Das Privacy Paradox. Eine qualitative Studie zur Selbstauskunft im Internet trotz wahrgenommener Risiken

Inhaltsverzeichnis

Tabellenverzeichnis

Abbildungsverzeichnis

1 Einleitung

2 Theoretischer Hintergrund
2.1 Privatheit im Kontext der fortschreitenden Digitalisierung
2.2 Das Privacy Paradox
2.3 Wahrgenommene Risiken im Zusammenhang mit verschiedenen Informationsarten

3 Methodik
3.1 Forschungsstrategie
3.2 Erhebungsverfahren
3.3 Datenauswertung

4 Ergebnisse
4.1 Selbstreflexion
4.2 Informationsarten und die damit verbundenen Risiken
4.3 Selbstauskunft trotz Risiken

5 Diskussion
5.1 Theoretische Implikationen
5.2 Praktische Implikationen
5.3 Limitationen

6 Fazit

Literaturverzeichnis

Anhang

Tabellenverzeichnis

Tab. 3-1: Ausschnitt des Kodierleitfadens

Abbildungsverzeichnis

Abb. 4-1: Sensitivitätseinschätzung

Abb. 4-2: Risikowahrnehmung

1 Einleitung

Trotz ihres originären und derivativen Nutzens erhöhen mobile Endgeräte wie Smartphones die Privatheitsbedenken vieler Nutzer¹. Die Verbreitung von Ubiquitous Computing² und die durch den digitalen Fortschritt vermeintlich un­begrenzten Möglichkeiten für das Sammeln, Analysieren, Verbreiten und Ver­wenden von personenbezogenen Daten tragen hierzu einen großen Teil bei (Smith et al. 2011, S.990). So können beispielsweise Gesundheits- und Fit- ness-Apps ernsthafte Risiken für Smartphone-Nutzer darstellen, da solche An­wendungen unter anderem kritische Gesundheitsdaten, Bewegungsmuster und in gewisser Weise auch Informationen über den Lebensstil sammeln (Privacy-Rights-Clearinghouse 2016). Angesichts dessen hat sich der Begriff der Privatheit weiterentwickelt. Darunter ist nun auch der Schutz personenbe­zogener Daten sowie die Kontrolle über den Datenaustausch, der zunehmend online stattfindet, mitinbegriffen (Milne et al. 2017, S.135).

Wer das Internet nutzt, hinterlässt jedoch nicht nur unweigerlich Spuren, son­dern gibt oft freiwillig viele persönliche Informationen über sich preis und nimmt dadurch teilweise risikoreiche Verhaltensweisen an (Baek 2014, S.34; Hess und Schreiner 2012, S.108). Dass Menschen bereit sind, personenbezogene Informationen für wahrgenommene Vorteile zu offenbaren, ist wenig überra­schend. Diese Erklärung scheint jedoch weniger angebracht, wenn die Risiken betrachtet werden, die Individuen mit der Preisgabe solcher Daten verbinden und diese sogar äußern (Kokolakis 2017).

Der im März aufgekommene Datenskandal um Facebook ließ von Verbrau­cher- und Politikerseite laute Stimmen für eine strengere Datenschutzregulie­rung ertönen (Töniges 2018). Und trotz des aufsehenerregenden Skandals hat die Mehrheit der deutschen Facebook-Mitglieder nicht vor das Netzwerk zu verlassen (FAZ 2018; Sullivan 2018; T-Online 2018). „ Do people really care about their privacy?“ (Han und Maclaurin 2002) ist somit eine Frage, die sich aus der Diskrepanz zwischen den Bedenken über die Privatsphäre, die daraus resultierende Absicht Informationen über sich preiszugeben und dem tatsäch­lichen Verhalten, ergibt (Norberg et al. 2007). Seit einigen Jahren beschäftigen sich Wissenschaftler mit dem sogenannten Privacy Paradox. Aus bestehender Literatur lassen sich diverse Ansätze finden, die versuchen das Paradox zu testen. Da es sich bei dem Privacy Paradox um ein multidimensionales Ereig­nis handelt, d.h. die Absichten und das tatsächliche Offenbarungsverhalten werden durch mehrere Faktoren beeinflusst, liegt der Fokus dieser Arbeit auf einem Teilaspekt: Risiko. Norberg et al. (2007) stützen sich in einer ihrer Stu­dien auf die Annahme, dass wahrgenommene Risiken die Absichten eines In­dividuums beeinflussen, aber nicht ausreichend sind, um einen Einfluss auf das tatsächliche Verhalten auszuüben. Auch Oomen und Leenes (2008) zei­gen durch eine Umfrage, dass eine Wahrnehmung der Datenschutzrisiken eine unzureichende Motivation für Verbraucher darstellt, um datenschutz­freundliche Strategien zu verfolgen. In beiden Untersuchungen wurde jedoch außer Acht gelassen, dass den verschiedenen Arten von persönlichen Infor­mationen unterschiedliche Werte zugetragen (Kokolakis 2017) und diese von Individuen mit unterschiedlichen Risikoarten assoziiert werden. Warum das Risiko in vielen Fällen keinen hinreichenden Einfluss ausübt, ist jedoch von entscheidender Bedeutung. Somit besteht die Notwendigkeit genauer zu er­forschen wie sich die Risiken und Bedenken hinsichtlich des Datenschutzes in Bezug auf verschiedene Arten von personenbezogenen Informationen unter­scheiden. Warum trotz dieser Risiken das Privacy Paradox in Erscheinung tritt, ist aus Konsumentenperspektive zu untersuchen. Diese Arbeit bestrebt dabei nicht das Privacy Paradox zu lösen, sondern einen Teilaspekt davon näher zu durchleuchten, wodurch ein Beitrag zur Vervollständigung des Puzzles beige­tragen wird.

Folgende Forschungsfragen werden in dieser Arbeit demnach untersucht: Forschungsfrage 1: Welche Risikoarten verbinden Verbraucher mit der Her­ausgabe spezifischer personenbezogener Informationen im Internet?

Forschungsfrage 2: Warum handeln Nutzer entgegen ihrer Intention und ge­ben ihre persönlichen Daten im Internet trotz wahrgenommener Risiken preis? Um beide Fragen beantworten zu können und im speziellen die Sichtweise der Internetnutzer zu verstehen, wurden halbstrukturierte, problemzentrierte Inter­views geführt, an denen 20 Personen teilnahmen. Da ein Großteil bisheriger Studien in Form von Onlineumfragen und Experimenten durchgeführt wurde (Kokolakis 2017, S.127), bietet diese Art der Untersuchung einen argumenta­tiven und tieferen Einblick in die Aussagen der Interviewteilnehmer.

Der Aufbau der Arbeit gestaltet sich wie folgt: im ersten Abschnitt wird das Thema Privatheit in den Kontext der fortschreitenden Digitalisierung gesetzt sowie Grundlagen des Privacy Paradoxes genauer erörtert. Anschließend werden mögliche Datenschutzrisiken bezugnehmend auf verschiedene Infor­mationsarten thematisiert. Im zweiten Teil der Studie wird die Vorgehensweise der empirischen Arbeit und die Methodik dargestellt. In Abschnitt drei werden die Ergebnisse der qualitativen Inhaltsanalyse vorgestellt. Dabei wird unter an­derem auf die wahrgenommenen Risiken bzgl. der zwölf behandelten Informa­tionsarten eingegangen. Des Weiteren werden die gewonnenen Informationen der Interviewteilnehmer in Verbindung mit bisherigen Interpretationsversuchen des Privacy Paradoxes gebracht sowie um weitere Erklärungsversuche er­gänzt und Kategorien erweitert. Zuletzt stellt diese Arbeit sowohl die theore­tisch als auch praktisch abgeleiteten Implikationen vor, gefolgt von den Limi­tationen und weiteren Forschungsmöglichkeiten.

