Im vorangegangenen Artikel haben wir den Age Appropriate Design Code (AADC) ausführlich besprochen. Ihre verschiedenen Normen und die Gründe, die Rechtfertigung für ihre Schaffung und ihre Umsetzung.
Für Vielbeschäftigte haben wir eine kurze Zusammenfassung vorbereitet. Nämlich:
Der vom britischen Information Commissioner's Office ausgearbeitete Age Appropriate Design Code (AADC) ist eine Sammlung von 15 Standards und miteinander verbundenen Grundsätzen, die sich rechtlich auf die Bestimmungen der Datenschutz-Grundverordnung stützen.
Der AADC entstand aus der Notwendigkeit, dem Missbrauch entgegenzuwirken und für die Sicherheit junger Menschen zu sorgen. Sie zielt darauf ab, die Verwendung der personenbezogenen Daten von Minderjährigen zu kontrollieren und erheblich einzuschränken.
Der Hauptgedanke hinter AADC ist der Wunsch, die Rechte von Kindern und Jugendlichen (Minderjährigen im Allgemeinen) zu schützen, indem die persönlichen Daten, die Hersteller und Dienstleister digitaler Produkte sammeln, verarbeiten und weitergeben, auf ein Minimum reduziert werden.
Das AADC (Age Appropriate Design) ist eine Detaillierung der Bestimmungen, die in der Europäischen Datenschutz-Grundverordnung (DSGVO) enthalten sind.
In diesem Artikel konzentrieren wir uns auf die praktischsten Fragen, nämlich die Auswirkungen der neuen Rechtsvorschriften auf den Gestaltungsprozess. Wir werden darüber sprechen, wie sich Unternehmer auf Änderungen vorbereiten sollten, die — und darauf deutet alles hin — bald zum allgemeinen Standard werden.
Wenn Sie also wissen möchten, welche Auswirkungen die neuen Vorschriften haben und haben werden und wie Sie sich auf ihre Verbreitung vorbereiten können, sollten Sie diesen Artikel lesen.
Wir laden Sie ein, weiterzulesen!
Die Bedeutung des AADC
Am 2. September 2021 ist im Vereinigten Königreich nach einer einjährigen Übergangszeit ein neues Gesetz in Kraft getreten, das sich auf die folgenden Bereiche auswirkt:
- Rechtliches
- Business
- Design (UX)
- Branding
Das Information Commissioner's Office (ICO) hat das Recht, Organisationen zu kontrollieren, die im Internet und auf dem britischen Markt tätig sind und deren Kunden oder Benutzer Kinder sind oder sein können.
Der AADC ist ein offizielles Instrument und eine Sammlung von Auslegungsleitlinien, die es dem ICO ermöglichen, Unternehmen Beschränkungen (z. B. das Verbot der Erhebung personenbezogener Daten) oder hohe Geldstrafen aufzuerlegen.
Mit anderen Worten: Die Nichteinhaltung neuer Normen kann ein Unternehmen nicht nur den Verlust eines wichtigen Instruments zur Kundengewinnung und -bindung kosten, sondern auch finanzielle Einbußen und einen Verlust des Ansehens.
Die Verwendung personenbezogener Daten von Kindern ist ein sehr heikles Thema. Wenn ein Unternehmen die Anforderungen des AACD nicht erfüllt, kann es sehr leicht seinen guten Ruf verlieren.
Denn es ist problematisch, überzeugend gegen die Idee zu argumentieren, die Anzahl der gesammelten Daten zu minimieren, ihre Transparenz zu erhöhen oder ihre Weitergabe an Einzelpersonen, Institutionen und Drittorganisationen zu beschränken.
Es ist schwer nachzuweisen, dass ein 5- oder 10-Jähriger die Einwilligung zur Verarbeitung personenbezogener Daten kennt oder die weitreichenden Folgen der Verfolgung seiner Aktivitäten oder seines Standorts versteht.
Es ist schwer zu argumentieren, dass die Schutzmaßnahmen für Kinder nicht an ihr Alter, ihre kognitiven Fähigkeiten und ihr Bewusstsein für Bedrohungen und Gefahren angepasst werden sollten.
