TU Darmstadt / ULB / TUprints

Untersuchung des Beitrags von Webseitenbetreibenden zur Entstehung und Behebung von Privatsphärerisiken

Stöver, Alina (2023)
Untersuchung des Beitrags von Webseitenbetreibenden zur Entstehung und Behebung von Privatsphärerisiken.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00024110
Ph.D. Thesis, Primary publication, Publisher's Version

[img] Text
Dissertation_Stoever.pdf
Copyright Information: CC BY-SA 4.0 International - Creative Commons, Attribution ShareAlike.

Download (2MB)
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Untersuchung des Beitrags von Webseitenbetreibenden zur Entstehung und Behebung von Privatsphärerisiken
Language: German
Referees: Vogt, Prof. Dr. Joachim ; Marky, Prof. Dr. Karola
Date: 2023
Place of Publication: Darmstadt
Collation: ix, 111 Seiten
Date of oral examination: 27 March 2023
DOI: 10.26083/tuprints-00024110
Abstract:

Privatsphärerisiken auf Webseiten sind weitverbreitet und führen zu Einschränkungen der Privatsphäre von Nutzenden. Die bisherige Forschung hat sich überwiegend mit der Perspektive der Nutzenden beschäftigt und Lösungen entwickelt, um diese zu unterstützen. Hinter jeder Webseite stehen jedoch Webseitenbetreibende, die mit ihren Entscheidungen potenziell Einfluss auf das Entstehen bzw. Bestehen von Privatsphärerisiken nehmen können. In der vorliegenden Arbeit wird die Perspektive von Webseitenbetreibenden untersucht, um besser zu verstehen, wie diese zur Entstehung und zum Bestehen von Privatsphärerisiken auf Webseiten beitragen. Der erste Teil der Arbeit ist der Herausforderung von Webseitenbetreibenden gewidmet, bestehende Privatsphärerisiken auf ihrer Webseite zu beheben. Diese Herausforderung wird beispielhaft an der Behebung einer bestehenden Fehlkonfiguration (fehlende IP-Anonymisierung) eines auf der Webseite eingebundenen Analysetools (Google Analytics) durch die Webseitenbetreibenden untersucht. Dazu wurde eine mehrteilige Studie durchgeführt. Zunächst wurden 4594 Webseitenbetreibende im Rahmen eines Feldexperiments mit Briefen und E-Mails über die fehlende IP-Anonymisierung auf ihrer Webseite benachrichtigt. Um die Hintergründe besser zu verstehen, wurden 477 Webseitenbetreibende im Anschluss mittels Fragebogen befragt. Insgesamt 1043 Rückmeldungen von Webseitenbetreibenden auf die vorausgegangenen Benachrichtigungen dienten als Datengrundlage für eine quantitative sowie eine qualitative Analyse. Die Ergebnisse zeigen, dass zu den Ursachen für bestehende Privatsphärerisiken auf Webseiten neben fehlendem Bewusstsein der Webseitenbetreibenden auch unklare Zuständigkeiten, fehlerhafte technische Umsetzung und mangelnde Wartung der Webseite zählen. Webseitenbetreibende unterscheiden sich von anderen Personengruppen, die Systeme entwickeln und betreiben (z. B. Entwickler:innen), u. a. dahingehend, dass sie teilweise nur über geringes technisches Wissen verfügen. Webseitenbetreibende haben verschiedene Hintergründe und Rahmenbedingungen. Sie reichen von Privatpersonen, die mit der Webseite einer Freizeitbeschäftigung nachgehen, über Selbständige, die ihre Produkte vertreiben wollen, bis zu Vollzeitangestellten, die ein großes Unternehmen repräsentieren. Entsprechend ihrer Rahmenbedingungen variieren die Hürden, die Webseitenbetreibende beim Beheben von Privatsphärerisiken überwinden müssen. Diese Hürden reichen von fehlendem technischen Wissen bis zu zähen