Datenschutzfördernde Benutzungsoberflächen
Ist dem Nutzer noch zu helfen?
Departure of Computer Science, Institute for System Architecture, Chair of Privacy and Security
18. Mai 2009
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 2 von 22
Datenschutzfördernde Benutzungsoberflächen
• Eine A4 Seite hat ca. 400-500 Worte,
• Das Überfliegen einer Seite dauert
für leichten Text ca. 3-5 Minuten
Quelle: McDonald et al, 2008:
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 3 von 22
Datenschutzfördernde Benutzungsoberflächen
Wörter pro Privacy Policy
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 4 von 22
Datenschutzfördernde Benutzungsoberflächen
1. Motivation
2. Benutzbarkeit & Privacy
3. Lösungsansatz
4. Validierung
5. Outlook
Quelle: McDonald et al, 2008:
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 5 von 22
Privacy im Kontext der Arbeit*: • WER (Adresse des Kontaktpartners) bekommt• WAS (welche konkreten Daten)• WOFÜF (für welchen Zweck)
PRIME Nutzertests haben gezeigt, dass
→ Privacy ist zwar gern genannt, aber oft ignoriert oder eingetauscht,
→ Warnungen und Hinweise werden oft ignoriert oder deaktiviert
Das bedeutet aber:
→ Privacy ist eine sehr persönliche Sache, schwer zu delegieren,
→ Privacy braucht aktive Teilnahme und
→ Privacy muss wahrnehmbar sein.
*und konform zur EU Direktive 95/46/EC
Motivation – Privacy Datenschutzfördernde Benutzungsoberflächen – Motivation
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 6 von 22
Privacy Policies von Diensteanbietern ...
→ sind (in der EU) vom Gesetzgeber vorgeschrieben und reglementiert,
→ sind oft in einer Sprache verfasst, die normale Nutzer nicht verstehen...
→ werden oft sehr vage formuliert und beschönigen unliebsame Fakten, – “...Gelegentlich nutzen wir auch Informationen über Sie aus
anderen Quellen...”
– “...Um Ihre E-Mails nützlicher und interessanter gestalten zu können, erhalten wir häufig eine Bestätigung darüber, welche E-Mails von Sie von uns öffnen...”
→ werden automatisch Bestandteil des Vertrages und
→ können u.U. ohne Vorankündigung verändert werden.
→ maschinenlesbare P3P Policies werden selten angeboten.
Privacy Policies auf Nutzerseite werden oft...
→ nicht gelesen,
→ nicht verstanden und
→ nicht als Vertragsbestandteil wahrgenommen.
Motivation – Privacy PolicyDatenschutzfördernde Benutzungsoberflächen – Motivation
“...erhebt im Rahmen der geltenden Gesetze personenbezogene Bestandsdaten lt. § 14 Telemediengesetz (TMG ), §§ 3 Nr. 3, 95 Telekommunikationsgesetz (TKG)...”
Folge: Privacy Policies in der heutigen Form schützen den Diensteanbieter, nicht den Nutzer
“...erhebt im Rahmen der geltenden Gesetze personenbezogene Bestandsdaten lt. § 14 Telemediengesetz (TMG ), §§ 3 Nr. 3, 95 Telekommunikationsgesetz (TKG)...”
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 7 von 22
Motivation – Privacy-enhancing IdM
Privacy-enhancing Identity Management:
→ versucht, den Nutzer bei der Durchsetzung seiner Privacy-Ziele zu unterstützen– Selbstbestimmung,– Datenvermeidung,– Anonymität, Unverkettbarkeit etc.– ...
→ Es existieren einige Ansätze dazu:– Browser Profiles,– iManager,– DRIM,– OpenID, Liberty Alliance, MS Cardspace,– PRIME
→ Aber: – Lösungen sind oft viel zu kompliziert– Nutzer sind oft mehr verunsichert als unterstützt (Quelle: Nutzertests PRIME)
– Lösungen sind nicht verbreitet und/oder akzeptiert
Datenschutzfördernde Benutzungsoberflächen – Motivation
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 8 von 22
Benutzbarkeit & Privacy
Privacy1 im Kontext der Arbeit meint die interne Sicht des Nutzers auf seine persönlichen Daten, also das Recht, zu entscheiden, welche konkreten Daten anderen öffentlich oder vertraulich zugänglich gemacht werden.
Benutzbarkeit ist “... die Eignung eines Produktes bei der Nutzung durch bestimmte Benutzer in einem bestimmten Benutzungskontext, die vorgegebenen Ziele effektiv, effizient und zufriedenstellend zu erreichen." [ISO98]
Benutzbarkeit und Privacy (oder oft auch Sicherheit) können stark gegensätzlich sein
1 Privacy kann mit Privatheit übersetzt werden. Zur besseren Lesbarkeit wird aber hier immer der englisch Begriff verwende.
Datenschutzfördernde Benutzungsoberflächen – Benutzbarkeit & Privacy
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 9 von 22
Lösungsansatz
Womit haben wir es zu tun?– Privacy ist kein primäres Ziel für den Nutzer– Die Auswirkungen von Privacy-relevanten Fehlern liegen (fern) in
der Zukunft– Ökonomische Auswirkungen dazu sind nur schwer einschätzbar – Nutzer weisen eine gewisse Art von “Beratungsresistenz” auf
...