Es ist schwierig, die Menschen davon zu überzeugen, dass die Erhebung personenbezogener Daten zur Verbesserung von Erfahrungen, zur Verbesserung von Dienstleistungen oder zur Personalisierung von Angeboten als Standardoption zugelassen werden sollte, ohne dass die Zustimmung der Eltern oder Erziehungsberechtigten erforderlich ist.
Aufgepasst! Nach Inkrafttreten des AADC müssen Unternehmen, die auf dem britischen Markt tätig sind, die Zustimmung der Eltern oder Erziehungsberechtigten einholen, wenn der Benutzer weniger als 13 Jahre alt ist. Ältere Kinder sind in der Lage, diese Zustimmung selbst zu erteilen.
Es ist schwer, das Recht der Kinder auf Freiheit, ungehinderten Zugang zu Informationen oder Schutz vor wirtschaftlicher und sexueller Ausbeutung nicht aktiv zu unterstützen (durch Anpassung an die Anforderungen des Kodex).
Es wird schwierig sein, unethische oder ethisch zweifelhafte Marketing- und Werbepraktiken zu rechtfertigen, die Kinder, die für Suggestion, Beeinflussung und Manipulation empfänglich sind, zum Kauf oder zur weiteren Verwendung eines Produkts bewegen.
Das finanzielle Risiko ist vielleicht das am wenigsten schwerwiegende Risiko, das ein Unternehmen, das diese Vorschriften aus verschiedenen Gründen nicht einhält, einzugehen bereit ist.
Der Imageschaden für die Marke kann weitaus gravierender sein. Der Ruf eines Unternehmens, das sich nicht um die Rechte und das Wohlergehen von Kindern kümmert, kann sehr kostspielig sein.
Um diese Verluste zu vermeiden, und es ist davon auszugehen, dass die Bezeichnung "kinderfreundlich" zu etwas wird, auf das man stolz sein kann und das ein Unterscheidungsmerkmal für Unternehmen auf dem Markt sein wird, ist es unerlässlich, sich darauf vorzubereiten, diese Normen angemessen zu erfüllen.
Wie kann man altersgerecht gestalten?
Natürlich ist die Frage nach dem Ausmaß des Kinderschutzes auf dem polnischen Markt gerechtfertigt, da der polnische Gesetzgeber noch angemessene und ähnliche Lösungen einführen muss, die die Schaffung von kinderfreundlichen Produkten und Dienstleistungen unterstützen würden.
Sowohl für die Jüngsten als auch für diejenigen, die sich besser gegen die Handlungen unethischer Unternehmen wehren können.
Dennoch haben britische Normen im Allgemeinen eine große Chance, zu Musternormen zu werden.
Die Anpassung einer Organisation an neue Standards und die Schaffung minderjährigen gerechter Produkte betrifft also nicht nur Unternehmen, die auf dem britischen Markt tätig sind.
Ein "kinderfreundliches Unternehmen" zu sein, kann auch ein Unterscheidungsmerkmal auf dem polnischen Markt sein, da es eine geschäftliche, strategische, kommerzielle und imagebezogene Bedeutung für die Benutzererfahrung hat.
Sie kann die Schaffung freundlicher Funktionalitäten, eine leicht verständliche Kommunikation, die Verbreitung von Wissen und die Verwendung von Geräten, die an die Fähigkeiten der verschiedenen Zielgruppen angepasst sind, fördern. Sie kann die Notwendigkeit unterstützen, das Internet zu einem manipulationsfreien Raum zu machen und UX-Design zu betreiben, das den intellektuellen Vorteil nutzt.
Schließlich ist der Komfort der jüngsten Benutzer digitaler Produkte und Dienstleistungen die Essenz von UX. Die Angelegenheit ist ernst, denn, wie Sie auf der Website der Age Check Certification Schemes lesen können, "56 % der Eltern sind besorgt darüber, wie viel Zeit ihr Kind online verbringt. 72 % der Eltern geben zu, dass die jüngsten Covid-Sperren zu einem Anstieg der Bildschirmzeit ihrer Kinder geführt haben".
