Takea­ways (AI):
  • Der Euro­päi­sche Daten­schutz­aus­schuss hat am 14. Febru­ar 2023 aktua­li­sier­te Leit­li­ni­en zu täu­schen­den Prak­ti­ken in sozia­len Medi­en veröffentlicht.
  • Die Leit­li­ni­en bie­ten eine detail­lier­te Check­li­ste für den daten­schutz­kon­for­men Umgang mit Social-Media-Platt­for­men gemäß der DSGVO.
  • Emp­foh­le­ne Prak­ti­ken umfas­sen die Ver­mei­dung von Obstruk­ti­on und Emo­tio­na­le Steue­rung im Nutzererlebnis.
  • Der EDSA warnt vor unzu­läs­si­gen Gestal­tungs­prak­ti­ken, die gegen Art. 5 der DSGVO ver­sto­ßen könnten.
  • Daten­schutz­er­klä­run­gen müs­sen kla­re Infor­ma­tio­nen lie­fern und in der Spra­che der Nut­zer ver­füg­bar sein.

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA hat – bereits am 14. Febru­ar 2023 – die 74-sei­ti­ge Ver­si­on 2.0 der Leit­li­ni­en über täu­schen­de Mass­nah­men in sozia­len Medi­en (Gui­de­lines 03/2022 on Decep­ti­ve design pat­terns in social media plat­form inter­faces: how to reco­g­nise and avo­id them) ver­öf­fent­licht. Die Vor­ver­si­on 1.0 war am 14. März 2022 zur öffent­li­chen Kon­sul­ta­ti­on auf­ge­legt worden.

Die Leit­li­ni­en beru­hen auf der DSGVO und stel­len sehr detail­liert eine Rei­he von Prak­ti­ken dar, die aus Optik des EDSA bzw. sei­ner Mit­glie­der täu­schend sind, als Anlei­tung für die daten­schutz­kon­for­me Gestal­tung oder Check­li­ste zur Prü­fung und jeweils mit Gestal­tungs­hin­wei­sen. Im Anhang 2 fin­den sich wei­te­re “Best Practice”-Empfehlungen, die die Ein­hal­tung der DSGVO erleich­tern sollen.

Ins­ge­samt kann man die Emp­feh­lun­gen des EDSA so zusam­men­fas­sen, dass sich der Betrei­ber einer Social-Media-Sei­te anstän­dig ver­hal­ten und sich in den Nut­zer hin­ein­ver­set­zen soll­te, letz­te­res aus Optik eines Nut­zers mit gerin­ger Auf­merk­sam­keits­span­ne und ohne kri­ti­sche Hal­tung. Dage­gen ver­stösst es nicht nur, wenn der Nut­zer für dumm ver­kauft oder belä­stigt wird, son­dern auch etwa, wenn er ein Account nicht löschen, son­dern nur deak­ti­vie­ren kann, eine ver­brei­te­tes, aber lästi­ges Vor­ge­hen. Unzu­läs­sig wäre etwa:

Exam­p­le 56: In the pro­cess of dele­ting their account, users are pro­vi­ded with two opti­ons to choo­se from: To dele­te their account or to pau­se it. By default, the paus­ing opti­on is selected.

Kate­go­rien unzu­läs­si­ger Praktiken

Fol­gen­de Kate­go­rien betref­fen den Inhalt (z.B. For­mu­lie­run­gen) oder die Gestal­tung von Social-Media-Sei­ten (User Inter­face) wer­den im Leit­fa­den diskutiert:

Over­loa­ding”:

Over­loa­ding means users are con­fron­ted with an avalanche/lar­ge quan­ti­ty of requests, infor­ma­ti­on, opti­ons or pos­si­bi­li­ties in order to prompt them to share more data or unin­ten­tio­nal­ly allow per­so­nal data pro­ce­s­sing against the expec­ta­ti­ons of the data sub­ject. The fol­lo­wing three decep­ti­ve design pat­tern types fall into this cate­go­ry: Con­ti­nuous promp­ting, Pri­va­cy Maze and Too Many Options.

