Ob Onlineshopping, sich über das aktuelle Weltgeschehen informieren oder die nächste Reise buchen: Beim Surfen im Internet werden personenbezogene Daten der Nutzer*innen verarbeitet. Mit der Einführung der DS-GVO – der Datenschutzgrundversordnung – in der EU gibt es eine umfangreiche Transparenzpflicht, gemäß derer die Datenverarbeiter*innen die Betroffenen über die Verarbeitung der Daten informieren müssen. Derzeit sind es meist Cookie-Warnungen, die beim Aufruf einer Webseite erscheinen. Prof. Dr. Max von Grafenstein möchte über verständliche Piktogramme Orientierung bieten. Simone Harr hat mit dem Professor für Digitale Selbstbestimmung (Einstein Center Digital Future/Universität der Künste Berlin) über sein neues Forschungsprojekt „Privacy Icons“ gesprochen.
Was war der Auslöser für das Forschungsprojekt?
Auslöser des Forschungsprojektes war, dass ich mich so über die Cookie-Banner geärgert habe: Sie nerven mich extrem beim Internetsurfen und trotzdem lese ich sie nicht – und wenn ich sie lese, sagen sie mir kaum etwas über die Folgen, die diese Cookies für mich haben. Für mich ist das ein besonders anschauliches Beispiel für eine missglückte Umsetzung der DS-GVO.
Über die verständlichen Bildsymbole soll auf die Datenverarbeitung und deren Ausmaß hingewiesen werden. Was erhoffen Sie sich von der Einführung solcher Piktogramme?
Diese Bildsymbole sollen den Betroffenen (zum Beispiel Webseitennutzer*innen) auf besonders einfache und intuitiv verständliche Weise Umfang und Folgen der Verarbeitung ihrer personenbezogenen Daten vermitteln, sprich ihre Bedeutung. Die Bildsymbole sollen dabei den klassischen Text ergänzen, nicht ersetzen. Wenn Nutzer*innen also im Detail wissen möchte, was die Bildsymbole konkret bedeuten bzw. was mit den Daten konkret geschieht, können sie weiterhin auf eine Textebene klicken, die das in einem höheren Detailgrad darstellt. Übrigens sieht die DS-GVO sogar vor, dass auf einer dritten Ebene diese Informationen maschinenlesbar sein sollen. Das ermöglicht zum Beispiel sog. Privacy Agenten. Das sind Technologien, die im Auftrag der Nutzer*innen deren Privacy-Präferenzen an andere Technologien weitergibt (wie zum Beispiel Webseiten). Dann müssten die Nutzer*innen also nicht mehr alles selbst anklicken, sondern das liefe automatisch.
Was wird die größte Herausforderung dabei sein?
Die besondere Herausforderung von Privacy Icons besteht darin, die Komplexität der Datenverarbeitung und der mit ihr verbundenen Risiken durch intuitiv verständliche Bildsymbole so darzustellen, dass die Nutzer*innen diese tatsächlich (sprich, nachweisbar) verstehen.
Mit wem arbeiten Sie zusammen?
An dem Projekt arbeiten wir in unserer interdisziplinären Forschungsgruppe „Digitale Selbstbestimmung“, die sich bisher aus Jurist*innen und Human Computer Interaction-Design-Forscher*innen zusammen setzt. Wie die Anforderungen der DS-GVO umgesetzt werden müssen, damit sie „wirksam“ sind, also zum Beispiel den Betroffenen befähigen, die Risiken der Datenverarbeitung abzusehen und zu kontrollieren, ist also keine rein juristische Frage, sondern kann nur im Verbund mit weiteren Forschungsdisziplinen beantwortet werden. Wenn die Wirksamkeit der Datenschutzmaßnahmen davon abhängt, dass die Betroffenen diese bedienen können, ist das also auch eine spannende Aufgabe für die Usability bzw. Design-Forschung. Wir tauschen uns außerdem europaweit mit weiteren Forschungsgruppen und auch Vertreter*innen aus der Industrie aus, die an diesem Thema forschen bzw. die solche Privacy Icons später verwenden sollen bzw. eventuell sogar verwenden müssen. Damit stellen wir sicher, dass die Synergieeffekte möglich hoch sind.
In das Projekt werden Bürger*innen aktiv eingebunden. Was erwarten Sie von den Nutzer*innen?
Für die Nutzer*innen ist die Teilnahme an dem Projekt einfach, aber auch spannend. In 2-stündigen Workshops diskutieren wir mit ihnen zunächst, welche Risiken sie in der Verarbeitung ihrer Daten durch bestimmte Technologien sehen und wie sie diese gewichten würden. Dabei konfrontieren wir die Nutzer*innen auch mit Risiken, die etwa durch den Gesetzgeber der DS-GVO selbst oder Datenschutzexpert*innen gesehen werden. Das hilft uns Forscher*innen, ein Kategorienschema für die Datenschutzrisiken zu erstellen, die letztlich durch die Bildsymbole veranschaulicht und vom Nutzer*innen verstanden werden sollen.
Wie sieht die Zusammenarbeit mit den Nutzer*innen aus?
Um die Wirksamkeit der Icons zu gewährleisten, werden Nutzer*innen direkt in den Forschungsprozess des Projekts eingebunden. Dafür werden am Berlin Open Lab der Universität der Künste sowie im Austausch mit weiteren Forschungsinstituten in Europa mehrere explorative Design-Workshops mit interessierten Nutzer*innen durchgeführt. Diese Workshops werden wir anhand verschiedener Technologien durchführen. In einen späteren Phase werden wir mit den Teilnehmer*innen dann auch das Design der konkreten Icons gemeinsam gestalten. Die Nutzer*innen können damit also selbst aktiv an der Forschung teilnehmen und die Ergebnisse mitgestalten.
Was sind die nächsten Schritte in Ihrem Projekt?
Die ersten Workshops fanden am 13. und 15. Mai 2019 im Berlin Open Lab an der UdK Berlin statt. Hier haben wir mit den Teilnehmer*innen am Beispiel von Sprachassistenten das Forschungsdesign unserer Workshop-Reihe getestet und daraus erste Rückschlüsse für die Gestaltung der Privacy Icons und auch den Forschungsprozess als Ganzes gezogen. Wir wenden damit eine agile und offene Forschungs- und Entwicklungsmethode an.
Weitere Informationen und Möglichkeiten der Partizipation unter: www.privacy-icons.info