Durch die Datenschutzgrundverordnung erhalten Verbraucher mehr Mitbestimmungsrechte bei der Verarbeitung ihrer Daten. Wir haben untersucht, wie Verbraucher Datenschutz im Netz heute wahrnehmen. Insbesondere interessierte uns dabei, ob Verbraucher ihre Rechte und Möglichkeiten in der Praxis ausüben und welchen Hürden sie gegenüberstehen.
2018 sorgte die Einführung der Datenschutzgrundverordnung (DSGVO) für erheblichen Wirbel. Schärfere Regelungen bei der Verarbeitung personenbezogener Daten ermöglichen den Verbrauchern sowohl Transparenz hinsichtlich der Verarbeitung ihrer Daten als auch die Möglichkeit, selbstbestimmt Einfluss auf die Verarbeitung zu nehmen.
In diesem Zusammenhang stellte sich uns die Frage: Wie gehen die Verbraucher mit Datenschutz im Netz um? Lesen sie die ihnen zur Verfügung gestellten Datenschutzerklärungen überhaupt? Und wenn ja: Verstehen sie sie auch? Nutzen sie darüber hinaus die Möglichkeiten, die ihnen die Firmen mittels Datenschutzeinstellungen geben?
Um diese Fragen zu beantworten, führten wir Studien mit Bürgerinnen und Bürgern in Kaiserslautern durch, unter anderem in der Ausstellung „Ohne Schlüssel und Schloss“ im Museum Pfalzgalerie. Insgesamt konnten wir knapp 1.800 Personen befragen – also immerhin fast zwei Prozent der Einwohner Kaiserslauterns (wobei natürlich nicht alle Teilnehmer der öffentlichen Ausstellung aus Kaiserslautern kamen). Wir stellten Wissens- und Einschätzungsfragen hinsichtlich Sicherheit und Datenschutz im Internet und beim Umgang mit Smartphones. Außerdem befragten wir die Teilnehmer nach ihrem Verhalten beim Umgang mit Datenschutzerklärungen und Datenschutzeinstellungen.
Lesen Verbraucher Datenschutzerklärungen?
Datenschutzerklärungen sind häufig die einzige Informationsquelle, wenn Verbraucher sich über die Verwendung ihrer Daten informieren wollen. Dennoch gab etwa die Hälfte der Befragten an, dass sie Datenschutzerklärungen niemals lesen. Ein weiteres Viertel der Befragten liest Datenschutzerklärungen wenigstens in etwa der Hälfte aller Fälle. Doch der Grund für diese schlechten Quoten ist nach eigenen Aussagen der Teilnehmer nicht, dass sie kein grundlegendes Interesse an Datenschutzerklärungen haben. Jedoch findet die überwiegende Mehrheit die heutzutage angebotenen Datenschutzerklärungen schlichtweg zu lang (73 %) und zu kompliziert (42 %). Übrigens: Würde ein durchschnittlicher Internetnutzer jede Datenschutzerklärung jeder Seite, die er in einem Jahr besucht, lesen, so wäre er damit 244 Stunden pro Jahr beschäftigt. (Quelle: McDonald & Cranor, 2008: The Cost of Reading Privacy Policies). Dies untermauert natürlich die Einschätzung der Befragten.
Beschäftigen sich Verbraucher mit Datenschutzeinstellungen?
Ähnliche Probleme scheint es den Befragten zu machen, wenn sie Datenschutzeinstellungen vornehmen wollen oder sollen. Auch hier gaben viele der Befragten an, dass sie diese Aufgabe zu viel Zeit koste (28 %) und zu kompliziert sei (34 %). Im Vergleich zu Datenschutzerklärungen war aber ein interessanter Unterschied zu erkennen: Über ein Viertel der Befragten gab an, dass sie es überhaupt nicht für notwendig erachten, Datenschutzeinstellungen vorzunehmen. Dies lässt vermuten, dass Transparenz den Befragten entweder ein höheres Bedürfnis zu sein scheint als selbst Einstellungen vorzunehmen, oder dass die Befragten davon ausgehen, dass Systeme standardmäßig sicher konfiguriert sind (Privacy by Default).
Wie nehmen Verbraucher den Datenschutz im Internet wahr?
Generell konnten wir feststellen, dass die meisten Nutzer durchaus ein grundlegendes Verständnis für die fundamentalsten Sicherheitskonzepte haben. So konnten fast 80 % der Befragten das sicherste Passwort aus einer vorgegebenen Liste identifizieren. Auch hatten über zwei Drittel der Befragten ein gutes Verständnis dafür, wozu Berechtigungen von Smartphone-Apps verwendet – oder eben auch missbraucht – werden können. Nichtsdestotrotz scheint das Risikobewusstsein und das Verhalten der Verbraucher dem nicht zu entsprechen. 60 % der Befragten würden ein peinliches Foto von sich lieber auf Facebook anstatt angepinnt an einer Bushaltestelle sehen – auch wenn die Reichweite bei Facebook potenziell 40.000 Mal höher ist! Auch gelang uns das Experiment, dass die Hälfte der Befragten auf unserem Rechner ein Passwort für eine Prüfung der Passwortstärke eingeben wollten. Ob die Befragten nun ihr echtes Passwort geprüft hätten, bleibt dabei natürlich offen. Wir haben selbstverständlich lediglich den Versuch protokolliert und die Eingabe direkt technisch unterbunden.
Fazit
Zusammenfassend bestätigen unsere Ergebnisse die Erkenntnisse der einschlägigen Literatur. Diese zeigt insbesondere, dass trotz hoher Anstrengungen Transparenz und Selbstbestimmung für den durchschnittlichen Verbraucher immer noch nicht einfach zu erreichen sind. Um zur Lösung dieses Problems beizutragen, führen wir am Fraunhofer IESE diverse Aktivitäten durch. Dazu zählen beispielsweise das Projekt TrUSD und der Arbeitskreis Usable Security and Privacy der German UPA.