Der Europäische Datenschutzausschuss EDSA hat – bereits am 14. Februar 2023 – die 74-seitige Version 2.0 der Leitlinien über täuschende Massnahmen in sozialen Medien (Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them) veröffentlicht. Die Vorversion 1.0 war am 14. März 2022 zur öffentlichen Konsultation aufgelegt worden.
Die Leitlinien beruhen auf der DSGVO und stellen sehr detailliert eine Reihe von Praktiken dar, die aus Optik des EDSA bzw. seiner Mitglieder täuschend sind, als Anleitung für die datenschutzkonforme Gestaltung oder Checkliste zur Prüfung und jeweils mit Gestaltungshinweisen. Im Anhang 2 finden sich weitere “Best Practice”-Empfehlungen, die die Einhaltung der DSGVO erleichtern sollen.
Insgesamt kann man die Empfehlungen des EDSA so zusammenfassen, dass sich der Betreiber einer Social-Media-Seite anständig verhalten und sich in den Nutzer hineinversetzen sollte, letzteres aus Optik eines Nutzers mit geringer Aufmerksamkeitsspanne und ohne kritische Haltung. Dagegen verstösst es nicht nur, wenn der Nutzer für dumm verkauft oder belästigt wird, sondern auch etwa, wenn er ein Account nicht löschen, sondern nur deaktivieren kann, eine verbreitetes, aber lästiges Vorgehen. Unzulässig wäre etwa:
Example 56: In the process of deleting their account, users are provided with two options to choose from: To delete their account or to pause it. By default, the pausing option is selected.
Kategorien unzulässiger Praktiken
Folgende Kategorien betreffen den Inhalt (z.B. Formulierungen) oder die Gestaltung von Social-Media-Seiten (User Interface) werden im Leitfaden diskutiert:
“Overloading”:
Overloading means users are confronted with an avalanche/large quantity of requests, information, options or possibilities in order to prompt them to share more data or unintentionally allow personal data processing against the expectations of the data subject. The following three deceptive design pattern types fall into this category: Continuous prompting, Privacy Maze and Too Many Options.
Beispiel: Ein Nutzer wird bei jedem Login aufgefordert, seine Telefonnummer einzugeben.
“Skipping”:
Skipping means designing the interface or user journey in a way that users forget or do not think about all or some of the data protection aspects. The following two deceptive design pattern types fall into this category: Deceptive Snugness and Look over there
Ein Beispiel wäre es laut EDSA, den Nutzer zwar Auswahlmöglichkeiten zu geben, eine – die nicht datensparsame – aber besonders hervorzuheben, bspw. durch eine entsprechende graphische Gestaltung (ausgrauen der anderen Optionen). Das verstosse gegen den Grundsatz von “privacy by default”:
Example 9 shows a Deceptive Snugness pattern, as it is not the option offering the highest level of data protection that is selected, and therefore activated, by default. In addition, the default effect of this pattern nudges users to keep the pre-selection, i. e. to neither take time to consider the other options at this stage nor to go back to change the setting at a later stage
Für das schweizerische Recht verstösst eine solche Gestaltung sicher nicht gegen den Grundsatz von Privacy by Default, weil dem Nutzer eine Auswahl zwar vorgeschlagen wird, diese aber vom Nutzer bestätigt wird. Nur wenn die Bestätigung als quasi nichtig aufgefasst wird, die Täuschung also so weit geht, könnte man von einer Verletzung sprechen.
“Stirring”:
Stirring affects the choice users would make by appealing to their emotions or using visual nudges. The following two deceptive design pattern types fall into this category: Emotional Steering and Hidden in plain sight
Ein Beispiel wäre laut EDSA, wenn Nutzer aufgefordert werden, mehr als die erforderlichen Daten bekanntzugeben:
“Tell us about your amazing self! We can’t wait, so come on right now and let us know!”
