25.06.2022

Dark Patterns: Vernehmlassung zu Guidelines des Europäischen Datenschutzausschusses (EDSA) abgeschlossen


In diesen Draft Guidelines befasst sich der EDSA mit der Frage, wann eine gezielte Beeinflussung von Nutzern auf Social Media Plattformen durch den Einsatz von grafischen Benutzerschnittstellen (GUI) sowie User Experiences (UX) zur Preisgabe zusätzlicher Personendaten noch zulässig sei und wann diese Schwelle überschritten werde.

Der EDSA ist der Auffassung, dass von einer unzulässigen Beeinflussung durch dark patterns bereits dann gesprochen werden könne, wenn das Design von GUI und UX den Nutzer zu einer "unbeabsichtigten, ungewollten sowie potenziell schädlichen Entscheidung" hinsichtlich der Verarbeitung seiner personenbezogenen Daten verleite.

Zur Konkretisierung dieser generell-abstrakten Formel werden in den Draft Guidelines verschiedene Anwendungsfälle (dark pattern categories), Beeinflussungsmittel (dark pattern types) sowie Beispiele behandelt.

Das folgende Beispiel fällt gemäss EDSA unter die dark pattern category „overloading” sowie den dark pattern type „continuous prompting“ und sei bereits unzulässig: „In the first step of the sign-up process, users are required to choose between different options for their registration. They can either provide an email address or a phone number. When users choose the email address, the social media provider still tries to convince users to provide the phone number, by declaring that it will be used for account security, without providing alternatives on the data that could be or was already provided by the users. Concretely, several windows pop up throughout the sign-up process with a field for the phone number, along with the explanation “We’ll use your [phone] number for account security”. Although users can close the window, they get overloaded and give up by providing their phone number“ (vgl. S. 14 Draft Guidelines).

Weiter werden folgende fünf dark pattern categories in den Draft Guidelines beschrieben (vgl. S. 7 f.):

Skipping: designing the interface or user experience in a way that the users forget or do not think about all or some of the data protection aspects.

Stirring:
affects the choice users would make by appealing to their emotions or using visual nudges.

Hindering:
an obstruction or blocking of users in their process of getting informed or managing their data by making the action hard or impossible to achieve.

Fickle: the design of the interface is inconsistent and not clear, making it hard for users to navigate the different data protection control tools and to understand the purpose of the processing.

Left in the dark:
an interface is designed in a way to hide information or data protection control tools or to leave users unsure of how their data is processed and what kind of control they might have over it regarding the exercise of their rights.

Des Weiteren führen die Draft Guidelines verschiedene DSGVO-Bestimmungen auf, die durch den Einsatz von dark patterns betroffen sein könnten: u.a. die Verarbeitungsgrundsätze (Art. 5 DSGVO), Einwilligungsbedingungen (Art. 4 Abs. 11 i.V.m. Art. 7 DSGVO), Betroffenenrechte (Art. 12 ff. DSGVO) sowie Privacy by Design and Default (Art. 25 DSGVO).

Im Rahmen der öffentlichen Vernehmlassung hat der EDSA sechsundzwanzig Eingaben verschiedener Stakeholder entgegengenommen. In diesem Zusammenhang wurde u.a. vorgebracht, dass der Begriff „Social Media Plattformen“ nicht definiert und damit der Anwendungsbereich der Guidelines unklar sei oder die Annahmen betreffend Erwartungen der Nutzer nicht „evidence-based and research-supported“ seien („as one example, the draft guidelines imply that humour easily distracts users, and that users would not expect account deletion functionalities on the bottom page of account settings“).

Next steps: Der EDSA wird die Vernehmlassungseingaben einarbeiten und die finale Version der Guidelines voraussichtlich im zweiten Halbjahr 2022 veröffentlichen.

Michal Cichocki
© LawBlogSwitzerland.ch
Maira Gall