Isabella Rick

Expertenworkshop Privacy Icons


MMR-Aktuell 2019, 419389   Das Weizenbaum-Institut für die vernetze Gesellschaft lud am 27.2.2019 rund 20 Experten ein, die in Berlin über verschiedene Aspekte des Privacy-Icons-Project diskutierten.

Ein bekanntes Alltagsphänomen: ein Onlinedienst fordert einen auf, eine Einwilligung zur Verarbeitung bestimmter personenbezogener Daten zu erteilen. Man klickt auf die verlinkte Datenschutzerklärung: sie ist ermüdend lang, kompliziert und sprachlich zumindest gewöhnungsbedürftig. Man verzichtet darauf, die Erklärung durchzulesen, willigt mit einem Klick ein und fährt mit der Nutzung des Dienstes fort.

 

Wie ist dieses allzu vertraute Verhalten damit vereinbar, dass die Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO informiert sein muss (Art. 4 Nr. 11 DS-GVO)? Welche Einflussfaktoren der Entscheidungsfindung müssen bedacht werden, um die Diskrepanz zwischen der Sorge von Nutzern und Nutzerinnen hinsichtlich ihrer Privatsphäre und die dennoch häufig bereitwillige Preisgabe persönlicher Daten (das sog. information privacy paradox) zu verringern? Wie können die Aspekte der Datenverarbeitung, die für die Entscheidung für oder gegen die Einwilligung relevant sind, prägnant und verständlich dargestellt werden?

 

Mit diesen und weiteren verwandten Fragen beschäftigt sich ein Paper einer Forschungsgruppe des Weizenbaum-Instituts,  die sich mit der Thematik Daten als Zahlungsmittel befasst („Daten als Zahlungsmittel – Forschungsgruppe 4“) und dies war auch Anlass für den „Expert Workshop Privacy Icons“, der am 27.2.2019 am Weizenbaum-Institut in Berlin abgehalten wurde. Fünf Vorträge mit anschließenden Diskussionen mit einem internationalen Kreis von Gästen behandelten das Thema aus den Blickwinkeln verschiedener Disziplinen (s. den Kurzbericht „Privacy Icons Project (PIP) – Expert Workshop at the Weizenbaum Institute for the Networked Society“, 7.5.2019)

 

In dem ersten Vortrag stellten die Mitglieder der Forschungsgruppe, Dr. Zohar Efroni, Jakob Metzger, Lena Mischau und Marie Schirmbeck, ihr Privacy Icons Projekt (PIP) vor.

 

Zunächst gab Forschungsgruppenleiter Efroni einen Überblick über Konzepte von Autonomie und informationeller Selbstbestimmung; die datenschutzrechtliche Einwilligung sei ein paradigmatisches Beispiel für die autonome Ausübung informationeller Selbstbestimmung. Das Problem jedoch – das auch zu der scharfen Kritik an dem Instrument der Einwilligung führe – bestehe in strukturellen und kognitiven Unzulänglichkeiten, die das Einwilligen zu einer bloßen Formalität verkommen ließen. Wolle man die Einwilligung nicht gänzlich ersetzen, so bleibe nur die Fortentwicklung durch bessere Informationen. Dies möchte die Forschungsgruppe durch ein einheitliches, leicht verständliches und einfach anzuwendendes Icon-Set erreichen. Die Verwendung von Icons sei im Vergleich zu anderen Vorschlägen wie Onepager oder Personal Information Management Systems (PIMS) vorzugswürdig, da Bilder intuitiv verständlich und im Vergleich zu alternativen Möglichkeiten schnell und unkompliziert einzusetzen seien – ein Punkt, auf den die Teilnehmer und Teilnehmerinnen der Tagung noch häufig zurückkommen sollten.

