Eine gute Möglichkeit, das Risiko für Nutzende zu minimieren, besteht darin, keine sensiblen Daten über sie zu speichern, die Sie nicht benötigen und deren Privatsphäre beeinträchtigt wird. Es gibt erstaunliche Möglichkeiten, dies zu tun und gleichzeitig Ihre Geschäftsziele zu erreichen. Es lohnt sich, alle in Betracht zu ziehen. Sie haben folgende Möglichkeiten:
- Erläutern Sie, wofür Sie die Daten benötigen.
- Daten mit geringerem Detaillierungsgrad erfassen.
- Daten nach der Verwendung entfernen.
- Sammeln Sie sie nicht von vornherein.
Jeder dieser Ansätze kann dazu beitragen, dass sich deine Nutzer wohler fühlen, was du machst und warum, und das trägt erheblich zu deiner Beziehung zu ihnen bei. Transparenz schafft Vertrauen und vor allem kann es für Sie ein Alleinstellungsmerkmal sein. Viele Leute gehen davon aus, dass Nutzer und Kunden ihnen standardmäßig vertrauen, aber Verbraucher bewerten ständig Produkte und Dienstleistungen, was möglicherweise nicht der Fall ist. Wenn Sie eine Beziehung zu Ihren Nutzern aufbauen und diese darauf vertrauen, dass Sie mit ihren Daten und Ihren Interaktionen respektvoll umgehen, kann dies Ihnen als Projekt oder Unternehmen einen Wettbewerbsvorteil verschaffen: Es ist etwas, mit dem Ihre Konkurrenten möglicherweise nicht übereinstimmen, also ein echtes Unterscheidungsmerkmal.
Sehen wir uns die oben genannten Ansätze an – von der effektivsten (aber auch mit den größten Auswirkungen auf Ihr Unternehmen) bis hin zum am wenigsten effektiven, aber am wenigsten störenden.
Sammeln Sie es nicht gleich.
Die naheliegendste Methode, die Kompromittierung der Nutzerdaten zu vermeiden, besteht darin, sie nicht zu erfassen. Für die Bereitstellung von Dienstleistungen ist ein gewisses Maß an Datenerhebung erforderlich. Es gibt jedoch noch mehr Stellen, an denen Sie die Datenerhebung vermeiden können, als Sie vielleicht denken. Nehmen wir z. B. die Option „Als Gast bezahlen“. Wenn Nutzer etwas über Ihre Webanwendung kaufen, müssen Sie sie möglicherweise für ein Konto registrieren, da Sie dann personenbezogene Daten für die spätere Auftragsausführung erfasst haben: Sie können der Mailingliste hinzugefügt werden, sie sind bereits als interessierter Kunde vorqualifiziert usw. Kunden wissen das und mögen es nicht: Eine Studie von 2021 ergab, dass jeder vierte Kauf abgebrochen wurde, der Grund dafür ist, dass Nutzer auf der Website ein Konto erstellen müssen. Wenn Sie kein Konto benötigen, ist die Wahrscheinlichkeit höher, dass Sie diese Kunden behalten. Die Möglichkeit, einen Kauf abzuschließen, ohne sich zu registrieren, bietet Nutzern bessere Optionen und bedeutet auch, dass Sie nicht so viele ihrer Daten schützen und schützen müssen.
„Fuzz“ für Daten
Natürlich ist es keine Option, die Erfassung von Daten überhaupt zu vermeiden. Es ist wichtig, Daten zu erheben, um Dienste bereitzustellen und sinnvolle Geschäftsentscheidungen zu treffen. Außerdem kann es hilfreich sein, Marketingmitteilungen auf eine vertrauensvolle Beziehung zu setzen. Sie sollten sich aber auch bewusst sein, dass Entscheidungen, die in aggregierter Form (die viele Nutzer gleichzeitig betreffen) getroffen werden, über Daten in aggregierter Form (d. h. über kollektive Eigenschaften der Daten) getroffen werden.
