Privacy Icons: Datenschutz verständlich machen

Die Forschungsgruppe 4 „Daten als Zahlungsmittel“ entwickelt ein leicht verständliches, standardisiertes Symbolsystem, das die komplexen Datenschutzerklärungen vieler Online-Dienste in Zukunft ergänzen könnte.

 

Es gehört zur täglichen Routine im Netz: Wer Online-Dienste wie Facebook, Google oder Airbnb nutzen möchte, muss vorher die Datenschutz- und Nutzungsbestimmungen abnicken. Die meisten drücken fast reflexartig auf „Akzeptieren“, ohne sich vorher die Datenschutzerklärung durchgelesen zu haben. Per Klick wird den Unternehmen somit erlaubt, personenbezogene Daten zu erheben, auszuwerten und weiterzugeben – und das häufig über Jahre hinweg, wenn man nicht auf die Idee kommt, die Einwilligung irgendwann zu widerrufen. 

In einer jüngst von der New York Times in Auftrag gegebenen Studie hat der Journalist Kevin Litman-Navarro 150 englische Datenschutzerklärungen miteinander verglichen und auf ihre Länge und Lesbarkeit hin überprüft. Das Ergebnis: Die meisten Erklärungen setzen Lesekompetenzen voraus, die dem Niveau von Hochschulabsolvent*innen entsprechen. Davon abgesehen sind sie auch vom Umfang her kaum zu bewältigen. Bei Airbnb werden für die Lektüre im Schnitt 35 Minuten benötigt, bei Facebook sind es immerhin noch 18 Minuten. 

Hier setzt das Projekt Privacy Icons an. Ziel ist es, ein Werkzeug zur visuellen Vermittlung von Informationen zu entwickeln, das die komplexen, verschriftlichten Datenschutzerklärungen in Zukunft ergänzen könnte: Ein leicht verständliches, standardisiertes Symbolsystem, das die Informiertheit steigert, indem es den Nutzern bestimmte datenschutzrechtliche Aspekte mit potenziell negativen Folgen aufzeigt, bevor diese ihre Zustimmung erteilen. 

„Man kann das, was wir vorhaben, ein wenig mit der bekannten Creative-Commons-Lizenz für Urheberrechte vergleichen, die ebenfalls Piktogramme für die Illustration von rechtlichen Sachverhalten verwendet“, erklärt Forschungsgruppenleiter Zohar Efroni. „Bei der Creative-Commons-Lizenz wurden neben den Piktogrammen Standardlizenzen entwickelt. Eine solche Standardisierung wäre bei Datenschutzerklärungen allerdings komplizierter, sodass der Lösungsansatz von Creative-Commons in diesem Zusammenhang nicht eins zu eins implementiert werden kann.“

In der ersten Phase des Projekts geht es darum, einen Katalog von Risiken zu erstellen, die Nutzer infolge der Einwilligung in die Verarbeitung ihrer Daten entstehen könnten. Dazu zählen unter anderem die Beeinträchtigung von Freiheitsrechten oder die Diskriminierung aufgrund der politischen Meinung, ethnischen Zugehörigkeit oder des Gesundheitszustands. Orientierung leistet hier die Datenschutzgrundverordnung der EU, in der auf verschiedene Risiken Bezug genommen wird. Anschließend werden die Risiken dann mit dem Ziel gewichtet, die relevantesten Aspekte der Datenverarbeitung zu identifizieren. Für die Gewichtung werden Interviews sowohl mit Expert*innen als auch mit Nutzer*innen geführt. Auf diese Weise sollen Risiken bestimmt werden, die von Expert*innen als besonders relevant eingestuft werden, ohne dass Nutzer*innen diese Relevanz und mögliche Implikationen der Risiken immer gut erkennen. „Vor allem solche Risiken möchten wir mit unseren Privacy Icons abdecken“, erklärt Efroni. 

Ziel für das Icon-Design in der zweiten Projektphase wird sein, zum einen Motivation und Aufmerksamkeit von Nutzern zu steigern, sich überhaupt mit Datenschutzfragen zu befassen. Zum anderen sollen die Icons die Informationslast mindern, die mit dem Studium von Einwilligungserklärungen verbunden ist. Des Weiteren bieten standardisierte Icons die Möglichkeit, unabhängig von Textkompetenz und Sprachbarrieren Bedeutungsgehalt zu vermitteln. 

Wissenschaftliche Grundlage für das Design sind Erkenntnisse aus der Psychologie und Verhaltensökonomie. So ist einer der Ausgangspunkte des Projekts der sogenannte Bildüberlegenheitseffekt. Unter diesem Stichwort untersuchen Psycholog*innen, wann und warum bildliche Darstellungen verglichen mit Texten schneller erkannt und mit geringerem Aufwand aus dem Gedächtnis abgerufen werden können. 

„Bei den Privacy Icons geht es nicht nur um Bequemlichkeit“, betont Efroni. „Im Datenschutzrecht setzt eine rechtskonforme Einwilligung eigentlich voraus, dass Nutzer, die in die Verwendung ihrer Daten einwilligen, dabei eine informierte Entscheidung treffen.“ Ob dies bei der derzeitigen Praxis gegeben ist, darf man allerdings bezweifeln.

„Wir stellen uns vor, dass am Ende relevante Nutzungsbestimmungen beziehungsweise Aspekte der Datenverarbeitung durch eine begrenzte Zahl von Icons vereinfacht dargestellt werden können“, erklärt Efroni. „Wie viele Icons das am Ende sein werden, wie die Icons aussehen und auf welche Weise zusätzliche Elemente wie etwa eine Farbcodierung verwendet werden – das alles müssen wir erst in Experimenten testen. Wenn man versucht, da zu viel reinzupacken, erreicht man Ende nicht das Ziel der Vereinfachung.“ 

In der konkreten Anwendung obliegt es den Unternehmen und App-Anbietern, anhand fester Implementierungsregeln zu entscheiden, welche Aspekte der Vertragsbedingungen mithilfe der Icons hervorgehoben werden müssen, um den Nutzern zu helfen, Datenschutzbestimmungen besser und schneller zu verstehen. Dabei werden die Icons den Vertragstext nicht ersetzen. Gedacht ist vielmehr, dass die Icons wesentliche Aspekte der Verarbeitungspraxis hervorheben, die interessierte Nutzer*innen dann im Detail nachlesen können.

Zur vorherigen Seite