Departure of Computer Science, Institute for System Architecture, Chair of Privacy and Security
Datenschutzfördernde
Benutzungsoberflächen
Ist dem Nutzer noch zu helfen?
[email protected]
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
•
Eine A4 Seite hat ca. 400-500
Worte,
•
Das Überfliegen einer Seite dauert
für leichten Text ca. 3-5 Minuten
Quelle: McDonald et al, 2008:
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 2 von 22
Datenschutzfördernde Benutzungsoberflächen
Wörter pro Privacy Policy
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 3 von 22
Datenschutzfördernde Benutzungsoberflächen
1. Motivation
2. Benutzbarkeit & Privacy
3. Lösungsansatz
4. Validierung
5. Outlook
Quelle: McDonald et al, 2008:
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 4 von 22
Motivation – Privacy
Datenschutzfördernde Benutzungsoberflächen – Motivation
Privacy im Kontext der Arbeit*:
•
WER (Adresse des Kontaktpartners) bekommt
•
WAS (welche konkreten Daten)
•
WOFÜF (für welchen Zweck)
PRIME Nutzertests haben gezeigt, dass
→ Privacy ist zwar gern genannt, aber oft ignoriert oder eingetauscht,
→ Warnungen und Hinweise werden oft ignoriert oder deaktiviert
Das bedeutet aber:
→ Privacy ist eine sehr persönliche Sache, schwer zu delegieren,
→ Privacy braucht aktive Teilnahme und
→ Privacy muss wahrnehmbar sein.
*und konform zur EU Direktive 95/46/EC
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 5 von 22
Motivation – Privacy Policy
Datenschutzfördernde Benutzungsoberflächen – Motivation
Privacy Policies von Diensteanbietern ...
→ sind (in der EU) vom Gesetzgeber vorgeschrieben und reglementiert,
→ sind oft in einer Sprache verfasst, die normale Nutzer nicht verstehen...
“...erhebt im Rahmen der geltenden Gesetze personenbezogene
Bestandsdaten lt. § 14 Telemediengesetz (TMG ), §§ 3 Nr. 3,
95 Telekommunikationsgesetz (TKG)...”
→ werden oft sehr vage formuliert und beschönigen unliebsame Fakten,
–
“...Gelegentlich nutzen wir auch Informationen über Sie aus
anderen Quellen...”
Folge: Privacy Policies in der heutigen Form schützen
“...Um Ihre E-Mails nützlicher und interessanter gestalten
den– Diensteanbieter,
nicht den Nutzer
zu können, erhalten wir häufig eine Bestätigung darüber,
welche E-Mails von Sie von uns öffnen...”
→ werden automatisch Bestandteil des Vertrages und
→ können u.U. ohne Vorankündigung verändert werden.
→ maschinenlesbare P3P Policies werden selten angeboten.
Privacy Policies auf Nutzerseite werden oft...
→ nicht gelesen,
→ nicht verstanden und
→ nicht als Vertragsbestandteil wahrgenommen.
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 6 von 22
Motivation – Privacy-enhancing IdM
Datenschutzfördernde Benutzungsoberflächen – Motivation
Privacy-enhancing Identity Management:
→ versucht, den Nutzer bei der Durchsetzung seiner Privacy-Ziele zu unterstützen
– Selbstbestimmung,
– Datenvermeidung,
– Anonymität, Unverkettbarkeit etc.
– ...
→ Es existieren einige Ansätze dazu:
– Browser Profiles,
– iManager,
– DRIM,
– OpenID, Liberty Alliance, MS Cardspace,
– PRIME
→ Aber:
– Lösungen sind oft viel zu kompliziert
– Nutzer sind oft mehr verunsichert als unterstützt
(Quelle: Nutzertests PRIME)
– Lösungen sind nicht verbreitet und/oder akzeptiert
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 7 von 22
Benutzbarkeit & Privacy
Datenschutzfördernde Benutzungsoberflächen – Benutzbarkeit & Privacy
Privacy1 im Kontext der Arbeit meint die interne Sicht des Nutzers auf seine persönlichen
Daten, also das Recht, zu entscheiden, welche konkreten Daten anderen öffentlich oder
vertraulich zugänglich gemacht werden.
