Uni­ver­si­tät Bam­berg: For­schen­de ent­lar­ven man­gel­haf­te Daten­schutz-Ein­stel­lun­gen auf ein paar tau­send Webseiten

logo uni bamberg

Wirk­sa­me Sicher­heits­be­nach­rich­ti­gun­gen für Webseitenbetreibende

Stu­die zeigt: Brief­post mit recht­li­chen Hin­wei­sen ist effek­ti­ver als E‑Mail zu Datenschutz.

Eine inter­dis­zi­pli­nä­re Stu­die von For­schen­den der Tech­ni­schen Uni­ver­si­tät Darm­stadt, der Otto-Fried­rich-Uni­ver­si­tät Bam­berg und der Goe­the-Uni­ver­si­tät Frank­furt zeigt, wie Web­sei­ten­be­trei­ben­de am wir­kungs­voll­sten über man­gel­haf­te Daten­schutz-Kon­fi­gu­ra­tio­nen infor­miert wer­den kön­nen. So kön­nen Behör­den und Sicher­heits­for­schen­de zukünf­tig mög­lichst effek­tiv Anbie­ten­de von Web­sei­ten dazu bewe­gen, Män­gel zu erken­nen und zu behe­ben. Das For­schungs­team stellt dazu auch das Werk­zeug „Check Goog­le Ana­ly­tics“ zur Ver­fü­gung, mit dem die kor­rek­te Akti­vie­rung der IP-Anony­mi­sie­rung bei der Ein­bin­dung von Goog­le Ana­ly­tics über­prüft wer­den kann.

Feh­ler­haf­te Daten­schutz­ein­stel­lun­gen auf Webseiten

Fast alle Web­sei­ten und Online­shops ver­wen­den Ana­ly­se­werk­zeu­ge wie Goog­le Ana­ly­tics, um mehr über die Sei­ten­be­su­che­rin­nen und ‑besu­cher und deren Nut­zungs­ver­hal­ten zu erfah­ren. Doch nicht alle die­ser Tools sind daten­schutz­kon­form nach der Daten­schutz­grund­ver­ord­nung (DSGVO) ein­ge­rich­tet. Durch fal­sche Ein­stel­lun­gen kön­nen Web­sei­ten­ver­ant­wort­li­che Gegen­stand von Abmah­nun­gen, Scha­dens­er­satz oder Buß­gel­dern werden.

For­schen­de aus den Fach­be­rei­chen Infor­ma­tik (Pro­fes­sor Mat­thi­as Hollick und Max Maaß, TU Darm­stadt; Pro­fes­sor Domi­nik Herr­mann und Hen­ning Prid­öhl, Uni­ver­si­tät Bam­berg), Psy­cho­lo­gie (Ali­na Stö­ver, TU Darm­stadt) und Rechts­wis­sen­schaf­ten (Dr. Seba­sti­an Brett­hau­er und Pro­fes­so­rin Indra Spiecker genannt Döh­mann, Goe­the-Uni­ver­si­tät Frank­furt) gin­gen in einer Stu­die der Fra­ge nach, wie Web­sei­ten­be­trei­ben­de über feh­ler­haf­te Daten­schutz­ein­stel­lun­gen die­ser Ana­ly­se­dien­ste so infor­miert wer­den kön­nen, dass sie ihre Inter­net-Ange­bo­te mög­lichst effek­tiv zur recht­mä­ßi­gen Ein­stel­lung hin ändern.

