Hier finden Sie die FAQ zu Deceptive Design Patterns

Stand: Oktober 2024

Inhalt

 

Einleitung/Vorbemerkungen

Von Deceptive Design Patterns (dt. etwa: trügerischen Gestaltungsmustern) spricht man, wenn Benutzeroberflächen insbesondere in sozialen Medien so ausgestaltet sind, dass sie Nutzer_innen mit Hinblick auf die Verarbeitung personenbezogener Daten zu einer bestimmten Verhaltensweise (in der Regel zugunsten der verarbeitenden Social-Media-Plattform) verleiten. Dies kann etwa über verschiedene Aspekte beim Design, z.B. durch eine bestimmte Farbwahl oder die Platzierung von Inhalten, geschehen.

Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zum Umgang mit Deceptive Design Patterns erlassen. Ziel dieser Leitlinien ist es, Empfehlungen und Anleitungen für das Design von Benutzeroberflächen auf Social-Media-Plattformen bereitzustellen. Sie richten sich insbesondere an Anbieter_innen sozialer Medien als Verantwortliche für die Verarbeitung von personenbezogenen Daten.

Gleichzeitig eignen sich die Leitlinien dafür, das Bewusstsein der Nutzer_innen mit Blick auf ihre Rechte und die Risiken, die durch Deceptive Design Patterns entstehen, zu schärfen. Nutzer_innen sollen darüber aufgeklärt werden, worum es sich bei Deceptive Design Patterns handelt und wie ihnen begegnet werden kann. Dies soll ihnen dabei helfen, ihre Privatsphäre bewusst zu schützen.

Die vom EDSA erlassenen Leitlinien befassen sich lediglich mit der Verwendung von Deceptive Design Patterns auf Social-Media-Plattformen. Dies bedeutet jedoch nicht, dass Deceptive Design Patterns nur dort vorzufinden sind. Deceptive Design Patterns können an vielen anderen Stellen vorkommen, an denen Nutzer_innen mit Produkten und Dienstleistungen in Berührung kommen, die auf Datenverarbeitungen beruhen. Hierzu gehören etwa Webseiten, Cookie-Banner, Online-Shops, Videospiele oder Apps für Smartphones.

Die Leitlinien untersuchen den Lebenszyklus eines Social-Media-Accounts auf der Basis von 5 Anwendungsfällen (sog. Use Cases), die jeweils mit Beispielen für die betreffenden Deceptive Design Patterns unterlegt sind. Am Ende jedes Anwendungsfalles werden Empfehlungen (sog. Best Practices) zur effektiven Umsetzung der Vorgaben der DS-GVO gegeben. In Annex I der Leitlinien findet sich zudem eine Auflistung der verschiedenen Kategorien und Arten von Deceptive Design Patterns sowie die dadurch betroffenen Vorschriften der DS-GVO. Annex II der Leitlinien fasst abschließend die Best-Practice-Empfehlungen zusammen.

 

Allgemeines

Welche Arten von Deceptive Design Patterns auf Social-Media-Plattformen gibt es (S. 3, Rn. 5f. und Annex I[1])?

[1] der Leitlinien 03/2022 zu deceptive design patterns

Hinsichtlich Deceptive Design Patterns kann grundsätzlich zwischen folgenden, nicht abschließenden Kategorien unterschieden werden: Overloading, Skipping, Stirring, Obstructing, Fickle und Left in the Dark.

Zusätzlich kann danach unterschieden werden, ob

  • der Inhalt als solcher (d.h. der Wortlaut, der Kontext der Sätze oder die Informationsbestandteile; sog. content-based Deceptive Design Patterns), oder
  • die Benutzeroberfläche (d.h. wie der Inhalt dargestellt wird, durch den Inhalt navigiert oder mit ihm interagiert werden kann; sog. interface-based Deceptive Desgin Patterns)

betroffen ist.

Welche datenschutzrechtlichen Vorschriften der DS-GVO können durch Deceptive Design Patterns berührt werden (S. 4, Rn. 10ff., 15ff., 25ff. 67, 86, 88f., und Annex I)?

Ausgangspunkt für die Bewertung von Deceptive Design Patterns ist der Grundsatz der fairen Datenverarbeitung (Datenverarbeitung nach Treu und Glauben) in Art. 5 Abs. 1 Buchst. a DS-GVO. Auch der Zweckbindungsgrundsatz in Art. 5 Abs. 1 Buchst. b DS-GVO und insbesondere der Grundsatz der Datenminimierung in Art. 5 Abs. 1 Buchst. c DS-GVO spielen eine Rolle mit Blick auf Deceptive Design Patterns. Eng mit den genannten Grundsätzen verbunden ist die Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 DS-GVO. Wichtigster Teil dieser internen Transparenz ist das Führen eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DS-GVO.

Konkret betroffene Vorschriften sind darüber hinaus Folgende:

  • Die Anforderungen an eine wirksame Einwilligung nach Art. 4 Nr. 11 i.V.m. Art. 7 DS-GVO.
  • Die Anforderungen an die Bereitstellung von Informationen an die betroffene Person aus Art. 12 Abs. 1 DS-GVO sowie die Erleichterung der Ausübung der Betroffenenrechte aus Art. 12 Abs. 2 DS-GVO.
  • Die Zurverfügungstellung der Vereinbarung über die gemeinsame Verantwortlichkeit gem. Art. 26 Abs. 1, 2 DS-GVO.Die Kommunikation gem. Art. 34 DS-GVO von Verletzungen des Schutzes personenbezogener Daten i.S.v. Art. 4 Nr. 12 DS-GVO.
  • Die Anforderungen an Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in Art. 25 Abs. 1 und 2 DS-GVO.

Was ist bei der Eröffnung eines Social Media Accounts mit Bezug auf die datenschutzrechtliche Einwilligung zu beachten (Rn. 25ff.)?

  • Die Einwilligung muss informiert erfolgen.
  • Die Aufforderung zur Einwilligung muss sich zudem von anderen Sachverhalten abheben, sowie klar und verständlich sein.
  • Nutzer_innen dürfen nicht mit ausufernden Informationen überhäuft werden.
  • Die Ablehnung der Einwilligung in eine bestimmte Verarbeitung darf nicht dazu führen, dass der Dienst nicht genutzt werden kann, da die Einwilligung in diesem Fall nicht als freiwillig, granular und bestimmt gelten kann.
  • Die Einwilligung darf nicht mit der Zustimmung zu den AGB gebündelt werden, da sie dann nicht informiert bzw. freiwillig abgegeben wäre.
  • Bei der Einwilligung muss es sich um einen eindeutigen, bestätigenden Akt handeln. Die Untätigkeit von Nutzer_innen und/oder vorangekreuzte Boxen können nicht als Einwilligung gewertet werden. Die Ablehnung der Einwilligung sollte keine Maßnahme der Nutzer_innen erfordern, in jedem Fall sollte sie aber mindestens so einfach wie möglich sein, wie die Erteilung der Einwilligung.