 

Das Projekt der Forschungsgruppe basiert auf der Visualisierung von Aspekten der Datenverarbeitung, die besondere Risiken mit sich bringen. Diesen Ansatz erläuterte Mischau näher. Eine Definition des Begriffs „Risiko“ kenne die DS-GVO nicht. Dennoch nehme sie z.T. ausdrücklich Bezug auf verschiedene Risiken, so etwa in Art. 24 Abs. 1, 35 Abs. 1, 3 und 4 und den Erwägungsgründen 75 ff. und 94 (ein vollständiger Katalog der Risiken findet sich bei Efroni/Metzger/Mischau/Schirmbeck, „The Concept of ,Risk‘ in the GDPR – An Overview“, 6.5.2019)

 

Wie in Erwägungsgrund 75 deutlich werde, verstehe das Gesetz nicht nur die Gefährdung von Grundrechten und Grundfreiheiten, sondern auch die aller anderen materiellen wie immateriellen Güter als Risiken. Dies können z.B. ökonomische und soziale Nachteile, Identitätsdiebstahl oder schlicht die Verarbeitung besonders sensibler persönlicher Daten sein.

 

Wie Schirmbeck erläuterte, sollen die in der DS-GVO angesprochenen Datenverarbeitungsaspekte und die ihnen innewohnenden Risiken auch die Grundlage eines abschließenden Katalogs bilden, die dann von Experten und Expertinnen und einer repräsentativen Auswahl an Nutzer und Nutzerinnen entsprechend vorausgewählter Kriterien (z.B. Schweregrad) eingestuft werden sollen. Darauf aufbauend sollen die Icons entworfen und getestet werden. Ergebnis soll eine standardisierte, einheitliche Zusammenstellung von Icons sein, die aus Piktogrammen mit entsprechenden Bildunterschriften auf erster Ebene und Zugang zu weiteren Informationen auf Unterseiten bestehen sollen. Alle Icons sollen maschinenlesbar sein.

Schirmbeck stellte neben dieser Methodologie auch die psychologischen Hintergründe vor. Maßgebliche „Hebel“, um eine Verhaltensveränderung bei Nutzern, die eher ihren Privatsphärenansichten entspricht, zu erzielen sind die Reduzierung des kognitiven Aufwands und die Erhöhung der Aufmerksamkeit, des Bewusstseins und der Motivation. Diese „Hebel“ lassen sich durch einen Risiko-basieren Ansatz zur Visualisierung von Datenschutzaspekten adressieren. 

 

Metzger schloss den Vortrag mit einem Ausblick auf Möglichkeiten der Umsetzung ab. So könnte eine möglichst weitreichende Verwendung der Icons etwa erreicht werden, wenn die Aufsichtsbehörde diese bei der Festsetzung von Bußgeldern als „andere erschwerend[e] oder mildernd[e] Umstände im jeweiligen Fall“ (Art. 83 Abs. 2 lit. k DSGVO) berücksichtigen würde. Andere Icon-Projekte, die auf eine Verbreitung auf Grund von Wettbewerbsvorteilen verließen, konnten sich nicht durchsetzen, sodass ein „top-down approach“ geboten scheine.

 

Für den nächsten Vortrag wurde Prof. Louisa Specht-Riemenschneider von der Friedrich-Wilhelms-Universität Bonn per Videokonferenz zugeschaltet. Sie gab einen Überblick über „die Zukunft der datenschutzrechtlichen Einwilligung“ (Specht-Riemenschneider/Bienemann, „Informationsvermittlung durch standardisierte Bildsymbole – Ein Weg aus dem Privacy Paradox?“, in: Specht/Werry/Werry, Hdb. Datenrecht in der Digitalisierung, 2019 (i.E.)). Nachdem sie kurz die Prinzipien des Datenschutzrechts nach Art. 5 DS-GVO erläutert hatte, ging sie auf die praktisch weitgehende Irrelevanz der Einwilligung ein. Sie sehe im Wesentlichen vier Möglichkeiten, auf diese zu reagieren: eine komplette Aufgabe der Einwilligung als Rechtsgrundlage zugunsten gesetzlicher Erlaubnisse verwarf sie schnell als paternalistisch.

Das „amerikanische Modell“, Datenschutz nur bei begründeten Vertraulichkeitserwartungen zu gewähren, wäre im europäischen Datenschutzrecht systemfremd.

Auch eine Opt-out-Lösung hält Specht-Riemenschneider nicht für wünschenswert.

Die vorzugswürdige Lösung sei damit die Visualisierung von Informationen in Kombination mit technischen Assistenten und technischem Datenschutz.

