26
Datenschutzfördernde Benutzungsoberflächen Ist dem Nutzer noch zu helfen? [email protected] Departure of Computer Science, Institute for System Architecture, Chair of Privacy and Security 18. Mai 2009

18. Mai 2009

  • Upload
    ira

  • View
    27

  • Download
    2

Embed Size (px)

DESCRIPTION

18. Mai 2009. Departure of Computer Science, Institute for System Architecture, Chair of Privacy and Security. Datenschutzfördernde Benutzungsoberflächen Ist dem Nutzer noch zu helfen? [email protected]. Datenschutzfördernde Benutzungsoberflächen. - PowerPoint PPT Presentation

Citation preview

Page 1: 18. Mai 2009

Datenschutzfördernde Benutzungsoberflächen

Ist dem Nutzer noch zu helfen?

[email protected]

Departure of Computer Science, Institute for System Architecture, Chair of Privacy and Security

18. Mai 2009

Page 2: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 2 von 22

Datenschutzfördernde Benutzungsoberflächen

• Eine A4 Seite hat ca. 400-500 Worte,

• Das Überfliegen einer Seite dauert

für leichten Text ca. 3-5 Minuten

Quelle: McDonald et al, 2008:

Page 3: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 3 von 22

Datenschutzfördernde Benutzungsoberflächen

Wörter pro Privacy Policy

Page 4: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 4 von 22

Datenschutzfördernde Benutzungsoberflächen

1. Motivation

2. Benutzbarkeit & Privacy

3. Lösungsansatz

4. Validierung

5. Outlook

Quelle: McDonald et al, 2008:

Page 5: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 5 von 22

Privacy im Kontext der Arbeit*: • WER (Adresse des Kontaktpartners) bekommt• WAS (welche konkreten Daten)• WOFÜF (für welchen Zweck)

PRIME Nutzertests haben gezeigt, dass

→ Privacy ist zwar gern genannt, aber oft ignoriert oder eingetauscht,

→ Warnungen und Hinweise werden oft ignoriert oder deaktiviert

Das bedeutet aber:

→ Privacy ist eine sehr persönliche Sache, schwer zu delegieren,

→ Privacy braucht aktive Teilnahme und

→ Privacy muss wahrnehmbar sein.

*und konform zur EU Direktive 95/46/EC

Motivation – Privacy Datenschutzfördernde Benutzungsoberflächen – Motivation

Page 6: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 6 von 22

Privacy Policies von Diensteanbietern ...

→ sind (in der EU) vom Gesetzgeber vorgeschrieben und reglementiert,

→ sind oft in einer Sprache verfasst, die normale Nutzer nicht verstehen...

→ werden oft sehr vage formuliert und beschönigen unliebsame Fakten, – “...Gelegentlich nutzen wir auch Informationen über Sie aus

anderen Quellen...”

– “...Um Ihre E-Mails nützlicher und interessanter gestalten zu können, erhalten wir häufig eine Bestätigung darüber, welche E-Mails von Sie von uns öffnen...”

→ werden automatisch Bestandteil des Vertrages und

→ können u.U. ohne Vorankündigung verändert werden.

→ maschinenlesbare P3P Policies werden selten angeboten.

Privacy Policies auf Nutzerseite werden oft...

→ nicht gelesen,

→ nicht verstanden und

→ nicht als Vertragsbestandteil wahrgenommen.

Motivation – Privacy PolicyDatenschutzfördernde Benutzungsoberflächen – Motivation

“...erhebt im Rahmen der geltenden Gesetze personenbezogene Bestandsdaten lt. § 14 Telemediengesetz (TMG ), §§ 3 Nr. 3, 95 Telekommunikationsgesetz (TKG)...”

Folge: Privacy Policies in der heutigen Form schützen den Diensteanbieter, nicht den Nutzer

“...erhebt im Rahmen der geltenden Gesetze personenbezogene Bestandsdaten lt. § 14 Telemediengesetz (TMG ), §§ 3 Nr. 3, 95 Telekommunikationsgesetz (TKG)...”

