Das Global Privacy Enforcement Network prüft weltweit Webseiten auf täuschende Designs (Deceptive Design Patterns). Die Prüfung ergibt, dass die Mehrheit der untersuchten Webseiten und mobilen Anwendungen solche täuschenden Designs verwendet, um Datenschutzeinstellungen der Nutzenden zu beeinflussen

In Baden-Württemberg setzen alle 17 geprüften Webseiten täuschende Designmuster ein

In einer weltweit koordinierten Prüfung haben 26 Datenschutzaufsichtsbehörden aus 21 Ländern sowie 27 Verbraucherschutzbehörden mehr als 1.000 Webseiten und mobile Anwendungen (Apps) untersucht. Geprüft wurde, ob und wie auf Webseiten täuschende Designmuster eingesetzt werden, um Nutzende zu einem bestimmten Verhalten zu verleiten, welches es ihnen erschwert, informierte Entscheidungen über ihre Privatsphäre im Internet zu treffen. Verstöße gegen sonstige Vorschriften wurden nicht geprüft. Von den 1000 überprüften Webseiten verwendete die Mehrheit täuschende Designmuster. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Prof. Dr. Tobias Keber hat sich an der koordinierten Prüfung beteiligt. Insgesamt hat er 17 Webseiten geprüft, von denen alle täuschende Designmuster einsetzen.

Der Landesbeauftragte Prof. Dr. Tobias Keber: „Wer täuschende Designmuster nutzt, muss erklären, wie er die Vorgaben der DS-GVO und des TDDDG einhält. Bei unserer Prüfung haben wir festgestellt, dass viele Webseiten Nutzende zu einem für sie unvorteilhaften Verhalten verleiten. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, Privacy by design und Privacy by default, sind kein optionales Angebot der Verantwortlichen, vielmehr sind sie Voraussetzung für ein rechtmäßiges Angebot. Wir nehmen diese koordinierte Prüfung zum Anlass, auf die von uns geprüften Webseitenbetreiber zuzugehen und wo nötig auf datenschutzkonforme Lösungen hinzuwirken.“

Oftmals sollen täuschende Designmuster Nutzende dazu verleiten, solche Einstellungen zu wählen, die zur Erfassung weiterer persönlicher Daten führen. Diese Muster können auch darin bestehen, mehrere Schritte unternehmen zu müssen, um Datenschutzinformationen zu finden, sich abzumelden oder ein Konto zu löschen, oder mit sich wiederholenden Aufforderungen konfrontiert zu werden, die darauf abzielen, Nutzende zu frustrieren und sie letztendlich dazu zu bringen, mehr von ihren persönlichen Daten preiszugeben, als erforderlich ist. Beispielsweise können täuschende Designs bei Cookie-Bannern eingesetzt werden, die statt einer übersichtlichen Darstellung von relevanten Informationen für die Nutzenden unzureichende Informationen präsentieren und es Nutzenden erschweren, unerwünschtes Tracking einfach abzulehnen.

Ein weiteres Beispiel für täuschendes Design zeigt sich bei einer Entscheidung der irischen Datenschutzaufsicht vom September 2023: Die irische Datenschutz-Aufsichtsbehörde hat am 15.09.2023 gegen das Unternehmen TikTok Technology Limited (TikTok) ein Bußgeld in Höhe von 345 Millionen Euro erlassen. Grundlage für die Sanktion war die Verletzung der Rechte Minderjähriger. Ein zentraler Aspekt dabei war, dass das Unternehmen durch täuschende Designmuster junge Menschen zu einem Verhalten verleitet hat, das sie tendenziell von datenschutzfreundlichen Einstellungen auf der Plattform abhielt. Der Landesbeauftragte hatte gemeinsam mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit im Rahmen der europäischen Zusammenarbeit im Europäischen Datenschutzausschuss (EDSA) darauf hingewirkt, dass dieser die irische Aufsicht auffordert, den Umgang mit Deceptive Design Patterns auch unter dem Gesichtspunkt von Fairness und Treu und Glauben (Art. 5 Abs. 1 lit. a DS-GVO) besonders zu betrachten und gegenüber dem Unternehmen die Unterlassung anzuordnen, was erfolgt ist.

