Diskrepanz zwischen Datenschutzbedenken und nachlässigem Umgang mit digitalen Dienstleistungen
Einleitung
Im Zuge der Digitalisierung vieler Lebensbereiche haben sich die Konsumgewohnheiten sowie die Vermarktung von Produkten grundlegend verändert. Diese Entwicklungen wurden besonders durch den Einsatz von personalisierten Such- und Entscheidungshilfen sowie personalisierten Produkten und Dienstleistungen (z. B. personalisierte Playlists auf Spotify) vorangetrieben. Mit einer effektiven Personalisierung geht allerdings auch einher, dass große Mengen persönlicher Daten von Verbraucher*innen durch Unternehmen und Institutionen erfasst und automatisch analysiert werden. Angesichts der automatisierten Verarbeitung dieser unüberschaubaren Datenmengen ist der verantwortungsvolle Umgang mit sensiblen Daten durch Unternehmen und öffentliche Institutionen eines der drängendsten Themen der Gegenwart. In diesem Sinne wurden in den vergangenen Jahren gesetzliche Verordnungen erlassen, die den Umgang von Organisationen mit persönlichen Daten regeln (z. B. Datenschutz-Grundverordnung der Europäischen Union, GDPR). Manche Unternehmen setzen sich freiwillig für den Schutz der Privatsphäre ihrer Mitarbeiter*innen und Kund*innen in einem Maß ein, das über die gesetzlichen Bestimmungen und Regulierungen hinausgeht. Damit einhergehend sehen viele Konsument*innen Politik und Wirtschaft in der Verantwortung – und weniger sich selbst. Dieses verbraucherseitige Abgeben von Verantwortung führt in vielen Situationen zu einem unachtsamen Umgang der Verbraucher*innen mit ihren Daten, was wiederum von einigen Unternehmen ausgenutzt wird. Dies wird an dem folgenden Beispiel deutlich: Internetauftritte von Firmen haben oftmals sehr ausführliche Allgemeine Geschäftsbedingungen (AGB), die selten von den Besucher*innen einer Webseite vollständig gelesen und verstanden werden, was oft zu einer „blinden“ Einwilligung verführt. Zwar gibt es Bestrebungen, die Länge und Komplexität der angezeigten AGB zum Schutze der Verbraucher*innen zu reduzieren, allerdings existieren bisher keine bindenden gesetzlichen Regelungen hierfür. Ebenso gibt es Diskussionen darüber, wie stark die Default-Einstellungen bei Cookies auf den Schutz der Privatsphäre ausgerichtet sein sollten. Konsument*innen haben wiederum selten die notwendigen Kapazitäten (z. B. Zeit, Wissen, technische Kapazitäten), um das „geeignete“ Verhalten in datenschutzrelevanten Situationen zu bestimmen. Erschwerend kommt hinzu, dass die individuellen Grenzkosten für zusätzlichen Datenschutz für Konsument*innen rapide ansteigen, u. a. durch sog. Lock-in Effekte. So liegt der Nutzen von sozialen Netzwerken gerade im hohen Engagement einer wachsenden Anzahl an Nutzer*innen, die wiederum den Einfluss dieser Netzwerke stärkt und eine Nichtnutzung der Netzwerke für einzelne Nutzer*innen erschwert. Diese sog. „Privacy Externality“ kann zudem dazu führen, dass das gesellschaftliche Bedürfnis nach mehr Datenschutz verschwindet und Konsument*innen, die ein verstärktes Interesse an der Sicherung ihrer Daten haben, immer mehr Zeit und Geld dafür aufbringen müssen.
Aufgrund dieser Entwicklungen sollten sich Konsument*innen ihr Recht auf informelle Selbstbestimmung und ihre Verantwortung für die Verwendung ihrer Daten bewusstmachen. Tatsächlich existieren in Deutschland einige Initiativen, die Konsument*innen in solchen Vorhaben unterstützen, u. a. indem sie zahlreiche Informationsangebote bereitstellen. Zudem geben Konsument*innen oft an, dass sie insgesamt auf ihre Privatsphäre achten und möglichst oft kontrollieren, welche persönlichen Daten sie preisgeben. Allerdings legen Beobachtungen aus Forschung und Praxis nahe, dass das Wissen über datenschutzrelevante Themen (z. B. Instrumente zum Schutz persönlicher Daten, Wissen über die Konsequenzen bei Missbrauch) und eine allgemein positive Einstellung zum Datenschutz in vielen konkreten Situationen dennoch wirkungslos sind und von den Konsument*innen nicht in konkretes Verhalten umgesetzt werden. So gehen selbst jene Konsument*innen in manchen Situationen nachlässig mit dem Schutz ihrer persönlichen Daten um, die im Allgemeinen besorgt um ihre Datensicherheit sind.
