Das Privacy Paradox und kognitive Verzerrungen Die Rolle von Heuristiken beim Datenschutz

Den ungelesenen AGBs ohne mit der Wimper zu zucken zustimmen, Instagram & Co. mal schnell Zugriff auf das gesamte Adressbuch geben – solche Aktionen im Netz scheinen den Eindruck zu erwecken, dass sich die meisten Menschen kaum mit dem Thema Datenschutz auseinandersetzen. Gleichzeit besagt die Oliver-Wyman-Studie «Switzerland Digital DNA» aus dem Jahr 2021, dass 61 Prozent der Teilnehmenden nur ungerne Daten an Dritte weitergeben. Wie passt das zusammen?

Das Privacy Paradox

Die Nutzung technischer Geräte und digitaler Plattformen in Verbindung mit persönlichen Informationen und dazu passender personalisierter Werbung ist heute kaum mehr aus der Gesellschaft wegzudenken. Gewisse Produkte sind mittlerweile für den Alltag beinahe unverzichtbar geworden: In den sozialen Netzwerken werden Veranstaltungen promotet, über digitale Plattformen der Kantone werden die Steuererklärungen ausgefüllt und wer einen Swiss Pass hat, findet alle seine Daten – und manchmal auch die von anderen Personen - auch virtuell. Viele Bereiche der digitalen Nutzung sind nicht immer rein freiwillig, sondern werden für viele Aspekte des Lebens – Wohnungs- und Jobsuche, soziale Interaktionen – auch vorausgesetzt, beispielsweise der Besitz einer Mailadresse. Von einem Zwang zur Digitalisierung lässt sich trotzdem kaum sprechen: Laut aktuellem Forschungsstand werden mobile Technologien unter anderem primär wegen ihres hohen Bekanntheitsgrades, der Handhabbarkeit und des meist eher tiefen Preises genutzt. Dabei wird das potenzielle Risiko geringen Datenschutzes weitgehend ignoriert (Barth & de jong, 2017). Die Hemmschwelle zur Weitergabe persönlicher Daten fällt teilweise eher tief aus: Laut einer Studie mit MIT-Studierenden wären 98 Prozent der Befragten dazu bereit, die E-Mail-Adressen ihrer Freunde gegen eine Gratispizza zu tauschen (Athey, Catalina & Tucker, 2017). Zur selben Zeit aber sorgen sich die Nutzerinnen und Nutzer über ihre Daten und vor einem möglichen Missbrauch persönlicher Informationen. (Smith, Dinev & Xu, 2011). Diese Widersprüchlichkeiten werden als «Privacy Paradox» bezeichnet. Das «Privacy Paradox» beschreibt, wie Menschen sich in Bezug auf ihre Privatsphäre widersprüchlich verhalten (Norberg et al., 2007).

Mangelnde Transparenz und seitenlange AGBs

Wie entsteht dieses Paradox? Dazu gibt es unterschiedliche Erklärungsansätze. Kamleitner & Mitchell (2018) schreiben, dass aufgrund der Tatsache, dass Datensätze keine physischen Gegenstände sind, es für uns schwierig ist, sie überhaupt als Gegenstand wahrzunehmen und dadurch als Besitz zu kategorisieren. Zudem ist es schwierig, ihnen einen tatsächlichen Wert zuzuschreiben, vor allem in monetärer Hinsicht. Ebenso ist nicht immer völlig transparent, welches Verhalten im Netz welche Datenspuren hinterlässt und wie sie von Externen verwendet werden können. Die Datenschutzbestimmungen bringen da wenig Transparenz. Oftmals sind die Lektüren ebendieser zeitaufwändig und kompliziert. Cranor schätzte 2012, dass die Lektüre der Datenschutzbestimmungen aller besuchten Webseiten den Nutzer oder die Nutzerin im Jahr 244 Stunden an Aufwand kostet. Laut einer Beobachter-Recherche aus dem Jahr 2015 dauert das Lesen der AGBs der Airline Swiss 45 Minuten, bei der KLM Royal Dutch Airlines sogar eine Stunde – lange genug, um während dieser Zeitspanne wieder aus dem Buchungsprozess geworfen zu werden.

