Dark Patterns in der „Digitales Amt” App
Dieser Tage habe ich mir jetzt auch den Zugriff auf den bei der A minus Trust gespeicherten Private Key meiner so genannten „Handy-Signatur” auf die „ID Austria mit Vollfunktion” ändern („upgrade” würde ich das nicht nennen) lassen, nachdem ich schon im Herbst von der „Handy Signatur” auf die „ID Austria Basisfunktion” gewechselt bin (also von der alten A minus Trust Handy-Signatur App zur „Digitales Amt” App des BMI). Die „Freischaltung” der Vollfunktion habe ich bewusst nach hinten geschoben, da ich (a) die „eAusweise” App (ja, eAusweise gehen nicht mit der „Digitales Amt” App) nicht vorhabe zu nutzen und (b) wie erwartet am letzten Umstellungstag die Serverkapazitätten im Bundesrechenzentrum, dem IT-Dienstleister des Bundes, nicht ausgereicht haben:
Das Bundesrechenzentrum verzeichne derzeit keine Überlastung, und die Systeme laufen stabil, hieß es am Vormittag. […] Am frühen Nachmittag folgte dann die Erklärung, dass es doch zu einer hohen Serverlast gekommen sei,…
Funktioniert hat das dann dieser Tage auch überraschend problemlos. Nicht zuletzt, da ich das Pseudo-Sicherheitsfeature „Biometrie” mit Fingerabdruck und nicht mit der Gesichtserkennung konfiguriert hatte. Damit konnte ich die Probleme des Möchtegern-Innsbruck-Bürgermeisters Staatssekretärs für Digitalisierung, Florian Tursky umgehen.
Nachdem ich nun stolzer Besitzer einer „ID Austria mit Vollfunktion” bin, hab ich mir auch die die Signaturkarte mit aktivierter Bürgerkartenfunktion / e-Card mit Bürgerkartenfunktion / Handy-Signatur / eIDAS / ID Austria / Digitale Amt App mal genauer angesehen.
Seht ihr das weiße Rufzeichzeichen in dem roten Kreis, das über dem Briefkuvert-Symbol angezeigt wird? Klickt eins auf dieses Symbol, wird „Mein Postkorb” angezeigt. Mit der Nachricht
Sie sind noch nicht zu „Mein Postkorb” registriert.
und einem großen „Registrieren” Knopf. Die Meldung kann eins nur über das „X” rechts oben schließen. Und die Notifikation – das Rufzeichen im roten Kreis – geht auch nicht weg, wenn eins die Meldung gelesen hat, die bleibt da.
In Fachkreisen bezeichnet eins so etwas als „Dark Pattern”. Wikipedia definiert dies wie folgt:
Ein Dark Pattern ist ein Benutzerschnittstellen-Design, das darauf ausgelegt ist, den Benutzer zu Handlungen zu verleiten, die dessen Interessen entgegenlaufen. […] Zudem lassen sich Dark Patterns auch aus Sicht der Verhaltensökonomie beschreiben: Danach handelt es sich um „Designs, die Verhaltensanomalien ausnutzen und den Nutzer so zu einem für ihn nachteiligen Verhalten steuern“
Konkret handelt es sich hier um „Fake Notifications”, „Notifications as a dark pattern” und Nagging. Darauf werden wir gleich noch genauer eingehen.
Auch auf der Startseite der „Digitales Amt” App (siehe den Screenshot oben) versuchen BMI und BMF die BenutzerInnen dazu zu drängen, „Mein Postkorb” zu aktivieren, ohne dass auf die Konsequenzen, … verwiesen wird. „Mein Postkorb” wird mit dem „Jetzt registrieren” Button so prominent vor allen anderen „Services” plaziert, dass die Wahrscheinlichkeit einer „Fehlbedienung sehr hoch ist - ein klassisches „Dark Pattern”.
Die „Dark Pattterns” gehen auf der Profilseite (siehe oben) weiter. Das „Personen-Icon” hat einen grünen Haken, der nicht weggeht, auch wenn eins auf die Profil-Seite geht. Das fällt unter „Confirmshaming” und impliziert darüber hinaus durch den Farbakzent, dass der/die UserIn etwas „Neues” unter Profil hat bzw. dort etwas durchzuführen wäre – ganz schlechte UX/UI.
Warum das Icon für das BenutzerInnen-Profil unbedingt ein Mann mit Hitler-Seitenscheitel (oder ist das gar ein Schmiss?) sein muss, entzieht sich auch meinem Verständnis. Ich vermute einen „bedauerlichen Irrtum” und/oder „der Scheitel ist eh auf der anderen Seite”. Traurig ist das unter anderem auch deswegen, weil es mittlerweile zahlreiche Studien und Icon-Libraries gibt, die für solche Zwecke genderneutrale Symbole empfehlen und zur Verfügung stellen.