Organisationsprozessen. Es besteht ein großer Unterstützungsbedarf bei der Behebung von Privatsphärerisiken. Maßnahmen müssen auf die unterschiedlichen Bedürfnisse und Rahmenbedingungen verschiedener Webseitenbetreibenden angepasst sein, um effektiv zu sein. Durch die Arbeit wird aufgezeigt, wie eine Unterstützungsmaßnahme in Form einer Benachrichtigung gestaltet sein sollte, die bei Webseitenbetreibenden sowohl Bewusstsein schafft als auch beim Beheben von Privatsphärerisiken unterstützt. Der erste Teil der Arbeit impliziert, dass es sinnvoll sein kann, Webseitenbetreibende nicht nur bei der Behebung von Privatsphärerisiken zu unterstützen, sondern auch bei der Entstehung von Privatsphärerisiken anzusetzen, um diese zu vermeiden. Der zweite Teil der Arbeit befasst sich mit der Herausforderung der Vermeidung von Privatsphärerisiken aus Sicht der Webseitenbetreibenden, die am Beispiel der Erstellung von Cookie-Einwilligungsklärungen untersucht wird. Dazu wurde in zwei aufeinanderfolgenden Studien u. a. sowohl die Präferenz von 376 Nutzenden als auch die von 195 Webseitenbetreibenden hinsichtlich verschiedener Gestaltungsvarianten von Cookie-Einwilligungserklärungen untersucht. Die Ergebnisse zeigen, dass Nutzende Gestaltungsvarianten von Cookie-Einwilligungserklärungen präferieren, die privatsphärefreundliche Entscheidungen fördern und keine Design-Elemente enthalten, die sie zur Zustimmung verleiten (sog. Deceptive Designs; dt. irreführende Gestaltung). Webseitenbetreibende schätzen die Nutzendenpräferenz größtenteils korrekt ein, orientieren sich bei der Auswahl einer Gestaltungsvariante jedoch nur zum Teil daran. Webseitenbetreibende, die mit den durch Cookies gespeicherten Daten Einnahmen generieren, wählen häufiger eine Gestaltungsvariante, die Deceptive Designs enthält und die Privatsphäre der Nutzenden einschränkt. Dabei scheint die Popularität der Webseite eine untergeordnete Rolle zu spielen. Ein Großteil der Webseitenbetreibenden in der untersuchten Stichprobe präferiert jedoch privatsphärefreundliche Gestaltungvarianten. Immer häufiger greifen Webseitenbetreibende bei der Erstellung von Einwilligungserklärungen auf die Vorlagen von Consent Management Platforms (CMPs) zurück. Um zu untersuchen, inwiefern sie mit diesen Vorlagen Einwilligungserklärungen ohne Deceptive Designs generieren und damit Privatsphärerisiken vermeiden können, wurden im Rahmen einer weiteren Studie die Vorlagen von 15 populären CMPs analysiert. Die Ergebnisse zeigen, dass es für Webseitenbetreibende nur eingeschränkt möglich ist, mit den Vorlagen der CMPs Einwilligungserklärungen ohne Deceptive Designs zu erstellen. Die Vorlagen der CMPs erschweren es also Webseitenbetreibenden, Privatpshärerisiken zu vermeiden, und sind ein möglicher Erklärungsansatz für die weite Verbreitung von Deceptive Designs in Cookie-Einwilligungserklärungen. Die Erkenntnisse der vorliegenden Arbeit helfen dabei, die Gruppe der Webseitenbetreibenden mit ihren Herausforderungen beim Beheben bzw. Vermeiden von Privatsphärerisiken besser zu verstehen. Dieses Verständnis kann als Grundlage für die Entwicklung gezielter und wirkungsvoller Maßnahmen zur Unterstützung von Webseitenbetreibenden dienen. Webseitenbetreibende dabei zu unterstützen, die Privatsphäre der Nutzenden besser zu schützen, entlastet zugleich die Nutzenden. Damit soll die Arbeit auch einen Beitrag zur Verbesserung der Privatsphäre von Nutzenden leisten.

