Dark Patterns im Consent Management – und warum Sie lieber darauf verzichten sollten

Die DSGVO gibt klare Vorgaben, wie eine gültige Einwilligung zu erfolgen hat, nämlich vor allem freiwillig und informiert. Sobald Nutzer:innen durch sogenannte “Dark Patterns” (manipulative Techniken) dazu gebracht werden, ihre Einwilligung zu geben, ist diese ungültig – und Website-Betreiber haben ein datenschutzrechtliches Problem. Gleichzeitig zeichnet es sich ab, dass das Thema künftig noch mehr Aufmerksamkeit und Regulierung bekommt.

Damit Sie Dark Patterns bei der Gestaltung Ihres Cookie-Banners von Vornherein vermeiden können, muss Ihnen klar sein, was Dark Patterns überhaupt sind, welche es gibt und wo Ihre Alarmglocken schrillen sollten – auch bei der privaten Nutzung von Websites.

Längst haben Dark Patterns auch Einzug ins Consent Management gehalten. Insbesondere die folgenden manipulativen Design-Patterns werden häufig eingesetzt, um höhere Opt-In-Raten zu erzielen und damit mehr Daten erheben und analysieren zu können.

Das Misdirection-Dark Pattern lenkt durch auffällige grafische Elemente vom Inhalt ab und ist wohl das klassischste Dark Pattern, wenn es um die Gestaltung von Buttons geht.

Der Einsatz dieses Dark Patterns im UX-Design hat den Zweck, die Aufmerksamkeit der Nutzer:innen von einem Inhalt auf einen anderen zu lenken. Wenn Nutzer:innen zwischen zwei Optionen wählen sollen, ist meist die Option grafisch besonders hervorgehoben, die dem Interesse des Website-Betreibers entspricht. Dabei wird sowohl mit Signalwirkung und Auffälligkeit, aber auch mit Farbpsychologie gearbeitet.

Ein Beispiel: Wenn es zwei gleichwertige Buttons gibt und der eine ist kräftig grün und der andere etwas heller, würde man sicher von Nudging (siehe unten) sprechen. Wenn der zweite Button jedoch so stark ausgegraut ist, dass man ihn kaum noch erkennen kann, gilt es bereits als ein Dark Pattern.

Abb. 1.: Beispiele für Deliberate Misdirection.

Forced Enrollment zwingt zur Akzeptanz von bestimmten Bedingungen, um einen Dienst nutzen zu können, obwohl die Zustimmung für die Erbringung des Dienstes eigentlich gar nicht erforderlich wäre.

Hier befinden wir uns im Bereich des Consent Managements nicht nur in einer moralisch fragwürdigen Situation, sondern auch rechtlich. Der Grund: Die Freiwilligkeit bzw. die Wahlfreiheit ist Kern der datenschutzrechtlichen Einwilligung. Sie verlangt, dass den Betroffenen die Wahl gelassen wird: Möchten Sie die Datenverarbeitung oder nicht? Dabei sollten Ihnen im Falle der Ablehnung keine Nachteile entstehen.

Grundlage hierfür ist das datenschutz- sowie das wettbewerbsrechtliche Kopplungsverbot. Das heißt, die Erbringung einer Leistung darf grundsätzlich nicht an die Bereitstellung von Daten oder die Einwilligung zur Nutzung von Daten zu Zwecken, die für die Leistungserbringung nicht erforderlich sind, gekoppelt werden. (Ausnahmen gelten hier insbesondere für die Betreiber von Medienangeboten wie beispielsweise Zeitungen, sowie das Angebot von Gewinnspielen und sogenannten „Freebies“, also Whitepaper, Webinare oder ähnliches, allerdings hier unter strengen Voraussetzungen (OLG) Frankfurt (Urteil vom 27.06.2019 Az: 6 U 6/19).

Beim Confirmshaming findet die Manipulation auf textlicher Ebene statt. Die Option, die der Manipulierende vermeiden möchte, ist so formuliert, dass die Nutzer:innen sich nicht mit der Aussage auf dem Button identifizieren wollen und daher die andere Option wählen.

Dieser Typ von Dark Patterns löst bei den Nutzer:innen bewusst ein schlechtes Gefühl aus, sollten sie nicht im Sinne des Anbieters handeln.

Ein klassisches Beispiel aus dem eCommerce-Bereich: Bei einer Newsletter-Anmeldung kann ein 20%-Rabatt gewährt werden, wobei die Ablehnen-Option jedoch mit „Nein danke, ich möchte nicht sparen. Ich habe genug Geld.“ beschriftet ist.

Im Consent-Management begegnen uns Confirmshaming-Buttons immer häufiger. Die Bandbreite des Shamings reicht dabei von schwach bis sehr deutlich.

