Department of Innovation and Digitalisation in Law

"Minesweeper" war ein kleines Computerspiel, Bestandteil des Computerbetriebssystems Windows, das wohl jeder kennt, der über 40 ist. Es war ein wunderbares Prokrastinationshilfsmittel. Mithilfe logischen Denkens auf dem Bildschirm richtig herumzuklicken, ohne auf eine Mine zu treffen, war das Ziel.

Wer heute irgendeinen Webservice aufruft, fühlt sich an eine blöd gewordene Variante von "Minesweeper" erinnert. Hier eine Cookie-Policy, da eine Ausnahme für den Adblocker, hier eine Privacy-Einstellung, da ein Abo-Angebot – ständig poppt irgendetwas auf, was man wegklicken muss, aber – anders als bei "Minesweeper" – sind diese Klicks nicht gewollt, und sie lenken ab. Das Web ist zu einer riesigen Pawlow'schen Maschine geworden, in der man stammhirngesteuert motorische Bewegungen gedankenlos ausführt, um sich möglichst wenig von dem, was man eigentlich tun will, ablenken zu lassen.

Würde man alle Privacy Policies, die man in einem Jahr vorgesetzt bekommt, lesen, dann würde das, wie errechnet wurde, 76 Tage dauern und allein in den USA 781 Milliarden Dollar (fiktiver) Arbeitskosten pro Jahr generieren. Die Privacy Policies nur der 20 populärsten Apps zu lesen dauert mehr als sechs Stunden, was kein Wunder ist, weil jede im Durchschnitt circa 4.000 Wörter lang ist. Es gibt sogar einen (umstrittenen) Fachterminus für das ermüdende Gefühl, ständig mit Warnungen und Zustimmungsanforderungen behelligt zu werden: Consent Fatigue.

Doppelt so umfangreich wie Shakespeares "Hamlet" und "Julius Caesar"

2018 wurde das europäische Datenschutzrecht mit der Datenschutzgrundverordnung (DSGVO) auf komplett neue Füße gestellt. Modernisierung, Vereinheitlichung, Vereinfachung, bessere Durchsetzbarkeit waren wichtige Ziele, gleichzeitig aber vor allem auch die Stärkung des Betroffenen durch (immer noch mehr) transparente, genaue Information. Daraus entsteht ein Zielkonflikt: Allein die beiden Artikel (13, 14) der DSGVO, die sich mit Informationspflichten explizit beschäftigen, sind 1.146 Wörter lang, die DSGVO selbst ist mit insgesamt circa 50.000 Wörtern ungefähr doppelt so umfangreich wie Shakespeares "Hamlet" und "Julius Caesar" gemeinsam.

Überall entsteht immer mehr Text mit dem Anspruch, besser, klarer, verständlicher zu informieren. Und gleichzeitig wächst aufseiten der datenschutzrechtlich Verantwortlichen die Unsicherheit, weil die DSGVO voll mit unbestimmten Rechtsbegriffen ist, und aufseiten der Betroffenen das Gefühl, ohnehin nichts ändern zu können, weil man über die Policies ja nicht verhandeln kann, sondern in einer "Take it or leave it"-Situation gefangen ist. Es bleibt häufig auf beiden Seiten ein fatalistisches "Who cares?".

Nun ist aber – wenigstens auf den ersten Blick – nicht ersichtlich, warum ausgerechnet das Datenschutzrecht so kompliziert ist, dass es so viele Wörter braucht. Wir finden uns im Alltag häufig in sehr anspruchsvollen Entscheidungssituationen wieder, in denen wir in sehr kurzer Zeit Informationen verarbeiten und Konsequenzen ziehen müssen: im Straßenverkehr ("Stopp!"), beim Lebensmitteleinkauf ("E461"), im Krankenhaus ("Achtung, Strahlung!"), im Theater ("Notausgang"), am Flughafen ("Exit") und so weiter. Zeichen überall, die wichtige Informationen verdichten und uns helfen, angemessen rasch zu reagieren.

In Kombination mit standardisierten Bildsymbolen

Wenn denn nun aber der Verantwortliche "geeignete Maßnahmen" treffen muss, "um der betroffenen Person alle Informationen … in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln" – so verlangt es Artikel 12, Absatz 1 DSGVO –, was liegt denn dann näher, als dies auch bildlich zu versuchen? Unternehmen wie – ausgerechnet – Facebook (Vergleich zum Beispiel aus dem Jahr 2014 und dem Jahr 2018) oder Google beschäftigen sich seit langem mit Fragen der Visualisierung von Datenschutzinformationen.

Auch der europäische Gesetzgeber hat erkannt, dass die DSGVO kompliziert ist und Icons beim Verständnis vielleicht helfen können. Er hat deshalb in Artikel 12, Absatz 7 DSGVO festgelegt:

Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.

