Die Forschenden verschickten im Experiment mehr als 2500 Briefe an Betreiberinnen und Betreiber von Webseiten.Dominik Herrmann/Universit?t Bamberg

Die Forschenden verschickten im Experiment mehr als 2500 Briefe an Betreiberinnen und Betreiber von Webseiten.

Wirksame Sicherheitsbenachrichtigungen für Webseitenbetreibende

Studie zeigt: Briefpost mit rechtlichen Hinweisen ist effektiver als E-Mail zu Datenschutz.

Eine interdisziplin?re Studie von Forschenden der Technischen Universit?t Darmstadt, der Otto-Friedrich-Universit?t Bamberg und der Goethe-Universit?t Frankfurt zeigt, wie Webseitenbetreibende am wirkungsvollsten über mangelhafte Datenschutz-Konfigurationen informiert werden k?nnen. So k?nnen Beh?rden und Sicherheitsforschende zukünftig m?glichst effektiv Anbietende von Webseiten dazu bewegen, M?ngel zu erkennen und zu beheben. Das Forschungsteam stellt dazu auch das Werkzeug ?Check Google Analytics“ zur Verfügung, mit dem die korrekte Aktivierung der IP-Anonymisierung bei der Einbindung von Google Analytics überprüft werden kann.

Fehlerhafte Datenschutzeinstellungen auf Webseiten

Fast alle Webseiten und Onlineshops verwenden Analysewerkzeuge wie Google Analytics, um mehr über die Seitenbesucherinnen und -besucher und deren Nutzungsverhalten zu erfahren. Doch nicht alle dieser Tools sind datenschutzkonform nach der Datenschutzgrundverordnung (DSGVO) eingerichtet. Durch falsche Einstellungen k?nnen Webseitenverantwortliche Gegenstand von Abmahnungen, Schadensersatz oder Bu?geldern werden.

Forschende aus den Fachbereichen Informatik (Professor Matthias Hollick und Max Maa?, TU Darmstadt; Professor Dominik Herrmann und Henning Prid?hl, Universit?t Bamberg), 188bet亚洲体育备用_188体育平台-投注*官网 (Alina St?ver, TU Darmstadt) und Rechtswissenschaften (Dr. Sebastian Bretthauer und Professorin Indra Spiecker genannt D?hmann, Goethe-Universit?t Frankfurt) gingen in einer Studie der Frage nach, wie Webseitenbetreibende über fehlerhafte Datenschutzeinstellungen dieser Analysedienste so informiert werden k?nnen, dass sie ihre Internet-Angebote m?glichst effektiv zur rechtm??igen Einstellung hin ?ndern.

Informiert wurden fast 4000 Betreiberinnen und Betreiber

Innerhalb der interdisziplin?ren Studie wurden 3954 Betreiberinnen und Betreiber von insgesamt 4096 deutschen Webseiten über eine fehlende oder fehlerhafte Konfiguration der IP-Anonymisierung beim popul?ren Analysedienst Google Analytics informiert. Dies bedeutete einen Versto? gegen Datenschutzanforderungen. Für das Benachrichtigungsexperiment wurden erstens die Formulierung der Nachricht (Hinweis mit Information über Folgen für Nutzerschutz/Hinweis mit Information über m?gliche Rechtsfolgen), zweitens das 188bet亚洲体育备用_188体育平台-投注*官网medium (E-Mail oder Brief) und drittens der Absender (Informatikstudierende als Privatperson; Informatiklehrstuhl; datenschutzrechtlicher Lehrstuhl und Forschungsinstitut) variiert.

Die Ergebnisse zeigen, dass die M?ngel am ehesten behoben werden, wenn die Benachrichtigung einen Hinweis auf rechtliche Folgen enth?lt. Au?erdem wurden die Einstellungen bei Information per Brief h?ufiger korrigiert als bei Hinweisen per E-Mail. Die Identit?t des Absenders beeinflusst die Bereitschaft, ?nderungen vorzunehmen, ebenfalls: So führten Schreiben des datenschutzrechtlichen Lehrstuhls und Forschungsinstituts h?ufiger zum Erfolg als Informationen von Forschenden aus der Informatik.

Mehr als die H?lfte der Benachrichtigten behob das Problem

?berraschend effektiv zeigte sich die Information durch Privatpersonen mit fachlichem Hintergrund (Informatikstudierende). Insgesamt wurde das Problem von mehr als der H?lfte (56,6 Prozent) der Informierten als Reaktion auf das Benachrichtigungsexperiment behoben, w?hrend in der uninformierten Kontrollgruppe nur 9,2 Prozent von sich aus, zum Beispiel auf der Basis von Medienberichten, agierte.

