Digitaler Fußabdruck

Conrad, Bernd; Kreutzer, Michael; Mittermeier, Johanna; Schreiber, Linda; Simo Fhom, Hervais

doi:10.1007/978-3-658-35263-9_7

Bernd Conrad⁷,
Michael Kreutzer⁷,
Johanna Mittermeier^7,8,
Linda Schreiber⁷ &
…
Hervais Simo Fhom⁷

Part of the book series: DuD-Fachbeiträge ((DUDGABLER))

4680 Accesses
1 Citations

Zusammenfassung

Dieses Kapitel fokussiert den digitalen Fußabdruck einer Person, der typischerweise größer wird und der immer elaborierteren Auswertungsmöglichkeiten zugeführt wird. Die Autor:innen begründen die Vergrößerung des Fußabdrucks mit drei miteinander verschränkten technischen Trends: Hyperkonvergenz der Informationstechnologie, Hyperkonnektivität sowie mehr und mehr entstehende dynamische Informations-Ökosysteme. Um gezielt Gestaltungsvorschläge für privatheitsfreundliche Systeme entwickeln zu können, so die weitere Argumentation, müssen zunächst Angriffs- und Bedrohungspotenziale, die aus diesen Trends entstehen, betrachtet werden. Diese werden an Hand von vier Beispielen erläutert: Datenschutz im Domain Name System, bei mobilen Diensten wie Dating-Apps und Lern-Apps, bei vernetzten und smarten Objekten wie Smart-TVs oder Smart Cars sowie in öffentlichen, freien WLANs. Die Autor:innen zeigen mittels Generalisierung der gegebenen Beispiele das mögliche Spannungsverhältnis zwischen dem Innovationspotential von Digitalisierung und den wirtschaftlichen Interessen von Unternehmen auf der einen Seite sowie den Privatheitsinteressen der Nutzenden auf der anderen Seite auf. Dieses Spannungsverhältnis spiegelt auch der bestehende rechtliche Rahmen wieder. Die Autor:innen zeigen aber auch, dass Innovation und Privatheit durchaus vereinbar sind, beispielsweise wenn gerade mit und durch technische Innovationen geeignete „Privacy-enhancing Technologies“ (PETs) entwickelt und genutzt werden. Wie dies aussehen kann, wird an Hand von drei konkreten technischen Umsetzungsbeispielen (Me&MyFriends; WallGuard und Metaminer) illustriert. Me&MyFriends ist ein Selbstbewertungstool für Nutzer:innen, welches es ermöglicht, auf Basis von transparent gemachten Beziehungsgraphen detailliertes Wissen über hinterlassene digitale Spuren bei der Nutzung von Online Social Media zu erlangen. WallGuard dient der präventiven Erkennung von Social-Media-Beiträgen, die möglicherweise ein späteres Bereuen nach sich ziehen könnten. MetaMiner ist ein nutzerzentriertes Framework, das eine Verbesserung der Transparenz über die Netzwerkinteraktionen des mobilen Geräts ermöglicht. Gemeinsam ist den drei Gestaltungsvorschlägen, dass sie aufzeigen, wie wirkungsvoll Transparenz über den persönlichen digitalen Fußabdruck für den Schutz der informationellen Selbstbestimmung sein kann.

„Warning: Your kid’s digital footprint starts before birth“

Marisa Dellatto, New York Post, 8. Nov. 2018

You have full access to this open access chapter, Download chapter PDF

Digitales Lernen – Welche Rolle spielt die Privatheit der Daten von Schüler:innen bei der Nutzung von Lernsoftware?

Digitale Potenziale für den stationären Handel durch Empfehlungsprozesse, lokale Relevanz und mobile Geräte (SoLoMo)

Die Menschen hinter den Usern verstehen: Die Digitalen Sinus-Milieus®

1 Einleitung: Technik als Auslöser – hohe Dynamik, neue Möglichkeiten

Neue digitale Technologien rufen grundlegende gesellschaftliche und soziale Veränderungen hervor und sind sowohl Auslöser für einen umfassenden sozioökonomischen und institutionellen Wandel als auch Nebenfolge sich ändernder gesellschaftlicher Zusammenhänge, Praktiken und Normen. Dieser Beitrag steht vor dem Hintergrund des zunehmenden Umfangs von gesammelten Daten sowie dem Grad der Vernetzbarkeit und Analysemöglichkeiten von Daten und den daraus resultierenden Herausforderungen für die Privatheit. Der hieraus entstehende digitale Fußabdruck einer Person steht im Zentrum dieser Betrachtung, denn er stellt vielfältige Herausforderungen an den Privatsphärenschutz sowie den gesellschaftlichen Diskurs.

Der nachfolgende Abschn. 2 skizziert drei technische Trends, auf deren Basis und an Hand von Beispielen sowohl Auswirkungen auf die Privatheit als auch neue Möglichkeiten dargestellt werden. Unter Forscherinnen und Forschern gibt es große Übereinstimmung darüber, dass Analysen und Gestaltungsvorschläge auf Basis von Angreifer- und Bedrohungsmodellen durchgeführt werden müssen, wie Abschn. 3 aufzeigt. Im nächsten Abschn. 4 werden dementsprechend aktuelle und zukünftige generelle Bedrohungen für die Privatheit identifiziert und anhand von Beispielen veranschaulicht. Ausgehend davon adressiert Abschn. 5 das scheinbare Spannungsverhältnis zwischen dem Innovationspotential von Digitalisierung und Privatheitsinteressen und geht auf den wirtschaftlichen Kontext von Unternehmen und den bestehenden rechtlichen Rahmen ein. Die Thesen des Abschnitts lauten, dass Innovation und Privatheit vereinbar sind und das technischer Fortschritt für „Privacy-enhancing Technologies“ genutzt werden kann, um Innovationen im Bereich der Privatheit zu fördern und Prinzipien wie informationelle Selbstbestimmung und Nutzerermächtigung zu stärken. Abschn. 6 ist die Einleitung in drei konkrete technische Gestaltungsvorschläge. Diese Gestaltungsvorschläge werden in den darauffolgenden Abschn. 6.1, 6.2 und 6.3 abgebildet, um exemplarisch aufzuzeigen, wie der digitale Fußabdruck zur Erhöhung der Transparenz abgebildet und genutzt werden kann. In unserer Schlussbetrachtung Abschn. 7 betonen wir die Wichtigkeit von Transparenz für die informationelle Selbstbestimmung und heben die Mechanismen des digitalen Fußabdrucks als herausragend hervor.

2 Techniktrends, Auswirkungen und Möglichkeiten

2.1 Trends in der digitalen Technikentwicklung

Der Möglichkeitsraum durch die digitale Technik erweitert sich mit ihr. Die von der OECD in 1997 beschriebenen Trends^{Footnote 1} wurden durch eine von DG Connect im Jahr 2009 publizierte Studie^{Footnote 2} bestätigt und präzisiert. Die Autoren der DG-Connect-Studie beschreiben eine Zukunft, in der Informationen automatisch fließen (Hyperkonvergenz) und von jedem Ort und zu jeder Zeit mit einer großen Anzahl von Geräten abgerufen und ausgetauscht werden kann (Hyperkonnektivität). Informations-Ökosysteme wie Online Social Networks weisen hohe Dynamiken in mehreren Dimensionen auf.

Hyperkonnektivität, Hyperkonvergenz und dynamische Informations-Ökosysteme entstehen weder isoliert noch parallel, sondern sind miteinander verschränkt und befördern sich gegenseitig. Sie ermöglichen eine Vielzahl von neuen Anwendungen und induzieren soziotechnische Transformationsprozesse.

2.2 Bereichsübergreifende Auswirkungen und Möglichkeiten

Zusammen erweitern und effektivieren diese Entwicklungen bestehende Informationstechnologien und machen sie effizienter. Sie ermöglichen darüber hinaus neue digitale Produkte, Dienste und datenbasierte Geschäftsmodelle, die zur digitalen Transformation von immer mehr Lebensbereichen beitragen und einen großen Veränderungsdruck auf bestehende Akteure, Infrastrukturen, Praktiken und Prozesse innerhalb relevanter wirtschaftlicher- und gesellschaftlicher Bereiche (z. B. im Bildungs-, Gesundheits- und Transportwesen) ausüben. Der Einfluss ist im Alltag unmittelbar sichtbar, pars pro toto seien genannt: Das Smart Home, das Fahrzeug (Smart Car), sowie neuartige Endgeräte, die direkt am Körper (Wearables) getragen werden können.^{Footnote 3}

Durch die Gesamtheit aller „Spuren“ dieser digitalen Aktivitäten, Beiträge und Kommunikationen, die durch die dargestellten Technologien in den verschiedensten Anwendungsfällen entstehen sowie verknüpft und ausgewertet werden, entsteht ein einzigartiger, stetig wachsender digitaler Fußabdruck einer Person. Das Bewusstsein über diesen digitalen Fußabdruck und dessen Umfang sowie die Möglichkeit zur Kontrolle dessen und den daraus ableitbaren Schlussfolgerungen ist für den Betroffenen oftmals sehr eingeschränkt.^{Footnote 4}

Diese Informationen zu einer Person, die durch diese bewusst oder unbewusst, selbstständig oder durch andere preisgegeben werden, lassen es zu, detaillierte Aussagen zur Persönlichkeit und den Vorlieben einer Person zu treffen. Unternehmen, staatliche Einrichtungen oder auch eigene (Online-) Freundinnen und Freunde können so mit unterschiedlich komplexen (automatisierten oder händischen) Methoden auf Eigenschaften und Vorlieben einer Person schließen, die diese möglicherweise nicht beabsichtigt hat, mit anderen zu teilen.^{Footnote 5} Dadurch kann der digitale Fußabdruck umfassende Auswirkungen auf das online und offline Leben einer Person haben – von personalisierten Suchmaschinen, Empfehlungssystemen und gezieltem Online-Marketing^{Footnote 6} zu personalisierten Preisen, gemessen an der jeweiligen Zahlungsbereitschaft eines Verbrauchers^{Footnote 7} bis hin zu Job- und Karriereaussichten.^{Footnote 8}

Was verbindet diese und weitere Fragen der Privatheit, wenn sie systematisch betrachtet werden sollen?

3 Angreifer- und Bedrohungsmodell als Konstante für den Diskurs über Privatheit

Die Vorstellung darüber, was Privatheit ist, was sie für Individuen bedeutet und wie wichtig^{Footnote 9} sie ist, ändert sich mit der Zeit.^{Footnote 10} Seit der Jahrtausendwende scheint die Änderungsgeschwindigkeit zuzunehmen, wenn man den Privatheitsdiskurs^{Footnote 11} verfolgt. Die Meinungen gehen auseinander,^{Footnote 12} wer oder was das Problem verursacht und was Problemverstärker sind. Die Wechselwirkungen zwischen den Akteurinnen, Artefakten und Praxen werden uneinheitlich^{Footnote 13} beschrieben. Es gibt Dissens darüber, was zu den personenbeziehbaren Daten^{Footnote 14} zählt. Wissenschaftlerinnen und Wissenschaftler ringen um die Frage, ob es das Privacy Paradox^{Footnote 15} noch gibt oder ob es überhaupt je existierte, also ein Mythos^{Footnote 16} ist. Die kulturellen und sozialen Anschauungen über Privatheit weichen voneinander ab^{Footnote 17} und ändern sich mit der Zeit. Es variieren die Annahmen der Forschung über die Kultur und die Zeit, welche Faktoren für die Messung der Einstellung und des Verhaltens in Bezug auf die Privatheit am relevantesten sind. Dieser Wandel spiegelt sich auch in der Rechtsentwicklung^{Footnote 18} wieder. Metastudien, die anderen Disziplinen wertvolle Erkenntnisse liefern, stoßen somit an methodische Grenzen.

Lediglich über wenige Begriffe wurde Konsens erreicht: Der Kristallisationspunkt ist das Angreifer- und Bedrohungsmodell. Es ist der Dreh- und Angelpunkt für Gestaltungsvorschläge.

4 Identifizierung aktueller und zukünftiger Bedrohungen für die Privatheit

Der Einsatz innovativer Technik wird stets von dem Paradox begleitet, dass Menschen zwar neue Handlungsmöglichkeiten erlangen, damit jedoch auch neuen Risiken und Gefahren ausgesetzt sind. Für fast alle digitalen Innovationen stellt sich die Frage der Privatheit: „Der Zugang zum Thema Privatheit von juristischen, politischen und technischen Gesichtspunkten her verdankt sich der Aktualität des Themas durch die Bedrohung und tendenzielle Auflösung von Privatheit in Zeiten der Netzgesellschaft“.^{Footnote 19} Die technologischen Trends Hyperkonnektivität, Hyperkonvergenz und die hohe Dynamik der Informations-Ökosysteme erfordert, dass die digitale Welt immer wieder auf den Prüfstand hinsichtlich der Einhaltung von Grundwerten wie informationelle Selbstbestimmung, Entscheidungsfreiheit, Nichtdiskriminierung und Meinungspluralität gestellt werden muss.

Vier Beispiele aus den Forschungsaktivitäten des Fraunhofer SIT veranschaulichen exemplarisch die aktuellen und zukünftigen Bedrohungen für die Privatheit.

