Kommunikation

Wie Behörden effektiver über Datenschutzverstöße informieren

19.08.2021 - Briefpost wirkt besser als E-Mail: Eine wissenschaftliche Studie zeigt, wie Behörden Webseitenbetreibende am wirkungsvollsten über mangelhafte Datenschutz-Konfigurationen etwa bei der Verwendung von Google Analytics informieren können.

von Frauke Schobelt

Demnach ist Briefpost mit rechtlichen Hinweisen effektiver als eine E-Mail zum Datenschutz. Zu diesem Ergebnis kommt ein interdisziplinäres Team mit ForscherInnen aus den Bereichen Informatik, Psychologie und Rechtswissenschaften der Technischen Universität Darmstadt   , der Otto-Friedrich-Universität Bamberg   und der Goethe-Universität Frankfurt   . Die Ergebnisse der Studie 'Effective Notification Campaigns on the Web: A Matter of Trust, Framing, and Support' sollen Behörden und Sicherheitsforschende aufzeigen, wie sie möglichst effektiv Anbietende von Webseiten dazu bewegen, Mängel zu erkennen und zu beheben.

So verwenden fast alle Webseiten und Onlineshops Analysewerkzeuge wie Google Analytics, um mehr über die SeitenbesucherInnen und deren Nutzungsverhalten zu erfahren. Doch nicht alle dieser Tools sind datenschutzkonform nach der Datenschutzgrundverordnung (DSGVO) eingerichtet. Durch falsche Einstellungen riskieren Webseitenverantwortliche daher Abmahnungen, Schadensersatz oder Bußgelder.

Denn nach Auffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12.05.2020 reicht die IP-Anonymisierung inzwischen nicht mehr aus, um Google Analytics rechtskonform zu betreiben; inzwischen wird unter anderem eine vorherige Einwilligung der SeitenbesucherInnen gefordert. Ob Google Analytics in Europa nach dem "Schrems II"-Urteil überhaupt noch betrieben werden darf, wird derzeit in mehreren Beschwerdeverfahren von den Datenschutzaufsichtsbehörden untersucht.

Kostenloses Tool checkt Website

Das Forschungsteam stellt deshalb das Werkzeug 'Check Google Analytics'   zur Verfügung, mit dem die Einstellungen der eigenen Webseite im Hinblick auf den datenschutzkonformen Einsatz der Anonymisierungsfunktion von Google Analytics kostenlos geprüft werden können. Im Rahmen der Untersuchungen wurden mit Hilfe des Tools fast 40.000 Scans von über 14.000 Webseiten durchgeführt. Anschließend wollten die StudienautorInnen herausfinden, wie Webseitenbetreibende über fehlerhafte Datenschutzeinstellungen dieser Analysedienste so informiert werden können, dass sie ihre Internet-Angebote rechtskonform anpassen.

Für das Benachrichtigungsexperiment wurden 3954 BetreiberInnen von insgesamt 4096 deutschen Webseiten über eine fehlende oder fehlerhafte Konfiguration der IP-Anonymisierung beim populären Analysedienst Google Analytics und dem Verstoß gegen Datenschutzanforderungen informiert. Für die Auswertung wurden
  • erstens die Formulierung der Nachricht (Hinweis/Hinweis mit Information über Folgen für Nutzerschutz/Hinweis mit Information über mögliche Rechtsfolgen)
  • zweitens das Kontaktmedium (E-Mail oder Brief)
  • und drittens der Absender variiert (Informatikstudierende als Privatperson; Informatiklehrstuhl; datenschutzrechtlicher Lehrstuhl und Forschungsinstitut).

Die Ergebnisse und Handlungsempfehlungen

  • Die Mängel werden am ehesten behoben, wenn die Benachrichtigung einen Hinweis auf rechtliche Folgen enthält.
  • Außerdem wurden die Einstellungen bei Information per Brief häufiger korrigiert als bei Hinweisen per E-Mail.
  • Die Identität des Absenders beeinflusst die Bereitschaft, Änderungen vorzunehmen, ebenfalls: So führten Schreiben des datenschutzrechtlichen Lehrstuhls und Forschungsinstituts häufiger zum Erfolg als Informationen von Forschenden aus der Informatik.
  • Überraschend effektiv zeigte sich die Information durch Privatpersonen mit fachlichem Hintergrund (Informatikstudierende).
  • Insgesamt wurde das Problem von mehr als der Hälfte (56,6 Prozent) der Informierten als Reaktion auf das Benachrichtigungsexperiment behoben, während in der uninformierten Kontrollgruppe nur 9,2 Prozent von sich aus, z.B. auf der Basis von Medienberichten, agierte.

Die Studienautoren befragten die Webseitenverantwortlichen außerdem zu ihrem Wissen über die von ihnen benutzten Analysetools. Fast 20 Prozent der Teilnehmenden waren sich nicht bewusst, das Analysewerkzeug Google Analytics auf ihrer Webseite zu verwenden. Zudem gaben 12,7 Prozent an, von der widerrechtlichen Einstellung gewusst und sie dennoch nicht behoben zu haben.

Die Forschungsarbeit wurde von der Deutschen Forschungsgemeinschaft (DFG)   im Rahmen des Graduiertenkollegs 2050 'Privacy and Trust for Mobile Users' sowie vom Bundesministerium für Bildung und Forschung (BMBF)   und dem Hessischen Ministerium für Wissenschaft und Kunst (HMWK)   im Rahmen der gemeinsamen Förderung des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE   unterstützt.

Ihr Guide im New Marketing Management - ab 6,23 im Monat!

Hat Ihnen diese Beitrag weiter geholfen? Dann holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Sie erhalten Zugang zu allen Premium-Leistungen von ONEtoONE, zum Archiv und sechs mal im Jahr schicken wir Ihnen die aktuelle Ausgabe.

Mehr zum Thema:
Diskussion:

Vorträge zum Thema:

  • Bild: Christian Bennefeld
    Christian Bennefeld (Initiative datenschutz-zwecklos.de)

    Klarheit in der KI-Kakophonie: Orientierung für die Zukunft

    In seiner Key Note gibt Christian einen Überblick über den aktuellen Stand der KI-Entwicklung und bietet Orientierung in der Kakophonie aus Algorithmen und Innovationen. Wo stehen wir heute tatsächlich? Was können wir in der Zukunft erwarten?
    Christian ordnet die zentralen Entwicklungen ein und zeigt, welche Trends 2025 wichtig werden. Sind es autonome Agenten, Open-source Modelle oder General Purpose AI-Systeme, die bald unsere Arbeit bestimmen? Was passiert mit der KI-Regulierung und dem Datenschutz? Und worauf müssen wir achten, um auch zukünftig auf der Gewinnerseite zu stehen?

    Der kurzweilige Vortrag gibt überraschende Antworten und lädt zum Nachdenken wie Mitdiskutieren ein.

    Vortrag im Rahmen der Zukunftskonferenz 25. am 03.12.24, 09:30 Uhr

www.hightext.de

HighText Verlag

Mischenrieder Weg 18
82234 Weßling

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.neuhandeln.de