18. Mai 2009

1. 18. Mai 2009 Departure of Computer Science, Institute for System Architecture, Chair of Privacy and Security Datenschutzfördernde BenutzungsoberflächenIst dem Nutzer noch zu helfen?mike.bergmann@tu-dresden.de

2. Datenschutzfördernde Benutzungsoberflächen Datenschutzfördernde Benutzungsoberflächen Eine A4 Seite hat ca. 400-500 Worte, Das Überfliegen einer Seite dauert für leichten Text ca. 3-5 Minuten Quelle: McDonald et al, 2008:

3. Datenschutzfördernde Benutzungsoberflächen Datenschutzfördernde Benutzungsoberflächen Wörter pro Privacy Policy

4. Datenschutzfördernde Benutzungsoberflächen Datenschutzfördernde Benutzungsoberflächen 1. Motivation 2. Benutzbarkeit & Privacy 3. Lösungsansatz 4. Validierung 5. Outlook Quelle: McDonald et al, 2008:

5. Datenschutzfördernde Benutzungsoberflächen Privacy im Kontext der Arbeit*: WER (Adresse des Kontaktpartners) bekommt WAS (welche konkreten Daten) WOFÜF (für welchen Zweck) PRIME Nutzertests haben gezeigt, dass → Privacy ist zwar gern genannt, aber oft ignoriert oder eingetauscht, → Warnungen und Hinweise werden oft ignoriert oder deaktiviert Das bedeutet aber: → Privacy ist eine sehr persönliche Sache, schwer zu delegieren, → Privacy braucht aktive Teilnahme und → Privacy muss wahrnehmbar sein. *und konform zur EU Direktive 95/46/EC Motivation – Privacy Datenschutzfördernde Benutzungsoberflächen – Motivation

6. Datenschutzfördernde Benutzungsoberflächen Privacy Policies von Diensteanbietern ... → sind (in der EU) vom Gesetzgeber vorgeschrieben und reglementiert, → sind oft in einer Sprache verfasst, die normale Nutzer nicht verstehen... → werden oft sehr vage formuliert und beschönigen unliebsame Fakten, “...Gelegentlich nutzen wir auch Informationen über Sie aus anderen Quellen...” “...Um Ihre E-Mails nützlicher und interessanter gestalten zu können, erhalten wir häufig eine Bestätigung darüber, welche E-Mails von Sie von uns öffnen...” → werden automatisch Bestandteil des Vertrages und → können u.U. ohne Vorankündigung verändert werden. → maschinenlesbare P3P Policies werden selten angeboten. Privacy Policies auf Nutzerseite werden oft... → nicht gelesen, → nicht verstanden und → nicht als Vertragsbestandteil wahrgenommen. Motivation – Privacy Policy Datenschutzfördernde Benutzungsoberflächen – Motivation “...erhebt im Rahmen der geltenden Gesetze personenbezogene Bestandsdaten lt. § 14 Telemediengesetz (TMG ), §§ 3 Nr. 3, 95 Telekommunikationsgesetz (TKG)...” “...erhebt im Rahmen der geltenden Gesetze personenbezogene Bestandsdaten lt. § 14 Telemediengesetz (TMG ), §§ 3 Nr. 3, 95 Telekommunikationsgesetz (TKG)...” Folge: Privacy Policies in der heutigen Form schützen den Diensteanbieter, nicht den Nutzer

7. Datenschutzfördernde Benutzungsoberflächen Motivation – Privacy-enhancing IdM Privacy-enhancing Identity Management: → versucht, den Nutzer bei der Durchsetzung seiner Privacy-Ziele zu unterstützen Selbstbestimmung, Datenvermeidung, Anonymität, Unverkettbarkeit etc. ... → Es existieren einige Ansätze dazu: Browser Profiles, iManager, DRIM, OpenID, Liberty Alliance, MS Cardspace, PRIME → Aber: Lösungen sind oft viel zu kompliziert Nutzer sind oft mehr verunsichert als unterstützt (Quelle: Nutzertests PRIME) Lösungen sind nicht verbreitet und/oder akzeptiert Datenschutzfördernde Benutzungsoberflächen – Motivation

