Das Privatsphäre-Paradox

Fragen Sie sich auch manchmal, was Google über Sie weiß? Vielleicht haben Sie ja schon mal die Adsettings besucht, um herauszufinden, welche Interessen Ihnen anhand ihres Suchverhaltens unterstellt werden. Oder haben auf Facebook geschaut, welche Informationen die Plattform über Sie gesammelt hat. Ich habe das einmal eher per Zufall gemacht – und war ein bisschen schockiert. Und das, obwohl es ja eigentlich keine Überraschung sein sollte. Trotzdem nutze ich Facebook zumindest gelegentlich, Instagram deutlich öfter. Ganz wohl dabei fühle ich mich eigentlich nicht. Nimmt man alle Informationen zu Standort, Suchanfragen, Nutzungsdaten und Kaufverhalten zusammen, die Google, Meta und Co. an diesem Punkt über mich haben, könnte man wohl den Großteil meines Lebens rekonstruieren.

Ein unangenehmer Gedanke, wenn man sich vor Augen führt, dass selbst scheinbar harmlose Daten für schwerwiegende Fälle des Identitätsdiebstahls genutzt werden können. Das trifft sogar schon ein, wenn jemand mit dem Namen und einem geklauten Bild ein Fake-Profil auf Instagram erstellt, um beispielsweise Spam-Nachrichten zu versenden.

Wie ich behaupten viele Menschen von sich, dass ihnen ihre Privatsphäre wichtig ist. Entsprechendes Verhalten zum proaktiven Schutz personenbezogener Daten kann bei den meisten aber nicht beobachtet werden.

Das Phänomen des unbedarften Umgangs mit den eigenen Daten bei gleichzeitiger Sorge um den Missbrauch der preisgegebenen Informationen wird als Privacy Paradox bezeichnet. Wieso sorgen wir uns – und verhalten uns gleichzeitig auf eine Art und Weise, die es wahrscheinlicher macht, dass unsere Befürchtungen eintreten?

 

Intentionen und Erfolgswahrscheinlichkeiten

 

Nach der Theorie des geplanten Verhaltens gehen einer Handlung verschiedene Faktoren voraus. Dabei ist die Intention, auf eine bestimmte Weise zu handeln (z.B. die Absicht: „Ich schütze meine persönlichen Daten vor Zugriffen Unberechtigter.“) nur einer davon. Eine wichtige Rolle spielt auch der subjektiv empfundene Druck, ein bestimmtes Verhalten zu zeigen, wie etwa auf einer bestimmten Plattform ein Profil zu haben.

Schließlich bestimmt auch die wahrgenommene Erfolgswahrscheinlichkeit einer Handlung maßgeblich darüber, wie sehr wir dazu motiviert sind, sie auszuführen. Die Erfolgswahrscheinlichkeit unterteilt sich dabei in die erwartete Effektivität einer Maßnahme und die wahrgenommene Wahrscheinlichkeit, diese Maßnahme selbst effektiv umsetzen zu können. Eine Datenschutz-Maßnahme könnte beispielsweise sein, Apps unnötige Berechtigungen zu entziehen. Wer aber davon ausgeht, dass dies nur kosmetisch sei und die entsprechenden Zugriffe nicht wirklich unterbinden kann, schätzt die generelle Effektivität dieses Schritts demnach als entsprechend gering ein. Ebenso kann es auch sein, dass jemand gar nicht erst weiß, wie er durch das Einstellungsmenü navigieren muss, um App-Berechtigungen zu verwalten. Dann mangelt es an der Überzeugung, die Maßnahme selbst durchführen zu können. Diese beiden Sachen können natürlich auch zusammenfallen, im Sinne von “Weiß nicht wie, ist aber egal, weil es bringt sowieso nichts.”

Hier kann es schnell zu einem Spannungsverhältnis zwischen guten Datensicherheits-Vorsätzen und der wahrgenommen Selbstwirksamkeit kommen. Im Konflikt mit der Verhaltensabsicht (“Daten schützen” gewinnt die vermutete generelle und / oder individuelle Erfolgswahrscheinlichkeit (gering) die Oberhand und man gibt dem empfundenen Druck (auf Plattform X anmelden) schließlich doch nach.