2 Theoretischer Hintergrund

2.1 Privatheit im Kontext der fortschreitenden Digitalisierung

Privatheit als solche wird in den Wirtschaftswissenschaften primär als Kon­trolle (Altman 1975; Westin 1967) verstanden, d.h. Individuen, Institutionen und Gruppen besitzen den Anspruch, für sich selbst zu bestimmen, wann, wie und welche Informationen über sie an Dritte weitergegeben werden. Neuere Definitionen beschreiben Privatheit vielmehr als die Fähigkeit zur Kontrolle über die eigenen Informationen (Bélanger et al. 2002, S.249; Smith et al. 2011, S.995). In dieser Arbeit wird der Fokus auf der informationellen Privatheit, auch Datenschutz genannt, liegen. Die Definition des Datenschutzes bezieht sich im speziellen auf die individuelle Kontrolle darüber, ob personenbezogene Da­ten gesammelt, gespeichert, fehlerhaft oder für nicht autorisierte sekundäre Zwecke verwendet werden (Bélanger und Crossler 2011, S.1018; Smith 1993, S.114-118). Es ist unumstritten, dass Themen rund um die Privatsphäre viel­schichtige Fragen aufwerfen lassen, die von Forschern aus Bereichen wie Marketing, Recht oder Psychologie untersucht werden (Bélanger und Crossler 2011, S.1018). Diese Arbeit bezieht sich primär auf die Forschung der IuK- Systeme³.

Durch den Einsatz digitaler Technologien und die Verbreitung von mobilen Endgeräten werden immer mehr Nutzerdaten automatisch generiert, was auch der Tatsache zuzurechnen ist, dass mehr und mehr Lebensbereiche der Ver­braucher online verwaltet werden. Beispielsweise tätigen Konsumenten be­ständig mehr Einkäufe online, sodass der Anteil des E-Commerce am gesam­ten weltweiten Einzelhandelsumsatz kontinuierlich zunimmt (Statista 2018a). Auch Heath-Wearables und Apps finden mehr Zuspruch bei Nutzern, die damit ihre eigene Gesundheit tracken (Morlok et al. 2017). Das Gesamtvolumen zu­rechenbarer Daten wächst ebenso durch die Nutzung von Online-Diensten, wie soziale Netzwerke, Kommunikationsdienste und Suchmaschinen (Hess und Schreiner 2012, S.107).⁴

Der technologische Fortschritt, „wie z.B. [der] Anstieg der verfügbaren Re­chenleistung, [die] Kapazitäten zur Datenspeicherung sowie [die] Bandbreite von Netzwerken“ (S.11) , ermöglicht die Speicherung, Verarbeitung und Aggre­gation solch großer Datenmengen. Mit Hilfe von Data Mining und Machine Learning Methoden sowie intelligenten Verknüpfungsalgorithmen werden diese ausgewertet und anhand der personenbezogenen Daten Nutzerprofile abgeleitet und erstellt (Morlok et al. 2017, S.10-11). Fast jedes persönliche Datenelement, das im Web entsteht, kann mit anderen Daten verknüpft und schließlich dafür verwendet werden, um weitere Informationen eindeutigen Personen zuzuordnen (Milne et al. 2017, S.138). Auf diese Weise lassen sich sogleich Aussagen hinsichtlich der Persönlichkeit, Interessen und der Lebens­weise eines Nutzers treffen und ein detailliertes Abbild einer Person kreieren (Hess und Schreiner 2012, S.105).

Demzufolge sind digitale Technologien Enabler für die Beschaffung und Ver­arbeitung personenbezogener Informationen und befähigt deren Anbieter dazu, diese Daten zu kontrollieren. Digitale Technologien bieten jedoch auch für Verbraucher teilweise die Möglichkeit, die Kontrolle über ihre eigenen Da­ten im Internet wiederherzustellen. Einige Beispiele dafür sind Cookie-Blocker oder Verschlüsselungen, die eine anonymisierte Kommunikation ermöglichen (Morlok et al. 2017, S.11)⁵.

Der Fokus dieser Arbeit liegt einerseits auf der expliziten Herausgabe von per­sönlichen Informationen, d.h. Konsumenten machen aktiv Angaben zu ihrer Person im Internet. Andererseits kann die Herausgabe von Daten auch implizit durch ein Einverständnis in die AGBs und Datenschutzrichtlinien des Online­Anbieters legitimiert werden und diesen dazu berechtigen, eingestellte Inhalte weiter zu verarbeiten (Hess und Schreiner 2012, S.108). Die implizite Heraus­gabe spielt beispielsweise bei Apps eine wesentliche Rolle, wenn diese be­stimmte Berechtigungen und Zugriffe auf mobile Endgeräte einfordern (Schott 2017).

2.2 Das Privacy Paradox

Wie bereits in den einleitenden Worten erwähnt, haben sich schon zahlreiche Forscher dem Privacy Paradox angenommen und Erklärungen für dieses Phä­nomen gesucht. Jedoch liefert die Wissenschaft hierfür teilweise widersprüch­liche oder unvollständige Erklärungen und Annahmen (Kokolakis 2017, S.123). Dies ist zum einen darauf zurückzuführen, dass das Privacy Paradox kontextabhängig ist. Dadurch ist keine verallgemeinernde Aussage über das Konsumentenverhalten möglich (Morando et al. 2014, S.2-3). Es liegen bereits zahlreiche Studien aus den Bereichen E-Commerce und Social Media vor, wo­hingegen mobilen Anwendungen oder Online-Diensten bisher weniger Auf­merksamkeit gezollt wurde (Kokolakis 2017, S.127). Ebenso sollte den unter­schiedlichen Informationsarten Beachtung geschenkt werden, auch diese kön­nen nicht als Kollektiv bewertet werden. Daten wie die private Adresse, der Gesundheitsstatus oder das Geburtsdatum werden von Einzelpersonen unter­schiedlich sensitiv wahrgenommen und dementsprechend behandelt (Milne et al. 2017). Daher ist ein Vergleich zwischen Studien, die verschiedene Arten von persönlichen Informationen behandeln, zu vermeiden (vgl. Kapitel 2.3).

Bis dato gibt es fünf weitestgehend anerkannte Forschungsansätze, die darum bemüht sind, das Privacy Paradox zu erklären. Um bei der späteren Analyse dieser Studie auf Interpretationen aus bestehender Literatur zurückgreifen zu können, werden diese im Folgenden kurz vorgestellt.