Der Vorteil von Visualisierung liege im Bildüberlegenheitseffekt (picture superiority): Bilder werden holistisch, Text sequenziell aufgenommen. Sie sind auch schneller aus dem Gedächtnis abrufbar als etwa Texte oder Geräusche. Außerdem erregen sie mehr Aufmerksamkeit.

Eine textliche Ebene werde dennoch notwendig bleiben, da Datenverarbeiter und Datenverarbeiterinnen ihren Informationspflichten nach Art. 1314 DS-GVO nicht ausschließlich mit Bildsymbolen nachkommen könnten.

 

Eine weitere Perspektive auf das Instrument der Einwilligung zeigte Dr. Yoan Hermstrüwer vom Max-Planck-Institut zur Erforschung von Gemeinschaftsgütern auf (Vgl. Hermstrüwer, „Contracting Around Privacy: The (Behavioral) Law and Economics of Consent and Big Data“; Hermstrüwer, Informationelle Selbstgefährdung, 2016). Das Problem von „schlechten“ oder uninformierten Entscheidungen sei zum einen ein institutionelles, da etwa Netzwerkeffekte erst durch die Interaktion mit anderen zustande kommen, zum anderen aber auch von der Persönlichkeit der Nutzer und Nutzerinnen abhängig und damit individuell.

Das problematische Informationsdefizit der Nutzer und Nutzerinnen bestehe nicht nur, weil diese Datenschutzerklärungen meistens nicht lesen; es sei auch strukturell dadurch bedingt, dass die Ergebnisse von Big Data-Analysen immer erst ex post bekannt seien. Die potenziellen Schädigungen aus einer Datenverarbeitung ließen sich weder über quantifizierbare Wahrscheinlichkeiten noch über eine erschöpfende Liste von Ergebnissen angemessen beschreiben. Vielmehr handele es sich um „deep uncertainty“, bei der nicht einmal die Art des Ergebnisses ex ante bekannt ist. Eine im Lichte bestimmter Risiken informierte Entscheidung der Nutzer und Nutzerinnen sei hier kaum möglich. Die Visualisierung einer Auswahl von möglichen negativen Folgen berge die Gefahr, von anderen Konsequenzen abzulenken. Eine zu kleine Anzahl an Icons drohe, expertokratisch und paternalistisch zu sein, eine zu große könne zu einem „icon overload“ führen.

Durch die Verwendung von Privacy Icons könne man zwar kognitiven Verzerrungen entgegenwirken, solche könnte man aber auch erst schaffen, indem man zu viel oder falsch gerichtete Angst vor den Risiken einer Datenverarbeitung erzeuge. Auf der anderen Seite könnten Icons auch eine Illusion von Schutz vermitteln und dadurch ihren eigenen Zweck unterlaufen.

Die Einwilligung einer Person habe außerdem Auswirkungen auf das Datenschutzniveau anderer Personen, da mit der Preisgabe eigener personenbezogener Daten häufig auch die Preisgabe personenbezogener Daten anderer einhergehe. Außerdem werde die Heterogenität von Nutzer und Nutzerinnen stark unterschätzt.

Insgesamt sah Hermstrüwer die Visualisierung von Risiken der Datenverarbeitung damit kritisch. Er schlug vor, über die Vorgänge der Datenverarbeitung anstatt über mögliche negative Konsequenzen zu informieren, und auf Machine Learning-Technologien zu setzen.

 