Vor diesem Hintergrund führt der vorliegende Beitrag zunächst in das Privatsphäre-Paradoxon ein und zeigt anschließend den Stand des Schrifttums auf, wobei insbesondere auf situative und kognitive Verzerrungen fokussiert wird, welche zur Erklärung der Diskrepanz zwischen den persönlichen Datenschutzbedenken und dem tatsächlichen, oft sorglosen Verhalten bei digitalen Dienstleistungen beitragen können. Abschließend wird mit dem Konzept der drei Privatsphären-Gaps ein Rahmen für die zukünftige Forschung entwickelt.
Das „Privatsphäre-Paradoxon“
Zahlreiche Studien zum Datenschutzverhalten drehen sich um die oben beschriebene Beobachtung, dass sich Konsument*innen oftmals besorgt um ihre Datensicherheit zeigen, diese Sorge sich allerdings in vielen Situationen nicht in konkretem Handeln ausdrückt. Diese Beobachtung ist in der Literatur auch als sog. Privatsphäre-Paradoxon (engl. „Privacy Paradox“) bekannt und beschreibt die Diskrepanz zwischen allgemeinen (positiven) Einstellungen von Konsument*innen zum Datenschutz und ihrem tatsächlichen (nachlässigen) Verhalten. Diese Einstellungs-Verhaltens-Diskrepanz lässt sich einerseits durch ein rationales Kosten-Nutzen-Kalkül erklären, in dem Konsument*innen den Nutzen bestimmter Produkte und Dienstleistungen (z. B. durch Personalisierung) mit der Preisgabe ihrer Daten gegenrechnen. Eine rationale Erklärung hierfür liefert die Theorie der rationalen Entscheidung, nach der Konsument*innen ihre Entscheidungen in komplexen, unsicheren und risikobehafteten Situationen auf ein rationales Kosten-Nutzen-Kalkül stützen, also in unserem Fall den Nutzen eines Produkts, der mit der Personalisierung einhergeht, gegen die damit verbundenen Kosten bei der Preisgabe persönlicher Daten abwägen. Andererseits können situative Einflüsse oder kognitive Verzerrungen individuelle Datenschutzbedenken in bestimmten Situationen verringern. Zu diesen psychologischen Verzerrungen zählen bspw. Gewöhnungseffekte, der Einfluss der sozialen Umwelt oder die Illusion der vollständigen Kontrolle über die Preisgabe der eigenen Daten.
Aus angrenzenden Forschungsgebieten ist die Lücke zwischen selbst berichteten allgemeinen Einstellungen und dem Verhalten in konkreten Situationen bekannt. Allerdings vermittelt der Terminus „Paradoxon“ für diese Einstellungs-Verhaltens-Lücke einen missverständlichen Eindruck, da hinsichtlich digitaler Dienstleistungen durchaus der Fall eintreten kann, dass aus Sicht der Konsument*innen der aus der Datenabgabe gewonnene Nutzen die damit verbundenen Kosten übersteigt und ein scheinbar nachlässiges Verhalten nicht paradox, sondern rational ist. Selbst strikte Einstellungen zum Datenschutz stehen nicht im Widerspruch zu einem freizügigen Umgang mit Daten in bestimmten Situationen, wenn andere Bedürfnisse ungleich wichtiger sind (z. B. in medizinischen Notfällen). Daher wird besonders in jüngster Zeit zunehmend in Frage gestellt, ob das Paradoxon in dieser Form auf der individuellen Ebene überhaupt existiert. Angesichts möglicher langfristiger negativer Effekte und der immensen Bedeutung für Gesellschaft und Wirtschaft, sollte die Debatte über das Privatsphäre-Paradoxon nichtsdestotrotz fortgesetzt werden. Zudem lassen sich zahlreiche paradoxe Verhaltensweisen nicht einfach auf rationale Kosten-Nutzen-Abwägungen zurückführen, weil es vorkommt, dass Konsument*innen unverhältnismäßig viele persönliche Daten preisgeben, ohne eine nennenswerte Gegenleistung oder einen subjektiven Nutzen zu erwarten. Mehrere psychologische Modelle helfen, dieses paradoxe Verhalten zu erklären. Die zentralen Faktoren sollen im Folgenden anhand der vorliegenden Literatur diskutiert werden.