Das Privatheitskalkül und die Vorteile der Selbstauskunft. Dieser Ansatz geht davon aus, dass Individuen eine bewusste Entscheidung über eine Informati­onspreisgabe treffen, indem sie eine Kosten-Nutzen-Analyse durchführen (Hann et al. 2002). Demzufolge wird ein potentieller Verlust der Privatheit und die damit verbundenen Risiken gegenüber möglichen Vorteilen einer Informa­tionspreisgabe abgewogen. Überwiegt der wahrgenommene Nutzen, so ent­scheidet sich eine Person für eine Informationspreisgabe (Chellappa und Sin 2005, S.186; Dinev und Hart 2006). Weichen jedoch die Datenschutzbeden­ken von dem tatsächlichen Offenbarungsverhalten eines Verbrauchers ab, so erscheint dies auf den ersten Blick wenig rational und nicht schlüssig. Berück­sichtigt man allerdings auch einen möglichen immateriellen Nutzen, der nur schwer zu beobachten ist, wird das Verhalten verständlicher. Die Vor- und Nachteile einer Herausgabe von Daten sind zudem maßgeblich von der indi­viduellen Einstellung und dem subjektiven Empfinden abhängig. Nutzer von sozialen Netzwerken gewichten die Vorteile einer Teilhabe darin stärker als die Risiken, die mit einer Selbstenthüllung einhergehen können. Dort werden z.B. Bedürfnisse nach sozialen Beziehungen und der Selbstdarstellung erfüllt (Debatin et al. 2009, S.89; Hess und Schreiner 2012, S.108; Lee et al. 2013, S. 863-864).

Sozialtheoretische Perspektive. Weniger überraschend befasst sich die Sozi­altheorie noch intensiver mit der Motivation für die Selbstauskunft im Kontext von sozialen Online-Netzwerken. Diese Motivation ergibt sich aus der Art und Weise, in der soziale Netzwerke das gesellschaftliche Leben der Nutzer be­stimmen (Blank et al. 2014, S.25). Dabei werden solche Netzwerke als eine Art Gemeinschaft angesehen, in der zumeist implizite Verhaltensregeln vor­handen sind und soziale Beziehungen gepflegt werden. Um Teil dieser Ge­meinschaft zu werden, muss die Bereitschaft vorhanden sein, Daten über sich preiszugeben. Gleichzeitig können soziale Netzwerke auch als Gesellschaften bezeichnet werden, also eine Institution mit formellen Regeln und Richtlinien. Übernehmen Verbraucher die Perspektive der Gemeinschaft, sind sie in der Lage eine rationale Abschätzung von Risiken über ihre Privatsphäre durchzu­führen. Nichtsdestotrotz kommt es in vielen Fällen zu einer Kollision zwischen dem Wunsch, Teil der Gemeinschaft zu sein und den zuvor kalkulierten Gefahren. Da mit dem Zugehörigkeitsgefühl konkrete, unmittelbare und posi­tive Emotionen verbunden werden, überwiegt die Gemeinschaftsperspektive oft die abstrakten, berechneten Risiken eines Datenmissbrauchs (Lutz und Strathoff 2014, S.94-96).

Kognitive Begrenztheit und Heuristiken. Die verhaltenswissenschaftliche For­schung geht davon aus, dass der menschliche Entscheidungsprozess von kognitiven Verzerrungen und Heuristiken beeinflusst werden kann und Ver­braucher somit nicht in der Lage sind, als rationale Agenten ein Privatheitska­lkül durchzuführen (Acquisti und Grossklags 2007). Tendieren Individuen dazu zu glauben, dass sie im Vergleich zu anderen Nutzern geringeren Risiken aus­gesetzt sind, liegt eine Optimismus-Verzerrung vor. Aufgrund dessen werden auch geringere Schutzmaßnahmen für die eigene Privatsphäre getroffen (Kokolakis 2017, S.129). Des Weiteren geben diejenigen tendenziell mehr per­sönliche Informationen über sich preis, die sich auf ihre eigenen Fähigkeiten, Kenntnisse und Erfahrungen bzgl. des Datenschutzes stützen und in dem Glauben sind, Kontrolle über die Veröffentlichung der eigenen Daten zu haben (Brandimarte et al. 2013, S.3). Auch Affekt-Heuristiken, mentale Abkürzungen, die dazu führen, dass Menschen basierend auf ihren ersten Eindrücken schnell ein Urteil und Entscheidungen treffen, sind an dieser Stelle zu erwäh­nen. Löst beispielsweise eine Benutzerschnittstelle einen positiven Affekt aus, neigen Verbraucher dazu, mögliche Risiken einer Informationspreisgabe zu unterschätzen und Vorteile zu überschätzen (Kehr et al. 2015, S.20). Auch wenn generell die Absicht besteht, gewisse Informationen nicht offenzulegen und folglich Datenschutzmaßnahmen zu treffen, kann es in dem Moment der tatsächlichen Entscheidung zu einer Präferenzänderung kommen, da der Nut­zen als unmittelbar empfunden wird (Kokolakis 2017, S.130).

Begrenzte Rationalität, unvollständige Informationen und Informationsasym­metrien. Laut Camerer (1998) sind viele Menschen nicht in der Lage, eine Be­rechnung von Datenschutzrisiken und dem Nutzen der Selbstauskunft durch­zuführen. Fehlende kognitive Fähigkeiten, beschränkte Rationalität und un­vollständige Informationen sowie limitierte Zeit sind mögliche Ursachen hierfür (Acquisti und Grossklags 2005, S.2-3). Auch Informationsasymmetrien zwi­schen Verbrauchern und Website-/ App-Betreibern beeinflussen den Ent­scheidungsprozess. Die Ungewissheit über die Verwendung ihrer Daten, ver­anlasst Konsumenten dazu, Erfahrungsberichte aus ihrem Bekanntenkreis oder Foren bei ihrer Entscheidungsfindung heranzuziehen. Dieser Art von In­formationsquelle wird ein höherer Grad an Vertrauen geschenkt (Buck et al. 2014, S.11). Baek (2014) bezeichnet das Privacy Paradox vielmehr als ein natürliches Phänomen, da Meinungen über die Privatsphäre und den Daten­schutz häufig ohne viel Erfahrung oder sorgfältige Abwägung gebildet werden. Das liegt daran, dass ein fundiertes Verständnis von Datenschutzproblemen, ein gewisses Maß an digitaler Kompetenz sowie eine aktive Auseinanderset­zung dafür Voraussetzung wären. So ändern Teilnehmer der Studie von Baek ihre Einstellung, sobald sie eine argumentative Begründung für oder gegen den Datenschutz vorgelegt bekommen und dadurch einer Konfrontation mit dem Thema ausgesetzt sind. Bei Teilnehmern, die hingegen keinen Hinweis erhielten, bleibt das Privacy Paradox bestehen (S.40).

Quantentheorie und Homomorphismus. Eine weitere Grundlage für die Erklä­rung des Privacy Paradoxes bietet die Quantentheorie aus der Physik. Flender und Müller (2012) bilden basierend auf diesem Konzept eine Analogie zwi­schen der menschlichen Entscheidungsfindung und dem Messprozess in Quantenexperimenten. D.h. Effekte wie Unbestimmtheit werden bei der Erfor­schung des Paradoxes miteinbezogen. Noch konkreter bedeutet dies, dass die Annahme vorherrscht, dass eine finale Entscheidung über die Selbstaus­kunft erst zu dem Zeitpunkt der Entscheidung selbst getroffen wird und nicht zuvor. Die Präferenzen von Individuen können sich somit unbestimmt ändern (Flender und Müller 2012, S.154-155).

