Universität Bamberg: Forschende entlarven mangelhafte Datenschutz-Einstellungen auf ein paar tausend Webseiten
Wirksame Sicherheitsbenachrichtigungen für Webseitenbetreibende
Studie zeigt: Briefpost mit rechtlichen Hinweisen ist effektiver als E-Mail zu Datenschutz.
Eine interdisziplinäre Studie von Forschenden der Technischen Universität Darmstadt, der Otto-Friedrich-Universität Bamberg und der Goethe-Universität Frankfurt zeigt, wie Webseitenbetreibende am wirkungsvollsten über mangelhafte Datenschutz-Konfigurationen informiert werden können. So können Behörden und Sicherheitsforschende zukünftig möglichst effektiv Anbietende von Webseiten dazu bewegen, Mängel zu erkennen und zu beheben. Das Forschungsteam stellt dazu auch das Werkzeug „Check Google Analytics“ zur Verfügung, mit dem die korrekte Aktivierung der IP-Anonymisierung bei der Einbindung von Google Analytics überprüft werden kann.
Fehlerhafte Datenschutzeinstellungen auf Webseiten
Fast alle Webseiten und Onlineshops verwenden Analysewerkzeuge wie Google Analytics, um mehr über die Seitenbesucherinnen und -besucher und deren Nutzungsverhalten zu erfahren. Doch nicht alle dieser Tools sind datenschutzkonform nach der Datenschutzgrundverordnung (DSGVO) eingerichtet. Durch falsche Einstellungen können Webseitenverantwortliche Gegenstand von Abmahnungen, Schadensersatz oder Bußgeldern werden.
Forschende aus den Fachbereichen Informatik (Professor Matthias Hollick und Max Maaß, TU Darmstadt; Professor Dominik Herrmann und Henning Pridöhl, Universität Bamberg), Psychologie (Alina Stöver, TU Darmstadt) und Rechtswissenschaften (Dr. Sebastian Bretthauer und Professorin Indra Spiecker genannt Döhmann, Goethe-Universität Frankfurt) gingen in einer Studie der Frage nach, wie Webseitenbetreibende über fehlerhafte Datenschutzeinstellungen dieser Analysedienste so informiert werden können, dass sie ihre Internet-Angebote möglichst effektiv zur rechtmäßigen Einstellung hin ändern.
Informiert wurden fast 4000 Betreiberinnen und Betreiber
Innerhalb der interdisziplinären Studie wurden 3954 Betreiberinnen und Betreiber von insgesamt 4096 deutschen Webseiten über eine fehlende oder fehlerhafte Konfiguration der IP-Anonymisierung beim populären Analysedienst Google Analytics informiert. Dies bedeutete einen Verstoß gegen Datenschutzanforderungen. Für das Benachrichtigungsexperiment wurden erstens die Formulierung der Nachricht (Hinweis mit Information über Folgen für Nutzerschutz/Hinweis mit Information über mögliche Rechtsfolgen), zweitens das Kontaktmedium (E-Mail oder Brief) und drittens der Absender (Informatikstudierende als Privatperson; Informatiklehrstuhl; datenschutzrechtlicher Lehrstuhl und Forschungsinstitut) variiert.
Die Ergebnisse zeigen, dass die Mängel am ehesten behoben werden, wenn die Benachrichtigung einen Hinweis auf rechtliche Folgen enthält. Außerdem wurden die Einstellungen bei Information per Brief häufiger korrigiert als bei Hinweisen per E-Mail. Die Identität des Absenders beeinflusst die Bereitschaft, Änderungen vorzunehmen, ebenfalls: So führten Schreiben des datenschutzrechtlichen Lehrstuhls und Forschungsinstituts häufiger zum Erfolg als Informationen von Forschenden aus der Informatik.