Bei­spiel: Ein Nut­zer wird bei jedem Log­in auf­ge­for­dert, sei­ne Tele­fon­num­mer einzugeben.

Skip­ping”:

Skip­ping means desig­ning the inter­face or user jour­ney in a way that users for­get or do not think about all or some of the data pro­tec­tion aspects. The fol­lo­wing two decep­ti­ve design pat­tern types fall into this cate­go­ry: Decep­ti­ve Snug­ness and Look over there

Ein Bei­spiel wäre es laut EDSA, den Nut­zer zwar Aus­wahl­mög­lich­kei­ten zu geben, eine – die nicht daten­spar­sa­me – aber beson­ders her­vor­zu­he­ben, bspw. durch eine ent­spre­chen­de gra­phi­sche Gestal­tung (aus­grau­en der ande­ren Optio­nen). Das ver­sto­sse gegen den Grund­satz von “pri­va­cy by default”:

Exam­p­le 9 shows a Decep­ti­ve Snug­ness pat­tern, as it is not the opti­on offe­ring the hig­hest level of data pro­tec­tion that is sel­ec­ted, and the­r­e­fo­re acti­va­ted, by default. In addi­ti­on, the default effect of this pat­tern nud­ges users to keep the pre-sel­ec­tion, i. e. to neither take time to con­sider the other opti­ons at this stage nor to go back to chan­ge the set­ting at a later stage

Für das schwei­ze­ri­sche Recht ver­stösst eine sol­che Gestal­tung sicher nicht gegen den Grund­satz von Pri­va­cy by Default, weil dem Nut­zer eine Aus­wahl zwar vor­ge­schla­gen wird, die­se aber vom Nut­zer bestä­tigt wird. Nur wenn die Bestä­ti­gung als qua­si nich­tig auf­ge­fasst wird, die Täu­schung also so weit geht, könn­te man von einer Ver­let­zung sprechen.

Stir­ring”:

Stir­ring affects the choice users would make by appe­al­ing to their emo­ti­ons or using visu­al nud­ges. The fol­lo­wing two decep­ti­ve design pat­tern types fall into this cate­go­ry: Emo­tio­nal Stee­ring and Hid­den in plain sight

Ein Bei­spiel wäre laut EDSA, wenn Nut­zer auf­ge­for­dert wer­den, mehr als die erfor­der­li­chen Daten bekanntzugeben:

Tell us about your ama­zing self! We can’t wait, so come on right now and let us know!”

Obs­truc­ting”:

Obs­truc­ting means hin­de­ring or blocking users in their pro­cess of beco­ming infor­med or mana­ging their data by making the action hard or impos­si­ble to achie­ve. The fol­lo­wing three decep­ti­ve design pat­tern types fall into this cate­go­ry: Dead end, Lon­ger than neces­sa­ry and Mis­lea­ding action

Fick­le”:

Fick­le means the design of the inter­face is incon­si­stent and not clear, making it hard for the user to navi­ga­te the dif­fe­rent data pro­tec­tion con­trol tools and to under­stand the pur­po­se of the pro­ce­s­sing. The fol­lo­wing four decep­ti­ve design pat­tern types fall into this cate­go­ry: Lack­ing hier­ar­chy, Decon­tex­tua­li­sing, Incon­si­stent Inter­face and Lan­guage Discontinuity

Left in the dark”:

Left in the dark means an inter­face is desi­gned in a way to hide infor­ma­ti­on or data pro­tec­tion con­trol tools or to lea­ve users unsu­re of how their data is pro­ce­s­sed and what kind of con­trol they might have over it regar­ding the exer­cise of their rights. The fol­lo­wing two decep­ti­ve design pat­tern types fall into this cate­go­ry: Con­flic­ting infor­ma­ti­on and Ambi­guous wor­ding or information

Dazu fin­det sich im Anhang eine Zusam­men­fas­sung und fol­gen­de Übersicht:

Die­se Prak­ti­ken kön­nen gegen Art. 5 DSGVO (Bear­bei­tungs­grund­sät­ze) ver­sto­ssen, bei Ein­wil­li­gun­gen u.U. auch gegen Art. 4 Nr. 11 und Art. 7 DSGVO. Genau­er kön­nen sie fol­gen­de Anlie­gen unter­lau­fen, die der EDSA der DSGVO zuordnet:

  • Auto­no­my – Data sub­jects should be gran­ted the hig­hest degree of auto­no­my pos­si­ble to deter­mi­ne the use made of their per­so­nal data, as well as auto­no­my over the scope and con­di­ti­ons of that use or processing.
  • Inter­ac­tion – Data sub­jects must be able to com­mu­ni­ca­te and exer­cise their rights in respect of the per­so­nal data pro­ce­s­sed by the controller.
  • Expec­ta­ti­on – Pro­ce­s­sing should cor­re­spond with data sub­jects’ rea­sonable expectations.
  • Con­su­mer choice – The con­trol­lers should not “lock in” their users in an unfair man­ner. When­ever a ser­vice pro­ce­s­sing per­so­nal data is pro­prie­ta­ry, it may crea­te a lock-in to the ser­vice, which may not be fair, if it impairs the data sub­jects’ pos­si­bi­li­ty to exer­cise their right of data por­ta­bi­li­ty in accordance with Artic­le 20 GDPR.
  • Power balan­ce – Power balan­ce should be a key objec­ti­ve of the con­trol­ler-data sub­ject rela­ti­on­ship. ower imba­lan­ces should be avo­ided. When this is not pos­si­ble, they should be reco­g­nis­ed and accoun­ted or with sui­ta­ble countermeasures.
  • No decep­ti­on – Data pro­ce­s­sing infor­ma­ti­on and opti­ons should be pro­vi­ded in an objec­ti­ve and neu­tral way, avo­i­ding any decep­ti­ve or mani­pu­la­ti­ve lan­guage or design.
  • Truthful – the con­trol­lers must make available infor­ma­ti­on about how they pro­cess personal
    data, should act as they decla­re they will and not mis­lead data subjects.

Der EDSA dis­ku­tiert die­se Prak­ti­ken im Abschnitt 3 der Leit­li­ni­en, jeweils mit einer Beschrei­bung, einer Ana­ly­se der anwend­ba­ren Bestim­mun­gen der DSGVO und Beispielen.

Wider­ruf der Einwilligung

Der EDSA weist u.a. dar­auf hin, dass bei der Gestal­tung etwa von Ein­wil­li­gungs­er­klä­run­gen auf das Medi­um zu ach­ten ist, in dem die Ein­wil­li­gung abge­fragt ist, d.h. auch auf einem Mobil­te­le­fon soll­ten der Gegen­stand der Ein­wil­li­gung und die erfor­der­li­chen Anga­ben dazu klar erkenn­bar sein. Im Übri­gen folgt der EDSA in Vie­lem sei­ner bekann­ten stren­gen Pra­xis, etwa bei der Wider­ruf­lich­keit von Einwilligungen:

As an exam­p­le, con­sent can­not be con­side­red valid under the GDPR when con­sent is obtai­ned through only one mou­se-click, swi­pe or keystro­ke, but the with­dra­wal takes more steps, is more dif­fi­cult to achie­ve or takes more time.

Und:

Exam­p­le 33: A social media pro­vi­der does not pro­vi­de a direct opt-out from a tar­ge­ted adver­ti­se­ment pro­ce­s­sing even though the con­sent (opt-in) only requi­res one click.

Die Leit­li­ni­en ent­hal­ten diver­se wei­te­re Bezü­ge auf Ein­wil­li­gun­gen und ihre Dokumentation.

Anfor­de­run­gen an Datenschutzerklärungen

Auch Anfor­de­run­gen an Daten­schutz­er­klä­run­gen wer­den ange­spro­chen, etwa mit der fol­gen­den, zwei­fel­los rich­ti­gen Aussage:

Howe­ver, more infor­ma­ti­on does not neces­s­a­ri­ly mean bet­ter infor­ma­ti­on. Too much irrele­vant or con­fu­sing infor­ma­ti­on can obscu­re important con­tent points or redu­ce the likeli­hood of fin­ding them. Hence, the right balan­ce bet­ween con­tent and com­pre­hen­si­ble pre­sen­ta­ti­on is cru­cial in this area. If this balan­ce is not met, decep­ti­ve design pat­terns can occur.