Überblick über die Literatur
Zahlreiche Studien aus den Gebieten Psychologie, Verhaltensökonomie sowie Konsumentenverhaltensforschung beschäftigten sich in den vergangenen Jahren mit den psychologischen Einflussfaktoren auf datenschutzrelevantes Verhalten von Konsument*innen. Diese Faktoren erweitern das rationale Kosten-Nutzen Kalkül um situative und kontextuale Einflüsse bis hin zu emotionalen und irrationalen Entscheidungen
Im weiteren Verlauf gehen wir zunächst auf Studien zu den verhaltensrelevanten Konsequenzen ein. Bisherige Studien befassten sich im Wesentlichen mit zwei Verhaltenskonsequenzen. Zum einen wurde untersucht, inwiefern datenschutzrelevante Faktoren die Konsumbereitschaft für ein bestimmtes Produkt beeinflussen. Zum anderen wurde erforscht, in welchem Ausmaß (wie viel, an wen, etc.) Konsument*innen ihre persönlichen Daten preisgeben. Mit Blick auf die Einflussfaktoren betrachten wir den persönlichen Nutzen, der durch die Nutzung digitaler Dienstleistungen entstehen würde, sowie die Datenschutzbedenken und die angestrebte Privatsphäre der Nutzer*innen. Diese fließen in das Kosten-Nutzen-Kalkül der Konsument*innen ein. Das Kernstück des Literaturüberblicks betrifft Erkenntnisse zu situativen und kognitiven Verzerrungen bei der Abwägung des Nutzens und der Datenschutzbedenken.
Verhaltenskonsequenzen
Sicherung der Privatsphäre. Zunächst unterscheiden sich Konsument*innen hinsichtlich ihrer Bereitschaft, persönliche Daten in bestimmten Situationen preiszugeben. Die Menge der bereitgestellten persönlichen Daten kann wiederum die Nutzungsqualität digitaler Produkte und Dienstleistungen beträchtlich beeinflussen, z. B. in sozialen Netzwerken. Ein typisches Anwendungsbeispiel ist auch die Nutzung von Smart Home Objekten, deren sinnvoller Einsatz nur durch die Verarbeitung persönlicher Daten möglich ist (z. B. passives Mithören intelligenter Lautsprecher eines sprachgesteuerten, internetbasierten Assistenten).
Nutzung digitaler Produkte oder Dienstleistungen. Mit Blick auf die Nutzung digitaler Dienstleistungen wird in der Literatur oftmals die gesamte Customer Journey, d. h. auch Prozesse der Informationsbeschaffung, des Kaufs von Produkten und Dienstleistungen, sowie deren Weiterempfehlung betrachtet. So eruierten Untersuchungen zur Akzeptanz personalisierter Angebote u. a. das dem Kauf vorgelagerte Interesse an weiteren Informationen oder den möglichen Erwerb des Produktes. Häufig untersuchte Verhaltenskonsequenzen in diesem Kontext sind Click Through Rates, der Kauf des Produktes sowie die Weiterempfehlungsbereitschaft der Konsument*innen bzw. deren Bereitschaft, ihre negative Meinung über das Produktmit anderen zu teilen (word-of-mouth). Miyazaki (2008) zeigt beispielsweise, dass der verdeckte Einsatz von Technologien zur Sammlung von Daten (z. B. Cookies) zu negativer Mundpropaganda führen kann.