 

Wie wir alle die Welt ein bisschen anders (und höchstwahrscheinlich falsch) wahrnehmen - und basierend darauf Entscheidungen treffen

 

Kognitive Verzerrungen (auch Bias genannt) sind systematische Fehler bei der Informationsverarbeitung. Sie können die Wahrnehmung unserer Umgebung, das Erinnern, Denken und Entscheidungsprozesse beeinflussen. Kognitive Verzerrungen zeichnet aus, dass in der Regel alle Menschen ihnen zu einem gewissen Grad unterliegen. Man kann sich ihre Existenz bewusst machen und versuchen, zu beobachten, wie sie sich auswirken. Da sie unterbewusst stattfinden, ist es schwer, wenn auch möglich, gegen ihren Einfluss bei der Kognition vorzugehen.

Der Optimismus-Bias (dt: Tendenz) führt dazu, dass Menschen tendenziell eher annehmen, dass die Wahrscheinlichkeit negativer Folgen für sie geringer ist als für andere. Es handelt sich also um eine Art „Mir wird das schon nicht passieren“-Mentalität.

Eine weitere als relevant erachtete kognitive Verzerrung wird “hyperbolic discount” genannt. Damit  wird die Beobachtung bezeichnet, dass in der Zukunft liegende Vor- und Nachteile als deutlich weniger einschneidend empfunden werden als sofort eintretende. Wenn man also durch die Weitergabe von Daten einen sofortigen (z.B. finanziellen) Vorteil erhält, erscheint das im Augenblick natürlich deutlich relevanter, als die Möglichkeit, in der entfernten Zukunft Opfer eines potenziellen Datenlecks zu werden.

 

Unser menschliches Selbstverständnis ist das rationaler, vernunftgeleiteter Wesen. Aber unsere Rationalität ist gebunden an psychologische Einschränkungen. Weil unsere kognitiven Ressourcen begrenzt sind, können wir bei  der Entscheidungsfindung unmöglich alle relevanten Informationen in Erwägung ziehen. Selbst, wenn wir über relevantes Wissen verfügen, können wir im richtigen Moment womöglich nicht darauf zugreifen. Aus diesem Grund nutzen Menschen im Alltag häufig einfache Entscheidungsregeln (Heuristiken), um mit den vorhandenen Ressourcen ökonomisch umzugehen und möglichst viel Hirnschmalz für die wirklich wichtigen Entscheidungen übrig zu lassen. (Hier werden der Begriff Heuristik sowie drei populäre Beispiele genauer erklärt: Mehr lesen)

Durch die Verfügbarkeitsheuristik beispielsweise werden Ereignisse als umso wahrscheinlicher wahrgenommen, je einfacher man sich an ein Beispiel erinnern oder sich eines ausdenken kann. Hat also jemand im Freundeskreis schon mal einen Datenschutzvorfall erlebt oder verfügt man über ein besonders ausgeprägtes Vorstellungsvermögen, hält man die Möglichkeit, selbst in eine solche Situation zu geraten, für wesentlich wahrscheinlicher.

Nach der Affektheuristik orientiert man sich beim Treffen von Entscheidungen stark an dem Gefühl, das man bezüglich einer Sache hat. Dadurch unterschätzen Menschen Risiken, wenn sie mit Dingen verknüpft sind, die sie mögen. Andersherum werden Risiken tendenziell überschätzt, wenn sie mit Sachen verknüpft sind, die man nicht mag.

Diese Gefühle müssen sich nach der Gefühl-als-Information-Theorie nicht einmal auf die jeweilige Entscheidungssituation beziehen. Menschen gehen demnach generell davon aus, dass sich ihre Emotionen auf das beziehen, was gerade im Fokus ihrer Aufmerksamkeit ist. Eine positive Grundstimmung kann so fälschlicherweise auf ein bestimmtes Gegenüber, das Anspruch auf Daten erheben will, übertragen werden.

