Datenschutz Symbole
Auch bekannt als: Privacy Icons, Icons for Privacy Policies
Kurzinfo
Icons sind in der Lage, Informationen schneller als Text zu vermitteln, und sind daher ein nützliches Mittel zur Ergänzung von Richtlinien.
STRATEGIEN: Informieren
Kontext
Dienste (und Produkte), die von Nutzenden verwendet werden, gehen in der Regel so mit deren Daten um, dass die Verwendung von Richtlinien zum Schutz der Privatsphäre gerechtfertigt ist. Diese Richtliniendokumente werden jedoch in erster Linie für rechtliche Zwecke erstellt und müssen daher viele Details in ausführlicher Weise behandeln. Die Nutzenden sind einer Vielzahl solcher Dokumente ausgesetzt, wenn sie versuchen, die Praktiken der einzelnen von ihnen genutzten Dienste zu verstehen. Die Dienstleistenden sind sich dieser offensichtlichen Schwierigkeit bewusst, müssen aber dafür Sorge tragen, dass die Nutzenden die Risiken ausreichend verstehen, wenn ihre Einwilligung in die Verarbeitung ihrer Daten gültig sein soll. Einige Ansätze zur Vereinfachung von Richtlinien sind die Aufteilung in Detailebenen, allgemeine Zusammenfassungen und kontextbezogene Erklärungen. Doch selbst diese sind mit Mängeln behaftet.
Problem
Nutzende haben häufig Schwierigkeiten, Richtlinien zum Datenschutz zu verstehen, selbst wenn sie auf eine angemessene Länge reduziert wurden. Dies hält sie häufig davon ab, die Richtlinien überhaupt zu lesen, wodurch sie Risiken nicht abschätzen können, und ihre Einwilligung ungültig wird.
Einflüsse und Bedenken
- Nutzende wollen die Risiken verstehen, die die Nutzung eines Dienstes für ihre Daten birgt, aber sie wollen keine langen oder allzu komplexen Richtlinien lesen müssen.
- Viele Nutzende wollen selbst entscheiden können, welche Richtlinien für sie gelten, aber sie wollen keine komplexen oder zeitraubenden Zusammenfassungen lesen, nur um diese zu identifizieren.
- Die für die Datenverarbeitung Verantwortlichen müssen die Nutzenden ausreichend informieren, bevor ihre Daten verarbeitet werden können.
- Die Verantwortlichen wollen den Nutzenden keine Unannehmlichkeiten bereiten, indem sie sie dazu bringen, die für Rechtskontexte bestimmten Richtlinien zum Datenschutz zu lesen.
Lösung
Verwenden Sie Datenschutzsymbole (vgl. englisch: Icons), um die verschiedenen Richtlinien in einem Dokument zu beschreiben, zu gruppieren und zu unterscheiden. Die Icons sollten keine Fehlinterpretationen zulassen, was eine ausführliche Prüfung durch Nutzende erfordert. Die Verwendung einheitlicher Icons in einer standardisierten Weise fördert die Verständlichkeit.
Implementierung
In diesem Pattern sollten Icons zum Schutz der Privatsphäre nicht an Stelle des vollständigen Richtliniendokuments verwendet werden, sondern dieses ergänzen. Sie sollten in einer Weise angezeigt werden, die die Erklärung der Richtlinie, einen Auszug, eine Zusammenfassung oder gegebenenfalls alle Einzelheiten erklärt. Beispiele für die Verwendung sind die Beschreibung der Art der verarbeiteten Daten, Mittel, Zwecke und legitime Interessen oder andere Rechtfertigungen.
Diese Verwendung sollte den Nutzenden nicht nur bei der Entscheidung helfen, ob eine Richtlinie genauer zu prüfen ist, sondern auch eine grobe Vorstellung davon vermitteln, was jede Richtlinie beinhaltet. Zu diesem Zweck kann mehr als ein Icon pro Richtlinie verwendet werden, solange der Inhalt dadurch weniger komplex wird.
Icons sollten konsistent und dennoch voneinander unterscheidbar sein. Dies kann eine gewisse Größenbeschränkung rechtfertigen. Die Icons sollten außerdem selbsterklärend sein. Diese Aspekte müssen von einer repräsentativen Stichprobe der Nutzenden bestätigt werden.
Darüber hinaus hilft die Verwendung standardisierter Icons sowohl beim Verständnis als auch bei der Förderung der weiteren Verwendung, sollte aber nicht im Widerspruch zur Norm stehen. Anderes Vorgehen kann die Nutzenden verwirren. Wenn Icons auf vielen der Anwendungen oder Websites, die Nutzende besuchen, auf die gleiche Weise verwendet werden, wird es für sie leichter, ihren Zweck zu verstehen und sie als Hilfe zu akzeptieren. Wenn die Nutzenden die Icons aus anderen Zusammenhängen kennen, erleichtert dies weiterhin die Erstellung eines mentalen Modells, das sie beim Lesen der Richtlinien unterstützt.
