Interview mit Tilman Harmeling, Senior Expert Privacy Datenschutz: „Ich empfehle Transparenz und Klarheit – und auf die ‚Privacy Experience‘ zu achten“

Eine Datenschutzerklärung sollte eher wie ein Harry-Potter-Roman geschrieben sein – einfach, klar und zugänglich. Die meisten sind aber kompliziert formuliert. (Bild: picture alliance / Captital Pictures | -)

Gibt es eigentlich User, die nicht davon genervt sind, wenn sie beim ersten Besuch einer Website nach der Einwilligung in die Verwendung von Cookies gefragt werden?

Tilman Harmeling: Die gibt es in der Tat kaum. Wenn wir uns den Markt anschauen, sehen wir zwei unterschiedliche Bewegungen. Die erste nennt sich Consent Fatigue. Das bedeutet, dass Nutzer es leid sind, Cookie-Banner auszufüllen. Sie wollen diese einfach nicht mehr sehen. Die andere ist, dass Nutzer zunehmend an der Sicherheit ihrer Daten, also letztlich an ihrer Privatsphäre, interessiert sind und ihre Rechte einfordern. Das belegen sowohl unsere Zahlen als auch die vieler europäischer Datenschutzaufsichten. Daran müssen sich Unternehmen gewöhnen, denn die Datenschutzregularien werden in Zukunft tendenziell härter – und das überall auf der Welt.

Worauf Unternehmen dabei achten müssen, ist ein Konzept namens "Privacy Experience". Dahinter verbirgt sich die Frage, wie sich Datenschutz nutzerfreundlicher gestalten lässt, also wie er sich möglichst nahtlos in die gesamte User Experience einbinden lässt.

Letztlich geht es hier nicht nur um ein Vertrauensverhältnis zwischen Unternehmen und Nutzer, sondern auch um Mehrwerte, die der Nutzer dafür erhält, dass er bereit ist, seine Daten zu teilen.

Wie soll das gehen, dass Datenschutz die User Experience verbessert?

Tilman Harmeling: Eigentlich ist das ganz einfach. Datenschutz ist ein Thema, das sich mit gesundem Menschenverstand recht gut lösen lässt: Fragen Sie sich einfach, was den Nutzern wichtig sein könnte. Wenn es um Daten geht, sind das auf einer Website oder in einer App in der Regel zwei grundsätzliche Dinge: Datennutzung und Vertrauen. Wir bezeichnen das als Nutzerzentrizität. Das bedeutet nichts anderes, als Produkte und Prozesse entlang der Bedürfnisse der tatsächlichen Nutzer zu gestalten, den Nutzer also ins Zentrum aller Überlegungen zu stellen. Wenn Unternehmen Daten verwenden, möchten Nutzer dafür auch etwas bekommen oder zumindest sicher sein, dass die Daten nicht zu ihrem Nachteil genutzt werden.

Viele User stellen ihre personenbezogenen Daten ungern und zögerlich zur Verfügung. Wie kann man als UX-Researcher dieses Problem meistern? Was empfehlen Sie?

Tilman Harmeling: Ich empfehle Transparenz und Klarheit. Transparenz schafft man, indem man dem Nutzer genau erklärt, wie seine Daten genutzt werden. Um wirklich Klarheit zu erhalten, muss man aber noch einen Schritt weitergehen, also auch die Frage klären, ob Nutzer verstehen, wie ihre Daten genutzt werden. Für Klarheit kann man auf verschiedene Arten sorgen: Interessante Ansätze sind Icons, also kleine Bildchen wie ein Gefahrensymbol, die international verstanden werden können, oder Label, die ja bereits von Ernährungsprodukten bekannt sind.

Auch Comics, die einfach spannender als eine trockene Datenschutzerklärung sind, wären eine Option.

Diese Elemente lassen sich auf mehreren Bereichen der Website platzieren, zum Beispiel auf dem Cookie-Banner oder auf der Datenschutzerklärung. Ein anderer Ansatz wäre kontextuell, also dass je nach Zusammenhang erst kurz vor Erhebung der Daten nach der Einwilligung gefragt wird, zum Beispiel: “Sie wollen ein Youtube-Video anschauen? Dann benötigen wir ihre Zustimmung, da durch das Laden des Videos Daten erhoben werden, die an Google gesendet werden.”