4.1 Datenschutz im Domain Name System – Risiken und Lösungsansätze

Das Domain Name System (DNS) ist eines der Rückgratsysteme, von denen das Funktionieren des Internets abhängig ist. Als sogenanntes „Adressbuch des Internets“ bietet die DNS Namensauflösungsfunktionen für Internet-Dienste, von denen die wichtigste die Übersetzung von Domänennamen in Internet-Protokoll-Adressen (IP-Adressen) und umgekehrt ist. Obwohl immer mehr Internet-Dienste auf verschlüsselte Kommunikation umsteigen, die sensible Informationen vor potenziellen Lauschangriffen verbirgt, bleibt das unverschlüsselte und nicht authentifizierte DNS-Protokoll eine entscheidende Schwachstelle der gesamten Internet-Infrastruktur in Bezug auf Datenschutz. DNS-Daten sind Metadaten, sie beinhalten Adressen aufgerufener Webseiten, Adressen der sie aufrufenden Systeme, Zeitpunkte und vielfach auch Rückschlüsse auf Standorte. Mit diesen Metadaten kann man die Kompetenzen, Vorlieben und Neigungen einzelner Personen ableiten und in Profilen speichern. Aus Metadaten werden hierdurch Inhaltsdaten. Der hierarchische und zentralisierte Aufbau des DNS ermöglicht es verschiedenen Einrichtungen, einschließlich kommerzieller und staatlicher, die Online-Aktivitäten von Internetnutzern zu überwachen und sensible Rückschlüsse über sie zu ziehen, wodurch letztlich das Recht des Einzelnen auf Privatsphäre untergraben wird.^{Footnote 20}

4.2 Datenschutz, IT-Sicherheit und Privatheitsschutz bei mobilen Diensten

Beispiel Dating-Apps

Der Markt für Online-Dating-Dienste boomt. Eine stetig wachsende Anzahl Liebesuchender erhofft sich die große Liebe via Internet finden zu können^{Footnote 21} und verlässt sich dabei u. a. auf Smartphones, Tablets und dedizierte mobile Dating-Apps. Die Nutzer schätzen besonders die personalisierten und lokationsbasierten Angebote dieser Apps. Sie können Profile anlegen und den Suchradius einstellen, in dem ein möglicher Flirtpartner gesucht werden soll. Ebenso lassen sich die gewünschten Altersgruppen und das Geschlecht des potenziellen Partners dynamisch einstellen. Anhand dieser und weiterer auf dem Nutzergerät befindlichen Informationen – darunter Wohnort und Kontaktliste – schlägt die App einen möglichen Profil-Match vor. Die dabei anfallenden Daten über Nutzerverhalten und -vorlieben, ihre Weitergabe und Verarbeitung sowie die zunehmende intransparente Akteurslandschaft des Dating-App-Ökosystems stellen den Schutz der Privatheit und die informationelle Selbstbestimmung vor neue Herausforderungen. Doch wie privatheitsinvasiv sind Dating-Apps tatsächlich? Wir sind dieser Frage nachgegangen und haben eine Analyse der Top-250 Android Dating-Apps durchgeführt. In mehr als der Hälfte der im offiziellen Play Store beliebtesten kostenlosen Dating-Apps (Stand: 29 September 2016) sind mehrere Anfälligkeiten, z. B. unverschlüsselte Datenübertragung via HTTP, unsichere Codes für SSL/TLS oder das Laden aktiver Webinhalte wie JavaScript, festgestellt worden. Solche Anfälligkeiten erlauben potenziellen Angreifern, sensitive Nutzerdaten (z. B. Log-in-Daten) abzufangen, um u. a. Kontrolle über die Konten der Nutzenden zu erlangen. Ein Vergleich mit den Top-250 Nicht-Dating-Apps zeigte, dass ein deutlich höherer Prozentsatz der Dating-Apps keinen Link zu einer Datenschutzrichtlinie in ihrem Anwendungs-Dashboard eingebunden hatten (34 %), während nur 18 % der Nicht-Dating-Apps dies taten. 5 % dieser URL waren tote Links, d. h. sie führten zu gar keiner Datenschutzerklärung. Darüber hinaus ergab eine weitere Überprüfung der Datenschutzrichtlinien, dass Englisch die häufigste verwendete Sprache zur Formulierung der Datenschutzrichtlinien ist (44 % vs. 58 % für Nicht-Dating-Apps), gefolgt von Deutsch (9 % vs. 21 % für Nicht-Dating-Apps), Chinesisch (<2 %), Französisch (<1 %), Spanisch (<1 %) und Dänisch (<1 %), bulgarisch (<1 %) usw. Eine weitere bemerkenswerte Feststellung ist, dass etwa ein Viertel der untersuchten Apps, unabhängig davon ob Dating-Apps oder nicht, keine Postanschrift des App-Anbieters im Play-Store bereitstellte. Aus Sicht des Datenschutzes wird es für Nutzende dementsprechend erheblich schwieriger, die für die Datenverarbeitung verantwortliche Stelle zu kontaktieren, oder die Gerichtsbarkeit zu bestimmen um mögliche Ansprüche gegenüber der Stelle durchsetzen zu können. Ein weiteres Risiko für die Privatsphäre entsteht mit dem ebenfalls im Rahmen unserer Untersuchung festgestellten verbreiteten Einsatz sog. Advertisement/Tracking Frameworks. Für viele Funktionen von Apps werden solche Frameworks, auch Zusatzbibliotheken genannt, verwendet, um Details über die App-Nutzenden zu erfassen. Im besten Fall sind dies Informationen, die die Anbieter zur Verbesserung ihrer Services verwenden. Werbetreibende verwenden die Informationen oft, um Nutzerprofile zu erstellen und so z. B. maßgeschneiderte Werbung einzublenden.^{Footnote 22} Die Zusatzbibliotheken sind jedoch häufig auch Einfallstore für Cyber-Angriffe, da sie oft Sicherheitslücken aufweisen. Aus unseren Untersuchungen ging hervor, dass 44 % der 250 Dating-Apps zwischen 3 und 5 Werbe-/Tracking-Frameworks enthielten. 34 % Dating-Apps hatten höchstens 2 Werbe-/Tracking-Frameworks. Eine Dating-App hat die meisten Werbe-/Tracking-Frameworks (über 12). Bei Nicht-Dating-Apps waren es im Gegensatz nur knapp 33 % der Top-250 Apps mit 3 bis 5 Werbe-/Tracking-Frameworks. 45 % der getesteten Nicht-Dating-Apps hatten maximal 2 Werbe-/Tracking-Frameworks im Code integriert. Eine Zusammenfassung unserer Forschungsergebnisse inkl. weiterer Aspekte u. a. hinsichtlich der Art und Privacy-Implikationen der im Kontext von Dating-Apps benötigten Berechtigungen, stellten wir auf dem Web Monday am 20. November 2017 in Darmstadt vor.^{Footnote 23}

Beispiel Learning-Apps

In den letzten Jahren hat die Popularität von mobilen Learning-Apps für Kinder und Jugendliche stark zugenommen – insbesondere im Kontext der aktuell herrschenden Corona-Pandemie in dem der Schulbetrieb zuletzt massiv eingeschränkt werden musste. Viele dieser Apps überwachen das Nutzerverhalten und sammeln personenbezogene Daten, die nach gängiger Meinung zu einem entscheidenden Faktor für erfolgreiche Innovationen geworden sind. Als Folge dessen könnte eine zunehmende Verbreitung von Bildungs- und Lern-Apps die Privatheit von Kindern, Kleinkindern und sogar Säuglingen erheblich beeinträchtigen.^{Footnote 24}

In der Tat muss bei Kindern und Jugendlichen davon ausgegangen werden, dass sie, je kleiner sie sind, umso weniger die Bedeutung und Konsequenzen der Preisgabe von personenbeziehbaren Informationen verstanden wird und es fraglich ist, ob sie eine „informierte“ Zustimmung erteilen können. Dienstanbieter und Dritte (z. B. Angreifer, Datenvermittler, Datenaggregatoren, etc.) die Daten von Kindern und Jugendlichen von Learning-Apps erhalten, können diese beispielsweise weiterverkaufen und so das Versenden von personalisierten Werbeinhalten an Kinder und Jugendliche weiterhin ermöglichen. In der EU erhalten Minderjährige im Rahmen der DSGVO einen besonderen Schutz.^{Footnote 25} So sind u. a. eine Zustimmung vor der Verwendung personenbezogener Daten durch den Träger der elterlichen Verantwortung für das Kind und ein Verbot des Behavioral Targeting vorgeschrieben.^{Footnote 26} Im Rahmen einer zum Zeitpunkt der Finalisierung dieses Beitrags sich noch in der Durchführung befindlichen Analyse untersuchen wir, inwieweit Android Learning-Apps vor dem Hintergrund der DSGVO die Privatheit ihrer Nutzenden gewährleisten bzw. Anforderungen an Datensicherheit erfüllen. Die Datengrundlage für die Untersuchung besteht aus 199 Apps (167 „Kostenlose“-Applikationen und 32 „Kostenpflichtige“-Applikationen) aus dem Google Play-Store. Die Analyse unterteilt sich in zwei Schritte: die grobgranulare und feingranulare Analyse. Die grobgranulare Analyse befasst sich mit Beobachtungen und statistischen Erkenntnissen, welche direkt aus den bereits gesammelten Metadaten der Applikationen ersichtlich sind. Darunter fallen Statistiken zu einzelnen Metadaten wie Entwickler-Adresse bei der Ursprungsland-Analyse oder die durchschnittliche Bewertung und Anzahl an Installationen oder Kommentare. Weiterhin werden die Ergebnisse hinsichtlich Datensicherheit und Cybersicherheit kritisch hinterfragt, sodass Metadaten bezüglich Datenschutzerklärung und Berechtigungen eingestuft werden. Somit folgt eine Datenschutzerklärungs-Analyse, bei der die Verteilung zwischen Applikationen mit bzw. ohne Datenschutzerklärung zusammen mit anderen Metadaten in Verbindung gebracht wird. Zuletzt folgt eine Berechtigungs-Analyse, wobei Berechtigungen hinsichtlich normaler und gefährlicher Berechtigungen statistisch dargestellt und analysiert werden. Die feingranulare Analyse baut auf der grobgranularen Analyse auf. Hierbei wird die App-Software mittels Tools zur statischen und dynamischen Analyse genauer betrachtet. Wichtige Untersuchungsgegenstände sind vor allem die Unterteilung von Berechtigungen, gemäß Google Protection Levels, sowie eingebettete Tracking Libraries im Code einer Applikation. Des Weiteren wird die Applikation auf schädliche Software, wie Malware oder Viren untersucht werden. Zuletzt wird das Vorhandensein und die Qualität von Maßnahmen zur Absicherung des Datenverkehrs der ausgewählten Applikationen mit entsprechenden Tools bewertet.^{Footnote 27}

4.3 Vernetzte und Smarte Objekte – Herausforderungen für Privatheit und Cyber-Sicherheit

Beispiel Smart TVs

Die zunehmende Vernetzung von Haushaltsgeräten betrifft mittlerweile alle Geräteklassen. Smart Home ist der Sammelbegriff für alle Haushaltsgeräte, die Verbindungsmöglichkeiten mit anderen Parteien bieten. Diese Parteien können unter anderem Dienstleister im Internet oder auch lokale Geräte sein. Häufig ist die Rechenleistung so hoch wie bei älteren Computersystemen. Smart TVs, können beispielsweise eine Vielzahl von Funktionen bieten, die bisher nur von herkömmlichen Computersystemen bekannt waren. Dies sind zum Beispiel die Nutzung von Skype, das Abspielen von Videos oder auch das Herumstöbern im Internet. Durch die neuen Verbindungsmöglichkeiten nehmen nicht nur die Vorteile für den Nutzer zu, sondern auch die Gefahrenquellen für solche Geräte. Wie auch von anderen Geräten bekannt, können verschiedene schadhafte Programme, wie zum Beispiel Viren, Computersysteme beeinträchtigen. Auch der Missbrauch von Geräten zum Schaden Dritter ist möglich. Schutzmaßnahmen sind unumgänglich, um Nutzer und Unternehmen vor Schäden zu schützen. Wir haben in einem Arbeitspapier einen Überblick über Chancen und wachsende Möglichkeiten im Bereich Smart TVs geliefert und lenken dabei den Blick auf die damit verbundenen Risiken und Gefahren für die Privatsphäre der Nutzenden.^{Footnote 28}

Beispiel Vernetzte Fahrzeuge

Moderne Fahrzeuge werden zunehmend von einer Vielfalt von IT- und elektronischen Komponenten durchdrungen, mit deren Hilfe fahrzeuginterne Abläufe überwacht und unterschiedliche Daten über Insassen und Fahrzeugumgebung erfasst und an die Außenwelt weitergeleitet werden. Dies birgt das Potenzial neue Dienstleistungen, Produkte, und Geschäftsmodelle zu schaffen und letztendlich Innovationen voranzutreiben. Mit der zunehmenden Vernetzung und Datensammlung im Automotive-Kontext entsteht jedoch auch ein Bedrohungspotential für das Recht auf informationelle Selbstbestimmung des Einzelnen. Über die Vielzahl interner und externer Kommunikationsschnittstellen können nicht nur ECUs untereinander und mit der Außenwelt kommunizieren, sondern auch Schad- und Fremdsoftware in das digitale Ökosystem des Autos eingeschleust und dort verbreitet werden.^{Footnote 29} Infiziert und kompromittiert werden können nicht nur die Fahrzeuge, sondern auch die kritischen Infrastrukturkomponenten seitens der Betreiber und Zulieferer.^{Footnote 30} Neben unerlaubten Datenzugriffen können Angriffe auf vernetzte Fahrzeuge schnell lebensbedrohliche Folgen haben.^{Footnote 31} Darüber hinaus steht im Kontext von Smart Cars die Besonderheit im Mittelpunkt, dass die Betroffenen sich bei der Nutzung moderner PKWs und den damit verbundenen (online) Diensten im Zentrum komplexer für sie völlig undurchschaubarer Datenverarbeitungsprozesse befinden. Die daraus folgende Überforderung wird noch dadurch verstärkt, dass PKW-Nutzende (Fahrer und Insassen) auf diese in zunehmender Weise angewiesen sind. In derartigen Situationen kann kaum von informierter und selbstbestimmter Einwilligung zur Datenverarbeitung ausgegangen werden. Vielmehr besteht die Gefahr, dass sich PKW-Hersteller und Anbieter von Dienstleistungen und Produkten mit verklausuliert formulierten AGBs und Datenschutzerklärungen absichern bzw. einseitig durchsetzen. Angreifer und unseriöse Anbieter von Mobilitätsdienstleistungen könnten mittels der so gewonnenen Daten beispielsweise systematisch Profilbildung (Location Profiling) durchführen und Rückschlüsse auf sensitive Informationen über Personen (z. B. Vorlieben, Interessen, Gewohnheiten) erleichtern. In drei Veröffentlichungen^{Footnote 32} gehen wir der Frage nach, wie diesem Bedrohungspotenzial entgegenzuwirken ist und Fahrzeugnutzende technisch befähigt werden können, ihr Recht auf informationelle Selbstbestimmung effektiv auszuüben. Hieraus leitet sich eine weitere zentrale Forschungsfrage ab: Wie können entstehende datengetriebene Dienstleistungen, Produkte und Geschäftsmodelle im Automotive-Kontext gestaltet werden, damit inhärent eine Privatheit schützende Erhebung und Verarbeitung personenbezogener Daten technisch gewährleistet ist?