8. Datenschutzfördernde Benutzungsoberflächen Benutzbarkeit & Privacy Privacy1im Kontext der Arbeit meint die interne Sicht des Nutzers auf seine persönlichen Daten, also das Recht, zu entscheiden, welche konkreten Daten anderen öffentlich oder vertraulich zugänglich gemacht werden. Benutzbarkeit ist “... die Eignung eines Produktes bei der Nutzung durch bestimmte Benutzer in einem bestimmten Benutzungskontext, die vorgegebenen Ziele effektiv, effizient und zufriedenstellend zu erreichen." [ISO98] Benutzbarkeit und Privacy (oder oft auch Sicherheit) können stark gegensätzlich sein 1 Privacy kann mit Privatheit übersetzt werden. Zur besseren Lesbarkeit wird aber hier immer der englisch Begriff verwende. Datenschutzfördernde Benutzungsoberflächen – Benutzbarkeit & Privacy

9. Datenschutzfördernde Benutzungsoberflächen Lösungsansatz Womit haben wir es zu tun? Privacy ist kein primäres Ziel für den Nutzer Die Auswirkungen von Privacy-relevanten Fehlern liegen (fern) in der Zukunft Ökonomische Auswirkungen dazu sind nur schwer einschätzbar Nutzer weisen eine gewisse Art von “Beratungsresistenz” auf... Was könnten wir also tun? Nutzerschulung, Kampagnen, Öffentlichkeitsarbeit etc. Aufklärung mit Blick auf Persönlichkeit und Ökonomie Privacy sichtbarer machen Privacy-relevante Fakten einfach(er) verstehbar machen. Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz

10. Datenschutzfördernde Benutzungsoberflächen Lösungsansatz – Vorbetrachtung Datenschutzmodell Mosaiktheorie Daten sind Bausteine, aus denen setzt sich das Bild zusammen Sphärentheorie Intim, privat, freundschaftlich, geschäftlich, öffentlich... Rollentheorie Ich, Vater, Freund, Chef, Passant Parameter lt. EU Direktive 95/46/EC: Pflichtparameter Wer ist der “Data Controller” Welche Daten werden benötigt Welchem Zweck dienen die Daten (Zweckbindung) Weitere Parameter sollten hinzugefügt werden Aussage bezüglich der Weitergabe der Daten an Dritte Aussagen zur sicheren Speicherung der Daten Aussagen zur Löschung der Daten, Aussagen zu vorhandenen Zertifikaten (trusted shop, etc.) Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz

11. Datenschutzfördernde Benutzungsoberflächen Lösungsansatz - Townmap Idee – statt auf dem Desktops bewege ich mich in der Stadt Mix aus Sphären- und Rollenmodell räumliche Entfernungen undGebäude symbolisieren verschiedene Situationen Graphische Oberfläche lädt zum Spielen ein Vorteile Leicht verständlich Spielerisch zu handhaben Nachteile Nutzertests haben gezeigt, dass es als zu verspielt wahrgenommen wird Nur wenige Relationen sind effektivhandhabbar, bei mehr als 4 wird's unübersichtlich Privacy bleibt unsichtbar Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - Townmap

12. Datenschutzfördernde Benutzungsoberflächen Lösungsansatz - “Send Personal Data” Idee – Wir fragen den Nutzer einfach, welche Daten er wofür verwenden möchte. Vorteile Nach Zwecken getrennt In Einzelschritte teilbar Konform zur Dir. 95/46/EC Nachteile Offensichtlich sehr komplex Unterbricht den Nutzer Nutzer verliert sich im Informationsangebot Nutzer missversteht dieWarnungen und ordnet siedem primären Ziel zu → er konfiguriert die Warnungen weg Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - PSPD