Infor­miert wur­den fast 4000 Betrei­be­rin­nen und Betreiber

Inner­halb der inter­dis­zi­pli­nä­ren Stu­die wur­den 3954 Betrei­be­rin­nen und Betrei­ber von ins­ge­samt 4096 deut­schen Web­sei­ten über eine feh­len­de oder feh­ler­haf­te Kon­fi­gu­ra­ti­on der IP-Anony­mi­sie­rung beim popu­lä­ren Ana­ly­se­dienst Goog­le Ana­ly­tics infor­miert. Dies bedeu­te­te einen Ver­stoß gegen Daten­schutz­an­for­de­run­gen. Für das Benach­rich­ti­gungs­ex­pe­ri­ment wur­den erstens die For­mu­lie­rung der Nach­richt (Hin­weis mit Infor­ma­ti­on über Fol­gen für Nutzerschutz/​Hinweis mit Infor­ma­ti­on über mög­li­che Rechts­fol­gen), zwei­tens das Kon­takt­me­di­um (E‑Mail oder Brief) und drit­tens der Absen­der (Infor­ma­tik­stu­die­ren­de als Pri­vat­per­son; Infor­ma­tik­lehr­stuhl; daten­schutz­recht­li­cher Lehr­stuhl und For­schungs­in­sti­tut) variiert.

Die Ergeb­nis­se zei­gen, dass die Män­gel am ehe­sten beho­ben wer­den, wenn die Benach­rich­ti­gung einen Hin­weis auf recht­li­che Fol­gen ent­hält. Außer­dem wur­den die Ein­stel­lun­gen bei Infor­ma­ti­on per Brief häu­fi­ger kor­ri­giert als bei Hin­wei­sen per E‑Mail. Die Iden­ti­tät des Absen­ders beein­flusst die Bereit­schaft, Ände­run­gen vor­zu­neh­men, eben­falls: So führ­ten Schrei­ben des daten­schutz­recht­li­chen Lehr­stuhls und For­schungs­in­sti­tuts häu­fi­ger zum Erfolg als Infor­ma­tio­nen von For­schen­den aus der Informatik.

Mehr als die Hälf­te der Benach­rich­tig­ten behob das Problem

Über­ra­schend effek­tiv zeig­te sich die Infor­ma­ti­on durch Pri­vat­per­so­nen mit fach­li­chem Hin­ter­grund (Infor­ma­tik­stu­die­ren­de). Ins­ge­samt wur­de das Pro­blem von mehr als der Hälf­te (56,6 Pro­zent) der Infor­mier­ten als Reak­ti­on auf das Benach­rich­ti­gungs­ex­pe­ri­ment beho­ben, wäh­rend in der unin­for­mier­ten Kon­troll­grup­pe nur 9,2 Pro­zent von sich aus, zum Bei­spiel auf der Basis von Medi­en­be­rich­ten, agierte.

Die Ergeb­nis­se einer anschlie­ßen­den Umfra­ge, die im Rah­men der Stu­die mit den Web­sei­ten­be­trei­ben­den durch­ge­führt wur­de, zeig­te wei­ter­füh­ren­de Erkennt­nis­se zum Wis­sen der Web­sei­ten­ver­ant­wort­li­chen im Hin­blick auf die von ihnen benutz­ten Ana­ly­se­tools. Fast 20 Pro­zent der Teil­neh­men­den waren sich nicht bewusst, das Ana­ly­se­werk­zeug Goog­le Ana­ly­tics auf ihrer Web­sei­te zu ver­wen­den. Zudem gaben 12,7 Pro­zent an, von der wider­recht­li­chen Ein­stel­lung gewusst und sie den­noch nicht beho­ben zu haben. Zusam­men mit der Reak­ti­ons­ra­te sind somit Rück­schlüs­se auf daten­schutz­kon­for­mes Ver­hal­ten und die Effek­ti­vi­tät von Hin­wei­sen auf daten­schutz­wid­ri­ges Ver­hal­ten möglich.

Für alle zugäng­lich: das Werk­zeug „Check Goog­le Analytics“

Basis der Ana­ly­se war das von den Autorin­nen und Autoren ent­wickel­te Werk­zeug „Check Goog­le Ana­ly­tics“: https://​check​goo​g​le​ana​ly​tics​.psi​.uni​-bam​berg​.de. Damit kön­nen die Ein­stel­lun­gen der eige­nen Web­sei­te im Hin­blick auf den daten­schutz­kon­for­men Ein­satz der Anony­mi­sie­rungs­funk­ti­on von Goog­le Ana­ly­tics schnell und kosten­los geprüft wer­den. Im Rah­men der Unter­su­chun­gen wur­den mit Hil­fe des Tools fast 40.000 Scans von über 14.000 Web­sei­ten durchgeführt.