Wie sollten UX-Researcher den Datenerhebungsprozess organisieren?

Tilman Harmeling: UX-Researcher sollten sich immer die Frage stellen, wann oder wofür sie selbst die Einwilligung geben würden. Was wäre also für ein “Ja” von ihnen notwendig? Bestimmte Angebote, monetäre Anreize, Vertrauen?

Die Grundfrage für alle Researcher ist, welches Ziel das Unternehmen mit den Daten priorisiert. Das könnten beispielsweise eine verringerte Bounce Rate oder eine höhere Einwilligungsrate sein. Wenn die Zielvariable feststeht, sollte logischerweise auf diese hin optimiert werden.

Um die Bounce Rate niedrig zu halten, gibt es zum Beispiel Ansätze wie Late Consent, also das spätere Anzeigen des Cookie-Banners. Eine andere Lösung wäre die Platzierung des Banners unten auf der Website, nicht zentral.

Eine höhere Einwilligungsrate lässt sich durch mehrere Faktoren erreichen. Wir haben kürzlich erst unsere CMPs mit den höchsten Interaktions- und Zustimmungsraten analysiert und ein Whitepaper dazu herausgebracht.

Erfolgreiche CMPs haben nämlich durchaus Gemeinsamkeiten: zum Beispiel eine zentrale Platzierung des Cookie-Banners, einen individuellen Text oder einen ausgegrauten Hintergrund.

Es gibt aber auch exotischere Ansätze. Vor zwei Jahren haben wir mit dem Lehrstuhl für Digital Services and Sustainability der Ludwig-Maximilians-Universität München zum Thema Incentivierung geforscht und Nutzer vor der Einwilligung gefragt, wie viel man ihnen zahlen müsste, damit sie einwilligen. Von null bis 50 Euro war alles dabei. Hier ist natürlich das Wichtigste, dass Unternehmen Nutzer nicht zur Einwilligung überreden dürfen. Denn laut DSGVO müssen diese immer freiwillig zustimmen. Sonst ist die Einwilligung ungültig.

Alles in allem gilt aber immer, dass Researcher “researchen”, also testen, müssen – schließlich ist jede Website beziehungsweise jedes Unternehmen anders.

Wie sollte die Zusammenarbeit zwischen Datenschutzbeauftragtem und UX-Team idealerweise aussehen?

Tilman Harmeling: Offen, konstruktiv und gemeinschaftlich. In der Vergangenheit wirkte es so, als seien Datenschutz und Marketing beziehungsweise UX nicht zu vereinbaren. Auf den ersten Blick scheint das auch heute noch so zu sein: Denn Datenschutzbeauftragte und UX-Team haben unterschiedliche Ziele. Die einen sollen dafür sorgen, dass Bußgelder vermieden und Risiken reduziert werden, während sich die anderen darum kümmern sollen, dass Kampagnen gut laufen und Nutzer zur Conversion gebracht werden. Idealerweise finden beide “Lager” einen gemeinsamen Nenner. Dieser kann zum Beispiel darin bestehen, das Kunden- oder Nutzervertrauen zu erhöhen oder dem Nutzer eine angenehme Nutzererfahrung zu ermöglichen.

Mehr zum Thema

Interview mit Johanna Ullsperger, GIM "Wertebasierte Zielgruppenforschung für eine positive Experience"

Podcast-Interview mit Dr. Frank Knapp "Gute Marktforschung heißt, eine große Palette an Methoden zur Verfügung zu haben"

Podcast-Interview mit Sabrina Duda Das lächelnde Gesicht der Usability Forschung

Thomas Bartsch, UserTesting UX-Research: Wie überzeuge ich das Management vom Wert der Nutzerstudien?

Wie sieht aus Sicht der User die ideale Privacy Experience aus und wie erreicht man diese?

Tilman Harmeling: Zunächst ergibt es Sinn, sich noch mal zu überlegen, weshalb wir ursprünglich überhaupt im Internet gelandet sind. Wir wollen Kleidung kaufen, Nachrichten lesen, Videos schauen und so weiter. Sich regelmäßig mit Privatsphäre auseinandersetzen wollen die wenigsten.

Deshalb sollte die ideale “Privacy Experience” vor allem eines sein: unaufdringlich. Wenn sie noch dazu einfach zu verstehen und zu bedienen ist, ist schon viel erreicht.

