Forschungsprojekt CONSENT: User fühlen sich machtlos gegenüber Onlinediensten – mit Recht

Internetnutzer/innen gehen davon aus, dass Webdienste ihre Daten ohne ihr Wissen benutzen. Zurecht lehnen sie diese Praktiken ab, sehen aber keine Alternativen. Zu diesem Ergebnis kommt das Forschungsprojekt CONSENT, das Teil des 7. Forschungsrahmenprogramms der EU war. Beteiligt waren Universitäten in 14 EU-Mitgliedsstaaten. CONSENT ging der Frage nach, ob wir (un)freiwillig der Abschaffung unseres Grundrechts auf Privatsphäre im Internet zustimmen. Geforscht wurde in zwei Richtungen: 1. User-Wahrnehmungen zu Privatsphäre im Internet und 2. Praktiken der Diensteanbieter. Mit EU-Geldern wird also nicht nur an Überwachungsprojekten wie INDECT gearbeitet.

Was Nutzer/innen über Privatsphäre denken

Bewusstsein: Die überwiegende Mehrzahl der Befragten denken, dass ihre Daten ohne ihr Wissen und ihre Zustimmung weitergegeben werden – auch an Dritte. Interessant ist dabei, dass ihre Kenntnis über die Vorgänge der Datenverarbeitung sehr stark variiert: So glauben zwischen 41% und 91% [sic!] der Befragten über Cookies Bescheid zu wissen.

Akzeptanz: Solange sie um Erlaubnis gebeten werden, finden die meisten User die Verarbeitung ihrer Daten zu Werbezwecken okay. Allerdings akzeptiert nicht mal mehr die Hälfte der Befragten das „Verkaufen von Nutzerinformationen“ und das „Teilen von Nutzerinformationen mit Drittparteien“ – trotz Zustimmung zur Datenverarbeitung.

Aktivwerden: Nur 24% der befragen Nutzer/innen lesen die Datenschutzbestimmungen von Onlinediensten. Lediglich 11% geben an, diese auch zu verstehen. Weniger als die Hälfte der Befragten nutzen eine Webseite nicht, wenn sie mit deren Datenschutzbestimmungen nicht einverstanden sind. Das interessanteste Resultat: Es besteht ein klarer Zusammenhang zwischen dem Wissen über die Praktiken des Dienstanbieters und den technischen Schutzvorkehrungen, die User treffen. Anders gesagt: Wer weiß was läuft, versucht sich auch zu schützen.

Nationale Unterschiede: Die Resultate unterscheiden sich signifikant nach dem Herkunftsland der Befragten. Generell besteht ein höheres Bewusstsein und Interesse an Datenschutz in den wohlhabenderen Ländern Europas. Trotzdem ist die Einschätzung des tatsächlichen Risikos in ärmeren Ländern höher: Rumän/inn/en fürchten viel eher als Deutsche die Konsequenzen der Onlinerisiken.

Fazit: Es zeigt sich, dass die Befragten den Datenverarbeitern grundsätzlich misstrauen, aber wenig Alternativen zu ihnen sehen. Zudem gibt es wenig fundiertes Wissen darüber, was mit ihren Daten geschieht. Nur so lässt sich erklären, dass sie personalisierte Werbung zumeist akzeptieren, aber die Weitergabe und den Verkauf ihrer Daten an Dritte, nicht. Bei trackingbasierter Werbung geht allerdings beides einher. Die Resultate zeigen auch, dass es besonders in den ärmeren Ländern Europas Menschen gibt, die konkrete persönliche Risiken fürchten und Datenschutz brauchen.

Die Studie befragte überdurchschnittlich viele Studierende und Akademiker/innen, die in urbanen Räumen leben. In der Gesamtbevölkerung ist wohl von noch weniger Datenschutzwissen auszugehen.

