Inhaltsverzeichnis

1. Was ist DSGVO?
2. Wie können UX-Researcher*innen die Datenverarbeitung wirksam einsetzen?
3. Wann müssen UX-Researcher*innen eine Einwilligung einholen?
4. Wie schreibt man eine Datenschutzerklärung richtig?
5. Wie kannst du verhindern, dass Benutzer die Löschung ihrer Daten verlangen?
6. Wie sollten UX-Researcher*innen den Datenerhebungsprozess organisieren?
7. Was für andere Rechte haben Testpersonen noch? 
8. Wie können UX-Researcher*innen die Privatsphäre der Gesichtserkennung sicherstellen?
9. Wer kann UX-Researcher*innen helfen, die Einhaltung der DSGVO sicherzustellen?

1. Was ist DSVGO?

DGSVO bedeutet Datenschutz-Grundverordnung. Es handelt sich um eine EU-Verordnung zur Harmonisierung der Datenschutzgesetze im Raum der europäischen Gemeinschaft. Ihre Hauptfunktion besteht darin, Benutzern zu helfen, die Kontrolle darüber zu erlangen, wie Unternehmen ihre personenbezogenen Daten verwenden. Die europäische Datenschutzgrundverordnung gilt seit dem 25.05.2018.

1.1 Was sind die wichtigsten Grundsätze der DSGVO?

Die DSGVO legt sieben Grundprinzipien fest:

1. Rechtmässigkeit, Fairness und Transparenz
Benutzer müssen darüber informiert werden, dass ihre Daten erhoben werden, mit einer Erklärung, warum dies getan wird.

2. Zweckbindung
Daten können nicht nur um ihrer selbst wegen erhoben werden. Dies sollte für einen bestimmten Zweck geschehen (z. B. ein besserer Kundenservice oder eine bessere Benutzererfahrung, die Durchführung einer Marketingkampagne usw.).

3. Datenminimierung
Daten, die nicht dem Zweck der Datenerhebung dienen, dürfen nicht erhoben werden. Nehmen wir mal an, dass du den Vornamen der Benutzer verwenden möchtest, um deine Marketing-E-Mails zu personalisieren. Du kannst dann die Benutzer bitten, ihren Vornamen anzugeben, aber du darfst  sie nicht auffordern, auch ihren Nachnamen anzugeben.

4. Genauigkeit
Alle falschen Daten müssen aus der Datenbank gelöscht werden.

5. Speicherbegrenzung
Es ist nicht erlaubt, Benutzerdaten länger zu speichern, als sie tatsächlich benötigt werden.

6. Integrität und Vertraulichkeit
Die Erhebung und Verarbeitung von personenbezogenen Daten ist nicht erlaubt, wenn diese Prozesse nicht abgesichert werden können.

7. Verantwortlichkeit
Du musst Datenschutzrichtlinien verabschieden und umsetzen, und schriftliche Verträge mit Organisationen abschliessen, die personenbezogene Daten in deinem Namen verarbeiten.

1.2. Was passiert mit Unternehmen, die die DSGVO nicht einhalten?

Die Nichteinhaltung dieser sieben Grundsätze führt zu Bussgeldern in Höhe von 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist.

Zweifelst du daran, dass diese Geldstrafen tatsächlich verhängt werden? Dann schau dir mal die Liste der grössten DSGVO-Geldstrafen und die Gründe dafür an:

Google – 50 Millionen Euro. Der Technologieriese stellte den Benutzern in den Zustimmungsrichtlinien keine ausreichenden Informationen zur Verfügung.

H&M – 35 Millionen Euro. Das Unternehmen verarbeitete ohne einen bestimmten Zweck sensible Daten über die Gesundheit und die Überzeugungen seiner Mitarbeiter/innen.

TIM (Telecom Italia) – 27,8 Millionen Euro. Das Unternehmen wurde bestraft, weil es Millionen von Personen mit Werbeanrufen und unerwünschten Mitteilungen bombardierte.

British Airways – 22 Millionen Euro. Hackern glückte der Zugriff auf Benutzerdatenbanken und sie gelangten an Anmeldungsdaten, Zahlungskarteninformationen und andere sensible Daten. Davon wurden 400.000 Kunden betroffen.

Marriott – 20,4 Millionen Euro. Die Gästereservierungsdatenbank der Hotelkette war nicht sicher genug. Nach der Kompromittierung der Datenbank wurden 83 Millionen Gästedatensätze (30 Millionen davon EU-Bürger) offengelegt.