Kosten-Nutzen-Kalkül
Persönlicher Nutzen durch Nutzung digitaler Produkte oder Dienstleistungen. Konsument*innen wägen in datensensiblen Situationen oft den Nutzen ab, den sie mit der Preisgabe ihrer persönlichen Daten „bezahlen“. Studien bestätigen dementsprechend, dass Menschen anders mit dem Schutz ihrer persönlichen Daten umgehen, wenn sie ein bestimmtes Produkt als nützlich erachten. White et al. (2008) zeigen bspw., dass ein hoher Nutzen eines Produktes zu geringeren Sorgen bei der damit verbundenen Offenlegung der Privatsphäre führt. Dieser Nutzen kann einerseits monetär sein: Gabisch and Milne (2014) zeigen, dass Nutzer*innen eher zur Offenlegung ihrer Daten bereit sind, wenn damit finanzielle Anreize verbunden sind. Andererseits kann der Nutzen auch andere persönliche Interessen betreffen, bspw. gesundheitliche Interessen bei der Nutzung der Corona Warn-App. Darüber hinaus kann eine erhöhte Personalisierung und das individualisierte Maßschneidern von Produkten und Dienstleistungen als sehr nützlich erachtet werden. Gabisch und Milne (2014) untersuchen bspw., ob bei Konsument*innen das Gefühl entsteht, dass sie durch die Personalisierung von Dienstleistungen und Online-Produkten genügend Nutzen erfahren, der die Offenlegung ihrer persönlichen Daten rechtfertigt. Ein hohes Maß an Personalisierung kann aber auch Misstrauen gegenüber dem Unternehmen und Reaktanz auslösen, was die Nutzung der Produkte des Unternehmens wiederum verringert. Auch hier ist dementsprechend ein paradoxer Effekt sichtbar, da Personalisierung einerseits den Nutzen erhöht, andererseits aber auch Reaktanz und Misstrauen auslösen kann.
Datenschutzbedenken. Die allgemeinen und situativen Bedenken gegen den Umgang mit ihren personenbezogenen Daten beeinflussen das Verhalten von Konsument*innen in datenschutzrelevanten Situationen maßgeblich. Die allgemeinen Datenschutzbedenken beziehen sich auf Überzeugungen, Einstellungen und Wahrnehmungen der Konsument*innen zu ihrer Privatsphäre. In der Forschung werden diese oftmals mit der sog. „consumer privacy concern scale“ erfasst. In der bisherigen Literatur wurden Datenschutzbedenken sowohl als Prädiktoren, aber auch als Moderatoren und datenschutzrelevante Konsequenzen untersucht.
Situative und kognitive Verzerrungen
Situative und kognitive Verzerrungen beschreiben Einflussfaktoren, die die konkreten datenschutzrelevanten Handlungen von Konsument*innen über rationale Kosten-Nutzen-Abwägungen hinaus beeinflussen und zu Abweichungen von ihren eigentlichen (allgemeinen) Einstellungen, Überzeugungen und Intentionen führen. Dies können die Anwendungsumgebung sein. Die bisherigen Studien betrachteten unter anderem Informationsasymmetrien, Vertrauen und Transparenz, Kontrollillusionen, die soziale Umwelt, Habituation sowie die wahrgenommene Vulnerabilität.
Informationsasymmetrien. Konsument*innen wissen häufig nicht, zu welchen Gelegenheiten, auf welche Arten und in welchem Umfang Unternehmen ihre Daten sammeln und verarbeiten und welche weiteren Dienste und Unternehmen ebenfalls Zugriff auf diese Daten haben. Der Hauptgrund hierfür liegt darin, dass den Konsument*innen zumeist die notwendigen (kognitiven, zeitlichen) Kapazitäten im Alltag fehlen oder sie nicht das notwendige technische oder juristische Hintergrundwissen besitzen, um bspw. komplexe Datenschutzbestimmungen zu verstehen. Diese sogenannten Informationsasymmetrien und die daraus entstehenden Folgen (z. B. Misstrauen gegenüber Unternehmen, geringe Kaufbereitschaft) lassen sich nur sehr schwer wieder abbauen. So kann die bloße Benachrichtigung über die Datenschutzrichtlinien des Unternehmens nicht zwangsläufig verhindern, dass Konsument*innen Informationsasymmetrien wahrnehmen und den Datenschutz kritisch sehen. Darüber hinaus spielt es eine Rolle, wie datenschutzrelevante Informationen durch Unternehmen an die Konsument*innen vermittelt werden. Vail et al. (2008) zeigen bspw., dass „traditionelle“ und ausführliche Datenschutzrichtlinien von Konsument*innen eher als vertrauenswürdig angenommen werden, obwohl solche Richtlinien aufgrund ihrer Länge und Komplexität keine Informationsasymmetrien abbauen. Somit kann eine Maßnahme, die eher nachteilig für die Verringerung der Informationsasymmetrien ist, paradoxerweise das Vertrauen der Konsument*innen in das Unternehmen erhöhen.
