Browse Tag

Mängel

Stu­die der Uni­ver­si­tä­ten Darm­stadt, Bam­berg und Frankfurt

For­schen­de ent­lar­ven man­gel­haf­te Daten­schutz-Ein­stel­lun­gen auf ein paar tau­send Webseiten

Eine inter­dis­zi­pli­nä­re Stu­die von For­schen­den der Tech­ni­schen Uni­ver­si­tät Darm­stadt, der Otto-Fried­rich-Uni­ver­si­tät Bam­berg und der Goe­the-Uni­ver­si­tät Frank­furt zeigt, wie Web­sei­ten­be­trei­ben­de am wir­kungs­volls­ten über man­gel­haf­te Daten­schutz-Kon­fi­gu­ra­tio­nen infor­miert wer­den können.

So kön­nen Behör­den und Sicher­heits­for­schen­de zukünf­tig mög­lichst effek­tiv Anbie­ten­de von Web­sei­ten dazu bewe­gen, Män­gel zu erken­nen und zu behe­ben. Das For­schungs­team stellt dazu auch das Werk­zeug „Check Goog­le Ana­ly­tics“ zur Ver­fü­gung, mit dem die kor­rek­te Akti­vie­rung der IP-Anony­mi­sie­rung bei der Ein­bin­dung von Goog­le Ana­ly­tics über­prüft wer­den kann.


Feh­ler­haf­te Daten­schutz­ein­stel­lun­gen auf Webseiten

Fast alle Web­sei­ten und Online­shops ver­wen­den Ana­ly­se­werk­zeu­ge wie Goog­le Ana­ly­tics, um mehr über die Sei­ten­be­su­che­rin­nen und ‑besu­cher und deren Nut­zungs­ver­hal­ten zu erfah­ren. Doch nicht alle die­ser Tools sind daten­schutz­kon­form nach der Daten­schutz­grund­ver­ord­nung (DSGVO) ein­ge­rich­tet. Durch fal­sche Ein­stel­lun­gen kön­nen Web­sei­ten­ver­ant­wort­li­che Gegen­stand von Abmah­nun­gen, Scha­dens­er­satz oder Buß­gel­dern werden.

For­schen­de aus den Fach­be­rei­chen Infor­ma­tik (Pro­fes­sor Mat­thi­as Hollick und Max Maaß, TU Darm­stadt; Pro­fes­sor Domi­nik Herr­mann und Hen­ning Prid­öhl, Uni­ver­si­tät Bam­berg), Psy­cho­lo­gie (Ali­na Stö­ver, TU Darm­stadt) und Rechts­wis­sen­schaf­ten (Dr. Sebas­ti­an Brett­hau­er und Pro­fes­so­rin Indra Spiecker genannt Döh­mann, Goe­the-Uni­ver­si­tät Frank­furt) gin­gen in einer Stu­die der Fra­ge nach, wie Web­sei­ten­be­trei­ben­de über feh­ler­haf­te Daten­schutz­ein­stel­lun­gen die­ser Ana­ly­se­diens­te so infor­miert wer­den kön­nen, dass sie ihre Inter­net-Ange­bo­te mög­lichst effek­tiv zur recht­mä­ßi­gen Ein­stel­lung hin ändern.


Infor­miert wur­den fast 4000 Betrei­be­rin­nen und Betreiber

Inner­halb der inter­dis­zi­pli­nä­ren Stu­die wur­den 3954 Betrei­be­rin­nen und Betrei­ber von ins­ge­samt 4096 deut­schen Web­sei­ten über eine feh­len­de oder feh­ler­haf­te Kon­fi­gu­ra­ti­on der IP-Anony­mi­sie­rung beim popu­lä­ren Ana­ly­se­dienst Goog­le Ana­ly­tics infor­miert. Dies bedeu­te­te einen Ver­stoß gegen Daten­schutz­an­for­de­run­gen. Für das Benach­rich­ti­gungs­ex­pe­ri­ment wur­den ers­tens die For­mu­lie­rung der Nach­richt (Hin­weis mit Infor­ma­ti­on über Fol­gen für Nutzerschutz/​Hinweis mit Infor­ma­ti­on über mög­li­che Rechts­fol­gen), zwei­tens das Kon­takt­me­di­um (E‑Mail oder Brief) und drit­tens der Absen­der (Infor­ma­tik­stu­die­ren­de als Pri­vat­per­son; Infor­ma­tik­lehr­stuhl; daten­schutz­recht­li­cher Lehr­stuhl und For­schungs­in­sti­tut) variiert.

Die Ergeb­nis­se zei­gen, dass die Män­gel am ehes­ten beho­ben wer­den, wenn die Benach­rich­ti­gung einen Hin­weis auf recht­li­che Fol­gen ent­hält. Außer­dem wur­den die Ein­stel­lun­gen bei Infor­ma­ti­on per Brief häu­fi­ger kor­ri­giert als bei Hin­wei­sen per E‑Mail. Die Iden­ti­tät des Absen­ders beein­flusst die Bereit­schaft, Ände­run­gen vor­zu­neh­men, eben­falls: So führ­ten Schrei­ben des daten­schutz­recht­li­chen Lehr­stuhls und For­schungs­in­sti­tuts häu­fi­ger zum Erfolg als Infor­ma­tio­nen von For­schen­den aus der Informatik.


