Mehrheit der Webseiten mit täuschenden Designs

24. Juli 2024

Am 09.07.2024 wurden Berichte über eine weltweite Prüfung von Webseiten bezüglich des datenschutzrechtlichen Grundsatzes Privacy by Designs veröffentlicht. Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) hat sich beteiligt. Nach dem umfassenden Bericht des Global Privacy Enforcement Network (GPEN) ist die Mehrheit der Webseiten mit täuschenden Designs aufgebaut. Diese Muster, auch als “Deceptive Design Patterns” bekannt, beeinflussen die Entscheidungen der Nutzer, insbesondere in Bezug auf ihre Datenschutzoptionen.

Datenschutz durch Technikgestaltung

Das Verbot von täuschenden Designs ergibt sich aus den Grundsätzen über Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, Privacy by design und Privacy by default. Tobias Keber, der LfDI BW, erklärt, dass es sich bei den Vorgaben nicht um ein „optionales Angebot“ handelt, sondern „vielmehr […] Voraussetzung für ein rechtmäßiges Angebot“ ist. Bezogen auf den Aufbau von Webseiten, müssen sie so konzipiert sein, dass die standardmäßigen Einstellungen den größtmöglichen Datenschutz bieten. Außerdem ist die Datenverarbeitung stets transparent und nachvollziehbar zu erklären, sodass Betroffene verstehen, wie Verantwortliche ihre Daten behandeln.

Global Privacy Enforcement Network (GPEN)

Das GPEN, gegründet 2010, zielt darauf ab, die internationale Kooperation zwischen Datenschutzaufsichtsbehörden zu fördern. Angesichts der immer stärker vernetzten Welt ist ein reibungsloser Austausch von personenbezogenen Daten nämlich essenziell. Über 80 Behörden sind Teil des informellen Verbundes.

Prüfung über täuschende Designs

Vom 29.01.2024 bis zum 02.02.2024 fand eine koordinierte Prüfung des GPEN statt. Sie umfasste die Untersuchung von über 1.000 Webseiten und mobilen Anwendungen. Im Fokus standen dabei täuschende Designmuster, die Nutzende zu unvorteilhaften Entscheidungen verleiten sollen. Sonstige Missachtungen des Datenschutzrechts waren nicht teil der Untersuchung.

Hieran teilgenommen haben 26 Datenschutzbehörden aus 21 Ländern. Zudem waren dank der Einbindung des International Consumer Protection and Enforcement Network (ICPEN) auch 27 Verbraucherschutzbehörden beteiligt. Zur Durchführung der Untersuchung haben die Behörden die Nutzererfahrungen auf den verschiedenen Webseiten und Apps nachgestellt. Getestet wurde dann wie leicht datenschutzrechtliche Entscheidungen getroffen, Informationen eingeholt und Konten angemeldet und gelöscht werden können

Ergebnis: Mehrheit schneidet schlecht ab

Die Ergebnisse sind alarmierend: Die Mehrheit der geprüften Webseiten und Apps verwendet täuschende Designmuster. In Baden-Württemberg setzen laut der Pressemitteilung des LfDI BW alle 17 getesteten Webseiten solche Muster ein.

Besonders erschreckend ist, dass laut dem Bericht 89 % der Unternehmen anspruchsvolle und verwirrende Sprache verwenden. Regelmäßig seien die Datenschutzinformationen lang und für den Durchschnittsnutzer schwer verständlich.

Zudem hätten etwa die Hälfte der Webseiten und Anwendungen irreführende Benutzeroberflächen. 42 % versuchten durch eine emotionale Wortwahl, die Nutzerentscheidung zu beeinflussen. 57 % würden die Option mit dem geringsten Datenschutz hervorheben und leichter auswählbar machen. Solche Taktiken werden regelmäßig im Rahmen von Einwilligungsbannern für Cookies verwendet.

Außerdem fände auch in 35 % der Systemen eine Belästigung statt, indem Nutzer bei der Kontolöschung wiederholt darauf hingewiesen werden, ihre Wahl zu überdenken.

Im Übrigen erschwerten 40 % der Anwendungen die datenschutzrechtlichen Einstellungsmöglichkeiten, in dem sie den Zugriff vor Hindernisse stellen oder verstecken.

Zuletzt zwangen sogar 9 % der Webseiten und Apps Nutzer beim Löschen ihres Kontos mehr personenbezogene Daten anzugeben, als zunächst bei der Kontoerstellung erforderlich war.

Maßnahmen des LfDI BW

Keber betonte die Notwendigkeit, dass Webseitenbetreiber datenschutzfreundliche Voreinstellungen bieten müssen. Die Behörde nehme die „Prüfung zum Anlass, auf die […] geprüften Webseitenbetreiber zuzugehen und wo nötig auf datenschutzkonforme Lösungen hinzuwirken“. Die Prüfungen sollen Webseitenbetreiber dazu anregen, ihre Designs zu überarbeiten und datenschutzkonforme Lösungen umzusetzen.

Fazit

Die weltweite Prüfung zeigt, dass die Mehrheit der Webseiten und Apps mit täuschenden Designs ausgestattet ist. Die Ergebnisse der koordinierten Prüfung unterstreichen wie viele Unternehmen noch keine transparenten und fairen Designs implementiert haben. Da hierfür jedoch schnell hohe Bußgelder verhängt werden können, sollten Verantwortliche ihren Online-Auftritt überprüfen und bei Bedarf datenschutzkonform anpassen.