Zum Hauptinhalt springen
Blogbeitrag

Transparenz im Datenschutz: mehr technische Analysen nötig

Für einen angemessenen Datenschutz ist es wichtig, dass Bürgerinnen und Bürger nachvollziehen können, welche Daten über sie von wem zu welchen Zwecken verarbeitet werden. Um dieses Ziel zu erreichen, müssen Dienstanbieter Transparenz schaffen, also „[…] präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache […]“ informieren (Erwägungsgrund 58 DSGVO, dsgvo-gesetz.de).

In der Praxis wird dieses Ziel oft halbherzig umgesetzt. Datenschutzerklärungen werden beispielsweise oft aus umfangreichen Standardtextbausteinen zusammengestellt, die alle möglichen – aber eben auch für die konkrete Seite irrelevanten – Eventualitäten abdecken. Dabei kommen schnell mehr als 5000 Wörter zusammen, also mehr als das Dreifache dieser Ausgabe des GI-Radars. Kein Wunder, dass die wenigsten Menschen sich vor der Nutzung eines Dienstes diese Texte durchlesen (heise.de und cranor.org).

Immer wieder wird argumentiert, dass der Ansatz einer möglichst präzisen Information des Individuums für eine angemessene Umsetzung des Datenschutzes nicht (mehr) zielführend sei (iit.educgdev.org). In der Tat gibt es kein Informationsdefizit – im Gegenteil: wir werden viel zu kleinteilig informiert und kommen nicht mehr hinterher. Auch kurz und prägnant aufbereite Informationen, etwa in gut umgesetzten „Cookie-Bannern“, werden ignoriert. In einer kürzlich veröffentlichten Studie hat die Mehrheit der Teilnehmenden solche Banner sofort mit „Alles akzeptieren“ weggeklickt (acm.org). Als Grund nannten viele, dass sie einfach so schnell wie möglich zur Webseite gelangen wollten.

Hätten diese Menschen mehr Zeit in die Entscheidung investiert, wenn man ihnen erklärt hätte, dass durch „Alles akzeptieren“ eine weitreichende Auswertung ihres Surfverhaltens erfolgt? Wohl kaum. Es erscheint widersinnig, Individuen täglich Dutzende Entscheidungen aufzubürden, die sie überfordern. Ein Ausweg wäre eine wesentlich strengere Regulierung des erlaubten Verhaltens. Die Aufsichtsbehörden sind allerdings schon mit der Durchsetzung des aktuell geltenden Rechts überfordert.

Unter der Haube konnten sich daher problematische, teilweise illegale Geschäftsmodelle etablieren, etwa das sog. Real-Time–Bidding: Jede Person, die Webseiten oder Apps nutzt, nimmt mit ihren Daten heute im Schnitt mehr als 300 mal pro Tag an vollautomatisch ablaufenden Auktionen teil (iccl.ie). Warum bezahlen Analytics–Dienste aus der ganzen Welt Geld dafür? Sie buhlen um ein kostbares Gut, unsere Aufmerksamkeit (berkeley.edu).

Um das Ausmaß solcher Praktiken zu untersuchen und Fehlverhalten zu identifizieren, helfen Erläuterungstexte und Einwilligungen nur bedingt. Es braucht mehr systematische und automatisierte technische Analysen des tatsächlichen Verhaltens von Web- und App-Angeboten.

Zuletzt fand etwa ein umfangreicher Scan Tausende von Webseiten mit „Leaky Forms“, also Eingabefeldern, deren Inhalt unbemerkt von Analysediensten ausgelesen wird (kuleuven.be und zeit.de) – in vielen Fällen ein klarer Rechtsverstoß, der abgestellt wurde, nachdem die Anbieter von den Forschenden darauf hingewiesen wurden.

In einer anderen Studie wurden mehrere Tausend Web-Anbieter aus Deutschland darauf hingewiesen, dass sie auf ihrer Seite den Dienst Google Analytics nicht rechtskonform einsetzen (usenix.org). Viele Anbieter stellten das Problem daraufhin ab, indem sie die Konfiguration anpassten. Ein Drittel der betroffenen Anbieter entschied sich hingegen dazu, Google Analytics gleich komplett abzuschalten. Kein Wunder: etliche Anbieter gaben an, dass sie bis zur Benachrichtigung gar nicht wussten, dass Google Analytics auf ihren Seiten eingebunden war. Dort hat also nur Google von den gesammelten Daten profitiert.

Das Design solcher Benachrichtigungsstudien ist zeitaufwändig und fehleranfällig (Best Practices: acm.org). Wie die Beispiele zeigen, kann die Durchführung jedoch durchaus einen Beitrag zur Verbesserung des Datenschutzes leisten. Noch effektiver wären sicherlich Benachrichtigungen, die von Aufsichtsbehörden verschickt werden. Daher sollten wir darauf hinwirken, dass ihnen zusätzliche Ressourcen bereitgestellt werden.

Diesen Beitrag hat Dominik Herrmann geschrieben. Weil Transparenz nicht nur im Datenschutz, sondern auch bei der Berichterstattung wichtig ist, möchte er Sie darauf hinweisen, dass er an der Studie zu Google Analytics und den Best Practices beteiligt war.

© Towfiqu barbhuiya - Unsplash