Wenn man keine Nutzerdaten besitzt, kann man sie auch nicht leaken

 (seancoates.com)
2 Punkte von GN⁺ 2024-03-29 | 1 Kommentare | Auf WhatsApp teilen

Matter und Privatsphäre

  • Der Autor arbeitet als Vice President of Technology bei einem Unternehmen namens Matter und ist an der Entwicklung einer App beteiligt, die positive Erlebnisse von Nutzerinnen und Nutzern festhält und sie später wieder in Erinnerung ruft, um das Glücksempfinden zu steigern.
  • Anfangs stand er dem Wellness-Konzept skeptisch gegenüber, ließ sich aber davon überzeugen, dass Technologie das Wohlbefinden tatsächlich steigern kann, indem sie Menschen hilft, positive Erfahrungen wieder abzurufen.
  • Dafür gibt es wissenschaftliche Belege: Wenn Menschen sich an positive Erlebnisse erinnern, produziert das Gehirn Glückshormone, wodurch sie sich tatsächlich glücklicher fühlen.

Schutz der Privatsphäre von Nutzerdaten

  • Aus der Frage heraus, wie mit persönlichen Daten der Nutzenden umzugehen ist, wurde der Schutz der Privatsphäre zu einem zentralen Wert.
  • Bedrohungsmodelle für Nutzerdaten wurden erstellt, und darauf basierend wurden verschiedene Entscheidungen für die App und das Datenverarbeitungssystem getroffen.
  • Der Schutz von Nutzerdaten muss die Grundlage des Produktdesigns sein; ihn erst später hinzuzufügen, ist fehleranfällig oder unter Umständen gar nicht mehr möglich.

Grundprinzipien und Datenschutz

  • Es wurden Grundprinzipien festgelegt, um Vertrauen bei den Nutzenden aufzubauen, Datenlecks zu verhindern und Widerstandsfähigkeit gegenüber künftigem Kontrollverlust zu schaffen.
  • Nach Diskussionen über extreme Maßnahmen wie den Aufbau eines eigenen Rechenzentrums fiel die Entscheidung, persönliche Daten der Nutzenden grundsätzlich niemals zu besitzen.

Wie Nutzerdaten verarbeitet werden

  • Wenn Nutzende in der App ihre Gefühle bewerten, ist das Matter-System so entworfen, dass es diese Daten weder sammelt noch kennen kann.
  • Die Daten der Nutzenden werden nicht auf Servern, sondern auf ihren Geräten gespeichert, und selbst wenn sie in einer persönlichen Datenbank liegen, hat Matter keinen Zugriff darauf.
  • Die Daten werden ausschließlich innerhalb der App verarbeitet; Matter kennt nur das Ergebnis, nicht aber den Prozess oder den Inhalt.

Nutzeridentifikation und Datenwiederherstellung

  • Einzelne Nutzende können nicht identifiziert werden; Matter verfügt nicht einmal über E-Mail-Adressen, weshalb eine Datenwiederherstellung unmöglich ist.
  • Die App bietet Backup- und Wiederherstellungsfunktionen, und es wird erwartet, dass Nutzende diese verwenden, um Datenverlust zu vermeiden.
  • Es wird darüber nachgedacht, wie sich Daten speichern lassen, ohne dass Nutzende sich selbst identifizieren müssen; dies soll vor dem Ende der Beta-Version in die App integriert werden.

Datenschutzrichtlinie

  • Die Datenschutzrichtlinie von Matter ist rechtlich bindend, und das Unternehmen hält sich daran.
  • Die Aufsicht über die Umsetzung des Datenschutzes ist sehr erfüllend, und in diesem Bereich gibt es mehr als ein Jahrzehnt ernsthafter Auseinandersetzung.