Anfängliche Studien, die eine Dichotomie zwischen der Privatsphäre-Einstel­lung und dem tatsächlichen Datenschutzverhalten aufzeigten, wurden für viele weitere Studien als Basis herangezogen, sodass die Forschung dazu einen dialektischen Kurs verfolgte und weiterhin verfolgt. Dabei zielten bisherige Un­tersuchungen darauf ab, das Paradox entweder durch die Interpretation des Phänomens oder das Aufstellen eines Modells zu lösen. Da aktuellere Litera­tur mehrere logische Erklärungen für diese Dichotomie liefert, sollte das Phä­nomen weniger als Paradox angesehen werden, auch wenn es noch nicht voll­ständig erklärt wurde. Zwar wurden verschiedene Aspekte des Paradoxes un­tersucht und durchleuchtet, jedoch ist es bisher noch nicht gelungen, dieses vollends zu verstehen (Kokolakis 2017, S.130).

Ein zusammenfassender Überblick über diverse Erklärungsversuche aus bis­heriger Forschung kann Tabelle A-1 im Anhang entnommen werden.

2.3 Wahrgenommene Risiken im Zusammenhang mit verschiedenen Informationsarten

Wahrnehmungen und Meinungen über die Privatsphäre sowie den Daten­schutz unterscheiden sich innerhalb und zwischen Teilen der Bevölkerung. So gelten bestimmte Bereiche des Lebens für die einen privater als für andere (Norberg et al. 2007, S.101-102). Beispielsweise empfinden Verbraucher die Verwendung medizinischer, finanzieller und familiärer Informationen in der Re­gel als sensibler, als ihr Mediennutzungsverhalten oder ihren Produkt- und Markenverbrauch (Horne und Horne 1997; Mothersbaugh et al. 2012, S.88). Einige Wissenschaftler haben bereits zwei wichtige Faktoren - Risiko und Ver­trauen - als moderierende Variablen in Bezug auf Datenschutzbedenken und -absichten untersucht, allerdings weniger im Hinblick auf das tatsächliche Da­tenschutzverhalten von Verbrauchern (Bart et al. 2005; Horne und Horne 2002; White 2004). Norberg et al. (2007) bestätigten durch eine Studie, dass Risiken zwar die Offenlegungsabsichten verändern, aber keinen hinreichen­den Faktor darstellen, um Einfluss auf das tatsächliche Verhalten auszuüben. Generell wird Risiko als Unsicherheit aufgrund des Potentials für ein negatives Ergebnis definiert, das im Falle einer falschen Entscheidung eintreten kann (Havlena und DeSarbo 1991, S.927). Wahrgenommene Konsequenzen, die mit der Offenlegung personenbezogener Daten in Verbindung gebracht wer­den, können Individuen emotional, materiell oder sogar physisch beeinflussen (Havlena und DeSarbo 1991; Milne et al. 2017; Mothersbaugh et al. 2012; Norberg et al. 2007). In dem Falle, dass unter Umständen Gesundheitsdaten offengelegt werden, kann dies beispielhaft zu einer Ablehnung bei einer zu­künftigen Krankenversicherung oder sogar bei potentiellen Arbeitgebern füh­ren. Dies wiederum könnte sich negativ auf die Gesundheit, den finanziellen Status oder die Psyche auswirken. Umso verwunderlicher scheint es also, wenn sich Verbraucher solch negativer Auswirkungen bewusst sind, sich dies in den Datenschutzbedenken wiederspiegelt, aber schlussendlich nicht das tatsächliche Verhalten entsprechend angleichen (Norberg et al. 2007, S.106­107). Es steht außer Frage, dass die Sensitivitätseinschätzungen und die wahrgenommenen Risiken zwischen verschiedenen Informationsarten im Kontext diverser Websites und Apps variieren und sich daher auch die Bereitschaft unterscheidet, bestimmte personenbezogene Daten über sich dort zur Verfügung zu stellen. Nichtsdestotrotz wurden die spezifischen Risi­koarten aus Konsumentenperspektive nur begrenzt untersucht (Milne et al. 2017, S.134; Smith et al. 2011, S.1003).

In dieser Arbeit werden zwölf verschiedene Informationsarten⁶ herangezogen. Diese fanden bereits in früheren Studien Verwendung und werden in der Regel bei einer Registrierung in sozialen Netzwerken, Apps, Online-Shopping Porta­len, Newsletter-Abos oder Ähnlichem abgefragt (Milne et al. 2017; Norberg et al. 2007). Die Interviewteilnehmer sollten daher mit dem Umgang dieser Daten vertraut sein. Weitere Details zu den Informationsarten können dem Anhang entnommen werden.

Eine Möglichkeit die Einstellung zur Privatsphäre zum Ausdruck zu bringen, bietet eine Sensitivitätseinschätzung (Bélanger und Crossler 2011, S.1021). Die Sensitivität von Daten wird als potenzieller Verlust, der mit der Offenlegung dieser Informationen verbunden ist, definiert (Mothersbaugh et al. 2012, S.77). Datenschutzrechtliche Bedenken darüber, dass eine große Menge an persön­lichen Daten gesammelt wird, diese für unautorisierte Zwecke verwendet, an Dritte weitergegeben oder nicht ausreichend vor widerrechtlichen Zugriffen ge­schützt werden, können dabei in die Sensitivitätseinschätzung mit einfließen und berücksichtigt werden (Smith et al. 2011, S.997). Ein möglicher Verlust der Privatheit aufgrund der Offenlegung oder dem Missbrauch von persönli­chen Informationen kann unter anderem psychische, physische, finanzielle o­der soziale Folgen für den Betroffenen nach sich ziehen (Featherman und Pavlou 2003, S.454; Havlena und DeSarbo 1991, S.928; Milne et al. 2017, S.135; Mothersbaugh et al. 2012, S.77; Norberg et al. 2007, S.106). Ein psy­chisches Risiko ist die Gefahr möglicher negativer Emotionen wie Angst, Sorge und/ oder Konflikte mit dem Selbstbild. Ursache hierfür können z.B. Cy­ber-Mobbing oder bösartige Kommentare in sozialen Netzwerken aufgrund der Offenlegung bestimmter persönlicher Informationen sein. Liegt ein physisches Risiko vor, verbinden Verbraucher damit die Gefahr von Mobbing, Belästigung, physischem Stalking, Bedrohungen oder Schaden mit der Preisgabe personenbezogener Daten, insofern es über den eigentlichen Zweck hinaus­geht. Ein soziales Risiko besteht, wenn die eigene Reputation oder Glaubwür­digkeit z.B. in Online-Communities oder sozialen Netzwerken beschädigt wird. Dies kann durch den Kontrollverlust über Postings und in gewisser Weise auch durch die Langlebigkeit von online gespeicherten Informationen entstehen. Beispiele für ein Risiko finanzieller Verluste stellen ein Identitätsdiebstahl, Kre­ditkartenbetrug, der Verkauf und die Weitergabe von persönlichen Daten an Dritte und Hackerangriffe auf Konten dar (Milne et al. 2017, S.139-140).

Im Jahr 2014 führten Milne und Kollegen (2017) eine Online-Umfrage durch, in der die Befragten mit Ja oder Nein angeben konnten, ob sie mit den unter­schiedlichen Informationsarten die zuvor genannten Risiken verbinden oder nicht. Ebenso wurden sämtliche Informationsarten hinsichtlich ihrer Sensitivi- tät bewertet und die Bereitschaft die jeweilige Information preiszugeben, ab­gefragt (Milne et al. 2017, S.141-142). Eine Erkenntnis der Studie ist, dass Informationen, die die Kommunikation und Interaktion betreffen (wie z.B. Kon­taktdaten und Profilbilder), relativ ähnliche Bewertungen hinsichtlich der wahr­genommenen Risiken erhalten wie Informationen, die den finanziellen Sektor betreffen. Zudem werden alle Informationen von den Teilnehmenden als mehr­dimensional in ihrem Risiko angesehen, auch wenn vorwiegend eine Risikoart dominiert (S. 147).

