News
Effective security notifications for website operators
Study shows: Letter post with legal notices is more effective than e-mail on data protection
An interdisciplinary study by researchers from TU Darmstadt, Otto Friedrich University Bamberg and Goethe University Frankfurt shows how website operators can be most effectively informed about inadequate data protection configurations. In this way, authorities and security researchers will be able to persuade website providers to recognise and correct deficiencies as effectively as possible in the future. The research team also provides the tool "Check Google Analytics", which can be used to check the correct activation of IP anonymisation when integrating Google Analytics.
The study was supported by the German Research Foundation (DFG) as part of the Research Training Group 2050 "Privacy and Trust for Mobile Users" and by the Federal Ministry of Education and Research (BMBF) and the Hessian Ministry of Science and the Arts (HMWK) as part of the ATHENE funding.
Further information in german:
Fast alle Webseiten und Onlineshops verwenden Analysewerkzeuge wie Google Analytics, um mehr über die Seitenbesucherinnen und -besucher und deren Nutzungsverhalten zu erfahren. Doch nicht alle dieser Tools sind datenschutzkonform nach der Datenschutzgrundverordnung (DSGVO) eingerichtet. Durch falsche Einstellungen können Webseitenverantwortliche Gegenstand von Abmahnungen, Schadensersatz oder Bußgeldern werden.
Forschende aus den Fachbereichen Informatik (Professor Matthias Hollick und Max Maaß, TU Darmstadt; Professor Dominik Herrmann und Henning Pridöhl, Universität Bamberg), Psychologie (Alina Stöver, TU Darmstadt) und Rechtswissenschaften (Dr. Sebastian Bretthauer und Professorin Indra Spiecker genannt Döhmann, Goethe-Universität Frankfurt) gingen in einer Studie der Frage nach, wie Webseitenbetreibende über fehlerhafte Datenschutzeinstellungen dieser Analysedienste so informiert werden können, dass sie ihre Internet-Angebote möglichst effektiv zur rechtmäßigen Einstellung hin ändern.
Innerhalb der interdisziplinären Studie wurden 3954 Betreiberinnen und -betreiber von insgesamt 4096 deutschen Webseiten über eine fehlende oder fehlerhafte Konfiguration der IP-Anonymisierung beim populären Analysedienst Google Analytics informiert. Dies bedeutete einen Verstoß gegen Datenschutzanforderungen. Für das Benachrichtigungsexperiment wurden erstens die Formulierung der Nachricht (Hinweis mit Information über Folgen für Nutzerschutz/Hinweis mit Information über mögliche Rechtsfolgen), zweitens das Kontaktmedium (E-Mail oder Brief) und drittens der Absender (Informatikstudierende als Privatperson; Informatiklehrstuhl; datenschutzrechtlicher Lehrstuhl und Forschungsinstitut) variiert.
Hinweise von Informatikstudierenden überraschend effektiv
Die Ergebnisse zeigen, dass die Mängel am ehesten behoben werden, wenn die Benachrichtigung einen Hinweis auf rechtliche Folgen enthält. Außerdem wurden die Einstellungen bei Information per Brief häufiger korrigiert als bei Hinweisen per E-Mail. Die Identität des Absenders beeinflusst die Bereitschaft, Änderungen vorzunehmen, ebenfalls: So führten Schreiben des datenschutzrechtlichen Lehrstuhls und Forschungsinstituts häufiger zum Erfolg als Informationen von Forschenden aus der Informatik.
Überraschend effektiv zeigte sich die Information durch Privatpersonen mit fachlichem Hintergrund (Informatikstudierende). Insgesamt wurde das Problem von mehr als der Hälfte (56,6 Prozent) der Informierten als Reaktion auf das Benachrichtigungsexperiment behoben, während in der uninformierten Kontrollgruppe nur 9,2 Prozent von sich aus, z.B. auf der Basis von Medienberichten, agierte.
Die Ergebnisse einer anschließenden Umfrage, die im Rahmen der Studie mit den Webseitenbetreibenden durchgeführt wurde, zeigte weiterführende Erkenntnisse zum Wissen der Webseitenverantwortlichen im Hinblick auf die von ihnen benutzten Analysetools. Fast 20 Prozent der Teilnehmenden waren sich nicht bewusst, das Analysewerkzeug Google Analytics auf ihrer Webseite zu verwenden. Zudem gaben 12,7 Prozent an, von der widerrechtlichen Einstellung gewusst und sie dennoch nicht behoben zu haben. Zusammen mit der Reaktionsrate sind somit Rückschlüsse auf datenschutzkonformes Verhalten und die Effektivität von Hinweisen auf datenschutzwidriges Verhalten möglich.
Basis der Analyse war das von den Autorinnen und Autoren entwickelte Werkzeug „Check Google Analytics“. Damit können die Einstellungen der eigenen Webseite im Hinblick auf den datenschutzkonformen Einsatz der Anonymisierungsfunktion von Google Analytics schnell und kostenlos geprüft werden. Im Rahmen der Untersuchungen wurden mit Hilfe des Tools fast 40.000 Scans von über 14.000 Webseiten durchgeführt.
Die Zukunft der Google Analytics in Europa
Die Studie „Effective Notification Campaigns on the Web: A Matter of Trust, Framing, and Support” wurde am 12. August 2021 auf der renommierten Konferenz USENIX Security Symposium vorgestellt. Praxis-Tipps für die Durchführung einer solchen Benachrichtigungsstudie werden während des International Workshops on Information Security Methodology and Replication Studies (IWSMR 2021, 17. bis 20. August) vorgestellt. Eine Vorabversion der Ergebnisse kann auf dem Dokumentenserver arXiv eingesehen werden.
Nach Auffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12.05.2020 reicht die IP-Anonymisierung inzwischen nicht mehr aus, um Google Analytics rechtskonform zu betreiben; inzwischen wird unter anderem eine vorherige Einwilligung der Seitenbesucher*innen gefordert. Ob Google Analytics in Europa nach dem „Schrems II“-Urteil überhaupt noch betrieben werden darf, wird derzeit in mehreren Beschwerdeverfahren von den Datenschutzaufsichtsbehörden untersucht.
show all news