13. Datenschutzfördernde Benutzungsoberflächen Lösungsansatz - PrivPrefs Idee – Nutzer hat nur wenige Generaleinstellungen, der Rest kommt dynamisch PrivPrefs konzentrieren sich auf die wesentlichen Policy Elemente Kontakt, Zweck und Datum (Dir. 95/46/EC) 3 verschiedene Sets für 3 grundverschiedene Situationen: a) Anonym, keine Daten b) Nur die notwendigsten Daten c) Freizügig Vorteile Es lassen sich die meisten Online-Vorgänge darauf abbilden Die rechtlichen Vorgaben können gut umgesetzt werden Komplexität reduziert sich gegenüber den herkömmlichen Einstellungsseiten enorm Offene Fragen Darstellung – wie wird Privacy sichtbar? Konfiguration Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - PrivPrefs

14. Datenschutzfördernde Benutzungsoberflächen Lösungsansatz – PrivPrefs im Privacy Bar Idee: Wir zeigen die wichtigsten Informationen oberhalb des Datums an. Vorher Nachher Vorteil Räumliche Nähe der Privacy-Infos zum Datum, Sehr einfach erweiterbar, Zusatzinfos können leicht abgerufen werden. Nachteil Wird u.U. vom Service Provider nicht unterstützt, da in das Design der Website eingegriffen wird → deshalb wird das Ganzedynamisch eingeblendet Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz – PrivPrefs im Privacy Bar

15. Datenschutzfördernde Benutzungsoberflächen Validierung Frage: Wie nehmen die Nutzer unseren “Privacy Bar” wahr? Nutzerexperiment zur “Privacy Awareness” ... the user's ability to reflect the communication partner's privacy policy statements regarding purpose binding, transfer assertion and retention period applied for a data disclosure. Wir wollen wissen, ob die Nutzer die Information wahrnehmen und behalten! Konfiguration Experiment mit Fragebogen vorab zur Klassifizierung der Teilnehmer, dem eigentlichen Experiment und dem Fragebogen zur Erfassung der relevanten Parameter Auditorium Online Nutzer aus der ganzen Welt, eingeladen über mailing lists, Foren, Soziale Netzwerke, etc. Datenschutzfördernde Benutzungsoberflächen – Validierung – das Setup

16. Datenschutzfördernde Benutzungsoberflächen Validierung – Erwartete Ergebnisse Hypothese Nutzer, die unseren “Privacy Bar” benutzen, wissen besser über die Datenschutzerklärung Bescheid als die Kontrollgruppe. Wir vermuten, dass gerade weniger Privacy-bewusste Nutzer von unserem “Privacy Bar” partizipieren. Kennzahlen Zum Klassifizieren ermitteln wir den “Privacy Concerns Index” (Westin 91) und ermitteln pro Klasse unsern “Privacy Awareness Index”(einfach die Summe der Antworten des PostTests, dabei ist größer besser) Datenschutzfördernde Benutzungsoberflächen – Validierung – Erwartete Ergebnisse

17. Datenschutzfördernde Benutzungsoberflächen Onlinebefragung Vom 14.10. bis 30.11.2008 Insg. fast 500 Teilnehmer (Sprache Deutsch/Englisch) Beteiligung aus über 20 Ländern Primäre Fragestellung: Werden die angebotenen Informationen wahrgenommen? Weitere interessante Fragestellungen: Wie ist das Leseverhalten bez. Privacy Policy überhaupt... … und bezüglich Westin's Nutzerklassifi-kation (Fundamentalisten, Pragmatiker, Gleichgültige) verteilt? Machen die Klassen das, was sie behaupten? ... Validierung – Durchführung Datenschutzfördernde Benutzungsoberflächen – Validierung – Durchführung