Kognitive Verzerrungen beim Datenschutz

Allerdings spielen auch kognitive Verzerrungen und Heuristiken eine wichtige Rolle beim Privacy Paradox. Menschen treffen Entscheidungen nicht völlig rational, sondern immer unter Berücksichtigung ihrer limitierten Kenntnisse und der Tatsache, in einer gewissen Zeit nur eine beschränkte Menge an Informationen verarbeiten zu können (Simon, 1990). Das trifft auch auf Entscheidungen beim Datenschutz und der Weitergabe persönlicher Informationen zu. Waldman (2019) beschrieb verschiedene Heuristiken und Verzerrungen, die dabei eine Rolle spielen können. Beim Ankereffekt wird eine Entscheidung durch eine zuvorkommende Information beeinflusst. Das bedeutet, dass die eigene Privatsphäre im Netz auch nach dem Verhalten anderer Personen beurteilt wird. Wenn ich also sehe, wie meine Freundinnen private Inhalte auf Social Media teilen, werde ich dazu tendieren, dies auch zu machen. Zudem spielt es eine Rolle, wie gewisse Aussagen formuliert, also geframt werden. Bei Cookie-Einstellungen wird oft von einer optimierten Funktionalität bei der Annahme gesprochen, während negative Aspekte in den Hintergrund gerückt werden.

Zudem tendieren Menschen dazu, den kurzfristigen Nutzen einer Entscheidung zu überbewerten und die längerfristigen Konsequenzen zu unterschätzen. Das wird auch als Hyperbolic Discounting bezeichnet. Die Bereitstellung persönlicher Daten und Inhalte gegen eine Belohnung (Vergünstigungen oder Anerkennung durch Likes) wird als kurzfristiger Nutzen höher gewichtet als die eigene Privatsphäre (Waldman, 2020).

Schluss

Es gibt verschiedene Ursachen, die zu einer Vernachlässigung der eigenen Privatsphäre und dem Schutz der persönlichen Daten führen können. Diese können sowohl durch äussere Gegebenheiten wie viel zu lange AGBs oder kognitiven Verzerrungen verursacht werden. Privatpersonen können unter Berücksichtigung dieser Heuristiken ihr eigenes Verhalten datenschutzsensibler gestalten, aber schlussendlich braucht es auch stärkere Regulierungen, die auf das menschliche Verhalten Rücksicht nehmen.

Quellen und weiterführende Informationen:

Athey, S., Catalini, C. & Tucker, C. (2017). The Digital Privacy Paradox: Small Money, Small Costs, Small Talk. NBER Working Paper Series, Working Paper 23488. https://www.nber.org/papers/w23488

Barth, S. & De jong, M.D.T. (2017). The privacy paradox – Investigating discrepancies between expressed privacy concerns and actual online behavior – A systematic literature review. Telematics and Informatics, 34(7), 1038-1058.

Cranor, L.F. (2012) Necessary but not sufficient: standardized methods for privacy notice a choice. J Telecommun High Technol Law, 10, 273-307.

Mitchell, V. & Kamleitner, B. (2018). We don’t own data like we own a car – which is why we find data harder to protect. The Conversation. https://theconversation.com/we-dont-own-data-like-we-own-a-car-which-is-why-we-find-data-harder-to-protect-98469

Norberg, P. A., Horne, D. R., & Horne, D. A. (2007). The privacy paradox: Personal information disclosure intentions versus behaviors. Journal of Consumer Affairs, 41(1), 100-126.

Simon H.A. (1990). Bounded Rationality. In J. Eatwell, M. Milgate, P. Newman (Hrsg.), Utility and Probability (S. 15-18). The New Palgrave. London: Palgrave Macmillan.

Smith, H.J., Dinev, T., Xu, H. (2011). Information privacy research: an interdisciplinary review. MIS Quarterly 35(4), 989-1015.

Waldman, A. E. (2020). Cognitive Biases, Dark Patterns and the ‘Privacy Paradox’. Current Opinion in Psychology, 31, 105-109.