Vertrauen und Transparenz. Das Vertrauen in Organisationen kann maßgeblich beeinflussen, inwieweit Konsument*innen ihre persönlichen Daten mit diesen teilen. Hierbei wurde in der Literatur besonders eine glaubwürdige und transparente Datenschutzpolitik als vertrauensbildender Erfolgsfaktor untersucht. So kann eine glaubwürdige Datenschutzpolitik des Unternehmens das Vertrauen von Konsument*innen stärken, z. B. durch unabhängige Datenschutzsiegel und freiwillige Angaben zum Datenschutz. Mit einem hohen Vertrauen geht allerdings auch eine erhöhte Erwartungshaltung der Konsument*innen an die Datensicherheit der Unternehmen einher, deren Nichterfüllung sich negativ auf das Verhältnis zwischen Konsument*innen und Unternehmen auswirken können. So kann ein nachlässiger Umgang mit den Kundendaten zu einem Glaubwürdigkeitsverlust von Unternehmen führen und bedeutende negative finanzielle und juristische Konsequenzen nach sich ziehen. Andererseits kann ein transparenter Umgang des Unternehmens mit den verwendeten Daten das Vertrauen der Konsument*innen stärken.
Kontrollillusion. Die wahrgenommene Kontrolle der Konsument*innen über die eigenen Daten gilt als bedeutende Einflussgröße auf deren Verhalten in datensensiblen Situationen. Einerseits kann das Gefühl von Kontrolle bei Konsument*innen Reaktanz und Datenschutzbedenken gegenüber dem Unternehmen abbauen und damit das Verhältnis von Konsument*innen zu den Unternehmen verbessern. Allerdings kann die wahrgenommene Kontrolle auch einen paradoxen Effekt auslösen, der in der Literatur als sog. Kontrollparadoxon eingeführt wurde: Die wahrgenommene Kontrolle über die eigenen Daten führt dazu, dass diese durch Konsument*innen leichtfertiger offengelegt werden. Im Hinblick auf die Kontrolle über die eigenen Daten, kann auch eine gegenteilige Wahrnehmung entstehen, nämlich das Gefühl der Resignation. Konsument*innen fühlen sich in dem Fall hilflos und machtlos und sind überzeugt, dass sie ihre Daten ohnehin nicht schützen können oder dass sie als aktive Bürger*innen in einer modernen Welt nicht ohne digitale Teilhabe bestehen können. Ironischerweise können sowohl die Wahrnehmung von Kontrolle als auch Resignation dieselbe Konsequenz haben: Konsument*innen gehen nachlässig mit ihren persönlichen Daten um. Des Weiteren ist in diesem Zusammenhang das „Nichts-zu-verbergen-Argument“ zu beobachten, das besagt, dass staatliche Maßnahmen zur Überwachung illegaler Aktivitäten dienen und daher keine Personen beeinträchtigt werden, die sich regelkonform verhalten. Hier kann das Gefühl vermeintlicher Kontrolle schlicht durch die Einhaltung von Gesetzen entstehen, obwohl Maßnahmen zur Überwachung in vielen Fällen unabhängig von Verdachtsfällen geschehen.
Soziale Umwelt. Die soziale Umwelt spielt in zweierlei Hinsicht eine bedeutende Rolle für den Umgang von Konsument*innen mit ihren persönlichen Daten. Einerseits dient die soziale Umwelt oftmals als Referenz für das „richtige“ Verhalten in bestimmten Situationen und unterstützt Konsument*innen dabei, die ihre Einstellungen zu einem bestimmten Thema zu ermitteln. Tatsächlich konnten Studien bestätigen, dass Konsument*innen bei der Nutzung einer bestimmten Technologie eher ihre persönlichen Daten preisgeben, wenn sie dieses Verhalten bereits bei anderen beobachtet haben. Darüber hinaus können Konsument*innen in ihren datenschutzrelevanten Entscheidungen durch soziale Normen, Herdenverhalten sowie dem Vertrauen in andere Nutzer*innen von Plattformen und Reziprozitätsgedanken beeinflusst werden. Schließlich kann auch das Bedürfnis nach dem Teilen persönlicher Informationen mit anderen Menschen maßgeblich beeinflussen, wie stark Konsument*innen auf Datenschutzaspekte achten.