Aus Sicht der Nutzer wäre die schönste Erfahrung sicherlich eine bewusste, freiwillige, informierte Entscheidung zu den jeweiligen Privatsphärepräferenzen, die sie im Idealfall nur ein einziges Mal treffen müssen.

Worauf gilt es beim Ausformulieren der Datenschutzerklärung zu achten?

Tilman Harmeling: Dazu gab es vor einigen Jahren einen interessanten Artikel in der “New York Times”. Für diesen wurden 150 Datenschutzerklärungen durchgelesen und von einem Programm, das die Einfachheit eines Textes bestimmen kann, bewertet. Im Grunde ging es hier um die Frage, ob die Datenschutzerklärung eher wie ein Harry-Potter-Roman geschrieben ist – einfach, klar, zugänglich – oder wie ein Werk von Immanuel Kant – detailliert, akademisch, abstrakt. Wir haben den Artikel auch mit einigen Experten aus den Bereichen IT, internationales Recht und Wirtschaft besprochen. Das Ergebnis: Der Großteil der Datenschutzerklärungen war schlichtweg zu kompliziert, als dass ihn die Nutzer auf Anhieb hätten verstehen können. Und es fehlte zudem eine weitere sehr relevante Komponente, denn eines blieb oft unklar: Was machen die Unternehmen mit den Daten? Richtig ist:

Wer nicht viel mit Daten macht, muss auch weniger erklären. Die Datenschutzerklärung eines großen Tech-Konzerns wird also zwangsläufig komplexer sein als die Datenschutzerklärung eines lokalen Lebensmittelladens mit Online-Auftritt. Aber genannt werden muss der Zweck der Datenerhebung auf jeden Fall.

Was sind häufige Fehler, die hier passieren?

Tilman Harmeling: Um Bezug auf die letzte Frage zu nehmen: Unternehmen sind gut beraten, die Datenschutzerklärung möglichst einfach zu halten. Trotzdem sollte sie bei alledem natürlich immer transparent und vollständig bleiben. Es kann vorkommen, dass relevante Informationen fehlen, beispielsweise über mögliche Datentransfers. Und wenn wir schon über Datentransfers sprechen, stellt sich gleich die nächste Frage: Ist die Datenschutzerklärung immer auf dem aktuellen Stand? Technologien, datenverarbeitende Services und Regularien ändern sich schnell. Aktuell beschäftigen sich maßgebliche Regulatoren wie die EU-Kommission oder die European Data Protection Supervisors beispielsweise mit der Frage, ob Daten in die USA geleitet werden dürfen oder nicht. Dazu gibt es derzeit regelmäßig Updates.

Es wird ja immer behauptet, dass Deutschland in Bezug auf Datenschutz weit vorne liegt. Ist das wirklich ein Wettbewerbsvorteil im internationalen Vergleich?

Tilman Harmeling: Das kommt ganz darauf an, aus welcher Perspektive man es betrachtet. Für Unternehmen, die im Datenschutzbereich tätig sind, ist es auf jeden Fall einer, denn es hilft ihnen, innovativ zu sein. Viele Unternehmen testen Datenschutzprodukte im DACH-Raum und in den skandinavischen Ländern, um zu verstehen, wie sie bei Nutzern ankommen. Gemeint sind hier insbesondere Produkte zur Risikominimierung oder für eine bessere Datenqualität bei gleichzeitiger Datenminimierung.

Auf der anderen Seite kann die strenge Datenschutzregulierung in Deutschland auch als Hemmnis für Innovation angesehen werden, insbesondere im Bereich der Künstlichen Intelligenz (KI), die zur Weiterentwicklung auf die Verwendung großer Datenmengen angewiesen ist.

Einige Kritiker argumentieren, dass die Datenschutzgesetze Deutschlands Innovationen in diesen Bereichen bremsen und es deutschen Unternehmen erschweren, mit ihren internationalen Konkurrenten Schritt zu halten.

Datenschutz allgemein ist aber auch ein positives Signal an Verbraucher und kann Vertrauen fördern. Bei der Annahme, dass wir identische Produkte von nahezu identischen Unternehmen kaufen könnten, von denen eines eine bessere Datenschutzethik hat, würden sich die meisten wohl für das Unternehmen entscheiden, das Datenschutz ernster nimmt.