Deshalb sind derartige Lösungen in der gegenwärtigen Situation aus verschiedenen ethischen und sozialen Gründen notwendig. Die verfügbaren Anwendungen sollten dazu dienen, die Interessen der Kinder zu fördern und nicht zu beeinträchtigen.
Die oben zitierte ACCS-Website ist ein praktisches Diagnoseinstrument, denn sie bietet eine Sammlung von Leitlinien, Ratschlägen, Empfehlungen und Vorschlägen für die Optimierung eines digitalen Produkts in den meisten der beliebtesten Branchen, in denen das Problem des Missbrauchs der Rechte von Kindern besonders kritisch ist.
Im Allgemeinen schlagen die ACCS-Autoren die Durchführung von 5 Aktivitäten vor, nämlich:
- Identifizieren Sie Ihr Publikum — (Know Your Customer Ansatz)
- Machen Sie kinderfreundliche Angaben zum Datenschutz
- Optionale Einstellungen für die Datenerfassung/-freigabe ausschalten
- Verwendung Zertifizierungssysteme
- Verwenden Sie die DPIA-Vorlage (Data Protection Impact Assessment)
Die Identifizierung des Publikums ist eine technologische Herausforderung und ein Problem, das spezielle Überprüfungsinstrumente erfordert. ACCS empfiehlt daher die Inanspruchnahme von Dienstleistungen spezialisierter Unternehmen, die Sie hier finden können.
Die Form der Datenschutzerklärung sollte an das Alter, die kognitiven Fähigkeiten und die sozialen Kompetenzen des Publikums angepasst werden.
Deshalb ist es empfehlenswert, besonders auf die Sprache zu achten und die Botschaft (z. B. mit Infografiken) an die Fähigkeiten und Bedürfnisse von Kindern anzupassen.
ACCS empfiehlt auch, seinen Audit-Service in Anspruch zu nehmen, mit dem eine Organisation alle Probleme diagnostizieren kann, die sich aus der Notwendigkeit der Anpassung an die 15 AADC-Standards ergeben.
Im Falle von Dienstleistungen und Produkten, die sich in der Entwicklung befinden, wird vorgeschlagen, die AADC-Anforderungen als Standard einzubeziehen, ein entscheidender Teil des Design Thinking in Bezug auf Sicherheit und Benutzererfahrung.
Es lohnt sich auch, Maßnahmen in Betracht zu ziehen, die ein Unternehmen selbst durchführen kann. Dazu gehören in erster Linie:
- Festlegung, Kategorisierung und Priorisierung der Daten, die ein Unternehmen derzeit sammelt
- Ausschalten der Geolokalisierungsfunktionen
- Rückzug aus ethisch fragwürdigen Praktiken (z. B. dunkle Muster, Nudge-Techniken)
- Einstellung eines hohen Datenschutzniveaus als Standard
Es ist definitiv eine gute Lösung für Unternehmen, deren Kunden, Benutzer oder Abonnenten minderjährig sind, eine breite Palette von Diensten zu nutzen, die von Age Check Certification Schemes angeboten werden.
ACCS bietet Folgendes:
- Prüfung der Konformitätserklärung mit PAS 1296:2018 (eine Norm, die sich auf Probleme mit dem Datenschutz, der Sicherheit, der Nutzbarkeit, der Verfügbarkeit und der Datensicherheit bezieht. Der Standard wurde vom British Standards Institute und der Digital Policy Alliance entwickelt)
- Age Estimation, Age Determination, und Age Categorisation Systeme
- Age Check Penetration Testing
- Age Check Policy Evaluation
- Age Check Quality Evaluation
- Age Check Technical Evaluation
- Subject Behaviors
- Presentation Attack Detection
- Detection Device Analysis
- Social Proofing verification
- Parental Consent testing
- Einsatz von künstlicher Intelligenz
- Age Tokens & Pre-Purchase Age ID
Vorlage für eine Datenschutz-Folgenabschätzung
Die oben erwähnte Vorlage ist hier verfügbar. Sie ermöglicht es einer Organisation, sich selbst über den Schutz personenbezogener Daten, einschließlich der Daten von Kindern, bewusst zu werden.