4.4 Bedrohungs- und Überwachungspotenziale in öffentlichen WLAN-Infrastrukturen

In öffentlichen WLANs existiert eine Vielzahl von Ausspäh- und Zugriffsmöglichkeiten auf personenbezogene oder -beziehbare Daten.^{Footnote 33} Während sich passive Angreifer auf das Abhören und Abspeichern des Datenverkehrs im WLAN beschränken, können aktive Angreifer explizit in die Kommunikation eingreifen und die Integrität des Datenverkehrs kompromittieren. WLAN-Infrastrukturen werden häufig auch von einzelnen Gewerbetreibenden bereitgestellt und selbst verwaltet. Darüber hinaus gibt es aber eine Vielzahl von Dienstleistern, die die Bereitstellung der Infrastruktur übernehmen und Gewerbetreibende zudem mit Analysen über ihre Kundschaft versorgen. Die daraus resultierenden Möglichkeiten für Tracking und Profilbildung können zwar durchaus auch positive Auswirkungen haben und von den Nutzerinnen und Nutzern gewünscht sein, wenn ihnen beispielsweise auf Grundlage von Standortdaten und Bewegungsprofilen spezielle Angebote gemacht werden oder ein gesuchtes Produkt im Supermarkt schneller gefunden werden kann. Gleichzeitig birgt diese Art des meist intransparent praktizierten Kundentrackings auf Basis von WLAN-Signalen aber auch eine Reihe von Privatheitsrisiken:^{Footnote 34} Der Zugriff der WLAN-Betreibenden auf Konto- und Registrierungsdaten, gerätespezifische und ableitbare Daten sowie auf Nutzungs- und Verhaltensdaten kann sich negativ auf die informationelle Selbstbestimmung auswirken und etwa zum Verlust bzw. zu einer Einschränkung der Entscheidungsfreiheit führen, sehr weitgehende elektronische Überwachung ermöglichen und die Offenlegung sensibler oder vertraulicher Daten zur Folge haben. Auf diese Weise können Nutzerinnen und Nutzer bei ihrem Weg durch eine Stadt auf Schritt und Tritt verfolgt, auch unbescholtene Demonstrationsteilnehmer identifiziert, und selbst sensibelste Kommunikationsinhalte und Persönlichkeitsmerkmale offengelegt werden.

5 Innovationspotential der Digitalisierung und des Privatheitsschutzes

Fortschreitende Digitalisierung durch Big Data beeinflusst alle Lebens-, Wirtschafts- und Verwaltungsbereiche, sie verspricht gesellschaftlichen Fortschritt und gestaltet die Arbeitsplätze der Zukunft. Sie verspricht Neuerungen im medizinischen Bereich,^{Footnote 35} sie soll die Arbeitswelt von Routineaufgaben befreien können,^{Footnote 36} umfangreichere und vielfältigere Datenanalysen sind möglich und gezieltere Auswertungen und Optimierungen von Prozessen werden versprochen.^{Footnote 37}

„In der jüngsten Gegenwart ist Big Data zum populären Schlagwort aufgestiegen und wird oftmals als Sammelbegriff für digitale Technologien verwendet, die in technischer Hinsicht für eine neue Ära digitaler Kommunikation und Verarbeitung und in sozialer Hinsicht für einen gesellschaftlichen Umbruch verantwortlich gemacht werden.“^{Footnote 38}

Big Data beschreibt auf der einen Seite das exponentielle Wachstum der Menge an Informationen, die gesammelt und ausgewertet werden können, wie auch eine neu entstehende Vielfalt an Datenquellen und – typen.^{Footnote 39} Diese zunehmende Menge an Daten, die erhoben, verarbeitet und gespeichert werden^{Footnote 40} eröffnet neue Größenordnungen. Diese neuen Größenordnungen, der Grad der Vernetztheit und der Mehrwert der daraus generierten Daten bieten ein noch nicht da gewesenes Potenzial. Mit der zunehmenden Durchdringung von Gesellschaft und Lebenswelt durch digitale Technologien entstehen andererseits auch gesellschaftliche Grenzverschiebungen und Verwischungen traditioneller Vorstellungen von Privatheit und Öffentlichkeit. In rechtlicher Hinsicht resultieren hieraus weitreichende Eingriffe und oftmals Verstöße gegen geschützte Grundrechte.

Wandel und Veränderungen sind allgegenwärtig und nicht wegzudenken, sie sind sogar von Nöten für eine sich evolvierende Gesellschaft bzw. Menschheit. Dieser Wandel in und durch Technik birgt Potenziale, die in einer Weise gestaltet werden können, dass gesellschaftliche Werte widergespiegelt und geschützt werden. Grundsätzlich gilt es, Datensparsamkeit ernst zu nehmen,^{Footnote 41} um vor nachteiliger Datenverarbeitung zu schützen, denn „non-existent data needs no protection“.

5.1 Volkswirtschaftliche Ebene

Am 25.05.2018, dem Tag des vollständigen Inkrafttretens der Datenschutzgrundverordnung, wird Bitkom-Präsident Berg mit den Worten zitiert: „Datenschutzregeln dürfen nicht zum Hemmschuh für sinnvolle und notwendige Innovationen werden“.^{Footnote 42} Im Jahr 2019 betonte Ulrich Kelber, der Bundesbeauftragte für den Datenschutz: „Datenschutz ist kein Hemmschuh für Innovationen, er förderte diese sogar, wenn die Nutzer Vertrauen in die Sicherheit neuer Technologien haben.“^{Footnote 43} Einerseits wird argumentiert, dass technische Innovationskraft sich entfalten können muss und hierfür der Zugang und die Verarbeitung – auch personenbezogener Daten – notwendig ist. Andererseits ist Innovation nur dann möglich, wenn sie in das gesellschaftliche Wertesystem – gerade auch bezüglich informationeller Selbstbestimmung – eingebettet ist.

5.2 Unternehmen

Die Erschließung neuer Geschäftsfelder und -modelle durch Unternehmen sowie zunehmende Effizienzgewinne beruhen weitestgehend auf dem Handel mit Daten, personalisierter Werbung und generell auf möglichst umfassenden Auswertungen – (auch) mit Hilfe maschinellen Lernens. Die dabei angewendeten Methoden beziehen sich meist auf Big Data Analysen von bestehenden, potenziellen oder perspektivischen Kundendaten.

Doug Laney beschrieb Big Data erstmals durch die Eigenschaften Volume, Velocity, Variety (kurz „3V“).^{Footnote 44} Diese drei Eigenschaften sind charakterisierend für Big Data: in digitaler Form vorliegende Daten großer Masse („Volume“), die schnell entstehen („Velocity“) und sehr unterschiedlicher Art und Herkunft sein können („Variety“).^{Footnote 45} Teilweise werden weitere Aspekte hinzugefügt und mit einem „V“ beschrieben, beispielsweise die Folgenden: Veracity steht für Vertrauenswürdigkeit der Daten oder der gezogenen Schlüsse. Value betont, dass Big Data letztendlich immer eine Wertschöpfung der Daten beabsichtigt. Visualization stellt die intuitive Darstellung der Ergebnisse heraus.^{Footnote 46}

Unternehmen haben eine intrinsische Motivation für die Einhaltung der Datenschutzauflagen und auch darüber hinausgehende Maßnahmen: Sie erfahren Nachteile wie Reputationsverlust, wenn sie berechtigte, kodifizierte und/oder konsensuale Privatheitsbedürfnisse von Individuen nicht beachten würden.

5.3 Grundrechte auf Datenschutz und informationelle Selbstbestimmung

Der Schutz von personenbezogenen Daten ist als Grundrecht (Art. 8 GRCh) im europäischen Recht verankert und ist damit für die Rechtsordnung und demokratische Prozesse von wesentlicher Bedeutung. In Deutschland hat das Bundesverfassungsgericht 1983 mit dem Volkszählungsurteil das Recht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG) definiert. Das Recht umfasst die Befugnis des Einzelnen grundsätzlich selbst über Preisgabe und Verwendung seiner persönlichen Daten und Offenbarung von Lebenssachverhalten zu bestimmen, sowie den Schutz vor einer unbegrenzten Erhebung, Speicherung, Verwendung und Weitergabe von persönlichen Daten^{Footnote 47} Das Gericht erkannte an, dass es für die Freiheit selbstbestimmte Entscheidungen treffen zu können unerlässlich ist, einen Sachverhalt zu überschauen und Sicherheit darüber zu haben welche Informationen in einem bestimmten Bereich und sozialen Umfeld über einen bekannt sind sowie welche Verhaltensweisen und Informationen überhaupt gespeichert werden. Diese Freiheit wiederum ist nicht nur Voraussetzung für die persönliche Entwicklung des Einzelnen, sondern auch für die Ausübung anderer Grundrechte und Mitwirkungsmöglichkeiten an freiheitlich demokratischen Prozessen und damit Grundlage für eine demokratische Gesellschafts- und Rechtsordnung selbst^{Footnote 48}. Durch die Möglichkeiten der automatisierten Verarbeitung in „modernen“ Informationssystemen, den Zugriffs- und Einflussnahmemöglichkeiten hierauf, sowie der Erstellung von Persönlichkeitsbildern werden diese Freiheiten und Befugnisse zunehmenden gefährdet^{Footnote 49}.

Der in der DSGVO festgeschriebene Grundsatz der Transparenz (Art. 5 Abs. 1 lit. a DSGVO) in der Datenerhebung und -verarbeitung soll Betroffene in die Lage versetzen Verarbeitungsprozesse zu verstehen und in Frage zu stellen, sowie Kontrolle über ihre Daten auszuüben.^{Footnote 50} Die Kontrolle von personenbezogenen Daten durch den Betroffenen lässt sich als Kernelement der DSGVO ausmachen (ErwG 7 und 68 DSGVO).

5.4 Technische Umsetzung von Regulierung

Der amerikanische Verfassungsrechtler Lawrence Lessig schrieb bereits 1990, dass der Cyberspace ein neues Verständnis von Regulierung erfordert, das über die Regulierung durch Gesetz hinausgeht. Im Cyberspace erfolgt Regulierung vor allem durch den Code des Cyberspace. Dies meint, dass die Software und Hardware, die den Cyberspace zu dem machen, was er ist, auch den Cyberspace regulieren, so wie er ist. Er führt weiter aus, dass Code hierbei gleichzeitig die größte Bedrohung als auch das größte Versprechen für freiheitliche Ideale darstellt. Der Cyberspace kann so konstruiert, gestaltet und codiert werden, dass Werte, die eine Gesellschaft für grundlegend hält, geschützt werden oder eben sodass diese Werte untergehen. Code wird niemals entdeckt oder erfunden, er wird immer von Menschen gemacht.^{Footnote 51}

Technik kann also das oben beschriebene Spannungsverhältnis zwischen gesetzlich reguliertem Privatheitsschutz sowie digitalem Innovationspotential auflockern oder gar auflösen durch die Entwicklung von proaktiven, normkonformen und Wertschöpfung unterstützenden Werkzeugen und Verfahren. Dazu wird in der Informatik insbesondere verstärkt auf Ansätze zur Durchsetzung des Rechts auf informationelle Selbstbestimmung und zur Nutzerermächtigung gesetzt, die sich allgemein unter dem Begriff der „Privacy-enhancing Technologies“ (PETs) zusammenfassen lassen. Dabei lassen sich zwei Kategorien unterscheiden: zum einen die „klassischen“ datenschutzfördernden PETs, zum anderen umfassen sie sog. „Transparency-enhancing Technologies“ (TETs). Dadurch werden Betroffene unterstützt Kontrolle und ihre Rechte über ihre Datenpreisgabe und - verarbeitung auszuüben, sowie Risiken und Bedrohungen zu erkennen.^{Footnote 52} PETs setzen somit zum einen direkte Anforderungen aus der DSGVO technisch um, zum anderen fördern sie privatheitsbewusstes Verhalten von Nutzern und ermächtigen diese dazu, aktive Teilnehmer in Datenmärkten zu werden. TETs, die Transparenz bezüglich des digitalen Fußabdrucks liefern, sind hierzu auf spezielle Weise geeignet, wie die Gestaltungsvorschläge in Abschn. 6 aufzeigen.