Beispiele:

• “Nein, ich will anonym bleiben.”
• “Nein, ich will keine besseren Angebote bekommen.”
• “Nein, ich möchte Ihnen nicht bei der Optimierung Ihrer Website helfen.”
• “Nein, ich habe etwas zu verbergen.”
• “Nein, meine Daten gehen Sie gar nix an!”
• “Nein, Premium-Service ist nichts für mich. Ich will nur das Standardangebot.”

Da es den meisten Nutzer:innen sicherlich schwer fällt, sich mit diesen Aussagen zu identifizieren, wirkt der Klick auf “Ja, ich will den besten Service” plötzlich viel attraktiver und sie stimmen damit der Datenerhebung und -verarbeitung zu.

Das Roach Motel macht es den Nutzer:innen möglichst leicht, in eine für den Anbieter günstige Situation zu kommen und erschwert es ihnen, diese wieder zu verlassen.

Wir kennen das von Mobilfunkverträgen oder Zeitungsabonnements, die mit einem Klick geschlossen werden können, das Beenden aber nur mühsam, z.B. über den Postweg oder per Anruf, zu vollziehen ist.

Das Datenschutzrecht sieht vor, dass gegebener Consent schnell und auch genauso einfach wie er erteilt wurde, wieder zurückgenommen werden können muss. In der Realität sieht dies häufig anders aus: Wenn man einmal auf “Akzeptieren” geklickt hat, ist es oftmals schwer, den Pfad zu den Einstellungen wiederzufinden. Häufig muss man ans untere Ende der Seite scrollen, die Datenschutzhinweise aufrufen und hoffen, dass man dort direkt die Einstellungen anpassen kann. Mitunter ist der Link zu den Einstellungen aber auch im Fließtext der Datenschutzerklärung versteckt und muss erst innerhalb der riesigen Texttapete gefunden werden.

Dieses Dark Pattern funktioniert, weil die meisten Nutzer:innen naturgemäß eher klick-faul und ungeduldig sind – vor allem, wenn sie schnell auf eine bestimmte Seite gelangen wollen. Daher werden die Klickwege zu verschiedenen Optionen unterschiedlich lang gestaltet, damit Nutzer:innen eher die schnelle und einfache Variante wählen als die, die sie durch mehrere Untermenüs navigiert.

Cookies schnell und einfach zu akzeptieren, ist normalerweise kein Problem – und gelingt meist schon durch einen einzigen Klick. Die Alternative ist oft komplizierter. Da heißt es erstmal “Einstellungen” aufsuchen und man wird auf eine weitere Ebene geleitet, die vor Texten, Untermenüs und weiterführenden Links sowie zahlreichen Toggle-Optionen nur so strotzt.

Eine Beschränkung auf die erforderlichen Cookies kann daher meist nur durch mehrere Klicks erreicht werden, was gerade die in der DSGVO geforderte Freiwilligkeit und aufgrund der Unübersichtlichkeit auch die Informiertheit in Frage stellt und daher auch zu rechtlichen Konsequenzen führen kann.

Das Preselection-Dark Pattern nimmt eine freiwillige (wenn auch abänderbare) Vorauswahl zwischen verschiedenen Möglichkeiten vorweg und agiert dabei so gut wie immer im Sinne des Website-Betreibers und nicht im Sinne des zu schützenden Individuums.

Im Consent Management war dieses Dark Pattern zunächst weit verbreitet. Besonders das Planet49-Urteil des EuGH bzw. die Cookie-II-Entscheidung des BGH hat dem jedoch einen Riegel vorgeschoben und Rechtssicherheit gebracht: Ein Vorankreuzen stellt keine Einwilligung dar und wenn es als solche genutzt wird, drohen rechtliche Konsequenzen.

Dieses Dark Pattern macht relevante Informationen nur schwer zugänglich, indem es entweder Click Fatigue nutzt und die Informationen in komplexen Untermenüs unterbringt oder sie ganz versteckt.

Dies geschieht über sehr kleinen oder ausgegrauten Text, winzige Fußnoten oder sogar über Benutzerelemente, die überhaupt erst sichtbar werden, wenn man mit der Maus über einen unauffälligen Bereich hovert (Abb. 2 und Abb. 3). Auch hier droht eine Abmahnung, da von einer nach DSGVO-Anforderungen wirklich informierten und freiwilligen Einwilligung nicht gesprochen werden kann. Die entscheidenden Informationen müssen jederzeit einfach zugänglich sein.

Abb. 2: Kein Button zum Ablehnen
oder für weitere Einstellungen
sichtbar.

Abb. 3: Erst wenn der Mauszeiger in den relevanten Bereich kommt, erscheint ein Button mit der Bezeichnung “Mehr”.