“Obstructing”:
Obstructing means hindering or blocking users in their process of becoming informed or managing their data by making the action hard or impossible to achieve. The following three deceptive design pattern types fall into this category: Dead end, Longer than necessary and Misleading action
“Fickle”:
Fickle means the design of the interface is inconsistent and not clear, making it hard for the user to navigate the different data protection control tools and to understand the purpose of the processing. The following four deceptive design pattern types fall into this category: Lacking hierarchy, Decontextualising, Inconsistent Interface and Language Discontinuity
“Left in the dark”:
Left in the dark means an interface is designed in a way to hide information or data protection control tools or to leave users unsure of how their data is processed and what kind of control they might have over it regarding the exercise of their rights. The following two deceptive design pattern types fall into this category: Conflicting information and Ambiguous wording or information
Dazu findet sich im Anhang eine Zusammenfassung und folgende Übersicht:
Diese Praktiken können gegen Art. 5 DSGVO (Bearbeitungsgrundsätze) verstossen, bei Einwilligungen u.U. auch gegen Art. 4 Nr. 11 und Art. 7 DSGVO. Genauer können sie folgende Anliegen unterlaufen, die der EDSA der DSGVO zuordnet:
- Autonomy – Data subjects should be granted the highest degree of autonomy possible to determine the use made of their personal data, as well as autonomy over the scope and conditions of that use or processing.
- Interaction – Data subjects must be able to communicate and exercise their rights in respect of the personal data processed by the controller.
- Expectation – Processing should correspond with data subjects’ reasonable expectations.
- Consumer choice – The controllers should not “lock in” their users in an unfair manner. Whenever a service processing personal data is proprietary, it may create a lock-in to the service, which may not be fair, if it impairs the data subjects’ possibility to exercise their right of data portability in accordance with Article 20 GDPR.
- Power balance – Power balance should be a key objective of the controller-data subject relationship. ower imbalances should be avoided. When this is not possible, they should be recognised and accounted or with suitable countermeasures.
- No deception – Data processing information and options should be provided in an objective and neutral way, avoiding any deceptive or manipulative language or design.
- Truthful – the controllers must make available information about how they process personal
data, should act as they declare they will and not mislead data subjects.
Der EDSA diskutiert diese Praktiken im Abschnitt 3 der Leitlinien, jeweils mit einer Beschreibung, einer Analyse der anwendbaren Bestimmungen der DSGVO und Beispielen.
Widerruf der Einwilligung
Der EDSA weist u.a. darauf hin, dass bei der Gestaltung etwa von Einwilligungserklärungen auf das Medium zu achten ist, in dem die Einwilligung abgefragt ist, d.h. auch auf einem Mobiltelefon sollten der Gegenstand der Einwilligung und die erforderlichen Angaben dazu klar erkennbar sein. Im Übrigen folgt der EDSA in Vielem seiner bekannten strengen Praxis, etwa bei der Widerruflichkeit von Einwilligungen:
As an example, consent cannot be considered valid under the GDPR when consent is obtained through only one mouse-click, swipe or keystroke, but the withdrawal takes more steps, is more difficult to achieve or takes more time.
Und:
Example 33: A social media provider does not provide a direct opt-out from a targeted advertisement processing even though the consent (opt-in) only requires one click.
Die Leitlinien enthalten diverse weitere Bezüge auf Einwilligungen und ihre Dokumentation.
Anforderungen an Datenschutzerklärungen
Auch Anforderungen an Datenschutzerklärungen werden angesprochen, etwa mit der folgenden, zweifellos richtigen Aussage:
However, more information does not necessarily mean better information. Too much irrelevant or confusing information can obscure important content points or reduce the likelihood of finding them. Hence, the right balance between content and comprehensible presentation is crucial in this area. If this balance is not met, deceptive design patterns can occur.
Das ist allerdings leichter gesagt als getan, weil Datenschutzerklärungen nicht für die grosse Masse der Nutzer geschrieben werden, sondern für die wenigen Ausnahmen, die sie im Streitfall akribisch nach Lücken durchsuchen. Will man hier sichergehen, wird man die Datenschutzerklärungen oft recht ausführlich schreiben, was sie aufzublähen droht. Bei umfangreichen Datenschutzerklärungen hilft aber eine gute graphische Aufbereitung, etwa mit Aufklapptexten wie z.B. hier, oder eine klare Unterscheidung zwischen grundsätzlichen Aussagen und Beispielen, oder eine gute Strukturierung (auch darauf weist der EDSA hin) usw. Auch die Privacy Icons können dazu einen Beitrag leisten.