Benutzbarkeit ist “... die Eignung eines Produktes bei der Nutzung durch bestimmte
Benutzer in einem bestimmten Benutzungskontext, die vorgegebenen Ziele effektiv,
effizient und zufriedenstellend zu erreichen." [ISO98]
Benutzbarkeit und Privacy (oder oft auch Sicherheit) können stark gegensätzlich sein
1 Privacy kann mit Privatheit übersetzt werden. Zur besseren Lesbarkeit wird aber hier immer der englisch Begriff verwende.
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 8 von 22
Lösungsansatz
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz
Womit haben wir es zu tun?
– Privacy ist kein primäres Ziel für den Nutzer
– Die Auswirkungen von Privacy-relevanten Fehlern liegen (fern) in
der Zukunft
– Ökonomische Auswirkungen dazu sind nur schwer einschätzbar
– Nutzer weisen eine gewisse Art von “Beratungsresistenz” auf
...
Was könnten wir also tun?
– Nutzerschulung, Kampagnen, Öffentlichkeitsarbeit etc.
– Aufklärung mit Blick auf Persönlichkeit und Ökonomie
– Privacy sichtbarer machen
– Privacy-relevante Fakten einfach(er) verstehbar machen.
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 9 von 22
Lösungsansatz – Vorbetrachtung
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz
Datenschutzmodell
• Mosaiktheorie
– Daten sind Bausteine, aus denen setzt sich das Bild zusammen
• Sphärentheorie
– Intim, privat, freundschaftlich, geschäftlich, öffentlich...
• Rollentheorie
– Ich, Vater, Freund, Chef, Passant
Parameter lt. EU Direktive 95/46/EC:
• Pflichtparameter
– Wer ist der “Data Controller”
– Welche Daten werden benötigt
– Welchem Zweck dienen die Daten (Zweckbindung)
• Weitere Parameter sollten hinzugefügt werden
– Aussage bezüglich der Weitergabe der Daten an Dritte
– Aussagen zur sicheren Speicherung der Daten
– Aussagen zur Löschung der Daten,
– Aussagen zu vorhandenen Zertifikaten (trusted shop, etc.)
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 10 von 22
Lösungsansatz - Townmap
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - Townmap
Idee – statt auf dem Desktops bewege ich mich in der Stadt
• Mix aus Sphären- und Rollenmodell
• räumliche Entfernungen und Gebäude symbolisieren verschiedene
Situationen
• Graphische Oberfläche lädt zum Spielen ein
Vorteile
• Leicht verständlich
• Spielerisch zu handhaben
Nachteile
• Nutzertests haben gezeigt, dass
es als zu verspielt wahrgenommen
wird
• Nur wenige Relationen sind effektiv
handhabbar, bei mehr als 4 wird's
unübersichtlich
• Privacy bleibt unsichtbar
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 11 von 22
Lösungsansatz - “Send Personal Data”
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - PSPD
Idee – Wir fragen den Nutzer einfach, welche Daten er wofür verwenden
möchte.
Vorteile
• Nach Zwecken getrennt
• In Einzelschritte teilbar
• Konform zur Dir. 95/46/EC
Nachteile
• Offensichtlich sehr komplex
• Unterbricht den Nutzer
• Nutzer verliert sich im
Informationsangebot
• Nutzer missversteht die
Warnungen und ordnet sie
dem primären Ziel zu
→ er konfiguriert die Warnungen weg
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 12 von 22
Lösungsansatz - PrivPrefs
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - PrivPrefs
Idee – Nutzer hat nur wenige Generaleinstellungen, der Rest kommt
dynamisch
• PrivPrefs konzentrieren sich auf die wesentlichen Policy Elemente
Kontakt, Zweck und Datum (Dir. 95/46/EC)
• 3 verschiedene Sets für 3 grundverschiedene Situationen:
– a) Anonym, keine Daten
– b) Nur die notwendigsten Daten
– c) Freizügig
Vorteile
• Es lassen sich die meisten Online-Vorgänge darauf abbilden
• Die rechtlichen Vorgaben können gut umgesetzt werden
• Komplexität reduziert sich gegenüber den herkömmlichen
Einstellungsseiten enorm
Offene Fragen
• Darstellung – wie wird Privacy sichtbar?
