Falsches Vertrauen: Warum Datenschutz-Einstellungen nicht zu mehr Datenschutz führen

Nutzer von Sozialen Netzwerken geben mehr und persönlichere Informationen über sich preis, wenn sie glauben, den Zugriff darauf kontrollieren zu können. Das ist das Ergebnis einer Studie von Psychologen der Carnegie Mellon University. Paradoxerweise kann das nach hinten los gehen – und sensible Daten öffentlich werden, die man privat geglaubt hat.

In der Psychologie gibt es das Phänomen der Risikokompensation: Weil sich Autofahrer durch Gurte und andere Maßnahmen sicherer fühlen, fahren sie risikoreicher als ohne. In ihrer Studie Misplaced Confidences: Privacy and the Control Paradox, die netzpolitik.org vorliegt, wenden die Psychologen Laura Brandimarte, Alessandro Acquisti und George Loewenstein diese Theorie auf den Umgang mit Privatsphäre im Internet an. Dabei beobachteten sie ein „Kontroll-Paradox“: Je mehr Kontrolle über Datenschutzeinstellungen man hat, desto mehr Details geben Leute von sich preis.

Sebastian Herrmann fasst die Experimente auf Süddeutsche.de zusammen:

Die Wissenschaftler ließen ihre Probanden Fragebögen ausfüllen, in denen sie teils sehr intime Fragen stellten. Angeblich sollten aus den persönlichen Informationen der Teilnehmer etwa Profile für ein neues soziales Netzwerk an der Universität erstellt werden. Hatten die Probanden wenigstens einen winzigen Einfluss darauf, wie mit den Daten umgegangen wurde, verrieten sie besonders viele Details. Verfügten sie scheinbar über keine Kontrolle, waren sie weniger auskunftsfreudig.

Kontrollverlust erhöhte das Misstrauen: In einem Experiment hieß es, nur die Hälfte der Fragebögen werden werde per Zufall zur Veröffentlichung ausgewählt. Objektiv reduzierte dies das Risiko, dass sensible Antworten aus den Fragebögen öffentlich wurden. In der Praxis ließ diese Situation manche Probanden aber verstummen: Sie gaben sehr viel weniger von sich preis als jene Gruppe, von der 100 Prozent der Daten öffentlich gemacht werden sollten – sie empfanden die Unsicherheit als Kontrollverlust.

Schutzmaßnahmen wie Datenschutz-Einstellungen können somit auch das Gegenteil bewirken. Je mehr Kontrolle man glaubt zu haben, desto sensiblere Daten gibt man preis. Diese können jedoch objektiv riskanter sein, in der Studie waren das: Diebstahl, Lügen und Drogenkonsum. Mehr Kontrolle führt also nicht automatisch zu mehr Datenschutz.

16 Ergänzungen

  1. Stimmt! Gäbe es bei Facebook Datenschutz (-Einstellungen), würde ich mich sogar dort anmelden. Wer sich dort anmeldet ist Teil des Produkts und mit Produktdaten knausert Facebook nicht bei seinen Kunden – genauso wie unsere Einwohnermeldeämter.

    1. Es gibt auf Facebook durchaus „Privatsphäre-Einstellungen“, die in etwa die Funktion von Datenschutz-Einstellungen übernehmen (http://www.facebook.com/settings/?tab=privacy). Wobei die oben angesprochene Problematik natürlich bestehen bleibt: Man bekommt einen (teilweise auch nur angenommenen) Einfluss auf den Schutz der eigenen Privatsphäre und geht entsprechend sorgloser damit um.

      1. Ich war Facebookmitglied und habe da so wenig wie irgendwie möglich über mich verraten. Die Datenschutzeinstellungen wurden mir irgendwann zu unübersichtlich und zu kompliziert. Da hab ich dann einfach den Account gelöscht. Ich frage mich gerade wie sich das in der Studie darstellt.

    2. Würde Facebook auf meinem Rechner laufen und die Daten nur verschlüsselt und nur mit meinen Freunden austauschen, und würden alle Rechte an meinen Inhalten bei mir bleiben, dann würde ich mich vielleicht anmelden.

      Aber dann wäre es nicht Facebook.

      1. @niemand
        und du meinst, deine daten interessieren jemanden?
        Ja! Warum sonnst kopiert Facebook und Co. ganze Telefonbücher aus Mobiltelefonen und Groupwares? Service für den User?

  2. Die Feststellung habe ich bei mir selber auch schon beobachtet und mich deshalb bewusst dazu entschlossen, jedes soziale Netzwerk und jede Internetseite – auch wenn es dort noch so tolle Datenschutzeinstellungen gibt – zu behandeln als wäre es Twitter bzw. sowieso vollständig öffentlich.
    Im Zweifelsfall habe ich dadurch kein böses Erwachen, wenn die Services gehackt werden oder Daten durchsickern oder ich irgendeine Einstellung falsch verstanden haben sollte.