Mehr als die Hälf­te der Benach­rich­tig­ten behob das Problem

Über­ra­schend effek­tiv zeig­te sich die Infor­ma­ti­on durch Pri­vat­per­so­nen mit fach­li­chem Hin­ter­grund (Infor­ma­tik­stu­die­ren­de). Ins­ge­samt wur­de das Pro­blem von mehr als der Hälf­te (56,6 Pro­zent) der Infor­mier­ten als Reak­ti­on auf das Benach­rich­ti­gungs­ex­pe­ri­ment beho­ben, wäh­rend in der unin­for­mier­ten Kon­troll­grup­pe nur 9,2 Pro­zent von sich aus, zum Bei­spiel auf der Basis von Medi­en­be­rich­ten, agierte.

Die Ergeb­nis­se einer anschlie­ßen­den Umfra­ge, die im Rah­men der Stu­die mit den Web­sei­ten­be­trei­ben­den durch­ge­führt wur­de, zeig­te wei­ter­füh­ren­de Erkennt­nis­se zum Wis­sen der Web­sei­ten­ver­ant­wort­li­chen im Hin­blick auf die von ihnen benutz­ten Ana­ly­se­tools. Fast 20 Pro­zent der Teil­neh­men­den waren sich nicht bewusst, das Ana­ly­se­werk­zeug Goog­le Ana­ly­tics auf ihrer Web­sei­te zu ver­wen­den. Zudem gaben 12,7 Pro­zent an, von der wider­recht­li­chen Ein­stel­lung gewusst und sie den­noch nicht beho­ben zu haben. Zusam­men mit der Reak­ti­ons­ra­te sind somit Rück­schlüs­se auf daten­schutz­kon­for­mes Ver­hal­ten und die Effek­ti­vi­tät von Hin­wei­sen auf daten­schutz­wid­ri­ges Ver­hal­ten möglich.


Für alle zugäng­lich: das Werk­zeug “Check Goog­le Analytics”

Basis der Ana­ly­se war das von den Autorin­nen und Autoren ent­wi­ckel­te Werk­zeug „Check Goog­le Ana­ly­tics“: https://checkgoogleanalytics.psi.uni-bamberg.de . Damit kön­nen die Ein­stel­lun­gen der eige­nen Web­sei­te im Hin­blick auf den daten­schutz­kon­for­men Ein­satz der Anony­mi­sie­rungs­funk­ti­on von Goog­le Ana­ly­tics schnell und kos­ten­los geprüft wer­den. Im Rah­men der Unter­su­chun­gen wur­den mit Hil­fe des Tools fast 40.000 Scans von über 14.000 Web­sei­ten durchgeführt.

Die Stu­die „Effec­ti­ve Noti­fi­ca­ti­on Cam­pai­gns on the Web: A Mat­ter of Trust, Framing, and Sup­port” wur­de am 12. August 2021 auf der renom­mier­ten Kon­fe­renz USENIX Secu­ri­ty Sym­po­si­um vor­ge­stellt. Pra­xis-Tipps für die Durch­füh­rung einer sol­chen Benach­rich­ti­gungs­stu­die wer­den wäh­rend des Inter­na­tio­nal Work­shops on Infor­ma­ti­on Secu­ri­ty Metho­do­lo­gy and Repli­ca­ti­on Stu­dies (IWSMR 2021, 17. bis 20. August) vor­ge­stellt. Eine Vor­ab­ver­si­on der Ergeb­nis­se kann auf dem Doku­men­ten­ser­ver arXiv ein­ge­se­hen wer­den: https://arxiv.org/abs/2106.08029

Nach Auf­fas­sung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der vom 12.05.2020 reicht die IP-Anony­mi­sie­rung inzwi­schen nicht mehr aus, um Goog­le Ana­ly­tics rechts­kon­form zu betrei­ben; inzwi­schen wird unter ande­rem eine vor­he­ri­ge Ein­wil­li­gung der Sei­ten­be­su­che­rin­nen und ‑besu­cher gefor­dert. Ob Goog­le Ana­ly­tics in Euro­pa nach dem „Schrems II“-Urteil über­haupt noch betrie­ben wer­den darf, wird der­zeit in meh­re­ren Beschwer­de­ver­fah­ren von den Daten­schutz­auf­sichts­be­hör­den untersucht.

Die For­schungs­ar­beit wur­de von der Deut­schen For­schungs­ge­mein­schaft (DFG) im Rah­men des Gra­du­ier­ten­kol­legs 2050 „Pri­va­cy and Trust for Mobi­le Users“ sowie vom Bun­des­mi­nis­te­ri­um für Bil­dung und For­schung (BMBF) und dem Hes­si­schen Minis­te­ri­um für Wis­sen­schaft und Kunst (HMWK) im Rah­men der gemein­sa­men För­de­rung des Natio­na­len For­schungs­zen­trums für ange­wand­te Cyber­si­cher­heit ATHENE unterstützt.

Die Publi­ka­ti­on ist online zu fin­den unter https://www.usenix.org/conference/usenixsecurity21/presentation/maass