Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Zur Zustimmung gedrängt: Verbraucherschützer beklagen "dark patterns"

In einer Studie zur Umsetzung der Datenschutzgrundverordnung fielen insbesondere Google und Facebook negativ auf. Besser schnitt Microsoft mit Windows 10 ab.

In Pocket speichern vorlesen Druckansicht 75 Kommentare lesen
Zur Zustimmung gedrängt: Verbraucherschützer beklagen "dark patterns"

Die Verbraucherschützer von Forbrukerrådet haben den komplexen Zustimmungsprozess bei Facebook in einem Diagramm festgehalten.

(Bild: Forbrukerrådet)

Lesezeit: 4 Min.
Von
  • Torsten Kleinz
Inhaltsverzeichnis

Mit einer aktuell veröffentlichten Studie will die norwegische Verbraucherschutzorganisation Forbrukerrådet gegen Irreführungen von Verbrauchern vorgehen, mit denen diese zur Freigabe ihrer persönlichen Daten gedrängt werden. Als Folge sollen nun die Datenschutzbehörden Ermittlungen beginnen.

Zustimmung erforderlich

Die Ende Mai in Kraft getretene Datenschutz-Grundverordnung sieht vor, dass Verbraucher zum einen über Datenverarbeitungen informiert werden müssen, zum anderen ist in bestimmten Fällen eine Zustimmung zur Datenverarbeitung notwendig. Insbesondere wenn den Nutzern personalisierte Werbung ausgespielt werden soll, müssen die Nutzer befragt werden. Die norwegische Verbraucherschutzbehörde hat nun die Umsetzung dieser Regeln von Google, Facebook und Windows unter die Lupe genommen.

Dark Patterns (6 Bilder)

Facebook: Bitte überprüfe ...

Die Vorschaltseite bei Facebook suggerierte, dass Nutzer den Konsens-Prozess schnell hinter sich bringen müssen.

Besonders die ersten beiden schneiden in der Studie mit dem Titel "Deceived by design" schlecht ab. "Facebook und Google haben Voreinstellungen, die weit in die Privatsphäre der Nutzer eingreifen", heißt es hier. Dabei kritisieren die Autoren insbesondere, dass die Nutzer mit einem ganzen Bündel von Taktiken gedrängt werden, diese Voreinstellungen zu belassen. Diese so genannten Dark Patterns bezeichnet die Studie als irreführend und manipulativ.

Längere Wege für den Datenschutz

Die hervorstechendste Strategie sei es, den Nutzern die Zustimmung möglichst einfach, die Ablehnung jedoch möglichst kompliziert zu machen. So konnten sie bei Facebook und Google der Datenverwendung nicht per einfachem Klick widersprechen, sondern mussten dazu erst gesonderte Dialoge aufrufen. Die Zustimmung zur Datenverwendung dagegen war mit wenigen Klicks erledigt. Dabei waren die Buttons, die den Unternehmen den meisten Zugriff garantierten, farblich klar hervorgehoben. Nutzer, die über Jahre daran gewöhnt waren, lästige Dialoge möglichst schnell wegzuklicken, erteilten so wahrscheinlich ihre Zustimmung zu jeder gewünschten Datenverarbeitung.

Im Gegensatz dazu wurde den Nutzern von Windows 10 jeweils eine einfache gleichwertige Alternative gegeben, der Verwendung von Daten zuzustimmen oder nicht – Umwege über andere Einstellungsseiten waren hier nicht nötig. Die Zustimmung zur Datenverarbeitung war auch nicht vorausgewählt, sodass kein schneller Klick auf "OK" die Voreinstellungen dauerhaft festlegen konnte.

Gesichtserkennung als Sicherheitsmerkmal

Gleichzeitig werfen die Autoren den Online-Konzernen vor, ihre Nutzer in die Irre zu führen, wenn diese sich die komplexeren Datenschutzeinstellungen tatsächlich durchlesen. Wer im DSVGO-Dialog von Facebook beispielsweise die automatische Gesichtserkennung deaktivieren wollte, wurde davor gewarnt, dass die Plattform ohne diese Technik Nutzer nicht vor Identitätsdieben schützen könne, die fremde Profilbilder kopieren. Andere Nutzungen der biometrischen Daten wurden hingegen nicht erwähnt.

Parallel wurde zeitlicher Druck aufgebaut: So mussten Nutzer den Eindruck gewinnen, dass eine sofortige Zustimmung zu den Datenschutzoptionen erforderlich sei, um die Dienste von Facebook und Google weiter nutzen zu können – in Wahrheit konnten die Pop-Ups jedoch zunächst folgenlos weggeklickt und später in Ruhe angearbeitet werden. Die Facebook-Vorschaltseite suggerierte gar, dass auf den Nutzer private Nachrichten warteten.

Volle Kontrolle?

Google wiederum versicherte seinen Nutzern, dass sie volle Kontrolle über ihre bei Google gespeicherten Daten hätten. Dies stellte sich jedoch in der Praxis als komplizierter heraus: "In unserer Studie riefen beide Tester zwischen 30 und 40 verschiedene Links auf, um die Option zu finden, alle Ortungsdaten zu löschen", schreiben die Verbraucherschützer. Da Google einen ausgefeilten Designprozess und viel Erfahrung habe, gehen die Autoren davon aus, dass hier die Inanspruchnahme der Privatsphäre-Optionen gezielt kompliziert gemacht wurde.

Auch hier dient Microsoft als positives Gegenbeispiel: Bei der Frage zur Übermittlung der Daten wurde den Nutzern explizit zugesichert, dass der eigentliche Funktionsumfang und die Sicherheit von Windows nicht eingeschränkt wird.

Datenschützer am Zug

Direkte Folgen hat die Studie nicht: Forbrukerrådet gehört nicht zu den Aufsichtsbehörden, die über die korrekte Einhaltung der Datenschutzgrundverordnung zuständig sind. In einem offenen Brief fordert die Verbraucherschutzorganisation im Verbund mit anderen Organisationen die europäischen Datenschutzbehörden auf, die Konsens-Erteilung der untersuchten Angebote unter die Lupe zu nehmen. Dort muss man sich bereits mit dem Thema befassen: So hatten der Datenschutz-Aktivist Max Schrems mit seiner Organisation "noyb" bereits Ende Mai ähnliche Vorwürfe in mehreren offiziellen Beschwerden erhoben.

Facebook und Google widersprechen den Bewertungen der Studie. Gegenüber der BBC betonen beide Konzerne, dass sie anderthalb Jahre daran gearbeitet hätten, ihre Dialoge gemäß den Vorgaben der Datenschutz-Grundverordnung zu gestalten. Zudem arbeiteten sie ständig daran, ihre Datenschutzeinstellungen zu vereinfachen. (jo)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten