NUDGING UND DARK PATTERN – DIE BEEINFLUSSUNG DES NUTZERS

Derzeit sind die Begrifflichkeiten Nudging und Dark Pattern in aller Munde. Datenschutzrechtlich Bedeutung erlange sie insbesondere im Zusammenhang mit der Gestaltung von Einwilligungserklärungen. Einen interessanten Beitrag zu dieser Thematik liefert Laura L. Stoll im Rahmen der diesjährigen Herbstakademie der Deutschen Stiftung für Recht und Informatik (DSRI) unter dem Titel „Wahrnehmungspsychologische Erkenntnisse und datenschutzrechtliche Einwilligungen: Eine interdisziplinäre Betrachtung am Beispiel von dark patterns und nudging“ (die zugehörige Präsentation ist hier abrufbar). Was nun aber unter Nudging und Dark Pattern (beide Begriffsklärungen gehen auf den vorgenannten Beitrag zurück) zu verstehen ist und wie beide Begriffe datenschutzrechtlich einzuordnen sind, damit befasst sich der nachfolgende Beitrag.


WAS VERSTEHEN WIR UNTER NUDGING?

Als Nudging können Methoden im Rahmen von Entscheidungsfindungen und den damit verbundenen Handlungen verstanden werden, die das Verhalten beeinflussen wollen, ohne auf Gebote und Verbote zurückgreifen. Es findet kein förmlicher Zwang statt. Datenschutzrechtlich entfaltet das Nudging an Bedeutung, wenn die Nutzer bei dem Einsatz von verschiedenen, einwilligungspflichtigen Technologien auf Webseiten zustimmen sollen, um möglichst viele Daten der Nutzer über das technisch Erforderliche hinaus zu erlangen.


UND WAS IST DARK PATTERN?

Dark Patterns umfassen mögliche unrechtmäßige Beeinflussungen von Entscheidungen durch Benutzeroberflächen, die sorgfältig ausgearbeitet wurden, um Nutzer auszutricksen, damit diese Dinge tun, die sie sonst nicht tun würden. Es handelt sich um Designelemente, die die Wahrnehmung durch Gestaltung, Gewöhnung und komplizierte Entscheidungspfade beeinflussen.


WAS IST DAS PROBLEM?

Die Beeinflussungsmethoden Nudging und Dark Pattern kommen u.a. bei der Gestaltung und Nutzung von Consent-Layern auf Webseiten zum Einsatz, sprich bei der Abgabe einer datenschutzrechtlichen Einwilligung des Nutzers. Die datenschutzrechtliche Einwilligung stellt gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO eine belastbare Rechtsgrundlage zur Verarbeitung personenbezogener Daten dar. Darüber, dass die Einwilligung häufig zu Unrecht als „ultimative Rechtsgrundlage“ zur Verarbeitung personenbezogener Daten betrachtet wird, haben wir bereits berichtet. Die konkreten Anforderungen an eine Einwilligungserklärung ergeben sich aus der Gesamtschau der Art. 4 Nr. 11, Art. 6 Abs. 1 Satz 1 lit. a) und Art. 7 DS-GVO sowie der dazugehörigen Erwägungsgründe zur DS-GVO.

In Art. 4 Nr. 11 DS-GVO wird Einwilligung der betroffenen Person als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“, legaldefiniert.

Das Hauptaugenmerk liegt im Hinblick auf die Beeinflussung des Nutzers unstreitig auf der Freiwilligkeit. So wird insbesondere in Erwägungsgrund 42 Satz 5 zur DS-GVO wie folgt ausgeführt: „Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“

Freiwillig erfolgt die Abgabe einer Einwilligungserklärung nur dann, wenn kein Druck oder Zwang (in der englischen Sprachfassung „freely given“) ausgeübt wurde, um die betroffene Person zu einer Erklärung zu bewegen. Die betroffene Person darf bei Abgabe der Einwilligung mithin keinem physischen oder psychischen Zwang ausgesetzt sein. Nun wird die farbliche oder strukturelle Ausgestaltung von Consent-Layern als psychischer Zwang einzuordnen sein, wenn eine Beeinflussung der Wahrnehmung und eine hieran anknüpfend Entscheidung des Nutzers erfolgt.