Das bedeutet schlussendlich, dass zu großen Teilen das Bauchgefühl darüber entscheidet, bis zu welchem Ausmaß Menschen die Weitergabe von Informationen als sicher empfinden.  Positive Stimmungen und Gefühle erhöhen das Vertrauen und den Glauben an mehr Datenschutz, negative bewirken das Gegenteil.

 

Vertrauen und Risiko

 

Wie bereitwillig wir unsere Daten herausgeben hängt zu großen Teilen davon ab, wie sehr wir dem Gegenüber vertrauen. Verbirgt sich hinter dem Online-Shop ein gut etabliertes Unternehmen oder erscheint die ganze Sache doch eher dubios?

Dabei spielen nicht nur rationale Überlegungen eine Rolle. Bereits das Website-Design kann dafür sorgen, dass dem Betreiber mehr Vertrauen entgegengebracht wird. Dadurch können Anbietern mehr Kompetenzen beim verantwortungsvollen Umgang mit persönlichen Daten angedichtet werden, mitunter unberechtigterweise. Allgemeines Misstrauen gegenüber Online-Diensten kann abgedämpft werden durch erhöhtes Vertrauen in ein bestimmtes Gegenüber, das Daten erheben will. Beispielsweise kann das auf Datenschutzaspekte bezogene Vertrauen in Apple höher sein als in Android-Geräte, aufgrund deren Verknüpfung mit Google. Andererseits hatten insbesondere Android-Nutzer*innen wenig überraschend mehr Vertrauen in Android-Geräte, da sie der Meinung waren, Google sei bezüglich Datenschutzbelangen transparenter.

Dieses Beispiel zeigt, wie das generelle Vertrauen in ein Medium mit der Einstellung zum konkreten Gegenüber interagiert. Und es macht ebenfalls deutlich, dass Menschen Gründe finden, dem bereits Gewohnten (mehr) zu vertrauen. Die ganze Studie dazu finden sie hier.

Das kann so weit gehen, dass vorbestehende Einstellungen aufgrund bestimmter situativer Effekte komplett überschrieben werden können.

 

Es wird davon ausgegangen, dass User versuchen, einen Kompromiss zu finden zwischen möglichen Risiken und potenziellen Vorteilen, die mit einer Handlung verknüpft sind. Sie betrachten ihre persönlichen Informationen also wie eine Währung, die gegen bestimmte Vorteile wie Personalisierung, Unterhaltung oder finanzieller Art, eingetauscht werden kann.

Oftmals endet diese Abwägung darin, dass die Vorteile der Datenpreisgabe höher gewichtet werden als der mögliche Schaden durch Gefährdung der Privatsphäre – insbesondere, wenn dem anderen besonderes Vertrauen entgegengebracht wird. Oder andersherum: wenn das wahrgenommene Risiko so gering ist, dass keine Motivation zur Risikovermeidung besteht. Hier spielt auch wieder die wahrgenommene Erfolgsaussicht von Schutzmaßnahmen eine Rolle. Wenn diese allgemein gering erscheint oder nur als zu einem überproportional hohen Preis effektiv eingeschätzt werden, scheint es den Versuch „gar nicht mehr wert zu sein.“ Nicht zu vergessen, dass in nicht wenigen Fällen die Nutzung eines Dienstes überhaupt erst durch die Angabe bestimmter (sensibler) Daten möglich ist. Eine Entscheidung ist demnach oft maximal zwischen Zustimmung zur Datensammlung und Nichtnutzung möglich.

 

Privatsphären-Zynismus

 

Oft wird davon ausgegangen, dass User einfach zu schlecht über Datenschutzbelange informiert sind. Deswegen unterschätzen sie Risiken unbedarfter Datenfreigabe und unternehmen keine Schritte, sich online zu schützen. Die vermeintlich einfache Lösung wäre dann verbesserte Aufklärung darüber, wo Daten erhoben und wie sie verwendet werden. Es gibt sogar die Annahme, dass bloße Information der User darüber, dass sie Besitzer ihrer Informationen sind, zu besserer Risikowahrnehmung und damit sichereren Entscheidungen führt.

