Eine gute Möglichkeit, das Risiko für Nutzer zu mindern, besteht darin, keine sensiblen Daten über sie zu speichern, die Sie nicht benötigen und die ihre Privatsphäre beeinträchtigen. Es gibt überraschend viele Möglichkeiten, dies zu tun und gleichzeitig Ihre Geschäftsziele zu erreichen. Es lohnt sich, alle zu berücksichtigen. Sie haben folgende Möglichkeiten:
- Erläutern Sie, wofür Sie die Daten benötigen.
- Daten mit geringerem Detaillierungsgrad erfassen.
- Entferne Daten nach der Verwendung.
- Sie muss nicht erst gesammelt werden.
Mit jedem dieser Ansätze können Sie Nutzern die Angst nehmen, was Sie tun und warum. Das trägt wesentlich zu einer guten Beziehung zu ihnen bei. Transparenz schafft Vertrauen und – was noch wichtiger ist – kann ein Alleinstellungsmerkmal für Sie sein. Viele Personen gehen wir davon aus, dass Nutzer und Kunden ihnen standardmäßig vertrauen, aber Verbraucher bewerten Produkte und Dienstleistungen ständig, was dazu führen kann, nicht so sein müssen. Wenn Sie eine Beziehung zu Ihren Nutzern aufbauen, in der sie Ihnen vertrauen, dass Sie ihre Daten und Ihre Interaktionen respektvoll behandeln, kann dies Ihnen als Projekt oder Unternehmen einen Wettbewerbsvorteil verschaffen: Es ist etwas, das Ihre Mitbewerber möglicherweise nicht bieten können, ein echter Unterschied.
Sehen wir uns die oben genannten Ansätze in der Reihenfolge von der effektivsten (aber auch mit den größten Auswirkungen auf Ihr Unternehmen) bis zur am wenigsten effektiven, aber am wenigsten störenden Implementierung an.
Daten gar nicht erheben
Die naheliegendste Methode, um die besteht darin, sie nicht zu sammeln. Für die Bereitstellung von Diensten ist eine gewisse Datenerhebung erforderlich. Es gibt jedoch mehr Möglichkeiten, die Datenerhebung zu vermeiden, als Sie vielleicht denken. Nehmen wir zum Beispiel den Bezahlvorgang als Gast. Wenn Nutzer über Ihre Webanwendung etwas kaufen möchten, können Sie sie auffordern, sich für ein Konto zu registrieren. So haben Sie ihre personenbezogenen Daten für die spätere Auftragsausführung erfasst: Sie können der Mailingliste hinzugefügt werden, sie sind bereits als interessierter Kunde vorqualifiziert usw. Die Kunden erkennen dies jedoch und mögen es nicht: in einer Studie von 2021 ergab eine Studie, dass jeder vierte abgebrochene Verkauf die Website verlangt, dass der Nutzer ein Konto erstellt. Wenn Sie kein Konto benötigen, ist die Wahrscheinlichkeit größer, dass Sie diese Kunden behalten. Wenn Sie es Nutzern ermöglichen, einen Kauf ohne Registrierung abzuschließen, haben sie mehr Optionen. Außerdem müssen Sie weniger Daten schützen und sichern.
„Fuzz“ Ihre Daten
Natürlich ist es nicht möglich, auf die Erfassung von Daten zu verzichten. Es ist wichtig, Daten zu erheben, um Dienstleistungen anzubieten und fundierte Geschäftsentscheidungen zu treffen. Es kann auch hilfreich sein, Marketingkommunikation im Kontext einer vertrauensvollen Beziehung zu gestalten. Es ist jedoch auch wichtig zu wissen, dass Entscheidungen, die aggregiert getroffen werden (d. h., die viele Nutzer gleichzeitig betreffen), auf aggregierten Daten basieren (d. h., auf kollektiven Eigenschaften der Daten).