Was ist DPIA? Die Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) ist ein Verfahren zur systematischen Analyse, Identifizierung und Minimierung von Risiken im Zusammenhang mit dem Datenschutz. Die Erfüllung dieser Anforderungen ist von entscheidender Bedeutung, denn sie bedeutet die Einhaltung des britischen Rechts, das in der DSGVO festgelegt ist.
DPIA ermöglicht es einem Unternehmen:
- Erkennen und Beschreiben der Ziele, des Umfangs, des Kontexts und des Charakters der erhobenen und verarbeiteten Daten.
- Schätzung des Bedarfs für die Erfassung und Verarbeitung der Daten.
- Erfahren Sie mehr über die Verhältnismäßigkeit von notwendigen Daten und solchen, die aus Sicht der Leistungserbringung weniger wichtig sind.
- Identifizieren Sie Bedrohungen.
- Durchführung von Gegenmaßnahmen.
Die Folgenabschätzung sollte nicht nur als Instrument, sondern auch als Prozess betrachtet werden, bei dem 7 wesentliche Phasen unterschieden werden können, in denen die Organisation arbeitet:
- Bestimmt die Notwendigkeit einer DPIA.
- Beschreibt die Art und Weise der Verarbeitung personenbezogener Daten.
- Definiert ihre Fähigkeiten im Hinblick auf die richtige Einschätzung und berücksichtigt die Fähigkeit, Dienstleistungen externer Unternehmen in Anspruch zu nehmen.
- Bewertung der Notwendigkeit und Verhältnismäßigkeit.
- Identifizierung und Bewertung von Risiken.
- Entdeckt Maßnahmen zur Risikominderung.
- Dokumentiert die Ergebnisse.
Bei der Verwendung der DPIA-Vorlage müssen das Risikoniveau, die Wahrscheinlichkeit sowie die möglichen Auswirkungen und der Einfluss der verwendeten Lösungen auf die Benutzer bewertet werden.
Der Bewertungsprozess, der zur Aufdeckung hoher Risiken führte, sollte zu sofortigen Maßnahmen und zur Erlangung der entsprechenden Zertifizierung führen.
Alle Mitarbeiter einer Organisation sollten in den Prozess der Anpassung von Dienstleistungen oder digitalen Produkten an die Standards des AADC einbezogen werden, unabhängig vom Umfang ihrer Kompetenzen oder ihrer Position innerhalb eines Unternehmens. Die Grundlage für die Überprüfung der Einhaltung sollte immer ein Dokument sein.
Es wird allen Unternehmen empfohlen, die Einhaltung der DPIA-Vorlage abzuschätzen.
Das heißt, es sollte in erster Linie verwendet werden, wenn eine Organisation:
- Verarbeitet Daten in großem Maßstab
- Verwendet Profiling
- Verarbeitet biometrische und genetische Daten
- Verwendet Daten aus verschiedenen Quellen
- Sammelt Daten zur Lokalisierung und zum Verhalten
- Verarbeitet Daten für Marketingzwecke
- Verarbeitet personenbezogene Daten, die zu einer Gefährdung der körperlichen Unversehrtheit führen können
Es sei daran erinnert, dass gemäß den Leitlinien im Artikel "Data protection impact assessments" die Einschätzung der Einhaltung der Vorschriften mithilfe der DPIA-Vorlage in einem frühen Stadium eines Projekts beginnen sollte, bevor mit der Erhebung, Verarbeitung und Weitergabe von Daten begonnen wird.
Age Appropriate Design Code. Zusammenfassung
- Der vom britischen Information Commissioner's Office ausgearbeitete Age Appropriate Design Code (AADC) ist eine Sammlung von 15 Standards und miteinander verbundenen Grundsätzen, die in den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verankert sind.
