Man trifft den Begriff der Dark Pattern heutzutage häufig an. Trotzdem ist nicht immer sofort klar, was darunter gemeint ist. Noch viel weniger klar ist, wie Dark Pattern rechtlich zu bewerten sind. In diesem Blogbeitrag liefern wir Antworten auf diese Fragen.
Was sind Dark Pattern?
Dark Pattern, nach Wikipedia, sind Benutzerschnittstellen-Designs, die darauf ausgelegt sind, den Benutzer zu Handlungen zu verleiten, die dessen Interessen entgegenlaufen. „Benutzerschnittstellen-Designs“ bezeichnet grob gesagt jegliche Software oder jedes Interface, beispielsweise eine Internetseite, mit der Nutzer interagieren sind. Wenn eine solche Internetseite so aufgebaut ist, dass Nutzer zu nicht gewollten Handlungen verleitet werden, handelt es sich um Dark Pattern.
Beispiele
Dark Pattern können beispielsweise in der Form von getarnter Werbung erfolgen. Diese disguised ads sind Werbung die als Inhalt der Internetseite oder der Navigationsführung ausgegeben werden, um den Nutzer dazu zu bringen auf diese zu klicken. Beispielsweise kann Werbung als informatorischer Inhalt dargestellt sein.
Das Paradebeispiel für Dark Pattern ist das cookie consent tricking. Darunter versteht man insbesondere Cookie-Banner, die so designt sind, dass es dem Nutzer besonders schwer gemacht wird, Cookies abzulehnen. Beispielsweise kann die Schaltfläche, für die weniger datenschutzfreundliche Auswahl mit einer Hintergrundfarbe versehen werden, sodass sie auffälliger ist als die datenschutzfreundliche Auswahl. Die datenschutzfreundliche Auswahl kann auch hinter einem aufwendigen Menü versteckt werden.
Weiter Beispiele können faraway bills (in etwa: weit entfernte Rechnungen) oder hidden costs (versteckte Kosten) sein.
Gerade versteckte Kosten können für Nutzer zu unannehmlichen Folgen führen. Man stelle sich nur vor, man kauft ein Produkt online und sieht erst auf der Rechnung oder kurz vor Beendigung des Bezahlvorgangs, dass weitere Kosten, wie beispielsweise ein teurer Versand, hinzukommen. Wenn solche versteckten Kosten mit einer Menüführung verbunden werden, in der es schwer ist einen Kauf zu beenden, kann das Nutzer dazu bringen, Käufe zu tätigen, die sie eigentlich nicht tätigen wollen.
Wie ist das mit dem Recht?
Es besteht keine gesetzliche Definition für Dark Pattern und parallel dazu bestand, jedenfalls bis zum Inkrafttreten des Digital Services Act (DSA), kein ausdrückliches Verbot für Dark Pattern. Dies hat sich jedoch mit dem DSA geändert. In Erwägungsgrund 67 beschreibt der DSA Dark Pattern als auf Online-Schnittstellen von Online-Plattformen genutzte Praktiken, mit denen darauf abgezielt oder tatsächlich erreicht wird, dass die Fähigkeit der Nutzer, eine autonome und informierte Auswahl oder Entscheidung zu treffen, maßgeblich verzerrt oder beeinträchtigt wird.
Eine Online-Schnittstelle in dem Sinne ist ähnlich dem Benutzerschnittstellen-Design zu verstehen: Jede Software, darunter auch Websites oder Teile davon sowie Anwendungen, einschließlich Mobil-Apps, Art. 3 lit. m) DSA.
Der Erwägungsgrund 67 hört jedoch nicht bei dieser generellen Definition auf, sondern gibt auch grobe Beispiele für dar pattern. Dazu gehören Praktiken, die bestimmte Auswahlmöglichkeiten von Nutzern nicht neutral, sondern visuell, akustisch oder durch sonstige Elemente stärker hervorheben. Hier drunter könnte beispielsweise das genannte cookie consent tricking fallen. Genannt werden auch Fälle, in denen es unverhältnismäßig schwer ist Käufe abzubrechen oder sich von einer bestimmten Online-Plattform abzumelden. Wichtig ist auch der Fall, dass das Verfahren zu Stornierung eines Dienstes erheblich umständlicher gestaltet ist, als die entsprechende Anmeldung.
Wichtig ist – und das stellt Erwägungsgrund 67 auch explizit klar, dass es Unternehmen und Unternehmern unbenommen bleibt, direkt mit Nutzern zu interagieren und ihnen neue oder zusätzliche Dienste anzubieten. Rechtmäßige Praktiken – wie beispielsweise Werbung – sollen nicht als verbotene Praktik aufgefasst werden.