WAS SAGEN AUFSICHTSBEHÖRDEN UND GERICHTE DAZU?

Die Landesbeauftragte für den Datenschutz Niedersachen äußert sich in ihrer Handreichung „Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer“ zum Thema Nudging wie folgt:

„Je mehr Betreiber von Webseiten für die Verwendung von Cookies Einwilligungen einholen, desto häufiger treten Formen des sogenannten Nudging auf. Dies bezeichnet Techniken, durch die das Verhalten der Nutzer beeinflusst werden soll. Diese Beeinflussung kann grundsätzlich im Interesse des Nutzers erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um den User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen“-Option oft im Vergleich zur „Ablehnen“-Option auffälliger gestaltet – durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Zum Beispiel ist der Button „Zustimmung“ in Grün oder Blau mit weißer Fettschrift gestaltet und der „Ablehnen“-Button in Grau mit weißer Standardschrift.“

Weiter heißt es:

„Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.“

Hinsichtlich der Gestaltung und Verwendung von Schaltflächen zur Abfrage von Einwilligungen bei Cookie-Bannern hat das LG Rostock (Urt. v. 15.9.2020 – Az.: 3 O 762/19) u.a. wie folgt konstatiert:

„Eine wirksame Einwilligung ist […] mit dem […]  verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen ‚-Buttons „aktiviert“. […] Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat. Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“


FAZIT

Ersichtlich wird, dass die Beeinflussung des Nutzers bei der Abgabe seiner Willensbekundung, sprich seiner Einwilligungserklärung im Zusammenhang mit der Gestaltung von Consent-Layern sich an den Tatbestandvoraussetzungen der datenschutzrechtlichen Einwilligungserklärung und hier insbesondere dem Freiwilligkeitsvorbehalt messen lassen muss. Bei der Verwendung unzulässiger Mittel droht dem Verwender gleichfalls das Entfallen der Rechtsgrundlage zur Datenverarbeitung.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Dark Pattern
  • Einwilligung
  • Freiwilligkeit
  • Internetseite
  • Nudging
Lesen

EINWILLIGUNGEN – WIE? WANN? WOFÜR NICHT?

Die Einwilligung der betroffenen Person wird häufig als die „ultimative“ Rechtsgrundlage zur Verarbeitung personenbezogener Daten missverstanden. An die Einwilligung der betroffenen Person sind eine Vielzahl von Anforderungen geknüpft, sodass sich ein Rückgriff auf diese im Rahmen zahlreicher Verarbeitungssituationen verbietet. Der Beitrag stellt die verschiedenen Anforderungen an eine rechtskonforme Einwilligung dar und zeigt beispielhaft Sachverhalte auf, in denen es für die Verarbeitung personenbezogener Daten keiner gesonderten Einwilligung der betroffenen Person bedarf.


NACHWEIS EINER EINWILLIGUNG

Grundsätzlich fordert die Datenschutz-Grundverordnung (DS-GVO) keine schriftliche Einwilligung der betroffenen Person, sodass eine Datenverarbeitung auch auf eine „konkludente“ (aus dem Verhalten einer betroffenen Person schlüssig ableitbare) Einwilligung gestützt werden kann. Vielfach wird in diesem Zusammenhang beispielhaft angeführt, dass das Posieren einer betroffenen Person vor einer Kamera bereits als konkludente Einwilligung gewertet werden könne. Probleme ergeben sich hierbei jedoch im Rahmen des Nachweises: Art. 7 Abs. 1 DS-GVO fordert seitens des Verantwortlichen, dass dieser die Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten nachweisen können muss. Gleiches ergibt sich auch aus der Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO.

Besonderheiten ergeben sich zudem im Rahmen der Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO. Die Rechtsgrundlage des Art. 9 Abs. 2 lit. a DS-GVO setzt nach ihrem Wortlaut bereits eine ausdrückliche Einwilligung der betroffenen Person voraus. Das Abstellen auf eine konkludente Einwilligung ist in diesem Rahmen nicht möglich. Erfolgt die Verarbeitung personenbezogener Daten eines Kindes in Bezug auf Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO, bedarf es darüber hinaus der Einwilligung der Träger der elterlichen Verantwortung. Gemäß Art. 8 Abs. 2 DS-GVO hat sich der Verantwortliche mit angemessenen Anstrengungen über die tatsächliche Einwilligung der Träger der elterlichen Verantwortung zu vergewissern. Dies ist im Zweifelsfall nachzuweisen.


