Umgebungshinweise bei Datensammlung


Auch bekannt als: Ambient Notice, Instant User Interface for Information (about PII), Talking Collector, On the Spot Information

Kurzinfo

Sorgen Sie für eine unaufdringliche, nicht modale, kontinuierliche Benachrichtigung, wenn auf persönliche Daten zugegriffen wird, um das Bewusstsein für die Echtzeitverfolgung zu erhöhen.

STRATEGIEN: Informieren

Kontext

Moderne Sensorsysteme verarbeiten riesige Datenmengen und führen komplexe Operationen im Hintergrund durch, die von Nutzenden normalerweise nicht wahrgenommen werden. Das Sammeln von Informationen der Nutzenden dient dazu, die Qualität dieser Dienste (oder Produkte) zu verbessern, und Nutzende möchten in der Regel davon profitieren. Dies zeigt sich insbesondere beim Sammeln von Daten bezüglich Konsum, Standort und körperlicher Aktivität. Obwohl Nutzende nicht mit umfangreichen und anderweitig einschüchternden Details konfrontiert werden möchten, muss die Verarbeitung mit der informierten und ausdrücklichen Zustimmung der Nutzer*innen erfolgen. Sobald die Zustimmung dazu eingeholt wurde, kann die Verarbeitung regelmäßig oder in Echtzeit erfolgen. Auch wenn Nutzende darüber informiert werden müssen, erfolgen die laufenden Lesevorgänge dennoch in einer Art und Weise, die optimiert ist und nicht von Natur aus auffällt. Nutzende vergessen nach einiger Zeit häufig auch, dass sie ihre Zustimmung gegeben haben.

Problem

Nutzende sind sich häufig nicht darüber im Klaren, welche Sensoren derzeit aktiv sind. Es ist wichtig, dass sie verstehen, dass ihre persönlichen Daten erfasst werden, damit ihre informierte Zustimmung gültig bleibt. Dies sollte jedoch unaufdringlich sein, um Ermüdung bei der Benachrichtigung oder Desensibilisierung zu vermeiden.

Es kann sein, dass Nutzende nicht bemerken, dass eine Anwendung, der die Erlaubnis zum Zugriff auf Sensordaten erteilt wurde, dies kontinuierlich oder wiederholt tut, oder sie erinnern sich nicht daran, dass sie in der Vergangenheit einem Dienst explizit den Zugriff genehmigt haben, später erneut auf ihre Daten zuzugreifen. In einigen Fällen kann es sein, dass die frühere explizite Erlaubnis nicht vom aktuellen Nutzenden des Geräts erteilt wurde (sondern von einem Ehepartner, Elternteil oder sogar einem Ex-Ehepartner oder Stalker, der vorübergehend die Kontrolle über das Gerät oder das Konto hatte). Wenn die Benachrichtigung nur zum Zeitpunkt der Zustimmung erfolgt, kann es vorkommen, dass Nutzende versehentlich persönliche Informationen über einen längeren Zeitraum teilen, nachdem sie nur vorübergehend die Kontrolle über ihr Gerät verloren haben.

Lösung

Bieten Sie eine unaufdringliche, aber deutlich sichtbare Benachrichtigung, während die Sensoren in Gebrauch sind, ohne den Fluss der Nutzungsaktivität zu unterbrechen. Diese Benachrichtigung sollte interaktiv sein, um die Datenerfassung zu verhindern, zu verzögern oder weitere Erklärungen zu liefern.

Implementierung

Der beste Ort, um für Transparenz zu sorgen, ist der Ort, an dem die Daten gesammelt werden. Der Sensor ist die erste wahrgenommene Komponente eines komplexen Systems, da Nutzende während der Erfassung direkt mit dem Sensor konfrontiert werden. Daher sind die an diesem Ort bereitgestellten Informationen für Nutzende leichter zugänglich. Aus diesem Grund sollten Sensoren mit einer Schnittstelle zur sofortigen Überprüfung der gesammelten Daten ausgestattet sein. Eine solche Schnittstelle kann aus einer einfachen Anzeige oder einem Nachrichtenfeld bestehen. In komplexeren Umgebungen können optische Codes und Links die Nutzenden auf detailliertere Informationsquellen verweisen.

Beispiele

  • Location services icons: Mac OS X, Google Chrome, et al.
    Mac OS X Lion fügt ein Symbol für Dienste zur Umgebungsortung (einen Kompasspfeil) hinzu, das vorübergehend in der Taskleiste erscheint, wenn ein Dienst auf den Standort des Geräts zugreift.
  • Chrome fügt der Standortleiste ein Fadenkreuz-Symbol hinzu, wenn eine Website über die W3C-Geolokalisierungs-API auf den Gerätestandort zugreift.
    Durch Klicken auf das Symbol werden mögliche Aktionen angeboten: Löschen der gespeicherten Zustimmung für diese Website und Zugriff auf Einstellungen.

Ähnliche Beispiele gibt es für Android, iOS und Windows.

Verwandte Patterns

Dieses Pattern ist eine Alternative zu fortlaufenden Benachrichtigungen. Während Umgebungshinweise bei Datensammlung auf nicht aufdringliche und kontinuierliche Benachrichtigungen abzielen, konzentriert sich die fortlaufende Variante auf aufdringliche und unvermeidbare Benachrichtigungen. Daher muss diese sparsamer eingesetzt werden.

Lizenz:

Die textuelle Pattern-Beschreibung auf dieser Seite steht unter der Lizenz Creative Commons Namensnennung Uported (CC BY 3.0). Wenn Sie diese Beschreibung teilen, weiterverbreiten oder bearbeiten, so müssen Sie die Lizenzbestimmungen beachten, und als Namensnennung angeben „Privacy Patterns basierend auf den Sammlungen unter PrivacybyDesign.Digital und Privacy Patterns.org“ mit jeweiliger Verlinkung.
Die vorliegende Pattern-Beschreibung entstand durch Übersetzung der auf privacypatterns.org veröffentlichten Privacy Patterns.

Quellen:

N. Doty, M. Gupta, and J. Zych, “privacypatterns.org – Privacy Patterns,” privacypatterns.org, 2017. [Online]. Available: http://privacypatterns.org/. [Accessed: 26-Feb-2015].

C. Bier and E. Krempel, “Common Privacy Patterns in Video Surveillance and Smart Energy,” in ICCCT-2012, 2012, pp. 610–615.

J. Siljee, “Privacy transparency patterns,” in EuroPLoP ’15, 2015, pp. 1–11.