Habituation. Der Umgang von Konsument*innen mit ihren persönlichen Daten hängt nicht zuletzt davon ab, wie sehr sie sich an bestimmte Gegebenheiten und Situationen gewöhnen. So können datenschutzrelevante Probleme zwar in einer bestimmten Situation oder für einen bestimmten Zeitraum im Fokus der Aufmerksamkeit stehen (z. B. wenn ein Datenschutzskandal in den Medien aufbereitet wird), allerdings treten im Zeitverlauf andere Themen in den Vordergrund, während die datenschutzrelevanten Probleme ungelöst bleiben oder sich sogar unbemerkt weiterhin nachteilig für die Konsument*innen entwickeln (z. B. durch Agenda Setting). Dies führt u. a. dazu, dass sich Konsument*innen selbst an Umstände gewöhnen, die ihnen eigentlich schaden könnten. Darüber hinaus kann auch die genutzte technologische Plattform zu Gewöhnungseffekten führen und den Umgang mit den persönlichen Daten beeinflussen. So zeigen Melumad und Meyer (2020), dass Konsument*innen eher Persönliches auf sozialen Netzwerken teilen, wenn sie ein Smartphone statt eines PCs nutzen.
Wahrgenommene Vulnerabilität. Das Konzept der wahrgenommenen Vulnerabilität bzw. Verwundbarkeit beschreibt das von Konsument*innen wahrgenommene potenzielle Risiko, das mit der Offenlegung persönlicher Daten einhergeht. Die wahrgenommene Verwundbarkeit entspringt der individuellen Befürchtung, dass andere (z. B. Unternehmen, Staaten, Betrüger) die Absicht hegen könnten, die persönlichen Daten von Konsument*innen zu deren Nachteil zu nutzen. Die jüngste Literatur, die sich der wahrgenommenen Verwundbarkeit intensiv gewidmet hat, konnte nachweisen, dass diese einen beträchtlichen Einfluss darauf hat, wie Konsument*innen ihre eigene Privatsphäre erleben und beurteilen. Schließlich beeinflusst die wahrgenommene Verwundbarkeit subjektive Datenschutzbedenken.
Handlungsempfehlungen für Nutzer*innen und Gesetzgeber
Aus dem vorliegenden Beitrag wird klar, dass wichtige Dimensionen der digitalen Datenschutzkompetenz das Verständnis der Nutzer*innen für die tatsächliche Kontrolle über deren persönliche Daten, soziale Einflüsse, Habituationen und Vulnerabilität und Informationen sind. Auf Seiten des Gesetzgebers könnte man übergeordnet davon sprechen, dass neben rechtlichen Rahmenbedingungen und Standards sowie Kontrolle der Anbieter auch Maßnahmen zur Steigerung der digitalen Datenschutzkompetenz wichtig sind (Informations- und Bildungsangebote). Basierend auf diesen Überlegungen gestalten sich zahlreiche Möglichkeiten, um einen sicheren und verantwortungsvollen Umgang der Nutzer*innen mit den eigenen Daten zu fördern. Gesetzgeber, Verbraucherschutzorganisationen und öffentliche Institutionen können bspw. Unternehmen gesetzlich verpflichten oder dazu motivieren, ihre Kund*innen zu einem verantwortungsvollen Umgang mit persönlichen Daten zu unterstützen.