Zu den Anforderungen an eine wirksame Einwilligung siehe auch die Leitlinien des EDSA 05/2020 zur Einwilligung nach der DS-GVO: https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf.

Siehe außerdem die Leitlinien 08/2020 über die gezielte Ansprache von Nutzer_innen sozialer Medien:
https://www.edpb.europa.eu/system/files/2021-11/edpb_guidelines_082020_on_the_targeting_of_social_media_users_de_0.pdf

Was ist mit Blick auf den Widerruf der Einwilligung zu beachten (Rn. 30)?

  • Nutzer_innen müssen vor Einholung der Einwilligung auf ihr Recht hingewiesen werden, die Einwilligung jederzeit widerrufen zu können.
  • Der/die Verantwortliche/n müssen insbesondere nachweisen, dass für die Nutzer_innen tatsächlich die Möglichkeit besteht, ihre Einwilligung jederzeit ohne Nachteile zu widerrufen.
  • Der Widerruf muss ebenso einfach sein, wie die Erteilung der Einwilligung. Andernfalls gilt die Einwilligung als unwirksam.
    Beispiel: War die Einwilligung auf der Benutzeroberfläche nur durch einen Mausklick, eine Wischbewegung oder einen Tastendruck möglich, darf der Widerruf nicht länger dauern oder mehr Schritte vorsehen.

Siehe hierzu auch die Leitlinien des EDSA 05/2020 zur Einwilligung nach der DS-GVO: https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf.

Was ist mit Blick auf die Verwaltung der Datenschutzeinstellungen zu beachten (Rn. 121ff.)?

Nutzer_innen sollten während des gesamten Lebenszyklus eines Social Media Accounts in der Lage sein, ihre Datenschutzeinstellungen anzupassen. Ihnen steht das Recht zu, auf transparente Weise über all ihre Möglichkeiten informiert zu werden. Dabei kann beispielsweise ein „Privatsphäre-Dashboard“ helfen, auf welchem die Datenschutzeinstellungen zentralisiert zu finden sind.

Was ist mit Blick auf die Ausübung der Betroffenenrechte zu beachten (Rn. 142)?

  • Die Ausübung der Betroffenenrechte muss von Anfang an bis zum Ende der Nutzung möglich sein. In manchen Fällen auch, nachdem Nutzer_innen sich entschlossen haben, die Plattform zu verlassen.
  • Auch Nicht-Nutzer_innen der Plattform sollten in der Lage sein, ihre Rechte auszuüben.
  • Die Rechte, die zur Verfügung stehen, sind von der Rechtsgrundlage für die Datenverarbeitung abhängig. Anbieter_innen sozialer Medien müssen daher deutlich machen, warum bestimmte Rechte nicht oder nur eingeschränkt zur Verfügung stehen.
  • Die Ausübung der Rechte sollte beispielsweise durch Automatisierung von Abläufen erleichtert werden.

Was ist bei der dauerhaften Löschung eines Social Media Accounts zu beachten (Rn. 159ff)?

Die Entscheidung, eine Social Media Plattform zu verlassen, wird von dem Recht auf Löschung in Art. 17 Abs. 1 Buchst. a DS-GVO flankiert. Nach Art. 12 Abs. 2 DS-GVO soll der Verantwortliche die Ausübung der Betroffenenrechte aus den Art. 15 bis 22 DS-GVO erleichtern. Wird die Ausübung des Rechts auf Löschung ohne tatsächlichen Grund erschwert, stellt dies einen Verstoß gegen die DS-GVO dar. Hieraus folgt auch, dass jegliche Übergangsfristen zwischen der Löschungsanfrage durch Nutzer_innen und der tatsächlichen Löschung nicht unverhältnismäßig lang sein dürfen. Wurde die Löschung des Accounts aus irgendwelchen Gründen gestoppt bzw. unterbrochen, sind die Nutzer_innen hierüber zu informieren und es sind Informationen bereitzustellen, wie die Löschung zu Ende geführt werden kann.

Die Entscheidung der Nutzer_innen, die Plattform zu verlassen, löst die Rechtsfolgen des Art. 17 Abs. 1 DS-GVO aus. Die betroffenen Daten sind daher zu löschen, es sei denn eine der eng auszulegenden Ausnahmen in Art. 17 Abs. 3 DS-GVO kommt zum Tragen. Die Berufung auf eine solche Ausnahme muss vom Verantwortlichen gerechtfertigt werden. In keinem Fall erlaubt es Art. 17 Abs. 3 DS-GVO, dass der Account länger aufrechterhalten wird, als von Nutzer_innen bei der Löschung intendiert.

Was ist beim Pausieren eines Social Media Accounts zu beachten (Rn. 167ff)?

Der Unterschied zum Löschen eines Accounts besteht beim Pausieren darin, dass die personenbezogenen Daten beim sozialen Netzwerk verbleiben und der Account durch eine erneute Registrierung durch die Nutzer_innen reaktiviert werden kann.

  • Nutzer_innen müssen auf transparente Weise über die Folgen des Pausierens ihres Accounts, insbesondere mit Blick auf weiterhin erfolgende Datenverarbeitungen, informiert werden.
  • Hinsichtlich der Einwilligung ist zu beachten, dass Nutzer_innen erwarten, dass die Einwilligungen, die sie während der Anmeldung oder danach erteilt haben, nur Datenverarbeitungen während der aktiven Nutzung des Accounts abdecken.
  • Die berechtigten Erwartungen der Nutzer_innen sind auch bei einer Verarbeitung auf Grundlage von Art. 6 Abs. 1 Buchst. f DS-GVO zu berücksichtigen.

Nach Art. 6 Abs. 1 Buchst. b DS-GVO können nur die Speicherung der Nutzerdaten bis zur endgültigen Entscheidung über die Reaktivierung oder Löschung als erforderlich angesehen werden.

 

Arten und Kategorien von Deceptive Design Patterns

Overloading (dt. etwa: „Überladen“)

Was ist Overloading (S. 4, Rn. 5 und Annex I 4.1)?

Nutzer_innen werden mit einer großen Menge an Anfragen, Informationen, Optionen und/oder Möglichkeiten konfrontiert, wodurch sie dazu verleitet werden, mehr Daten preiszugeben oder unbeabsichtigt entgegen ihrer Erwartungen eine Datenverarbeitung erlauben.

Wie kann Overloading aussehen?

