann man selbst erkennen. Oft kostet es viel Zeit und Mühe, die Einstellungen so zu ändern, dass sie zu den eigenen Interessen passen – Stichwort: Cookie-Banner. Nicht gegen alle kann man etwas tun. Manchmal wird etwa so oft nach einer Zustimmung gefragt, bis der Nutzer nachgibt. Google oder Instagram verfahren so bei ihren Cookie-Abfragen. Andere Dark Patterns wie manipulierende Fragen bleiben oft unbemerkt.

Was wird getan, um Nutzer zu schützen?

Einige Dark Patterns sind bereits gesetzlich verboten, etwa datenschutzunfreundliche Voreinstellungen. Auch gegen Abo-Fallen gibt es Gesetze. So müssen Kunden Käufe mittlerweile immer einmal final bestätigen, per Klick auf einen Knopf mit der Beschriftung „zahlungspflichtig bestellen“ oder einer vergleichbaren Aussage. Das Problem: „Die vorhandenen Regelungen erfassen immer nur einzelne Dark Patterns. Sie hinken damit der Entwicklung stets hinterher“, sagt Weinzierl. Mit dem neuen EU-Gesetz Digital Service Act will die Bundesregierung weiter gegen Dark Patterns vorgehen. Ein guter, aber nicht ausreichender Schritt, findet Weinzierl. Er wünscht sich weitere Regelungen im Vertragsrecht, Wettbewerbsrecht und der neuen E-Privacy-Verordnung der EU.

Was tun, wenn man auf eine Täuschung hereingefallen ist?

Ist der Nutzer der Meinung, dass ein Verstoß etwa gegen Artikel 12 der DSGVO vorliegt, können sich Betroffene bei den Datenschutzbehörden beschweren, empfiehlt Imke Sommer.

Wie gehen andere Länder mit der Problematik um?

Im US-Bundesstaat Kalifornien wurde ein Verbotsgesetz erlassen, das als erstes weltweit Dark Patterns als solche erwähnt. „Ein wichtiger Schritt“, meint Forscher Weinzierl, betont aber: „Gleichzeitig ist die kalifornische Vorschrift aber sehr eng.“ Sie gelte nur für datenschutzrechtliche Belange. Darüber hinaus setzt Kalifornien, anders als die DSGVO, auf eine Widerspruchslösung. Nutzer müssen also bewusst ablehnen, dass ihre Daten verarbeitet werden. Die US-Verbraucherschutzbehörde FTC wurde zuletzt ebenfalls aktiv und hat Regelungen für den elektronischen Geschäftsverkehr ergriffen.