Die Untersuchung der drei Privatsphäre-Gaps als Forschungsagenda
Der Literaturüberblick verdeutlicht, dass bereits zahlreiche Studien datenschutzrelevante Aspekte im Konsumentenverhalten untersuchten. Es wurde deutlich, dass die konsumentenpsychologische Forschung nützliche konzeptionelle Vorarbeit geleistet hat, die in zukünftigen empirischen Studien vertieft werden sollte. Bislang existiert allerdings noch kein Modell, das zeigt, wie verschiedene datenschutzrelevante Konsumentenreaktionen zueinander stehen und wie sich die aufgeführten Prozesse gegenseitig beeinflussen und die Reaktionen auslösen. Darüber hinaus wurden die verschiedenen Arten von Konsumentenreaktionen in datenschutzrelevanten Situationen nicht systematisch untersucht, obwohl diese Reaktionen paradoxerweise gegenläufige Effekte annehmen können: So kann beispielsweise das Gefühl von Kontrolle über die eigenen Daten einen positiven Effekt auf das Vertrauen gegenüber Unternehmen ausüben und sich in einer positiven Kaufabsicht und der bereitwilligen Preisgabe sensibler Daten widerspiegeln. Allerdings kann dieses Vertrauen auch zu einer Nachlässigkeit im Umgang mit den eigenen Daten führen. So kann ironischerweise das Gefühl von Kontrolle zu einem Kontrollverlust über die Daten führen.
Für eine spezifischere Untersuchung datenschutzrelevanter Aspekte im Konsumverhalten erscheint eine Abgrenzung der erstrebenswerten, erstrebten und erreichbaren Privatsphäre besonders fruchtbar. Die subjektiv erstrebenswerte Privatsphäre kennzeichnet das Maß an Privatsphäre, das aus individuellen, politischen oder sozialen Norm- und Zielvorstellungen resultiert. Besonders die individuellen Normvorstellungen sind hierbei aus unserer Perspektive wichtig, da sich diese einerseits aus tiefergehenden Einstellungen speisen, andererseits auch aus dem Verhalten in anderen datenschutzrelevanten Bereichen. Unter der erstrebten Privatsphäre verstehen wir den Grad an Privatsphäre, den Konsument*innen allgemein oder in bestimmten Situationen anstreben. Er kann von verschiedenen Faktoren beeinflusst werden, die schon empirisch untersucht wurden und in diesem Artikel diskutiert wurden. Schließlich beschreibt die subjektiv erreichbare Privatsphäre das individuell wahrgenommene Maß an Privatsphäre, das allgemein oder in einer bestimmten Situation erreicht werden kann. Es ist stark abhängig vom Informationsstand der Konsument*innen.
Auf Basis der berichteten Literatur und diesen drei zu unterscheidenden Formen der Privatsphäre ergibt sich folgende übergeordnete Fragestellung, die in zukünftiger Forschung untersucht werden sollte: Welche situativen und kognitiven Verzerrungen erklären die Abweichungen zwischen erstrebenswerter, erstrebter und erreichbarer Privatsphäre von Konsument*innen sowie ihr datenschutzrelevantes Verhalten in konkreten Situationen? Für staatliche Institutionen ergibt sich die praktische Fragestellung, durch welche individuellen verhaltenswissenschaftlichen Interventionen und Bildungsmaßnahmen diese Lücken geschlossen werden können. Konkret ergibt sich Forschungsbedarf zu den folgenden drei Gaps der Privatsphäre bei digitalen Dienstleistungen.
Gap 1: Diskrepanz zwischen erstrebenswerter und erstrebter Privatsphäre
Zunächst sollte untersucht werden, wieso Konsument*innen für verschiedene Anwendungen sowie in verschiedenen Kontexten und Situationen unterschiedliche Maßstäbe an den Datenschutz anlegen. Ein geeignetes Beispiel ist der Unterschied im Umgang mit Datenschutzbedenken einiger Konsument*innen zwischen der Corona Warn-App und sozialen Netzwerken. So lehnten im Zuge der Einführung der Corona Warn-App in Deutschland zahlreiche Konsument*innen eine Nutzung aus Gründen des Datenschutzes ab, teilten diese Meinung aber auf sozialen Netzwerken (z. B. Facebook, WhatsApp). Paradox an dieser Situation ist, dass Konsument*innen das erstrebte Maß an Privatsphäre für unterschiedliche Anwendungen inkonsistent beurteilten: für die sinnvolle Teilhabe an sozialen Netzwerken wird die Offenlegung zahlreicher privater Daten in Kauf genommen, während die Anforderungen an die Warn-App sehr hoch waren. Es kommt hinzu, dass der gesellschaftliche Nutzen der Corona Warn-App von zahlreichen Expert*innen und in den Medien als sehr hoch beurteilt wurde. Eine potenzielle Erklärung ergibt sich aus dem Ethical Intuitionism Model, wonach ein moralisches Urteil der rationalen Begründung vorgelagert ist. Eine höhere Bewertung des Datenschutzes kann also auch die nachgelagerte Rationalisierung dafür sein, wieso man das dafür genutzte Produkt ablehnt. Ferner ist auf normativer Ebene zu klären, welches Maß an Privatsphäre überhaupt „gut“ ist. Die Forschung zum Datenschutz konnte bisher bestätigen, dass ein hohes Maß an Privatsphäre mit einer Erhöhung der gesellschaftlichen Wohlfahrt verbunden ist. Jedoch fehlen bislang Studien, die diese Lücke empirisch schließen.