Was könnten wir also tun?– Nutzerschulung, Kampagnen, Öffentlichkeitsarbeit etc.– Aufklärung mit Blick auf Persönlichkeit und Ökonomie
– Privacy sichtbarer machen– Privacy-relevante Fakten einfach(er) verstehbar machen.
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 10 von 22
Lösungsansatz – Vorbetrachtung
Datenschutzmodell• Mosaiktheorie
– Daten sind Bausteine, aus denen setzt sich das Bild zusammen• Sphärentheorie
– Intim, privat, freundschaftlich, geschäftlich, öffentlich...• Rollentheorie
– Ich, Vater, Freund, Chef, Passant
Parameter lt. EU Direktive 95/46/EC:• Pflichtparameter
– Wer ist der “Data Controller”– Welche Daten werden benötigt – Welchem Zweck dienen die Daten (Zweckbindung)
• Weitere Parameter sollten hinzugefügt werden– Aussage bezüglich der Weitergabe der Daten an Dritte– Aussagen zur sicheren Speicherung der Daten– Aussagen zur Löschung der Daten, – Aussagen zu vorhandenen Zertifikaten (trusted shop, etc.)
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 11 von 22
Lösungsansatz - Townmap
Idee – statt auf dem Desktops bewege ich mich in der Stadt • Mix aus Sphären- und Rollenmodell • räumliche Entfernungen und Gebäude symbolisieren verschiedene
Situationen• Graphische Oberfläche lädt zum Spielen ein
Vorteile• Leicht verständlich• Spielerisch zu handhaben
Nachteile• Nutzertests haben gezeigt, dass
es als zu verspielt wahrgenommen wird
• Nur wenige Relationen sind effektivhandhabbar, bei mehr als 4 wird's unübersichtlich
• Privacy bleibt unsichtbar
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - Townmap
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 12 von 22
Lösungsansatz - “Send Personal Data”
Idee – Wir fragen den Nutzer einfach, welche Daten er wofür verwenden möchte.
Vorteile• Nach Zwecken getrennt• In Einzelschritte teilbar• Konform zur Dir. 95/46/EC
Nachteile• Offensichtlich sehr komplex• Unterbricht den Nutzer• Nutzer verliert sich im
Informationsangebot• Nutzer missversteht die
Warnungen und ordnet siedem primären Ziel zu
→ er konfiguriert die Warnungen weg
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - PSPD
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 13 von 22
Lösungsansatz - PrivPrefs
Idee – Nutzer hat nur wenige Generaleinstellungen, der Rest kommt dynamisch
• PrivPrefs konzentrieren sich auf die wesentlichen Policy Elemente Kontakt, Zweck und Datum (Dir. 95/46/EC)
• 3 verschiedene Sets für 3 grundverschiedene Situationen:– a) Anonym, keine Daten– b) Nur die notwendigsten Daten– c) Freizügig
Vorteile• Es lassen sich die meisten Online-Vorgänge darauf abbilden • Die rechtlichen Vorgaben können gut umgesetzt werden• Komplexität reduziert sich gegenüber den herkömmlichen
Einstellungsseiten enorm
Offene Fragen• Darstellung – wie wird Privacy sichtbar?• Konfiguration
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - PrivPrefs
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 14 von 22
Lösungsansatz – PrivPrefs im Privacy Bar
Idee: Wir zeigen die wichtigsten Informationen oberhalb des Datums an.
Vorher Nachher
Vorteil• Räumliche Nähe der Privacy-Infos zum Datum,• Sehr einfach erweiterbar, • Zusatzinfos können leicht abgerufen werden.
Nachteil• Wird u.U. vom Service Provider nicht
unterstützt, da in das Design der Website eingegriffen wird
→ deshalb wird das Ganzedynamisch eingeblendet
Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz – PrivPrefs im Privacy Bar
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 15 von 22
Validierung
Frage: Wie nehmen die Nutzer unseren “Privacy Bar” wahr?
• Nutzerexperiment zur “Privacy Awareness”– ... the user's ability to reflect the communication partner's privacy policy statements regarding
purpose binding, transfer assertion and retention period applied for a data disclosure.
• Wir wollen wissen, ob die Nutzer die Information wahrnehmen und behalten!
Konfiguration• Experiment mit
– Fragebogen vorab zur Klassifizierung der Teilnehmer,– dem eigentlichen Experiment und– dem Fragebogen zur Erfassung der relevanten Parameter
Auditorium• Online Nutzer aus der ganzen Welt, eingeladen über mailing lists, Foren,
Soziale Netzwerke, etc.
Datenschutzfördernde Benutzungsoberflächen – Validierung – das Setup
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 16 von 22
Validierung – Erwartete Ergebnisse
Hypothese
• Nutzer, die unseren “Privacy Bar” benutzen, wissen besser über die
Datenschutzerklärung Bescheid als die Kontrollgruppe.