Für das Thema Privacy Icons sehr relevant ist eine Studie der Universität Duisburg-Essen, die Yannic Meier (wissenschaftlicher Mitarbeiter im Fachgebiet Sozialpsychologie: Medien und Kommunikation) vorstellte. Sie befasste sich mit der Theorie der Schutzmotivation. Nach dieser kann Furcht zu aktivem Schutz der Privatsphäre motivieren. Furcht, so erklärte Meier, ist ein affektiver Zustand, der vor Bedrohungen schützen kann. Bedrohungseinschätzung und Bewältigungseinschätzung beeinflussen die Motivation, die eigene Privatsphäre zu schützen. Die Studie befasst sich mit den Auswirkungen von Furchtappellen. Dazu untersuchten die Forscher, ob die gefühlte Wirksamkeit eines Datenschutz-Tools auf Facebook und die Angst vor Konsequenzen die Absicht zum Privatsphäreschutz beeinflussen. Wie sich zeigte, schätzen Personen mit höherer Selbstwirksamkeitserwartung auch die Wirksamkeit des Tools höher ein, unabhängig davon, ob es einen Furchtappell enthielt oder nicht. Im Ergebnis stellte sich heraus, dass Furchtappelle zu einem etwas stärkeren Zusammenhang zwischen erwarteter Wirksamkeit des Tools und Schutzverhalten führen, sowie zu einer stärkeren Schutzabsicht von Menschen, die sich mehr Privatsphäre wünschen. Was Furchtappelle nicht beeinflussen, ist der Zusammenhang zwischen Furcht und Rückzugsverhalten. Unabhängig von zusätzlichen Furchtappellen scheint Furcht jedoch ein guter Indikator für die Motivation, die eigene Privatsphäre zu schützen, zu sein. Auf dieser Grundlage schlug Meier vor, die Privacy Icons mit verständlichen Anleitungen zum Schutz der informationellen Privatsphäre zu versehen, um Menschen nicht nur vor Risiken zu warnen, sondern um ihnen auch Schutzmöglichkeiten vorzuschlagen.

 

Arianna Rossi, die sich in ihrer Dissertation ausführlich mit Privacy Icons beschäftigt hat, stellte in dem letzten Vortrag des Tages ihr Projekt vor. Dieses umfasste eine Ontologie der DS-GVO (PrOnto Project), in der etwa Akteure, Rechtsgrundlagen, Rechte und Pflichten, Verarbeitungsvorgänge und ihre Zusammenhänge visualisiert wurden. Auf dieser Grundlage wurde im Rahmen des Data Protection Icons Set (DaPIS)-Projektes der Universität Bologna ein Set von Icons entwickelt (Rossi/Palmirani, „DaPIS: An Ontology-Based Data Protection Icon Set“, in: Peruginelli/Faro (Hrsg.), Knowledge of the Law in the Big Data Age (i.E.)).   Dabei entwarf die Gruppe um Rossi in mehreren Anläufen ein Icon Set, das dann getestet und verbessert wurde. Das Ergebnis ist ein Icon Set mit einem differenzierten visuellen Vokabularium, in dem etwa Akteure durch eine stilisierte Person, Verarbeitungsvorgänge durch eine Akte und Rechte durch eine geöffnete Hand dargestellt sind. Rossi betonte jedoch, dass es sich nicht um eine endgültige Auswahl handle, sondern der Fokus des Projekts auf der Methodologie liege. Die Icons sollen dazu dienen, Informationen, die sonst verloren gingen, hervorzuheben, klar und einfach auszudrücken, welche Praktiken der Datenverarbeitung (z.B. die Übermittlung in Drittstaaten) zur Anwendung kommen, und vor Risiken zu warnen. Rossi betonte, dass dafür entscheidend sei, dass die verwendeten Icons europaweit standardisiert werden, aber auch, dass möglichst viele Nutzer und Nutzerinnen die Icons zu lesen lernen. Dafür könnten die Privacy Icons in unterschiedlichsten „Ökosystemen“ verwendet werden.

 

Einen Schwerpunkt der sich anschließenden Diskussion bildeten die Gefahr von Gewöhnungseffekten, die Frage, ob die Icons neutral ausgestaltet sein oder aktiv warnen sollen und, weitergehend, ob man Risiken überhaupt objektiv bewerten kann. Damit zusammenhängend tauchte immer wieder das Bedenken auf, eine warnende Visualisierung von Risiken könnte zu paternalistisch sein. Insgesamt bestand aber ein breiter Konsens, dass Privacy Icons einen sinnvollen und wichtigen Schritt hin zu der dringend notwendigen Verbesserung der datenschutzrechtlichen Einwilligung darstellen.

 

Isabella Rick ist studentische Mitarbeiterin am Weizenbaum-Institut für die vernetze Gesellschaft, an der Humboldt-Universität zu Berlin.