Neuerdings widerspricht eine als Privatsphäre-Zynismus bezeichnete Beobachtung dieser Annahme. Demnach sind sich Menschen der Datenschutzrisiken in der digitalen Sphäre durchaus bewusst. User sind nicht ahnungslos oder gleichgültig. Die Dauerüberwachung erscheint ihnen lediglich so unausweichlich, dass sie keinen Sinn darin sehen, Gegenmaßnahmen zu ergreifen. Das Abfinden mit der Situation, in der man keine Kontrolle zu haben scheint, ist dann die beste Lösung. Aus dem Gefühl des Ausgeliefert-Seins an große Tech-Unternehmen folgt Resignation und schließlich Apathie. (Hoffmann, Lutz, Ranzini, 2016: http://dx.doi.org/10.5817/CP2016-4-7)

 

Was jetzt?

 

Wer sich im Internet bewegt, hinterlässt dort seine Daten. Die nach Datenschutzaspekten sicherste Strategie wäre daher wohl, die digitale Sphäre komplett zu vermeiden. Das ist heute aber natürlich nicht wirklich praktikabel. Ohne mobiles Endgerät und E-Mail-Adresse kann man kaum am Arbeitsleben teilhaben oder das Privatleben gestalten.

Zum Glück beschränken sich die Möglichkeiten, sich im Netz zu bewegen, nicht darauf alle Daten preiszugeben oder das Internet einfach gar nicht zu nutzen. . Verschiedene Maßnahmen sind relativ leicht umzusetzen. Auch, wenn keines dieser Mittel absolute Sicherheit gewährleisten kann, können sie, insbesondere in Kombination, dazu beitragen, die eigene Privatsphäre zu schützen.

 

Updates regelmäßig installieren:

Einfach, aber oft vernachlässigt sind regelmäßige Updates von Betriebssystemen. Gerade im Privaten werden diese jedoch gern verschoben, schließlich soll das Gerät ständig verfügbar sein. Spätestens wenn das Gerät aber auch zur Arbeit verwendet wird, im Modell “Bring Your Own Device” (BYOD), werden Updates zur Pflicht, da dadurch Sicherheitslücken geschlossen werden.

 

E-Mail Adressen für verschiedene Zwecke:

Es lohnt sich auch, verschiedene E-Mail-Adressen für verschiedene Zwecke anzulegen. Darunter sollte auch eine sein, die als „Wegwerf-Adresse“ fungieren kann, also insbesondere keine Rückschlüsse auf den Klarnamen zulässt.

Für jede dieser E-Mail-Adressen (und auch sonst jeden genutzten Online-Dienst) sollte ein eigenes Passwort verwendet werden.Damit ein  einzelnes Datenleck nicht dazu führt, dass sich Unberechtigte  leicht Zugriff auf mehrere oder schlimmstenfalls sämtliche Kundenkonten verschaffen können. Alle Passwörter sollten dabei möglichst abstrakt und nicht auf gut Glück zu erraten sein. Der Name des geliebten Haustieres ist in der Regel kein sicheres Passwort, höchstens vielleicht, er ist sehr ausgefallen und man hält ihn geheim. Genauso sind Passwörter, die sich auf die jeweilige Plattform, auf der sie zur Anmeldung genutzt werden, beziehen (z.B. Instagram123) auch im Jahr 2022 nicht sicher. Wer auf der noch sichereren Seite sein will, kann Passwörter regelmäßig ändern.