Continuous Prompting: Nutzer_innen werden wiederholt dazu aufgefordert, weitere Daten zur Verfügung zu stellen oder für einen (weiteren) Verarbeitungszweck zuzustimmen. Dies kann geräteübergreifend geschehen und sowohl im Rahmen der Anmeldung, als auch während der Nutzung beim Verwalten der Einwilligung vorkommen. Nutzer_innen werden hierdurch dazu gebracht, mehr Daten als erforderlich preiszugeben oder weiteren Nutzungen ihrer Daten zuzustimmen, als ursprünglich beabsichtigt, weil sie es leid werden, die Anfragen hierzu bei jeder Nutzung der Plattform aufs Neue ablehnen zu müssen.

(Use cases 1 und 3a sowie Beispiele 1, 2 und 35; Annex I 4.1.1 der Leitlinien)

Continuous prompting, Bild: EDSA, Leitlinien

Privacy Maze: Hierbei wird es den Nutzer_innen besonders schwergemacht, an Informationen oder Datenschutzeinstellungen zu gelangen, indem diese hinter vielen Schichten und auf verschiedenen Seiten verteilt werden, durch die sich die Nutzer_innen, ohne einen vollständigen Überblick zu haben, durcharbeiten müssen. Dies betrifft auch Fälle, in denen verschiedene Apps derselben Anbieter_innen betroffen sind, bspw. wenn Nutzer_innen eines Messengerdienstes den Browser oder die zugehörige Haupt-App aufrufen müssen, um an die Information oder Funktion zu gelangen. Zwar gibt es keinen einheitlichen Ansatz dazu, wie viele Schritte für Nutzer_innen von Social-Media-Plattformen zur Änderung von Datenschutzeinstellung noch tragbar sind. Gleichzeitig kann eine höhere Zahl von Schritten dazu führen, dass Nutzer_innen Änderungen nicht abschließen oder sie wichtige Schritte übersehen. Dies ist besonders in Fällen möglich, in denen sie mehrere unterschiedliche Änderungen vornehmen möchten.

Zur Erleichterung des Auffindens von Informationen oder der Ausübung von Betroffenenrechten kann eine Social-Media-Plattform mehrere Wege zu den Rechten der betroffenen Person vorsehen und verfügbar machen. Allerdings sollte jeder dieser Wege den Zugang zur Ausübung der Rechte erleichtern und nicht mit einem der anderen Wege kollidieren. Ist dies nicht der Fall, liegt ein Deceptive Design Pattern vor.

(Use cases 2a, 3a, 3b, 4, und 5; Beispiele 17, 33, 37, 47, 48 und 51; Annex I 4.1.2 der Leitlinien).

Beispiel für Overloading – Privacy Maze, Bild: EDSA, Leitlinien

Overloading – Privacy Maze, Bild: EDSA, Leitlinien

 

Too many options: Sehen sich Nutzer_innen zu vielen Seiten/Tabs ausgesetzt, die sie zur Verwaltung ihrer Datenschutzeinstellungen überprüfen und durchsehen müssen, wirkt dies überfordernd. Zu viele Optionen, zwischen denen Nutzer_innen wählen müssen, führen dazu, dass sie nicht in der Lage sind, eine Wahl zu treffen, oder dass sie Einstellungen übersehen und schlussendlich aufgeben und ihre Datenschutzpräferenzen daher nicht korrekt einstellen.

(Use case 3b und Beispiel 35; Annex I 4.1.3 der Leitlinien)

Was ist beim Abschichten (layering) von Informationen und Funktionen mit Hinblick auf das Privacy Maze zu beachten (Rn. 67, 79ff.)?

Grundsätzlich kann das Abschichten (layering) von Informationen zu einer klareren Darstellung der Datenschutzerklärung i.S.v. Art. 12 Abs. 2 DS-GVO beitragen. In wie vielen Schichten die Informationen präsentiert werden sollten, unterscheidet sich von Fall zu Fall. Eine konkrete Anzahl hierfür kann nicht genannt werden, allerdings ist davon auszugehen, dass bei mehr Schichten dieNutzer_innen eher abgeschreckt oder irregeführt werden.

Gegen welche datenschutzrechtlichen Vorschriften wird durch continuous prompting verstoßen (Rn. 33ff., 119f., Annex I 4.1.1)?

Wird ständig nach einer zunächst nicht erteilten Einwilligung gefragt, stellt dies eine Hinderung bei der Nutzung des Accounts dar und bedeutet, dass die Nutzer_innen die Einwilligung nicht ohne Nachteile verweigern (und im Ergebnis auch nicht widerrufen) können. Das steht der Vorgabe entgegen, dass die Einwilligung nach Art. 7 i.V.m. Art. 4 Nr. 11 DS-GVO freiwillig abgegeben werden muss. Auch der Druck, der durch die ständigen Anfragen entsteht, steht der Freiwilligkeit entgegen. Zudem kann die Anforderung aus Art. 7 Abs. 3 DS-GVO, dass der Widerruf so einfach sein muss wie die Einwilligung, nicht erfüllt sein, weil idR umgekehrt nicht regelmäßig nachgefragt wird, ob die erteilte Einwilligung widerrufen werden soll.

Des Weiteren kann sowohl der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DS-GVO) als auch der Zweckbindungsgrundsatz (Art. 5 Abs. 1 Buchst. b DS-GVO) betroffen sein, wenn Daten eingefordert werden, die für die Erbringung der entsprechenden Dienstleistung oder den betreffenden Zweck nicht erforderlich sind. Darüber hinaus kann auch das Prinzip der fairen Datenverarbeitung aus Art. 5 Abs. 1 Buchst. a DS-GVO verletzt sein.

Gegen welche datenschutzrechtlichen Vorschriften wird durch Privacy Maze verstoßen (Rn. 82, 117f., 131, 150ff., Annex I 4.1.2)?

  • Dass Informationen schwerer zu finden sind als notwendig steht im Gegensatz zu Art. 12 Abs. 1 DS-GVO.
  • Ist die Datenschutzerklärung hierdurch nicht komplett, verletzt dies Art. 13 und 14 DS-GVO.
  • Ist die Zurverfügungstellung der Vereinbarung über die gemeinsame Verantwortlichkeit betroffen, kommt Art. 26 Abs. 1, 2 DS-GVO ins Spiel.
  • Wird es zu schwer, die entsprechenden Informationen zu finden, kann die Einwilligung nicht als informiert nach Art. 7 Abs. 2 i.V.m.. Art. 4 Nr. 11 DS-GVO gelten.
  • Ein Problem kann auch die Anforderung des Art. 7 Abs. 3 DS-GVO sein (der vorsieht, dass der Widerruf der Einwilligung ebenso einfach möglich ist wie ihre Erteilung) und zwar, wenn der Prozess des Widerrufs aufgrund von Privacy Maze mehr Schritte erfordert, als es bei der Erteilung der Einwilligung notwendig war.
  • Werden Nutzer_innen daran gehindert, gewünschte Änderungen vorzunehmen oder dazu verleitet, Änderungsmöglichkeiten zu übersehen, verstößt dies gegen den Grundsatz der Fairness in Art. 5 Abs. 1 Buchst. a DS-GVO.
  • Hindert eine exzessive Zahl an Schritten die Nutzer_innen bei der Ausübung der Betroffenenrechte, wird damit der Grundsatz der fairen Datenverarbeitung verletzt, ebenso wie Art. 12 Abs. 1 und 2 DS-GVO.