Es kann beispielsweise nützlich sein, ein Gespür für die demografischen Merkmale deiner Zuschauer zu haben: in welche Altersgruppen sie fallen, wo sie sich befinden usw. Dadurch können sich deine Botschaften oder deine Herangehensweise ändern. Das bedeutet jedoch nicht, dass Sie für jeden Nutzer Ihres Dienstes das genaue Alter erfassen müssen. Was Sie oft suchen, sind Trends und Properties insgesamt. Wenn Ihre gewünschte Entscheidung davon abhängt, ob der Großteil Ihrer Zielgruppe zur demografischen Gruppe 18–34 gehört, müssen Sie sich nur die Frage stellen, ob Ihre Nutzer zu dieser demografischen Gruppe gehören. Dadurch werden sie in zwei „Buckets“ zusammengefasst: in dieser Gruppe und nicht in dieser Gruppe. Es kann Situationen geben, in denen Sie detailliertere Daten benötigen, aber es ist absolut sinnvoll, die Liste der demografischen Merkmale, die Sie für Entscheidungen verwenden, zu nehmen und Ihre Nutzer zu bitten, sich dieser Liste zu klassifizieren.
Beispiel
Wenn Sie wissen möchten, wie sich Ihre Nutzer in die Altersgruppen „18–34“, „35–49“, „49–64“ und „65+“ unterteilen, können Sie Ihre Nutzer bitten, auszuwählen, in welche dieser Kategorien sie fallen. Es ist verlockend, nach extrem detaillierten, personenbezogenen und personalisierten Daten zu fragen und Ihre Nutzer dann selbst zu klassifizieren. So müssen Sie die gleiche Frage später nicht noch einmal genauer stellen, wenn Sie beispielsweise nach dem genauen Alter und Geburtsdatum fragen und diese dann verwenden möchten, um eigene Listen mit der Anzahl der Nutzer in der Kategorie „35–49“ zu erstellen. Sie sollten sich jedoch bewusst sein, wie das aussieht: Da der Kurs bereits behandelt wurde und es noch einmal behandeln wird, kann die Frage nach detaillierten Daten den Mitarbeitern Unbehagen auslösen. Dies verringert das Vertrauen der Nutzer in Ihr Unternehmen und birgt Risiken.
Außerdem ist es wichtig, Ihre Datenanforderungen zu berücksichtigen. Manchmal ist die Notwendigkeit detaillierterer Daten eine spekulative, sicherheitshalber Voraussetzung. Vielleicht müssen wir Nutzer derzeit nur diesen vier Altersgruppen zuordnen, aber in Zukunft möchten wir dies in Zukunft vielleicht eingrenzen. Deshalb sollten wir jetzt sehr detaillierte Daten erfassen, um diese Option für später offen zu halten. Es kann sinnvoll sein, zu überlegen, wie oft die detaillierteren Daten in der Vergangenheit tatsächlich zur Entscheidungsfindung verwendet wurden. Wenn Nutzer nach Daten fragen, die im Vergleich zum angebotenen Dienst als invasiv empfunden werden, sinkt zwangsläufig das Vertrauen der Nutzer in Ihre Organisation. Wenn diese Daten nur für den Fall erfasst werden, tauschen Sie nicht nur das Vertrauen der Nutzer gegen bessere Geschäftsentscheidungen aus, sondern tauschen es einfach gegen die Möglichkeit einer theoretischen zukünftigen Entscheidung aus, die möglicherweise gar nicht existiert, und übernehmen gleichzeitig Sicherheitsanforderungen für diese Informationen.
