Kurzinfo
Lassen Sie Nutzende einige oder alle persönlichen Informationen herausfiltern, die sie sonst einem Dienst zur Verfügung stellen würden.
STRATEGIEN: Kontrolle überlassen
Kontext
Nutzende werden häufig aus verschiedenen Gründen von einer Dienstleistung (oder einem Produkt) überwacht, z.B. um sie mit einer gemeinsamen Aktivität zu verknüpfen.
Manchmal ist eine Überwachung erforderlich, damit Nutzende bestimmte Attribute voneinander wissen, die ihnen bei der Kommunikation oder anderweitigen Teilnahme helfen können. Diese Überwachung kann offensichtlich sein, von Nutzenden gewählt oder sie ist unvermeidlich. Dies kann einige Nutzende in Bedrängnis bringen oder ihre Handlungen im Guten wie im Schlechten beeinflussen. Viele Arbeitsumgebungen verfügen zusätzlich über Software zur Verfolgung der Produktivität oder die Möglichkeit, Personen bei der Arbeit zu über die Schulter zu schauen. Dadurch kann sich natürlich jede veränderte Tätigkeit auf die Arbeitsleistung oder deren Wahrnehmung auswirken. Eine obligatorische Nachverfolgung ist von Nutzenden häufig unerwünscht und kann sich in vielen Fällen negativ auf ihre Erfahrung auswirken.
Problem
Nutzende verhalten sich unter aktiver Aufsicht anders, was sich negativ auf die von ihnen erstellten Inhalte auswirken kann.
Einflüsse und Bedenken
- Für Verarbeitende könnte die Überwachung für die Funktion des Dienstes notwendig sein, oder ihr Geschäftsmodell hängt generell davon ab.
- Nutzende haben ein Interesse daran, möglichst wenig überwacht zu werden.
- Nutzende könnten je nach Kontext einen unterschiedlichen Grad an Identifizierbarkeit verlangen.
- Bei der Implementierung von Gegenseitigkeit wäre zumindest eine teilweise Identifizierung der Nutzenden erforderlich.
Lösung
Erlauben Sie Nutzenden, ein Level an Identifizierbarkeit für den betreffenden Kontext auszuwählen. Sie können eine Teilmenge der Interaktions- oder Kontoattribute anzeigen und den Rest herausfiltern.
Implementierung
Für die Implementierung dieses Pattern wird eine Konfigurationsschnittstelle benötigt. Zwei Ansätze könnten in Betracht gezogen werden: Publicity-Ebenen oder Publicity-Profile.
Bei Publicity-Ebenen könnten alle möglicherweise identifizierenden Informationen auf einer Skala angeordnet werden, je nachdem, wie identifizierend die einzelnen Informationen allein oder zusammen dargestellt sind. Ein visuelles Element könnte zur Auswahl einer bestimmten Publicity-Stufe verwendet werden. Wenn Nutzende eine Ebene auswählen, werden alle Informationen mit der gleichen oder einer kleineren Stufe angezeigt. Dies wird auch berücksichtigt, wenn bestimmt wird, wo auf der Skala eine Information einzuordnen ist.
In Publicity-Profiles könnten alle möglicherweise identifizierenden Informationen durch visuelle Elemente dargestellt werden, und die Nutzenden müssen jede Art von Information auswählen, die sie teilen möchten. Darüber hinaus könnten die Nutzenden je nach Art der Information eine unterschiedliche Granularität für jede einzelne definieren (z.B. in Bezug auf den Standort ist es möglich, das Land, die Region, die Stadt, die Abteilung usw. zu definieren).
Gegenseitigkeit könnte durch die Verbindung von Datenschutzebenen mit Berechtigungen zur Interaktion implementiert werden.