Page 7: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 7 von 22

Motivation – Privacy-enhancing IdM

Privacy-enhancing Identity Management:

→ versucht, den Nutzer bei der Durchsetzung seiner Privacy-Ziele zu unterstützen– Selbstbestimmung,– Datenvermeidung,– Anonymität, Unverkettbarkeit etc.– ...

→ Es existieren einige Ansätze dazu:– Browser Profiles,– iManager,– DRIM,– OpenID, Liberty Alliance, MS Cardspace,– PRIME

→ Aber: – Lösungen sind oft viel zu kompliziert– Nutzer sind oft mehr verunsichert als unterstützt (Quelle: Nutzertests PRIME)

– Lösungen sind nicht verbreitet und/oder akzeptiert

Datenschutzfördernde Benutzungsoberflächen – Motivation

Page 8: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 8 von 22

Benutzbarkeit & Privacy

Privacy1 im Kontext der Arbeit meint die interne Sicht des Nutzers auf seine persönlichen Daten, also das Recht, zu entscheiden, welche konkreten Daten anderen öffentlich oder vertraulich zugänglich gemacht werden.

Benutzbarkeit ist “... die Eignung eines Produktes bei der Nutzung durch bestimmte Benutzer in einem bestimmten Benutzungskontext, die vorgegebenen Ziele effektiv, effizient und zufriedenstellend zu erreichen." [ISO98]

Benutzbarkeit und Privacy (oder oft auch Sicherheit) können stark gegensätzlich sein

1 Privacy kann mit Privatheit übersetzt werden. Zur besseren Lesbarkeit wird aber hier immer der englisch Begriff verwende.

Datenschutzfördernde Benutzungsoberflächen – Benutzbarkeit & Privacy

Page 9: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 9 von 22

Lösungsansatz

Womit haben wir es zu tun?– Privacy ist kein primäres Ziel für den Nutzer– Die Auswirkungen von Privacy-relevanten Fehlern liegen (fern) in

der Zukunft– Ökonomische Auswirkungen dazu sind nur schwer einschätzbar – Nutzer weisen eine gewisse Art von “Beratungsresistenz” auf

...

Was könnten wir also tun?– Nutzerschulung, Kampagnen, Öffentlichkeitsarbeit etc.– Aufklärung mit Blick auf Persönlichkeit und Ökonomie

– Privacy sichtbarer machen– Privacy-relevante Fakten einfach(er) verstehbar machen.

Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz

Page 10: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 10 von 22

Lösungsansatz – Vorbetrachtung

Datenschutzmodell• Mosaiktheorie

– Daten sind Bausteine, aus denen setzt sich das Bild zusammen• Sphärentheorie

– Intim, privat, freundschaftlich, geschäftlich, öffentlich...• Rollentheorie

– Ich, Vater, Freund, Chef, Passant

Parameter lt. EU Direktive 95/46/EC:• Pflichtparameter

– Wer ist der “Data Controller”– Welche Daten werden benötigt – Welchem Zweck dienen die Daten (Zweckbindung)

• Weitere Parameter sollten hinzugefügt werden– Aussage bezüglich der Weitergabe der Daten an Dritte– Aussagen zur sicheren Speicherung der Daten– Aussagen zur Löschung der Daten, – Aussagen zu vorhandenen Zertifikaten (trusted shop, etc.)

Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz

Page 11: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 11 von 22

Lösungsansatz - Townmap

Idee – statt auf dem Desktops bewege ich mich in der Stadt • Mix aus Sphären- und Rollenmodell • räumliche Entfernungen und Gebäude symbolisieren verschiedene

Situationen• Graphische Oberfläche lädt zum Spielen ein

Vorteile• Leicht verständlich• Spielerisch zu handhaben

Nachteile• Nutzertests haben gezeigt, dass

es als zu verspielt wahrgenommen wird

• Nur wenige Relationen sind effektivhandhabbar, bei mehr als 4 wird's unübersichtlich

• Privacy bleibt unsichtbar

Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - Townmap

Page 12: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 12 von 22

Lösungsansatz - “Send Personal Data”

Idee – Wir fragen den Nutzer einfach, welche Daten er wofür verwenden möchte.

