Demnach ist Briefpost mit rechtlichen Hinweisen effektiver als eine E-Mail zum Datenschutz. Zu diesem Ergebnis kommt ein interdisziplinäres Team mit ForscherInnen aus den Bereichen Informatik, Psychologie und Rechtswissenschaften der Technischen Universität Darmstadt
, der Otto-Friedrich-Universität Bamberg
und der Goethe-Universität Frankfurt
. Die Ergebnisse der Studie 'Effective Notification Campaigns on the Web: A Matter of Trust, Framing, and Support' sollen Behörden und Sicherheitsforschende aufzeigen, wie sie möglichst effektiv Anbietende von Webseiten dazu bewegen, Mängel zu erkennen und zu beheben.
So verwenden fast alle Webseiten und Onlineshops Analysewerkzeuge wie Google Analytics, um mehr über die SeitenbesucherInnen und deren Nutzungsverhalten zu erfahren. Doch nicht alle dieser Tools sind datenschutzkonform nach der Datenschutzgrundverordnung (DSGVO) eingerichtet. Durch falsche Einstellungen riskieren Webseitenverantwortliche daher Abmahnungen, Schadensersatz oder Bußgelder.
Denn nach Auffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12.05.2020 reicht die IP-Anonymisierung inzwischen nicht mehr aus, um Google Analytics rechtskonform zu betreiben; inzwischen wird unter anderem eine vorherige Einwilligung der SeitenbesucherInnen gefordert. Ob Google Analytics in Europa nach dem "Schrems II"-Urteil überhaupt noch betrieben werden darf, wird derzeit in mehreren Beschwerdeverfahren von den Datenschutzaufsichtsbehörden untersucht.
Kostenloses Tool checkt Website
Das Forschungsteam stellt deshalb das Werkzeug
'Check Google Analytics'
zur Verfügung, mit dem die Einstellungen der eigenen Webseite im Hinblick auf den datenschutzkonformen Einsatz der Anonymisierungsfunktion von Google Analytics kostenlos geprüft werden können. Im Rahmen der Untersuchungen wurden mit Hilfe des Tools fast 40.000 Scans von über 14.000 Webseiten durchgeführt. Anschließend wollten die StudienautorInnen herausfinden, wie Webseitenbetreibende über fehlerhafte Datenschutzeinstellungen dieser Analysedienste so informiert werden können, dass sie ihre Internet-Angebote rechtskonform anpassen.
Für das Benachrichtigungsexperiment wurden 3954 BetreiberInnen von insgesamt 4096 deutschen Webseiten über eine fehlende oder fehlerhafte Konfiguration der IP-Anonymisierung beim populären Analysedienst Google Analytics und dem Verstoß gegen Datenschutzanforderungen informiert. Für die Auswertung wurden
- erstens die Formulierung der Nachricht (Hinweis/Hinweis mit Information über Folgen für Nutzerschutz/Hinweis mit Information über mögliche Rechtsfolgen)
- zweitens das Kontaktmedium (E-Mail oder Brief)
- und drittens der Absender variiert (Informatikstudierende als Privatperson; Informatiklehrstuhl; datenschutzrechtlicher Lehrstuhl und Forschungsinstitut).
Die Ergebnisse und Handlungsempfehlungen
- Die Mängel werden am ehesten behoben, wenn die Benachrichtigung einen Hinweis auf rechtliche Folgen enthält.
- Außerdem wurden die Einstellungen bei Information per Brief häufiger korrigiert als bei Hinweisen per E-Mail.
- Die Identität des Absenders beeinflusst die Bereitschaft, Änderungen vorzunehmen, ebenfalls: So führten Schreiben des datenschutzrechtlichen Lehrstuhls und Forschungsinstituts häufiger zum Erfolg als Informationen von Forschenden aus der Informatik.
- Überraschend effektiv zeigte sich die Information durch Privatpersonen mit fachlichem Hintergrund (Informatikstudierende).
- Insgesamt wurde das Problem von mehr als der Hälfte (56,6 Prozent) der Informierten als Reaktion auf das Benachrichtigungsexperiment behoben, während in der uninformierten Kontrollgruppe nur 9,2 Prozent von sich aus, z.B. auf der Basis von Medienberichten, agierte.
Die Studienautoren befragten die Webseitenverantwortlichen außerdem zu ihrem Wissen über die von ihnen benutzten Analysetools. Fast 20 Prozent der Teilnehmenden waren sich nicht bewusst, das Analysewerkzeug Google Analytics auf ihrer Webseite zu verwenden. Zudem gaben 12,7 Prozent an, von der widerrechtlichen Einstellung gewusst und sie dennoch nicht behoben zu haben.
Die Forschungsarbeit wurde von der
Deutschen Forschungsgemeinschaft (DFG)
im Rahmen des Graduiertenkollegs 2050 'Privacy and Trust for Mobile Users' sowie vom
Bundesministerium für Bildung und Forschung (BMBF)
und dem
Hessischen Ministerium für Wissenschaft und Kunst (HMWK)
im Rahmen der gemeinsamen Förderung des
Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE
unterstützt.