3 Methodik

Der Forschungsprozess wird in diesem Kapitel 3 detailliert aufgeführt, da in qualitativen Arbeiten das Vorgehen stark auf den zu untersuchenden Gegen­stand spezifiziert und angepasst wird. Somit wird dieser für Dritte nachvollzieh­bar (Mayring 2002, S.145).

3.1 Forschungsstrategie

Da in bisheriger Forschung der Schwerpunkt auf quantitativen Studien liegt, bleibt eine Hinterfragung oder eine Begründung der Aussagen der Studienteil­nehmer oftmals aus. Somit wird das Privacy Paradox zwar viele Male in diver­sen empirischen Studien bestätigt, allerdings in nur sehr wenigen aus Konsu­mentensicht begründet. Auf Grund dessen wurden die Daten für die vorlie­gende Arbeit durch eine qualitative Studie erhoben. Dadurch kann speziell hin­terfragt werden, warum das Risiko keinen ausreichenden Faktor für eine Ver­haltensanpassung an die eigene Datenschutzeinstellung darstellt. Bei einer qualitativen Forschung ist es von enormer Wichtigkeit, das Gesagte der Inter­viewteilnehmer im Kontext des Gesagten zu interpretieren (S.13). Die Inter­pretation ist dabei argumentativ zu begründen (Mayring 2002, S.145).

Aufgrund der qualitativen Natur der Datenerhebung wurde als Forschungsstra­tegie eine zirkuläre Strategie gewählt. Bei dieser wird eine bestimmte Folge von Schritten mehrfach durchlaufen und entsprechend der Ergebnisse des je­weils vorherigen Schrittes können Anpassungen vorgenommen werden. Vor der Erhebung erster Daten, ist ein grobes Verständnis über den zu untersu­chenden Gegenstand notwendig, um auf Basis dessen die ersten Schritte durchführen zu können (Witt 2001, S.5). Infolge der Interdependenzen zwi­schen den einzelnen Schritten werden nicht nur heterogene Daten angestrebt, die das Themengebiet möglichst weitreichend umfassen und zu diversen Mei­nungen führen. Es kommen auch immer wieder neue Fragestellungen auf Ba­sis der zuvor erhaltenen Antworten der Befragten hinzu. Aus diesem Grund wurde der Interviewleitfaden im Verlauf der Erhebungsphase iterativ ange­passt und weiterentwickelt. Ziel dieser Forschungsstrategie ist es somit nicht, eine quantitative Ausprägung genannter Aspekte zu bestimmen, viel mehr steht die Entdeckung dieser im Vordergrund, repräsentiert durch eine diverse Personengruppe (Flick et al. 2008, S.291; Witt 2001, S.7). Die demographi­schen Hintergründe der Untersuchungsstichprobe dieser Arbeit sind dem An­hang unter Punkt 5 zu entnehmen. Entsprechend der zirkulären Strategie wur­den die Probanden anhand des „theoretical samplings“ (Glaser und Strauss 1967) schrittweise und gezielt bestimmt, um eine möglichst umfangreiche Va­riation an Ansichten und Meinungen zu erhalten (Flick 2014, S.173-175). Ein wesentliches Merkmal des theoretical samplings ist, dass der Verlauf und die zu erwartenden Ergebnisse der Studie zu Beginn noch sehr vage sind. Erst im Verlauf der Untersuchung konkretisieren sich die Vorstellungen des zu unter­suchenden Gegenstandes. Somit wird die Konstruktion dieses Falls nicht vorab fixiert, sondern in den Forschungsprozess selbst angeordnet (Flick et al. 2008, S.297).

3.2 Erhebungsverfahren

Die Daten der qualitativen Studie wurden durch problemzentrierte Interviews erhoben. Dabei handelt es sich um halbstrukturierte Befragungen, welche ins­besondere die persönlichen Erfahrungen, Wahrnehmungen, Selbstreflexionen und die dahinterstehenden Erklärungen zu einer spezifischen Problemstellung erfassen (Witzel 2000, S.1). Ähnlich wie bei einem narrativen Interview, wird das problemzentrierte Interview vom Erzählprinzip geprägt, wobei der Intervie­wer das Gespräch immer wieder auf die zu behandelnde Problemstellung lenkt. Dadurch ist eine grundlegende Strukturierung des Interviews gegeben. Primär wird diese Art des Interviews für theoriegeleitete Fragestellungen an­gewandt, die keinen rein explorativen Charakter haben (Kurz et al. 2007, S.465; Mayring 1990). Somit ist bereits Vorwissen über den zu untersuchen­den Gegenstand vorhanden, welches es weiterhin zu überprüfen und zu erfor­schen gilt. Dieses Vorwissen dient darüber hinaus in der Datenerhebungs­phase als Rahmen für Fragen im Dialog zwischen Interviewer und dem Be­fragten. Folglich bildet das problemzentrierte Interview eine Schnittstelle zwi­schen der induktiven und deduktiven Vorgehensweise (Witzel 2000, S.1).

Generell folgt dieses Erhebungsverfahren drei Grundpositionen, die auch in dieser Arbeit implementiert sind. Zum einen zeichnet sich dieses Verfahren durch die Thematisierung eines gesellschaftlich relevanten Themas aus (Witzel 2000, S.2). Aufgrund der in Kapitel 1 genannten Punkte, befinden sich Verbraucher zunehmend in einem Konflikt zwischen der Preisgabe personen­bezogener Daten und einem möglichen Datenmissbrauch durch Dritte (Baek 2014, S.34). Ein weiteres Prinzip der Datenerhebung nach Witzel ist die Ge­genstandsorientierung, welche Flexibilität in Bezug auf den zu untersuchen­den Gegenstand zulässt. Dies bedeutet, dass die halbstandardisierten Frage­bögen und Gesprächstechniken im Verlauf der Untersuchung angepasst wer­den können (Witzel 2000, S.3). Zuletzt ist noch die Prozessorientierung als Grundposition zu nennen, welche über den gesamten Forschungsablauf an­gestrebt ist. Der Interviewer bemüht sich um ein Vertrauensverhältnis zu den Befragten, indem er sensibel und anerkennend diesen gegenübertritt. Hier­durch wird eine gewisse Offenheit sowie Selbstreflexion bzgl. des zu behan­delnden Themengebietes erreicht. Folglich können auftretende Ambivalenzen thematisiert werden, die durch das Privacy Paradox im Laufe des Gespräches auftreten.

Neben diesen drei Grundprinzipien finden auch die von Witzel (2000) vorge­schlagenen Instrumente Anwendung, die eine Durchführung des problem­zentrierten Interviews ermöglichen und unterstützen: Zur Ermittlung der demographischen Daten wird zu Beginn des Interviews ein Kurzfragebogen herangezogen, mit Hilfe dessen eine spätere Einordnung und Bewertung des Gesagten erfolgen kann. Für eine präzise Erfassung des Kommunikationsver­laufes werden die Interviews mit einem Tonträger aufgezeichnet und anschlie­ßend in Form eines Transkripts schriftlich festgehalten. Um wichtige Aspekte im Laufe des Interviews abzuhandeln, dient ein Interviewleitfaden als Orientie­rungsrahmen (S. 3-4).

