{"id":5859,"date":"2020-09-24T08:12:58","date_gmt":"2020-09-24T06:12:58","guid":{"rendered":"https:\/\/blog.iese.fraunhofer.de\/?p=5859"},"modified":"2024-02-06T16:51:05","modified_gmt":"2024-02-06T15:51:05","slug":"benutzerfreundliche-datenschutzeinstellungen-3","status":"publish","type":"post","link":"https:\/\/www.iese.fraunhofer.de\/blog\/benutzerfreundliche-datenschutzeinstellungen-3\/","title":{"rendered":"Benutzerfreundliche Datenschutzeinstellungen (3\/4) \u2013 Die Dom\u00e4ne verstehen!"},"content":{"rendered":"

In diesem dritten Artikel unserer Blog-Beitragsserie zum Thema \u00bbBenutzerfreundliche Datenschutzeinstellungen\u00ab m\u00f6chten wir erl\u00e4utern, warum es wichtig ist, die Anwendungsdom\u00e4ne zu verstehen, und Ihnen einen Einblick geben, wie wir hierbei vorgehen. Im ersten, einleitenden Artikel<\/a> unserer insgesamt vierteiligen Serie haben wir die Problemstellung rund um das Thema Datenschutzeinstellungen skizziert. Im zweiten Artikel<\/a> haben wir dazu erl\u00e4utert, wie man ein besseres Verst\u00e4ndnis f\u00fcr Nutzer*innen von Datenschutzeinstellungen schafft. In diesem Artikel gehen wir darauf ein, wie man die Datenschutzbed\u00fcrfnisse in einer Anwendungsdom\u00e4ne besser verstehen kann, um die Datenschutzeinstellungen f\u00fcr eine konkrete Applikation gestalten zu k\u00f6nnen.<\/p>\n

Was wollen wir eigentlich sch\u00fctzen?<\/h3>\n

Wir sind \u00fcberzeugt davon, dass die Benutzerfreundlichkeit der Datenschutzeinstellungen vieler Online-Dienste verbessert werden kann. Im zweiten Artikel unserer Blogserie haben wir uns daher angeschaut, wie man Einstellungsm\u00f6glichkeiten f\u00fcr den Datenschutz besser an die Nutzer*innen anpassen kann. Dies betraf insbesondere die Art und Weise, wie Nutzer*innen ihre Einstellungen t\u00e4tigen k\u00f6nnen. Bisher haben wir aber noch nicht diskutiert, welche Datenschutzbed\u00fcrfnisse in einer Anwendungsdom\u00e4ne \u00fcberhaupt existieren. Wir sehen eine Anwendungsdom\u00e4ne des Datenschutzes hier als eine konkrete Applikation inklusive ihrer Interaktion mit anderen Applikationen (eigene Dienste, Dienste Dritter, Verwaltungssysteme etc.) und beteiligten Parteien (Nutzer*innen, Analyst*innen, Anbieter*innen, etc.). Beispiele f\u00fcr eine Anwendungsdom\u00e4ne sind ein soziales Netzwerk (z.B. Facebook oder ebay), ein konkretes Betriebssystem (z.B. Windows oder Android) oder ein Digitales \u00d6kosystem mit seinen Diensten (z.B. Airbnb oder Uber). In jeder dieser Anwendungsdom\u00e4nen k\u00f6nnen personenbezogene Daten verarbeitet werden. Also sollten Nutzer*innen die M\u00f6glichkeit bekommen, diese Verarbeitungen zu steuern.<\/p>\n

Um den Bedarf an Datenschutz in einer Anwendungsdom\u00e4ne zu bestimmen, muss zun\u00e4chst ermittelt werden, welche Daten der Nutzer*innen sch\u00fctzenswert sind. Meist sind dies bestimmte Daten \u00fcber einen selbst, \u00fcber eigene Vorlieben, Verhalten, Werte und Besitz, \u00fcber eigene Werke, von denen man der Urheber ist, oder \u00fcber Personen im eigenen Umfeld. M\u00f6chte nun ein Dritter, zum Beispiel ein Werbepartner eines sozialen Netzwerks, diese Daten verarbeiten, um zielgerichtetere Werbung anzuzeigen, kann dies im Widerspruch zu den eigenen Datenschutzbed\u00fcrfnissen einer Nutzerin oder eines Nutzers stehen. Ein solcher Widerspruch ist eine Bedrohung f\u00fcr den eigenen Datenschutz. Um den Bedrohungen entgegenzuwirken, m\u00fcssen Schutzma\u00dfnahmen ergriffen werden. Eine Schutzma\u00dfnahme kann hierbei vielf\u00e4ltig ausgestaltet sein. Ein Beispiel w\u00e4re eine technische Ma\u00dfnahme in Form einer Anonymisierungsfunktion an der Datenschnittstelle zu einem Partnerunternehmen (z.B. Werbefirmen). Nutzer*innen sollen also in die Lage versetzt werden, ihre Datenschutzeinstellungen selbst zu t\u00e4tigen, um Schutzma\u00dfnahmen auszuw\u00e4hlen. Wichtig hierbei ist, dass es benutzerfreundliche Datenschutzeinstellungen sind. Die nachfolgende Grafik fasst die Zusammenh\u00e4nge zusammen.<\/p>\n