Vorteile• Nach Zwecken getrennt• In Einzelschritte teilbar• Konform zur Dir. 95/46/EC

Nachteile• Offensichtlich sehr komplex• Unterbricht den Nutzer• Nutzer verliert sich im

Informationsangebot• Nutzer missversteht die

Warnungen und ordnet siedem primären Ziel zu

→ er konfiguriert die Warnungen weg

Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - PSPD

Page 13: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 13 von 22

Lösungsansatz - PrivPrefs

Idee – Nutzer hat nur wenige Generaleinstellungen, der Rest kommt dynamisch

• PrivPrefs konzentrieren sich auf die wesentlichen Policy Elemente Kontakt, Zweck und Datum (Dir. 95/46/EC)

• 3 verschiedene Sets für 3 grundverschiedene Situationen:– a) Anonym, keine Daten– b) Nur die notwendigsten Daten– c) Freizügig

Vorteile• Es lassen sich die meisten Online-Vorgänge darauf abbilden • Die rechtlichen Vorgaben können gut umgesetzt werden• Komplexität reduziert sich gegenüber den herkömmlichen

Einstellungsseiten enorm

Offene Fragen• Darstellung – wie wird Privacy sichtbar?• Konfiguration

Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz - PrivPrefs

Page 14: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 14 von 22

Lösungsansatz – PrivPrefs im Privacy Bar

Idee: Wir zeigen die wichtigsten Informationen oberhalb des Datums an.

Vorher Nachher

Vorteil• Räumliche Nähe der Privacy-Infos zum Datum,• Sehr einfach erweiterbar, • Zusatzinfos können leicht abgerufen werden.

Nachteil• Wird u.U. vom Service Provider nicht

unterstützt, da in das Design der Website eingegriffen wird

→ deshalb wird das Ganzedynamisch eingeblendet

Datenschutzfördernde Benutzungsoberflächen – Lösungsansatz – PrivPrefs im Privacy Bar

Page 15: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 15 von 22

Validierung

Frage: Wie nehmen die Nutzer unseren “Privacy Bar” wahr?

• Nutzerexperiment zur “Privacy Awareness”– ... the user's ability to reflect the communication partner's privacy policy statements regarding

purpose binding, transfer assertion and retention period applied for a data disclosure.

• Wir wollen wissen, ob die Nutzer die Information wahrnehmen und behalten!

Konfiguration• Experiment mit

– Fragebogen vorab zur Klassifizierung der Teilnehmer,– dem eigentlichen Experiment und– dem Fragebogen zur Erfassung der relevanten Parameter

Auditorium• Online Nutzer aus der ganzen Welt, eingeladen über mailing lists, Foren,

Soziale Netzwerke, etc.

Datenschutzfördernde Benutzungsoberflächen – Validierung – das Setup

Page 16: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 16 von 22

Validierung – Erwartete Ergebnisse

Hypothese

• Nutzer, die unseren “Privacy Bar” benutzen, wissen besser über die

Datenschutzerklärung Bescheid als die Kontrollgruppe.

• Wir vermuten, dass gerade weniger Privacy-bewusste Nutzer von unserem “Privacy Bar” partizipieren.

Kennzahlen

• Zum Klassifizieren ermitteln wir den “Privacy Concerns Index” (Westin 91)

• und ermitteln pro Klasse unsern “Privacy Awareness Index”

(einfach die Summe der Antworten des PostTests, dabei ist größer besser)

Datenschutzfördernde Benutzungsoberflächen – Validierung – Erwartete Ergebnisse

Page 17: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 17 von 22

Onlinebefragung• Vom 14.10. bis 30.11.2008• Insg. fast 500 Teilnehmer

(Sprache Deutsch/Englisch)• Beteiligung aus über 20 Ländern

Primäre Fragestellung:• Werden die angebotenen Informationen

wahrgenommen?

Weitere interessante Fragestellungen:• Wie ist das Leseverhalten bez. Privacy

Policy überhaupt...• … und bezüglich Westin's Nutzerklassifi-

kation (Fundamentalisten, Pragmatiker, Gleichgültige) verteilt?

• Machen die Klassen das, was sie behaupten?

• ...