Manchmal ist es beispielsweise hilfreich, die demografischen Merkmale Ihrer Zielgruppe zu kennen: zu welcher Altersgruppe sie gehören, wo sie sich befinden usw. Das kann sich auf deine Botschaft oder deine Herangehensweise auswirken. Das bedeutet jedoch nicht, dass Sie die genauen für jeden Nutzer Ihres Dienstes. Häufig suchen Sie nach Trends und Unterkünften insgesamt. Wenn die Entscheidung, Die Reichweite hängt davon ab, ob der Großteil Ihrer Zielgruppe zur demografischen Zielgruppe der 18- bis 34-Jährigen gehört. Die einzige Frage, die Sie tatsächlich benötigen, ob Ihre Nutzer zu dieser demografischen Gruppe gehören. So werden sie in zwei „Buckets“ eingeteilt: in diese Gruppe und nicht in diese Gruppe. Es kann Situationen geben, in denen Sie detailliertere Daten benötigen. Es ist jedoch durchaus sinnvoll, die Liste der demografischen Merkmale, die Sie für Entscheidungen verwenden, zu verwenden und Ihre Nutzer zu bitten, sich anhand dieser Liste zu klassifizieren.
Beispiel
Wenn es also nützlich ist zu wissen, wie sich Ihre Nutzerbasis zwischen den Altersgruppen „18–34“, „35–49“, „49–64“ und „65+“ aufteilt, können Sie die Nutzer bitten, auszuwählen, in welche dieser Kategorien sie fallen. Es ist verlockend, nach extrem detaillierten, persönlichen und personalisierten Daten zu fragen und Ihre Nutzer dann selbst zu klassifizieren, da Sie so später nicht noch einmal dieselbe Frage in ausführlicherer Form stellen müssen. Sie können beispielsweise nach dem genauen Alter und dem Geburtsdatum fragen und dann eigene Listen erstellen, in denen Sie sehen, wie viele Nutzer in der Kategorie „35–49“ sind. Es ist jedoch wichtig, sich darüber im Klaren zu sein: Wie bereits im Kurs erwähnt und noch einmal erwähnt wird, kann das Erfragen detaillierter Daten für Nutzer unangenehm sein. Das verringert das Vertrauen der Nutzer in Ihr Unternehmen und erhöht das Risiko.
Außerdem ist es wichtig, Ihre Datenanforderungen zu berücksichtigen. Manchmal ist der Bedarf an detaillierteren Daten spekulativ, also eine Vorsorgemaßnahme. Vielleicht müssen wir die Nutzer im Moment nur in diese vier Altersgruppen einordnen, aber in Zukunft möchten wir vielleicht Daher sollten wir jetzt sehr detaillierte Daten sammeln, um diese Option für später offen zu halten. Es könnte sich lohnen wie oft die detaillierteren Daten in der Vergangenheit tatsächlich zur Entscheidungsfindung herangezogen wurden. Wenn Sie nach Daten fragen, die im Vergleich zum angebotenen Dienst als invasiv wahrgenommen werden, sinkt das Vertrauen der Nutzer in Ihre Organisation. Wenn diese Daten aus Gründen des „nur für den Fall der Fälle“ erhoben werden, riskieren Sie nicht nur das Vertrauen der Nutzer für bessere Geschäftsentscheidungen, sondern auch die Möglichkeit einer theoretischen zukünftigen Entscheidung, die möglicherweise gar nicht existiert, und übernehmen gleichzeitig Sicherheitsanforderungen für diese Informationen.