Alternative Abstract:
Alternative AbstractLanguage

Privacy risks on websites are widespread and affect the privacy of users. Previous research has mainly focused on the perspective of users and developed solutions to support them. However, behind every website is a website operator whose decisions can potentially influence the emergence or existence of privacy risks. This dissertation focuses on the perspective of website operators and helps to better understand how they contribute to the emergence and existence of privacy risks on websites. The first part of the dissertation is dedicated to the challenge of website operators in addressing existing privacy risks on their websites. This challenge is investigated using the example of website operators' remediation of an existing misconfiguration (lack of IP anonymization) of an analytics tool (Google Analytics) embedded on the website. For this purpose, a multi-part study was conducted. First, 4,594 website operators were notified by letter and email about the missing IP anonymization on their website as part of a field experiment. To better understand the background, 477 website operators were subsequently surveyed via questionnaire. A total of 1,043 responses from website operators to the previous notifications served as the data basis for a quantitative and a qualitative analysis. The results show that the reasons for existing privacy risks on websites include a lack of awareness on the part of website operators, unclear responsibilities, faulty technical implementation, and a lack of website maintenance. Website operators differ from other groups of people who develop and operate systems (e.g., developers) insofar as they sometimes have only limited technical knowledge. Website operators have different backgrounds and circumstances. These range from private individuals who pursue a leisure activity with their website, to self-employed individuals who want to sell their products, to full-time employees who represent a large company. According to their backgrounds, the hurdles website operators face in addressing privacy risks vary. These hurdles range from a lack of technical knowledge to tough organizational processes. There is a great need for support in remediating privacy risks. Measures need to be adapted to the different needs and frameworks of different website operators to be effective. This work shows how a support measure in the form of a notification should be designed to both raise awareness and assist website operators in remediating privacy risks. The first part of the thesis implies that it may be useful to support website operators not only in remedying privacy risks but also in preventing privacy risks from arising in the first place. The second part of the dissertation focuses on the challenge of avoiding privacy risks from the perspective of website operators, which was investigated using the example of the creation of cookie consent notices. In two subsequent studies, the preferences of 376 users as well as those of 195 website operators were investigated with regard to different design variants of cookie consent notices. The results show that users prefer cookie consent notices that promote privacy-friendly choices and do not contain design elements that would induce them to consent (so-called Deceptive Designs). Most website operators correctly assess user preferences but only partially follow them when selecting a design variant. Website operators who generate revenue with the data stored by cookies are more likely to choose a design variant that contains Deceptive Designs and thus restricts the privacy of users. The popularity of the website seems to play a subordinate role. However, a large proportion of the website operators studied in the sample prefer privacy-friendly design variants. Website operators are making increasing use of the templates of consent management platforms (CMPs) when creating consent notices. To investigate the extent to which they can use these templates to generate consent notices without deceptive designs and thus avoid privacy risks, a further study analyzed the templates of 15 popular CMPs. The results show that it is only possible to a limited extent for website operators to generate consent notices without deceptive designs using the templates of the CMPs. Thus, the CMPs' templates make it difficult for website operators to avoid privacy risks and are a possible explanation for the widespread use of deceptive designs in cookie consent notices. The findings of this dissertation help to better understand website operators and their challenges in remediating or avoiding privacy risks. This understanding can serve as the basis for developing purposeful and effective interventions to support website operators. Supporting website operators in better protecting the privacy of users also relieves the burden placed on users. Ultimately, this work also aims to contribute to improving the privacy of users.

English
Uncontrolled Keywords: Usable Privacy, Privatsphäre, Datenschutz, Webseitenbetreibende, Human Factors in Privacy
Status: Publisher's Version
URN: urn:nbn:de:tuda-tuprints-241101
Classification DDC: 000 Generalities, computers, information > 004 Computer science
100 Philosophy and psychology > 150 Psychology
Divisions: DFG-Graduiertenkollegs > Research Training Group 2050 Privacy and Trust for Mobile Users
03 Department of Human Sciences > Institute for Psychology > Engineering psychology research group!
Date Deposited: 05 Jul 2023 06:36
Last Modified: 06 Jul 2023 09:47
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/24110
PPN: 509292127
Export:
Actions (login required)
View Item View Item