Beispiele
Alice kauft einen Fitnesstracker und ist sich bewusst, dass das Gerät ihren Standort erfasst und an einen zentralen Webdienst sendet, um ihr ihre Fitnessstatistiken (ihre Fitnessrouten, die verbrachte Zeit…) zur Verfügung zu stellen. Sie stimmt den Datenschutzrichtlinien sofort zu, ohne diese zuerst zu lesen. Die Daten werden folglich vom Provider aggregiert und Dritten für zur Analyse zur Verfügung gestellt.
Alice ist diese sekundäre Verwendung ihrer Daten völlig unbekannt und sie kann dem nicht explizit zustimmen. Der Zugriff auf diese Richtlinie erfordert jedoch den Zugriff auf eine Website und das Durcharbeiten eines langen und in komplexer Sprache verfassten Dokuments.
Im Vergleich dazu hätte der Tracker eine kurze Zusammenfassung der Richtlinie auf der Verpackung unter Verwendung von Icons bereitstellen können, um mehr Informationen auf weniger Raum zu vermitteln. Alice wäre dann vielleicht ein Icon aufgefallen, das den Austausch mit Dritten vermittelt. Neugierig, um wen es sich bei dieser Drittpartei handeln könnte und welche zusätzlichen Risiken sie möglicherweise eingeht, durchsucht sie die Online-Richtlinie und stellt fest, dass es sich um ein Unternehmen handelt, dem sie nicht vertraut. Infolgedessen hätte sie nicht eingewilligt und das Gerät möglicherweise auch nicht gekauft.
Siehe auch den Eintrag Privacy Icons unter Ideas for a Better Internet (eine Art Pattern-Repository des Berkman Klein Center for Internet and Society in Harvard).
Punkt 60 sowie Art. 12(7) der Allgemeinen Datenschutzgrundverordnung schlägt die Verwendung von standardisierten Symbolen vor, die die Nutzenden auf leicht sichtbare, verständliche und gut lesbare Weise informieren.
Auswirkungen
Ohne allzu großen Aufwand können Nutzende schnell die potenziellen Risiken der Verarbeitung im Rahmen einer bestimmten Richtlinie ermitteln. Nutzende können so auch andere relevante Richtlinien schnell ausfindig machen, sowohl bei der ersten Nutzung eines Dienstes als auch bei der genaueren Überprüfung einer Richtlinie.
Wenn die Icons, oder zumindest eine Teilmenge daraus, ausreichend standardisiert sind, müssen sich Nutzende nicht erst mit Erklärungen vertraut machen. Wo dies nicht der Fall ist, können Nutzende über die Bedeutung weit verbreiteter und konsistenter Icons aufgeklärt werden.
Der Einsatz dieser Maßnahme erhöht die Transparenz der Richtlinien, was das Vertrauen Nutzender erhöht. Nutzende, die aufgrund mangelnden Verständnisses der Richtlinien eine ungültige Einverständniserklärung abgegeben haben, können sich dann dafür entscheiden, diese zurückzuziehen oder eine gültige Einverständnis erteilen.
Verwandte Patterns
Dieses Pattern ergänzt Kontextbezogene Datenschutzwarnungen, Bewusst sichere Passwörter, Geschachtelte Datenschutzhinweise, Verständliche Formulierungen, Übersetzer für Datenschutzhinweise, Hinweis auf Änderung der Verarbeitung und Farbschema für Datenschutzeinstellungen. Es ergänzt außerdem implizit Information zur Vertrauenswürdigkeit durch Hinweis auf Änderung der Verarbeitung.
Lizenz:
Die textuelle Pattern-Beschreibung auf dieser Seite steht unter der Lizenz Creative Commons Namensnennung Uported (CC BY 3.0). Wenn Sie diese Beschreibung teilen, weiterverbreiten oder bearbeiten, so müssen Sie die Lizenzbestimmungen beachten, und als Namensnennung angeben „Privacy Patterns basierend auf den Sammlungen unter PrivacybyDesign.Digital und Privacy Patterns.org“ mit jeweiliger Verlinkung.
Die vorliegende Pattern-Beschreibung entstand durch Übersetzung der auf privacypatterns.org veröffentlichten Privacy Patterns.
Quellen:
S. Fischer-Hübner, C. Köffel, J.-S. Pettersson, P. Wolkerstorfer, C. Graf, L. E. Holtz, U. König, H. Hedbom, and B. Kellermann, “HCI Pattern Collection – Version 2,” 2010.
C. Graf, P. Wolkerstorfer, A. Geven, and M. Tscheligi, “A Pattern Collection for Privacy Enhancing Technology,” The Second International Conferences of Pervasive Patterns and Applications, vol. 2, no. 1, pp. 72–77, 2010.
Europäisches Parlament und Rat der Europäischen Union, „Allgemeine Datenschutzverordnung“, Amtsblatt der Europäischen Union, 2015.