Auch, wenn es mittlerweile ein alter Hut ist, gilt es auch immer noch, bei E-Mails unbekannter Absender Vorsicht walten zu lassen. Im Zweifelsfall sollte man darauf verzichten, Anhänge zu öffnen und auf Links zu klicken. Nach wie vor gilt, dass beispielsweise Banken niemals sensible Kontodaten per E-Mail erfragen werden. Spam sollte am besten ignoriert werden. Auch mit Antworten wie „Nein danke“ oder „Kein Interesse“ bestätigt man zumindest, dass es sich um eine existente und genutzte Mail-Adresse handelt. Sinnvoll ist es auch immer mal zu überprüfen, ob die E-Mail Adresse Teil eines Datenlecks war. Dies geht z.B. unter  Experte.de.

 

Der Datensammlung Einhalt gebieten

Die genannten Maßnahmen richten sich vor allem gegen unberechtigte Zugriffe auf persönliche Daten durch Hacker. Die Erhebung und Auswertung von Daten durch Dienstleister wie Google oder Facebook können sie aber nicht unterbinden. Um auch dagegen vorzugehen, kann ein VPN genutzt werden. Diese verschlüsseln die IP-Adresse, sodass auch Dritte nicht einsehen können, was man im Internet tut. VPNs lohnen sich vor allem für jeden, der regelmäßig in öffentlichen Netzwerken unterwegs ist, also etwa im Café oder im Zug. Aber auch für das Surfen zu Hause bieten sich VPNs an, wenn man dabei anonym bleiben möchte. Jedoch ist zu beachten, dass ein VPN zwar erhöhte Sicherheit und größere Anonymität gewährleisten kann, aber ebenfalls nicht frei von gewissen Risiken ist. Zum einen sind auch bei VPN-Servern Datenlecks nie mit absoluter Sicherheit auszuschließen, zum anderen verfügt jetzt anstatt Google eben der VPN-Provider über die Nutzungschronik.
Ist ein VPN keine Lösung für Sie, dann ist die wichtigste Maßnahme: entziehen Sie Berechtigungen wo es nur geht. Google, Facebook und Co. greifen auch nach Daten, die nicht benötigt werden, um zu funktionieren. Es ist daher immer wichtig zu hinterfragen: braucht diese App diese bestimmte Berechtigung? Möchte ich z.B. keine Fotos über den Facebook Messenger versenden, braucht dieser auch keinen Zugriff auf meine Galerie.

 

Cookieboxen genau unter die Lupe nehmen

Jeder kennt sie, niemand mag sie: Cookie Boxen. Leider ist es so, dass die meisten Cookie Boxen es so wirken lassen, als könne man nichts personalisieren oder als sei die Grundeinstellung bereits diejenige, die die Daten bestmöglich schützt. Dem ist nicht so.
Versuchen Sie, stets  möglichst  alle nicht für die Funktion der Seite notwendigen Cookies zu deaktivieren. So schützen Sie sich auch vor unliebsamer Werbung.

 

Fazit

 

Trotz seiner Widersprüchlichkeit ist das Privacy Paradox durch verschiedene Ansätze logisch erklärbar. Dabei ist davon auszugehen, dass nicht einer der genannten Aspekte ausschlaggebend ist, sondern alle eine gewisse Rolle spielen. Während gegen die meisten durch Aufklärung vorgegangen werden könnte, dürfte insbesondere die Privatsphäre-Resignation schwerer zu bekämpfen sein. Momentan stehen User oftmals vor der Wahl, einen Online-Dienst nur unter Preisgabe ihrer persönlichen Daten oder gar nicht zu nutzen. Wer am Online-Leben teilhaben will, kann sich so oft nur schwerlich gegen Datensammlung wehren. Hier wäre strengere gesetzliche Regulierung vonnöten, die etwa vorschreiben könnte, verständlicher darzulegen, wofür Daten genutzt werden, oder es Nutzer*innen zu ermöglichen, die Erhebung bestimmter Daten und / oder Nutzungszwecke im Voraus auszuschließen. Solche Lösungen sind leider momentan nicht in Sicht.

Insofern ist die Apathie, welche das Thema Datenschutz oft begleitet, nachvollziehbar. Eine vollständige Kapitulation vor den Umständen ist aber nicht angebracht. Auch wenn es schade ist, dass er die einzige Option darstellt, ist Selbstschutz möglich und wichtig.