Es gibt detailliertere algorithmische Methoden, um den Detaillierungsgrad der erfassten Daten zu reduzieren. Zufällige Antwortmethoden bedeuten, dass die Daten mit einem einstellbaren Maß an Ungenauigkeit gesammelt werden. Sie werden in den Sozialwissenschaften seit Jahrzehnten bei der Erfassung potenziell invasiver oder sensibler Daten unter Wahrung der Vertraulichkeit der Antwortenden verwendet. Bei der vorstehenden Methode der Datenerhebung geht es darum, die Antworten der Nutzer zu erweitern (also „Wie alt sind Sie“ wird zu „in welche der folgenden Altersgruppen Sie fallen“), wobei ein bestimmter Anteil der Nutzer über ihre Antworten lügt. Wenn der Anteil der Nutzer, die falsch antworten, bekannt ist, können trotzdem aussagekräftige Schlussfolgerungen aus den erfassten Daten gezogen werden. Die Privatsphäre der einzelnen Nutzer wird jedoch nicht gefährdet, da die erfassten Daten möglicherweise falsch sind. Wenn in diesem Fall immer noch 80% Ihrer Zielgruppe angeben, dass sie zur demografischen Gruppe 18–34 gehören, können Sie relativ sicher sein, dass dies immer noch der größte Anteil ist, auch wenn 10% von ihnen absichtlich falsche Antworten geben. Der Grad der Unrichtigkeit kann auch programmatisch geändert werden, wobei immer die richtigen Antworten angefordert werden, aber die Software einen bestimmten Prozentsatz der Antworten vor der Übertragung ändert. Dieser Vorgang und seine Folgen können den Nutzern auch erklärt werden, wenn Daten erhoben werden: Das bedeutet, dass die Nutzer nicht darauf vertrauen müssen, dass Sie die erfassten Daten nicht missbrauchen, da einzelne Daten unzuverlässig sind.
Ein ähnlicher, aber technisch komplexerer Prozess ist Differential Privacy. Dabei werden mathematische Techniken verwendet, um die Datenspeicherung so zu verändern, dass aggregierte Eigenschaften der Daten noch vorhanden sind. Es ist jedoch nicht einmal möglich, zu erkennen, ob eine bestimmte Person überhaupt Daten bereitgestellt hat oder welche Daten sie gegebenenfalls zur Verfügung gestellt hat. Wie bei einer zufälligen Antwort schützt dies die Daten der Nutzer sogar vor Ihnen und zeigt Ihre klare Absicht: Sie können die Daten Ihrer Nutzer nicht verwenden, wenn Sie diese Daten nicht haben.
Diese und ähnliche Ansätze bieten auch eine höhere Sicherheit vor Datenpannen und Datenlecks, da die erfassten Daten die Gefährdung des Datenschutzes für Nutzer – selbst für Sie – reduzieren und das Risiko von Datenlecks verringern. Wenn Sie auf dem Server Differential Privacy-Techniken einsetzen (d. h. Ihre Nutzer senden Ihnen nicht aggregierte Daten und Sie nutzen die Techniken zum Aggregieren), müssen Sie diese Rohdaten der Nutzer sichern und nach der Verarbeitung löschen. Sie sollten klare Richtlinien haben und befolgen, um zu bestätigen, dass Sie diese nicht vor der Aggregation verwenden oder sich im Klaren darüber sind, wofür Sie sie verwenden.
Aufbewahrung: Daten erfassen und nach der Verwendung entfernen
Denken Sie daran, dass erhobene Daten einen Lebenszyklus haben. Sie werden erfasst, als Unterstützung für Geschäftsentscheidungen verwendet und irgendwann sollten sie entfernt werden. Dies sind wieder Kompromisse: Wenn Sie Ihren Nutzern Fragen stellen, Informationen zu anderen besuchten Websites speichern oder erfassen, welche Dinge sie sich angesehen haben und wie lange, um Vorhersagen über ihre Präferenzen zu treffen, sind dies die Daten, die Ihnen für einen bestimmten Zweck eingeräumt werden und nicht als offene Zuschüsse, die der Entwickler nach eigenem Ermessen verwenden kann. Wenn diese Daten nicht mehr für diesen Zweck benötigt werden – manchmal nach einer Minute, manchmal nach vielen Jahren – sollten sie gelöscht werden.