Gegen welche datenschutzrechtlichen Vorschriften verstößt too many options (Rn. 127, Annex I 4.1.3)?

Hier liegt ein Verstoß gegen das Prinzip der fairen Datenverarbeitung und das Transparenzgebots vor. Insbesondere kann Art. 12 Abs. 1 DS-GVO verletzt sein, da entweder eine bestimmte Einstellung im Zusammenhang mit der Datenverarbeitung schwer zu erreichen oder der Unterschied zwischen verschiedenen Optionen unklar ist.

 

Skipping (dt. etwa „Überspringen“)

Was ist Skipping (S. 3, Rn. 5, Annex I 4.2)?

Die Benutzeroberfläche ist in diesem Fall so ausgestaltet, dass die Nutzer_innen sich keine Gedanken zu Datenschutzaspekten machen oder diese vergessen.

Wie kann Skipping aussehen?

Deceptive Snugness: In diesem Fall sind die dateninvasivsten Einstellungen bereits im Voraus ausgewählt. Dieses Deceptive Design Pattern kann mit dem Deceptive Design Pattern Hidden in Plain Sight (s.u.) kombiniert sein, bspw. wenn Nutzer_innen die verschiedenen Möglichkeiten zwar angezeigt werden, diese aus datenschutzrechtlicher Sicht nachteilhafte Möglichkeiten allerdings sowohl vorausgewählt als auch optisch hervorgehoben sind. Nach dem Anmeldeprozess wird Nutzer_innen die Option zur Änderung ihrer Einstellungen dann nicht mehr (direkt) angeboten und/oder erfordert mehrere Schritte. Durch Deceptive Snugness wird das Datenschutzlevel im Ergebnis einseitig durch die Anbieter_innen bestimmt, da Nutzer_innen dazu verleitet werden, es bei den Voreinstellungen zu belassen, selbst wenn andere Option möglich sind bzw. ihnen sogar präsentiert werden.

(Use Cases 1, 3b und 5; Beispiele 9, 39,40 und 55; Annex I 4.2.1 der Leitlinien)

Deceptive Snugness, Bild: EDSA, Leitlinien

Look over there: Hierbei stehen datenschutzrechtliche Maßnahmen und/oder Informationen im Wettbewerb mit anderen (nicht zwingend datenschutzrechtlichen) Elementen. Entscheiden sich Nutzer_innen für die andere, ablenkende Option, kann es sein, dass sie die eigentlich geplante Maßnahme oder gesuchte Information vergessen. So können Anbieter_innen Nutzer_innen bspw. mit vielen irrelevanten Informationen überhäufen und infolgedessen die relevanten Informationen untergehen.

(Use Cases 2c, 3a und 5; Beispiele 25, 29, 56 und 58; Annex I 4.2.2 der Leitlinien)

Gegen welche datenschutzrechtlichen Vorschriften verstößt Deceptive Snugness (Rn. 54f., 60, 135f., 177 Annex I 4.2.1)?

  • Wird nicht die datensparsamste Option hervorgehoben, ist dies nicht im Einklang mit dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 Buchst. c DS-GVO.
  • Des Weiteren verstößt die Vorauswahl von datenintensiven Optionen gegen das Prinzip des Datenschutzes durch datenschutzfreundliche Voreinstellungen aus Art. 25 Abs. 2 DS-GVO.
  • Wird Deceptive Snugness auf die Einwilligung angewandt, sind die Anforderungen an eine Einwilligung nach Art. 4 Nr. 11 DS-GVO nicht erfüllt und die Verarbeitung ist nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 Buchst. a DS-GVO unrechtmäßig.
  • Ist beim Versuch der Löschung des Accounts, die Option, den Account zu pausieren, vorausgewählt, werden Nutzer_innen dazu gebracht, eher diese Option auszuwählen als den Account zu löschen. Damit kann ein Verstoß gegen Art. 12 Abs. 2 DS-GVO vorliegen.

Gegen welche datenschutzrechtlichen Vorschriften verstößt Look over there (Rn. 97, 109f., 179, Annex I 4.2.2)?

  • Setzen sich die Nutzer_innen durch die ablenkende andere Option nicht mit der Thematik auseinander, steht die Informiertheit der Einwilligung infrage (Art. 4 Nr. 11, 7 Abs. 2 DS-GVO). Des Weiteren hebt sich die Bitte um Einwilligung in einem solchen Fall nicht klar von anderen Sachverhalten ab, was ebenfalls einen Verstoß begründet.
  • Brauchen die Nutzer_innen im Rahmen der Löschung des Accounts nachdem sie die „ablenkende Option“ (etwa die Möglichkeit, die Daten zu downloaden) wahrgenommen haben, mehrere Schritte, um die eigentlich geplante Löschung durchzuführen, kann ein Verstoß gegen Art. 12 Abs. 2 DS-GVO und Art. 25 Abs. 1 DS-GVO vorliegen.
  • Kommt das Deceptive Design Pattern im Rahmen der Mitteilung einer Datenschutzverletzung vor, ist Art. 34 i.V.m. 12 DS-GVO verletzt.

 

Stirring (dt. etwa „(auf-)Rühren“)

Was ist Stirring (S. 3, Rn. 5, Annex I 4.3)?

Beim Stirring werden die Entscheidungen der Nutzer_innen beeinflusst, indem an ihre Gefühle appelliert wird oder visuelle Anreize eingesetzt werden.

Wie kann Stirring aussehen?

Emotional steering: Bei diesem Deceptive Design Pattern werden Wortwahl oder visuelle Elemente (wie etwa Stil, Farben, Bilder u.a.) so eingesetzt, dass Nutzer_innen sich gut, sicher oder belohnt bzw. angespannt, schuldig oder bestraft fühlen. Die Auswirkungen solcher Praktiken können noch verstärkt werden, indem sie auf die von der Plattform gesammelten Daten gestützt werden. Zwar kann eine derartige Steuerung während der gesamten Nutzererfahrung auf der Plattform vorkommen. Aber der Steuerungseffekt kann während des Anmeldeprozesses besonders stark sein, da sich die Nutzer_innen einem Übermaß an Informationen ausgesetzt sehen, während sie gleichzeitig mit verschiedenen Anmeldungsschritten beschäftigt sind.