Die Interviews als solche wurden im April 2018 erhoben, an denen insgesamt 20 aktive Internetnutzer in einem zeitlichen Rahmen von bis zu 45 Minuten teilnahmen. Im Durschnitt lag die Dauer der Interviews bei 22 Minuten. Die biographischen Daten der Probanden wurden bereits vor Beginn des Inter­views mit Hilfe eines Kurzfragebogens erfasst, sodass die Interviewzeit auf die wesentlichen Fragen beschränkt wurde. Zudem hat eine kurze Einleitung, die den Zweck der Studie sowie das Thema der Bachelorarbeit zum Inhalt hatte, auf das Interview eingestimmt. Dabei wurde jedoch nicht näher auf die kon­krete Forschungsfrage und den Titel der Arbeit eingegangen, da dies zu einer Voreingenommenheit und Befangenheit hätte führen können (Steenkamp et al. 2010, S.6, 34). Darüber hinaus wurde auf die Anonymität der Daten, die Relevanz der ehrlichen Beantwortung aller Fragen sowie den Bezug auf das eigene Verhalten und die eigene Person hingewiesen. Um eine offene und selbstreflektierende Antwort der Befragten zu erzielen, wurde auf eine neutrale Fragestellung und wertungsfreie Reaktion bzgl. der Antworten geachtet (Flanagan 1954, S.15).

Im Hinblick auf den Erzählmodus, fanden anfangs offene Fragen Anwendung, die die Themen Privatheit, Anonymität und Selbstauskunft im Internet im All­gemeinen umfassen. Dadurch konnte bereits in Erfahrung gebracht werden, welche persönlichen Informationen die Interviewten im Falle einer Registrie­rung auf Websites oder in Apps über sich preisgeben. Dieses Wissen fand für spätere Fragestellungen Verwendung. Anschließend galt es in Erfahrung zu bringen, wie sensitiv spezifische Informationsarten eingeschätzt werden, wenn diese im Internet preisgegeben werden und keine Gewissheit über die Daten­verwendung sowie den -schutz herrscht. Diese Einschätzung erfolgte über eine mündlich kommunizierte Likert-Skala⁷, wodurch eine Messung einer per­sönlichen Meinung möglich ist (Wübbenhorst 2018). In dem darauffolgenden Interviewabschnitt stand das Thema Risiko im Vordergrund. Infolgedessen wurden die Studienteilnehmer gefragt, ob und welche Risiken sie mit einer Of­fenbarung ihrer personenbezogenen Daten im Internet verbinden - auch hier wieder im Kontext einer ungewissen Datenverwendung und eines möglichen Datenmissbrauchs. Falls die Befragten keine Risiken im Hinblick auf die Preis­gabe personenbezogener Daten im Internet schildern konnten, wurde auf die Risikoarten nach Milne et al. (2017) sowie entsprechende Praxisbeispiele zu­rückgegriffen, sodass hypothetische Exemplare einen kognitiven Anreiz dar­stellten. Nachdem die Risiken in Verbindung mit der Selbstauskunft geschil­dert worden waren, konnten die Gründe erfragt werden, warum persönliche Informationen trotz wahrgenommener Risiken auf diversen Internetseiten von den Nutzern hinterlegt werden und die zuvor geäußerten Risiken keinen hin­reichenden Faktor darstellen. Ergänzend hierzu berichteten die Probanden über persönlich erlebte Risiken und ob diese zu einer Verhaltensänderung ge­führt haben oder nicht. Abschließend wurde nach Strategien gefragt, die indi­viduell angewendet werden, um persönliche Daten zu schützen.

3.3 Datenauswertung

Als Methodik zur systematischen Datenauswertung wurde die qualitative In­haltsanalyse nach Mayring (2010) herangezogen. Der Vorteil dieser Vorge­hensweise besteht darin, dass das Material fortlaufend in seinem Kommuni­kationszusammenhang interpretiert wird. Da es sich an dieser Stelle um ein systematisches, regelgeleitetes Verfahren handelt, ist es von großer Bedeu­tung die zuvor festgelegten und an den Prozess angepassten Regeln der Textanalyse zu beachten, sodass jeder Analyseschritt für Dritte nachvollzieh­bar ist (Mayring 2002, S.145; Mayring 2010, S.48-49). Nach der vollständigen Transkription der Interviews, bei der die Interviewteilnehmer zur Bewahrung der Anonymität die Bezeichnungen P1-20⁸ erhielten, wurde die Technik der Strukturierung angewandt. Das Ziel dieser Analyseart ist es, „bestimmte As­pekte aus dem Material herauszufiltern, unter vorher festgelegten Ordnungskriterien einen Querschnitt durch das Material zu legen oder das Ma­terial aufgrund bestimmter Kriterien einzuschätzen“ (Mayring 2010, S.65). Fol­gende Schritte sind bei einer strukturierenden Inhaltsanalyse zu durchlaufen: Nachdem (1) die Analyseeinheit bestimmt worden ist, werden die (2) Struktu­rierungsdimensionen, theoriegeleitet bestimmt. Diese werden weiter in ein­zelne (3) Ausprägungen differenziert und in einem Kategoriensystem zusam­mengestellt. Um eine aus dem Transkript identifizierte Textstelle in eine Kate­gorie einordnen zu können, ist es zunächst notwendig, die einzelnen (4) Kate­gorien zu definieren, entsprechende Ankerbeispiele aufzuführen und ggf. Ko­dierregeln aufzustellen. Dies ist erforderlich, falls Abgrenzungsprobleme zwi­schen verschiedenen Kategorien bestehen und keine eindeutige Zuordnung möglich ist. In einem ersten Materialdurchgang wird das zuvor aufgestellte (5) Kategorienschema auf seine Tauglichkeit geprüft und die hierzu passen­den Textstellen entsprechend bezeichnet. In diesem Probedurchlauf wird in aller Regel eine Überarbeitung des Systems vorgenommen. Hiernach folgt der (6) Hauptmaterialdurchlauf, bei dem die Fundstellen erneut bezeichnet, bear­beitet und extrahiert werden. Auch an dieser Stelle können bei Bedarf (7) Änderungen an dem Kategoriensystem vorgenommen und die Schritte drei bis sechs ein weiteres Mal durchlaufen werden. In einem letzten Schritt findet die (8) Ergebnisaufbereitung statt (Mayring 2010, S.92-94).

Die Erstellung des Kategoriensystems erfolgte zunächst deduktiv, d.h. die Ka­tegorien werden direkt aus der bestehenden Literatur bestimmt und die ent­sprechenden Aussagen der Interviewteilnehmer diesen zugeordnet (Witzel 2000, S.7-8). Kategorien hierfür bilden beispielsweise die wissenschaftlichen Erklärungsversuche für das Privacy Paradox (Kokolakis 2017) oder die Risi­koarten nach Milne et al. (2017). Da allerdings auch Kategorien ohne Bezug auf vordefinierte Theoriekonzepte direkt aus den Transkripten gewonnen wer­den konnten, wurde ergänzend auch eine induktive Kategorienbildung vorge­nommen (Mayring 2010, S.83).

Einen exemplarischen Ausschnitt des Kategorienschemas zeigt Tabelle 3-1. Eine detaillierte und vollständige Auflistung ist dem Anhang zu entnehmen.