Wie Onlineanbieter agieren

Hier gab es wenig überraschende Resultate. Wir alle wissen um die ziemlich intransparenten Praktiken, besonders im Bereich der Sozialen Netzwerke. Die Studie unterstreicht dies noch einmal. Nur 38 der 107 der untersuchten sozialen Netzwerke verlangten explizite Zustimmung zur Verarbeitung persönlicher Daten für kommerzielle Zwecke. Aufgrund der Monopolstellung von Facebook, das europäischen Datenschutz mit Füßen tritt, ist die Aussagekraft dieser Untersuchungen allerdings fraglich. Im Gegenteil: Durch die Vermengung mit vielen anderen kleineren unbedeutenden Anbietern, laufen die Resultate Gefahr, den Status quo zu schönen. Was nutzen hundert Soziale Netzwerke, wenn fast alle – mehr oder weniger freiwillig – eins benutzen.

User sind strukturell benachteiligt – Gesetze können das ändern

Die Ergebnisse zeigen deutlich, dass von einer bewussten Abwägung, bei der die Nutzer/innen sich informiert für Facebook, Google und Co. entscheiden keine Rede sein kann – entgegen dem, was Post-Privacy-Vertreter @tante in seiner Kritik an den BigBrotherAwards formuliert:

Denn obwohl Medien kritisch über Firmen wie Facebook, Google berichten, nutzen viele Menschen ihre Dienste. Einige der Risiken dabei können Nutzer gut abschätzen. Und sie entscheiden sich, die Dienste doch zu nutzen, obwohl ihre Daten ausgewertet werden, um beispielsweise optimierte Werbung zu zeigen. Da übersteigt für viele Anwender der Nutzen die Kosten.

Die „Kosten-Nutzen-Abwägung“ ist eine Illusion. Die User sind gegenüber den Diensteanbietern strukturell benachteiligt. Nicht nur fehlendes Wissen beeinträchtigt ihre Privatsphäre. Quasimonopole produzieren Lock-in-Effekte: Facebook oder Gmail verlassen ist für viele unvorstellbar. Abhilfe können Gesetze schaffen: Die Datenschutzverordnung kann das Gleichgewicht durch explizite Zustimmung, Recht auf Datenmitnahme (zur Konkurrenz) sowie Transparenz- und Kontrollmechanismen zugunsten der Nutzer/innen verschieben. Ende Mai stimmt das Europäische Parlament über unseren europäischen Datenschutz für die nächsten Jahrzehnte ab. Noch ist Zeit, für ein starkes Gesetz zu kämpfen.

Spiegel Online ist dieser Gesetzgebungsprozess wohl zu komplex, um ihn journalistisch zu begleiten. Stattdessen veröffentlicht SpOn Gastbeiträge mit der Meinung weniger privilegierter junger Männer. Das bringt mehr Klicks und macht weniger Arbeit.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. > Rumän/inn/en
    [x] I lol’d

    > Zudem gibt es wenig fundiertes Wissen darüber, was
    > mit ihren Daten geschieht. Nur so lässt sich erklären,
    > dass sie personalisierte Werbung zumeist akzeptieren,
    > aber die Weitergabe und den Verkauf ihrer Daten an
    > Dritte, nicht.
    Das kann ich nicht ganz nachvollziehen: Es ist doch ein wesentlicher Unterschied, ob Daten an andere weitergegeben werden oder aufgrund dieser Daten, also nur intern, Auswertungen stattfinden von denen Dritte profitieren.

    > Facebook oder Gmail verlassen ist für
    > viele unvorstellbar.
    Ehrlich gesagt hält sich mein Mitleid in diesen Fällen wirklich in Grenzen. Wer raucht ist ebenfalls selber schuld an den Folgen.

    Das schwerwiegendste Argument ist und bleibt für mich dagegen die vorher im Text erwähnte Unwissenheit. Die gab’s auch beim Rauchen noch vor einigen Jahrzehnten und wurde bewußt von der Tabakindustrie zu erhalten bewahrt.