5.5 Nutzung des technischen Fortschritts für Privatheitsinnovationen

Die im nächsten Abschnitt präsentierten Vorschläge greifen folgende Empfehlungen des Dagstuhl-Manifests^{Footnote 53} aus 2011 auf: Forschung sollte kreative, innovative Instrumente wie „Privatheits-Assistenzsysteme“ hervorbringen, damit Nutzende ihre informationelle Selbstbestimmung durch die Verbesserung der Transparenz praktikabel verwirklichen können. Die Forschung sollte zudem vorausschauend „known unknowns“,^{Footnote 54} also die möglichen Veränderungen der technologischen und gesellschaftlichen Rahmenbedingungen antizipieren und sog. blue skies researches durchführen.

Die Kritik, dass technische Datenschutzmechanismen per se digitale Innovationen verhindern, ist dabei zurückzuweisen. Denn es zeigt sich, dass datengetriebene Innovationen im Rahmen der Anforderungen der DSGVO möglich sind. Auch privatheitsfördernde Technologien können innovativ und wirtschaftlich erfolgreich sein.^{Footnote 55}

Mit den nachfolgenden Gestaltungsvorschlägen wird beispielhaft aufgezeigt, wie Technik für Privatheitsinnovationen im Sinne des Manifests genutzt werden kann.

6 Gestaltungsvorschläge

Die drei Gestaltungsvorschläge wurden vom Fraunhofer SIT im Forum Privatheit als Forschungsgegenstand ausgewählt, weil sie alle drei beispielhaft eine Verbesserung der Transparenz bezüglich des digitalen Fußabdrucks liefern (im Sinne der Empfehlung des Manifests) und damit dazu beitragen, dass die Nutzenden ermächtigt werden, ihre informationelle Selbstbestimmung im aktuellen technologischen und gesellschaftlichen Umfeld effektiv durchzusetzen. Dies ist das verbindende Konzept in den drei Gestaltungsvorschlägen, welche jeweils unterschiedlich in ihrer Ausrichtung sind. Me&MyFriends (siehe Abschn. 6.1) und WallGuard (siehe Abschn. 6.2) unterstützen Transparenzbedürfnisse der Privatheit von Nutzenden in Online Social Networks (OSN) während Metaminer (siehe Abschn. 6.3) Transparenzbedürfnisse von Nutzenenden mobiler Ökosysteme unterstützt.

6.1 Me&MyFriends

Das Erfordernis nach innovativen Werkzeugen, die Internetnutzern Transparenz über Privatheitsrisiken verschaffen, ergibt sich aus der Datenschutz-Grundverordnung sowie anderen internationalen Datenschutzbestimmungen. Die unbeabsichtigte, unfreiwillige Offenlegung sensibler Informationen birgt die Gefahr einer möglichen Untergrabung des grundgesetzlich garantierten Rechts auf informationelle Selbstbestimmung und einer achtungswürdigen Selbstdarstellung. Eine solche Offenlegung kann dadurch stattfinden, dass ein Dritter bzw. Unbefugter in der Lage ist, aus digitalen Spuren, Identitäts-, Persönlichkeits- und Verhaltensmerkmale, die eine natürliche Person geheim halten möchte, zu schlussfolgern. Eine zentrale Rolle spielen dabei die i. d. R. kaum vorhandenen Möglichkeiten für Nutzer, sich Kenntnisse darüber anzueignen, wie öffentlich gemachte Informationen oder Handlungen zu Schlussfolgerungen führen können, die intime, vermeintlich private Informationen oder falsche Annahmen bzw. Vermutungen offenbaren.

Um die eigene Privatsphäre zu wahren und das Durchsickern sensibler Informationen in sozialen Netzwerken verhindern zu können, ist das Vorhandensein eines Bewusstseins für Inferenz-Risiken bzw. das Wissen über das Gefahrenpotenzial aus den eigenen, vermeintlich unkritischen digitalen Spuren entscheidend. Da dieses Wissen für den durchschnittlichen Nutzer sozialer Netzwerke nicht zugänglich oder offensichtlich ist, besteht Bedarf nach einer technologischen Plattform, die es Nutzern ermöglicht, eine Selbsteinschätzung zum Datenschutz durchzuführen. Das Selbstbewertungs-Tool soll Nutzer ermächtigen, detailliertes Wissen über hinterlassene digitale Spuren zu erlangen und eine automatisierte Bewertung potenzieller Inferenzrisiken durchzuführen. Dadurch kann der Einzelne in die Lage versetzt werden, geeignete Maßnahmen zu ergreifen, um weitere Rückschlüsse zu verhindern. Ziel hierbei ist es, Nutzer in die Lage zu versetzen, ermessen zu können, was aus den von ihnen selbst oder ihren Kontakten bereitgestellten Informationen über sie gefolgert werden könnte.

Eine solche Plattform fördert das Recht auf informationelle Selbstbestimmung, indem es Transparenz schafft über mögliche unerwünschte als auch unbekannte Schlussfolgerungen, die sich aus vermeintlichen nicht-sensitiven Social Media Daten ergeben. Damit unterstützt es die Möglichkeit von Nutzern, bewusste Entscheidungen über die Offenlegung bestimmter Daten und ihres Social Media Verhaltens insgesamt zu treffen.

Architektur

Das Client-Server basierte Werkzeug nutzt statistische Methoden der Datenanalyse, um eine Gruppe verbundener Nutzer zu ermächtigen, Inferenzrisiken für sensible Attribute, auf der Grundlage von aggregierten Informationen aus ihren öffentlichen Social-Network-Profilen und Freundschaftsverbindungen, zu quantifizieren. In der Tat ist die privatsphärefördernde Plattform eine zwischengeschaltete Komponente zwischen dem Nutzer und seinen sozialen Netzwerken wie in Abb. 1 zu sehen ist.

Das Me&MyFriends-Framework umfasst Module und Mechanismen zur Sammlung, Aggregation und Analyse von Daten aus verschiedensten Sozialen Netzwerken. Ein Inferenz-Modul erlaubt die Quantifizierung und Visualisierung möglicher unerwünschter Rückschlüsse aus den öffentlichen Ego-Graphen. Hierzu wird ein Naive Bayes basierter Inferenzalgorithmus genutzt, der zuvor einer experimentellen Evaluation mit drei Datensätzen von Facebook und Twitter unterzogen wurde. Die Ergebnisse der Evaluation weisen auf ein konkurrenzfähiges Modell im Vergleich zu mehreren Baseline Algorithmen hin. Ein Proof-of-Concept des Me&MyFriends-Frameworks in Form einer Web Anwendung implementiert Verbindungen zu den Sozialen Netzwerken Facebook und Twitter. Als solche besteht die Me&MyFriends-Architektur aus zwei Hauptkomponenten: Me&MyFriends-Client und Me&MyFriends-Server. Der Datenfluss kann wie folgt zusammengefasst werden: Ein Nutzer registriert sich bei der Me&MyFriends-Plattform über eine Client-Anwendung die es ihm ermöglicht Informationen aus unterschiedlichen sozialen Netzwerken abzurufen und andere Teilnehmer einzuladen, die Me&MyFriends-App zu nutzen und ihre öffentlichen Informationen ebenfalls abzurufen. Alle abgerufenen Informationen, d. h. Ego-Graphen der Me&MyFriends-Nutzer, werden zur Analyse an einen zentralen Server weitergeleitet. Dort werden auf Grundlage der von allen Teilnehmern bereitgestellten Informationen Attribut-Inferenz-Risiken berechnet und Empfehlungen für Korrekturmaßnahmen generiert. Über die Client-Webanwendung bekommt der Nutzer anschließend personalisierte Analyseergebnisse und Empfehlungen angezeigt.

Inference Model Es wird ein gewichtetes Naive-Bayes’sches Modell verwendet, um die Wahrscheinlichkeit für Attribut-Inferenz, basierend auf den 1-Hop-Nachbarn des Nutzers und den von ihm bereitgestellten Attributwerten im Ego-Graphen zu berechnen. Die Attributgewichtung sollte quantitativ die Abhängigkeit zwischen der Bedeutung des Attributs für den Nutzer und der Bedeutung für die Verbindungen/Alter Egos des Nutzers erfassen. Fünf Hilfsfunktionen sind entscheidend bei der Gewichtung von Attributen, die mit den Details aus dem Ego-Graphen eines Nutzers berechnet werden können. Die Zusatzfunktionen erfassen Metriken aus fünf Kategorien: Die Bedeutung eines bestimmten Freundes/Alter Egos, die Popularität eines Attributs und eines bestimmten Attributwerts für einen Nutzer und die Bedeutung eines bestimmten Attributs und Attributwerts für den Nutzer.

Gesamtschätzung des Inferenzrisikos Unter Berücksichtigung der oben genannten Funktionen und Überlegungen wird die Gesamtschätzung des Inferenzrisikos definiert, das Gesamtniveau der Korrektheit bei der Rekonstruktion des Profils des Nutzers durch Dritte. Dies geschieht durch die Kombination der Inferenzrisikoschätzung,

$$\begin{aligned} I(a^k) = \underset{1\le r \le \left| C\right| }{max} \widehat{P\left( v^{r}_{a^k} |\theta (a^k) \right) } \omega (a^k) \phi \left( v_{a^k}\right) \end{aligned}$$

(1)

jedes einzelnen verborgenen Attributs $a^k$ und der Modellierung der Gesamtschätzung des Inferenzrisikos für den Zielnutzer U, die durch I(U) als folgende logistische Funktion angegeben wird:

$$\begin{aligned} I(U) = 1/\left( 1+ exp\left( -\partial \cdot \sum \limits ^{|H(U)|}_{k=1} I(a^k)\right) \right) \end{aligned}$$

(2)

wobei $\partial = 1/|H(U)$ und $\omega (a^k)$ das Gewicht des sensitiven Attributs ist. Wir definieren $C=\left\{ v_{a^k}^1, v_{a^k}^2, \cdots , v_{a^k}^m\right\} $ als die endliche Menge von allen möglichen Werten, die dem Attribut $a_k$ vergeben werden kann. $\theta (a^k)= \left\{ \theta _{a^k}^{j} = \left\langle U^{j}, (a^k, v_{a^k})\right\rangle : \forall _{1\le j \le n}\right\} $ ist die Menge aller Beobachtungen in Bezug auf das Attribut $a^k$, die ein Widersacher aus einem aggregierten Ego-Netzwerk $G= (E, V, \varphi )$ machen kann, wobei $n=\left| V\right| $ und t die Gesamtzahl der möglichen Attribute in jedem Benutzer $U^{j}$ Profil ist. Es ist zu beachten, dass sich die Inferenzrisikoschätzung $I(a^k)$ von $a^k$ auf die Wahrscheinlichkeit bezieht, dass ein Gegner den verborgenen Wert $v^{r}_{a^k}$ korrekt ableiten kann. Das Gesamtinferenzrisiko für den Zielnutzer U – I(U) – nimmt Werte im Bereich $\left[ 0,1\right] $ an. Wie oben erwähnt bezeichnet H(U) die Menge der herleitbaren Profilattribute, die entweder fehlen (d. h. vom Zielnutzer U nicht angegeben wurden) oder für Dritte einfach nicht sichtbar sind.

Gesamt-Privatheits-Score Der Privatheits-Score des Zielnutzers U, Score(U), bezieht sich auf das Gesamtniveau der Unsicherheit des Gegners (d. h. die Gesamtfehlerwahrscheinlichkeit) in Bezug auf die Ableitung der korrekten Werte der verborgenen Attribute von U. Dies ergibt die folgende Formel:

$$\begin{aligned} Score (U) = 1 - I(U) \end{aligned}$$

(3)

Damit wird intuitiv die Tatsache erfasst, dass die Privatsphäre des Nutzers umso besser gewahrt wird, je niedriger I(U) (der Grad des Vertrauens eines Dritten in die korrekte Schätzung der Werte versteckter Attribute auf der Grundlage des oben beschriebenen Inferenzmodells) ist.

Schlussfolgerung, Grenzen und zukünftige Arbeiten

Die aktuelle Version des Me&MyFriend-Frameworks ist als zentralisierte Cloud-basierte Lösung realisiert – das vorgeschlagene Inferenz-Model ist auf Serverseite implementiert und wird dort ausgeführt. Als Folge dessen gilt der Me&MyFriends-Server als sogenannter Single-Point-of-Failure, über den Nutzer nur bedingt Kontrolle ausüben können. Dementsprechend müssen Nutzer dem Server und allen darauf laufenden Prozessen vollständig vertrauen. Für die zukünftige Arbeit sind eine Erweiterung und Verbesserung des Frameworks in Bezug auf zahlreiche Aspekte geplant. Darunter fallen folgende Aspekte:

Verbesserter Ego-Graph-Aggregationsprozess Da Daten aus mehreren sozialen Netzwerken verwendet werden, muss ein ausgefeilterer Ansatz zum Abgleich von Entitäten über diese Netzwerke hinweg erarbeitet werden. Dies gilt sowohl für das Erkennen von Attributen als auch von einzelnen Entitäten. In der Tat kann schon die (String-)Repräsentation von Profilattributen, z. B. eines Standortes (bzw. Arbeitgeber, Hochschule, $\ldots $), in verschiedenen sozialen Netzwerken in Bezug auf Sprache, Abkürzungen und vielen weiteren Aspekten variieren. Mögliche Abhilfe könnten Werkzeuge aus dem Kontext des Natural Language Processing, z. B. Named Entity Recognizer (NER),^{Footnote 56} schaffen. Mittels NER in Kombination mit entsprechenden semantischen Kategorien, lexikalischen Ressourcen und Datenbanken sollen aus Freitextbeschreibungen Attribute wie Orte, Personen, Organisationsnamen, Datums- und Zeitangaben oder Berufsbezeichnungen extrahiert werden können. Des Weiteren soll untersucht werden inwieweit die so extrahierten Attribute als Input eines holistischen Ansatzes zum Abgleich von Ego-Graphen, in Kombination mit Textähnlichkeitsmetriken^{Footnote 57} und Graph Embeddings,^{Footnote 58} zu berücksichtigen sein könnten. Ein solcher holistischer Ansatz für Ego-Graphen-Ähnlichkeitsanalysen soll zur Steigerung der Effizienz, Präzision und Effektivität des Ego-Graph-Aggregationsprozess führen.