Abbildung in dieser Leseprobe nicht enthalten

Tab. 3-1: Ausschnitt des Kodierleitfadens

Aufgrund des sehr systematischen Vorgehens dieser Art der Inhaltsanalyse können komplexe Auswertungsstrategien mit Hilfe von Computer-Program­men durchgeführt werden. In dieser Arbeit wurde das Softwareprogramm ATLAS.ti verwendet, welches bei qualitativen Inhaltsanalysen sehr häufig Ver­wendung findet (Mayring 2010, S.112).

4 Ergebnisse

In dem folgenden Kapitel 4 werden die Ergebnisse der Interviews in drei Ab­schnitten dargestellt. Zunächst berichten die Studienteilnehmer über ihre Denkweise und Ansichten zum Thema Privatheit im Internet und welche Infor­mationen sie über sich bei Registrierungen auf diversen Plattformen angeben. Diese Selbstauskunft ist Voraussetzung, um nicht nur die Einstellung der Be­fragten, sondern auch unvoreingenommenen Input für das tatsächliche Offen­barungsverhalten zu erhalten. Im darauffolgenden Abschnitt geben die Inter­viewten eine Sensitivitätseinschätzung für jede vorgegebene Informationsart ab, gefolgt von den damit verbundenen Risiken. D.h. an dieser Stelle wird der Faktor Risiko näher betrachtet, der die Absicht personenbezogene Daten preiszugeben, mitbestimmt. Zuletzt wird die Diskrepanz zwischen dieser In­tention und dem selbstberichteten tatsächlichen Verhalten von Seiten der Be­fragten diskutiert und begründet.

4.1 Selbstreflexion

Der Begriff Privatheit wird ebenso von den Befragten als eine Art Kontrolle angesehen, die sie dazu befähigt zu bestimmen, wer Zugang zu ihren Daten erhält oder wem dieser verwehrt bleibt: „Privatheit bedeutet für mich, dass meine Informationen oder Bilder und Daten nur die Leute sehen können, de­nen ich die Sachen auch direkt mitgeteilt habe [...]“ (P9). Darüber hinaus wird damit assoziiert, dass „der Teilnehmerkreis derer, die an diesem Dialog an Informationen teilnehmen“ (P5), bekannt ist und die preisgegebenen Daten auch geschützt und nicht an Dritte weitergegeben werden (P16).

Anonymität bedeutet für einige, dass durch ihr Verhalten im Internet keine Rückschlüsse auf ihre Person gezogen werden können und sie somit nicht eindeutig identifizierbar sind (P5, P6). Eine klare Abgrenzung zur Privatheit findet in den meisten Fällen allerdings nicht statt. Darüber, ob Privatheit und Anonymität im Internet existieren oder nicht, herrscht insgesamt Uneinigkeit. So sind die einen davon überzeugt, dass „mehr oder weniger alles, was man im Internet macht, [für andere] nachvollziehbar ist“ und die Daten, die man preisgibt, nicht nur bei einem selber bleiben, sondern „auch für sämtliche an­dere Unternehmen dann irgendwie zugänglich sind“ (P17). Auch der Face- book-Skandal, bei dem mehr als dreihunderttausend Deutsche betroffen seien (Spiegel-Online 2018), beeinflusst teilweise die Denkweise über den Daten­schütz im Internet: „Wenn ich mirz.B. Facebook[...]anschaue, dann habe ich so nach und nach das Gefühl, dass es eben nicht mehr so ganz anonym und privat ist.“ (P14). Andere hingegen, sind davon überzeugt, anonym im Internet agieren zu können. Begründet wird dies durch das eigene Offenbarungsver­halten sowie hierfür durchgeführte Sicherheitsmaßnahmen (P4, P8, P10). So könne man beispielsweise in sozialen Netzwerken Einstellungen bzgl. der Pri­vatsphäre vornehmen. Insbesondere der Zugang für Privatpersonen auf die eigenen Daten sei dadurch steuerbar (P9, P20).

Kollektiv betrachtet, schätzen die Studienteilnehmer die Menge an personen­bezogenen Daten, die über sie im Internet vorhanden ist, als sehr groß ein (P7, P8, P11, P20). So sammeln sich durch die Registrierung und Nutzung von Social Media, Apps und Online-Shopping bereits eine Vielzahl von per­sönlichen Informationen an: „Alter, Geschlecht, Wohnort, Beruf[...]. Eigentlich gibt man sehr viel preis: Bilder, Texte, mit wem du befreundet bist, was du magst, welche Seiten, welche Musik du hörst, welche Filme du schaust, wel­che Hobbys du hast.“ (P11). Bei dieser Selbstreflexion werden mehrfach die Informationen Geburtsdatum, Adresse, Bankdaten, Name sowie E-Mail-Ad­resse genannt, welche bei einer Selbstauskunft in der Regel angegeben wer­den. Weniger Beachtung hingegen wurde dem Kaufverhalten, persönlichen Interessen und Vorlieben oder der Mitgliedschaft bei sozialen Netzwerken ge­schenkt. In Bezug auf die von ihnen selbst aktiv preisgegeben Informationen haben nur sehr wenige das Gefühl, Kontrolle darüber zu haben, welche Daten sie preisgeben, was mit diesen Daten geschieht und wie diese verwendet wer­den (P17). Vielmehr wird die Meinung vertreten, dass solch eine Kontrolle nicht vorhanden ist (P13, P15, P18) und der Datenschutz als solches auch als skeptisch betrachtet wird: „[.] die hundertprozentige Kontrolle hat man natür­lich nicht. [.] Man liest immer wieder von Datenklau und diesen ganzen Ha­ckerangriffen. Man weiß ja nicht mal, ob beim eigenen Staat die Daten sicher sind. Also kann man auch nicht davon ausgehen, dass die beim Online-Shop sicher sind.“ (P9).

Um hypothetisch Zugang auf eine Website zu erhalten, sind die Interviewten bereit, ihren (Vor-) Namen, das Geburtsdatum und die E-Mail-Adresse bei ei­ner Registrierung anzugeben (P8, P9, P14, P15, P19). Diese Angaben ent­sprechen somit der Bereitschaft, personenbezogene Daten zu offenbaren. Da­bei werden die Verhaltensabsichten auf Basis individueller Einstellungen, sub­jektiven Normen und der wahrgenommenen Kontrolle über eine Selbstaus­kunft gebildet (Norberg et al. 2007, S.104-105). Auf eine Informationspreis­gabe werde jedoch tendenziell verzichtet, sobald Angaben über die Hausan­schrift, Telefon-/ Handynummer, Bankkontodaten oder Familienverhältnisse gefordert werden (P2, P3, P7, P9, P15). Da es sich jedoch um generische Aussagen handelt, ohne spezifischen Kontext, sollte diesen Darlegungen keine allzu große Bedeutung zugetragen werden (Kokolakis 2017; Norberg et al. 2007, S.118; Smith et al. 2011, S.1002). Vielmehr dienen diese einer ersten Einschätzung hinsichtlich der Datenschutzeinstellungen der Befragten. Er­gänzt wurde diese durch die Nachfrage, ob die Konsumenten schon mal personenbezogene Informationen Websitebetreibern zur Verfügung gestellt haben, um an einem Gewinnspiel teilzunehmen, einen Bonus oder Rabatt zu erhalten (Hann et al. 2002, S.3). Ein Großteil habe solch ein Verhalten noch nicht aufgezeigt und lehnt dieses auch ab (P13, P14, P17). Andere hingegen sind durchaus bereit, persönliche Informationen für einen möglichen Rabatt oder Gewinn zu teilen: „[...] bei Facebook [...] habe ich mal bei einem Gewinn­spiel von der Mercedes-Bank [teilgenommen]. Da konnte man Stuttgart-Ti­ckets gewinnen und da musste man eben auch Adresse usw. angeben, weil sie es ja theoretisch dann zuschicken wollten. Aber da musste man auch sehr viele Informationen angeben [.]“ (P8). „[Bei ] Gewinnspielen gebe ich echt al­les preis. Da bin ich so ein richtiges Gewinnspiel-Opfer: Name, Alter, Adresse, [.] E-Mail-Adresse “ (P11). Zugleich gibt es aber auch Individuen, die zwar an Gewinnspielen teilnehmen und sich registrieren, um einen Rabatt zu erhalten, jedoch an dieser Stelle Falschinformationen angegeben (P6, P10).

