Einwilligung bei Web-Diensten


Auch bekannt als: Informed Consent for Web-Based Transactions

Kurzinfo

Dieses Pattern beschreibt, wie Verarbeitende ihre Nutzenden informieren können, wenn sie beabsichtigen, die persönlichen Daten einer Person zu sammeln oder anderweitig zu verwenden.

STRATEGIEN: Informieren, Kontrolle überlassen

Kontext

Nutzendendaten werden häufig für verschiedene Zwecke gesammelt. Manchmal sind diese Daten persönlich, persönlich identifizierend oder anderweitig sensibel. Die Daten können dazu dienen, eine angebotene Dienstleistung (oder ein Produkt) zu verbessern oder Nutzenden relevante Vorschläge oder Werbung zu unterbreiten.
Dies ist besonders im Web verbreitet, da viele Websites den größten Teil ihres Einkommens aus der Verarbeitung dieser Daten beziehen. Wenn das Einkommen stattdessen durch Kaufgeschäfte erfolgt, werden Nutzendendaten dennoch benötigt, um Rechnungs- oder Versandinformationen bereitzustellen. Dies schließt die Prüfung, Protokollierung oder andere unleugbare Zwecke ein, um Transaktionen zu erleichtern.

Problem

Bevor Daten gesammelt werden, müssen Verarbeitende sicherstellen, dass Nutzende ihre informierte Zustimmung geben. Verarbeitende nutzen persistente lokale oder serverseitige Speicherung, um potenziell identifizierbare oder sensible Informationen über Nutzende zur Durchführung von Transaktionen zu verarbeiten. Nutzende sind jedoch oft gegen die Offenlegung persönlicher Informationen, weil sie unsicher sind, ob sie ohne ihre Zustimmung oder gegen ihre Interessen anderweitig verwendet werden. Verarbeitende müssen in der Lage sein, ihre Nutzenden über diese Zwecke und Mittel zu informieren, bevor diese der Verarbeitung zustimmen.

mehr +

Lösung

Bieten Sie Nutzenden klare und prägnante Informationen darüber, was aus ihren Daten gelernt werden kann und wie diese Daten genutzt werden können, um den Dienst überhaupt anzubieten oder zu verbessern. Dann holen Sie ihre ausdrückliche, freiwillig erteilte Zustimmung ein.

Struktur

Soweit dies angesichts der technologischen Grenzen möglich ist, sollten Sie Nutzenden die sechs Elemente der informierten Zustimmung zur Verfügung stellen: Offenlegung der Zweckspezifikation und -beschränkung, Einverständnis und die Möglichkeit der Meinungsverschiedenheit, Verständnis durch leicht verständliche, umfassende und prägnante Erklärungen, Freiwilligkeit die zeigt, dass die Einwilligung freiwillig gegeben wird, Kompetenz vernünftige rechtsverbindliche Entscheidungen zu treffen, und minimale Ablenkung die Nutzende sonst reizen könnte.

Implementierung

Konzepte zur Mensch-Computer-Interaktion, wie sie in der Arbeit von Fischer-Hübner et al. (2010) zum Ausdruck kommen, erlauben es, dieses Pattern auf verschiedene Weise umzusetzen:

  • Just-In-Time-Click-Through-Vereinbarungen (JITCTAs), d.h. Click-Through-Vereinbarungen, die anstelle einer großen Liste von Servicebedingungen das Verständnis oder die Zustimmung Nutzender auf einer „Bedarfsbasis“ bestätigen. Die in den JITCTAs angezeigten Informationen umfassen, welche Daten angefordert werden, die Identität der Dienstleistenden und den Zweck der Verarbeitung.
  • Auswahl über kaskadierende Kontextmenüs, in denen Nutzende bewusst die Menüoptionen der freizugebenden Daten auswählen müssen. Diese Option ist für einfache Datenanforderungsformulare mit nicht vielen auszufüllenden Feldern vorgesehen.
  • Drag-and-Drop-Vereinbarungen (DADAs), bei denen Nutzende auch bewusste Drag-and-Drop-Aktionen zur Einwilligung in die Datenfreigabe durchführen müssen. Nutzende müssen ein Symbol wählen, das eine Art von persönlichen Daten repräsentiert, und es per Drag and Drop auf ein Symbol ziehen, das die Dienstleistenden repräsentiert.