• Konfiguration
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 13 von 22
Lösungsansatz – PrivPrefs im Privacy Bar
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz – PrivPrefs im Privacy Bar
Idee: Wir zeigen die wichtigsten Informationen oberhalb des Datums an.
Vorher
Nachher
Vorteil
• Räumliche Nähe der Privacy-Infos zum Datum,
• Sehr einfach erweiterbar,
• Zusatzinfos können leicht abgerufen werden.
Nachteil
• Wird u.U. vom Service Provider nicht
unterstützt, da in das Design der Website
eingegriffen wird
→ deshalb wird das Ganze
dynamisch eingeblendet
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 14 von 22
Validierung
Datenschutzfördernde Benutzungsoberflächen – Validierung – das Setup
Frage: Wie nehmen die Nutzer unseren “Privacy Bar” wahr?
•
Nutzerexperiment zur “Privacy Awareness”
–
•
... the user's ability to reflect the communication partner's privacy policy statements regarding
purpose binding, transfer assertion and retention period applied for a data disclosure.
Wir wollen wissen, ob die Nutzer die Information wahrnehmen und behalten!
Konfiguration
• Experiment mit
– Fragebogen vorab zur Klassifizierung der Teilnehmer,
– dem eigentlichen Experiment und
– dem Fragebogen zur Erfassung der relevanten Parameter
Auditorium
• Online Nutzer aus der ganzen Welt, eingeladen über mailing lists, Foren,
Soziale Netzwerke, etc.
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 15 von 22
Validierung – Erwartete Ergebnisse
Datenschutzfördernde Benutzungsoberflächen – Validierung – Erwartete Ergebnisse
Hypothese
•
Nutzer, die unseren “Privacy Bar” benutzen, wissen besser über die
Datenschutzerklärung Bescheid als die Kontrollgruppe.
•
Wir vermuten, dass gerade weniger Privacy-bewusste Nutzer von
unserem “Privacy Bar” partizipieren.
Kennzahlen
•
Zum Klassifizieren ermitteln wir den
“Privacy Concerns Index” (Westin 91)
•
und ermitteln pro Klasse unsern
“Privacy Awareness Index”
(einfach die Summe der Antworten des PostTests, dabei ist größer besser)
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 16 von 22
Validierung – Durchführung
Datenschutzfördernde Benutzungsoberflächen – Validierung – Durchführung
Onlinebefragung
• Vom 14.10. bis 30.11.2008
• Insg. fast 500 Teilnehmer
(Sprache Deutsch/Englisch)
• Beteiligung aus über 20 Ländern
Primäre Fragestellung:
• Werden die angebotenen Informationen
wahrgenommen?
Weitere interessante Fragestellungen:
• Wie ist das Leseverhalten bez. Privacy
Policy überhaupt...
• … und bezüglich Westin's Nutzerklassifikation (Fundamentalisten, Pragmatiker,
Gleichgültige) verteilt?
• Machen die Klassen das, was sie
behaupten?
• ...
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 17 von 22
Validierung – Ergebnisse
Datenschutzfördernde Benutzungsoberflächen – Validierung – Ergebnisse
Die Frage war: Werden die angebotenen Informationen wahrgenommen?
• Ganz klare Antwort – Ja, sie werden!
•
Alle Klassen partizipieren davon.