- Der Schutz der Privatsphäre von Kindern ist ihr wichtigstes Anliegen. Gleichzeitig eröffnet das altersgerechte Design, also die Gestaltung digitaler Produkte oder Dienstleistungen für Kinder, zusammen mit der neuen britischen Gesetzgebung eine neue Ära für UX und UI Design.
- Dieser Schutz wird in erster Linie durch die Minimierung der personenbezogenen Daten erreicht, die von den Herstellern digitaler Produkte und Dienstleistern erfasst, verarbeitet und weitergegeben werden.
- Das Information Commissioner's Office (ICO) hat das Recht, Organisationen zu kontrollieren, die im Internet und auf dem britischen Markt tätig sind und deren Kunden oder Benutzer Kinder sind oder sein können.
- Der Age Appropriate Design Code ist ein offizielles Instrument und eine Sammlung von Auslegungsrichtlinien, die es der ICO ermöglichen, Unternehmen Einschränkungen oder Gebühren aufzuerlegen.
- Die Erlangung einer Konformitätsbescheinigung des AADC ist nicht nur eine rechtliche, sondern auch eine strategische und imagebezogene Angelegenheit.
- Die Nichteinhaltung von Standards und ein nicht kinderfreundliches Unternehmen können dem Ruf eines Unternehmens leicht schaden.
- Ab September 2021 müssen Unternehmen, die auf dem britischen Markt tätig sind, die Zustimmung der Eltern oder Erziehungsberechtigten einholen, wenn der Benutzer unter 13 Jahre alt ist.
- Ältere Kinder sind in der Lage, diese Zustimmung selbst zu erteilen.
- Im Allgemeinen haben britische Normen eine große Chance, zu Musternormen zu werden. Daher sollten auch polnische Digitalunternehmer darüber nachdenken, sich an die neuen Standards anzupassen.
- ACCS schlägt 5 Maßnahmen vor: Identifizieren Sie Ihre Zielgruppe, machen Sie kinderfreundliche Angaben zum Datenschutz, nutzen Sie Zertifizierungssysteme und verwenden Sie eine Vorlage für eine Datenschutzfolgenabschätzung.
- Die Identifizierung eines Publikums ist eine technologische Herausforderung. ACCS empfiehlt, die Dienste spezialisierter Unternehmen in Anspruch zu nehmen.
- Im Falle von Dienstleistungen und Produkten, die sich in der Entwicklung befinden, wird vorgeschlagen, die AADC-Anforderungen als Standard einzubeziehen, ein entscheidender Teil des Design Thinking in Bezug auf Sicherheit und Benutzererfahrung.
- Für Unternehmen, deren Kunden, Benutzer oder Abonnenten minderjährig sind, empfiehlt es sich, die von Age Check Certification Schemes angebotenen Dienste zu nutzen.
- Die DPIA-Vorlage ist ein Werkzeug und ein Diagnoseverfahren.
- Die Datenschutzfolgenabschätzung ermöglicht es Organisationen, die Ziele, den Umfang, den Kontext und den Charakter der erhobenen und verarbeiteten Daten zu ermitteln und zu beschreiben. Es ermöglicht ihnen auch, den Bedarf für ihre Sammlung und Verarbeitung abzuschätzen.
- Bei der Verwendung der DPIA-Vorlage müssen das Risikoniveau, die Wahrscheinlichkeit sowie die möglichen Auswirkungen und der Einfluss der verwendeten Lösungen auf die Benutzer bewertet werden.
- Die Einschätzung der Einhaltung der DPIA-Vorlage sollte bereits in einem frühen Stadium eines Projekts beginnen.
- Das Age Appropriate Design beeinflusst auch den Designprozess. Es lohnt sich, sie zu verwenden, bevor Daten gesammelt, verarbeitet und weitergegeben werden. Der AADC sollte bereits in einer frühen Phase der digitalen Produktentwicklung in den Entwurfsprozess einbezogen werden.
- Age Appropriate Design hat die Chance, ein kanonischer Ansatz für die Benutzererfahrung zu werden.