Es gibt auch detailliertere algorithmische Möglichkeiten, den Detaillierungsgrad der erfassten Daten zu reduzieren. Zufällige Antwortmethoden werden die Daten mit einem abstimmbaren Grad an Ungenauigkeiten gesammelt und werden seit Jahrzehnten in den sozialen Medien wenn es um die Erfassung potenziell invasiver oder sensibler Daten geht, während die Vertraulichkeit der Einsatzkräfte gewahrt bleibt. Bei der oben genannten Methode der Datenerhebung werden die Antworten der Nutzer erweitert (also wird aus „Wie alt sind Sie?“ „In welche der folgenden Altersgruppen fallen Sie?“). Bei der zufälligen Antwort muss ein bestimmter Anteil der Nutzer über ihre Antworten lügen. Wenn der Anteil der Nutzer, die falsch antworten, bekannt ist, lassen sich sinnvolle Schlussfolgerungen können trotzdem aus den gesammelten Daten gezogen werden, aber die Privatsphäre der einzelnen Nutzenden wird nicht beeinträchtigt, da ihre gesammelten Daten falsch sein. Falls also 80% Ihrer Zielgruppe angeben, dass sie zur Altersgruppe 18–34 gehören, könnten Sie relativ zuversichtlich, dass dies immer noch den größten Anteil ist, auch wenn 10% von ihnen absichtlich falsche Antworten geben. Der Grad der Falschheit kann auch programmatisch geändert werden, wobei immer korrekte Antworten abgefragt werden, die Software aber einen bestimmten Prozentsatz der Antworten vor der Übertragung ändert. Dieser Prozess und seine Folgen können den Nutzern auch bei der Erhebung von Daten erklärt werden: Die Nutzer müssen nicht darauf vertrauen, dass Sie die erhobenen Daten nicht missbrauchen, da einzelne Daten nicht zuverlässig sind.
Ein ähnlicher, aber technisch aufwendigerer Prozess ist der Differential Privacy. Dabei werden mathematische Verfahren verwendet, um den Datenspeicher so zu verändern, dass die Gesamteigenschaften der Daten erhalten bleiben, aber nicht festgestellt werden kann, ob eine bestimmte Person überhaupt Daten zur Verfügung gestellt hat oder welche Daten sie gegebenenfalls zur Verfügung gestellt hat. Wie bei der zufälligen Antwort werden die Daten der Nutzer auch vor Ihnen geschützt und Ihre Absicht wird klar demonstriert: Sie können die Daten Ihrer Nutzer nicht verwenden, wenn Sie diese Daten nicht haben.
Diese und ähnliche Ansätze bieten auch mehr Sicherheit vor Datenpannen und Datenlecks, da die erhobenen Daten verringert die Sicherheit der Nutzer, selbst für Sie, und verringert die Gefährdung, falls Daten gehackt werden. Wenn Sie Differential Privacy auf dem Server anwenden, sodass Nutzer nicht aggregierte Daten haben und dann die Techniken zum Aggregieren verwenden), müssen Sie diese Rohdaten der Nutzenden schützen und nach der Verarbeitung löschen. Außerdem sollten Sie klare Richtlinien haben und befolgen, Aggregation (oder machen Sie deutlich, wofür Sie sie verwenden).
Aufbewahrung: Daten erheben und nach der Verwendung entfernen
Denken Sie daran, dass gesammelte Daten einen Lebenszyklus haben. Daten erhoben werden, um Ihnen bei Geschäftsentscheidungen zu helfen, und sollte dann irgendwann entfernt werden. Auch hier gilt: Wenn Sie Nutzern Fragen stellen, Informationen zu anderen von ihnen besuchten Websites speichern oder nachverfolgen, was sie sich angesehen haben und wie lange, um Vorhersagen zu ihren Vorlieben zu treffen, werden Ihnen diese Daten für einen bestimmten Zweck zur Verfügung gestellt – nicht als uneingeschränkte Berechtigung, die der Entwickler nach eigenem Ermessen nutzen kann. Wenn diese Daten zu diesem Zweck nicht mehr benötigt werden, nach einer Minute, manchmal nach vielen Jahren, sollte sie gelöscht werden.
Wenn Sie Informationen zu Ihren Nutzern erheben, sollten Sie wissen, wofür Sie diese Daten verwenden (siehe unten). Außerdem sollten Sie wissen, wann und warum Sie diese Daten nicht mehr aufbewahren. Das kann beispielsweise der Fall sein, wenn der Nutzer sie selbst löscht, sich abmeldet, nach einem bestimmten Zeitraum oder nach einem bestimmten Ereignis. Eine hervorragende Möglichkeit, Vertrauen in die Beziehung aufzubauen Ihren Nutzern deutlich zu machen, wie sie die Kontrolle über ihre Daten behalten können, einschließlich, wo möglich, durch ein einseitiges Opt-out. Wie löschen sie ihre Daten? Wie löscht sie sein Konto? Neben dem Aufbau dieser Beziehung sollten Sie Daten nur so lange speichern, wie Sie sie für die Verarbeitung benötigen. Außerdem sollten Nutzer die Möglichkeit haben, Daten, die Sie von ihnen oder in ihrem Namen erheben, einzusehen und zu entfernen. Möglicherweise gibt es zu diesem Punkt sogar Gesetze in Gebieten in die Sie betreiben.