Im Rahmen der Registrierung und Erstellung eines Accounts kann emotional steering vor dem Hintergrund der während dieses Prozesses bestehenden generellen Überforderungssituation einen hohen Einfluss auf schutzbedürftigere Gruppen, wie etwa Kinder oder ältere Menschen haben.

Bei der Löschung eines Accounts kann emotional steering dadurch stattfinden, dass die Konsequenzen der Kontolöschung als besonders negativ dargestellt werden.

(Use Cases 1 und 5; Beispiele 4, 5, 6 und 52; Annex I 4.3.1 der Leitlinien)

Beispiel für Emotional Steering

Emotional Steering, Bild: EDSA, Leitlinien

Hidden in Plain Sight: Nutzer_innen werden erforderliche Informationen oder Datenschutzeinstellungen auf eine Weise angezeigt, in der sie einfach übersehen werden können, bspw. durch eine kleinere Schrift oder einer Farbe, die sich nicht genug vom Hintergrund abhebt. Dies wird verstärkt, wenn ein oder mehrere auffälligere Elemente daneben platziert werden. Nutzer_innen werden durch Hidden in Plain Sight dazu gebracht, für sie nachteiligere und/oder invasivere Optionen zu wählen, weil es hierdurch anstrengender und zeitaufwändiger wird, die betreffenden Informationen und Datenschutzoptionen zu finden. Dieses Deceptive Design Pattern kann auch in Kombination mit dem Deceptive Snugness vorkommen.

(Use Cases 1, 3a, 3b und 4; Beispiele 8, 34, 40 und 48; Annex I 4.3.2 der Leitlinien)

 

Beispiel für Hidden in Plain Sight

Hidden in Plain Sight, Bild: EDSA, Leitlinien

Gegen welche datenschutzrechtlichen Vorschriften verstößt emotional steering (Rn. 47f. 174, Annex I 4.3.1)?

  • Die Beeinflussung von Entscheidungen durch die Bereitstellung verzerrter (biased) Informationen kann grundsätzlich als Verstoß gegen den Grundsatz der Datenverarbeitung nach Treu und Glauben in Art. 5 Abs. 1 Buchst. a DS-GVO angesehen werden.
  • Dadurch, dass die Nutzer_innen letztendlich mehr Daten von sich preisgeben, als es für die Nutzung des Service selbst notwendig ist, kann auch eine Verletzung des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 Buchst. c DS-GVO vorliegen.
  • Des Weiteren ist fraglich, inwieweit von einem „freien Willen“ der Nutzer_innen gesprochen werden kann, wenn diese sich durch die inhaltliche Darstellung dazu verpflichtet fühlen, die betreffenden Informationen bereit zu stellen. Fehlt es damit an der Freiwilligkeit, steht die Wirksamkeit der Einwilligung nach Art. 7 DS-GVO i.V.m. Art. 4 Nr. 11 DS-GVO infrage.
  • Wird eine Verpflichtung oder Dringlichkeit suggeriert, die tatsächlich nicht besteht, kann dies auch bedeuten, dass die bereitgestellten Informationen unklar waren. Entsprechend liegt keine informierte Einwilligung vor.
  • Ist die Ausübung von Betroffenenrechten tangiert, liegt ein Verstoß gegen das Gebot, die Ausübung der Betroffenenrechte zu erleichtern, aus Art. 12 Abs. 2 DS-GVO vor.

Gegen welche datenschutzrechtlichen Vorschriften verstößt Hidden in Plain Sight (Rn. 52, 110, 138, 154, Annex I 4.3.2)?

  • Selbst wenn Anbieter_innen alle nach Art. 13 und 14 DS-GVO notwendigen Informationen bereitstellen, kann ein Verstoß gegen die allgemeinen Transparenzvorschriften in Art. 12 Abs. 1 DS-GVO vorliegen, wenn die Informationen aufgrund ihrer Präsentation leicht übersehen werden können.
  • Des Weiteren ist ein Verstoß gegen das Prinzip der fairen Datenverarbeitung aus Art. 5 Abs. 1 Buchst. a DS-GVO gegeben.
  • Kommt Hidden in Plain Sight im Zusammenhang mit der Ausübung von Betroffenenrechten vor, liegt ein Verstoß gegen Art. 12 Abs. 2 DS-GVO vor.

 

Obstructing (dt. etwa „behindern“)

Was ist Obstructing (S. 4, Rn. 5, Annex I 4.4)?

Die Nutzer_innen werden davon abgehalten oder daran gehindert, sich zu informieren oder ihre Daten zu verwalten, indem dies schwer oder unmöglich gemacht wird.

Wie kann Obstructing aussehen?

Dead end: Das ist der Fall, wenn Informationen oder Datenschutzeinstellungen nicht bereitgestellt werden. Dies kann verschiedene Ausprägungen haben. Zum einen können Information von vorneherein nirgends aufgeführt werden. Zum anderen können datenschutzrechtliche Maßnahmen oder Optionen, die zunächst noch verfügbar waren, im späteren Verlauf der Nutzung nicht mehr auffindbar sein. Nicht zuletzt kann es auch vorkommen, dass Anbieter_innen Verlinkungen bereitstellen, die ohne erkennbaren Grund nicht funktionieren.

(Use Cases 1, 2a, 3a und 4; Beispiele 10, 11, 18, 30, 31 und 43, Annex I 4.4.1 der Leitlinien)

Longer than necessary: Des Weiteren kann Obstructing in Form von longer than necessary auftreten, wenn die Aktivierung von Datenschutzkontrollen oder der Widerruf der Einwilligung mehr Schritte erfordern als die Aktivierung weniger invasiver Einstellungen bzw. die ursprüngliche Erteilung der Einwilligung.

(Use Cases 1, 3a, 4 und5; Beispiele 7, 32, 50, 57 und 58; Annex I 4.4.2 der Leitlinien)

Misleading action: Zwischen Information und verfügbaren Maßnahmen liegt eine Diskrepanz vor, die Nutzer_innen dazu verleitet, etwas zu tun, was sie nicht vorhatten. Der Unterschied zwischen dem, was die Nutzer_innen erwarten und dem, was sie bekommen, macht es wahrscheinlich, dass sie davon abgeschreckt werden, weiterzumachen.

(Use Cases 1 und3a; Beispiele 3 und 28; Annex I 4.4.3 der Leitlinien)

Gegen welche datenschutzrechtlichen Vorschriften verstößt dead end (Rn. 62, 64f., 84f., 111f., 114, 145f., Annex I 4.4.1)?