Aber zurück zu den „Dark Patterns”. Hier stellt sich die Frage, warum hier niemand im BMI und BMF die Verwendung dieser Dark Patterns unterbunden hat. Unter anderem auch im Lichte des vom Europäischen Datenschutzausschuss (European Data Protection Boards - EDPB) veröffentlichten Dokument „Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them”, welches in den Ministerien bekannt sein sollte. In den „Guidelines” heißt es unter anderem:
“deceptive design patterns” are considered as interfaces and user journeys implemented on social media platforms that attempt to influence users into making unintended, unwilling and potentially harmful decisions, often toward a decision that is against the users’ best interests and in favour of the social media platforms interests […]. Deceptive design patterns aim to influence users’ behaviour and can hinder their ability to effectively protect their personal data and make conscious choices
Ein Dark Pattern, das sich auch in den EDPB Guidelines wiederfindet, ist:
Stirring affects the choice users would make by appealing to their emotions or using visual nudges.
…
Using wording or visual elements (such as style, colours, pictures or others) in a way that confers the information to users in either a highly positive outlook, making users feel good, safe or rewarded, or in a highly negative one, making users feel scared, guilty or punished. Influencing the emotional state of users in such a way is likely to lead them to make an action that works against their data protection interests.
Ich denke, das beschreibt ziemlich genau, was BMI und BMF mit dem UI der Digitales Amt App machen. Die EDPB zählt auch auf, welche Artikel der DSGVO diese Dark Patterns verletzten:
- Principles of transparency and fairness: Article 5 (1) a
- Transparent information: Article 12 (1)
- Exercise of rights: Article12 (2)
- Informed consent: Article 7 in conjunction with Article 4 (11)
Ich mein, genug Zeit wäre ja gewesen. Im Dezember 2020 hieß es: 15.11.2021 - Tag X: Umstellung auf ID Austria Vollbetrieb.
. Und im April 2021 gab es dann sogar noch einen temporären Entwicklungs-Stopp bestimmter Teilbereiche innerhalb Projekts
:
Sobald wir geklärt haben, wann wir mit unseren Aufgaben wieder starten können, respektive ein Re-Planning durchgeführt wurde, werden wir Sie umgehend über den neuen Zeitplan mit den aktualisierten Meilensteinen informieren …
Ich mein, in so einem professionell gemanagedten Projekt (Go-Live war dann ja schlussendllich 2023-12-15) wäre doch genug Zeit gewesen, diese Dark Patterns zu vermeiden.
Ich werde die Tage auch mal BMI und BMF direkt anschreiben und mal nachfragen, was sie dazu meinen.
Und um auch gleich der Frage vorzugreifen, was ich denn für ein Problem mit „Mein Postkorb” hätte:
Prinzpiell keines. Du musst nur wissen, was das bedeutet. Hinter „Mein Postkorb” versteckt sich nämlich die elektronische Zustellung („eZustellung”). Prinzpiell ein nettes Konzept, welches das „Recht auf elektronischen Verkehr” für Bürgerinnen/Bürger technisch umsetzt. Natürlich mit allen Rechten und Pflichten. So sind alle NutzerInnen im Teilnehmerverzeichnis eingetragen, das von Behörden und Zustellsystemen (Unternehmen) abgefragt werden kann. Nachweisliche Nachrichten (entsprechen postalischen RSa-/RSb-Briefen) gelten am ersten Werktag nach Verständigung an die eigene E-Mail-Adresse/die eigenen E-Mail-Adressen als zugestellt. Das BMF warnt in diesem Zusammenhang:
Es empfiehlt sich, „Mein Postkorb” regelmäßig auf Zustellungen zu überprüfen. Dies für den Fall, dass die an die hinterlegte E-Mail-Adresse/hinterlegten E-Mail-Adressen verschickte Information über eine erfolgte Zustellung in den Spam-Ordner verschoben wird oder das E-Mail-Postfach voll ist und die E-Mail dadurch nicht eingeht.
Erinnerung: SMTP ist „best effort” und garantiert keine Zustellung (vor allem nicht, wenn eins sich die neuen Maßnahmen von Google ansieht).
Will ich mich für terminlich relevante Zustellungen wirklich auf Mail-Notifikationen verlassen, bzw. täglich/wöchentlich aktiv die eZustellung kontrollieren und in einem weiteren Teilnehmer(keine Innen)verzeichnis aufscheinen?
Das ergibt für gewissen Berufsgruppen bzw. in bestimmten Lebenssituationen eventuell Sinn (bezw. haben sie eh schon den elektronischen Rechtsverkehr, …), für einen Großteil der Bevölkerung führt das nur dazu, dass die Zustellung von wichtigen Schriftstücken im Spam-Ordner versandet (so bereits mehrfach beobachtet). Ich persönlich sehe nicht ein, warum ich ein derartiges persönliches Risiko eingehen soll, um Behörden Geld zu sparen – vor allem, wenn die Behörden diese Lösung mit zwielichtigen Methoden versuchen zu puschen.
Tagged as: app, bmi, darkpatterns, digitalesamt, eidas, IDaustria, itfails, rant | Author: Martin Leyrer
[Dienstag, 20240213, 08:00 | permanent link | 0 Kommentar(e)