Validierung – DurchführungDatenschutzfördernde Benutzungsoberflächen – Validierung – Durchführung

Page 18: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 18 von 22

Validierung – Ergebnisse

Die Frage war: Werden die angebotenen Informationen wahrgenommen? • Ganz klare Antwort – Ja, sie werden!

Datenschutzfördernde Benutzungsoberflächen – Validierung – Ergebnisse

• Alle Klassen partizipieren davon.

Weiter:• Ohne unseren “Privacy Bar”

sehen die Ergebnisse ähnlich aus• Mit unserem “Privacy Bar”

werden vor allem die Pragmatiker unterstützt

Page 19: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 19 von 22

Validierung – Ergebnisse

• Teaser: Fundamentalisten sind fast genau so gleichgültig wie die Gleichgültigen

ABER:• Unser “Privacy Bar” befriedigt

wahrscheinlich das Informations-bedürfnis, dass die Gleichgültigen und Pragmatiker haben

Und• Unser “Privacy Bar” erinnert die

Fundamentalisten daran, die Policy zu lesen.

• → Das wird noch genauer zu• untersuchen sein

Eine weitere Frage war: Wie ändert sich das Leseverhalten bezüglich Privacy Policy? • Alle Klassen lesen ungefähr gleich (ohne unser Interface)

Datenschutzfördernde Benutzungsoberflächen – Validierung – Ergebnisse

Page 20: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 20 von 22

Outlook

Usability Untersuchungen zur Verkettbarkeit:

• Benutzung von Pseudonymen• Benutzung von (anonymen) Credentials

Usability Untersuchungen bez. Langzeittauglichkeit:

• Usability des PrivPref Managements• Akzeptanz bei Serviceprovidern und Nutzern

Konkrete Benutzungsschnittstellen:

• Dynamische Darstellung der PrivPrefs • Symbole, Farben, Metaphern für Privacy-relevante Nachrichten• ...

Datenschutzfördernde Benutzungsoberflächen – Outlook

Page 21: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 21 von 22

Outlook – Proposal: dynamische PrivPrefsDatenschutzfördernde Benutzungsoberflächen – Outlook - Proposal

Page 22: 18. Mai 2009

Council of Europe: Data Protection Directive 1995/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1995) Offical Journal No. 281, 23.11.1995.

W3C: Platform for Privacy Preferences (April 2002)

Westin, A.F., HARRIS LOUIS & ASSOCIATES: Harris-Equifax Consumer Privacy Survey. Tech. rep. (1991) Conducted for Equifax Inc. 1,255 adults of the U.S. public.

Pollach, I.: What's Wrong with Online Privacy Policies? In: Communications of the ACM archive. Volume 50., ACM Press, New York, NY, USA (September 2007), p.103-108

Cranor, L.: P3P: Making privacy policies more useful. IEEE Security and Privacy (2003), p. 50-55

Andreas Pfitzmann and Marit Hansen: Anonymity, unobservability, and pseudonymity - a proposal for terminology. In Proceedings of WS on Design Issues in Anonymity and Unobservability, Designing Privacy Enhancing Technologies, LNCS 2009, Revised version 0.31 of Feb. 15St 2008

Aleecia M. McDonald and Lorrie Faith Cranor: The Cost of Reading Privacy Policies. Telecommunications Policy Research Conference, 2008. Revised September 26, Carnegie Mellon University.

Datenschutzfördernde Benutzungsoberflächen – Literatur (Auswahl)

Danke für Ihre Aufmerksamkeit

Page 23: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 23 von 22

Details – Privacy Settingspolicy presentation – motivation

Page 24: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 24 von 22

Details – Privacy Settings

Iexplorer, privBird, DRIM

policy presentation – motivation

Page 25: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 25 von 22

Details – Privacy Settings

Iexplorer, privBird, DRIM

policy presentation – motivation

Page 26: 18. Mai 2009

18. Mai 2009 Datenschutzfördernde Benutzungsoberflächen Page 27 von 22

Motivation – Privacy Awareness

In the scope of this work Privacy Awareness is defined as:

... the user's ability to reflect the communication partner's privacy policy statements regarding purpose binding, transfer assertion and retention period applied for a data disclosure.

policy presentation – motivation