Der Digital Fairness Act, Dark Patterns und KI-Agenten: Was fehlt? Die Zukunft!

Abos im Internet sind viel einfacher abzuschließen, als zu kündigen; Checkboxen verwenden doppelte Verneinungen und verwirren Internetnutzer so weit, dass sie ungewollt Zustimmungen erteilen: Derartige Tricks sind ein Beispiel für sogenannte "Dark Patterns", auf Deutsch auch "dunkle Muster" oder "manipulative Designs". Darunter sind gestalterische Elemente in Benutzeroberflächen zu verstehen, die bewusst so entworfen wurden, dass sie Nutzer zu bestimmten Entscheidungen verleiten, die nicht in ihrem besten Interesse liegen, aber dem Anbieter Vorteile verschaffen. Diese Dark Patterns nutzen also menschliche Schwächen und Gewohnheiten aus, um Nutzer zu manipulieren. 

Sie sind einer der Gründe, warum sich die EU-Kommission Sorgen darum macht, ob gegenüber Verbrauchern im Internet auch wirklich immer alles fair zugeht. Darum kündigte sie bereits im Jahr 2020 an zu prüfen, ob mittelfristig zusätzliche Rechtsvorschriften erforderlich sind, um ein notwendiges Maß an Fairness sicherzustellen. 

Im Mai 2022 startete die EU-Kommission hierzu eine Eignungsprüfung – ein sogenannter Fitness Check – des EU-Verbraucherrechts. Ziel war es zu ermitteln, ob die bestehenden Kerninstrumente weiterhin ein hohes Schutzniveau im digitalen Raum gewährleisten oder ob Anpassungen nötig sind. Gegenstand der Eignungsprüfung waren die drei zentralen Richtlinien, die das Fundament des EU-Verbraucherrechtsrahmens bilden: die Richtlinie über unlautere Geschäftspraktiken (2005/29/EG), die Richtlinie über Verbraucherrechte (2011/83/EU) sowie die Richtlinie über missbräuchliche Vertragsklauseln (93/13/EWG). 

Diese Eignungsprüfung wurde bis zum Jahr 2024 abgeschlossen. Aus der deutschsprachigen Zusammenfassung geht hervor, dass sich Verbrauchern im digitalen Raum vielschichtige Probleme stellen, darunter unter anderem "irreführende oder suchterzeugende Designs und Funktionalitäten" sowie "personalisierte, auf Schwachstellen abzielende Praktiken". 

Als wesentlicher Bereich mit Verbesserungsbedarf wurde darum ein "Vorgehen gegen besonders schädliche und problematische Praktiken (wie Dark Patterns)" identifiziert. 

Bestehende Regulierung: Ja, aber nicht genug 

Mehrere Rechtsakte der EU beschäftigen sich allerdings – teils konkludent, teils ausdrücklich – bereits mit Dark Patterns. Einzelne Regelungen finden sich beispielsweise in der Richtlinie über unlautere Geschäftspraktiken, in der Verbraucherrechte-Richtlinie und in der Datenschutzgrundverordnung. 

Einen zusätzlichen Schritt ging dann der Art. 25 des Digital Services Acts, der im Jahr 2024 in Kraft trat und Anbietern von Online-Plattformen ausdrücklich verbietet, Webseiten oder Apps so zu konzipieren oder zu betreiben, dass "Internetnutzer getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert" werden. 

Schließlich enthält auch der gerade nach und nach in Kraft tretende AI Act der EU mehrere Regelungen, die verschiedene Aspekte von Dark Patterns regeln. Als immer verbotene KI-Praktik untersagt nach Art. 5 I lit. a AI Act beispielsweise die Verwendung eines KI-Systems, das durch "unterschwellige Techniken" oder "absichtlich manipulative oder täuschende Techniken" das Verhalten einer Person wesentlich auf eine Weise beeinflusst, die zu einem erheblichen Schaden führt. 

Der neue Digital Fairness Act der EU 

Aber die EU-Kommission arbeitet dennoch gerade an einem Vorschlag für einen weiteren EU-Rechtsakt – den sogenannten Digital Fairness Act -, der Verbraucher noch besser vor den Gefahren in der digitalen Welt schützen und unter anderem Dark Patterns weiter regulieren soll. 

