Digital Fairness Act Unpacked: Dark Patterns

Obwohl der Begriff „Dark Patterns“ ausdrücklich in Erwägungsgrund 67 des Digital Services Act (DSA) genannt wird, gibt es bislang keine offizielle rechtliche Definition, die über den Anwendungsbereich von Dark Patterns auf Online-Plattformen hinausgeht. In der Konsultation verwendet die Kommission eine Definition, die an die Richtlinie über unlautere Geschäftspraktiken (UGPRL) und deren Bezug zu geschäftlichen Entscheidungen erinnert, die ein:e Verbraucher:in ansonsten nicht getroffen hätte. Die Kommission beschreibt Dark Patterns als unlautere Geschäftspraktiken, die durch die Gestaltung digitaler Benutzeroberflächen eingesetzt werden und Verbraucher:innen dazu bewegen können, Entscheidungen zu treffen, die sie andernfalls nicht getroffen hätten.

Auch ohne genaue Definition sind die Praktiken, die regelmäßig als Beispiele für Dark Patterns genannt werden, häufig übereinstimmend.^[1] Daher kommt die Liste der in der DFA-Konsultation zu bewertenden Praktiken wenig überraschend:

• Click Fatigue – eine Technik, bei der Verbraucher:innen sich durch zu viele Schritte klicken müssen, um eine gewünschte Auswahl treffen zu können;
• Den falschen Eindruck erwecken, dass dem/der Verbraucher:in keine andere Option als die (hervorgehobene) zur Verfügung steht, die üblicherweise im Interesse des Unternehmens liegt;
• Nagging – das wiederholte Bitten oder Drängen des/der Verbraucher:in zu einer bestimmten Entscheidung;
• Verbraucher:innen durch Dringlichkeits- oder Verknappungsangaben (z. B. einen Countdown-Timer) unter Druck setzen, selbst wenn das jeweilige Angebot oder die Verfügbarkeit klar zeitlich begrenzt ist;
• Confirm-Shaming – das Drängen des/der Verbraucher:in zu einer bestimmten Wahl durch emotionale Sprache oder Beschämung;
• Sneaking into the online basket – das Hinzufügen von neuen Produkten oder Dienstleistungen zum Warenkorb ohne Wissen oder Zustimmung des/der Verbraucher:in, wenn dieser bzw. diese gerade einen Kauf abschließen will;
• Funktionen, die zu einem anderen Ergebnis führen als normalerweise zu erwarten wäre (z. B. eine Schaltfläche mit der Aufschrift „Vertrag kündigen“, die auf eine Seite weiterleitet, die die Vorteile des Vertrags bewirbt);
• Mehrdeutige Sprache bei der Darstellung von Auswahlmöglichkeiten für Verbraucher:innen, z. B. durch doppelte Verneinungen;
• Darstellung von Auswahlmöglichkeiten in lenkender Weise, durch beispielsweise besonders helle Farben oder größere Schrift, um eine Option zu priorisieren.

Die Konsultation prüft, ob zusätzliche Maßnahmen erwogen werden sollten, um Dark Patterns zu adressieren – etwa nicht-regulatorische Maßnahmen (z. B. Leitlinien), neue verbindliche Vorschriften oder eine effektivere Durchsetzung bestehender Regeln. Die Kommission fragt dabei ausdrücklich, ob bestimmte Arten von Dark Patterns spezielle regulatorische Maßnahmen erfordern. Daher könnte eine differenzierte Herangehensweise an verschiedene Arten von Dark Patterns erforderlich sein.

• Nicht-regulatorische Maßnahmen (z. B. Leitlinien)

  Leitlinien zu Dark Patterns existieren bereits. Zum Beispiel:

  • Im Hinblick auf Dark Patterns im B2C-Kontext enthält die (unverbindliche) Bekanntmachung der Kommission zur Auslegung und Anwendung der UGPRL^[2] einen eigenen Abschnitt dazu, wie das Regelwerk zu unlauteren Geschäftspraktiken auf Praktiken angewendet werden kann, die unter den Begriff Dark Patterns fallen. In Abschnitt 4.2.7 erklärt die Kommission:
    
    „Die UGPRL gilt für alle „unlauteren Geschäftspraktiken“, die den Anforderungen des sachlichen Anwendungsbereichs der Richtlinie erfüllen, unabhängig von ihrer Einstufung. Wenn Dark Patterns im Kontext von Geschäftsbeziehungen zwischen Unternehmen und Verbrauchern angewandt werden, kann die Richtlinie zusätzlich zu anderen Instrumenten des EU-Rechtsrahmens, wie der DSGVO, verwendet werden, um die Lauterkeit solcher Praktiken in Frage zu stellen.“
  • Im Hinblick auf Dark Patterns unter der Datenschutz-Grundverordnung (DSGVO) hat der Europäische Datenschutzausschuss 2022 Leitlinien zu irreführenden Gestaltungsmustern auf Social-Media-Plattformen veröffentlicht.^[3]
  • Hinsichtlich Dark Patterns auf Online-Plattformen gibt Art. 25(3) DSA der Kommission die Befugnis, Leitlinien zu bestimmten Dark Patterns und deren Behandlung unter dem DSA zu veröffentlichen. Bisher hat die Kommission von dieser Befugnis keinen Gebrauch gemacht.
• Neue verbindliche Regeln
  
  Zahlreiche EU-Rechtsakte können bereits zur Bekämpfung von Dark Patterns herangezogen werden.
  