18. Datenschutzfördernde Benutzungsoberflächen Validierung – Ergebnisse Die Frage war: Werden die angebotenen Informationen wahrgenommen? Ganz klare Antwort – Ja, sie werden! Datenschutzfördernde Benutzungsoberflächen – Validierung – Ergebnisse • Alle Klassen partizipieren davon. Weiter: • Ohne unseren “Privacy Bar” sehen die Ergebnisse ähnlich aus • Mit unserem “Privacy Bar” werden vor allem die Pragmatiker unterstützt

19. Datenschutzfördernde Benutzungsoberflächen Validierung – Ergebnisse Teaser: Fundamentalisten sind fast genau so gleichgültig wie die Gleichgültigen ABER: Unser “Privacy Bar” befriedigt wahrscheinlich das Informations-bedürfnis, dass die Gleichgültigen und Pragmatiker haben Und Unser “Privacy Bar” erinnert die Fundamentalisten daran, die Policy zu lesen. → Das wird noch genauer zu untersuchen sein Datenschutzfördernde Benutzungsoberflächen – Validierung – Ergebnisse • Eine weitere Frage war: Wie ändert sich das Leseverhalten bezüglich Privacy Policy? • Alle Klassen lesen ungefähr gleich (ohne unser Interface)

20. Datenschutzfördernde Benutzungsoberflächen Outlook Usability Untersuchungen zur Verkettbarkeit: Benutzung von Pseudonymen Benutzung von (anonymen) Credentials Usability Untersuchungen bez. Langzeittauglichkeit: Usability des PrivPref Managements Akzeptanz bei Serviceprovidern und Nutzern Konkrete Benutzungsschnittstellen: Dynamische Darstellung der PrivPrefs Symbole, Farben, Metaphern für Privacy-relevante Nachrichten ... Datenschutzfördernde Benutzungsoberflächen – Outlook

21. Datenschutzfördernde Benutzungsoberflächen Outlook – Proposal: dynamische PrivPrefs Datenschutzfördernde Benutzungsoberflächen – Outlook - Proposal

22. Danke für Ihre Aufmerksamkeit Datenschutzfördernde Benutzungsoberflächen – Literatur (Auswahl) • Council of Europe: Data Protection Directive 1995/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1995) Offical Journal No. 281, 23.11.1995. • W3C: Platform for Privacy Preferences (April 2002) • Westin, A.F., HARRIS LOUIS & ASSOCIATES: Harris-Equifax Consumer Privacy Survey. Tech. rep. (1991) Conducted for Equifax Inc. 1,255 adults of the U.S. public. • Pollach, I.: What's Wrong with Online Privacy Policies? In: Communications of the ACM archive. Volume 50., ACM Press, New York, NY, USA (September 2007), p.103-108 • Cranor, L.: P3P: Making privacy policies more useful. IEEE Security and Privacy (2003), p. 50-55 • Andreas Pfitzmann and Marit Hansen: Anonymity, unobservability, and pseudonymity - a proposal for terminology. In Proceedings of WS on Design Issues in Anonymity and Unobservability, Designing Privacy Enhancing Technologies, LNCS 2009, Revised version 0.31 of Feb. 15St 2008 • Aleecia M. McDonald and Lorrie Faith Cranor: The Cost of Reading Privacy Policies. Telecommunications Policy Research Conference, 2008. Revised September 26, Carnegie Mellon University.

23. Datenschutzfördernde Benutzungsoberflächen Details – Privacy Settings policy presentation – motivation

24. Datenschutzfördernde Benutzungsoberflächen Details – Privacy Settings Iexplorer, privBird, DRIM policy presentation – motivation

25. Datenschutzfördernde Benutzungsoberflächen Details – Privacy Settings Iexplorer, privBird, DRIM policy presentation – motivation

26. Datenschutzfördernde Benutzungsoberflächen Motivation – Privacy Awareness In the scope of this work Privacy Awareness is defined as: ... the user's ability to reflect the communication partner's privacy policy statements regarding purpose binding, transfer assertion and retention period applied for a data disclosure. policy presentation – motivation