Die Ergebnisse einer anschlie?enden Umfrage, die im Rahmen der Studie mit den Webseitenbetreibenden durchgeführt wurde, zeigte weiterführende Erkenntnisse zum Wissen der Webseitenverantwortlichen im Hinblick auf die von ihnen benutzten Analysetools. Fast 20 Prozent der Teilnehmenden waren sich nicht bewusst, das Analysewerkzeug Google Analytics auf ihrer Webseite zu verwenden. Zudem gaben 12,7 Prozent an, von der widerrechtlichen Einstellung gewusst und sie dennoch nicht behoben zu haben. Zusammen mit der Reaktionsrate sind somit Rückschlüsse auf datenschutzkonformes Verhalten und die Effektivit?t von Hinweisen auf datenschutzwidriges Verhalten m?glich.

Für alle zug?nglich: das Werkzeug "Check Google Analytics"

Basis der Analyse war das von den Autorinnen und Autoren entwickelte Werkzeug ?Check Google Analytics“. Damit k?nnen die Einstellungen der eigenen Webseite im Hinblick auf den datenschutzkonformen Einsatz der Anonymisierungsfunktion von Google Analytics schnell und kostenlos geprüft werden. Im Rahmen der Untersuchungen wurden mit Hilfe des Tools fast 40.000 Scans von über 14.000 Webseiten durchgeführt.

Die Studie ?Effective Notification Campaigns on the Web: A Matter of Trust, Framing, and Support” wurde am 12. August 2021 auf der renommierten Konferenz USENIX Security Symposium vorgestellt. Praxis-Tipps für die Durchführung einer solchen Benachrichtigungsstudie werden w?hrend des International Workshops on Information Security Methodology and Replication Studies (IWSMR 2021, 17. bis 20. August) vorgestellt. Eine Vorabversion der Ergebnisse kann auf dem Dokumentenserver arXiv eingesehen werden.

Nach Auffassung der Konferenz der unabh?ngigen Datenschutzaufsichtsbeh?rden des Bundes und der L?nder vom 12.05.2020 reicht die IP-Anonymisierung inzwischen nicht mehr aus, um Google Analytics rechtskonform zu betreiben; inzwischen wird unter anderem eine vorherige Einwilligung der Seitenbesucherinnen und -besucher gefordert. Ob Google Analytics in Europa nach dem ?Schrems II“-Urteil überhaupt noch betrieben werden darf, wird derzeit in mehreren Beschwerdeverfahren von den Datenschutzaufsichtsbeh?rden untersucht.

Die Forschungsarbeit wurde von der Deutschen Forschungsgemeinschaft (DFG) im Rahmen des Graduiertenkollegs 2050 ?Privacy and Trust for Mobile Users“ sowie vom Bundesministerium für Bildung und Forschung (BMBF) und dem Hessischen Ministerium für Wissenschaft und Kunst (HMWK) im Rahmen der gemeinsamen F?rderung des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE unterstützt.

Bild: Die Forschenden verschickten im Experiment mehr als 2500 Briefe an Betreiberinnen und Betreiber von Webseiten. (697.4 KB)
Quelle: Dominik Herrmann/Universit?t Bamberg

Weitere Informationen für Medienvertreterinnen und Medienvertreter:

188bet亚洲体育备用_188体育平台-投注*官网 für inhaltliche Rückfragen:

Prof. Dr. Dominik Herrmann, Otto-Friedrich Universit?t Bamberg
E-Mail: dominik.herrmann(at)uni-bamberg.de

Max Maa?, Technische Universit?t Darmstadt
E-Mail: mmaass(at)seemoo.tu-darmstadt.de

Dr. Sebastian Bretthauer, Forschungsstelle Datenschutz, Goethe-Universit?t Frankfurt a.M.
E-Mail: bretthauer(at)jur.uni-frankfurt.de

Hinweis: Derzeit sind die Ansprechpartner ausschlie?lich per Mail erreichbar. Sie melden sich aber gerne zeitnah bei Ihnen!

Medienkontakt:
Patricia Achter
Projektstelle Forschungskommunikation
Tel.: 0951/863-1146
forschungskommunikation(at)uni-bamberg.de