  Die Kommission hat ihre Auslegung zur Anwendbarkeit bestehender Rechtsakte in ihrer Bekanntmachung zur UGPRL sowie in ihrer „Behavioural study on dark patterns“^[4] dargelegt. Einige der bestehenden Gesetze erwähnen manipulative Designs sogar ausdrücklich oder enthalten Erwägungsgründe, die eine entsprechende Auslegung stützen.
  
  Zum Beispiel:
  • Richtlinie über unlautere Geschäftspraktiken: Insbesondere Art. 6 und 7 zu irreführenden Praktiken, Art. 8 und 9 zu aggressiven Praktiken sowie mehrere in Anhang 1 (der Schwarzen Liste) aufgelisteten Praktiken, um Praktiken zu vermeiden, die das Verbraucherverhalten in Bezug auf geschäftliche Entscheidungen negativ beeinflussen.
  • Datenschutz-Grundverordnung: Insbesondere die Datenschutzgrundsätze nach Art. 5(1), insbesondere zu Transparenz und Verarbeitung nach Treu und Glauben, Art. 25 zu Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen oder Art. 4(11) und Art. 7 in Bezug auf die Einwilligungsbedingungen.
  • Verbraucherrechte-Richtlinie: Insbesondere Art. 6 zu Informationspflichten und Art. 8 zu den formalen Anforderungen, wobei vermieden werden soll, dass wesentliche Informationen verschleiert werden oder mehrdeutig sind. Außerdem zielt Art. 8(3) zur Kennzeichnung von Kauf-Buttons darauf ab, sicherzustellen, dass Verbraucher:innen sich dessen bewusst sind, wenn sie einen verbindlichen Vertrag eingehen, der mit Zahlungsverpflichtungen verbunden ist. Dies wird durch Art. 22 ergänzt, der für zusätzliche Kosten eine ausdrückliche Einwilligung (Opt-in ohne Voreinstellung) vorschreibt. Art. 27 befreit den Verbraucher außerdem von jeder Gegenleistung (Zahlungspflicht) im Falle einer unaufgeforderten Lieferung oder Bereitstellung und legt fest, dass in solchen Fällen das Ausbleiben einer Reaktion des Verbrauchers nach einer unaufgeforderten Lieferung oder Bereitstellung keine Zustimmung darstellt, was die Praktiken des „sneaking into the online basket“ anspricht.
  • Gesetz über digitale Dienste (Digital Services Act): Art. 25 und Erwägungsgrund 67 regulieren Dark Patterns auf Online-Plattformen, die nicht bereits durch die UGPRL oder die DSGVO reguliert sind (Anwendungsfälle sind recht begrenzt, es könnte aber beispielsweise für B2B-Online-Plattformen gelten).
  • Gesetz über digitale Märkte (Digital Markets Act): Insbesondere Art. 5(2) zu den Pflichten für Torwächter hinsichtlich einer einfachen Möglichkeit, eine Einwilligung zu widerrufen und Art. 13, der es ernannten Torwächtern untersagt, die Verpflichtungen der DMA durch vertragliches, kommerzielles, technisches Verhalten oder andere Mittel zu umgehen, wozu auch die Verwendung von Dark Patterns gehört, um Verbraucherentscheidungen in unlauterer Weise zu lenken.
  • Gesetz über künstliche Intelligenz (AI Act): Insbesondere Art. 5(1)(a) und (b), die verbieten, unterschwellige, manipulative oder täuschende Techniken anzuwenden, die Schwachstellen ausnutzen.
  • Datenverordnung (Data Act): Erwägungsgrund 38 erwähnt das Verbot der Verwendung von Dark Patterns in Bezug auf Dritte und Dateninhaber bei der Gestaltung ihrer digitalen Schnittstellen und definiert Dark Patterns als „Gestaltungstechniken, die dazu dienen, Verbraucher zu Entscheidungen, die negative Folgen für sie haben, zu verleiten oder sie zu täuschen. Diese manipulativen Techniken können eingesetzt werden, um Nutzer, insbesondere schutzbedürftige Verbraucher, zu unerwünschtem Verhalten zu bewegen und zu täuschen, indem sie zu Entscheidungen über die Datenoffenlegung angeregt werden, sowie um die Entscheidungsfindung der Nutzer des Dienstes unverhältnismäßig in einer Weise zu beeinflussen, die ihre Autonomie, Entscheidungsfähigkeit oder Wahlmöglichkeiten untergräbt oder beeinträchtigt.“ Art. 4(4) verhindert, dass Dateninhaber die Ausübung von Wahlmöglichkeiten oder Rechten durch den Nutzer unangemessen erschweren, einschließlich dadurch, dass sie dem Nutzer Wahlmöglichkeiten in einer nicht neutralen Weise anbieten oder seine Autonomie, Entscheidungsfindung oder Wahlmöglichkeiten durch die Struktur, das Design, die Funktion oder die Betriebsweise einer digitalen Nutzerschnittstelle oder eines Teils davon untergraben oder beeinträchtigen.
  • Die Verbraucherrechte-Richtlinie wurde außerdem durch eine Aktualisierung der Fernabsatzrichtlinie über Finanzdienstleistungen^[5] in Bezug auf eine Widerrufsfunktion für alle Fernabsatzverträge (Art. 11a der neuen Verbraucherrechte-Richtlinie) geändert und führte ein Verbot von Dark Patterns für Benutzeroberflächen ein, bei denen Finanzdienstleistungsverträge im Fernabsatz abgeschlossen werden können (Art. 16e der neuen Verbraucherrechte-Richtlinie), soweit diese Dark Patterns nicht bereits in den Geltungsbereich der UGPRL und der DSGVO fallen. Diese Änderungen der Verbraucherrechte-Richtlinie müssen bis zum 19. Dezember 2025 in nationales Recht umgesetzt werden und gelten ab dem 19. Juni 2026.