  • Im Falle der fehlenden Information bzw. der fehlenden Abrufbarkeit der Information wird der Grundsatz der Transparenz und der einfachen Zugänglichkeit von Information nach Art. 12 Abs. 1 DS-GVO verletzt. Des Weiteren werden die Anforderungen an die Informationspflichten nach Art. 13 Abs. 1 und Abs. 2 DS-GVO nicht erfüllt.
  • Betrifft dies die für die Erteilung der Einwilligung notwendigen Informationen, sind die Anforderungen an eine informierte Einwilligung aus Art. 7 Abs. 2 i.V.m. Art. 4 Nr. 11 DS-GVO nicht erfüllt.
  • Haben Nutzer_innen nach Anmeldung keinen Zugang zu ihren Datenschutzeinstellungen und damit keine Möglichkeit eine bei Anmeldeprozess abgegebene Einwilligung zu widerrufen, wird Art. 7 Abs. 3 DS-GVO verletzt.
  • Wird der Widerruf zwar im System registriert, spiegelt sich dies auf der Benutzeroberfläche jedoch nicht wieder, könnte dies gegen das Prinzip der fairen Datenverarbeitung nach Art. 5 Abs. 1 Buchst. a DS-GVO verstoßen.
  • Ebenso können fehlgeleitete Navigation oder inkonsistentes Design der Benutzeroberfläche, welche zu nicht nutzbaren Funktionen führen, nicht als faire Datenverarbeitung nach Art. 5 Abs. 1 Buchst. a DS-GVO gewertet werden.
  • Hinsichtlich der Ausübung der Betroffenenrechte kann ein Verstoß gegen Art. 12 Abs. 2 DS-GVO vorliegen. Es reicht nicht aus, dass Nutzer_innen nur gezeigt wird, dass sie Betroffenenrechte haben, sie müssen auch in der Lage sein, diese Rechte einfach ausüben zu können. Vorzugsweise auf eine Art, die in der Nutzeroberfläche der Plattform eingebettet ist, etwa durch Bereitstellen eines entsprechenden Formulars.

Gegen welchen datenschutzrechtlichen Vorschriften verstößt longer than necessary (Rn. 49, 115f., 157, Annex I 4.4.2)?

  • Beim Vorliegen von Longer than necessary kann ein Verstoß gegen das Prinzip der fairen Datenverarbeitung nach Art. 5 Abs. 1 Buchst. a DS-GVO gesehen werden.
  • Erfordert der Widerruf mehr Schritte als die ursprüngliche Einwilligung, liegt ein Verstoß gegen Art. 7 Abs. 3 DS-GVO vor.
  • Ist die Anzahl der Schritte, die benötigt werden, um Betroffenenrechte auszuüben, exzessiv hoch, kann das als Verstoß gegen Art. 12 Abs. 2 DS-GVO angesehen werden.
  • Des Weiteren können auch das Widerspruchsrecht nach Art. 21 Abs. 1 DS-GVO, die Anforderungen hinsichtlich der Informationen aus Art. 12 Abs. 1 DS-GVO sowie Art. 25 DS-GVO betroffen sein.

Gegen welchen datenschutzrechtlichen Vorschriften verstößt misleading action (Rn. 104, Annex I 4.4.3)?

  • Irreführende Maßnahmen sind nicht als transparent gem. Art. 12 Abs. 1 DS-GVO anzusehen.
  • Mit Hinblick auf den Widerruf wird zudem gegen die Vorgabe aus Art. 7 Abs. 3 DS-GVO verstoßen, dass der Widerruf ebenso einfach wie die Einwilligung sein muss.
  • Auch ein Verstoß gegen Art. 5 Abs. 1 Buchst. a DS-GVO kann vorliegen.

 

Fickle (dt. etwa „wankelmütig“)

Was ist Fickle (S. 4, Rn. 5, Annex I 4.5)?

Fickle bedeutet, dass das Design der Benutzeroberfläche inkonsistent und unklar ist, was es den Nutzer_innen erschwert, sich hinsichtlich der verschiedenen Datenschutzinstrumente zu orientieren und den Zweck der Verarbeitung zu verstehen.

Wie kann Fickle aussehen?

Lacking Hierarchy: Datenschutzrechtliche Informationen werden mehrmals auf viele verschiedene Arten präsentiert, ohne dass ein inneres System oder eine Hierarchie erkennbar wäre. Durch lacking hierarchy werden ähnliche Effekte wie bei conflicting information und emotional steering erzeugt. Nutzer_innen werden hierdurch in die Irre geführt und sind nicht in der Lage vollständig zu erfassen, wie ihre Daten verarbeitet werden und wie sie Kontrolle über die Verarbeitung behalten.

(Use Case 2a; Beispiele 13 und 14; Annex I 4.5.1 der Leitlinien)

Decontextualising: Die datenschutzrechtlichen Informationen oder Kontrollen sind auf einer Seite angesiedelt, die nicht in den Kontext passt. Da es nicht intuitiv wäre, auf dieser spezifischen Seite danach zu suchen, können Nutzer_innen die Information und Kontrollen nicht ohne Weiteres finden.

(Use Cases 3b und 5; Beispiele 41, 42, 59 und 60; Annex I 4.5.2 der Leitlinien)

Inconsistent interface: Eine Benutzeroberfläche ist über verschiedene Zusammenhänge hinweg oder hinsichtlich der Erwartung der Nutzer_innenen nicht konsistent. Diese Unterschiede können dazu führen, dass Nutzer_innen die gewünschten Einstellungen oder Informationen nicht finden können oder, dass Nutzer_innen aus Gewohnheit mit einem bestimmten Element interagieren. Dies kann dazu führen, dass eine Datenschutzeinstellung gewählt wird, die nicht gewollt ist.

(Use Cases 3b und 4; Beispiele 39, 50; Annex I 4.5.3 der Leitlinien)

Language discontinuity: Dabei werden die Informationen im Gegensatz zum Dienst selbst nicht in der offiziellen Sprache des Landes, in dem die Nutzer_innen leben, zur Verfügung gestellt. Ebenso kann es sein, dass beim Aufruf der betreffenden Seite die Sprache automatisch in eine andere Sprache wechselt. Beherrschen Nutzer_innen die Sprache, in der die Datenschutzinformationen bereitgestellt werden nicht, sind sie nicht ohne Weiteres in der Lage, diese zu verstehen und können damit nicht erfassen, wie ihre Daten verarbeitet werden.

(Use Cases 2a, 3a und 4; Beispiele 16, 26, 27 und 44; Annex 4.5.4 der Leitlinien)

Gegen welche datenschutzrechtlichen Vorschriften verstößt lacking hierarchy (Rn. 71, Annex I 4.5.1)?