weniger –

Beispiele

  • Yahoo! Anmeldeformular
  • Intuit-Anmeldeformular
  • Google-Registrierungsformular

Auswirkungen

Vorteile

  • Hilft, die Informationsasymmetrie zwischen Nutzenden und Verarbeitenden zu verringern.
  • Befähigt Nutzende, fundierte Entscheidungen zu treffen, die nicht im Widerspruch zu ihrer Toleranz gegenüber der Offenlegung privater Informationen stehen.
  • Bietet eine Vertrauensbasis zwischen Nutzenden und dem Website-Betreibenden, indem es Erwartungen an die Praxis der Website begründet.
    Berücksichtigt das Risiko eines Vertrauensverlustes für E-Commerce-, Medizin- und Finanzunternehmen wie eBay, Amazon, Bank of America, ehealthinsurance.com usw.
  • Dieses Pattern kann auf viele andere Systeme angewandt werden, die mit Nutzenden und externen Systemen interagieren, wie z.B. E-Mail und ortsbezogene Geräte (z.B. Mobiltelefone, PDAs).

mehr +

Verwandte Patterns

Einwilligung bei Web-Diensten kann von Rechtsgültige Einwilligungen einholen verwendet werden, da es zu den möglichen Bestandteilen des zusammengesetzten Pattern gehört. Dieses Pattern präzisiert zudem Ausdrücklich nach Einwilligung fragen. In beiden Fällen konzentrieren sich die betreffenden Dienstleistenden darauf, Nutzende explizit zu informieren und ihre Zustimmung einzuholen, wobei die Betonung mehr auf dem einen oder dem anderen liegt.
Dieses Pattern wird es insbesondere bei webbasierten Transaktionen angewendet. Zusätzlich werden bei diesem Pattern auch die Anzeige von Datenschutzhinweisen oder ähnliche Ansätze verwendet.

Anzeige von Datenschutz­hinweisen

Das Ziel der Anzeige ist es, den Nutzenden Informationen darüber zu geben, warum bestimmte Daten angefordert werden. Sie sollte immer dann verwendet werden, wenn persönliche Daten von Nutzenden abgefragt werden.

STRATEGIEN: Informieren

Details   

Rechtsgültige Einwilligungen einholen

Ein entscheidendes Element zum Schutz der Privatsphäre ist sicherzustellen, dass jeder sensiblen Verarbeitung die Einholung einer frei erteilten, informierten, spezifischen und ausdrücklichen Zustimmung vorausgeht.

STRATEGIEN: Kontrolle überlassen

Details   

Ausdrücklich nach Einwilligung fragen

Verantwortliche benötigen eine Einwilligung, die bereitwillig und ausdrücklich gegeben werden muss, wenn sie die persönlichen Daten ihrer Nutzenden in irgendeiner Weise verarbeiten.

STRATEGIEN: Kontrolle überlassen

Details   

Lizenz:

Die textuelle Pattern-Beschreibung auf dieser Seite steht unter der Lizenz Creative Commons Namensnennung Uported (CC BY 3.0). Wenn Sie diese Beschreibung teilen, weiterverbreiten oder bearbeiten, so müssen Sie die Lizenzbestimmungen beachten, und als Namensnennung angeben „Privacy Patterns basierend auf den Sammlungen unter PrivacybyDesign.Digital und Privacy Patterns.org“ mit jeweiliger Verlinkung.
Die vorliegende Pattern-Beschreibung entstand durch Übersetzung der auf privacypatterns.org veröffentlichten Privacy Patterns.

Quellen:

S. Romanosky, A. Acquisti, J. Hong, L. F. Cranor, and B. Friedman, “Privacy patterns for online interactions,” Proceedings of the 2006 conference on Pattern languages of programs – PLoP ’06, p. 1, 2006.

Fischer-Hübner, S., Köffel, C., Pettersson, J.-S., Wolkerstorfer, P., Graf, C., Holtz, L. E., … Kellermann, B. (2010). HCI Pattern Collection – Version 2.

C. Bier and E. Krempel, “Common Privacy Patterns in Video Surveillance and Smart Energy,” in ICCCT-2012, 2012, pp. 610–615.

C. Graf, P. Wolkerstorfer, A. Geven, and M. Tscheligi, “A Pattern Collection for Privacy Enhancing Technology,” The Second International Conferences of Pervasive Patterns and Applications (Patterns 2010), vol. 2, no. 1, pp. 72–77, 2010.

Als PDF herunterladen