Auf unsere Ungeduld beim Besuch einer Website zielt auch das Nagging-Dark Pattern ab. Meist wird es als Pop-Up eingesetzt, das immer wieder auftaucht, auch nachdem die Nutzer:innen eine Entscheidung getroffen haben – insofern diese nicht dem Wunsch des Website-Betreibers entspricht.

Beim Consent Management wird das Cookie-Banner immer und immer wieder angezeigt, bis die Nutzer:innen letztlich entnervt auf das “Genörgel” reagieren und zustimmen.

Doch hier ist Vorsicht geboten, da der Einsatz von Dark Patterns bald nicht nur rechtlich unterbunden werden könnte, sondern weil Website-Betreiber auch Ihre Kund:innen und vor allem deren Vertrauen in Ihre Marke verlieren können – entweder weil die Nutzer:innen schlichtweg genervt sind oder weil sie den Manipulationsversuch durchschauen und an der Aufrichtigkeit der Marke zweifeln.

Wir kennen Meatball-Notifications vor allem aus den Sozialen Medien und von unseren Mailprogrammen. Dabei handelt es sich um die meist roten Kreise, die oben rechts an einer App oder einem Programm-Icon erscheinen, wenn es eine neue Nachricht gibt.

Eine neue Mail, ein neuer Like auf Instagram oder eine Reaktion auf einen Tweet – die Notifications signalisieren, dass die App nun unbedingt geöffnet werden sollte, weil es eine Neuigkeit gibt. Dadurch werden wir darauf trainiert, neugierig zu werden, wenn wir diese Meatball-Notifications sehen.

Beim Consent Management erscheinen diese kleinen roten Meatballs inzwischen immer häufiger an einem verkleinerten Consent-Pop-Up am unteren Bildrand. Um die Benachrichtigung wegzubekommen oder aus Neugier, klickt man dann auf das Pop-Up, in der Annahme, dass etwas Spannendes passiert ist – weil wir es so ja gewohnt sind. Das ist aber nicht der Fall. Stattdessen teilt die Benachrichtigung nur mit, dass Sie immer noch nicht allen Marketing-Cookies zugestimmt haben und dass Personalisierung doch eigentlich eine feine Sache wäre, wenn Sie nur kurz der Datenerhebung und -verarbeitung zustimmen könnten. Hier ist aus einer clever gestalteten Benachrichtigung schnell ein manipulatives Dark Pattern geworden.

Das sogenannte „Nudging”, von englisch „to nudge” (= sanft schubsen), ist ursprünglich ein Begriff der Verhaltensökonomik. Durch verschiedenste Techniken wird der Nutzer mehr oder weniger sanft gelenkt, sich für eine bestimmte Option zu entscheiden.

Geprägt haben diesen Begriff der Wirtschaftswissenschaftler Richard Thaler und der Rechtswissenschaftler Cass Sunstein. Zusammen verfassten sie im Jahr 2008 das bis heute gültige Standardwerk “Nudge. Wie man kluge Entscheidungen anstößt”.

Inzwischen hat sich der Begriff von der Verhaltensökonomik losgelöst und ist zu einem Buzzword der Marketingkommunikation geworden. Die Unterscheidung zwischen Nudging und Dark Patterns liegt vor allem im Grad der Manipulation, dem Druck, mit dem eine bestimmte Handlung bei den Nutzer:innen angeregt wird und der Intention bzw. dem Ergebnis. Der Übergang zwischen zulässigem (positivem) Nudging, z. B. bei der Farbgestaltung von Buttons, und unzulässigem Nudging, den Dark Patterns, ist oft fließend und muss im Einzelfall entschieden werden.

In den letzten Monaten häufen sich die verschiedenen Bestrebungen, gegen den Einsatz von Dark Patterns im Internet vorzugehen. Ganz konkret fordern die EU-Staaten, dass im derzeit diskutierten Digital Services Act die Dark Patterns beim Verkauf von Waren und Dienstleistungen im Netz komplett verboten werden sollen (Stand November 2021).

Damit sollten Sie Ihr bestehendes Cookie-Banner bereits jetzt auf den Einsatz von manipulativen Design-Mustern prüfen und diese künftig vermeiden. Denn klar ist: Transparenz und Fairness zahlen auch auf das Vertrauen in Ihre Marke ein und währen auch im Sinne einer nachhaltigen Datenerhebung länger als Quick Wins durch irreführende Praktiken.

Dr. phil. Ramona Greiner, Digital Analytics und Data Ethics Consultant bei FELD M. FELD M ist eine Münchner Unternehmensberatung für datengetriebenes Marketing, WebAnalyse und Datenstrategie.