hallo

Ich beschäftige mich in meinem Beitrag mit dem Artikel „Privacy Policy Disclosures of Behavioural Tracking on Consumer Health Websites“ von Jacquelyn Burkell und Alexandre Fortier (2013).

Einführung:

Die Autoren des Papers untersuchen die  Qualität der Aufklärung von Nutzern über das Sammeln von nicht personenbezogenen Daten auf „consumer health information websites“ durchdie Website-Privatsphäre-Richtlinien. Die untersuchten Websites nutzen alle First- und Third-Party Cookies und sogenannte Web Beacons, praktizieren also aktiv Behavioural Tracking und erlauben auch Drittbetreibern dies auf ihren Seiten zu tun.

„Our question is simple: Do these website privacy policies effectively inform of behavioural tracking practices?“

Um diese Frage zu beantworten haben sich die Autoren zuerst kurz mit dem rechtlichen Hintergrund auseinandergesetzt und sind zu dem Schluss gekommen, dass die Vorgaben in diesem Bereich meist als Richtlinien formuliert sind und nicht als zwingende Gesetze. Der Bedarf nicht personenbezogene Daten zu schützen ist in erst in den letzten Jahren enorm gestiegen, da sich die Technologien und Tools der Datenanalyse und des Behavioural Trackings enorm weiterentwickelt haben.

Die Wahl der Websites rechtfertigen die Autoren zweierlei. Einerseits mit der zunehmenden Häufigkeit, mit der sich Konsumenten Gesundheits-bezogene Informationen aus genannten Websites beschaffen und  andererseits mit der hohen Sensibilität dieser Daten.

Schlussendlich wird die oben zitierte Frage von den Autoren in der qualitativen Analyse der Website-Privatsphärerichtlinien auf folgende 2 Fragen heruntergebrochen:

Sind User von diesen Websites darüber informiert, dass nicht personenbezogene Daten gesammelt werden und im Besonderen welche Daten gesammelt werden?

Sind die User darüber informiert, welche Technologien auf der Website verwendet werden um Daten zu sammeln?

Methodisch gehen die Autoren folgendermaßen vor:

Die sieben Websites die im Zuge dieser Studie analysiert wurden, waren unter 88 Aufklärungswebseiten über Konsumentengesundheit, die von Bibliotheksverbünden wie der Canadian Health Library Association und der Medical Library Association empfohlen werden.

Diese Seiten repräsentieren ein zweckmäßiges Sample aus den empfohlenen Seiten: Third-Party Tracker wurden auf all diesen Seiten beobachtet; es wurden sowohl kommerzielle als auch offizielle Regierungs-Websites inkludiert; das Sample beinhaltet Seiten die Tracking-Methoden in relativ geringem Ausmaß benutzen und Seiten die dies in relativ hohem Ausmaß tun.

Bei jeder der ausgewählten Seiten konnte festgestellt werden, dass sie sowohl First – und Third-Party Cookies verwenden als auch Web Beacons als Mechanismen für das Behavioural Tracking betreiben beziehungsweise zulassen. Diese Cookies und Web-Beacons wurden alle auf den öffentlich zugänglichen Teilen der Seite, die ohne Anmeldung oder Registrierung nutzbar sind, entdeckt.

First-Party Cookies: wurden von der Seite selbst verwendet um eine personalisierte Sitzung zu erlauben. Sie wurden über einen gewissen Zeitraum nach der Nutzung der Website erhalten, erlauben aber keine Verfolgung des weiteren Surfverhaltens über verschiedene Websites und bergen nur ein geringes Potential zur Bedrohung der Privatsphäre des Nutzers.

Third Party Cookies: arbeiten auf ähnlich Weise wie First-Party Cookies, nur dass sie von Drittbetreibern gesetzt werden, um beispielsbeweise Kontext-bezogene Werbung schalten zu können.
Typischerweise verfolgen Third-Party Cookies folgende Informationen:

-        das Datum und die Zeit zu der der Besuch auf der Seite stattgefunden hat

-        die IP Adresse

-        die Art des Browsers

-        die Adresse der Webseite

-        Advertisement Clickthrough

Web Beacons: Auch Web Bugs oder unsichtbare gifs genannt, schöpfen ähnliche Informationen ab wie Third-Party Cookies, sind technisch aber etwas anders umgesetzt.

Die Web-Policies dieser Sites sollen nun auf  Ausführlichkeit und Klarheit in der Formulierung der Privatsphäre-Bestimmungen, in Bezug auf das Sammeln und die Verwendung von nicht personenbezogenen Daten und der Nutzung von damit in Verbindung stehenden Mechanismen untersucht werden. (dies wird oft anhand von Ausschnitten der Privatsphäre-Bestimmungen getan). Bei der Analyse wird auf die Studie von Pollach (2005) zurückgegriffen, bei der auf eine Vielfalt von sprachlichen Strategien eingegangen wird, die dazu nutzen sollen, das Nutzerverständnis von Website Praktiken einzuschränken. Beispiele für diese Strategien sind Abschwächung, Verstärkung, Verschleierung der Realität, und Beziehungsbildung.