In diesem Bereich können Sie klare technische Ziele definieren, die Nutzenden bei der Selbstverwaltung helfen. wenn Ihre Nutzer Data Warehouse nutzen, ohne um Erlaubnis fragen zu müssen, können sie sich viel sicherer fühlen und Support-Ressourcen dafür benötigen.
Es ist wichtig zu verstehen, wie wichtig einfache und standardmäßige Deaktivierungen sind: „Unternehmen können Vertrauen und Anerkennung gewinnen, indem sie indem sie einem Sozialvertrag zustimmen, der sie an jedem Touchpoint respektieren, auf ihre Bedürfnisse einzugehen und entsprechend zu reagieren“, so IAPP. Die Nielsen Norman Group sagt, dass Nutzer „einen deutlich gekennzeichneten ‚Notausgang‘ benötigen, um die unerwünschte Aktion zu beenden, ohne einen längeren Prozess durchlaufen zu müssen“. Jeder weiß, dass es einfacher ist, sich zu abonnieren als sich abzumelden. Aber wie Nielsen Norman sagt, fördert die Möglichkeit, ohne Hürden zu verlassen, „ein Gefühl von Freiheit und Vertrauen“. Wissenschaftliche Studien stützen dies und nennen es das „Prinzip der Widerrufsbelehrung", unter Angabe: "Die Schnittstelle sollte es dem Nutzer ermöglichen, die vom Nutzer erteilten Berechtigungen jederzeit zu widerrufen. ist ein Widerruf möglich. Nutzer sollten diese Einwilligung widerrufen und den Zugriff von Behörden auf ihre Ressourcen nach Möglichkeit einschränken können.“ (Beispiele: Yee und Iacono)
Wie lange Daten aufbewahrt werden sollten und welche Daten aufbewahrt werden sollten, ist ein Thema, das sich von Organisation zu Organisation und von Projekt zu Projekt stark unterscheidet. Es gibt jedoch einige allgemeine Richtlinien, die Sie beachten sollten.
Do
Hier ist es hilfreich, Nutzern das Löschen von Konten (und alle zugehörigen Daten, falls dies möglich ist) und die regelmäßige (z. B. beim Abmelden) zu ermöglichen. Mit dem Header Websitedaten löschen können Sie sitzungsspezifische und lokal gespeicherte Daten beim Abmelden löschen.
Geben Sie einen Clear-Site-Data-Header an, um einige oder alle clientseitig gespeicherten Nutzerdaten zu entfernen (in Cookies, im LocalStorage oder in IndexedDB oder im Browsercache), sofern dies angemessen ist. Der offensichtliche Anwendungsfall für „Clear-Site-Data“ ist die Abmeldung eines Nutzers. Es kann aber auch nach Sicherheitsvorfällen verwendet werden, um sicherzustellen, dass in einem potenziell manipulierten Konto keine Spuren von manipulierten Daten auf dem Client verbleiben.
Um Clear-Site-Data zu unterstützen, muss der HTTP-Header Clear-Site-Data gesendet werden, wenn sich der Nutzer abmeldet (oder eine andere
wenn Sie clientseitigen Speicher löschen möchten, auf der Seite zur Bestätigung des Abmeldestatus (https://your-site/logout).
o. Ä.). Dieser Header kann einige oder alle der folgenden Werte oder „"*"“ für alle enthalten:
Clear-Site-Data: "cache", "cookies", "storage"
Mit diesen Werten werden jeweils im Cache gespeicherte Seiten (und andere im HTTP-Cache gespeicherte Ressourcen), gespeicherte Cookies sowie localStorage und IndexedDB gelöscht.