    Wenn jemandem aber klar ist was Facebook & Co mit ihnen bzw. ihren Daten anstellt und es dennoch nutzt, ist das sein gutes Recht und seine Verantwortung. Es gibt genügend Alternativen.

  2. „Aufgrund der Monopolstellung von Facebook, das europäischen Datenschutz mit Füßen tritt, ist die Aussagekraft dieser Untersuchungen allerdings fraglich“

    Solche polemischen Formulierungen können dazu führen, dass man immer weniger Ernst genommen wird.

    Vor ein paar Wochen hier es hier noch schrill, die bahn würde mit Kundendaten handeln:
    „Schnelles Dementi der Bahn zum Datenhandel“
    https://netzpolitik.org/2013/schnelle-reaktion-der-bahn-zum-kundendatenschutz/

    Es war eine Ente, dass die Bahn vor hatte, mit Daten zu handeln. Und datenschutzrechtlich waren die Aktivitäten nach dem strengen deutschen Bundesdatenschutzgesetz sauber, wie wir vom hessischen Datenschützer lernen durften:
    „Hessischer Datenschutzbeauftragter bestätigt: Spiegel-Bericht zu Datenverkauf durch die Bahn war eine Ente“
    http://www.cr-online.de/blog/2013/04/14/hessischer-datenschutzbeauftragter-bestatigt-spiegel-bericht-zu-datenverkauf-durch-die-bahn-war-eine-ente/

    Ich habe immer mehr den Verdacht, dass in Europa mehr Kraft in Verschwörungstheorien gesteckt wird als in die Entwicklung wettbewerbsfähiger Produkte. In Bielefeld durften wir wieder hören, wie schlimm doch Google ist, obwohl jeder in Deutschland die gleiche Chance hatte, Gleiches oder Besseres zu machen. Und wenn man dann die Hoffnung auf den Standort aufgegeben hat, dann ruft man den Gesetzgeber wie im Sozialismus: „Weil Porsche nur was für Raser ist, die Kinder tot fahren, bekommen die DDR-Bürger nur Trabbis“.

    Ich glaube,diese Rufen nach starkem Staat funktioniert nicht. Gerade auch in Deutschland. Die EUdataP ist im Entwurf schon Schrott. Der staatliche Datenschutz wurde abgekoppelt: VDS, Bestandsdaten, Schilypakete, Großer Lauschangriff, rechtswidriger Bundestrojaner (von mehreren Datenschützern unter Geheimschutz gestellt wie ja auch hier zu lesen war)), Funkzellenabfrage, alles bleibt beim Alten. Deutsche Urlauber bekommen nicht mal in der Türkei Datenschutz von der EU und unsere Soldaten in Mali auch nicht. Kleine Firmen werden sich wegen der Datenschutzauflagen kein öffentliches Angebot mehr leisten können. Und bei den Problemen bei Google und Facebook wird es nicht besser. Im Gegenteil: schwere Datenschutzverfehlungen werden nicht mehr mit Gefängnis bedroht, sondern die Firmen können sich im Ablasshandel durch Geld von den Aktionären frei kaufen und die Täter lachen sich ins Fäustchen.

    Ich denke, wir werden freundlich unsere globalen Datenschutzprobleme mit den globalen Stakeholdern besprechen müssen. Regionale, trotzköpfige Gesetze wie bei EUdataP gegen Facebook nutzen weder in Iran, noch in China noch in der EU.

    1. Dein Argument ist also allen Ernstes, dass es keine neue/andere/verschärfte Regelung braucht, weil es in anderen Nicht-EU-Ländern auch keine gibt?
      (Achtung, Polemik) Sollen wir dann auch die Todesstrafe wieder einführen, weil es sie in anderen Ländern gibt und sie dort ja so gut funktioniert?