\"Zusammenhang
Zusammenhang von Daten, Bedrohungen und Schutzma\u00dfnahmen in der Anwendungsdom\u00e4ne<\/figcaption><\/figure>\n

Bevor geeignete Schutzma\u00dfnahmen in den Datenschutzeinstellungen spezifiziert werden k\u00f6nnen, m\u00fcssen diese zun\u00e4chst f\u00fcr die Anwendungsdom\u00e4ne identifiziert werden.<\/p>\n

Wie ermitteln wir den Schutzbedarf in der Anwendungsdom\u00e4ne?<\/h3>\n

Derzeit existiert eine Vielzahl an Beschreibungen zu Schutzma\u00dfnahmen in Standards wie der ISO 27000-Reihe, dem BSI Grundschutzkompendium, den Common Criteria sowie dom\u00e4nenspezifischen Richtlinien. Zus\u00e4tzlich existiert mit der Datenschutzgrundverordnung die gesetzliche Notwendigkeit, Ma\u00dfnahmen f\u00fcr den Datenschutz zu ergreifen, sobald personenbezogene Daten verarbeitet werden.<\/p>\n

Die Entwickler des zu sch\u00fctzenden Systems m\u00fcssen in der Anwendungsdom\u00e4ne die passenden Schutzma\u00dfnahmen f\u00fcr den optimalen Schutz der Nutzenden und ihrer Daten identifizieren. Ma\u00dfnahmen erh\u00f6hen zwar den Schutz der Daten, k\u00f6nnen aber Gesch\u00e4ftsmodelle bzw. deren Wirtschaftlichkeit und die Benutzerfreundlichkeit f\u00fcr den Nutzenden beeintr\u00e4chtigen. Wir beobachten vermehrt eine Abh\u00e4ngigkeit dieser drei Bereiche in einem Qualit\u00e4tsdreieck (siehe folgende Grafik). Versucht man, einen Bereich zu stark zu verbessern, werden die anderen Bereiche wom\u00f6glich verschlechtert. Datenzentrierte Dienste nutzen verst\u00e4rkt Daten von Nutzer*innen, um im Rahmen der Gesch\u00e4ftsmodelle Mehrwerte zu generieren und Funktionalit\u00e4t zu bieten. Dies kann den Datenschutz f\u00fcr die Nutzer*innen beeintr\u00e4chtigen. Komplexe Schutzma\u00dfnahmen k\u00f6nnen in ihrer Handhabung f\u00fcr die Nutzenden komplizierter sein und die Benutzerfreundlichkeit im Umgang mit einer Applikation verschlechtern.<\/p>\n

\"Qualit\u00e4tsdreieck<\/a>
Qualit\u00e4tsdreieck Datenschutz – Benutzerfreundlichkeit – Funktionalit\u00e4t & Wirtschaftlichkeit<\/figcaption><\/figure>\n

Es muss eine Balance zwischen den Qualit\u00e4tseigenschaften gefunden werden, um benutzerfreundliche Datenschutzeinstellungen zu erreichen. Es gilt also abzuw\u00e4gen, welche Schutzma\u00dfnahmen f\u00fcr die Anwendungsdom\u00e4ne geeignet sind. Zudem m\u00fcssen Entwickler*innen entscheiden, welche Schutzma\u00dfnahmen f\u00fcr alle Nutzenden implementiert werden (\u00bbPrivacy by Design\u00ab), welche vom Nutzenden konfigurierbar sein sollen und welche Standardeinstellungen f\u00fcr einen neuen Nutzenden gew\u00e4hlt werden (\u00bbPrivacy by Default\u00ab).\u00a0 Um diese Entscheidungen zu treffen, ist ein tiefgreifendes Verst\u00e4ndnis der Anwendungsdom\u00e4ne und ihrer Nutzer*innen erforderlich. Dabei sind folgende Aspekte relevant:<\/p>\n