Eine derartige Struktur macht die Informationen schwer verständlich, da das Gesamtbild nicht anschaulich ist. Dadurch werden die Anforderungen der Verständlichkeit und der leichten Zugänglichkeit nach Art. 12 Abs. 1 DS-GVO verletzt.

Gegen welche datenschutzrechtlichen Vorschriften verstößt decontextualising (Rn. 140, 187, Annex I 4.5.2)?

Die fehlende Transparenz und der dadurch erschwerte Zugang zu den entsprechenden Informationen verstoßen gegen Art. 12 Abs. 1 DS-GVO. Ist der Zugang zu Einstellungen, die die Ausübung der Betroffenenrechte tangieren, erschwert, liegt auch ein Verstoß gegen Art. 12 Abs. 2 DS-GVO vor.

Gegen welche datenschutzrechtlichen Vorschriften verstößt die inconsistent interface (Rn. 155, Annex I 4.5.3)?

Hier wird gegen die Anforderung der frei zugänglichen Informationen aus Art. 12 Abs. 1 DS-GVO sowie die der einfachen Ausübung der Betroffenenrechte aus Art. 12 Abs. 2 DS-GVO verstoßen.

Gegen welche datenschutzrechtlichen Vorschriften verstößt language discontinuity (Rn.  76f., 147, Annex I 4.5.4)?

Beherrschen Nutzer_innen die voreingestellte Sprache nicht, können sie auch die bereitgestellten Informationen nicht verstehen. Entsprechend liegt ein Verstoß gegen Art. 12 Abs. 1 DS-GVO vor. Die Informationen können des Weiteren nicht als im Sinne von Art. 13 und 14 DS-GVO bereitgestellt angesehen werden.

Müssen Nutzer_innen die Spracheinstellungen jedes Mal wieder ändern, wenn sie auf eine Seite mit für sie relevanten Informationen zugreifen, kann dies ein Verstoß gegen den Grundsatz der fairen Datenverarbeitung nach Art. 5 Abs. 1 Buchst. a DS-GVO darstellen.

Art. 5 Abs. 1 Buchst. a DS-GVO und Art. 12 Abs. 1 DS-GVO fordern zudem, dass sich Anbieter_innen auf die Sprache des Landes, in dem ihre Nutzer_innen ansässig sind, bzw. in dem sie ihren Service anbieten, einstellen, unabhängig von den konkreten Sprachfähigkeiten ihrer Nutzer_innen.

 

Left in the Dark (dt. etwa: “Im Dunkeln lassen”)

Was ist Left in the Dark (S. 4, Rn. 5, Annex I 4.6)?

Die Benutzeroberfläche ist so ausgestaltet, dass Informationen oder Datenschutzkontrollen verborgen sind oder die Nutzer_innen darüber im Unklaren gelassen werden, wie ihre Daten verarbeitet werden oder welche Art von Kontrolle sie durch die Ausübung ihrer Rechte über die Datenverarbeitung ausüben können.

Wie kann Left in the Dark aussehen?

Left in the Dark kann in Form von conflicting information auftreten.

(Use Cases 2a, 2c und 3b; Beispiele 12, 20 und 36; Annex I 4.6.1 der Leitlinien)

Des Weiteren kann ambiguous wording or information verwendet werden.

(Use Cases 2a, 2c, 4 und 5; Beispiele 15, 21, 22, 23, 24, 45, 53 und 54; Annex I 4.6.2 der Leitlinien)

Beispiel für Left in the Dark – Conflicting Information, Bild: EDSA, Leitlinien

Left in the Dark – Conflicting Information, Bild: EDSA, Leitlinien

Gegen welche Vorschriften verstoßen conflicting information bzw ambiguous wording or information (Rn. 71, 73f., 93, 102, 149, 176, Annex I 4.6.1 und 4.6.2)?

  • Werden Nutzer_innen Informationen auf eine Weise bereitgestellt, die Unsicherheiten mit Hinblick auf die Art und Weise der Datenverarbeitung oder der Kontrolle über ihre Daten und damit die Ausübung ihrer Rechte geschaffen, ist das eine Verletzung des Transparenzgebotes.
  • Sind Durchschnittsnutzer_innen ohne besondere Kenntnisse nicht in der Lage, die ihnen bereitgestellten Informationen zu verstehen, sind die Anforderungen von Art. 12 Abs. 1 DS-GVO nicht erfüllt.
  • Vage Formulierungen sind keine präzise Sprache im Sinne von Art. 12 Abs. 1 DS-GVO und führen dazu, dass Informationen unvollständig sind und daher nicht den Anforderungen aus Art. 13 DS-GVO entsprechen.
  • In der Folge kann auch der Grundsatz der fairen Datenverarbeitung gem. Art. 5 Abs. 1 Buchst. a DS-GVO verletzt sein.
  • Handelt es sich um eine Kommunikation im Falle einer Datenschutzverletzung, ist Art. 34 DS-GVO betroffen.
  • Zusätzlich zum Problem der fehlenden Information kann auch die Eindeutigkeit einer unter diesen Umständen abgegebenen Einwilligung nach Art. 4 Nr. 11 und 7 Abs. 2 DS-GVO infrage stehen.
  • Ein Verstoß gegen Art. 12 Abs. 2 DS-GVO liegt vor, wenn die Informationen zur Ausübung der Betroffenenrechte nach Art. 13 Abs. 2 Buchst. d DS-GVO tangiert sind.
  • Des Weiteren können im Einzelfall weitere Vorgaben der DS-GVO betroffen sein.

 

Was sind die Best-Practice-Empfehlungen hinsichtlich Deceptive Design Patterns (Annex II und am Endes jedes Use Case)?

