Stöver, Alina (2023)
Untersuchung des Beitrags von Webseitenbetreibenden zur Entstehung und Behebung von Privatsphärerisiken.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00024110
Ph.D. Thesis, Primary publication, Publisher's Version
Text
Dissertation_Stoever.pdf Copyright Information: CC BY-SA 4.0 International - Creative Commons, Attribution ShareAlike. Download (2MB) |
Item Type: | Ph.D. Thesis | ||||
---|---|---|---|---|---|
Type of entry: | Primary publication | ||||
Title: | Untersuchung des Beitrags von Webseitenbetreibenden zur Entstehung und Behebung von Privatsphärerisiken | ||||
Language: | German | ||||
Referees: | Vogt, Prof. Dr. Joachim ; Marky, Prof. Dr. Karola | ||||
Date: | 2023 | ||||
Place of Publication: | Darmstadt | ||||
Collation: | ix, 111 Seiten | ||||
Date of oral examination: | 27 March 2023 | ||||
DOI: | 10.26083/tuprints-00024110 | ||||
Abstract: | Privatsphärerisiken auf Webseiten sind weitverbreitet und führen zu Einschränkungen der Privatsphäre von Nutzenden. Die bisherige Forschung hat sich überwiegend mit der Perspektive der Nutzenden beschäftigt und Lösungen entwickelt, um diese zu unterstützen. Hinter jeder Webseite stehen jedoch Webseitenbetreibende, die mit ihren Entscheidungen potenziell Einfluss auf das Entstehen bzw. Bestehen von Privatsphärerisiken nehmen können. In der vorliegenden Arbeit wird die Perspektive von Webseitenbetreibenden untersucht, um besser zu verstehen, wie diese zur Entstehung und zum Bestehen von Privatsphärerisiken auf Webseiten beitragen. Der erste Teil der Arbeit ist der Herausforderung von Webseitenbetreibenden gewidmet, bestehende Privatsphärerisiken auf ihrer Webseite zu beheben. Diese Herausforderung wird beispielhaft an der Behebung einer bestehenden Fehlkonfiguration (fehlende IP-Anonymisierung) eines auf der Webseite eingebundenen Analysetools (Google Analytics) durch die Webseitenbetreibenden untersucht. Dazu wurde eine mehrteilige Studie durchgeführt. Zunächst wurden 4594 Webseitenbetreibende im Rahmen eines Feldexperiments mit Briefen und E-Mails über die fehlende IP-Anonymisierung auf ihrer Webseite benachrichtigt. Um die Hintergründe besser zu verstehen, wurden 477 Webseitenbetreibende im Anschluss mittels Fragebogen befragt. Insgesamt 1043 Rückmeldungen von Webseitenbetreibenden auf die vorausgegangenen Benachrichtigungen dienten als Datengrundlage für eine quantitative sowie eine qualitative Analyse. Die Ergebnisse zeigen, dass zu den Ursachen für bestehende Privatsphärerisiken auf Webseiten neben fehlendem Bewusstsein der Webseitenbetreibenden auch unklare Zuständigkeiten, fehlerhafte technische Umsetzung und mangelnde Wartung der Webseite zählen. Webseitenbetreibende unterscheiden sich von anderen Personengruppen, die Systeme entwickeln und betreiben (z. B. Entwickler:innen), u. a. dahingehend, dass sie teilweise nur über geringes technisches Wissen verfügen. Webseitenbetreibende haben verschiedene Hintergründe und Rahmenbedingungen. Sie reichen von Privatpersonen, die mit der Webseite einer Freizeitbeschäftigung nachgehen, über Selbständige, die ihre Produkte vertreiben wollen, bis zu Vollzeitangestellten, die ein großes Unternehmen repräsentieren. Entsprechend ihrer Rahmenbedingungen variieren die Hürden, die Webseitenbetreibende beim Beheben von Privatsphärerisiken überwinden müssen. Diese Hürden reichen von fehlendem technischen Wissen bis zu zähen Organisationsprozessen. Es besteht ein großer Unterstützungsbedarf bei der Behebung von Privatsphärerisiken. Maßnahmen müssen auf die unterschiedlichen Bedürfnisse und Rahmenbedingungen verschiedener Webseitenbetreibenden angepasst sein, um effektiv zu sein. Durch die Arbeit wird aufgezeigt, wie eine Unterstützungsmaßnahme in Form einer Benachrichtigung gestaltet sein sollte, die bei Webseitenbetreibenden