Zu den Sprachanforderungen an Datenschutzerklärungen sagt der EDSA,
Users will face this deceptive design pattern [“language discontinuity”] when data protection information is not provided in the official languages of the country where they live, whereas the service is provided in that language
Man darf das wohl so verstehen, dass Datenschutzinformationen in derjenigen Sprache zu präsentieren sind, in der das Angebot genutzt werden kann. Unzulässig sei aber auch folgendes:
Each time users call up certain pages, such as the help page, these automatically switch to the language of the country users are in, even if they have previously selected a different language.
Wenn ein Service auf einer Website und einer App genutzt werden kann, seien die erforderlichen Informationen grundsätzlich direkt in der App zur Verfügung zu stellen:
It is important to note that even stronger effects than those caused by too many layers can occur when not only several devices, but also several apps provided by the same social media platform, such as special messenger apps, are used. Users who use that kind of secondary app would face greater obstacles and efforts if they have to call up the browser version or the primary app to obtain data protection related information. In such a situation, which is not only cross-device but cross-application, the relevant information must always be directly accessible no matter how users use the platform.
Auch sonst bleibt der EDSA streng und wiederholt die Meinung, in Datenschutzerklärung seien Formulierungen wie “we might use your data for…” oder “our services” zu generisch. Auch die Anforderungen an den Inhalt der Informationen bleiben hoch:
Example 46: The social media platform does not explicitly state that users in the EU have the right to lodge a complaint with a supervisory authority, but only mentions that in some – without mentioning which – countries, there are data protection authorities which the social media provider cooperates with regarding complaints.
Bei den Hinweisen auf die Betroffenenrechte geht der EDSA noch weiter:
Example 49: The paragraph under the subtitle “right to access” in the privacy policy explains that users have the right to obtain information under Article 15 (1) GDPR. However, it only mentions users’ possibility to receive a copy of their personal data. There is no direct link visible to exercise the copy component of the right of access under Article 15 (3) GDPR. Rather, the first three words in “You can have a copy of your personal data” are slightly underlined. When hovering over these words with the users’ mouse, a small box is displayed with a link to the settings.
Das sei ein Fall von “hidden in plain sight”. Eine solche Gestaltung sollte wohl eher bei den Best Practices genannt werden.
Mitteilung von Sicherheitsverletzungen
Auch dieses Thema spricht der EDSA an. Eine Sicherheitsverletzung liege bspw. vor, wenn eine App auf mehr Daten zugreifen könne, dies infolge eines Programmierfehlers. Sicherheitsverletzungen sind bei hohen Risiken auch den Betroffenen mitzuteilen, und auch hier seien täuschende Gestaltungen zu vermeiden, bspw. indem die Hinweise über Art und Umfang der Verletzungen mit “unspecific and irrelevant information and the implications and precautionary measures the controller has taken or suggests to take” verbunden werden: “This partly irrelevant information can be misleading and users affected by the breach might not fully understand the implications of the breach or underestimate the (potential) effects.”
Ebenfalls unzulässig Folgendes:
Example 20:The controller only refers to actions of a third party, that the data breach was originated by a third party (e.g. a processor) and that therefore no security breach occurred. The controller also highlights some good practices that have nothing to do with the actual breach.
The controller declares the severity of the data breach in relation to itself or to a processor, rather than in relation to the data subject.
Oder:
Example 21: Through a data breach on a social media platform, several sets of health data were accidentally accessible to unauthorised users. The social media provider only informs users that “special categories of personal data” were accidentally made public.
Oder:
Example 22: The controller only provides vague details when identifying the categories of personal data affected, e. g. the controller refers to documents submitted by users without specifying what categories of personal data these documents include and how sensitive they were.
Oder:
Example 23: When reporting the breach, the controller does not sufficiently specify the category of the affected data subjects, e. g., the controller only mentions that concerned data subjects were students, but the controller does not specify whether the data subjects are minors or groups of vulnerable data subjects.
Oder:
Example 24: A controller declares that personal data was made public through other sources when it notifies the breach to the Supervisory Authority and to the data subject. Therefore, the data subject considers that there was no security breach.