Viele App-Nutzer kennen das: Kaum fragt eine App oder eine Website, ob sie das Verhalten der Nutzer speichern und auswerten darf, klicken sie reflexhaft auf „Nein“. Für den App-Entwickler ist dies sehr von Nachteil. Um die App so zu entwickeln oder zu optimieren, dass sie für den Anwender auch maximalen Nutzen bringt und gut zu bedienen ist, braucht er dringend Informationen über das Nutzerverhalten. Die Nutzer wiederum machen sich Sorgen um den Schutz ihrer Daten und stellen die Unternehmen, die Apps und Software entwickeln, unter Generalverdacht, die erhobenen Daten gewinnbringend zu verkaufen.
Gleichzeitig gibt es mehrere Beispiele dafür, dass es Nutzern mehr oder weniger egal ist, was mit ihren Daten passiert oder für welche Zwecke sie benutzt werden – wobei klar ist, dass die Daten noch nicht einmal dafür benutzt werden, die Anwendungen besser zu machen.

Beispiel 1

Über das Rabatt-System Payback legen die Nutzer ihr Konsumverhalten offen. Payback bekommt so mehr Informationen als Banken oder Kreditkartenausgeber. Den wenigsten Nutzern ist dies bewusst – sie sehen nur den Rabatt oder die Prämien, die sie möglicherweise bekommen.

Beispiel 2

Nutzer von Sprachassistenten wie Alexa machen sich ebenfalls nicht bewusst, was im Hintergrund eigentlich passiert – die Betreiberkonzerne bekommen dadurch die Möglichkeit, quasi alles abzuhören, was die Menschen in der Hörweite der Assistenten sagen. Ich wähle hier immer einen recht drastischen Vergleich, in dem ich Menschen frage: „Wäre es in Ordnung für Sie, dass eine wildfremde Person in Ihrem Wohnzimmer sitzt, alles hört, alles sieht und nur aufsteht, wenn Sie sagen ‚Helmut, mach das Licht an!‘? Wenn das keinerlei Schamgefühle bei Ihnen auslöst, dann können Sie Sprachassistenten unbesorgt nutzen.“

Nutzer sollten sich immer vor Augen halten: Wenn eine App oder eine Software (nahezu) kostenfrei ist, dann ist auch klar, dass ein Unternehmen mit den Nutzerdaten Geld verdient. Sie sollten sich dann sehr genau anschauen, wie das Unternehmen damit Geld verdient: Werden die Adressen der Nutzer verkauft? Wird das Konsumverhalten ausgewertet und für die Weiterentwicklung der eigenen Angebote genutzt? Macht das Unternehmen dies nicht transparent, sollte die Anwendung besser nicht genutzt werden.

In meiner Rolle als Product Owner folge ich bei der App- oder Software-Entwicklung einem festen Grundsatz: Ich verwende nur solche Nutzerinformationen, die mich dazu befähigen, das Verhalten einer Nutzergruppe in der Tiefe zu analysieren. Mein Ziel ist dabei immer, die Nutzbarkeit und die Nutzungsquote zu verbessern – und damit den Erfolg der Anwendung. Ich zeichne keinerlei personalisierte Information auf und entwickle nichts, in dessen Rahmen die Nutzer unbewusst Informationen preisgeben. Denn mit diesem Thema gilt es generell sehr verantwortungsbewusst umzugehen. Als PO bin ich verantwortlich für das Produkt, das ich entwickle, und auch für die Nutzer. Ich würde niemals Glücksspiel-Apps mit hohem Suchtfaktor entwickeln oder Apps, die gezielt Nutzer-Infos einsammeln, ohne dass der Nutzer das weiß. Gleichwohl bin ich für meine Arbeit auf Nutzerinformationen angewiesen. Nur wenn ich diese Nutzerinformationen habe, kann ich ein hohes Maß an Nutzerfreundlichkeit und Nutzerquote bei Apps und Websites bieten.
Das wiederum ruft die DSGVO-Verantwortlichen meiner Kunden auf den Plan. Sie haben das Gesetz im Auge, und die Datenschutz-Auflagen müssen bedingungslos erfüllt werden. Schlupflöcher auszunutzen, die es sehr wohl gibt, lassen sie nicht zu. Sie kennen nur die Black Zone und die White Zone. Die Grey Zone ignorieren sie weitgehend. Wünschenswert wäre es, wenn die DSGVO-Verantwortlichen hier vertrauensvoller abwägen und anerkennen würden, dass POs nichts Illegales tun wollen. Nur wenn Datenschützer und Product Owner den Graubereich gemeinsam, quasi Hand in Hand, durchschreiten, profitieren hinterher auch die Nutzer davon.

Um es an einem Beispiel deutlich zu machen: Websites bieten dem PO hinter den Kulissen die Option, sich das Verhalten der einzelnen Nutzer anzeigen zu lassen. DSGVO-Beauftragte gehen angesichts mancher dieser Möglichkeit an die Decke – so können die POs beispielsweise ganz gezielt das Verhalten einzelner Nutzer als Video aufzeichnen und sich anschauen. Die Frage ist jedoch: Was will der Entwickler oder PO ganz konkret mit diesen Informationen anfangen? Will er wissen, wie eine bestimmte Person die Website nutzt, um ihr hinterher personalisierte Werbung zu schicken? Nein! Der PO will vielmehr wissen, was er noch tun kann, um die Website attraktiver zu machen. Nutzen die User die App so, dass sie App für den jeweiligen Nutzer den größten Mehrwert bringt? Um diese Frage zu beantworten, braucht er von möglichst vielen Nutzern die Information, wie sie die Website genau nutzen. Was tun sie auf der Website? Wofür interessieren sie sich? Wie viel Prozent von ihnen haben eine bestimmte Unterseite aufgerufen? Wie schnell benutzen sie die Maus? Wie lange haben sie sich auf der Seite aufgehalten? Wo haben sie geklickt? Und wo nicht? Diese Informationen nutzt der PO, um die Nutzerführung zu optimieren und .

Die Nutzerdaten bekommt er jedoch nur, wenn er den Datenschützern des ihn beauftragenden Unternehmens signalisiert, dass er das Gesetz nicht brechen will und wird. Dazu ist es erforderlich, dass er den DSGVO-Beauftragten von Beginn an – und nicht erst in der Release-Phase! – in sein Projekt integriert und quasi Hand in Hand mit ihm durch die Entwicklung geht. Das ist nicht zuletzt deshalb wichtig, weil der PO niemals allein alle gesetzlichen Bestimmungen überblicken kann. Und die Gesetzmäßigkeit einer App oder Website ist essenziell. Wenn Umsätze in Milliardenhöhe über eine App oder Website getätigt werden und App oder Website sind nicht gesetzeskonform, kann sich der PO schnell sein eigenes Grab schaufeln. Gesetzestreue, Seriosität und die Verantwortung dafür müssen oberste Priorität haben – nicht zuletzt auch deshalb, um den agilen Methoden und der agilen Community keinen Bärendienst zu erweisen, schließlich ist Agilität noch längst nicht zu einem weithin akzeptierten Alltagsphänomen in der Business-Welt geworden. Gesteht der DSGVO-Beauftragte dem PO im Gegenzug zu, dass immer wieder auch die Graubereiche der gesetzlichen Gesetzeslage betreten und ausgelotet werden, sind am Ende alle Erfordernisse gegeben, um eine nutzerfreundliche, quotenstarke App oder Website zu entwickeln.