Inhalte und verknüpfte Standortdaten entkoppeln


Auch bekannt als: Decoupling Content and Location Information Visibility, Retroactive Location Sharing

Kurzinfo

Erlauben Sie Nutzenden, die Einstellungen für Standortinformationen im Hinblick auf die kontextabhängigen Datenschutzanforderungen des Inhalts rückwirkend zu konfigurieren.

STRATEGIEN: Kontrolle überlassen

Kontext

Nutzende teilen oft Inhalte in sozial orientierten Diensten im Internet. Die Anwendungen, die zum Hochladen dieser Inhalte verwendet werden, können Standortinformationen anhängen. Für die Datenverarbeitung Verantwortliche können diese Informationen verwenden oder veröffentlichen, so dass andere sie nutzen können. Ausreichende Korrelationen dieser Daten könnten nicht im Sinne der Datenschutzpräferenzen von Nutzenden sein.

Die Organisation in Frage (bzw. die Verantwortlichen) möchte diese Erwartungen nicht untergraben und versucht, den Nutzenden die Möglichkeit zu geben, kontextspezifische Datenschutzeinstellungen vorzunehmen.

Problem

Bedenken hinsichtlich der Offenlegung von Standortinformationen stehen im Widerspruch zur Attraktivität von Standortinformationen für Organisationen.

Einflüsse und Bedenken

  • Der Standort ist in hohem Maße indikativ für Lebensmuster und bedeutende Kontexte des täglichen Lebens von Nutzenden.
  • Standortdaten sind zunehmend über verschiedene Geräte, die von Nutzenden verwendet werden, verfügbar.
  • Nutzende wünschen sich einfache Prozesse für die Organisation ihrer Inhalte in sozial orientierten Diensten. Diese Einfachheit könnte durch die automatische Verwendung des Standorts erreicht werden.
  • Nutzende wollen nicht jedes Mal, wenn sie Inhalte teilen, Einstellungen bezüglich des Datenschutzes treffen oder die Nutzung pauschal verweigern, wenn sie den Dienst nutzen wollen.

Lösung

Nutzende können rückwirkend über die Offenlegung von Standortinformationen in Bezug auf den Kontext des jeweiligen Inhalts entscheiden. Standortinformationen standardmäßig aufzeichnen, aber nicht automatisch freigeben.

Struktur

Geben Sie Nutzenden eine Schnittstelle oder einen Dienst, um Einstellungen bezüglich des Datenschutzes von Standortinformationen zu konfigurieren. Das heißt, einen Ort, an dem Nutzende granular oder im Ganzen festlegen können, wer auf Standortinformationen ihrer Inhalte zugreifen darf.

Implementierung

Eine Basislösung könnte eine Schnittstelle oder Steuerung zur Auswahl der zulässigen Nutzenden aus allen Arten von Nutzenden des sozial orientierten Dienstes (z.B. eingebaute oder benutzerdefinierte Gruppen, Einzelpersonen oder anonyme Nutzende) beinhalten. Diese Einstellungsmöglichkeit könnte sich auf einzelne Inhalte, eine Mehrfachauswahl oder Gruppen beziehen.

Vor der Erteilung dieser zusätzlichen Zustimmung könnte der Inhalt selbst oder eine Version mit Ortsangabe nur über einen unveröffentlichten geheimen Link verfügbar sein. Der Schutz des Inhalts selbst steht bei diesem Pattern jedoch nicht im Mittelpunkt.

Wenn ein/e Nutzende/r es so wählt, können bestimmte Einzelpersonen oder Gruppen standardmäßig auf die angehängten Ortsangaben haben. Ein Standardzugriff wie dieser macht jedoch den folgenden Ansatz ungültig.

Entfernen der Vertrauensanforderung an die Dienstleistenden

Eine erweiterte Lösung kann darauf abzielen, die Privatsphäre weiter zu schützen.

Der Dienst kann eine verschlüsselte Ortsinformation anstelle des Standorts in Verbindung mit dem Inhalt akzeptieren. Wenn (und nur wenn) sich Nutzende dafür entscheiden, diesen bestimmten Ort zugänglich zu machen, entschlüsselt ihr client-seitiges Gerät den Ort und stellt dem Dienst den Klartext zur Verfügung.

Nutzende können wählen, wie granular der Standort freigegeben wird, bevor der Dienst ihn erhält. Auf diese Weise benötigen die Verantwortlichen nur rechtsgültige Einwilligungen, um den Inhalt selbst zu speichern. Diese Lösung ist, wie viele andere, von der Vertrauenswürdigkeit des eigenen Geräts der Nutzenden abhängig.

Beispiele

  • Flickr (grundlegende Implementierung)
  • Twitter (grundlegende Implementierung)
  • Facebook (grundlegende Implementierung)

Auswirkungen

Vorteile

  • Nutzende können an einer Stelle oder, wo kontextbezogen relevant, granulare Datenschutzeinstellungen für die Standortinformationen ihres Inhalts definieren.
  • Nutzende müssen die Einstellungen nicht bei der Generierung von Inhalten berücksichtigen, sondern erst später, wenn sie diese freigeben.
  • Außerdem können die zu verwendenden Einstellungen auch grundsätzlich für Einzelpersonen oder Gruppen festgelegt werden und müssen so nicht erneut konfiguriert werden.

Verwandte Patterns

Dieses Pattern ist eine der verschiedenen Grundlagen von gezielte Datenfreigabe ermöglichen und kann daher davon verwendet werden. Bei diesem Pattern muss jedoch rechtsgültige Einwilligung eingeholt werden, da Informationen standardmäßig aufgezeichnet werden und erst später mit ihnen gearbeitet wird. Dies erfordert die echte und informierte Zustimmung der Nutzenden.

Lizenz:

Die textuelle Pattern-Beschreibung auf dieser Seite steht unter der Lizenz Creative Commons Namensnennung Uported (CC BY 3.0). Wenn Sie diese Beschreibung teilen, weiterverbreiten oder bearbeiten, so müssen Sie die Lizenzbestimmungen beachten, und als Namensnennung angeben „Privacy Patterns basierend auf den Sammlungen unter PrivacybyDesign.Digital und Privacy Patterns.org“ mit jeweiliger Verlinkung.
Die vorliegende Pattern-Beschreibung entstand durch Übersetzung der auf privacypatterns.org veröffentlichten Privacy Patterns.

Quellen:

S. Ahern, D. Eckles, N. Good, S. King, M. Naaman, and R. Nair, “Over-Exposed ? Privacy Patterns and Considerations in Online and Mobile Photo Sharing,” CHI ’07, pp. 357–366, 2007.