Wie Beh�rden effektiver �ber Datenschutzverst��e informieren

Bild: Sinequa

19.08.2021 - Briefpost wirkt besser als E-Mail: Eine wissenschaftliche Studie zeigt, wie Beh�rden Webseitenbetreibende am wirkungsvollsten �ber mangelhafte Datenschutz-Konfigurationen etwa bei der Verwendung von Google Analytics informieren k�nnen.

von Frauke Schobelt

Demnach ist Briefpost mit rechtlichen Hinweisen effektiver als eine E-Mail zum Datenschutz. Zu diesem Ergebnis kommt ein interdisziplin�res Team mit ForscherInnen aus den Bereichen Informatik, Psychologie und Rechtswissenschaften der Technischen Universit�t Darmstadt , der Otto-Friedrich-Universit�t Bamberg und der Goethe-Universit�t Frankfurt . Die Ergebnisse der Studie 'Effective Notification Campaigns on the Web: A Matter of Trust, Framing, and Support' sollen Beh�rden und Sicherheitsforschende aufzeigen, wie sie m�glichst effektiv Anbietende von Webseiten dazu bewegen, M�ngel zu erkennen und zu beheben.

So verwenden fast alle Webseiten und Onlineshops Analysewerkzeuge wie Google Analytics, um mehr �ber die SeitenbesucherInnen und deren Nutzungsverhalten zu erfahren. Doch nicht alle dieser Tools sind datenschutzkonform nach der Datenschutzgrundverordnung (DSGVO) eingerichtet. Durch falsche Einstellungen riskieren Webseitenverantwortliche daher Abmahnungen, Schadensersatz oder Bu�gelder.

Denn nach Auffassung der Konferenz der unabh�ngigen Datenschutzaufsichtsbeh�rden des Bundes und der L�nder vom 12.05.2020 reicht die IP-Anonymisierung inzwischen nicht mehr aus, um Google Analytics rechtskonform zu betreiben; inzwischen wird unter anderem eine vorherige Einwilligung der SeitenbesucherInnen gefordert. Ob Google Analytics in Europa nach dem "Schrems II"-Urteil �berhaupt noch betrieben werden darf, wird derzeit in mehreren Beschwerdeverfahren von den Datenschutzaufsichtsbeh�rden untersucht.

Kostenloses Tool checkt Website

Das Forschungsteam stellt deshalb das Werkzeug 'Check Google Analytics' zur Verf�gung, mit dem die Einstellungen der eigenen Webseite im Hinblick auf den datenschutzkonformen Einsatz der Anonymisierungsfunktion von Google Analytics kostenlos gepr�ft werden k�nnen. Im Rahmen der Untersuchungen wurden mit Hilfe des Tools fast 40.000 Scans von �ber 14.000 Webseiten durchgef�hrt. Anschlie�end wollten die StudienautorInnen herausfinden, wie Webseitenbetreibende �ber fehlerhafte Datenschutzeinstellungen dieser Analysedienste so informiert werden k�nnen, dass sie ihre Internet-Angebote rechtskonform anpassen.

F�r das Benachrichtigungsexperiment wurden 3954 BetreiberInnen von insgesamt 4096 deutschen Webseiten �ber eine fehlende oder fehlerhafte Konfiguration der IP-Anonymisierung beim popul�ren Analysedienst Google Analytics und dem Versto� gegen Datenschutzanforderungen informiert. F�r die Auswertung wurden

erstens die Formulierung der Nachricht (Hinweis/Hinweis mit Information �ber Folgen f�r Nutzerschutz/Hinweis mit Information �ber m�gliche Rechtsfolgen)
zweitens das Kontaktmedium (E-Mail oder Brief)
und drittens der Absender variiert (Informatikstudierende als Privatperson; Informatiklehrstuhl; datenschutzrechtlicher Lehrstuhl und Forschungsinstitut).

Die Ergebnisse und Handlungsempfehlungen

Die M�ngel werden am ehesten behoben, wenn die Benachrichtigung einen Hinweis auf rechtliche Folgen enth�lt.
Au�erdem wurden die Einstellungen bei Information per Brief h�ufiger korrigiert als bei Hinweisen per E-Mail.
Die Identit�t des Absenders beeinflusst die Bereitschaft, �nderungen vorzunehmen, ebenfalls: So f�hrten Schreiben des datenschutzrechtlichen Lehrstuhls und Forschungsinstituts h�ufiger zum Erfolg als Informationen von Forschenden aus der Informatik.
�berraschend effektiv zeigte sich die Information durch Privatpersonen mit fachlichem Hintergrund (Informatikstudierende).
Insgesamt wurde das Problem von mehr als der H�lfte (56,6 Prozent) der Informierten als Reaktion auf das Benachrichtigungsexperiment behoben, w�hrend in der uninformierten Kontrollgruppe nur 9,2 Prozent von sich aus, z.B. auf der Basis von Medienberichten, agierte.

Die Studienautoren befragten die Webseitenverantwortlichen au�erdem zu ihrem Wissen �ber die von ihnen benutzten Analysetools. Fast 20 Prozent der Teilnehmenden waren sich nicht bewusst, das Analysewerkzeug Google Analytics auf ihrer Webseite zu verwenden. Zudem gaben 12,7 Prozent an, von der widerrechtlichen Einstellung gewusst und sie dennoch nicht behoben zu haben.

Die Forschungsarbeit wurde von der Deutschen Forschungsgemeinschaft (DFG) im Rahmen des Graduiertenkollegs 2050 'Privacy and Trust for Mobile Users' sowie vom Bundesministerium f�r Bildung und Forschung (BMBF) und dem Hessischen Ministerium f�r Wissenschaft und Kunst (HMWK) im Rahmen der gemeinsamen F�rderung des Nationalen Forschungszentrums f�r angewandte Cybersicherheit ATHENE unterst�tzt.

Diskussion:

Kommentar hinzuf�gen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vortr�ge zum Thema:

Bild: Markus B�ckle

Markus B�ckle (econda GmbH)

Die Herausforderungen im Datenschutz 2023 bew�ltigen

Datenschutzkonforme Personalisierungs- und Analyticsl�sungen werden f�r die Zukunft immer wichtiger. Wir zeigen Dir, welche M�glichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

Diese Herausforderungen gibt es 2023 durch den Datenschutz:
- Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten k�nnen.
- Wie Du das Kostenargument bew�ltigst
- Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
- Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken
Vortrag im Rahmen der Zukunftskonferenz 2023. Trends f�r ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr

Optimizely GmbH

Optimizely unterst�tzt Unternehmen und Organisationen dabei, ihr digitales Potenzial auszusch�pfen. Mit der Digital-Experience-Plattform (DXP) setzt der f�hrende E-Commerce-Spezialist neue Ma�st�be in der Entwicklung hyper-personalisierter und dateng…