Wenn Onlinedienste wie Google transparent damit umgehen, welche Daten sie über ihre Nutzerinnen und Nutzer sammeln, sorgt das für mehr Vertrauen. Zu diesem Schluss kommen Forscher der Ruhr-Universität Bochum (RUB) und des Bochumer Max-Planck-Instituts für Sicherheit und Privatsphäre (MPI-SP) mit Kollegen aus den USA. In einer Onlinestudie ließen sie 153 Nutzerinnen und Nutzer die Daten einsehen, die Google über sie gespeichert hatte, und befragten die Probanden davor und danach zu ihren Datenschutzbedenken. Sie erfassten auch, ob die Teilnehmenden nach der Konfrontation mit den über sie gespeicherten Daten ihre Google-Einstellungen künftig ändern wollten.
Die Ergebnisse veröffentlichen Florian Farke und Prof. Dr. Markus Dürmuth vom Horst-Görtz-Institut für IT-Sicherheit der RUB und Dr. Maximilian Golla vom MPI-SP zusammen mit David Balash und Prof. Dr. Adam Aviv von The George Washington University auf der Konferenz USENIX Security am 11. August 2021.
Nutzerprofile für die Werbung
„Das Web finanziert sich durch Werbung, und damit diese zielgerichteter zugeschnitten werden kann, erstellen große Online-Dienste wie Google Profile über ihre Nutzer“, erklärt Florian Farke. Wann wurde welches Youtube-Video geschaut? Welche Suchbegriffe wurden bei Google eingegeben? Welche Orte wurden bei Google Maps gesucht? Und wann war man wo? All diese Daten und noch viel mehr speichert Google. Seit 2016 können Nutzerinnen und Nutzer über den Google Service „My Activity“ im Detail einsehen (mit einem Google-Konto aufrufbar via myactivity.google.com), welche Daten von ihnen gespeichert sind.
„Aus den Aktivitäten ziehen die Onlinedienste dann Schlussfolgerungen: Wenn man zum Beispiel nach Kinderspielzeug sucht, dann leitet Google daraus den Elternstatus ‚Hat Kinder‘ und Familienstand ‚In einer Beziehung ab‘“, verdeutlicht Florian Farke. „Diese Merkmale lernt Google auf Grundlage der gesammelten Aktivitäten oder leitet sie von Personen mit ähnlichen Aktivitäten ab“, ergänzt David Balash.
Weniger Sorge über Datensammelwut
Nachdem sie ihre gesammelten Aktivitäten eingesehen hatten, gaben 40 Prozent der Teilnehmerinnen und Teilnehmer der Studie an, weniger besorgt über die Datensammelwut von Google zu sein als davor; nur 15 Prozent waren mehr besorgt. „Von den Ergebnissen waren wir überrascht“, so Florian Farke. „Google tut ganz offensichtlich gut daran, ein solches Privacy Dashboard anzubieten. Es ist wie mit einem Monster in einem Horrorfilm: Je länger man es nicht zeigt, desto furchterregender wirkt es“, sagt David Balash.
Von den Teilnehmenden, die sich zum Umfang und Detailgrad der Datensammlung äußerten, war ein Großteil über die Menge der gesammelten Aktivitäten überrascht. Außerdem zeigten sich 63 Prozent der befragten Personen resigniert und gaben an, nichts an ihren Datenschutzeinstellungen ändern zu wollen. So fasste einer der Studienteilnehmer seine Verdrossenheit wie folgt zusammen: „Google verkauft meine Aktivitäten als Produkt. Ich bin nicht wirklich ein Kunde, sondern nur eine Ware. Ich werde dann mehrmals an den höchsten Bieter verkauft.”
Vorschläge für verbessertes Design
Die Forscher machen in ihrer Arbeit auch Vorschläge, wie das Design von Datentransparenz-Werkzeugen wie My Activity verbessert werden könnte, um Nutzerinnen und Nutzer weniger zu überfordern. Zum Beispiel durch die zentrale Steuerung der Datenschutzeinstellungen über mehrere Webdienste hinweg.
In Zukunft möchten sich die Forscher noch genauer anschauen, wie neue Transparenz-Werkzeuge gestaltet werden können, um Nutzerinnen und Nutzer besser darüber zu informieren, welche Daten über sie erhoben und wie diese verwendet werden.
Förderung
Die Arbeit wurde unterstützt durch das Forschungskollegs SecHuman des Landes NRW und der Deutschen Forschungsgemeinschaft (DFG) im Exzellenzcluster 2092 Cyber-Sicherheit im Zeitalter großskaliger Angreifer (CASA).
Originalveröffentlichung
Florian M. Farke, David G. Balash, Maximilian Golla, Markus Dürmuth, Adam J. Aviv: Are privacy dashboards good for end users? Evaluating user perceptions and reactions to Google’s My Activity, 30th USENIX Security Symposium, 2021, Online-Konferenz
Link zum Preprint:
https://arxiv.org/abs/2105.14066
Pressekontakt
Florian Farke
Arbeitsgruppe Mobile Security
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: +49 234 32 28669
E-Mail: florian.farke(at)rub.de
Dr. Maximilian Golla
Max-Planck-Institut für Sicherheit und Privatsphäre
Tel.: +49 234 32 28667
E-Mail: maximilian.golla(at)csp.mpg.de
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.