Wenn Sie Informationen über Ihre Nutzer sammeln, sollten Sie wissen, wofür Sie diese Daten verwenden (siehe unten). Außerdem sollten Sie auch wissen, wann und warum Sie diese Daten nicht mehr aufbewahren. Das kann der Fall sein, wenn der Nutzer es löscht oder wenn er sich abmeldet, nach einem bestimmten Zeitraum oder nach einem bestimmten Ereignis. Eine hervorragende Möglichkeit, um Vertrauen aufzubauen, besteht darin, den Nutzern klar zu machen, wie sie Daten über sie kontrollieren können, einschließlich, wenn möglich, durch ein einseitiges Opt-out. Wie löscht es seine Daten? Wie löscht er sein Konto? Neben dem Aufbau einer solchen Beziehung ist es eine Best Practice, Daten so lange zu speichern, wie Sie sie verarbeiten müssen (und nicht länger). Außerdem sollten Ihre Nutzer die Möglichkeit haben, die von Ihnen oder in deren Namen erhobenen Daten zu sehen und zu entfernen. Es kann sogar Gesetze zu diesem Punkt in den Gebieten geben, in denen Sie tätig sind.
In diesem Bereich können Sie klare technische Ziele definieren, die Nutzern mit Self-Service helfen. Wenn Ihre Nutzer Ihr Data Warehouse deaktivieren können, ohne eine Berechtigung einholen zu müssen, fühlen sie sich viel wohler mit der Aktivierung und benötigen dafür keine Supportressource.
Sie müssen sich bewusst sein, wie wichtig einfache und standardmäßige Widerrufe sind: „Um Vertrauen aufzubauen und Anerkennung zu schaffen, können Unternehmen damit beginnen, einen Sozialvertrag zu vereinbaren, in dem sie sich verpflichten, die Zielgruppe an jedem Touchpoint zu respektieren, auf ihre Bedürfnisse zu hören und entsprechend zu reagieren“, so IAPP. Die Nielsen Norman Group erklärt, dass Nutzer „einen deutlich gekennzeichneten Notfallausgang benötigen, um die unerwünschte Aktion zu verlassen, ohne einen erweiterten Prozess durchlaufen zu müssen“. Jeder weiß, dass ein Abo einfacher ist als das Abbestellen. Aber wie Nielsen Norman sagt, fördert es ein Gefühl von Freiheit und Selbstvertrauen, wenn Nutzer die Möglichkeit haben, wegzugehen, ohne sich über den Haufen werfen zu müssen. In wissenschaftlichen Studien wird dies als „Prinzip der Widerrufbarkeit“ bezeichnet: „Über die Benutzeroberfläche sollte es dem Nutzer möglich sein, von ihm erteilte Autorisierungen jederzeit zu widerrufen, sofern ein Widerruf möglich ist. Nutzer sollten die Möglichkeit haben, diese Einwilligung zu widerrufen, und damit die Behörden einschränken, damit sie auf ihre Ressourcen zugreifen können.“ Beispiele finden Sie unter Yee und Iacono.
Wie lange und welche Daten aufbewahrt werden, ist ein Thema, das je nach Unternehmen und Projekt sehr unterschiedlich ist. Es gibt jedoch einige allgemeine Richtlinien, die berücksichtigt werden müssen.
Das sollten Sie tun:
Hier ist es hilfreich, Nutzern das Löschen von Konten und ggf. den damit verbundenen Daten zu ermöglichen und regelmäßig (z. B. bei Abmeldung) kurzlebige und lokal gespeicherte Daten bei der Abmeldung mit dem Header Clear-Site-Data zu löschen.
Geben Sie einen Clear-Site-Data-Header an, um einige oder alle Nutzerdaten zu entfernen, die clientseitig (in Cookies, localStorage, IndexedDB oder im Browser-Cache) gespeichert wurden, sofern dies sinnvoll ist. Der offensichtliche Anwendungsfall für Clear-Site-Data besteht darin, dass sich ein Nutzer abmeldet. Es kann aber auch nach Sicherheitsvorfällen eingesetzt werden, um sicherzustellen, dass ein potenziell manipuliertes Konto keine Spuren von manipulierten Daten hat, die auf dem Client gespeichert sind.
Wenn Clear-Site-Data unterstützt wird, muss der HTTP-Header Clear-Site-Data gesendet werden, wenn sich der Nutzer abmeldet (oder zu anderen Zeitpunkten, wenn Sie clientseitigen Speicher löschen möchten), an die Seite, auf der der Status der Abmeldung bestätigt wird (https://your-site/logout oder eine ähnliche Aktion). Dieser Header kann einige oder alle der folgenden Werte oder "*" für alle enthalten:
Clear-Site-Data: "cache", "cookies", "storage"
Mit diesen Werten werden im Cache gespeicherte Seiten (und andere im HTTP-Cache gespeicherte Ressourcen), gespeicherte Cookies sowie „localStorage“ und „IndexedDB“ und Ähnliches gelöscht.