1.3 Wie definiert die DSGVO den Begriff „personenbezogene Daten“?

Einer der wahrscheinlich verwirrendsten Teile der DSGVO ist die unklare Beschreibung des Begriffs „personenbezogene Daten“. Die DSGVO definiert als personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Es ist dann kein Wunder, dass viele UX-Researcher*innen nicht verstehen, welche Art von Informationen sie ohne die Zustimmung des Benutzers erheben dürfen und welche nicht.

Also, auf welche Arten von Daten wird die DSGVO angewendet?

  • Name
  • E-Mail
  • Telefonnummer
  • Eine Identifikationsnummer
  • Standortdaten
  • Internet-Protokoll- (IP)-Adressen
  • Cookie-Kennungen
  • Frequenzidentifikations-(RFID)-Tags
  • Browsertyp und -version
  • Betriebssystem
  • Empfehlungsquelle
  • Besuchsdauer
  • Aufgerufene Seiten
  • Navigationspfade der Website
  • Art der Software
  • Digitaler Fingerabdruck der Benutzer
  • Gesichtsbilder und -videos
  • Krankengeschichte
  • Strafregister
  • Bankkontoauszüge
  • Zahlungsdaten
  • Kreditkartendaten
  • Mitarbeiterbewertungen

Diese Liste kann noch weitergehen. Grundsätzlich sollten alle Text-, Video-, Audio-, numerische, grafische und fotografische Daten, die sich in irgendeiner Weise auf den Benutzer beziehen, als personenbezogene Daten betrachtet werden.

2. Wie können UX-Researcher*innen die Datenverarbeitung wirksam einsetzen?

Manche UX-Researcher*innen ist sich nicht ganz bewusst, wie oft sie Benutzerdaten verarbeiten. Die Datenverarbeitung erfolgt jedes Mal, wenn z. B. die Daten des Benutzers in einer Tabelle gespeichert werden, eine Dankes-E-Mail an einen Testbenutzer gesendet wird oder der Testergebnisbericht an die Kunden geliefert wird. Je öfter sensible Daten verarbeitet werden, desto höher ist die Wahrscheinlichkeit einer Datenschutzverletzung oder eines anderen datenbezogenen Problems.

3. Wann müssen UX-Researcher*innen eine Einwilligung einholen?

UX-Researcher*innen können nicht mit der Erhebung personenbezogener Daten beginnen, bevor sie die Einwilligungserklärung dafür erhalten haben. Es gibt keine Ausnahmen zu dieser Regel.

Wenn du bereits Daten erhoben hast und nun fehlende personenbezogene Daten erfassen willst, muss eine zusätzliche Einwilligungserklärung der Testperson eingeholt werden.

Nehmen wir mal an, dass du einen Test mit 100 Teilnehmern durchgeführt hast. Du kennst die Namen und das Alter dieser Benutzer. Nun möchten du deine Studie erweitern und das Geschlecht deiner Teilnehmer wissen. Dann musst du ein zusätzliches Einwilligungsformular erstellen und die Testpersonen bitten, es zu unterschreiben.

Wenn du Testpersonen aufzeichnen oder beobachtest, musst du dies in der Einwilligungserklärung angeben. Du solltest erklären, wer sich die Aufzeichnung ansieht und zu welchem Zweck. Ausserdem sollten du erwähnen, ob Testpersonen in Echtzeit beobachtet werden.

Du solltest dir bewusst sein, dass wenn du diese Regel ignorierest, die Folgen dramatisch sein können. Wenn du die DSGVO nicht einhältst, wird dir wahrscheinlich eine Geldstrafe auferlegt.

3.1 Die Funktion „Zu unterzeichnendes Dokument“ von TestingTime

Mit TestingTime kannst du Dokumente schon vor der Studie von Ihren Testpersonen unterschreiben lassen, z. B. eine Geheimhaltungsvereinbarung oder eine Zustimmung zur Aufzeichnung des Tests. Du kannst dies ganz einfach und vollständig digital über das Online-Bestellformular machen. Aktiviere einfach die Option „Zu unterzeichnendes Dokument“ im Bereich „Erweiterung“. Auf diese Weise kannst du ein Dokument deiner Wahl hochladen.

TestingTime wird dann das zu unterzeichnende Dokument direkt in ihren Rekrutierungsprozess integrieren. Jedes Dokument wird rechtsgültig unterzeichnet, einschliesslich des Datums, des vollständigen Namens der Testperson und dessen elektronischer Unterschrift. In Ihrer Bestellübersicht hast du dann vor Testbeginn Zugriff auf alle unterschriebenen Dokumente.

TestingTime Geheimhaltungsvereinbarung

Quelle: TestingTime

Eine DSGVO-konforme Vorlage für ein NDA findet man etwa hier. Wir sind jedoch keine Rechtsexperten, daher ist es ratsam, dass du mit deinem internen oder einem externen Legal-Team klärst, was du in Zweifelsfällen tun musst.