Möglicherweise wird ein Verweis auf eine andere Option angezeigt: executionContexts. Diese wird jedoch von vielen Browsern nicht unterstützt.
Die Verwendung der Clear-Site-Data-Header-Anfrage ist wahrscheinlich einfacher als das Löschen aller erstellten Ressourcen einzeln, da kein JavaScript-Code auf dem Client ausgeführt werden muss. Außerdem ist dies die einzige offizielle Möglichkeit, den Browsercache zu leeren. Die Clear-Site-Data-Header-Anfrage wird jedoch nicht von allen Browsern unterstützt.
Nutzungshinweis: Wenn du den Cache leerst (durch Senden von Clear-Site-Data: cache), sollte der Clear-Site-Data-Header nicht
wird von Ihrer eigentlichen Abmeldeseite gesendet, aber bei einer anderen Ressource wird die Seite geladen. Das liegt daran, dass auf einem langsameren Computer mit einem großen Cache die Seite blockiert wird, während der Cache geleert wird, was die Navigation verhindert. Das kann einige Minuten dauern, was die Nutzer frustrieren wird. Es ist unwahrscheinlich, aber schwierig zu testen. Daher sollten Sie dies im Hinterkopf behalten.
Erläutern Sie, wofür Sie die Daten benötigen
Das Vertrauen der Nutzer in Ihren Dienst wurde bereits mehrfach betont, da es die Nutzerbindung erhöht. Außerdem bietet sie einen Wettbewerbsvorteil. Eine Möglichkeit, dieses Vertrauen zu stärken, ist die Transparenz Ihrer Prozesse. Transparenz ist eine gute Methode, zu erklären, wofür Sie Daten benötigen. Sie haben bereits gelernt, dass Sie wann es gelöscht wird. Um dies zu wissen, müssen Sie wissen, warum Sie diese Daten benötigen, welche spezifischen Fragen sie benötigen. um Antworten zu finden und welche Entscheidungen von deren Erfassung beeinflusst werden. Sobald Sie wissen, warum Sie diese Daten benötigen, die Sie von Ihren Nutzern angefordert haben, können Sie das Vertrauen stärken, indem Sie dies den Nutzern erklären. In Ihrer Datenschutzerklärung oder wenn Sie Fragen zu Ihrem Konto stellen erstellt haben, beschreiben Sie, warum Sie die Antwort auf diese spezielle Frage benötigen, was Sie mit diesen Daten machen werden und wann und wie sie entfernt werden können.
Diese Erklärungen sind viel besser sichtbar, wenn sie inline präsentiert werden. Erläuterungen in einem umfassenden Richtliniendokument an anderer Stelle auf der Website verschleiern wie ein Versuch erscheinen, sie zu verbergen. In einem Anmelde-, Zahlungs- oder Anfrageformular können Sie neben der Datenerhebung auch die Gründe dafür angeben. Häufig ist ein Formularfeld mit einem Sternchen (*) gekennzeichnet, um anzugeben, dass ein Feld erforderlich ist. Komplexe Formulare enthalten oft einen Informationslink (i), der erklärt, was das Feld bedeutet. Erwägen Sie, diesen Erklärungen eine Beschreibung hinzuzufügen, warum die Daten erhoben werden. Eine häufig verwendete Formulierung dafür ist „Warum benötigen wir das?“ neben einem Formularfeld, das bei einem Klick eine Pop-up-Erläuterung anzeigt.
Ein Beispiel für HTML könnte so aussehen. CSS und JavaScript sorgen dann dafür, dass das <aside> ausgeblendet und als Pop-up angezeigt wird, wenn auf den Link geklickt wird. Bestätigen Sie unbedingt die Zugänglichkeit des für Ihre Website erstellten Formulars.