• Effektivere Durchsetzung

  Es ist daher schwierig festzustellen, ob Durchsetzungsmaßnahmen bereits funktionieren. Denn dies würde erfordern, herauszufinden, welche Durchsetzungsmaßnahmen in der Vergangenheit speziell auf Dark Patterns abzielten.

  Viele der bestehenden gesetzlichen Verpflichtungen können als Rechtsakte gegen Dark Patterns angesehen werden, sind jedoch nicht unbedingt ausschließlich oder ausdrücklich ein Verbot solcher Praktiken. Als Beispiel: Wenn ein Unternehmen mit einer Durchsetzungsmaßnahme konfrontiert wird, weil es Verbraucher:innen nicht ordnungsgemäß wesentliche Informationen bereitgestellt hat (Art. 6, Art. 8 Verbraucherrechte-Richtlinie), könnte dies Praxis als ein Dark Pattern in Form von mehrdeutiger Sprache, der Präsentation von Auswahlmöglichkeiten in einer beeinflussenden Art und Weise oder – wenn es um die Informationen zu Kündigungs- oder Widerrufsrechten geht – als sogenanntes „Roach Motel“ betrachtet werden. Gleichzeitig könnte das Unternehmen einfach versäumt haben, relevante Informationen rechtzeitig offenzulegen oder die Informationen nicht transparent dargelegt worden sein. Das Ergebnis ist ein Verstoß gegen die Verbraucherrechte-Richtlinie – aber ob diese Durchsetzungsmaßnahme auch Dark Patterns betraf, ist nicht immer klar und wird nicht entsprechend nachverfolgt.

  Falls es tatsächlich an Durchsetzung mangelte – selbst unter Berücksichtigung der oben genannten Schwierigkeiten bei der Nachverfolgung, ob eine Durchsetzungsmaßnahme gegen Dark Patterns gerichtet war – könnte dies verschiedene Gründe haben. Es gibt bisher noch keine richtige gesetzliche Definition von Dark Patterns. Eine solche Definition ist auch schwer zu erreichen, da die Frage, ob eine bestimmte Praxis als Dark Pattern gilt, (a) ein gewisses Maß an Vorsatz und (b) ein (potenziell) negatives Ergebnis für den/die Verbraucher:in erfordert. Ein gewisses Maß an Vorsatz ist erforderlich, da „manipulation“, „deceit“, „steering“, „tricking“, „sneaking“ u. ä. eine bewusste Entscheidung des Unternehmens voraussetzen. Dieses Element ist jedoch schwer zu beweisen. Ein (potenziell) negatives Ergebnis für den/die Verbraucher:in ist notwendig, da nicht alle Techniken, die ein bestimmtes Verbraucherverhalten fördern, schlecht sind; andernfalls müssten alle Angebote, Marketing- und Werbemaßnahmen verboten werden. Die Regulierung von Dark Patterns sollte das Verbraucherschutzniveau erhöhen und Verbraucher:innen sowie Unternehmer:innen nicht daran hindern, miteinander zu interagieren, sofern diese Interaktionen für beide Parteien von Vorteil sind. Daher ist es von entscheidender Bedeutung, dies im Einzelfall zu beurteilen.