Heißt das, dass Dark Pattern verboten sind?
Jedenfalls vor Inkrafttreten des DSA konnte man diese Frage nicht eindeutig beantworten. Man hatte mit verschiedenen rechtlichen Regelungsmaterien Möglichkeiten Dark Pattern als rechtswidrig einzustufen, keine dieser tat dies jedoch ausdrücklich.
Zunächst ist da das Datenschutzrecht in Form der DSGVO und § 25 TTDSG zu nennen. Demnach darf eine Datenverarbeitung und auch das Speichern von Cookies auf dem Endgerät von Nutzern nur im Rahmen einer freiwilligen Einwilligung geschehen. Diese wird jedoch nicht vorliegen, wenn dark pattern eingesetzt wurden, um diese Einwilligung zu erlangen. Dies ist logisch: Dark Pattern sind darauf ausgerichtet Nutzer zu interessenswidrigen Handlungen zu verleiten, damit ist – bei dem engen Verständnis der Freiwilligkeit, insbesondere durch den EuGH – nie eine freiwillige Einwilligung gegeben.
Dark Pattern könnten ebenfalls einen Verstoß gegen den lauteren Wettbewerb darstellen. Nach § 5 Abs. 1 S. 1 UWG sind wettbewerblich relevante Irreführungen gegenüber Marktteilnehmern verboten. Eine intransparente Aufklärung über eine Datenverarbeitung wurde unter diesem Irreführungstatbestand etwa durch den BGH geprüft (BGH ZD 2016, 484). Cookie-Banner können darüber hinaus sogar als aggressive geschäftliche Handlung verstanden werden, da sie darauf ausgerichtet sind den Nutzer zu zermürben.
Das Datenschutzrecht und auch das Unlauterbarkeitsrecht bieten also Möglichkeiten, um gegen Dark Pattern vorzugehen. Diese sind jedoch reichlich ungenau. Dies hat sich nun mehr durch Art. 25 DSA verändert. Demnach sind explizit diejenigen Praktiken, die als Dark Pattern eingestuft werden können, verboten. Darüber hinaus ist es nun mehr der Europäischen Kommission möglich, dass sie Leitlinien erlässt, in denen sie darstellt, welche Handlungen als Dark Pattern einzustufen sind und wie man Dark Pattern unterlässt.
Dark Pattern sind Thema für Gerichte und die Europäische Kommission geworden
Am prominentesten ist das Urteil des LG München I (Urteil v. 29. November 2022, Az. 33 O 14776/19) gegen die BurdaForward GmbH. Die BurdaForward GmbH ist die Betreiberin von focus.de und hatte dort ein sehr unübersichtliches Cookie-Banner eingebaut. Um alle optionalen Cookies abzulehnen, mussten Nutzer über 200 einzelne Häkchen markieren. Dies befand das LG auf der Grundlage von § 25 TTDSG als rechtswidrig, da so keine freiwillige Einwilligung eingeholt würde.
Auf europäischer Ebene ist es der Kommission sogar gelungen, die Techgiganten zu Verpflichtungen zu bewegen. So hat sich Amazon für den Bezahldienst Amazon Prime dazu verpflichtet, die Abmeldung ihrer Online-Abonnements ebenso einfach zu gestalten, wie die Anmeldung zum Dienst. WhatsApp hat sich dazu verpflichtet bei Aktualisierungen seiner Nutzungsbedingungen ausführlicher und besser über die Änderungen aufzuklären. Außerdem soll das Ablehnen der Nutzungsbedingungen ebenso leicht gemacht werden, wie die Annahme. Letztlich haben sich auch Google und TikTok schon zu Verpflichtungen ähnlicher Art bereiterklärt.
Damit zeigt die Europäische Kommission auch, dass sie doch kein ganz so „zahnloser Tiger“ gegenüber den großen Techgiganten ist, wie das häufig behauptet wird.
In der Zukunft …
… kann man hoffen, dass gerade durch die Einführung des DSA es zu echten Veränderungen in der Aufmachung von Internetseiten kommt. Nutzer sollten dahingehend geschützt werden, dass sie nicht immer auf der Hut sein müssen in eine Falle der Unternehmen zu tappen. Insbesondere bleibt es zu beobachten, wie die Europäische Kommission mit den weiteren Werkzeugen, die der DSA bietet, umgeht.