Italien

[IT] Italienische Datenschutzbehörde verabschiedet erste Entscheidung zu irreführenden Designeffekten (sog. „Dark Patterns“)

IRIS 2023-6:1/13

Laura Liguori & Eugenio Foco

Anwaltskanzlei Portolano Cavallo

Mit Beschluss Nr. 51 vom 23. Februar 2023 verabschiedete die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali) ihre erste Entscheidung zu irreführenden Designeffekten, auch bekannt als „Dark Patterns“ (Entscheidung).

Irreführende Designeffekte werden vom Europäischen Datenschutzausschuss in seinen am 14. Februar 2023 angenommenen Leitlinien 03/2022 (Leitlinien) definiert als „Benutzeroberflächen und Nutzerreisen, die auf Social-Media-Plattformen implementiert sind und die versuchen, die Nutzer zu beeinflussen, unbeabsichtigte, ungewollte und potenziell schädliche Entscheidungen zu treffen, oft in Richtung einer Entscheidung, die gegen die Interessen der Nutzer und zugunsten der Interessen der Social-Media-Plattformen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten ist“.

Interessanterweise weist die Datenschutzbehörde ausdrücklich darauf hin, dass sie die Leitlinien bei ihrer Entscheidung berücksichtigt hat, wenn auch in einer Fassung, die zum damaligen Zeitpunkt noch Gegenstand einer öffentlichen Konsultation war. Tatsächlich wurde die endgültige Fassung der Leitlinien erst eine Woche vor der Veröffentlichung der Entscheidung verabschiedet.

Die Entscheidung geht auf amtliche Untersuchungen der italienischen Datenschutzbehörde sowie auf bestimmte Berichte betroffener Personen gegen die Ediscom S.p.A (Ediscom) in ihrer Eigenschaft als für die Verarbeitung Verantwortlicher zurück. Ediscom ist ein in Italien ansässiges Unternehmen, das Werbekampagnen für mittlere und große Kunden über SMS und E-Mail sowie seit Kurzem auch über automatische Anrufe anbietet.

Nach den Feststellungen der Datenschutzbehörde boten die verschiedenen Websites, die Ediscom zur Erfassung der personenbezogenen Daten betroffener Personen und ihrer entsprechenden Einwilligung zum Erhalt von Marketingmitteilungen nutzte, trügerische und irreführende Benutzeroberflächen, was zu unklaren Eingabeverfahren führte. Ein Beispiel für solche Praktiken seien die Benutzeroberflächen, die betroffenen Personen angezeigt würden, wenn sie nicht in den Erhalt von Marketingmitteilungen einwilligten, so die Datenschutzbehörde. Insbesondere dann, wenn die betroffenen Personen dem Erhalt von Marketingmitteilungen und/oder der Weitergabe ihrer personenbezogenen Daten an Dritte zum gleichen Zweck nicht zugestimmt hätten, sei ihnen ein Pop-up-Fenster angezeigt worden, in dem sie erneut um ihre Einwilligung gebeten worden seien. Die Datenschutzbehörde erachtete diese Praxis als irreführend, da der Link, der es den Nutzern ermöglichen würde, das Eingabeverfahren fortzusetzen, ohne die genannten Einwilligungen zu erteilen, nicht innerhalb des Pop-up-Fensters, sondern in einem anderen Abschnitt der Webseite in einem anderen Format und in kleinerer Schrift platziert war, wodurch die betroffenen Personen getäuscht wurden.

Die Datenschutzbehörde stellte fest, dass solche Praktiken gegen Art. 5 Abs. 1 Buchst. a (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz), Art. 7 Abs. 2 (Voraussetzungen für die Einwilligung) und Art. 25 (Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) der Datenschutz-Grundverordnung verstoßen.

In Anbetracht dessen verhängte die Datenschutzbehörde eine Ordnungsstrafe in Höhe von 2 % des Umsatzes von Ediscom, wie er sich aus dem letzten Jahresabschluss ergibt, das heißt EUR 300.000. Die Entscheidung verdeutlicht die Überschneidungen zwischen Datenschutz und Einhaltung der Verbraucherschutzvorschriften. Während die italienische Verbraucherschutzbehörde bereits zahlreiche Entscheidungen getroffen hat, in denen bestimmte Datenverarbeitungsaktivitäten als unlautere Geschäftspraktiken eingestuft wurden, ist dies die erste Entscheidung der Datenschutzbehörde, die sich auf irreführendes Verhalten konzentriert und dieses als Verstoß gegen das Datenschutzrecht sanktioniert.