Verbesserung des Inferenzmodells Die Verbesserung des Vorhersagemodells und das Finden alternativer Ansätze, z. B. überwachte Algorithmen, ist als weitere zukünftige Arbeit in Betracht zu ziehen.

Privacy-Preserving Me&MyFriends-Server Die unserem Framework zugrundeliegende Client-Server-Architektur stellt ein offensichtliches Problem dar – Nutzer und der Me&MyFriend-Anbieter verlieren Kontrolle über höchst sensitive Daten. Für Nutzer sind dies vor allem Ego-Graphen ihrer sozialen Netzwerke, die aus verschiedenen Domänen erfasst und zum Server geschickt wurden. Aus Sicht des Me&MyFriend-Anbieters stellt sich das Problem überwiegend hinsichtlich einer möglichen Gefährdung des Rechts auf geistiges Eigentum (Intellectual Property Rights). Die Me&MyFriends-Software (inkl. das Inferenz-Modell) muss über eine fremde Cloud-basierte Infrastruktur betrieben und einem halbwegs vertrauenswürdigen (engl. semi-trusted) Infrastruktur-Betreiber quasi anvertraut werden. Daraus ergibt sich die Notwendigkeit für eine neue dezentrale und privatheitsfördernde Plattform. Mit einer solchen Plattform ist das Hochladen von Nutzerdaten aus Sozialen Netzwerken auf einen nicht vertrauenswürdigen Server nicht mehr erforderlich. Auf Nutzerseite werden in einer sog. Trusted Execution Environment (TEE),^{Footnote 59} aggregierte Ego-Graphen rekonstruiert und das Inferenzmodell und weitere sensitive Daten aufbewahrt bzw. ausgeführt. Auf Serverseite werden ausschließlich allgemeine Parameter für eine Community-basierte Aktualisierung und Verteilung des Inferenzmodells bereitgestellt.

Usability Nicht zuletzt soll die Proof-of-Concept Implementierung abgeschlossen und im Hinblick auf Benutzerfreundlichkeit und Leistung erprobt werden. Erste Ergebnisse in dieser Richtung sind kürzlich auf der internationalen wissenschaftlichen Konferenz IEEE Infocom 2021 eingereicht und akzeptiert worden.^{Footnote 60}

6.2 WallGuard

Zahlreiche Literaturquellen aus der Verhaltensökonomie und der medienpsychologischen Forschung weisen auf die Tatsache hin, dass eine wachsende Zahl von Social-Media-Nutzern Bedenken bzgl. der Wahrnehmung ihrer Erscheinung in der Online Öffentlichkeit haben. Wang et al. (2011) verknüpfen diese Problematik mit Ängsten der Nutzenden bezogen auf die Veröffentlichung von Inhalten zu möglicherweise kontroversen Themen mit unbeabsichtigter Audienz und den daraus folgenden Konsequenzen. Hierunter fallen u. a. Reue, Peinlichkeiten und die Untergrabung des eigenen Rechts auf informationelle Selbstbestimmung. In diesem Projekt fokussierten sich die Forschungsarbeiten in einem ersten Schritt auf Ansätze zur automatisierten Erkennung kontroverser Social-Media-Beiträge die möglicherweise ein späteres Bereuen nach sich ziehen könnten. Entwickelt wurden eine Reihe von Multi-Label-Modellen die Soziale-Medien-Texte in Facebook und Twitter entlang acht empirisch validierter Kategorien von auf Bedauern bezogenen Themen klassifizieren: Alkohol und Drogenkonsum (T1), Misogynie (T2), Familienangelegenheiten (T3), Politik (T4), Profanität und Obszönität (T5), Religion (T6), Sex (T7), und Arbeitsumfeld und Arbeitgeber (T8).

Architektur

Um den Benutzern zusätzliche Hilfe beim Umgang mit auf OSN veröffentlichten Inhalten zu bieten und damit die Forderung nach einer detaillierteren Datenschutzlösung für unerwünschte/bedauerliche Offenlegungen zu beantworten, müssen zwei Hauptszenarien betrachtet werden, siehe Abb. 2. Neue Inhalte auf der persönlichen OSN-Seite eines Benutzers können entweder vom Benutzer selbst (Anwendungsfall 1) oder von den OSN-Freunden des Benutzers (Anwendungsfall 2) generiert werden. Während Posts, die vom Kontoinhaber selbst verfasst wurden, möglicherweise zu Reue und Bedauern führen können (weil Sie selbst der Autor sind), ist Reue durch die Verknüpfung mit den Posts von Freunden ebenfalls möglich.

Als Lösung, die beide Szenarien berücksichtigt, haben wir WallGuard entwickelt – ein technisches Tool, welches Social-Media-Nutzende unterstützen soll, informierte Offenlegungsentscheidungen treffen zu können. Informiert durch empirische Befunde, argumentieren wir, dass eine automatisierte Festlegung kontroverser, bedauerlicher bzw. peinlicher Veröffentlichungen sowie die Identifizierung und Einschränkung der entsprechenden Audienz wichtige Merkmale einer derartigen technischen Lösung sein müssen. Um die eingeführten Szenarien abzudecken und die identifizierten Anforderungen zu erfüllen, besteht WallGuard aus neun Komponenten, die in Abb. 3 dargestellt und nachfolgend erläutert werden. Die einzelnen Komponenten können wie folgt zusammengefasst werden:

User-Agent Auf der Clientseite zeigt der Benutzeragent (in diesem Fall der Webbrowser) den vom OSN-Server und WallGuard empfangenen Inhalt an und ist gleichzeitig für die Verarbeitung aller Anweisungen (Eingaben) des Benutzers verantwortlich. Der Benutzeragent dient als Schnittstelle zwischen der tatsächlichen Person und dem Internet.

Nachrichten-Preprocessor Da redundante Informationen in einer Nachricht (z. B. Satzzeichen) typischerweise nur den Klassifizierungsprozess behindern, entfernt diese Komponente in einem ersten Schritt solche Informationen und standardisiert jeden eingehenden Text. Auf diese Weise wird sichergestellt, dass jeder Text allen noch kommenden Komponenten im gleichen Format präsentiert wird. Daher dient der Nachrichten-Preprocessor auch als Mittel, um Fehler aufgrund möglicher Sonderzeichen oder Formatverletzungen zu vermeiden. Zusätzlich werden während dieses Prozesses Stoppwörter (z. B. „and“, „or“) entfernt und alle verbleibenden Wörter werden gestoppt, wodurch die Darstellung der Nachricht auf ihre relevanten Daten reduziert und letztendlich die Klassifizierung erleichtert wird.

Blacklist Filter Der Blacklist Filter verwendet eine vordefinierte Liste von Wörtern, die als unangemessen und inakzeptabel angesehen werden können. Mit dem Filter wird jede eingehende Nachricht mit dieser Liste verglichen. Wenn mindestens eines dieser Wörter vorhanden ist, wird die gesamte Nachricht markiert. Die Liste besteht aus Standardwörtern und kann vom Benutzer bearbeitet werden, indem entweder vorhandene Wörter entfernt oder neue Wörter hinzugefügt werden.

Benutzerdefinierte Richtlinien Wie bereits erwähnt, hat der Benutzer die Möglichkeit, die Blacklist zu bearbeiten. Darüber hinaus kann der Benutzer selbst entscheiden, über welches der eingeführten potenziell bedauerlichen bzw. unangemessen Themen er benachrichtigt und von der Wand verbannt werden möchte. Diese Regeln sind in den benutzerdefinierten Richtlinien enthalten.

Scheduling Policies Die Richtlinien definieren, welche allgemeinen Schritte in einem der möglichen Szenarien ausgeführt werden sollen. Unabhängig davon, ob ein Beitrag aufgrund unangemessener Wörter auf die schwarze Liste gesetzt wird oder eines der vom Benutzer gesperrten Themen enthält, werden in den Scheduling Policies die erforderlichen Maßnahmen aufgeführt.

Message Schedule Der Message Scheduler/Nachrichtenplaner ist die zentrale Einheit in WallGuard, die die unterschiedlichen Ergebnisse der verschiedenen Komponenten validiert und mithilfe der oben beschriebenen Planungsrichtlinien die erforderlichen Aktionen an alle erforderlichen Komponenten weiterleitet (insbesondere dem Notification Agent/Benachrichtigungsagenten signalisiert, was angezeigt werden soll).

Feature Extraction (Merkmalsextraktion) Auf der Grundlage des Nachrichten-Preprocessor werden bei der Merkmalsextraktion identifizierbare Informationen aus einem Text herausgesucht, um Merkmale zu erhalten, die die verschiedenen Themen eindeutig darstellen. Tab. 1 fasst die in diesem Projekt verwendeten Feature-Extraktionsmethoden zusammen.

Tab. 1 Verwendete Methoden und Bibliotheken zur Merkmalsextraktion

Full size table

Post Classifier Nach dem erfolgreichen Extrahieren der Features aus einem Text werden diese Features vom Klassifizierer verwendet, um das Thema oder die darin enthaltenen Themen zu identifizieren. Da sich viele Texte in Themen überschneiden und viele Funktionen verschiedenen Themen zugewiesen werden können (z. B. kann das Wort „Buch“ eine Aktion sein, wenn es als Verb verwendet wird oder etwas, das gelesen werden kann, wenn es als Substantiv verwendet wird), befasst sich die Themenklassifizierung mit der Wahrscheinlichkeit. Ziel ist es, einem Text, der den Features am besten entspricht/enthält, bestimmte Themen zuweisen zu können. Beispielsweise kann ein Text Merkmale enthalten, die zu einer Übereinstimmung von 80 % mit Thema A, einer Übereinstimmung von 55 % mit Thema B und einer Übereinstimmung von 20 % mit Thema C führen. Zu diesem Zweck wird ein Klassifizierer mit Klassifizierungsregeln, der auf einem Korpus mit ca. 976.540 Nachrichten aus verschieden Quellen trainiert, verwendet. Für diese Arbeit sind verschiedene Multi-Label-Algorithmen auf einem eigenen kompilierten Datensatz (mit über 1,5 Mio. Nachrichten) evaluiert worden. Wir experimentierten mit Naive Bayes, Decision Tree, KNN, SVM und Random Forest, jeweils mit einem der drei gebräuchlichen Ansätze für Multi-Label-Klassifizierung: Binary Relevance (BR), Label Powerset (LP) und paarweise und Threshold (PT). Mit einem gewichteten F1-Score von 0,786 zeigt Binary Relevance in Kombination mit Random Forest und einer zugrunde liegenden word2vec-Feature-Darstellung das beste kombinierte Ergebnis der getesteten Modelle. Dieses Modell wird daher für die spätere Verwendung in unserer Proof-of-Concept Implementierung von WallGuard eingesetzt.

Notification Agent Nachdem WallGuard die Verarbeitung einer Nachricht abgeschlossen hat, zeigt der Benachrichtigungsagent die Ergebnisse an. Je nach Ergebnis kann dies eine einfache Benachrichtigung, Empfehlung oder Warnung sein und dem Benutzer weitere Optionen und Schritte anbieten. Insbesondere zeigt der Benachrichtigungsagent bestimmte Ausgaben für jede der vordefinierten Scheduling Policies und möglichen Nachrichten an, die vom Message Scheduler übertragen werden.

Schlussfolgerung, Grenzen und zukünftige Arbeiten

Zwar existiert mit der Wallguard Browser Erweiterung eine Proof-of-Concept Implementierung der in dieser Arbeit vorgeschlagenen Lösung zur Mitigation von Reue im Kontext von Sozialen Netzwerken, dennoch soll diese Implementierung in Bezug auf einige in diesem Kapitel genannte Aspekte weiter verbessert werden. Zum aktuellen Zeitpunkt ist daher der Hauptaugenmerk von zukünftigen Arbeiten die bestehende Implementierung zu analysieren und verbessern, um sowohl die Genauigkeit der Klassifikationsergebnisse zu erhöhen als auch die generelle Performanz und Nutzbarkeit der Erweiterung zu verbessern.

Klassifizierung basierend auf Deep Learning Ansätzen Basierend auf der Arbeit von Zhang et al. (2016) planen wir die Implementierung und Evaluierung von Ansätzen, die auf sog. Deep Learning Methoden setzen. Im Detail geht es hierbei darum, Features aus einem Beitrag durch character-level convolutional neuronales Netzwerk zu extrahieren. Die auf diese Weise gewonnenen Features sollen dann als Eingabe für das Training eines multi-label Klassifizierers verwendet werden. Die Anwendung von Modellen, die Analysen von Beiträgen aus Sozialen Medien auf Character-Ebene ausführen, sind besonders vielversprechend. Hauptgrund hierfür ist, das derartige Modelle in der Lage sind damit umzugehen, wenn Beiträge nur begrenzte kontextuelle Informationen enthalten, besondere Unicode Zeichen enthalten (z. B. Sonderzeichen, die in OSN oft verwendet werden, wie das Hashtag Symbol #) oder aber Rechtschreib- und Grammatikfehler enthalten, die in solch kurzen Texten vergleichsweise oft vorkommen. Im nächsten Schritt werden derzeit mehrere Deep-Learning-Modelle, u. a. Convolutional Neural Network (CNN), Recurrent neural networks (RNN) und Long-short term memory (LSTM) trainiert und evaluiert. Hierbei sollen die oben erwähnten Multi-Label-Modelle zum Teil als Baselines berücksichtigt werden.