Schon wieder sind da ganz viele auslegungsbedürftige Wörter – "leicht wahrnehmbar", "verständlich", "klar nachvollziehbar" soll der "aussagekräftige Überblick" sein, der mit den "standardisierten Bildsymbolen" – also Icons – erzielt wird. Und die Icons sollen, wenn elektronisch vorhanden, maschinenlesbar sein.

Aber was bedeutet das konkret? Wie sollen solche Icons aussehen? Wer soll/muss/darf sie verwenden? Und wer soll sie verstehen können – muss man dafür, wie in der Fahrschule, einen Kurs machen? Oder können sie intuitiv verstanden werden? Soll man sie in der Schule lernen? Was sind überhaupt Informationen, die wichtig genug sind, um in einem solchen Icon vermittelt zu werden? Und was bedeutet hier maschinenlesbar?

Gefährliche Untiefen

Ganz schnell zeigt sich, dass der so simpel wirkende Artikel 12, Absatz 7 DSGVO voll von gefährlichen Untiefen ist. Über diese ist auch der europäische Normgeber selbst schon gestolpert. Im Gesetzgebungsprozess zur DSGVO waren nämlich Icons vorgeschlagen worden. Sie hätten so aussehen sollen:

Es ist recht offensichtlich zu verstehen, warum dieser Versuch scheiterte und schon im Gesetzgebungsprozess nicht mehr weiterverfolgt wurde. Allein: Die Idee, komplexe Informationen bildlich zu verdichten, ist dadurch noch nicht diskreditiert. Wer wünscht sich nicht eine "verständliche und klar nachvollziehbare" Information (auch) über datenschutzrechtlich relevante Dinge, und was wäre besser geeignet, dieses Ziel zu erreichen, als ein – gut gemachtes – Set von Icons?

Das Projekt: Privacy Goes Iconic

Deswegen sind drei Universitäten und deren Studierende in einer gemeinsamen Initiative angetreten, einen weiteren Versuch zu unternehmen, derartige Icons zu schaffen. Die Klasse für Grafik-Design, Oliver Kartak, Universität für angewandte Kunst Wien, die Technische Universität Wien (Gruppe Peter Purgathofer) und die Universität Wien, Institut für Innovation und Digitalisierung im Recht (Gruppe Nikolaus Forgó), haben in einer gemeinsamen Lehrveranstaltung versucht, den Anspruch der sinnvollen datenschutzrechtlichen Information mit Icons aus Sicht von Design, Informatik und Recht mit Leben zu erfüllen – Privacy Goes Iconic.

Diese Bemühung versteht sich nicht (nur) als akademische Fingerübung, sondern vor allem auch als rechtspolitischen Impuls. Denn sind die Symbole gut und kann man die Kommission überzeugen, dass sie gut sind, dann könnten sie auch eingeführt werden.

Freilich fragt sich, was in diesem Kontext "gute" Symbole sind. Umfassend oder auf das Wichtigste beschränkt? Intuitiv verständlich oder juristisch präzise? Standardisiert oder kontextangepasst? Maschinen- oder menschenoptimiert? Nur im Web einsetzbar oder auch in Apps oder in der physischen Welt?

Abstimmung

In der Lehrveranstaltung haben zehn interdisziplinäre Teams, bestehend aus Designerinnen, Designern, Juristinnen und Juristen Icon-Sets entworfen. Die vier besten haben sich der STANDARD-Community zur Abstimmung gestellt. (Alexander Albrecht, Nikolaus Forgó, Oliver Kartak, Peter Purgathofer, 26.10.2020)

>>>Hier geht's zur Abstimmung! Dieses Icon-Set hat gewonnen

Expertendiskussion

Die Universität Wien, die Universität für angewandte Kunst, die Technische Universität Wien und DER STANDARD haben zu diesem Thema eine Live-Videodiskussion veranstaltet.

Ziel der Diskussion: Es wurde der Frage der Sinnhaftigkeit der ikonografischen Darstellung von Datenschutzinformationen vor dem Hintergrund der DSGVO nachgegangen. Weiters wurde das Siegerinnen- und Sieger-Team des Icon-Sets bekanntgegeben, das von der STANDARD-Community die meiste Zustimmung erhalten hat, und über diesen Entwurf diskutiert.

Wer diskutiert: Oliver Kartak moderierte die Diskussionsrunde mit diesen Gästen:

  • Erwin K. Bauer: Dozent an der Klasse für Grafik-Design, CEO des buero bauer
  • Christian Burger: Head of Community Management, DER STANDARD
  • Nikolaus Forgó: Vorstand des Instituts für Innovation und Digitalisierung am Juridicum Wien
  • Fritz Ofenauer: Abgeordneter zum Nationalrat und Vorsitzender des Datenschutzrats
  • Eckhard Riedl: Leiter des Bereichs Datenschutz im Justizministerium
  • Matthias Schmidl: stellvertretender Leiter der Datenschutzbehörde
  • Martin Selmayr: Vertreter der EU-Kommission in Österreich
  • Rebecca Wenig: Designerin, Vertreterin des Siegerteams der Online-Abstimmung