FREIWILLIGKEIT, BESTIMMTHEIT, TRANSPARENZ

Eine Einwilligung setzt stets ein aktives Handeln einer betroffenen Person voraus. Dabei ist zu berücksichtigen, dass diese tatsächlich eine freie Wahl über die (Nicht-)Abgabe ihrer Einwilligung besitzt. Nach Erwägungsgrund (ErwGr.) 42  Satz 5 zur DS-GVO muss die betroffene Person insbesondere in der Lage sein, ihre Einwilligung zu verweigern oder zurückzuziehen, ohne hierdurch Nachteile zu erleiden. Dies ist bereits dann nicht anzunehmen, sofern die Erbringung einer Dienstleistung von der Abgabe einer Einwilligung abhängig gemacht wird oder  wenn zu verschiedenen Verarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann (Art. 7 Abs. 4 DS-GVO, ErwGr. 43 Satz 2 zur DS-GVO). Auch kann dann nicht von einer freiwillig erteilten Einwilligung ausgegangen werden, wenn zwischen Verantwortlichem und betroffener Person ein klares Ungleichgewicht besteht und es im konkreten Fall unwahrscheinlich ist, dass die Einwilligung freiwillig erteilt wurde (ErwGr. 43  Satz 1 zur DS-GVO). Dies kann in bestimmten Fällen beispielsweise bei Behörden oder im Beschäftigungskontext anzunehmen sein.

Ferner bedarf es gegenüber der betroffenen Person einer umfangreichen Information, zumindest über die verantwortliche Stelle sowie die konkreten Zwecke der Verarbeitung (ErwGr. 42 Satz 4 zur DS-GVO). Es empfiehlt sich jedoch die Inhalte der Einwilligungserklärung entsprechend den Anforderungen an Datenschutzinformationen nach Art. 13 DS-GVO zu gestalten, um zugleich dieser datenschutzrechtlichen Verpflichtung nachzukommen. Die Einwilligungserklärung ist in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen (ErwGr. 42 Satz 3 zur DS-GVO). Dies umfasst gemäß Art. 7 Abs. 2 DS-GVO auch, dass eine Einwilligungserklärung im Rahmen anderer Erklärungen deutlich als Ersuchen um Einwilligung der betroffenen Person hervorzuheben und von weiteren Sachverhalten deutlich abzutrennen ist.


GELTUNGSDAUER EINER EINWILLIGUNG

Eine zeitlich beschränkte Geltungsdauer der Einwilligung sieht die DS-GVO nicht vor. In Art. 7 Abs. 3 DS-GVO heißt es lediglich, dass die betroffene Person das Recht hat, ihre Einwilligung zu widerrufen, wobei der Widerruf so einfach wie die Erteilung der Einwilligung sein muss.

In der Vergangenheit ging die Rechtsprechung zu Teilen davon aus, dass eine abgegebene Einwilligung nach einer Nichtnutzung von anderthalb bis zwei Jahren erlischt (AG Bonn, Urt. v. 10. Mai 2016 – 104 C 227/15; LG München, Urt. v. 08. April 2010 – 17 HK O 138/10; LG Berlin, Beschl. v. 02. Juli 2004 – 15 O 653/03). Der Bundesgerichtshof (BGH) führte jedoch 2018 in einem Urteil bezugnehmend auf die Werbeeinwilligung nach § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) sowie auf die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) aus, dass eine Einwilligung nicht allein durch Zeitablauf endet (BGH, Urt. v. 01. Februar 2008 – III ZR 196/17). Mit Blick auf Art. 7 Abs. 3 DS-GVO ist für die Einwilligung nach der DS-GVO selbiges anzunehmen.


RECHTSFOLGEN EINER NICHT-KONFORMEN EINWILLIGUNG

Entspricht eine Einwilligungserklärung nicht den dargestellten rechtlichen Anforderungen, so ist diese als unwirksam anzusehen. Die Datenverarbeitung kann dementsprechend nicht auf die Rechtsgrundlage einer Einwilligung gestützt werden. Kann der Verantwortliche die Umsetzung der datenschutzrechtlichen Voraussetzungen an eine Einwilligungserklärung nicht zweifelsfrei nachweisen, ist dies ebenso rechtswidrig.