sowohl Bewusstsein schafft als auch beim Beheben von Privatsphärerisiken unterstützt. Der erste Teil der Arbeit impliziert, dass es sinnvoll sein kann, Webseitenbetreibende nicht nur bei der Behebung von Privatsphärerisiken zu unterstützen, sondern auch bei der Entstehung von Privatsphärerisiken anzusetzen, um diese zu vermeiden. Der zweite Teil der Arbeit befasst sich mit der Herausforderung der Vermeidung von Privatsphärerisiken aus Sicht der Webseitenbetreibenden, die am Beispiel der Erstellung von Cookie-Einwilligungsklärungen untersucht wird. Dazu wurde in zwei aufeinanderfolgenden Studien u. a. sowohl die Präferenz von 376 Nutzenden als auch die von 195 Webseitenbetreibenden hinsichtlich verschiedener Gestaltungsvarianten von Cookie-Einwilligungserklärungen untersucht. Die Ergebnisse zeigen, dass Nutzende Gestaltungsvarianten von Cookie-Einwilligungserklärungen präferieren, die privatsphärefreundliche Entscheidungen fördern und keine Design-Elemente enthalten, die sie zur Zustimmung verleiten (sog. Deceptive Designs; dt. irreführende Gestaltung). Webseitenbetreibende schätzen die Nutzendenpräferenz größtenteils korrekt ein, orientieren sich bei der Auswahl einer Gestaltungsvariante jedoch nur zum Teil daran. Webseitenbetreibende, die mit den durch Cookies gespeicherten Daten Einnahmen generieren, wählen häufiger eine Gestaltungsvariante, die Deceptive Designs enthält und die Privatsphäre der Nutzenden einschränkt. Dabei scheint die Popularität der Webseite eine untergeordnete Rolle zu spielen. Ein Großteil der Webseitenbetreibenden in der untersuchten Stichprobe präferiert jedoch privatsphärefreundliche Gestaltungvarianten. Immer häufiger greifen Webseitenbetreibende bei der Erstellung von Einwilligungserklärungen auf die Vorlagen von Consent Management Platforms (CMPs) zurück. Um zu untersuchen, inwiefern sie mit diesen Vorlagen Einwilligungserklärungen ohne Deceptive Designs generieren und damit Privatsphärerisiken vermeiden können, wurden im Rahmen einer weiteren Studie die Vorlagen von 15 populären CMPs analysiert. Die Ergebnisse zeigen, dass es für Webseitenbetreibende nur eingeschränkt möglich ist, mit den Vorlagen der CMPs Einwilligungserklärungen ohne Deceptive Designs zu erstellen. Die Vorlagen der CMPs erschweren es also Webseitenbetreibenden, Privatpshärerisiken zu vermeiden, und sind ein möglicher Erklärungsansatz für die weite Verbreitung von Deceptive Designs in Cookie-Einwilligungserklärungen. Die Erkenntnisse der vorliegenden Arbeit helfen dabei, die Gruppe der Webseitenbetreibenden mit ihren Herausforderungen beim Beheben bzw. Vermeiden von Privatsphärerisiken besser zu verstehen. Dieses Verständnis kann als Grundlage für die Entwicklung gezielter und wirkungsvoller Maßnahmen zur Unterstützung von Webseitenbetreibenden dienen. Webseitenbetreibende dabei zu unterstützen, die Privatsphäre der Nutzenden besser zu schützen, entlastet zugleich die Nutzenden. Damit soll die Arbeit auch einen Beitrag zur Verbesserung der Privatsphäre von Nutzenden leisten. |
||||
Alternative Abstract: |
|
||||
Uncontrolled Keywords: | Usable Privacy, Privatsphäre, Datenschutz, Webseitenbetreibende, Human Factors in Privacy | ||||
Status: | Publisher's Version | ||||
URN: | urn:nbn:de:tuda-tuprints-241101 | ||||
Classification DDC: | 000 Generalities, computers, information > 004 Computer science 100 Philosophy and psychology > 150 Psychology |
||||
Divisions: | DFG-Graduiertenkollegs > Research Training Group 2050 Privacy and Trust for Mobile Users 03 Department of Human Sciences > Institute for Psychology > Engineering psychology research group! |
||||
Date Deposited: | 05 Jul 2023 06:36 | ||||
Last Modified: | 06 Jul 2023 09:47 | ||||
URI: | https://tuprints.ulb.tu-darmstadt.de/id/eprint/24110 | ||||
PPN: | 509292127 | ||||
Export: |
View Item |