3.2 Wann ist eine Einwilligung gültig? 

Der schwierigste Teil der Konformität mit der DSGVO besteht darin, dass du nicht nur die Einwilligung einholen musst, sondern dass du auch sicherstellen solltest, dass diese gültig ist. Hier ist eine Liste von Bedingungen, die die Gültigkeit der Zustimmung der Testperson beweisen:

Die Einwillung

● wird freiwillig erteilt. Du darfst Testpersonen nicht zur Zustimmung zwingen.
● ist spezifisch und für einen bestimmten Zweck gestaltet.
● bietet den Testpersonen ausreichende Informationen zur Entscheidung.
● enthält keine zweideutigen Aussagen.
● ist eine Handlung. Die Benutzer müssen die Informationen nicht nur lesen, sondern auch das Kontrollkästchen aktivieren und auf die Schaltfläche „Senden“ oder „Zustimmen“ klicken.
● ist klar von anderen Angelegenheiten zu unterscheiden.
● wird deutlicher und einfacher Sprache verfasst.
● wird nicht als Voraussetzung für eine Dienstleistung dargestellt.

4. Wie schreibt man eine Datenschutzerklärung richtig?

Das Verfassen einer Datenrichtlinie ist der erste Schritt zur Einhaltung der DSGVO. Im Folgenden ist eine Liste von Regeln, die eingehalten werden sollten, um einen Datenrichtlinienhinweis erfolgreich aufzusetzen.

● Gib den Namen deiner Organisation und diejenigen von Dritten an, die in Zukunft Zugriff auf personenbezogene Daten haben werden.

● Erwähne deine Absicht deutlich. Testpersonen sollten ein klares Verständnis davon haben, welche spezifischen Daten zu welchem Zweck erhoben werden. Wenn du Video- oder Audiodaten des Testprozesses aufnehmen möchtest, solltest du die Testpersonen im Voraus darüber informieren, sonst gefährdest du dein UX-Projekt.

● Denke daran, dass die überwiegende Mehrheit der europäischen Testpersonen keine deutschen Muttersprachler sind. Du solltest alles in einer einfachen und deutlichen Sprache schreiben und Wörter vermeiden, die deine Zielgruppe möglicherweise nicht versteht. Benötigst du Hilfe beim Verfassen von Texten für ein globales Publikum? In diesem Fall kannst du das Aufsetzen von Website-Inhalten bestellen und Experten bitten, in deinem Namen eine Datenrichtlinie zu verfassen.

● Weise die Testpersonen darauf hin, dass sie das Recht haben, der Verarbeitung ihrer Daten zu widersprechen und deren unverzügliche Löschung aus der Datenbank zu verlangen.

● Versuche nicht, die Entscheidungen der Testpersonenzu manipulieren. Stelle ihnen stattdessen alle notwendigen Daten zur Verfügung und lass sie selber entscheiden, ob sie ihre personenbezogenen Daten teilen wollen.

5. Wie kannst du verhindern, dass Testpersonen die Löschung ihrer Daten verlangen?

Laut der DSGVO muss in Ihrer Datenschutzerklärung stehen, dass man seine Einwilligung jederzeit widerrufen kann. Und das ist ein weiterer Punkt, der für UX-Researcher*innen eine Herausforderung sein kann. Wenn Testpersonen von ihrem Widerrufsrecht Gebrauch machen, verlieren Viele einen Teil der erhobenen Daten. Dies kann sich natürlich negativ auf die Testergebnisse auswirken.

Was können UX-Researcher*innen tun, um die Ergebnisse ihrer Arbeit zu schützen und gleichzeitig die Einhaltung der DSGVO zu gewährleisten? Du kannst eine Klausel wie diese zu deiner Datenschutzerklärung hinzufügen:

Wenn unsere X-Organisation die Verarbeitung Ihrer personenbezogenen Daten auf eine Interessenabwägung stützt, können Sie Widerspruch gegen die Verarbeitung einlegen. Dies ist insbesondere der Fall, wenn die Verarbeitung der Daten nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist, was die X-Organisation jeweils in der nachfolgenden Funktionsbeschreibung darstellt.

Wenn Sie Ihre Einwilligung auf diese Weise widerrufen, bittet die X-Organisation um eine Erklärung, warum sie Ihre personenbezogenen Daten nicht so verarbeiten sollte, wie sie es tut. Wenn der Widerspruch begründet ist, wird die X-Organisation die Angelegenheit prüfen und entweder die Datenverarbeitung einstellen bzw. anpassen, oder Ihnen zwingende und rechtmässge Gründe entgegenbringen, warum die X-Organisation die Verarbeitung fortsetzt.

Anhand dieser Informationen wird den Testpersonen klar, dass sie ihre Einwilligung nicht ohne Angabe von Gründen widerrufen können. Diejenigen, die die Datenschutzrichtlinie tatsächlich lesen, und Bedenken hinsichtlich der Sicherheit ihrer personenbezogenen Daten haben, werden es sich also zweimal überlegen, bevor sie ihre Einwilligung erklären. Wenn Ihre Richtlinie auf diese Weise verfasst ist, wird sich die Anzahl der Testpersonen, die ihre Daten zurückziehen, erheblich vermindern.

6.Wie sollten UX-Researcher*innen den Datenerhebungsprozess organisieren?

Einer der grössten Fehler von UX-Researcher*innen besteht darin, dass sie versuchen, so viele Daten wie nur möglich zu erheben. Sie denken, dass sie diese Daten wahrscheinlich später verwenden werden, obwohl sie sie jetzt gar nicht benötigen. Sie fordern die Testpersonen auf, Informationen bereitzustellen, die sie überhaupt nicht brauchen, und das ist ein Verstoss gegen die Grundsätze der DSGVO. Die Faustregel für die Einhaltung der DSGVO ist, nur die Daten zu sammeln, die du tatsächlich benötigst, um eine bestimmte Entscheidung zu treffen oder zum Beispiel das UX-Design zu verbessern.

7. Was für andere Rechte haben Testpersonen noch?

Testpersonen haben das Recht, die Bereitstellung der Daten, die du über sie besitzst, anzufordern. Du solltest diese Daten daher angemessen speichern und bereit sein, Testpersonen auf Anfrage Zugriff auf ihre Daten zu gewähren. Ausserdem solltest du darauf vorbereitet sein, die Fragen über die Verwendung ihrer personenbezogenen Daten zu beantworten.Und schlussendlich solltest du Informationen über die Testpersonen korrigieren, wenn diese dich dazu auffordern. Du solltest dies tun, um die Rechte der Testpersonen einzuhalten und die Genauigkeit deiner Datenbank zu verbessern.

8. Wie können UX-Researcher*innen die Privatsphäre der Gesichtserkennung sicherstellen?

Gesichtsbilder und -videos gelten als personenbezogene Daten. Dies bedeutet, dass wenn du die Benutzertests auf Video aufzeichnest und diese Videos mit Kunden teilen möchten, die DSGVO eingehalten werden muss.

Das Problem ist, dass Gesichtsbilder besonders anfällig für ein Missbrauch sind. Jeder, der Zugriff auf die Bilder hat, kann sensible personenbezogene Daten sammeln und evtl. in Konten eindringen. Wenn du dich dafür entscheidest,  dann solltest du einen Weg finden, die Risiken von Missbrauch, unbefugter Verfolgung und Identitätsdiebstahl auszuschliessen.

Welche Anonymisierungsmethoden werden von Unternehmen verwendet?

  • Gesichtsbild verpixeln
  • Gesichter tauschen
  • Verschlechterung
  • Qualitätsminderung

Alle diese Anonymisierungstechniken haben einen wesentlichen Nachteil – sie beeinflussen die visuelle Ähnlichkeit des Gesichtsbildes dramatisch. Wenn du auf Bildqualität nicht verzichten willst, kannst du eine Software wie D-ID™ verwenden, die Gesichtsbilder schützt und gleichzeitig die visuelle Ähnlichkeit bewahrt.

9. Was für andere Rechte haben Testpersonen noch?

Im Grunde genommen, sind UX-Researcher*innen nicht die einzigen Personen in einer Organisation die für die Datenerhebung und -verarbeitung verantwortlich sind. Das Unternehmen muss die DSGVO in Europa auf höchster Geschäftsführungsebene und innerhalb der gesamten Organisation einhalten. Die Führungskräfte des Unternehmens sollten geeignete technische und organisatorische Massnahmen ergreifen, wie:

  • Datenschutzrichtlinien auf der gesamten Unternehmensebene einführen und umsetzen
  • schriftliche Verträge mit Drittorganisationen, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten, abschliessen
  • alle Datenverarbeitungsaktivitäten dokumentieren
  • erweiterte Sicherheitsmassnahmen implementieren
  • Verstösse gegen personenbezogene Daten aufzeichnen und melden
  • die Rechenschaftspflichten regelmäßig überprüfen und aktualisieren.

Die DSGVO ist ein grosses Thema und du wirst einige Zeit brauchen, um darüber gründlich zu recherchieren. Ich hoffe, dass dieser Artikel dir hilft, dessen Grundlagen zu bewältigen, damit du mit der Arbeit an deinen UX-Forschungsprojekten beginnen kannst.