Es gibt noch keinen konkreten Entwurf, aber eben ein grobes Konzept. Ziemlich weit oben auf der Prioritätsliste steht die Frage, ob ein gezieltes Verbot erforderlich ist, um "die Nutzung von Dark Patterns und anderen unlauteren Vorgehensweisen durch Gewerbetreibende zu unterbinden, die Verbraucher im Internet unter Druck setzen, täuschen und manipulieren". Bis Ende Oktober läuft aktuell die öffentliche Konsultation zu dieser Initiative. Der endgültige Entwurf des Digital Fairness Acts soll dann in der zweiten Jahreshälfte 2026 fertig sein. Dann folgt das Gesetzgebungsverfahren, die Verabschiedung und im Ergebnis könnte der Rechtsakt im Jahr 2028 in Kraft treten. 

Von KI-Agenten keine Spur 

Natürlich sollen Verbraucher im Internet gegen Manipulation geschützt werden, aber ein zentrales Thema für die Zukunft scheint bisher vollständig zu fehlen: KI-Agenten. 

Das klassische Internetzeitalter war dadurch geprägt, dass Menschen mit einem Finger auf der Maus über im Browser grafisch dargestellte Webseiten gesurft sind. Aber wir stehen gerade an der Schwelle zum modernen KI-Zeitalter, in der sich KI-Agenten anbieten, die eher lästigen Sachen im Netz größtenteils oder sogar vollständig für uns zu erledigen. 

Wer beispielsweise ein neues Rezept ausprobieren möchte, kann zeitnah einfach dem KI-Agenten darum bitten, alles Notwendige dafür direkt online zu bestellen. Der KI-Agent wertet dann das Rezept aus, fügt alle notwendigen Lebensmittel dem virtuellen Warenkorb hinzu und klickt vielleicht sogar selbst auf den Bestellknopf. Der menschliche Auftraggeber bekommt dann erst wieder was davon mit, wenn der Paketbote klingelt. 

Wer schützt den KI-Agenten? 

Diese Vision der nahen Zukunft bedeutet nicht, dass die EU nicht weiter auch menschliche Internetnutzer vor Manipulation im Internet schützen soll. Ganz im Gegenteil. Aber sollten wir nicht auch direkt Dark Patterns verbieten, die auf die Manipulation von KI-Agenten abzielen? 

Muster die Menschen manipulieren, lassen die KI-Agenten vielleicht völlig kalt. Eine trickreiche Formulierung? Kein Problem für das aufmerksame Sprachmodell. Eine versteckte Unterwebseite, auf der die Kündigungsmöglichkeit des Abos verborgen ist? Der KI-Agent arbeitet sowieso auch direkt mit dem Code der Webseite und die grafische Darstellung ist dann eher nebensächlich. 

Dafür sind dunkle Designs denkbar, die den KI-Agenten täuschen, aber bei Menschen gar nicht funktionieren würden. Darunter könnten auch die sogenannten Prompt Injections fallen, also wenn ohne das Wissen des eigentlichen Anwenders von außen versteckte Anweisungen in den Prompt injiziert werden, um die KI zu manipulieren. Der Schutzumfang ist also nicht identisch, obwohl die Schutzrichtung die gleiche ist: Am Ende geht es darum, das der menschliche Verbraucher nicht ausgetrickst wird. 

Das EU-Verbraucherrecht scheint diese agentenbasierte Zeitenwende aber bisher nicht im Blick zu haben und hier scheint sich Geschichte zu wiederholen. 

Als die EU-Kommission mit den Arbeiten am AI Act begann, ging man davon aus, dass jedes KI-System einen spezifischen Einsatzbereich hat, dessen potenzielles Risiko sich einordnen lässt. Der ursprüngliche Entwurf von 2021 war darum in Form einer Risiko-Pyramide aufgebaut. Mitten in den laufenden Gesetzgebungsprozess fiel dann Ende 2022 die Veröffentlichung von ChatGPT. Daraufhin wurden eilig zusätzliche Regelungen für KI-Systeme mit allgemeinem Verwendungszweck ("General Purpose AI") hinzugefügt. 

Der Entwurf des Digital Fairness Acts steht diesmal noch gar nicht. Die EU Kommission sollte darum bei der Erstellung des konkreten Entwurfs auch von Anfang an den Schutz der KI-Agenten mit berücksichtigen – den menschlichen Verbrauchern zu liebe.

 

Der Autor Nico Kuhlmann ist Rechtsanwalt und Senior Associate bei Hogan Lovells Int. LLP in Hamburg. Er beschäftigt sich mit Geistigem Eigentum, digitalen Geschäftsmodellen und der Regulierung von Künstlicher Intelligenz.