5. Juli 2010 - Online-Datenschutz

Wie sich der Datenschutz im Internet messen lässt

Ob der Datenschutz bei einer Website besser ist als bei einem anderen Online-Dienst, können die meisten Internetnutzer kaum beurteilen. Da hilft auch die Datenschutzerklärung wenig. Besser wäre eine konkrete Möglichkeit, den Datenschutz im Internet zu messen. Wir zeigen Ihnen einen einfachen Ansatz zur Messung des Online-Datenschutzes, den Sie den Internetnutzern in Ihrem Unternehmen vorstellen sollten.

wie-sich-der-datenschutz-im-internet-messen-lasst.jpeg
Das Datenschutz-Niveau einer Webseite lässt sich anhand einiger wichtiger Kriterien recht gut abschätzen (Bild: Thinkstock)

Online-Datenschutz in der Kritik

Die heftigen Diskussionen über den Online-Datenschutz bei Google Buzz, Facebook und anderen sozialen Netzwerken zeigen zum einen, dass die Vorstellungen von einem guten Datenschutz bei manchen Online-Diensten deutlich von den Vorgaben der Aufsichtsbehörden abweichen. Sie zeigen aber auch, dass sich viele Internetnutzer nicht im Klaren darüber sind, was guten Datenschutz im Internet auszeichnet.

Deshalb können viele Internetnutzer auch nicht das Datenschutz-Niveau verschiedener Angebote vergleichen; und sie nutzen Online-Dienste, die von Datenschützern kritisch gesehen werden.

Datenschutzerklärung bleibt oft ungelesen

Nun würde ein ausführlicher Blick in die Datenschutzerklärung der jeweiligen Dienste bereits einiges über das Datenschutz-Niveau verraten- Doch leider bleiben die meisten Datenschutzerklärungen ungelesen. Auch hilfreiche Werkzeuge wie P3P (Platform for Privacy Preferences Project) zur automatischen Prüfung einer maschinenlesbaren Datenschutzerklärung werden noch nicht durchgehend genutzt.

Messverfahren für Online-Datenschutz fehlen bisher

Es fehlen bisher verständliche Messverfahren, mit denen ein Internetnutzer ohne fremde Hilfe in kurzer Zeit prüfen kann, wie es um den Datenschutz eines Online-Dienstes bestellt ist.

Ansätze zur Selbstbewertung des Online-Datenschutzes

Einige Ansätze zur Selbstbewertung gibt es jedoch. Ein aktuelles Beispiel kommt von Aaron D. Sanders, Organisation Information Security Manager bei Xerox Global Services in Rochester, New York.

Er hat kürzlich ein Privacy Measurement Framework (PMF) vorgestellt, mit dem sich das Datenschutz-Niveau eines Online-Dienstes bestimmen lässt. Dabei ist ein solches Framework keine starre Vorgabe, sondern ein guter Ausgangspunkt für weitere Definitionen zur Messung des Online-Datenschutzes. So können die einzelnen Internetnutzer zum Beispiel selbst die Kriterien zur Messung gewichten, sofern sie dies für erforderlich halten.


Download:


Datenschutz-Kriterien aus Sicht des Nutzers

Einige der Kriterien des PMF lassen sich jedoch für den einzelnen Internetnutzer nicht ohne weiteres nachprüfen und messen, zum Beispiel, ob die personenbezogenen Daten bei dem Online-Anbieter wirklich verschlüsselt gespeichert werden und ob auch die Backup-Bänder verschlüsselt sind.

Solche Kriterien werden deshalb an dieser Stelle aus dem Katalog ausgenommen, um wirklich die Sicht des Nutzers beibehalten zu können. Im Folgenden werden die einfachen Datenschutz-Kriterien vorgestellt, Hinweise zur Prüfung oder Messung gegeben und eine Checkliste (siehe oben) angeboten, die die Kriterien zusammengefasst:

  • SSL-Verschlüsselung der Datenverbindung (erkennbar an „https“ in Adresszeile des Browsers und an „Vorhängeschloss-Symbol“)
  • Verzicht auf Werbe-Cookies (erkennbar bei entsprechender Einstellung des Cookie-Managers, so dass Cookies nur nach Zustimmung gespeichert werden können, wobei diese Cookies von Dritten abgespeichert werden wollen)
  • Verlangt und speichert Namen des Internetnutzers nur dann, wenn es für die Erbringung des Dienstes wirklich erforderlich ist
  • Verlangt und speichert Wohnort des Internetnutzers nur dann, wenn es für die Erbringung des Dienstes wirklich erforderlich ist
  • Verlangt und speichert Postleitzahl des Internetnutzers nur dann, wenn es für die Erbringung des Dienstes wirklich erforderlich ist
  • Verlangt und speichert Alter des Internetnutzers nur dann, wenn es für die Erbringung des Dienstes wirklich erforderlich ist
  • Verlangt und speichert E-Mail-Adresse des Internetnutzers nur dann, wenn es für die Erbringung des Dienstes wirklich erforderlich ist
  • Verlangt und speichert Telefonnummer des Internetnutzers nur dann, wenn es für die Erbringung des Dienstes wirklich erforderlich ist
  • Verlangt und speichert Bankverbindung/Kreditkartennummer des Internetnutzers nur dann, wenn es für die Erbringung des Dienstes wirklich erforderlich ist
  • Verfügt über eine gut sichtbare Datenschutzerklärung
  • Wurde nicht mit einer Datenpanne in Verbindung gebracht (festzustellen durch eine einfache Online-Recherche mit den Suchbegriffen „Datenschutz“, „Privacy“ und Name des Online-Dienstes)

Diese Kriterien entsprechen insbesondere den Forderungen nach Verschlüsselung und Datensparsamkeit. Je nach Gewichtung des Nutzers können für jedes Kriterium ein oder mehrere Punkte vergeben werden.

Einfaches Punktesystem zur Internet-Messung

Hat ein Dienst nur ein Viertel der möglichen Punkte, dann gilt dieses in dem PMF als geringes Datenschutz-Niveau, bei bis zu 50% der möglichen Punkte als unterdurchschnittlich, bei bis zu 75% der möglichen Punkte als überdurchschnittlich und bei über 75% der möglichen Punkte als gut.

Auch wenn diese Kriterien bewusst einfach gehalten sind, könnte alleine mit diesen Prüfungen bereits viel verhindert werden, was gegenwärtig bei sozialen Netzwerken angeprangert wird. Dieses Messverfahren für den Online-Datenschutz ist somit ein sehr einfaches Hilfsmittel, das aber eine deutliche Wirkung im Unternehmen haben kann.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln