Den Benachrichtigungen, die Unternehmen an Verbraucher über Datenschutzverletzungen senden, mangelt es an Klarheit und sie können laut neuen Untersuchungen die Verwirrung der Kunden darüber erhöhen, ob ihre Daten gefährdet sind.

Aufbauend auf ihren früheren Untersuchungen, bei denen festgestellt wurde, dass Verbraucher bei Sicherheitsverletzungen häufig nur wenig Maßnahmen ergreifen, analysierten die Forscher die an die Verbraucher gesendeten Benachrichtigungen über Datenschutzverletzungen, um festzustellen, ob die Mitteilungen möglicherweise für einen Teil der Untätigkeit verantwortlich sind.

Sie stellten fest, dass 97-Prozent der 161-Benachrichtigungen aufgrund von Lesbarkeitsmetriken schwierig oder ziemlich schwierig zu lesen waren und dass die in ihnen verwendete Sprache möglicherweise zu Verwirrung darüber geführt hat, ob der Empfänger der Mitteilung gefährdet war und Maßnahmen ergreifen sollte.

„Für die meisten Unternehmen werden diese Benachrichtigungen nur als Voraussetzung für die Einhaltung der Gesetze zur Meldung von Datenschutzverletzungen angesehen.“

"Unsere Analyse zeigt, dass es nicht ausreicht, Unternehmen gesetzlich dazu zu verpflichten, Benachrichtigungen über Datenschutzverletzungen zu senden", sagt Yixin Zou, Doktorandin an der University of Michigan.

"Es ist wichtig sicherzustellen, dass wichtige Informationen wie das, was passiert ist und was die Verbraucher tun sollten, um sich zu schützen, in diesen Benachrichtigungen auf eine Weise kommuniziert werden, die für die Verbraucher verständlich und nachvollziehbar ist."

Unter Berufung auf Statistiken des Privacy Rights Clearinghouse stellen die Autoren fest, dass in 2017 853-Daten verletzt wurden, die 2.05-Milliarden-Datensätze gefährdeten, darunter Verbrauchernamen, Kontaktinformationen, Kontonummern, Kreditkartendaten, Sozialversicherungsnummern, Einkaufs- und Kaufdatensätze sowie Social Media Posts und Nachrichten sowie Gesundheitsakten.

Als Reaktion darauf haben die meisten Länder, einschließlich der USA, Gesetze zur Meldung von Datenschutzverletzungen verabschiedet. In den USA hat jeder Staat sein eigenes Gesetz zu Datenschutzverletzungen. Dies bedeutet, dass die Schwelle, ab der Unternehmen Verbraucher benachrichtigen müssen, wie bald sie nach einem Verstoß Benachrichtigungen senden müssen und wie diese Benachrichtigung aussehen muss, von Staat zu Staat unterschiedlich ist.

„Unternehmen haben wenig Anreiz, in die Verbesserung der Nutzbarkeit von Benachrichtigungen über Datenschutzverletzungen zu investieren.“

Dies gibt Unternehmen viel Freiheit, Hedge-Begriffe zu verwenden, bei denen das Risiko herabgespielt wird. In den 70-Prozenten der Benachrichtigungen werden Ausdrücke wie "Sie könnten betroffen sein" und "Sie sind wahrscheinlich betroffen" verwendet Daten werden missbraucht ”40 in Prozent der Fälle.

Laut den Forschern ist es auch möglich, die Ursache des Verstoßes, das Datum des Auftretens und die Dauer der Exposition nicht einheitlich zu benennen.

„Unternehmen haben wenig Anreiz, in die Verbesserung der Nutzbarkeit von Benachrichtigungen über Datenschutzverletzungen zu investieren“, sagt Florian Schaub, Assistant Professor an der School of Information.

„Für die meisten Unternehmen sind diese Benachrichtigungen nur eine Voraussetzung für die Einhaltung der Gesetze zur Meldung von Datenschutzverletzungen und keine Möglichkeit zur Aufklärung und zum Schutz ihrer Kunden. Wir müssen Verbraucherschutzgesetze wie diese überdenken und überarbeiten, um sicherzustellen, dass die Benachrichtigungen der Unternehmen tatsächlich für die Verbraucher hilfreich sind “, sagt Schaub.

Die meisten staatlichen Gesetze schreiben vor, dass Unternehmen betroffene Verbraucher schriftlich oder telefonisch benachrichtigen müssen. E-Mails, Website-Ankündigungen, Mitteilungen an landesweite Medien oder andere elektronische Methoden sind in der Regel Ersatz. Die Studie zeigt ein konsistentes Muster mit 95 Prozent der analysierten Benachrichtigungen, die per E-Mail gesendet werden. Die Forscher sagen, dass die langsame Geschwindigkeit eines Briefes die Zeit verlängern könnte, in der die Verbraucher über den Verstoß nicht informiert wurden.

Die Forscher teilten ihre Arbeit auf der CHI-Konferenz über Human Factors in Computing in Glasgow, Schottland.

Quelle: University of Michigan

Bücher zum Thema

at InnerSelf Market und Amazon