Trotz generell bestehender Datenschutzbedenken (Smith 1993), informiert sich der Großteil der Befragten nicht auf den Websites oder bei Apps über die Datenschutzerklärung und -verwendung der Websitebetreiber und Anbieter. Dies geschieht, obwohl die Informationsmöglichkeiten durch beispielsweise die AGBs gegeben sind. Begründungen hierfür sind der damit verbundene Aufwand, Zeitmangel, Bequemlichkeit oder weil es sehr gängig sei, diesen zu­zustimmen, ohne sie zuvor gelesen zu haben (P7, P10, P16, P18, P19). Da­neben empfinden einige die AGBs als nicht hinreichend vertrauenswürdige Quelle, sodass nicht in Erfahrung gebracht werden kann, wie tatsächlich mit den Daten umgegangen wird: „Was [die Websitebetreiber] dann letztendlich mit meinen Daten machen, kommunizieren [sie] nicht. Vor allem, wenn es glaube ich darum gehen würde, dass sie die illegal oder [.] weiterverwenden würden“ (P19).

4.2 Informationsarten und die damit verbundenen Risiken

Wie zuvor erwähnt, behandelt diese Studie zwölf konkrete Informationsarten in den Interviews, um nicht nur deren Sensitivität, sondern auch die damit ver­bundenen Risiken herauszuarbeiten.

Sensitivität wurde in den Interviews daran gemessen, wie empfindlich die In­terviewteilnehmer die entsprechende Informationsart im Kontext ihrer Daten­schutzbedenken ansehen. Dies spiegelt auch die Tatsache wider, dass sich kaum einer der Probanden über die Datenschutzerklärungen und Berechtigun­gen der Anbieter informiert (vgl. Kapitel 4.1). Die Sensitivitätseinschätzung er­folgte, indem die Befragten auf einer mündlich kommunizierten Ordinalskala zwischen gar nicht sensitiv, wenig sensitiv, sensitiv und sehr sensitiv wählen konnten. An dieser Stelle galt auch wieder die Prämisse, die Sensitivitätsein- schätzung entsprechend des eigenen Verhaltens abzugeben. Werden bei­spielhaft Profilbilder als sehr sensitiv eingestuft, so pflegt der Befragte einen sehr bedachten Umgang damit (P7). Wird hingegen eine Information häufig und leichtsinnig preisgegeben, so entspräche die höchste Sensitivitätsstufe nicht dem tatsächlichen Offenbarungsverhalten (P20). Dass die selbst berich­teten Präferenzen nicht unbedingt dem tatsächlichen Verhalten entsprechen, zeigte sich jedoch zumeist im weiteren Gesprächsverlauf (Morando et al. 2014, S.3).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4-1 zeigt die Ergebnisse für jede einzelne Informationsart:

Gesundheitsdaten Bankkontodaten Handynummer Passwort Kontaktlisten GPS-Daten Adresse (Profil-) Bilder Soziale Netzwerkprofile E-Mail-Adresse Beruf Geburtsdatum gar nicht sensitiv «wenig sensitiv «sensitiv «sehr sensitiv Abb. 4-1: Sensitivitätseinschätzung Demzufolge werden insbesondere die Handynummer, das Passwort und die Kontaktlisten als sensitive bis sehr sensitive Informationen angesehen. Beson­dere Beachtung ist den Gesundheitsdaten und den Bankkontodaten zu schen­ken, die größtenteils als sehr sensitiv eingestuft werden. Das Geburtsdatum und der Beruf hingegen fallen hauptsächlich in die Kategorien gar nicht bis wenig sensitiv. Große Varianz zeigt sich bei den sozialen Netzwerkprofilen, der E-Mail-Adresse und den (Profil-) Bildern. Zusammenfassend lässt sich somit eine Tendenz erkennen, die dafür spricht, dass den verschiedenen In­formationsarten unterschiedlich große Bedeutung zugetragen wird (Mothersbaugh et al. 2012).

Alle Personen zwischen 20 und 30 Jahren geben an, auf E-Commerce-Seiten, aber vor allem auf sozialen Netzwerken leichtfertiger persönliche Informatio­nen zu hinterlegen, als auf anderen Internetseiten: „Wenn ich jetzt für die so­zialen Netzwerke spreche, dann bin ich eigentlich eher ein bisschen unvor­sichtig, was [meine] Daten [betrifft]“, „speziell über Facebook und Instagram würde ich [...] schon sagen, dass ich da mehr Daten preisgebe, als [auf ande­ren] Websites.“ ⁹ (P17). Personen über fünfzig Jahre konnten solch ein Verhal­ten hingegen nicht bestätigen.

[...]

¹ Bei allen Bezeichnungen, die auf Personen bezogen sind, betrifft die gewählte Formulierung beide Geschlechter, auch wenn aus Gründen der leichteren Lesbarkeit die männliche Form gewählt wurde.

² Die Allgegenwärtigkeit von Smart Devices, wodurch Personen unabhängig von Ort und Zeit miteinander in Echtzeit kommunizieren können (Lee et al. 2013, S.862; Siepermann 2018).

³ Informations- und Kommunikationssysteme

⁴ Alleine in Snapchat, eine mobile Chat-App, die weltweit über 191 Millionen Menschen im Jahr 2018 zählt, werden täglich mehr als 3,5 Milliarden Bilder (Snaps) verschickt (Firsching 2018). Der Messenger Dienst WhatsApp verzeichnet täglich eine Milliarde aktive Nutzer, die pro Tag ein Nachrichtenvolumen von 55 Mrd. Nachrichten generieren. Diese Nach­richten enthalten 4,5 Mrd. Bilder und 1 Mrd. Videos (Statista 2017).

⁵ Sog. Privacy Enhancing Technologies

⁶ Passwort, Geburtsdatum, Beruf, E-Mail-Adresse, Handynummer, Soziale Netzwerkprofile, Kontaktlisten, (Profil-) Bilder, Bankkontonummer/ -daten, Gesundheitsdaten/ Krankenge­schichte, Adresse, GPS-Daten.

⁷ Skalierungsverfahren zur Messung der Einstellung (Wübbenhorst 2018), in diesem Falle ba­ sierend auf einer Ordinalskala.

⁸ P für Participant

⁹ Allerdings gibt es für diese Sonderfälle keine einheitliche Erklärung von Seiten der Befragten.