Weiter:
• Ohne unseren “Privacy Bar” sehen
die Ergebnisse ähnlich aus
• Mit unserem “Privacy Bar” werden
vor allem die Pragmatiker
unterstützt
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 18 von 22
Validierung – Ergebnisse
Datenschutzfördernde Benutzungsoberflächen – Validierung – Ergebnisse
Eine weitere Frage war: Wie ändert sich das Leseverhalten bezüglich Privacy Policy?
• Alle Klassen lesen ungefähr gleich (ohne unser Interface)
•
Teaser: Fundamentalisten sind
fast genau so gleichgültig wie die
Gleichgültigen
ABER:
• Unser “Privacy Bar” befriedigt
wahrscheinlich das Informationsbedürfnis, dass die Gleichgültigen
und Pragmatiker haben
Und
• Unser “Privacy Bar” erinnert die
Fundamentalisten daran, die
Policy zu lesen.
•
•
→ Das wird noch genauer zu
untersuchen sein
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 19 von 22
Outlook
Datenschutzfördernde Benutzungsoberflächen – Outlook
Usability Untersuchungen zur Verkettbarkeit:
•
•
Benutzung von Pseudonymen
Benutzung von (anonymen) Credentials
Usability Untersuchungen bez. Langzeittauglichkeit:
•
•
Usability des PrivPref Managements
Akzeptanz bei Serviceprovidern und Nutzern
Konkrete Benutzungsschnittstellen:
•
•
•
Dynamische Darstellung der PrivPrefs
Symbole, Farben, Metaphern für Privacy-relevante Nachrichten
...
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 20 von 22
Outlook – Proposal: dynamische PrivPrefs
Datenschutzfördernde Benutzungsoberflächen – Outlook - Proposal
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 21 von 22
Danke für Ihre Aufmerksamkeit
Datenschutzfördernde Benutzungsoberflächen – Literatur (Auswahl)
Council of Europe: Data Protection Directive 1995/46/EC of the European Parliament and of
the Council of 24 October 1995 on the protection of individuals with regard to the
processing of personal data and on the free movement of such data (1995) Offical
Journal No. 281, 23.11.1995.
W3C: Platform for Privacy Preferences (April 2002)
Westin, A.F., HARRIS LOUIS & ASSOCIATES: Harris-Equifax Consumer Privacy Survey. Tech.
rep. (1991) Conducted for Equifax Inc. 1,255 adults of the U.S. public.
Pollach, I.: What's Wrong with Online Privacy Policies? In: Communications of the ACM
archive. Volume 50., ACM Press, New York, NY, USA (September 2007), p.103-108
Cranor, L.: P3P: Making privacy policies more useful. IEEE Security and Privacy (2003), p.
50-55
Andreas Pfitzmann and Marit Hansen: Anonymity, unobservability, and pseudonymity - a
proposal for terminology. In Proceedings of WS on Design Issues in Anonymity and
Unobservability, Designing Privacy Enhancing Technologies, LNCS 2009, Revised version
0.31 of Feb. 15St 2008
Aleecia M. McDonald and Lorrie Faith Cranor: The Cost of Reading Privacy Policies.
Telecommunications Policy Research Conference, 2008. Revised September 26, Carnegie
Mellon University.
Details – Privacy Settings
policy presentation – motivation
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 23 von 22
Details – Privacy Settings
policy presentation – motivation
Iexplorer, privBird, DRIM
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 24 von 22
Details – Privacy Settings
policy presentation – motivation
Iexplorer, privBird, DRIM
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 25 von 22
Motivation – Privacy Awareness
policy presentation – motivation
In the scope of this work Privacy Awareness is defined as:
... the user's ability to reflect the communication partner's privacy policy statements
regarding purpose binding, transfer assertion and retention period applied for a data
disclosure.
18. Mai 2009
Datenschutzfördernde Benutzungsoberflächen
Page 27 von 22

Datenschutzfördernde Benutzungsoberflächen - ZIH