  1. Shortcuts: Machen Sie Links zu Informationen, Maßnahmen oder Einstellungen, die für Nutzer_innen einen praktischen Nutzen bei der Verwaltung ihrer Daten und Datenschutzeinstellungen haben, immer dann verfügbar, wenn Nutzer_innen mit der entsprechenden Information oder Erfahrung konfrontiert werden (bspw. Links, die zu den entsprechenden Teilen der Datenschutzerklärung führen).
  2. Gebündelte Optionen (bulk options): Stellen Sie Einstellungen, die den gleichen Verarbeitungszweck betreffen, so zusammen, dass Nutzer_innen sie leichter ändern können, aber gleichzeitig die Möglichkeit haben, kleinteiligere Änderung vorzunehmen. Wenn Sie gebündelte Optionen präsentieren, sollten diese keine unerwarteten oder nicht damit zusammenhängenden Elemente enthalten. Braucht es für die Verarbeitung eine Einwilligung, müssen die gebündelten Optionen den EDSA_Leitlinien zur Einwilligung (insbes. Rn. 42-44) entsprechen.
  3. Kontaktinformationen: Sorgen Sie dafür, dass ihre Kontaktdaten für Datenschutzfragen klar erkennbar in der Datenschutzerklärung aufgeführt sind. Sie sollten in dem Teil der Erklärungen zu finden sein, in dem Nutzer_innen sie auch erwarten, wie z.B. im Abschnitt über die Identität des Verantwortlichen, über die Rechte der Nutzer_innen oder zur Kontaktaufnahme.
  4. Erreichbarkeit der Aufsichtsbehörde: Nennen Sie die genaue Aufsichtsbehörde sowie einen Link zu ihrer Webseite oder dem Abschnitt der Webseite, der sich auf die Einreichung einer Beschwerde bei der Behörde bezieht, in einem Abschnitt, in dem Nutzer_innen dies erwarten, bspw. im Abschnitt über die Rechte der Nutzer_innen.
  5. Überblick über die Datenschutzerklärung: Stellen sie der Datenschutzerklärung einen Überblick in Form eines (aufklappbaren) Inhaltsverzeichnisses mit Überschriften und Unterüberschriften, die die verschiedenen Passagen/Absätze der Datenschutzerklärung aufzeigen, voran.
  6. Erkennbarkeit und Vergleich von Änderungen: Wenn Sie Änderungen der Datenschutzerklärung vornehmen, sollten Sie diese hervorheben. Des Weiteren sollten Sie bisherige Versionen der Erklärung mit dem jeweiligen Veröffentlichungsdatum verfügbar machen.
  7. Einheitliche Formulierungen: Die Wortwahl auf der Webseite und der Datenschutzerklärung sollte einheitlich sein.
  8. Bereitstellen von Begriffsbestimmungen: Für unübliche oder technische Begriffe sollten Definitionen in einfacher Sprache vorhanden sein, die es den Nutzer_innen ermöglichen, die ihnen bereitgestellten Informationen zu verstehen. Dies kann direkt im Text oder über ein Glossar geschehen.
  9. Hervorhebung von datenschutzrechtlichen Elementen: Gestalten Sie datenschutzrechtliche Elemente oder Maßnahmen, die sich in einer nicht direkt dem Thema gewidmeten Benutzeroberfläche befinden, optisch auffällig. Beispiel: Posten Nutzer_innen eine öffentliche Nachricht auf der Plattform, sollte die Einstellung zur Zuordnung des Standorts für sie direkt verfügbar und deutlich sichtbar sein.
  10. Datenschutz-Onboarding: Binden Sie für Nutzer_innen als Teil des Starts auf der Plattform gleich nach der Einrichtung eines Accounts Aspekte des Datenschutzes ein, damit die Nutzer_innen gleich zu Beginn ihre Präferenzen problemlos herausfinden und festlegen können, bspw. dadurch, dass Sie sie direkt nach Teilen des ersten Beitrags oder Hinzufügen des ersten Freundes zur Festlegung ihrer Datenschutzpräferenzen auffordern.
  11. Verwendung von Beispielen: Geben Sie neben der obligatorischen Information, die klar und eindeutig den Zweck der Verarbeitung erklärt, Beispiele für bestimmte Datenverarbeitungen, um diese greifbarer für die Nutzer_innen zu machen.
  12. Festes Inhaltsverzeichnis („sticky navigation“): Sorgen Sie dafür, dass Nutzer_innen, die sich auf Seiten bewegen, welche sich mit datenschutzrechtlichen Themen beschäftigen, dabei konstant ein Inhaltsverzeichnis angezeigt wird, dass es ihnen erlaubt sich zu orientieren sowie einfach und schnell über sog. Ankerlinks (anchor links) durch den Inhalt zu navigieren.
  13. „Zurück nach oben“: Verwenden Sie zur Erleichterung der Navigation „Zurück nach oben“-Buttons am Ende der Seite oder des Fensters.
  14. Benachrichtigungen: Verwenden Sie Benachrichtigungen, um das Bewusstsein der Nutzer_innen hinsichtlich einzelner Aspekte, Änderungen oder Risiken mit Bezug auf die Verarbeitung personenbezogener Daten zu schärfen (bspw. im Falle einer Datenschutzverletzung). Die Benachrichtigungen können auf verschiedene Art und Weise umgesetzt werden, z.B. durch Nachrichten im Posteingang, Pop-in-Fenster, feste Banner am oberen Ende der Webseite, usw.
  15. Erklären von Konsequenzen: Erklären Sie Konsequenzen: Informieren Sie Nutzer_innen, die eine Datenschutzeinstellung aktivieren oder deaktivieren sowie ihre Einwilligung erteilen oder widerrufen wollen, auf eine neutrale Weise darüber, was dies für sie bedeutet.
  16. Einheitlichkeit (cross-device consistency): Ist Ihre Social-Media-Plattform über verschiedene Geräte erreichbar (z.B. Computer, Smartphones, etc.), sind Einstellungen und Informationen über die verschiedenen Versionen hinweg an denselben Orten über denselben Weg und dieselben Oberflächenelemente (Menüs, Icons, etc.) einzubinden.
  17. Datenschutzverzeichnis (data protection directory): Stellen Sie Nutzer_innen eine einfach zugängliche Seite, von der aus alle datenschutzrelevanten Maßnahmen (z.B. Einstellungen) und Informationen abgerufen werden können, zur Verfügung, damit eine einfache Orientierung durch die verschiedenen Abschnitte des Menüs gewährleistet wird. Diese Seite könnte z.B. im Hauptnavigationsmenü der Social-Media-Anbieter_innen im Nutzer_innenkonto oder über die Datenschutzerklärung eingebunden sein.
  18. Kontextbezogene Informationen: Stellen Sie Nutzer_innen zusätzlich zur ausführlichen Datenschutzerklärung zu geeigneten Zeitpunkten kurze, spezifischen Informationen über die Verarbeitung ihrer Daten zur Verfügung.
  19. Selbsterklärende URL: Nutzen Sie für Seiten, die mit datenschutzrechtlichen Einstellungen oder Informationen zusammenhängen, eine Internetadresse, die den Inhalt klar wiederspiegelt.
    Beispiel: Eine Seite, die die zentralisierten Datenschutzeinstellungen enthalt, könnte etwa eine solche URL haben:
    [social-network.com]/data-settings
  20. Formular für die Ausübung von Betroffenenrechten: Stellen Sie Nutzer_innen ein Formular für die Ausübung der Betroffenenrechte zur Verfügung. Dies hilft, ihre Rechte zu verstehen und erleichtert deren Ausübung.