Derzeit sind die Begrifflichkeiten Nudging und Dark Pattern in aller Munde. Datenschutzrechtlich Bedeutung erlange sie insbesondere im Zusammenhang mit der Gestaltung von Einwilligungserklärungen. Einen interessanten Beitrag zu dieser Thematik liefert Laura L. Stoll im Rahmen der diesjährigen Herbstakademie der Deutschen Stiftung für Recht und Informatik (DSRI) unter dem Titel „Wahrnehmungspsychologische Erkenntnisse und datenschutzrechtliche Einwilligungen: Eine interdisziplinäre Betrachtung am Beispiel von dark patterns und nudging“ (die zugehörige Präsentation ist hier abrufbar). Was nun aber unter Nudging und Dark Pattern (beide Begriffsklärungen gehen auf den vorgenannten Beitrag zurück) zu verstehen ist und wie beide Begriffe datenschutzrechtlich einzuordnen sind, damit befasst sich der nachfolgende Beitrag.
WAS VERSTEHEN WIR UNTER NUDGING?
Als Nudging können Methoden im Rahmen von Entscheidungsfindungen und den damit verbundenen Handlungen verstanden werden, die das Verhalten beeinflussen wollen, ohne auf Gebote und Verbote zurückgreifen. Es findet kein förmlicher Zwang statt. Datenschutzrechtlich entfaltet das Nudging an Bedeutung, wenn die Nutzer bei dem Einsatz von verschiedenen, einwilligungspflichtigen Technologien auf Webseiten zustimmen sollen, um möglichst viele Daten der Nutzer über das technisch Erforderliche hinaus zu erlangen.
UND WAS IST DARK PATTERN?
Dark Patterns umfassen mögliche unrechtmäßige Beeinflussungen von Entscheidungen durch Benutzeroberflächen, die sorgfältig ausgearbeitet wurden, um Nutzer auszutricksen, damit diese Dinge tun, die sie sonst nicht tun würden. Es handelt sich um Designelemente, die die Wahrnehmung durch Gestaltung, Gewöhnung und komplizierte Entscheidungspfade beeinflussen.
WAS IST DAS PROBLEM?
Die Beeinflussungsmethoden Nudging und Dark Pattern kommen u.a. bei der Gestaltung und Nutzung von Consent-Layern auf Webseiten zum Einsatz, sprich bei der Abgabe einer datenschutzrechtlichen Einwilligung des Nutzers. Die datenschutzrechtliche Einwilligung stellt gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO eine belastbare Rechtsgrundlage zur Verarbeitung personenbezogener Daten dar. Darüber, dass die Einwilligung häufig zu Unrecht als „ultimative Rechtsgrundlage“ zur Verarbeitung personenbezogener Daten betrachtet wird, haben wir bereits berichtet. Die konkreten Anforderungen an eine Einwilligungserklärung ergeben sich aus der Gesamtschau der Art. 4 Nr. 11, Art. 6 Abs. 1 Satz 1 lit. a) und Art. 7 DS-GVO sowie der dazugehörigen Erwägungsgründe zur DS-GVO.
In Art. 4 Nr. 11 DS-GVO wird Einwilligung der betroffenen Person als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“, legaldefiniert.
Das Hauptaugenmerk liegt im Hinblick auf die Beeinflussung des Nutzers unstreitig auf der Freiwilligkeit. So wird insbesondere in Erwägungsgrund 42 Satz 5 zur DS-GVO wie folgt ausgeführt: „Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“
Freiwillig erfolgt die Abgabe einer Einwilligungserklärung nur dann, wenn kein Druck oder Zwang (in der englischen Sprachfassung „freely given“) ausgeübt wurde, um die betroffene Person zu einer Erklärung zu bewegen. Die betroffene Person darf bei Abgabe der Einwilligung mithin keinem physischen oder psychischen Zwang ausgesetzt sein. Nun wird die farbliche oder strukturelle Ausgestaltung von Consent-Layern als psychischer Zwang einzuordnen sein, wenn eine Beeinflussung der Wahrnehmung und eine hieran anknüpfend Entscheidung des Nutzers erfolgt.
WAS SAGEN AUFSICHTSBEHÖRDEN UND GERICHTE DAZU?
Die Landesbeauftragte für den Datenschutz Niedersachen äußert sich in ihrer Handreichung „Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer“ zum Thema Nudging wie folgt:
„Je mehr Betreiber von Webseiten für die Verwendung von Cookies Einwilligungen einholen, desto häufiger treten Formen des sogenannten Nudging auf. Dies bezeichnet Techniken, durch die das Verhalten der Nutzer beeinflusst werden soll. Diese Beeinflussung kann grundsätzlich im Interesse des Nutzers erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um den User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen“-Option oft im Vergleich zur „Ablehnen“-Option auffälliger gestaltet – durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Zum Beispiel ist der Button „Zustimmung“ in Grün oder Blau mit weißer Fettschrift gestaltet und der „Ablehnen“-Button in Grau mit weißer Standardschrift.“
Weiter heißt es:
„Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.“
Hinsichtlich der Gestaltung und Verwendung von Schaltflächen zur Abfrage von Einwilligungen bei Cookie-Bannern hat das LG Rostock (Urt. v. 15.9.2020 – Az.: 3 O 762/19) u.a. wie folgt konstatiert:
„Eine wirksame Einwilligung ist […] mit dem […] verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen ‚-Buttons „aktiviert“. […] Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat. Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“
FAZIT
Ersichtlich wird, dass die Beeinflussung des Nutzers bei der Abgabe seiner Willensbekundung, sprich seiner Einwilligungserklärung im Zusammenhang mit der Gestaltung von Consent-Layern sich an den Tatbestandvoraussetzungen der datenschutzrechtlichen Einwilligungserklärung und hier insbesondere dem Freiwilligkeitsvorbehalt messen lassen muss. Bei der Verwendung unzulässiger Mittel droht dem Verwender gleichfalls das Entfallen der Rechtsgrundlage zur Datenverarbeitung.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