Vollständige Implementierung auf Client-Seite Aus dem WallGuard-Server ergeben sich potenzielle Risiken für die Privatsphäre von Nutzern. Jeder Beitrag, der vom Nutzer zur Klassifizierung zum Server gesendet wird, kann potenziell sensitive Informationen enthalten, die erst zu einem späteren Zeitpunkt nach der Klassifizierung herausgefiltert werden. Um hierfür eine Lösung und Alternative zu bieten, soll in zukünftige Arbeiten die Möglichkeit erforscht werden, eine vollständig clientseitige Implementierung zu realisieren. Dies bedeutet, dass keine zusätzliche Kommunikation mit einem externen Server mehr notwendig ist und alle Berechnungen lokal auf der Maschine des Nutzers stattfinden. Für solch eine Implementierung bieten sich multi-label Klassifizierer Frameworks an die nicht auf Java angewiesen sind und direkt in der Webumgebung einer Chrome Erweiterung lauffähig sind. Solch eine Lösung könnte die Implementierung sicherer und potenziell auch schneller machen.

Nutzbarkeitsstudie Des Weiteren soll auch die Benutzeroberfläche von Wall Guard im Hinblick auf einfache Benutzbarkeit und angebotene Features untersucht werden. Hauptsächlich geht es bei dieser Studie darum herauszufinden, ob Nutzer in der Lage sind, das WallGuard Tool sinnvoll anzuwenden und dabei auch erfolgreich das Posten von Nachrichten verhindert wurde, die der Nutzer im Nachhinein bedauern könnte. Darum soll das Tool in einer zukünftigen Nutzbarkeitsstudie mit Hilfe einer größeren Gruppe von Nutzern evaluiert werden.

6.3 MetaMiner

Mit der immer weiter ansteigenden Nutzung von Drittanbieter Anwendung auf mobilen Geräten setzen sich Nutzer Risiken aus, die ihre Privatsphäre bedrohen. Dabei sind sich viele Nutzer gar nicht bewusst, wie weit solche Anwendung in ihre Privatsphäre eingreifen und wie viele potenziell kritische Daten diese in der Lage sind, unbemerkt zu sammeln und an externe Server zu senden.

Um diesem Problem vorzubeugen und Nutzer aufzuklären, haben wir PISA entwickelt: ein leichtgewichtiges und nutzerzentriertes Framework, das eine Verbesserung der Transparenz über die Netzwerkinteraktionen des mobilen Geräts mit ATM-Domains^{Footnote 61} ermöglicht und damit zur Befähigung der Nutzer ihr Recht auf informationelle Selbstbestimmung auszuüben, beiträgt. Die Vision unseres Frameworks ist es, Datenverkehrsanalysen datenschutzerhaltend durchzuführen. Des Weiteren war es uns besonders wichtig, dass auch unerfahrene Nutzer in der Lage sind, unsere Anwendung zu installieren und zu benutzen, es also nicht nötig ist sein Gerät erst zu rooten oder sonstige Modifikationen durchzuführen. Wir haben einen Proof-of-Concept-Prototyp implementiert und umfangreiche Experimente durchgeführt, um die Machbarkeit und Wirksamkeit des PISA-Frameworks zu demonstrieren. Unsere Auswertungen in einem realen Datensatz zeigen eine hohe Effektivität bei der Erkennung von Interaktionen mit ATM-Hosts und einem angemessenen Performance-Overhead.

Architektur und Implementierung

Das MetaMiner Framework ist modular aufgebaut und setzt sich aus fünf Kernkomponenten zusammen: Network Traffic Metadata Collector (1), Database Manager (2), Metadata Analyzer (3), Visualization Engine (4) und Privacy Controller (5). Einen groben Überblick der Interaktion der verschiedenen Komponenten untereinander zeigt Abb. 4. Im folgenden werden die fünf Kernkomponenten und deren entsprechenden Aufgaben im Rahmen des MetaMiner Frameworks eingeführt.

Network Traffic Metadata Collector (NTMC) Die wichtigste Komponente des MetaMiner Frameworks stellt der Network Traffic Metadata Collector (NTMC) dar. Die Hauptfunktion dieser Komponente ist das Abfangen, Verabeiten und Weiterleiten von Netzwerkpaketen auf dem mobilen Gerät. Beim Verarbeiten von Paketen extrahiert der NTMC die Netzwerkmetadata des Pakets und leitet diese an eine Unterkomponente zur Aggregierung und späteren Speicherung dieser Daten weiter. Um Zugriff auf den Netzwerkverkehr des mobilen Android Geräts zu erhalten verlässt sich der NTCM auf die offizielle Android VPN Schnittstelle. Dies ist die zum aktuellen Zeitpunkt einzige Methode auf einem nicht gerooteten Android Gerät, um Zugriff auf den Netzwerkverkehr zu erhalten. Der NTMC besteht aus zwei Unterkomponenten: dem VPN Proxy und dem Metadata Aggregator.

Database Manager (DM) Der DM fungiert hauptsächlich als zentrale Komponente zur persistenten Speicherung von Daten, die im Rahmen des MetaMiner Frameworks anfallen und zur Analyse und Visualisierung benötigt werden. Generell erfüllt der DM zwei wichtige Funktionen: i) Speicherung von Netzwerkverkehr- Metadaten (u. a. eine historische Perspektive auf die Internet-Interaktionen des Geräts zu ermöglichen) und ii) Abruf von IP-Adress-Metadaten.

Metadata Analyzer (MA) Diese Komponente erledigt alle Aufgaben im Zusammenhang mit der Analyse der gesammelten Metadaten des Netzwerkverkehrs. Dazu gehören insbesondere die automatisierte geräteinterne Verfeinerung und Aktualisierung einer globalen Filterliste. Die globale Filterliste entsteht offline durch das Zusammenführen verschiedenster Arten von Filterlisten, darunter Listen, die von bekannten Werbe- und Tracker-Blockierern, z. B. Browser Plugins zur Blockierung von Werbung verwendet werden und spezielle auf mobile Werbe- und Analyseprovider ausgerichtet sind. Der MA verwendet die globale Filter-Liste, um die kontaktierten Hosts in drei Kategorien zu klassifizieren: i) Hosts, die die Privatsphäre verletzen, ii) bösartige Hosts und iii) gutartige Hosts. Auf der Grundlage der Ergebnisse der Klassifizierung bietet das MetaMiner Framework eine umfassende Visualisierung darüber an, an welche ATM- Hosts das mobile Gerät Informationen sendet, und liefert visuelle Hinweise darauf, welche Anwendungen für solche Interaktionen verantwortlich waren.

Visualisierungs-Engine (VE) und Grafische Benutzeroberfläche (GUI) Die VE umfasst eine Sammlung verschiedenster Unterkomponenten aus denen sich die sogenannte GUI (Graphical User Interface) zusammensetzt.

Die GUI des MetaMiner Frameworks, siehe Abb. 3 und 4, bietet eine Fülle von Optionen für Menüs, Einstellungen und Ansichten zu Details über durchgesickerte Daten, Entitäten, die die Daten des Benutzers sammeln, und Länder, an die diese Daten gesendet werden. Genauer, die GUI ermöglicht die Visualisierung der Netzwerkinteraktionen des Geräts mit ATM-Hosts und bietet dem Endnutzer Optionen zur Interaktion mit anderen Komponenten des MetaMiner Frameworks (Abb. 5 und 6).

Privacy Controller (PC) Das MetaMiner Framework soll nicht nur für mehr Transparenz über die Interaktionen des Geräts mit ATM-Domains sorgen, sondern den Endnutzern auch Mittel an die Hand geben, ihr Recht auf informationelle Selbstbestimmung auszuüben. MetaMiner bietet ein solches Mittel in Form eines IP-basierten Paketfilters, welcher als Unterkomponente des PCs implementiert ist. Alle MetaMiner-Privatsphärekontrollmethoden sind in der PC-Komponente gebündelt.

Der Benutzer kann zwischen zwei verschiedenen Blockierungsmodi wählen: normaler Modus und erweiterter Modus. Während der normale Modus nur die Kommunikation mit böswilligen Hosts blockiert und damit einen allgemeinen Sicherheitsstandardansatz ermöglicht, zielt der erweiterte Modus darauf ab, zusätzlich die Kommunikation mit Werbe- und Trackinghosts zu blockieren (Abb. 7 und 8).

Evaluation

Die Evaluierung des MetaMiner-Frameworks zielte auf die Beantwortung der folgenden beiden Fragen ab: i) Beeinträchtigt MetaMiner den Nutzer bei seiner alltäglichen Nutzung seines Smartphones (Streaming, Browsing, Messaging, etc.)?; und ii) Welche Performance-Einbußen muss ein Nutzer in Kauf nehmen, um das MetaMiner-Framework auf seinem Smartphone verwenden zu können?

Laufzeitrobustheit Es ist wichtig, dass das MetaMiner-Framework nahezu unsichtbar im Hintergrund agiert. Dementsprechend darf das Framework weder Fehler hervorrufen, noch sollte es andere auf dem Smartphone des Nutzers vorhandene Anwendungen beeinflussen oder zum Abstürzen bringen. Um dieses gewünschte Verhalten zu testen, welches wir Laufzeitrobustheit nennen, haben wir zwei verschiedene Experimente durchgeführt: i) Automatisierte Tests der GUI-Robustheit der MetaMiner-Anwendung; und ii) Installation und Ausführung von Anwendungen von Drittanbietern, wobei das MetaMiner-Framework im Hintergrund lief. Im Verlauf eines zweitägigen automatisierten Tests ist die App weder abgestürzt noch hat sie Fehler produziert.

Energiekosten bzw. Energieverbrauch Ein häufiger Grund für die Ablehnung von Apps ist der ungewöhnlich hohe Batterieverbrauch der Apps. Um die Akzeptanz durch die Nutzer zu erleichtern, muss MetaMiner niedrige Energiekosten induzieren, insbesondere, wenn sich das Gerät im Ruhezustand befindet. Für die Evaluation des Energieverbrauchs haben wir jeweils Messungen ohne und mit dem Framework durchgeführt. Des Weiteren wurden die Messungen sowohl im Ruhezustand (Idle) als auch unter Hoher Last (High Load durchgeführt) durchgeführt. Hohe Last in diesem Kontext bedeutet, dass das Framework aktiv den Netzwerkverkehr abfängt und ein hoher Netzwerkdurchsatz erreicht wird, in unserem Fall durch das Streaming von 1080p Video Content. Die Ergebnisse dieser Messungen finden sich in Tab. 2. Die Ergebnisse zeigen, dass sich im Idle Status der Energievebrauch im Durchschnitt nur um 5,5 % erhöht, während sich unter Hoher Last diese Zahl auf 9.3 % erhöht.

Tab. 2 Evaluation des Energieverbrauchs

Full size table

Netzwerkdurchsatz und Netzwerklatenzen Da das Framework den kompletten Netzwerkverkehr abfängt und weiterleitet, ist der maximale Netzwerkdurchsatz eingeschränkt und es entstehen zusätzliche Netzwerklatenzen. Um das Maximum und Mean des Netzwerkdurchsatzes für TCP und UDP-Flows zu messen, die durch das MetaMiner-Framework erreicht werden können, haben wir das iPerf-Tool^{Footnote 62} in seiner Version 3 verwendet. Für die tatsächliche Messung wurde der iPerf-Client so konfiguriert, dass er einen Satz von 1000 TCP-Durchsatzmessungen unter Verwendung eines Sekundenzeitintervalls zwischen jeder aufeinanderfolgenden Messung durchführt. Die Messungen wurden sowohl im Normal- als auch im Reverse-Modus durchgeführt, sodass nachgeschaltete Durchsatzmessungen möglich waren. Die Ergebnisse dieser Messungen sind in Tab. 3 dargestellt.

Tab. 3 Ergebnisse der Messung des Netzwerkdurchsatzes

Full size table

Neben dem Netzwerkdurchsatz ist auch die Netzwerklatenz ein kritischer Aspekt der die Benutzererfahrung mit dem MetaMiner-Framework stark negativ beeinflussen kann. Auf Grund des Abfangens und Weiterleitens des Netzwerkverkehrs werden durch die VPN Proxy Komponente unausweichlich zusätzliche Latenzen erzeugt. Zur Messung der zusätzlich durch die Nutzung des VPNs entstehenden Netzwerklatenzen wurde das MetaMiner Framework modifiziert, um diese Werte direkt in der VPN Proxy Komponente erfassen zu können. Die Messungen wurden unter verschiedenen Szenarien durchgeführt um realistische Ergebnisse für verschiedene Nutzungsaspekte des Smartphones zu erhalten. Die Ergebnisse der Messungen sind in Abb. 9 (Durchschnitt), Abb. 10 (Min) und Abb. 11 (Max) zu sehen. Es stellt sich heraus, dass im Durchschnitt keine merkbaren zusätzlichen Latenzen entstehen, es aber je nach Last der VPN Proxy Komponente selten zu längeren Verzögerungen kommen kann.

Schlussfolgerung, Grenzen und zukünftige Arbeiten

Die oben vorgestellten Forschungsbemühungen zur Verbesserung der Transparenz und Benutzerkontrolle über die Netzwerkinteraktionen von Android-betriebenen Mobilgeräten sind vielversprechend. Dennoch ist die Arbeit von einigen Einschränkungen betroffen.