Möglicherweise wird der Verweis auf eine andere Option, executionContexts, angezeigt, diese wird jedoch von vielen Browsern nicht unterstützt.
Die Verwendung des Clear-Site-Data-Headers ist wahrscheinlich einfacher, als alle erstellten Ressourcen einzeln zu löschen, da dafür kein JavaScript-Code auf dem Client ausgeführt werden muss (und die einzige offizielle Methode zum Leeren des Browsercaches ist). Er wird jedoch nicht von allen Browsern unterstützt.
Verwendungshinweis: Wenn Sie den Cache leeren (durch Senden von Clear-Site-Data: cache), sollte der Clear-Site-Data-Header nicht auf der tatsächlichen Abmeldeseite gesendet werden. Stattdessen wird die Seite für eine andere Ressource geladen. Dies liegt daran, dass auf einem langsamen Computer mit einem großen Cache die Seite blockiert wird, während der Cache geleert wird, und die Navigation dadurch verhindert wird. Das kann einige Minuten dauern,
was die Nutzenden frustrieren wird. Das ist unwahrscheinlich, aber schwer zu testen. Daher hat es sich bewährt, dies im Hinterkopf zu behalten.
Erklären, wofür Sie die Daten benötigen
Es wurde wiederholt deutlich gemacht, wie wichtig Vertrauen in die Beziehung Ihrer Nutzer zu Ihrem Service ist, da es die Lebenserwartung der Nutzer erhöht. Außerdem verschafft sie einen Wettbewerbsvorteil. Eine Möglichkeit, dieses Vertrauen zu stärken, ist die Transparenz Ihrer Prozesse. Eine gute Möglichkeit für Transparenz besteht darin, zu erklären, wofür Sie die Daten benötigen. Sie wissen bereits, dass Sie für jede erfasste Daten wissen sollten, wann sie gelöscht wird. Um dies zu wissen, müssen Sie wissen, warum Sie diese Daten benötigen, welche spezifischen Fragen sie benötigen, um Antworten zu finden, und welche Entscheidungen durch deren Erfassung geleitet werden. Sobald Sie wissen, warum Sie die Daten benötigen, auf die Sie Ihre Nutzer aufgeben möchten, können Sie Vertrauen aufbauen, indem Sie dies den Nutzern erklären. Erläutern Sie in Ihrer Datenschutzerklärung oder wenn Sie Fragen zur Kontoerstellung stellen, warum Sie die Antwort auf diese Frage benötigen, was Sie mit diesen Daten tun werden und wann und wie sie entfernt werden können.
Diese Erklärungen sind viel besser sichtbar, wenn sie inline präsentiert werden. Das Verschleiern von Erklärungen in einem dichten Richtliniendokument an anderer Stelle auf der Website kann wie ein Versuch erscheinen, sie zu verbergen. In Registrierungs-, Zahlungs- oder Antragsformularen können neben der Datenerhebung auch die Gründe für die Datenerhebung angegeben werden. Häufig enthält ein Formularfeld ein Sternchen (*), um anzuzeigen, dass ein Feld erforderlich ist. Bei komplizierten Formularen gibt es häufig einen Informationslink (i), über den die Bedeutung des Feldes erläutert wird. Sie sollten diesen Erklärungen eine Beschreibung hinzufügen, warum die Daten erhoben werden. Ein häufig verwendeter Ausdruck dafür ist „Warum benötigen wir das?“ neben einem Formularfeld. Wenn Sie darauf klicken, erscheint eine Pop-up-Erklärung.
Ein HTML-Beispiel könnte so aussehen. In CSS und JavaScript wird <aside> dann ausgeblendet und als Pop-up eingeblendet, wenn auf den Link geklickt wird. Bestätigen Sie unbedingt die Zugänglichkeit des Formulars, das Sie für Ihre Website erstellen.