Das ist aller­dings leich­ter gesagt als getan, weil Daten­schutz­er­klä­run­gen nicht für die gro­sse Mas­se der Nut­zer geschrie­ben wer­den, son­dern für die weni­gen Aus­nah­men, die sie im Streit­fall akri­bisch nach Lücken durch­su­chen. Will man hier sicher­ge­hen, wird man die Daten­schutz­er­klä­run­gen oft recht aus­führ­lich schrei­ben, was sie auf­zu­blä­hen droht. Bei umfang­rei­chen Daten­schutz­er­klä­run­gen hilft aber eine gute gra­phi­sche Auf­be­rei­tung, etwa mit Auf­klapp­tex­ten wie z.B. hier, oder eine kla­re Unter­schei­dung zwi­schen grund­sätz­li­chen Aus­sa­gen und Bei­spie­len, oder eine gute Struk­tu­rie­rung (auch dar­auf weist der EDSA hin) usw. Auch die Pri­va­cy Icons kön­nen dazu einen Bei­trag leisten.

Zu den Sprach­anfor­de­run­gen an Daten­schutz­er­klä­run­gen sagt der EDSA,

Users will face this decep­ti­ve design pat­tern [“lan­guage dis­con­ti­nui­ty”] when data pro­tec­tion infor­ma­ti­on is not pro­vi­ded in the offi­ci­al lan­guages of the coun­try whe­re they live, whe­re­as the ser­vice is pro­vi­ded in that language 

Man darf das wohl so ver­ste­hen, dass Daten­schutz­in­for­ma­tio­nen in der­je­ni­gen Spra­che zu prä­sen­tie­ren sind, in der das Ange­bot genutzt wer­den kann. Unzu­läs­sig sei aber auch folgendes:

Each time users call up cer­tain pages, such as the help page, the­se auto­ma­ti­cal­ly switch to the lan­guage of the coun­try users are in, even if they have pre­vious­ly sel­ec­ted a dif­fe­rent language.

Wenn ein Ser­vice auf einer Web­site und einer App genutzt wer­den kann, sei­en die erfor­der­li­chen Infor­ma­tio­nen grund­sätz­lich direkt in der App zur Ver­fü­gung zu stel­len:

It is important to note that even stron­ger effects than tho­se cau­sed by too many lay­ers can occur when not only seve­ral devices, but also seve­ral apps pro­vi­ded by the same social media plat­form, such as spe­cial mes­sen­ger apps, are used. Users who use that kind of secon­da­ry app would face grea­ter obs­ta­cles and efforts if they have to call up the brow­ser ver­si­on or the pri­ma­ry app to obtain data pro­tec­tion rela­ted infor­ma­ti­on. In such a situa­ti­on, which is not only cross-device but cross-appli­ca­ti­on, the rele­vant infor­ma­ti­on must always be direct­ly acce­s­si­ble no mat­ter how users use the plat­form.

Auch sonst bleibt der EDSA streng und wie­der­holt die Mei­nung, in Daten­schutz­er­klä­rung sei­en For­mu­lie­run­gen wie “we might use your data for…” oder “our ser­vices” zu gene­risch. Auch die Anfor­de­run­gen an den Inhalt der Infor­ma­tio­nen blei­ben hoch:

Exam­p­le 46: The social media plat­form does not expli­ci­t­ly sta­te that users in the EU have the right to lodge a com­plaint with a super­vi­so­ry aut­ho­ri­ty, but only men­ti­ons that in some – wit­hout men­tio­ning which – count­ries, the­re are data pro­tec­tion aut­ho­ri­ties which the social media pro­vi­der coope­ra­tes with regar­ding complaints.

Bei den Hin­wei­sen auf die Betrof­fe­nen­rech­te geht der EDSA noch weiter:

Exam­p­le 49: The para­graph under the sub­tit­le “right to access” in the pri­va­cy poli­cy explains that users have the right to obtain infor­ma­ti­on under Artic­le 15 (1) GDPR. Howe­ver, it only men­ti­ons users’ pos­si­bi­li­ty to recei­ve a copy of their per­so­nal data. The­re is no direct link visi­ble to exer­cise the copy com­po­nent of the right of access under Artic­le 15 (3) GDPR. Rather, the first three words in “You can have a copy of your per­so­nal data” are slight­ly under­lined. When hove­ring over the­se words with the users’ mou­se, a small box is dis­play­ed with a link to the settings.

Das sei ein Fall von “hid­den in plain sight”. Eine sol­che Gestal­tung soll­te wohl eher bei den Best Prac­ti­ces genannt werden.

Mit­tei­lung von Sicherheitsverletzungen

Auch die­ses The­ma spricht der EDSA an. Eine Sicher­heits­ver­let­zung lie­ge bspw. vor, wenn eine App auf mehr Daten zugrei­fen kön­ne, dies infol­ge eines Pro­gram­mier­feh­lers. Sicher­heits­ver­let­zun­gen sind bei hohen Risi­ken auch den Betrof­fe­nen mit­zu­tei­len, und auch hier sei­en täu­schen­de Gestal­tun­gen zu ver­mei­den, bspw. indem die Hin­wei­se über Art und Umfang der Ver­let­zun­gen mit “unspe­ci­fic and irrele­vant infor­ma­ti­on and the impli­ca­ti­ons and pre­cau­tio­na­ry mea­su­res the con­trol­ler has taken or sug­gests to take” ver­bun­den wer­den: “This part­ly irrele­vant infor­ma­ti­on can be mis­lea­ding and users affec­ted by the breach might not ful­ly under­stand the impli­ca­ti­ons of the breach or unde­re­sti­ma­te the (poten­ti­al) effects.”

Eben­falls unzu­läs­sig Folgendes:

Exam­p­le 20:The con­trol­ler only refers to actions of a third par­ty, that the data breach was ori­gi­na­ted by a third par­ty (e.g. a pro­ces­sor) and that the­r­e­fo­re no secu­ri­ty breach occur­red. The con­trol­ler also high­lights some good prac­ti­ces that have not­hing to do with the actu­al breach.

The con­trol­ler decla­res the seve­ri­ty of the data breach in rela­ti­on to its­elf or to a pro­ces­sor, rather than in rela­ti­on to the data subject.

Oder:

Exam­p­le 21: Through a data breach on a social media plat­form, seve­ral sets of health data were acci­den­tal­ly acce­s­si­ble to unaut­ho­ri­sed users. The social media pro­vi­der only informs users that “spe­cial cate­go­ries of per­so­nal data” were acci­den­tal­ly made public.

Oder:

Exam­p­le 22: The con­trol­ler only pro­vi­des vague details when iden­ti­fy­ing the cate­go­ries of per­so­nal data affec­ted, e. g. the con­trol­ler refers to docu­ments sub­mit­ted by users wit­hout spe­ci­fy­ing what cate­go­ries of per­so­nal data the­se docu­ments include and how sen­si­ti­ve they were.

Oder:

Exam­p­le 23: When report­ing the breach, the con­trol­ler does not suf­fi­ci­ent­ly spe­ci­fy the cate­go­ry of the affec­ted data sub­jects, e. g., the con­trol­ler only men­ti­ons that con­cer­ned data sub­jects were stu­dents, but the con­trol­ler does not spe­ci­fy whe­ther the data sub­jects are minors or groups of vul­nerable data subjects.

Oder:

Exam­p­le 24: A con­trol­ler decla­res that per­so­nal data was made public through other sources when it noti­fi­es the breach to the Super­vi­so­ry Aut­ho­ri­ty and to the data sub­ject. The­r­e­fo­re, the data sub­ject con­siders that the­re was no secu­ri­ty breach.

AI-generierte Takeaways können falsch sein.