Ein Prototyp von PISA wurde implementiert und evaluiert. Die Evaluierungsergebnisse zeigen, dass PISA in Bezug auf Wirksamkeit und Einsatzfähigkeit zufriedenstellend ist. PISA kann die Geräteinteraktion mit ATM-Domänen wirksam erkennen und induziert dabei gleichzeitig nur einen moderaten Overhead. Darüber hinaus planen wir, den derzeitigen Overhead, der durch das PISA Framework hervorgerufen wird, weiter zu reduzieren, indem wir unseren Ansatz für das Verarbeiten und Weiterleiten von Netzwerkpaketen weiter optimieren. Ein Hauptziel ist dabei die weitere Reduzierung des CPU-Overheads, ohne dabei die Netzwerklatenz signifikant zu erhöhen.

7 Schlussbetrachtung

Informationstechnologie kann konform zu Privatheit und gesellschaftlichen Werten entworfen sowie genutzt werden. Mit ihr kann die wirtschaftliche Entwicklung befördert werden und sie kann Enabler für Innovationen in allen Bereichen sein. Technische Innovationen lassen sich konform zu Wertesystemen, auch zum europäischen, realisieren.

Jeder und jedem kann ein individueller Zugang zu ihrem und seinem persönlichen digitalen Fußabdruck ermöglicht werden, der so aufbereitet ist, dass Privatheitsrisiken erfasst werden können. Unsere hier präsentierten Gestaltungsvorschläge zeigen dies für drei kleine Beispiele auf. Bisher werden von Unternehmen überwiegend nur Rohdaten zur Verfügung gestellt, die nur für technisch versierte Personen Transparenz liefern. Welche Schlussfolgerungen Unternehmen und Dritte aus dem digitalen Fußabruck ableiten können, ist für den Benutzer weitestgehend nicht ersichtlich. Durch das Sichtbarmachen und Aufbereiten des digitalen Fußabdrucks werden privatheitsinvasive Mechanismen offengelegt und Veränderungen zu ihrer Eindämmung können gestaltet und implementiert werden. Mit Hilfe dieser technischen Maßnahmen ist es NutzerInnen möglich, ihr Handeln zu reflektieren, über das Handeln von Unternehmen aufgeklärt zu werden, um dadurch selbstbestimmt handeln zu können. Diese Simulation von möglichen Schlussfolgerungen haben wir mit zwei der drei Gestaltungsvorschläge geschaffen. Die Offenlegung kann ohne Aufgabe des Geschäftsmodells als Empfehlung mit dem Anreiz der vertrauensbildenden Maßnahme an Unternehmen gegeben werden. Hier gibt es allerdings noch erheblichen Forschungsbedarf über das „wie“. Wir schlagen vor, dass die Forschungsförderung mit dem Schwerpunkt Transparenz ausgebaut wird.

Europa kann an und mit der Digitalisierung wachsen – mit Hilfe von Technik, kreativen Köpfen und konform zu europäischen Werten. Privacy-Ready bedeutet Transparency-Ready zu sein.

Notes

1.
OECD (1997).
2.
Cave et al. (2009).
3.
Rosner und Kenneally (2018).
4.
Osborne und Connelly (2015).
5.
Lambiotte und Kosinski (2014).
6.
Lambiotte und Kosinski (2014, S. 1939).
7.
Reisch et al. (2016, S. 21).
8.
Van Ouytsel et al. (2014).
9.
Acquisti et al. (2013).
10.
Goldfarb und Tucker (2012).
11.
Cichy und Salge (2015).
12.
Pohle (2017).
13.
O’Rourke und Kerr (2017) und Raab und Koops (2009).
14.
Stalla-Bourdillon und Knight (2017).
15.
Dienlin und Trepte (2015).
16.
Solove (2020).
17.
Heisenberg (2005).
18.
Lewinski (2012).
19.
Böhme (2018, S. 17).
20.
Kelpen und Simo (2018).
21.
BITKOM (2020a).
22.
Ammicht Quinn et al. (2018).
23.
https://wemoda.de/fuenf-minuten-fuer-hervais-simo/
24.
Reyes et al. (2018) und Gillula (2015).
25.
Stapf et al. (2021).
26.
Roßnagel et al. (2020).
27.
Dass et al. (2021).
28.
Ghiglieri et al. (2016a, b).
29.
Miller und Valasek (2015).
30.
Miller und Valasek (2014), Garcia et al. (2016), Lang et al. (2016) und Checkoway et al. (2011).
31.
Miller und Valasek (2013) und Greenberg (2016).
32.
Singh und Simo Fhom (2016), Simo Fhom et al. (2019) und Franke et al. (2021).
33.
Eisele et al. (2017).
34.
Gassen und Simo Fhom (2016).
35.
BMBF (2020).
36.
Absenger et al. (2016).
37.
Kraus (2013).
38.
Reichert (2014).
39.
Callegaro und Yang (2018).
40.
Roßnagel et al. (2017, S. 3).
41.
Simo Fhom (2015).
42.
BITKOM (2020b).
43.
Kelber (2019).
44.
Laney (2001).
45.
Laney (2001).
46.
Steinebach et al. (2015, S. 21).
47.
BVerfG NJW 1984, 419, 422, Rn. 147.
48.
BVerfG NJW 1984, 419, 422, Rn. 146.
49.
BVerfG NJW 1984, 419, 421, Rn. 145.
50.
Article 29 Data Protection Working Party (2018), Rn. 2/4.
51.
Lessig (2006).
52.
Fischer-Hübner et al. (2011, S. 7).
53.
Fischer-Hübner et al. (2011).
54.
Fischer-Hübner et al. (2011, S. 15).
55.
Roßnagel et al. (2017, S. 11).
56.
Nadeau und Sekine (2007).
57.
Bär et al. (2013).
58.
Cai et al. (2018).
59.
Sabt et al. (2015).
60.
Kohlhammer et al. (2021).
61.
ATM Domains sind potenziell unerwünschte Domains, die ein mobiles Gerät kontaktieren. Der Name leitet sich von der englischen Bezeichnung advertisement, tracking or malicious Domain ab.
62.
https://iperf.fr/