Meinung von GN⁺

  • Der Ansatz von Matter setzt einen neuen Maßstab für den Schutz der Privatsphäre von Nutzenden und kann als Best Practice gelten, um Sorgen rund um Datenschutz auszuräumen.
  • Dass die App Nutzerdaten nicht auf Servern speichert, sondern ausschließlich auf dem Gerät verarbeitet, minimiert das Risiko von Datenlecks, hat aber den Nachteil, dass eine Wiederherstellung nach Datenverlust schwierig ist.
  • Diese Form des Datenschutzes erhöht die Widerstandsfähigkeit gegenüber rechtlichen Anforderungen oder Hacking-Versuchen, verlagert aber mehr Verantwortung für Backup und Verwaltung auf die Nutzenden.
  • Andere Apps oder Dienste mit ähnlicher Funktionsweise dürften schwer zu finden sein; der Ansatz von Matter ist in der Branche ungewöhnlich.
  • Bei der Einführung einer solchen Technologie sollten Nutzererlebnis und Datenmanagement sorgfältig ausbalanciert werden, und die Bedeutung einer Unternehmenskultur, die den Schutz von Nutzerdaten an erste Stelle setzt, muss anerkannt werden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-03-29
Hacker-News-Kommentare
  • Stimme der Kernaussage zu, dass nichts geleakt werden kann, wenn man keine Informationen speichert. Ich denke, der rechtliche Rahmen sollte stärker ergebnisorientiert sein und diese Denkweise fördern. Wenn man gehackt wird, ist es letztlich egal, ob man technisch alles richtig gemacht hat; entscheidend ist, dass persönliche Daten gestohlen wurden. Auch wenn die Branche getan hat, was sie für richtig hielt, sollte sie dafür Verantwortung tragen.
  • Wende dieses Prinzip auf der eigenen Website an. Ich will keine Benutzerkonten, daher sende ich beim Kauf einen eindeutigen Link per E-Mail. Kein Login und kein Passwort nötig, und wer möchte, kann eine Wegwerf-E-Mail-Adresse verwenden. Bei einer Übernahme muss man sich dann keine Sorgen um Nutzerdaten machen.
  • Habe Sympathie für Maßnahmen zu Datenresidenz, Integrität und Vertraulichkeit bei großen Datenspeichern. Ein Unternehmen kann sich aber auch einfach entscheiden, diese Daten gar nicht erst zu sammeln. Ich mag das Modell „Es bleibt nur auf deinem Gerät, und wir sehen es nie“ sehr. Allerdings bin ich skeptisch gegenüber der Behauptung, dass ihr Messsystem gegen sie verwendet werden wird.
  • Bei Sentinel Devices verfolgen wir für Industriemaschinen den Ansatz „Wir speichern eure Daten nicht“. Denkt an eine Air-Gapped automatisierte AI-Pipeline. Wir stellen ein; bei Interesse schreibt an hello@sentineldevices.com.
  • B2B SaaS sollte aufhören, SSO nur zu Enterprise-Preisen anzubieten, und stattdessen IdP- oder Oauth/OIDC/andere Flows voraussetzen. Dann besteht nicht das Risiko, Account-Zugangsdaten zu verlieren.
  • Ein verwandtes Konzept ist Datensparsamkeit.
  • In unserer Datenschutzrichtlinie aktualisieren wir Änderungen hier und passen das Inkrafttretensdatum an. (Da wir nicht die E-Mail-Adressen aller sammeln, können wir über Änderungen nicht per E-Mail informieren.) Änderungen an der Richtlinie gelten nicht rückwirkend.
  • Das passt sehr gut zu meiner Sichtweise. Dadurch bin ich bei Kollegen eher unbeliebt. Diese ganze Branche ist völlig vom Sammeln personenbezogener Daten durchtränkt und geht extrem nachlässig damit um. Selbst Solitaire-Apps wollen ständig, dass man sich für Leaderboards und Challenges anmeldet.
  • Mullvad ist ein großartiges Beispiel: Sie wollen nicht, dass man ein Passwort auswählt, und akzeptieren sogar Barzahlung per Post.
  • Bei Gesundheitsdaten ist das ein extrem sensibles Thema. Viel zu viele Apps schicken Daten in alle Richtungen, und dann gibt es noch den 23andMe-Skandal und Ähnliches. Nur wenige Apps wie Carrot Care verfolgen eine wirklich gute Philosophie.
  • Ich interessiere mich noch mehr dafür, im Blog des Autors zu stöbern. Sehr cool!