Verarbeitungen personenbezogener Daten ohne (nachweisbare) einschlägige Rechtsgrundlage stellen grundsätzlich einen Verstoß gegen die datenschutzrechtlichen Grundsätze aus Art. 5 DS-GVO dar und können durch die Aufsichtsbehörden entsprechend (z.B. mit einem Bußgeld und/oder durch Untersagung der jeweiligen Datenverarbeitung) geahndet werden.


BEISPIELE AUS DER PRAXIS

In der Praxis wird sich häufig auf die Einwilligung als Rechtsgrundlage gestützt. Doch nicht immer ist dies auch sinnvoll. Regelmäßig ergeben sich anderweitig einschlägige Rechtsgrundlagen, welche für den konkreten Verarbeitungszweck besser – oder gar ausschließlich – geeignet sind. Einwilligungen können ausschließlich dann als Rechtsgrundlage herangezogen werden, sofern die beabsichtigte Datenverarbeitung nicht zwingend erforderlich ist. Eine Einwilligung der betroffenen Person ist beispielsweise in folgenden Konstellationen nicht erforderlich:

Beschäftigtenverhältnis: Datenverarbeitungen, welche zwingend zur Begründung, Durchführung oder Beendigung des Beschäftigtenverhältnisses erforderlich sind (z.B. Bewerbermanagement, Lohn- und Gehaltsabrechnung), sind auf die Rechtsgrundlage des Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) zu stützen. Eine Einwilligung von Beschäftigten ist ausschließlich dann erforderlich, sofern darüberhinausgehende Datenverarbeitungen erfolgen sollen. Ein klassisches Beispiel ist die Veröffentlichung von Fotoaufnahmen auf der Internetseite oder in Broschüren. Die Rechtsgrundlage bildet hierfür die Einwilligung gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 2 BDSG.

Vertragsverhältnis: Sofern die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages (z.B. Abrechnung) oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. zur Erstellung eines unverbindlichen Angebotes), bildet Art. 6 Abs. 1 Satz 1 lit. b DS-GVO die einschlägige Rechtsgrundlage. Ein Rückgriff auf die Rechtsgrundlage der Einwilligung verbietet sich hierbei bereits aufgrund der untrennbaren Verknüpfung zwischen (potenziellem) Vertragsverhältnis und Datenverarbeitung.

Rechtliche Verpflichtung: Einer Einwilligung der betroffenen Person bedarf es ferner nicht, falls die verantwortliche Stelle zur Verarbeitung der personenbezogenen Daten verpflichtet ist. Die einschlägige Rechtsgrundlage stellt Art. 6 Abs. 1 Satz 1 lit. c DS-GVO i.V.m. einer spezialgesetzlichen Rechtsvorschrift dar. Eine solche rechtliche Verpflichtung liegt beispielsweise hinsichtlich der Aufbewahrung handels- bzw. steuerrechtlicher Unterlagen vor, welche nach den Regelungen des Handelsgesetzbuches sowie der Abgabenordnung aufzubewahren sind. Derartige spezialgesetzliche Aufbewahrungsfristen gelten vorrangig zur Verpflichtung zur Löschung personenbezogener Daten nach Art. 17 DS-GVO.


FAZIT

Wie der Beitrag aufzeigt, sind im Zusammenhang mit einer Einwilligung zahlreiche Anforderungen, zum Beispiel hinsichtlich der Transparenz und der Freiwilligkeit zu beachten. Weiterhin sollte stets überprüft werden, ob gegebenenfalls alternative Rechtsgrundlagen zur Verarbeitung personenbezogener Daten einschlägig sind. Auf eine Einwilligung sollte sich tatsächlich nur in Ausnahmefällen gestützt werden. Weitergehende Informationen lassen sich auch dem Kurzpapier Nr. 20 „Einwilligung nach der DS-GVO“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) entnehmen. Hierzu ist in Kürze auch mit einer überarbeiteten Fassung zu rechnen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Einwilligung
  • Freiwilligkeit
  • Rechenschaftspflicht
  • Rechtsfolgen
Lesen