      1. Da hast Du was nicht verstanden. Kernaussagen sind:
        – wir müssen endlich anfangen, Datenschutz in einem globalen Medium auch global zu regulieren, wie wir das auch mit Genfer Konventionen, WIPO und WTO machen. Eine regionale Regulierung wie in China, Iran oder EU wird nicht funktionieren.
        – Der Ton (Ruf nach starkem Staat/Mann/Gesetz) ist befremdlich und holt die Betroffenen nicht ins Boot sondern schreckt sie ab. Wie in China, wo sich die Diktatur auch mit starkem Gesetz abschottet.
        – ein reines Lex-Facebook ohne Datenschutz vor dem Staat ist Pillepalle und Blendwerk, aber kein Datenschutz. Wenn Du gegen Bestandsdatenabfrage bist, dann tut EUdataP nichts, gar nichts für Dich.

        1. Natürlich, wenn auch nicht in direktem Ursache-Wirkung-Zusammenhag.

          1. Die Datenschutzreform besteht auch aus einer Richtlinie für den Polizei- und Justizbereich.

          2. Die Definition, was ein personenbezogenes Datum ist, ist elementar im Streit um die Bestandsdatenauskunft. Wenn auf EU-Ebene festgelegt wird, dass eine IP-Adresse ein personenbezogenes Datum ist, bringt das ein ganz anderes Gewicht in die Bestandsdaten-Debatte, wo sich derzeit Gegner/innen und Befürwroter/innen auf die vage Interpretation von Bundesverfassungsgerichtsurteilen stützen. Die Definitionen in Richtlinie und Verordnung sollen aller Voraussicht nach die gleichen sein.

      2. „Wenn auf EU-Ebene festgelegt wird, dass eine IP-Adresse ein personenbezogenes Datum ist, bringt das ein ganz anderes Gewicht in die Bestandsdaten-Debatte, wo sich derzeit Gegner/innen und Befürwroter/innen auf die vage Interpretation von Bundesverfassungsgerichtsurteilen stützen.“

        Wenn das so festgelegt wird, dann zeigt das den Irrsinn der EU-Maßnahmen:
        http://wk-blog.wolfgang-ksoll.de/2011/11/30/sind-ip-adressen-personenbezogen/
        Wir können auch gerne festlegen, dass KfZ-Kennzeichen personenbezogen sind. Schließlich kann man einem KfZ-Kennzeichen immer auf einen Halter zurückschließen, der meist eine natürliche Person ist. Die EU ist dafür bekannt, dass sie weltfremde, bürokratische Festlegungen machen, die niemandem nutzen.

        So zu tun, als wenn die Richtlinie bei Polizei- und Justiz so wirkungsmächtig wäre wie die Verordnung, ist weltfremd. Bei der Dienstleistungsrichtlinie und der Vorratsdatenspeicherung scheisst Deutschland auf die Umsetzung der Richtlinie. Die Signatur-Richtlinie ist so absurd, dass man so auch weglassen könnte (qualifiziert bei uns, einfach in England: nicht kompatibel). Wir haben doch gesehen, dass die EU Millionen ausgibt, um auch in der EU Fluggastdaten als Vorratsdatenspeicherung auszuprägen. Wir haben gesehen, dass die EU terabyteweise und unkontrolliert personenbezogene Daten auf dem Terrortrip in Ausland exportiert. Und diese Leute sollen jetzt plötzlich nur wegen des Lex Facebooks sich um 180 Grad beim Datenschutz drehen? Wem nützt es, wenn man solche weltfremden Illusionen verbreitet? Wir werden bei Polizei- und Justiz sehen, dass der Polizeistaat auch bei Reform des Datenschutzes in der EU weiter aufwächst. Es wird nichts verbindliches beschlossen werden, sondern jeder kann weitermachen wie bisher, da nur Richtlinie. Wie Gutjahr es beschrieben hat:
        http://gutjahr.biz/2013/04/bestandsdatenauskunft/

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.