Gap 2: Diskrepanz zwischen erstrebter und erreichbarer Privatsphäre
Die erstrebte Privatsphäre kann auch von der erreichbaren Privatsphäre abweichen. Diese Lücke wurde in der bisherigen Forschung besonders aus der Perspektive des Privatsphäre-Paradoxon untersucht, da Konsument*innen nicht in allen Situationen das höchstmögliche Maß an Privatsphäre suchen, sondern sich mit einem Maß an Privatsphäre zufriedengeben, das ihnen das gewünschte Maß an gesellschaftlicher Teilhabe ermöglicht (sog. Privatsphäre-Externalität) und auch der Verfolgung anderer persönlicher Interessen nicht im Wege steht (sog. Privacy-Personalization-Paradox). Auch hier ist weitere Forschung notwendig, die sich mit der spezifischen Entschlüsselung der Verzerrungen befasst.
Gap 3: Diskrepanz zwischen erstrebenswerter und erreichbarer Privatsphäre
In einigen Situationen können auch die erreichbare und die erstrebenswerte Privatsphäre divergieren. Sollte die erreichbare Privatsphäre deutlich hinter der erstrebenswerten Privatsphäre zurückfallen, entstehen mentale Konflikte. Gewährleistet beispielsweise ein Unternehmen wenig Datenschutz für ein bestimmtes Produkt (niedrige erreichbare Privatsphäre) in einem Bereich, bei dem Privatsphäre als sehr erstrebenswert gilt (hohe erstrebenswerte Privatsphäre, z. B. Gesundheit), entstehen bei Konsument*innen derartige Dissonanzen. Äußere Faktoren beeinflussen die Strategien, mit deren Hilfe Konsument*innen diese kognitiven Dissonanzen reduzieren können. Konsument*innen könnten bspw. das erstrebenswerte Maß an Privatsphäre (oder die Bedeutung von Privatsphäre insgesamt) für sich verringern, wenn sie das angebotene Produkt unbedingt möchten. Sie können allerdings auch das Produkt durch ein Substitut ersetzen oder zu einem anderen Anbieter wechseln, das bzw. der ihnen ein höheres Maß an erreichbarer Privatsphäre bietet. Außerdem können sie in bestimmten Fällen auch die erreichbare Privatsphäre im selben Unternehmen erhöhen, z. B. kurzfristig durch Extra-Zahlungen.
Fazit
Der vorliegende Artikel diskutiert verschiedene situative und kognitive Verzerrungen, die zur Erklärung der Diskrepanz zwischen den persönlichen Datenschutzbedenken und dem tatsächlichen, oft sorglosen Verhalten bei digitalen Dienstleistungen beitragen. Es wird allerdings deutlich, dass bisher kein übergeordnetes Modell existiert, das die Wechselwirkungen zwischen diesen Verzerrungen sowie den datenschutzrelevanten Konsequenzen untersucht und dabei eine in unseren Augen wichtige Differenzierung zwischen erstrebenswerter, erstrebter und erreichbarer Privatsphäre einbezieht. Dieser Beitrag soll daher zukünftige Forschung auf diesem Gebiet stimulieren.
Zur einfacheren Lesbarkeit wurden die meisten Quellenverweise entfernt. Die Illustrationen wurden aus Platzgründen entfernt.
Wassili Lasarov, Stefan Hoffmann; HMD Praxis der Wirtschaftsinformatik; 2021
https://link.springer.com/article/10.1365/s40702-021-00706-2