Mehr als die Hälfte der Benachrichtigten behob das Problem
Überraschend effektiv zeigte sich die Information durch Privatpersonen mit fachlichem Hintergrund (Informatikstudierende). Insgesamt wurde das Problem von mehr als der Hälfte (56,6 Prozent) der Informierten als Reaktion auf das Benachrichtigungsexperiment behoben, während in der uninformierten Kontrollgruppe nur 9,2 Prozent von sich aus, zum Beispiel auf der Basis von Medienberichten, agierte.
Die Ergebnisse einer anschließenden Umfrage, die im Rahmen der Studie mit den Webseitenbetreibenden durchgeführt wurde, zeigte weiterführende Erkenntnisse zum Wissen der Webseitenverantwortlichen im Hinblick auf die von ihnen benutzten Analysetools. Fast 20 Prozent der Teilnehmenden waren sich nicht bewusst, das Analysewerkzeug Google Analytics auf ihrer Webseite zu verwenden. Zudem gaben 12,7 Prozent an, von der widerrechtlichen Einstellung gewusst und sie dennoch nicht behoben zu haben. Zusammen mit der Reaktionsrate sind somit Rückschlüsse auf datenschutzkonformes Verhalten und die Effektivität von Hinweisen auf datenschutzwidriges Verhalten möglich.
Für alle zugänglich: das Werkzeug „Check Google Analytics“
Basis der Analyse war das von den Autorinnen und Autoren entwickelte Werkzeug „Check Google Analytics“: https://checkgoogleanalytics.psi.uni-bamberg.de. Damit können die Einstellungen der eigenen Webseite im Hinblick auf den datenschutzkonformen Einsatz der Anonymisierungsfunktion von Google Analytics schnell und kostenlos geprüft werden. Im Rahmen der Untersuchungen wurden mit Hilfe des Tools fast 40.000 Scans von über 14.000 Webseiten durchgeführt.
Die Studie „Effective Notification Campaigns on the Web: A Matter of Trust, Framing, and Support” wurde am 12. August 2021 auf der renommierten Konferenz USENIX Security Symposium vorgestellt. Praxis-Tipps für die Durchführung einer solchen Benachrichtigungsstudie werden während des International Workshops on Information Security Methodology and Replication Studies (IWSMR 2021, 17. bis 20. August) vorgestellt. Eine Vorabversion der Ergebnisse kann auf dem Dokumentenserver arXiv eingesehen werden: https://arxiv.org/abs/2106.08029
Nach Auffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12.05.2020 reicht die IP-Anonymisierung inzwischen nicht mehr aus, um Google Analytics rechtskonform zu betreiben; inzwischen wird unter anderem eine vorherige Einwilligung der Seitenbesucherinnen und -besucher gefordert. Ob Google Analytics in Europa nach dem „Schrems II“-Urteil überhaupt noch betrieben werden darf, wird derzeit in mehreren Beschwerdeverfahren von den Datenschutzaufsichtsbehörden untersucht.
Die Forschungsarbeit wurde von der Deutschen Forschungsgemeinschaft (DFG) im Rahmen des Graduiertenkollegs 2050 „Privacy and Trust for Mobile Users“ sowie vom Bundesministerium für Bildung und Forschung (BMBF) und dem Hessischen Ministerium für Wissenschaft und Kunst (HMWK) im Rahmen der gemeinsamen Förderung des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE unterstützt.
Die Publikation finden Sie online unter: https://www.usenix.org/conference/usenixsecurity21/presentation/maass
Das Hauptziel der Studie ist zu begrüßen.
Allerdings reicht eine vorgebliche IP-Anonymisierung bei Google Analytics bei weitem nicht aus, um diesen Tracking-Dienst rechtskonform betreiben zu können. Mit Cookies ist eine Einwilligung erforderlich, aber auch ohne Cookies (aus mehreren anderen Gründen). Die Auffassung der DSK zu zitieren ist überholt, weil es keiner Meinung mehr bedarf, sondern die Fakten für sich sprechen.
Dies wurde leider nicht berücksichtigt. Zudem ist die IP-Anonymisierung bei GA seit längerem Teil der Standardkonfiguration.