Beispiele
- Video-Systeme: NYNEXPortholes (Lee, Girgensohn und Schlueter 1997)
- TUKAN (Schümmer und Haake 2001)
- Anonymer Zugang in webbasierten Gemeinschaften
- Ad-Blocker erlauben festzulegen, durch wen mann getrackt werden will, siehe uBlock Review
Auswirkungen
Vorteile
- Da Nutzende explizit kontrollieren können, wie viele persönliche Informationen sie anderen Personen zur Verfügung stellen, müssen sie nicht mehr befürchten, dass ihre persönlichen Informationen von anderen missbraucht werden. Damit steht ihnen eine Umgebung zur Verfügung, die so privat ist, wie es die Situation gerade erfordert.
- Nutzende können entscheiden, private Angelegenheiten zu teilen, ohne von anderen Nutzenden überwacht zu werden, indem sie einfach ihr Publicity-Profil oder die Publicity-Stufe ändern.
Verantwortlichkeiten
Anonyme Interaktion mit dem System kann die Hemmschwelle für destruktives oder verbotenes Verhalten senken. Nutzende müssen nicht befürchten, dass destruktive Aktivitäten mit ihrer Identität in Verbindung gebracht werden. Daher sollten Verarbeitende anonymen Nutzenden nur eingeschränkte Funktionalitäten zur Verfügung stellen (z.B. nur Lesezugriff oder nur moderierte Postings in einem Diskussionsforum).
Verwandte Patterns
Dieses Pattern kann von Bedingung für Datenzugriff festlegen lassen implementiert werden, da bei dessen Anwendung kontextbezogene Identifizierbarkeit gegeben sein kann.
Es wird durch das Teilen über einen geheimen Link ergänzt, welches eine Möglichkeit darstellt, einem bestimmten Publikum Informationen zur Verfügung zu stellen. Außerdem wird es auch durch die aktive Freigabe von Anwesenheitsdaten ergänzt, welches stattdessen die Reichweite bezüglich des Publikums erweitert.
Dieses Pattern ergänzt das Ermöglichen einer gezielten Datenfreigabe, da es Einstellungen der Identifizierbarkeit pro Kontext ermöglicht, während das andere Pattern granulare Informationen liefert, die zur Identifizierbarkeit führen könnten. Zusammen konzentrieren sie sich mehr auf diesen Aspekt als auf die Offenlegung an sich.
Nicht alles zeigen kann außerdem eine Freundesliste verwenden, um die Entscheidung, wem Informationen geteilt werden zu erleichtern.
Darüber hinaus führt dieses Pattern zur Gegenseitigkeit. Die Anwendung dieses Patterns schafft eine potentielle Möglichkeit des Missbrauchs oder der missbräuchlichen Verwendung durch Nutzende, die sich dafür entscheiden, anonym zu bleiben. Um dies zu verhindern, können Nutzende je nach Grad ihrer Identifizierbarkeit reziproke Möglichkeiten zur Verfügung gestellt werden.
Nach Schümmer (2004) wird es auch ergänzt durch:
- Don’t Disturb
- Gaze Over the Shoulder (dark-pattern)
- Gegenseitigkeit
Lizenz:
Die textuelle Pattern-Beschreibung auf dieser Seite steht unter der Lizenz Creative Commons Namensnennung Uported (CC BY 3.0). Wenn Sie diese Beschreibung teilen, weiterverbreiten oder bearbeiten, so müssen Sie die Lizenzbestimmungen beachten, und als Namensnennung angeben „Privacy Patterns basierend auf den Sammlungen unter PrivacybyDesign.Digital und Privacy Patterns.org“ mit jeweiliger Verlinkung.
Die vorliegende Pattern-Beschreibung entstand durch Übersetzung der auf privacypatterns.org veröffentlichten Privacy Patterns.
Quellen:
T. Schümmer, “The Public Privacy – Patterns for Filtering Personal Information in Collaborative Systems,” in Proceedings of CHI workshop on Human-Computer-Human-Interaction Patterns, 2004.
T. Schümmer and J. Haake, “Supporting distributed software development by modes of collaboration,” 2001.
A. Lee, A. Girgensohn and K. Schlueter, “NYNEX Portholes: Initial User Reactions and Redesign Implications,” in GROUP’97, International Conference on Supporting Group Work, ACM, New York, 1997.