Literatur

Absenger, N., et al. (2016). „Digitalisierung der Arbeitswelt!? Ein Report aus der Hans-Böckler-Stiftung“. Mitbestimmungs-Report, 24, 1–18. https://d-nb.info/1118758307/34. Zugegriffen: 1. Apr. 2021.
Acquisti, A., John, L. K., & Loewenstein, G. (2013). „What Is privacy worth?“ The Journal of Legal Studies, 42(2), 249–274. https://doi.org/10.1086/671754.
Ammicht Quinn, R., et al. (2018). Tracking: Beschreibung und Bewertung neuer Methoden. White Paper. Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt. Karlsruhe: Fraunhofer ISI, S. 1–48.
Google Scholar
Article 29 Data Protection Working Party. (2018). Guidelines on transparency under regulation 2016/679. Working Paper 17/EN, WP 260 rev. 01. https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025. Zugegriffen: 1. Apr. 2021.
Bär, D., Zesch, T., & Gurevych, I. (2013). „DKPro similarity: An open source framework for text similarity“. In Proceedings of the 51st annual meeting of the association for computational linguistics, Sophia, Bulgaria, August 4–9 2013 (S. 121–126).
Google Scholar
BITKOM. (2020a). Jeder Dritte sucht online nach der großen Liebe. Presseinformation. https://www.bitkom.org/Presse/Presseinformation/Jeder-Dritte-sucht-online-nach-der-grossen-Liebe. Zugegriffen: 1. Apr. 2021.
BITKOM. (2020b). Zwei Drittel der Unternehmen sehen sich durch Datenschutzregeln behindert. Presseinformation. https://www.bitkom.org/Presse/Presseinformation/Zwei-Drittel-der-Unternehmensehen-sich-durch-Datenschutzregeln-behindert.html. Zugegriffen: 1. Apr. 2021.
BMBF. (2020). „Digitalisierung in der Medizin“. https://www.bmbf.de/de/digitalisierung-in-der-medizin-2897.html. Zugegriffen: 26. Juni 2020.
Böhme, G. (2018). „Eine Kultur der Privatheit“. In G. Böhme & U. Gahlings (Hrsg.), Kultur der Privatheitin der Netzgesellschaft. Aisthesis.
Google Scholar
Cai, H., Zheng, V. W., & Chang, K. C.-C. (2018). „A Comprehensive survey of graph embedding: Problems, techniques, and applications“. IEEE Transactions on Knowledge and Data Engineering, 30(9), 1616–1637. https://doi.org/10.1109/tkde.2018.2807452.
Callegaro, M., & Yang, Y. (2018). „The role of surveys in the era of big data“. In D. L. Vannette & J. A. Krosnick (Hrsg.), The Palgrave handbook of survey research. Palgrave Macmillan. https://doi.org/10.1007/978-3-319-54395-6_23.
Cave, J., et al. (2009). Trends in connectivity technologies and their socioeconomic impacts. Final report of the study: Policy options for the ubiquitous internet society. RAND Europe. https://www.rand.org/content/dam/rand/pubs/technical_reports/2009/RAND_TR776.pdf. Zugegriffen: 1. Apr. 2021.
Checkoway, S., et al. (2011). „Comprehensive experimental analyses of automotive attack surfaces“. In 20th USENIX security symposium (USENIX Security 11). USENIX Association. https://www.usenix.org/conference/usenix-security-11/comprehensiveexperimental-analyses-automotive-attack-surfaces. Zugegriffen: 1. Apr. 2021.
Cichy, P., & Salge, T. O. (2015). „The evolution of privacy norms: Mapping 35 years of technology-related privacy discourse, 1980–2014“. Proceedings of the 36th International Conference on Information Systems (ICIS). Fort Worth, Texas, USA. http://aisel.aisnet.org/icis2015/proceedings/SecurityIS/18/. Zugegriffen: 1. Apr. 2021.
Dass, S., et al. (2021). „Datenschutz- und Sicherheitsanalyse von Mobilen Learning Apps“. In M. Friedewald, M. Kreutzer, & M. Hansen (Hrsg.), Selbstbestimmung, Privatheit und Datenschutz: Gestaltungsoptionen für einen europäischen Weg. Springer Vieweg.
Google Scholar
Dienlin, T., & Trepte, S. (2015). „Is the privacy paradox a relic of the past? An in-depth analysis of privacy attitudes and privacy behaviors“. European Journal of Social Psychology, 45, 285–297. https://doi.org/10.1002/ejsp.2049.
Article Google Scholar
Eisele, D., et al. (2017). Privatheit in öffentlichen WLANs: Spannungsverhältnisse zwischen ökonomischen Interessen, gesellschaftlicher Verantwortung und rechtlichen Anforderungen. White Paper. Karlsruhe: Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt. https://www.forum-privatheit.de/download/privatheit-in-oeffentlichen-wlans-2017/.
Fischer-Hübner, S., et al. (2011). „Online privacy: Towards informational self-determination on the Internet“. Dagstuhl Manifestos, 1(1), 1–20. https://doi.org/10.4230/DagMan.1.1.1. http://drops.dagstuhl.de/opus/volltexte/2011/3205. Zugegriffen: 1. Apr. 2021.
Franke, P., Kreutzer, M., & Simo Fhom, H. (2021). „Privacy-preserving IDS for In-Car-Networks with Local Differential Privacy“. In M. Friedewald, S. Schiffner, & S. Krenn (Hrsg.), Privacy and identity management. 15th IFIP WG 9.2, 9.6/11.7, 11.6/SIG 9.2.2 international summer school, Maribor, Slovenia, September 20–23, 2020, revised selected papers. IFIP advances in information and communication technology (Bd. 619). Springer International. https://doi.org/10.1007/978-3-030-72465-8.
Garcia, F. D., et al. (2016). „Lock it and still lose it -on the (in)security of automotive remote keyless entry systems“. In 25th USENIX security symposium (USENIX Security 16). USENIX Association. https://www.usenix.org/conference/usenixsecurity16/technicalsessions/presentation/garcia. Zugegriffen: 1. Apr. 2021.
Gassen, M., & Simo Fhom, H. (2016). „Towards privacy-preserving mobile location analytics“. In T. Palpanas, et al. (Hrsg.), Proceedings of the workshops of the EDBT/ICDT 2016 joint conference (EDBT/ICDT 2016), Bordeaux, France, March 15, 2016 (Bd. 1558). CEUR Workshop Proceedings. http://ceur-ws.org/Vol-1558/paper31.pdf.
Ghiglieri, M., Hansen, M., et al. (2016a). Smart-TV und Privatheit: Bedrohungspotenziale und Handlungsmöglichkeiten. Forschungsbericht. Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt. https://www.forum-privatheit.de/wp-content/uploads/Forschungsbericht-Smart-TV-und-Privatheit_Druckfassung-1.pdf. Zugegriffen: 1. Apr. 2021.
Ghiglieri, M., Lange, B., et al. (2016b). „Security und Privacy bei Smart TVs: Bedrohungspotential und technische Lösungsansätze“. In J. Lichdi (Hrsg.), Digitale Schwellen: Freiheit und Privatheit in der digitalisierten Welt (S. 67–84). Heinrich-Böll-Stiftung Sachsen.
Google Scholar
Gillula, J. (2015). Google’s student tracking isn’t limited to Chrome Sync. Electronic Frontier Foundation. https://www.eff.org/deeplinks/2015/12/googles-student-tracking-isnt-limited-chromesync. Zugegriffen: 1. Apr. 2021.
Goldfarb, A., & Tucker, C. (2012). „Shifts in privacy concerns“. American Economic Review, 102(3), 349–353. https://doi.org/10.1257/aer.102.3.349.
Greenberg, A. (2016). „The FBI warns that car hacking is a real risk“. Wired. https://www.wired.com/2016/03/fbi-warns-carhacking-real-risk/. Zugegriffen: 1. Apr. 2021.
Heisenberg, D. (2005). Negotiating privacy: The European Union, the United States, and personal data protection. Lynne Rienner Publ.
Google Scholar
Kelber, U. (2019). „Datenschutz ist kein Hemmschuh für Innovationen“. In Wettbewerb – Der Treiber für die Gigabit-Gesellschaft. VATM-Jahrbuch 2019 (S. 76). VATM e. V. https://www.vatm.de/wp-content/uploads/2019/04/Jahrbuch-2019-Web-1.pdf. Zugegriffen: 1. Apr. 2021.
Kelpen, K., & Simo, H. (2018). „Privacy and data protection in the domain name system: Threats and countermeasures“. In M. Friedewald (Hrsg.), Privatheit und selbstbestimmtes Leben in der Digitalen Welt: Interdisziplinäre Perspektiven auf aktuelle Herausforderungen des Datenschutzes (S. 253–302). Springer Vieweg. https://doi.org/10.1007/978-3-658-21384-8.
Kohlhammer, J., et al. (2021, May). „PrivInferVis: Towards enhancing transparency over attribute inference in online social networks“. In IEEE INFOCOM 2021-IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS) (pp. 1-2). IEEE.
Google Scholar
Kraus, H. (2013). Big Data – Einsatzfelder und Herausforderungen. Arbeitspapiere der FOM 41. MAAkademie. https://www.fom.de/fileadmin/fomalt/downloads/forschungsberichte/arbeitspapiere/AP41.PDF. Zugegriffen: 1. Apr. 2021.
Lambiotte, R., & Kosinski, M. (2014). „Tracking the digital footprints of personality“. Proceedings of the IEEE, 102(12), 1934–1939. https://doi.org/10.1109/jproc.2014.2359054.
Laney, D. B. (2001). 3D data management: Controlling data volume, velocity and variety. Research Note 6. META Group.
Google Scholar
Lang, D., Corbett, C., & Kargl, F. (2016). „Security evolution in vehicular systems“. Fachgespräch Inter-Vehicle Communication,2016, 7–9. https://doi.org/10.18452/1433.
Lessig, L. (2006). Code: Version 2.0. Basic Books.
Google Scholar
Lewinski, K. von (2012). „Zur Geschichte von Privatsphäre und Datenschutz – Eine rechtshistorische Perspektive“. In J.-H. Schmidt & T. Weichert (Hrsg.), Datenschutz: Grundlagen, Entwicklungen und Kontroversen (S. 23–33). Bundeszentrale für politische Bildung.
Google Scholar
Miller, C., & Valasek, C. (2013). „Adventures in automotive networks and control units“. Def Con,21, 260–264.
Google Scholar
Miller, C., & Valasek, C. (2014). A survey of remote automotive attack surfaces (S. 94). Black Hat USA.
Google Scholar
Miller, C., & Valasek, C. (2015). Remote exploitation of an unaltered passenger vehicle. Technical White Paper. Black Hat USA.
Google Scholar
Nadeau, D., & Sekine, S. (2007). „A survey of named entity recognition and classification“. Linguisticae Investigationes, 30(1), 3–26.
Google Scholar
O’Rourke, C., & Kerr, A. (2017). „Privacy shields for whom? Key actors and privacy discourses on Twitter and in Newspapers“. Westminster Papers in Communication and Culture, 12(3), 21–36. https://doi.org/10.16997/wpcc.264.
OECD. (1997). Global information infrastructure – Global information society (GIIGIS): Policy recommendations for action. Organisation for Economic Co-operation und Development. https://www.oecd.org/sti/broadband/1912232.pdf.
Osborne, N., & Connelly, L. (2015, July). „Managing your digital footprint: Possible implications for teaching and learning“. Proceedings of the 2nd European Conference on Social Media ECSM, 354–361. Porto, Portugal.
Google Scholar
Pohle, J. (2017). „Datenschutz und Technikgestaltung: Geschichte und Theorie des Datenschutzes aus informatischer Sicht und Folgerungen für die Technikgestaltung“. Dissertation. Humboldt-Universität zu Berlin. https://edoc.hu-berlin.de/bitstream/handle/18452/19886/dissertation_pohle_joerg.pdf. Zugegriffen: 1. Apr. 2021.
Raab, C., & Koops, B.-J. (2009). „Privacy actors, performances and the future of privacy protection“. In S. Gutwirth, et al. (Hrsg.), Reinventing data protection? (S. 207–221) Springer. https://doi.org/10.1007/978-1-4020-9498-9_12.
Reichert, R. (2014). Big Data: Analysen zum digitalen Wandel von Wissen, Macht und Ökonomie. transcript.
Google Scholar
Reisch, L., et al. (2016). Digitale Welt und Handel. Verbraucher im personalisierten Online-Handel. Sachverständigenrat für Verbraucherfragen. https://www.svr-verbraucherfragen.de/wp-content/uploads/Digitale-Welt-und-Handel.pdf. Zugegriffen: 1. Apr. 2021.
Reyes, I., et al. (2018). „Won’t somebody think of the children? Examining COPPA compliance at scale“. Proceedings on Privacy Enhancing Technologies 2018, 3, 63–83. https://doi.org/10.1515/popets-2018-0021.
Rosner, G., & Kenneally, E. (2018). Clearly opaque: Privacy risks of the internet of things. IoT Privacy Forum. https://www.iotprivacyforum.org/wp-content/uploads/2018/06/Clearly-Opaque-Privacy-Risks-of-the-Internet-of-Things.pdf?d8bd54&d8bd54. Zugegriffen: 1. Apr. 2021.
Roßnagel, A., Friedewald, M., et al. (2017). Datensparsamkeit oder Datenreichtum? Zur neuen politischen Diskussion über den datenschutzrechtlichen Grundsatz der Datensparsamkeit. Policy Paper. Karlsruhe: Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt. https://www.forumprivatheit.de/download/datensparsamkeit-2017/.
Roßnagel, A., Bile, T., et al. (2020). Einwilligung: Möglichkeiten und Fallstricke aus der Konsumentenperspektive. White Paper. Karlsruhe: Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt. https://www.forum-privatheit.de/download/einwilligung/. Zugegriffen: 1. Apr. 2021.
Sabt, M., Achemlal, M., & Bouabdallah, A. (2015). „Trusted execution environment: What it is, and what it is not“. 2015 IEEE Trustcom/BigDataSE/ISPA, 1, 57–64. https://doi.org/10.1109/Trustcom.2015.357.
Simo Fhom, H. (2015). „Big data: Opportunities and privacy challenges“. In P. Richter (Hrsg.), Privatheit, Öffentlichkeit und demokratische Willensbildung in Zeiten von Big Data. Der elektronische Rechtsverkehr (Bd. 32, S. 13–44). Nomos. https://doi.org/10.5771/9783845264165-13.
Simo Fhom, H., Waidner, M., & Geminn, C. (2019). „Intrusion Detection – Systeme für vernetzte Fahrzeuge – Konzepte und Herausforderungen für Privatheit und Cyber-Sicherheit“. In A. Roßnagel (Hrsg.), Grundrechtsschutz im Smart Car: Kommunikation, Sicherheit und Datenschutz im vernetzten Fahrzeug (S. 311–333). Springer Vieweg. https://doi.org/10.1007/978-3-658-26945-6_18.
Singh, A., & Simo Fhom, H. (2016). „Restricted usage of anonymous credentials in vehicular ad hoc networks for misbehavior detection“. International Journal of Information Security, 16(2), 195–211. https://doi.org/10.1007/s10207-016-0328-y.
Solove, D. J. (2020). „The myth of the privacy paradox“. Geo. Wash. L. Rev., 89, 1. https://doi.org/10.2139/ssrn.3536265.
Stalla-Bourdillon, S., & Knight, A. (2017). „Anonymous data v. personal data – A false debate: An EU perspective on anonymization, pseudonymization and personal data“. Wisconsin International Law Journal, 34(2), 284–322.
Google Scholar
Stapf, I., et al. (2021). „Das Recht von Kindern und Jugendlichen auf Privatheit in digitalen Umgebungen: Handlungsempfehlungen des Forum Privatheit“. In I. Stapf, et al. (Hrsg.), Aufwachsen in überwachten Umgebungen: Interdisziplinäre Positionen zur Privatheit und Datenschutz in Kindheit und Jugend (S. 351–376). Nomos.
Google Scholar
Steinebach, M., et al. (2015). Chancen durch Big Data und die Frage des Privatheitsschutzes. Begleitpaper Bürgerdialog. Bericht SIT-TR-2015-06. Fraunhofer- Institut für Sichere Informationstechnologie. http://publica.fraunhofer.de/dokumente/N-374560.html. Zugegriffen: 1. Apr. 2021.
Van Ouytsel, J., Walrave, M., & Ponnet, K. (2014). „How schools can help their students to strengthen their online reputations“. The Clearing House: A Journal of Educational Strategies, Issues and Ideas, 87(4), 180–185. https://doi.org/10.1080/00098655.2014.909380.
Wang, Y., et al. (2011, July). „I regretted the minute I pressed share: A qualitative study of regrets on Facebook“. In Proceedings of the seventh symposium on usable privacy and security (S. 1–16). Pittsburgh, Pennsylvania, USA.
Google Scholar
Zhang, Y., & Wallace, B. (2016). A sensitivity analysis of (and practitioners’ guide to) convolutional neural networks for sentence classification. arXiv: 1510.03820 [cs.CL].

Download references

Author information

Authors and Affiliations

Fraunhofer-Institut für Sichere Informationstechnologie SIT, Darmstadt, Deutschland
Bernd Conrad, Michael Kreutzer, Johanna Mittermeier, Linda Schreiber & Hervais Simo Fhom
TU Darmstadt, Darmstadt, Deutschland
Johanna Mittermeier

Authors

Bernd Conrad
View author publications
You can also search for this author in PubMed Google Scholar
Michael Kreutzer
View author publications
You can also search for this author in PubMed Google Scholar
Johanna Mittermeier
View author publications
You can also search for this author in PubMed Google Scholar
Linda Schreiber
View author publications
You can also search for this author in PubMed Google Scholar
Hervais Simo Fhom
View author publications
You can also search for this author in PubMed Google Scholar

Corresponding author

Correspondence to Hervais Simo Fhom .

Editor information

Editors and Affiliations

Wissenschaftliches Zentrum für Informationstechnik-Gestaltung (ITeG), Universität Kassel, Kassel, Deutschland
Alexander Roßnagel
Fraunhofer ISI, Karlsruhe, Deutschland
Michael Friedewald

Rights and permissions

Open Access Dieses Kapitel wird unter der Creative Commons Namensnennung 4.0 International Lizenz (http://creativecommons.org/licenses/by/4.0/deed.de) veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.

Die in diesem Kapitel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.

Reprints and permissions

Copyright information

About this chapter

Cite this chapter

Conrad, B., Kreutzer, M., Mittermeier, J., Schreiber, L., Simo Fhom, H. (2022). Digitaler Fußabdruck. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-35263-9_7

Download citation

DOI: https://doi.org/10.1007/978-3-658-35263-9_7
Published: 24 May 2022
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-35262-2
Online ISBN: 978-3-658-35263-9
eBook Packages: Computer Science and Engineering (German Language)

Publish with us

Policies and ethics

Digitaler Fußabdruck

Zusammenfassung

Similar content being viewed by others

Digitales Lernen – Welche Rolle spielt die Privatheit der Daten von Schüler:innen bei der Nutzung von Lernsoftware?

Digitale Potenziale für den stationären Handel durch Empfehlungsprozesse, lokale Relevanz und mobile Geräte (SoLoMo)

Die Menschen hinter den Usern verstehen: Die Digitalen Sinus-Milieus®

1 Einleitung: Technik als Auslöser – hohe Dynamik, neue Möglichkeiten

2 Techniktrends, Auswirkungen und Möglichkeiten

2.1 Trends in der digitalen Technikentwicklung

2.2 Bereichsübergreifende Auswirkungen und Möglichkeiten

3 Angreifer- und Bedrohungsmodell als Konstante für den Diskurs über Privatheit

4 Identifizierung aktueller und zukünftiger Bedrohungen für die Privatheit

4.1 Datenschutz im Domain Name System – Risiken und Lösungsansätze

4.2 Datenschutz, IT-Sicherheit und Privatheitsschutz bei mobilen Diensten

Beispiel Dating-Apps

Beispiel Learning-Apps

4.3 Vernetzte und Smarte Objekte – Herausforderungen für Privatheit und Cyber-Sicherheit

Beispiel Smart TVs

Beispiel Vernetzte Fahrzeuge

4.4 Bedrohungs- und Überwachungspotenziale in öffentlichen WLAN-Infrastrukturen

5 Innovationspotential der Digitalisierung und des Privatheitsschutzes

5.1 Volkswirtschaftliche Ebene

5.2 Unternehmen

5.3 Grundrechte auf Datenschutz und informationelle Selbstbestimmung

5.4 Technische Umsetzung von Regulierung

5.5 Nutzung des technischen Fortschritts für Privatheitsinnovationen

6 Gestaltungsvorschläge

6.1 Me&MyFriends

Architektur

Schlussfolgerung, Grenzen und zukünftige Arbeiten

6.2 WallGuard

Architektur

Schlussfolgerung, Grenzen und zukünftige Arbeiten

6.3 MetaMiner

Architektur und Implementierung

Evaluation

Schlussfolgerung, Grenzen und zukünftige Arbeiten

7 Schlussbetrachtung

Notes

Literatur

Author information

Authors and Affiliations

Corresponding author

Editor information

Editors and Affiliations

Rights and permissions

Copyright information

About this chapter

Cite this chapter

Download citation

Share this chapter

Publish with us

Search

Navigation