Das Anreizsystem für Dateneinliefernde

Ein zentraler Baustein des technischen Systems bei DROPS ist das Anreizsystem für Dateneinliefernde. Dieses dient dazu, Dateneinliefernden eine direkte Rückmeldung zu geben als Rückmeldung und Belohnung. Dabei wurde entschieden, nicht den Weg klassischer Anreizsysteme (z.B. Bug Bounties für Software oder Kickbacks für Produktempfehlungen) einzuschlagen, sondern einen eigenen Weg zu gehen. Insbesondere da einerseits keine Mittel vorhanden wären, um Dateneinliefernde zu bezahlen, solch eine Bezahlung schnell falsche Anreize setzen könnte, und es keinen Weg gibt geleakte Daten zu verifizieren. Dieser letzte Punkt ist auch der größte Unterschied zu Bug Bounties für Sicherheitslücken in Software. Bei entsprechender Beschreibung lassen sich diese relativ einfach verifizieren, indem geprüft wird, ob die beschriebene Lücke tatsächlich existiert und ausgenutzt werden kann. Für geleakte Daten ist aber maximal eine oberflächliche Plausibilitätsprüfung möglich. Jede weitergehende Prüfung würde nicht nur die Speicherung von Klardaten voraussetzen, sondern auch großen personellen Aufwand bedeuten, und nicht zuletzt die Möglichkeit von Folgeschäden erhöhen, da Klardaten nicht nur gespeichert werden müssten, sondern zur Prüfung auch Leute darauf zugreifen müssten.
Aus diesen Gründen haben wir uns im Projekt DROPS für ein Anreizmodell entschieden, das die Arbeit und das Risiko von Dateneinliefernden anerkennt, aber darauf setzt, dass diese, wenn sie mit dem Datentreuhandmodul zusammenarbeiten, aus lauteren Beweggründen handeln. Die Beweggründe können trotzdem ganz unterschiedlich sein, sei es, um Datenlecks aufzudecken, um Datensubjekte zu schützen oder generell für die gute Sache. Die Dateneinliefernden können im bisher geplanten und implementierten System dann nachverfolgen, dass ihre Datenlieferung verarbeitet wurde, ob Datensätze darin erkannt wurden, und ob diese für eine Warnmeldung benutzt wurden. Dabei wird jeweils nur eine positive oder negative Antwort gegeben, keine weiteren Details.