Wie genau Sie dies gestalten, hängt von Ihrem Stil und Ansatz ab. Der Hauptpunkt besteht jedoch darin, die Datenerhebung direkt mit einer Erklärung zu verknüpfen, warum diese Daten erhoben werden. Dies ist nicht für jedes Feld erforderlich. Niemand braucht eine Erklärung, warum Sie von ihm verlangen.
ein Passwort auswählen. Es kann jedoch hilfreich sein, jede Anfrage nach personenbezogenen Daten und Kontaktdaten so zu gestalten, wie Sie sie verwenden und aufbewahren möchten.
Ihren Nutzenden deutlich zu machen, dass Sie in den Schutz ihrer Daten investiert haben.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Dieser Prozess mit allen gesammelten Informationen über die Nutzenden kann auch bei internen Prozessen und Diskussionen hilfreich sein. Sie haben bereits gesehen, dass die Versuchung besteht, Daten „für den Fall der Fälle“ zu sammeln. Wenn Sie Ihre Gründe transparent darlegen gesammelt haben, ist es ziemlich offensichtlich, dass dies geschieht. Wenn Sie nicht öffentlich formulieren möchten, was Sie mit Nutzerdaten tun möchten, weil diese Nutzer die Erklärung nicht mögen würden, ist das möglicherweise ein Zeichen dafür, dass Sie die Erhebung dieser Daten überdenken sollten. Das gilt unabhängig davon, ob die unangemessene Erklärung zu invasiv („Wir verwenden diese Daten, um zu erfassen, wo Sie sich stündlich aufhalten.“), zu weit gefasst („Wir wissen noch nicht, wofür wir diese Daten verwenden werden, aber wir möchten sie haben, falls wir etwas damit anstellen können.“) oder zu ausweichend ist („Wir verwenden diese Daten für interne, nicht offengelegte Zwecke.“). Das ist nicht nur eine Frage der Moral. Wie bereits beschrieben, sind Nutzer schlau genug, das zu erkennen. Außerdem erwarten sie, dass das Experimentieren mit etwas nicht der Beginn einer langfristigen Verpflichtung ist. Es ist eine gängige Praxis im User Experience Design, die Registrierung so reibungslos und einfach wie möglich zu gestalten. Denn in den frühen Phasen sind die Nutzer (per Definition) nicht stark in Ihren Dienst eingebunden. Daher ist es wichtig, ihnen zu ermöglichen, sich leichter zu engagieren, wenn sie noch wenig dazu bereit sind. Wenn es genauso einfach ist, wieder zu kündigen, wird das Experimentieren mit dem Dienst zu einem echten Experiment und nicht zum unfreiwilligen Beginn einer erzwungenen langfristigen Bindung. Wie zuvor ist es paradox, aber wahr: Der beste Weg, um Vertrauen aufzubauen, besteht darin, nicht von den Nutzern zu verlangen, Ihnen zu vertrauen, wenn sie dies tun. die Sie nicht verwenden möchten.
Nutzer haben gute Gründe, ihre Daten nicht oder nur sehr wenige Daten zu teilen. Zu Beginn Ihrer Beziehung haben sie möglicherweise keinen Grund, Ihnen zu vertrauen, und sollten das auch nicht tun. Ihr Ziel ist es, zu zeigen, warum sie dies tun sollten.
Do
- Entscheiden Sie, welche Daten Sie sammeln möchten, warum Sie sie benötigen und wie lange Sie sie aufbewahren möchten.
- Wenn Sie nach diesen Daten fragen, erklären Sie Ihren Nutzenden, warum Sie sie erheben.
- Löschen Sie sie nach der Verwendung aus Ihren Serverdatenbanken.
- Mit dem Header „
Clear-Site-Data“ können Nutzer erstellte Konten löschen und gespeicherte Daten aus ihrem Speicher löschen.
Warum
Wenn Sie eine Beziehung zu Ihren Nutzern aufbauen möchten, geht es um Vertrauen. Vertrauen wiederum basiert auf Offenheit. Wenn Sie nachweisen können, dass Sie nicht nur so viele Daten wie möglich über Ihre Nutzer erheben und die Verwendung dieser Daten verschleiern, können Sie das Vertrauen stärken. Das kann ein Wettbewerbsvorteil gegenüber weniger gewissenhaften Mitbewerbern sein.