Der Landesbeauftragte setzt sich für faire Designs und Voreinstellungen bei Online-Angeboten ein. Er hat federführend die europäischen Leitlinien zu „Irreführenden Designeffekten auf Social-Media-Plattformen“ erarbeitet. Diese Leitlinien waren eine Grundlage für die nun durchgeführten Prüfungen. Die Leitlinien „03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them“ können hier abgerufen werden: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032022-deceptive-design-patterns-social-media_en. Zudem hat der Landesbeauftragte im Jahr 2022 seine FAQ Cookies & Tracking veröffentlicht, die Verantwortlichen helfen soll, ihr Angebot datenschutzkonform zu gestalten: https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/.

Weitere Informationen

Das Global Privacy Enforcement Network (GPEN) wurde im Jahr 2010 auf Empfehlung der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) gegründet. Ihr Ziel ist es, die grenzüberschreitende Zusammenarbeit zwischen Datenschutzbehörden in einem zunehmend globalen Markt zu fördern, in dem Handel und Verbraucheraktivitäten vom nahtlosen grenzüberschreitenden Fluss persönlicher Daten abhängen. Seine Mitglieder arbeiten zusammen, um den Schutz der persönlichen Daten in diesem globalen Kontext zu stärken. Das informelle Netzwerk besteht aus über 80 Datenschutzbehörden aus der ganzen Welt. Die diesjährige koordinierte Prüfung des Global Privacy Enforcement Network (GPEN Sweep) fand vom 29. Januar bis 2. Februar 2024 statt. Beteiligt waren 26 Datenschutzbehörden sowie 27 Verbraucherschutzbehörden aus der ganzen Welt.

Zum ersten Mal wurde in der koordinierten Prüfung das International Consumer Protection and Enforcement Network (ICPEN) eingebunden, das die Verbraucherschutzbehörden vertritt.

Sowohl GPEN als auch ICPEN, die gemeinsam an der Verbesserung des Datenschutzes und des Verbraucherschutzes für Personen auf der ganzen Welt arbeiten, haben heute Berichte veröffentlicht, in denen sie ihre Ergebnisse darlegen (https://www.privacyenforcement.net/content/2024-gpen-sweep-deceptive-design-patterns-reports-english-and-french).

Die Teilnehmer der koordinierten Prüfung haben die Nutzererfahrung nachgestellt, indem sie sich mit Webseiten und Apps beschäftigt haben, um zu beurteilen, wie einfach es ist, Entscheidungen zum Datenschutz zu treffen, Informationen zum Datenschutz zu erhalten und sich von einem Konto abzumelden oder es zu löschen. Folgende Aspekte wurden bei der Prüfung in den Fokus genommen:

  • Komplexe und verwirrende Sprache: Mehr als 89 % der Datenschutzinformationen sind lang oder verwenden eine komplexe Sprache.
  • Irreführende Benutzeroberfläche: Bei der Aufforderung an die Nutzenden, eine Entscheidung zum Schutz der Privatsphäre zu treffen, verwendeten 42 % der überprüften Webseiten und Apps eine emotional aufgeladene Sprache, um die Entscheidungen der Nutzenden zu beeinflussen, während 57 % die Option mit dem geringsten Datenschutz als hervorgehobene und für die Nutzenden am einfachsten auszuwählende Option darstellten.
  • Belästigung: 35 % der Webseiten und Apps forderten die Nutzenden wiederholt auf, ihre Absicht, ihr Konto zu löschen, noch einmal zu überdenken.
  • Versteckte Einstellungsmöglichkeiten: In fast 40 % der Fälle wurden den Nutzenden Hindernisse in den Weg gelegt, wenn es darum ging, Entscheidungen zum Datenschutz zu treffen oder auf Datenschutzinformationen zuzugreifen, z. B. um Datenschutzeinstellungen zu finden oder ihr Konto zu löschen.
  • Erzwungene Maßnahmen: 9 % der Webseiten und Apps zwangen die Nutzenden, beim Versuch, ihr Konto zu löschen, mehr persönliche Informationen preiszugeben, als sie bei der Eröffnung des Kontos angeben mussten.

 

Bild: bakhtiarzein-stock.adobe.com

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.