• Wir vermuten, dass gerade weniger Privacy-bewusste Nutzer von unserem “Privacy Bar” partizipieren.
Kennzahlen
• Zum Klassifizieren ermitteln wir den “Privacy Concerns Index” (Westin 91)
• und ermitteln pro Klasse unsern “Privacy Awareness Index”
(einfach die Summe der Antworten des PostTests, dabei ist größer besser)
Datenschutzfördernde Benutzungsoberflächen – Validierung – Erwartete Ergebnisse
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 17 von 22
Onlinebefragung• Vom 14.10. bis 30.11.2008• Insg. fast 500 Teilnehmer
(Sprache Deutsch/Englisch)• Beteiligung aus über 20 Ländern
Primäre Fragestellung:• Werden die angebotenen Informationen
wahrgenommen?
Weitere interessante Fragestellungen:• Wie ist das Leseverhalten bez. Privacy
Policy überhaupt...• … und bezüglich Westin's Nutzerklassifi-
kation (Fundamentalisten, Pragmatiker, Gleichgültige) verteilt?
• Machen die Klassen das, was sie behaupten?
• ...
Validierung – DurchführungDatenschutzfördernde Benutzungsoberflächen – Validierung – Durchführung
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 18 von 22
Validierung – Ergebnisse
Die Frage war: Werden die angebotenen Informationen wahrgenommen? • Ganz klare Antwort – Ja, sie werden!
Datenschutzfördernde Benutzungsoberflächen – Validierung – Ergebnisse
• Alle Klassen partizipieren davon.
Weiter:• Ohne unseren “Privacy Bar”
sehen die Ergebnisse ähnlich aus• Mit unserem “Privacy Bar”
werden vor allem die Pragmatiker unterstützt
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 19 von 22
Validierung – Ergebnisse
• Teaser: Fundamentalisten sind fast genau so gleichgültig wie die Gleichgültigen
ABER:• Unser “Privacy Bar” befriedigt
wahrscheinlich das Informations-bedürfnis, dass die Gleichgültigen und Pragmatiker haben
Und• Unser “Privacy Bar” erinnert die
Fundamentalisten daran, die Policy zu lesen.
• → Das wird noch genauer zu• untersuchen sein
Eine weitere Frage war: Wie ändert sich das Leseverhalten bezüglich Privacy Policy? • Alle Klassen lesen ungefähr gleich (ohne unser Interface)
Datenschutzfördernde Benutzungsoberflächen – Validierung – Ergebnisse
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 20 von 22
Outlook
Usability Untersuchungen zur Verkettbarkeit:
• Benutzung von Pseudonymen• Benutzung von (anonymen) Credentials
Usability Untersuchungen bez. Langzeittauglichkeit:
• Usability des PrivPref Managements• Akzeptanz bei Serviceprovidern und Nutzern
Konkrete Benutzungsschnittstellen:
• Dynamische Darstellung der PrivPrefs • Symbole, Farben, Metaphern für Privacy-relevante Nachrichten• ...
Datenschutzfördernde Benutzungsoberflächen – Outlook
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 21 von 22
Outlook – Proposal: dynamische PrivPrefsDatenschutzfördernde Benutzungsoberflächen – Outlook - Proposal
Council of Europe: Data Protection Directive 1995/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1995) Offical Journal No. 281, 23.11.1995.
W3C: Platform for Privacy Preferences (April 2002)
Westin, A.F., HARRIS LOUIS & ASSOCIATES: Harris-Equifax Consumer Privacy Survey. Tech. rep. (1991) Conducted for Equifax Inc. 1,255 adults of the U.S. public.
Pollach, I.: What's Wrong with Online Privacy Policies? In: Communications of the ACM archive. Volume 50., ACM Press, New York, NY, USA (September 2007), p.103-108
Cranor, L.: P3P: Making privacy policies more useful. IEEE Security and Privacy (2003), p. 50-55
Andreas Pfitzmann and Marit Hansen: Anonymity, unobservability, and pseudonymity - a proposal for terminology. In Proceedings of WS on Design Issues in Anonymity and Unobservability, Designing Privacy Enhancing Technologies, LNCS 2009, Revised version 0.31 of Feb. 15St 2008
Aleecia M. McDonald and Lorrie Faith Cranor: The Cost of Reading Privacy Policies. Telecommunications Policy Research Conference, 2008. Revised September 26, Carnegie Mellon University.
Datenschutzfördernde Benutzungsoberflächen – Literatur (Auswahl)
Danke für Ihre Aufmerksamkeit
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 23 von 22
Details – Privacy Settingspolicy presentation – motivation
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 24 von 22
Details – Privacy Settings
Iexplorer, privBird, DRIM
policy presentation – motivation
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 25 von 22
Details – Privacy Settings
Iexplorer, privBird, DRIM
policy presentation – motivation
18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 27 von 22
Motivation – Privacy Awareness
In the scope of this work Privacy Awareness is defined as:
... the user's ability to reflect the communication partner's privacy policy statements regarding purpose binding, transfer assertion and retention period applied for a data disclosure.
policy presentation – motivation