Die Stu­die „Effec­ti­ve Noti­fi­ca­ti­on Cam­pai­gns on the Web: A Mat­ter of Trust, Framing, and Sup­port” wur­de am 12. August 2021 auf der renom­mier­ten Kon­fe­renz USE­NIX Secu­ri­ty Sym­po­si­um vor­ge­stellt. Pra­xis-Tipps für die Durch­füh­rung einer sol­chen Benach­rich­ti­gungs­stu­die wer­den wäh­rend des Inter­na­tio­nal Work­shops on Infor­ma­ti­on Secu­ri­ty Metho­do­lo­gy and Repli­ca­ti­on Stu­dies (IWSMR 2021, 17. bis 20. August) vor­ge­stellt. Eine Vor­ab­ver­si­on der Ergeb­nis­se kann auf dem Doku­men­ten­ser­ver arXiv ein­ge­se­hen wer­den: https://​arxiv​.org/​a​b​s​/​2​1​0​6​.​0​8​029

Nach Auf­fas­sung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der vom 12.05.2020 reicht die IP-Anony­mi­sie­rung inzwi­schen nicht mehr aus, um Goog­le Ana­ly­tics rechts­kon­form zu betrei­ben; inzwi­schen wird unter ande­rem eine vor­he­ri­ge Ein­wil­li­gung der Sei­ten­be­su­che­rin­nen und ‑besu­cher gefor­dert. Ob Goog­le Ana­ly­tics in Euro­pa nach dem „Schrems II“-Urteil über­haupt noch betrie­ben wer­den darf, wird der­zeit in meh­re­ren Beschwer­de­ver­fah­ren von den Daten­schutz­auf­sichts­be­hör­den untersucht.

Die For­schungs­ar­beit wur­de von der Deut­schen For­schungs­ge­mein­schaft (DFG) im Rah­men des Gra­du­ier­ten­kol­legs 2050 „Pri­va­cy and Trust for Mobi­le Users“ sowie vom Bun­des­mi­ni­ste­ri­um für Bil­dung und For­schung (BMBF) und dem Hes­si­schen Mini­ste­ri­um für Wis­sen­schaft und Kunst (HMWK) im Rah­men der gemein­sa­men För­de­rung des Natio­na­len For­schungs­zen­trums für ange­wand­te Cyber­si­cher­heit ATHE­NE unterstützt.

Die Publi­ka­ti­on fin­den Sie online unter: https://​www​.use​nix​.org/​c​o​n​f​e​r​e​n​c​e​/​u​s​e​n​i​x​s​e​c​u​r​i​t​y​2​1​/​p​r​e​s​e​n​t​a​t​i​o​n​/​m​a​ass

1 Antwort

  1. Dr. Klaus Meffert sagt:

    Das Haupt­ziel der Stu­die ist zu begrüßen.

    Aller­dings reicht eine vor­geb­li­che IP-Anony­mi­sie­rung bei Goog­le Ana­ly­tics bei wei­tem nicht aus, um die­sen Tracking-Dienst rechts­kon­form betrei­ben zu kön­nen. Mit Coo­kies ist eine Ein­wil­li­gung erfor­der­lich, aber auch ohne Coo­kies (aus meh­re­ren ande­ren Grün­den). Die Auf­fas­sung der DSK zu zitie­ren ist über­holt, weil es kei­ner Mei­nung mehr bedarf, son­dern die Fak­ten für sich sprechen.

    Dies wur­de lei­der nicht berück­sich­tigt. Zudem ist die IP-Anony­mi­sie­rung bei GA seit län­ge­rem Teil der Standardkonfiguration.