Die Studie brachte folgende Resultate hervor:

Es wurden auf jeder Seite:

-          zwischen 4 und 18 First-Party Cookies (Speicherdauer: bis zu 30 Jahren),

-          zwischen 13 und 119 Third-Party Cookies (Speicherdauer bis zu 6 Monaten)

-          und zwischen 5 und 40 Web Beacons

verwendet.

Zu Anfang wurde sofort erkannt, dass eine der analysierten Seiten trotz der Nutzung von First- und Third-Party Cookies keinerlei Privatsphäre-Bestimmungen zur Verfügung gestellt wurden. Die Autoren konzentrierten sich deshalb im weiteren Verlauf der Analyse auf die sechs übrig gebliebenen Web-Sites.
Jede der übrig gebliebenen Seiten weist eine direkte Erwähnung der Nutzung von First-Party Cookies die zum Sammeln von nicht personenbezogenen Daten eingesetzt werden auf. Fünf von den Seiten diskutierten zusätzlich explizit die Nutzung von Third-Party Cookies.

Die Aufklärung über First-Party Cookies ist bei fast allen Seiten ausführlicher als die über Third-Party Cookies. Fünf von Sechs haben Third-Party Cookies zumindest in irgendeiner Weise diskutiert, zwei davon sehr ausführlich, inklusive einer Liste welche Daten genau von den Drittparteien gesammelt werden.

Folgende Schlüsse wurden gezogen:

Die Autoren analysieren auch immer wieder die Sprachmerkmale der Richtlinien, wobei auffällt, dass fünf von sieben Sites die Nutzung von First- und Third-Party Cookies und Behavioural Tracking anerkennen. Allerdings wird die Effektivität der Aufklärung über solche Mechanismen durch die Nutzung von komplexer Sprache und passiven und manchmal konditionellen Verwendung von grammatikalischen Bauweisen teilweise untergraben. In manchen Bestimmungen wird der Eindruck vermittelt, dass die Third-Party Cookies nur verwendet werden, um gezielte Ads zu schalten, von der möglichen Speicherung und Analyse der Informationen ist keine Rede.

Alle Seiten erwähnen die Möglichkeit First-Party Cookies zu deaktivieren, jedoch immer in Kombination mit der Warnung, dass die Seite dann nicht mehr richtig oder nur mehr eingeschränkt funktionieren könnte, was den Nutzer dazu veranlassen könnte eine solche Deaktivierung zu vermeiden. Es kommt dazu, dass mit der Deaktivierung von Cookies immer noch Technologien wie Web Beacons aktiv bleiben, was wiederum nicht erwähnt wird. Der User könnte also annehmen, dass mit der Deaktivierung der Cookies keine nicht personenbezogenen Daten mehr gesammelt werden würden.
Vier von sechs Seiten geben Auskunft über die Deaktivierung von Third-Party Cookies, verweisen dafür aber auf die Privatsphäre-Bestimmungen der Drittanbieter. Man erhält die Information darüber also nicht direkt auf der betroffenen Seite, sondern muss auf andere Seiten ausweichen.

Bezug zum Thema:

Die Ergebnisse der Studie sind interessant aber nicht sonderlich überraschend. Eigentlich hatte ich zwar vermutet, dass die Ergebnisse in Bezug auf die Qualität der Aufklärung etwas schlechter ausfallen würden, wenn man allerdings bedenkt, dass die Seiten so ausgewählt wurden, dass man davon ausgehen kann, dass es sich um sehr seriöse Websites mit seriösen Inhalten handelt, ist das Ergebnis nicht mehr so unerwartet.
Ich habe die Studie aber dennoch gewählt, da ich finde, dass sie sehr gut aufzeigt, mit welchen Problemen sich der Konsument des 21. Jahrhunderts auseinandersetzen muss, wenn er einen Überblick darüber behalten will, welche Daten von ihm gespeichert und analysiert werden und wie dadurch sein Verhalten antizipiert werden kann. Auf der anderen Seite zeigt der Artikel welche Handlungen von Website-Betreibern gesetzt werden müssen, um eine zureichende Aufklärung des Nutzers in diesen Belangen gewährleisten zu können.

Quelle:

J. Burkell, A. Fortier (2013). Privacy Policy Disclosures of Behavioural Tracking on Consumer Health Websites.

https://www.asis.org/asist2013/proceedings/submissions/papers/116paper.pdf

zuletzt abgerufen am: 05.11.14