Die genaue Anordnung hängt von Ihren Stilen und Ansätzen ab. Der Hauptpunkt hier besteht jedoch darin, die Datenerhebung direkt mit einer Erklärung zu verknüpfen, warum diese Daten erfasst werden. Dies ist nicht für jedes Feld erforderlich. Niemand braucht eine Erklärung, warum Sie verlangen, dass Sie bei der Registrierung ein Passwort auswählen. Wenn Sie jedoch jede Anfrage nach personenbezogenen Daten und Kontaktdaten mit der geplanten Verwendung versehen und aufbewahren, können Sie Ihren Nutzern verdeutlichen, dass Sie in den Schutz ihrer Daten investiert haben.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Wenn Sie bei diesem Prozess alle Informationen über Nutzende erfassen, kann dies auch bei internen Prozessen und Diskussionen hilfreich sein. Sie haben bereits gesehen, wie die Versuchung sein kann, Daten „nur für den Fall“ zu sammeln. Wenn Sie die Gründe für die Erfassung transparent darlegen, ist dies offensichtlich. Wenn Sie zögern, öffentlich aufzuschreiben, was Sie mit Nutzerdaten tun möchten, da diesen Nutzern die Erklärung nicht gefällt, kann dies ein Zeichen dafür sein, dass es sich lohnen sollte, sie zu erheben. Dies trifft zu, wenn die geschmacklose Erklärung zu invasiv ist („wir nutzen diese Informationen, um den Ort auf Stundenbasis nachzuverfolgen“), zu weit gefasst („wir wissen noch nicht, wofür wir sie verwenden werden, aber wir wollen sie, falls wir etwas dafür ausdenken) oder zu ausweichend („wir verwenden diese Informationen für interne, nicht offengelegte Zwecke“). Dies ist nicht einfach eine Frage der Moral. Die Menschen sind so versiert genug, um dies, wie bereits beschrieben, zu erkennen, und die Nutzer erwarten, dass das Experimentieren mit etwas nicht der Beginn einer langfristigen Verpflichtung ist. Es ist eine gängige Praxis beim User Experience Design, die Anmeldung so reibungslos und einfach wie möglich zu gestalten, da der Nutzer in den Anfangsphasen (per Definition) nicht viel in Ihren Service investiert hat. Daher ist es wichtig, dass er sich leichter investieren lässt, wenn er nur wenig Interesse daran hat. Wenn es so einfach ist, den Service wieder zu verlassen, wird das Experimentieren zu einem exakten Experimentieren und nicht zu einem langfristigen Experimentieraufwand. Wie zuvor ist es paradox, aber wahr: Der beste Weg, um Vertrauen aufzubauen, besteht darin, von Ihren Nutzern nicht zu verlangen, Ihnen zu vertrauen, wenn sie es nicht wollen.
Nutzer haben gute Gründe dafür, keine oder nur wenige Daten zu teilen. Zu Beginn der Beziehung zu ihnen gibt es vielleicht keinen Grund, Ihnen zu vertrauen. Das sollten sie auch nicht tun müssen. Ihr Ziel ist es, zu zeigen, warum das so sein sollte.
Das sollten Sie tun:
- Entscheiden Sie, welche Daten Sie sammeln möchten, warum Sie sie benötigen und wie lange Sie sie aufbewahren.
- Wenn Sie nach diesen Daten fragen, erklären Sie Ihren Nutzern, warum Sie diese Daten erheben.
- Löschen Sie es nach der Verwendung aus Ihren Serverdatenbanken.
- Nutzern erlauben, von ihnen erstellte Konten und gespeicherte Daten mit dem
Clear-Site-Data-Header zu löschen.
Warum
Beim Aufbau einer Beziehung zu Ihren Nutzenden geht es um Vertrauen und Vertrauen um Offenheit. Wenn Sie zeigen können, dass Sie nicht nur so viele Daten wie möglich über Ihre Nutzer sammeln und die Nutzung dafür verschleiern, trägt das dazu bei, Vertrauen aufzubauen, was Ihnen gegenüber weniger gewissenhaften Konkurrenten einen Wettbewerbsvorteil darstellen kann.