  3. Das gleiche gilt für Datenschutz-Gesetze. Diese erzeugen einen Schein von Datenschutz.

    Deshalb schaden die Datenschutz-Gesetze nur. Denn hinten rum wissen wir eh nicht was passiert.

    Nützlich ist nur die Eigeninitiative, der Selbstdatenschutz!

    1. Datenschutzgesetze können bei einem Bruch des Datenschutzes eine strafe bedeuten – oder besser noch: Sicherstellen, dass Daten gelöscht werden müssen oder gar nicht erst erhoben werden dürfen.

      Nennt sich dann Datensparsamkeit: Jeder darf nur das haben, was er wirklich braucht.

      Und es kann auch Strafen geben, ohne dass Schaden verursacht wurde.

      1. Wenn man glaubt, dass staatliche Verfolgung von Datenschutzverletzungen abschreckend wirken, so besteht tatsächlich auch ein gewisser Anteil an realer Sicherheit, statt nur einer Schein-Sicherheit.

        Datenschutzgesetze sind aber nicht gleich Datenschutzgesetze.

        Es gibt Gesetze die stärken die Selbstbestimmung und es gibt Gesetze, die schwächen die Selbstbestimmung.

        Ein Gesetz, welches die Selbstbestimmung schwächt, wird in der Praxis eher ignoriert, da sich nicht alle daran binden wollen, da sie sich in ihrer Handlungsfreiheit eingeschränkt fühlen.

        Wer sich auf Gesetze verlässt, die die Selbstbestimmung im Sinne der allgemeinen Handlungsfreiheit einschränken, der verlässt sich auf Gesetze, die eher ignoriert werden.

        Ein Gesetz welches besagt, dass freiwillige Abmachungen zum Datenschutz eingehalten werden mussen, wird eher beachtet, als ein Gesetz, welches besagt, dass eine Firma zwangsweise keine Daten speichern darf, obwohl sie die Datensparsamkeit nie zugesichert hat.

        Daher sollte man sich nicht auf Datensparsamkeitsgesetze verlassen, sondern sich im Selbstdatenschutz üben.

        Alternativ kann man auch bewusst Firmen bevorzugen, die freiwillig Datensparsam agieren.

        Durch eine gesetzlich erzwungene Datensparsamkeit lassen sich die AGBs der Firmen nicht mehr so leicht unterscheiden, wer den nun *wirklich* Datensparsam ist.

        Einleuchtend, oder?

        Die Gesetze sehen immer so toll aus, aber wenn man näher hinschaut findet man krasse Seiteneffekte.

        Daher: Selbstdatenschutz und freiwillige Datenschutzvereinbarungen statt gesetzlich erzwungene Richtlinien.

  4. Datenschutz kann nur Funktionieren wenn man den Nutzer die gleichen rechtlichen Instrumente zubilligt wie der „Daten Industrie“.
    Zur Zeit ist der Nutzer trotz Datenschutzgesetze rechtlich gegen diese Firmen ziemlich machtlos.
    Könnte er diese wie die Urherberrechts Industrie für illegale Downloads ebenfalls in gleicher Höhe für Datenschutzverstöße persönlich Abmahnen hätte sich das Problen sicher schnell Erledigt.
    Dann wäre sogar die Abmahninsustrie einmal Nützlich ;-)

  5. Was hat dieser Test denn mit Kontrolle zu tun? Weder bei der 50%-Zufalls- noch bei der 100%-Veröffentlichungsvariante konnte ja scheinbar irgendeiner der Probanden etwas kontrollieren, im Sinne von aktiv entscheiden, was wann wo wie öffentlich sein durfte. Spielt da vielleicht eher eine gewisse Gruppendynamik rein, im Sinne von alle veröffentlichen das, wird schon alles passen. Oder eine generelle Aversion gegen Zufallsereignisse in der Entscheidungsfindung? Gabs ja auch schon genügend Untersuchungen, die sich dazu auslassen. Oder die Sorge, falls in einer kleinen Gruppe auch nur noch die Hälfte veröffentlicht wird, mehr im Fokus zu stehen und evtl. wiedererkannt zu werden? Und wo ist denn dieser genannte „winzige“ Einfluss überhaupt vorhanden? Tatsächliche Kontrollmöglichkeiten wurden ja weder zur Wahl gestellt noch vorgegeben. Zufall ist keine Kontrolle!

    Klingt mir jedenfalls alles mindestens diskusssionswürdig, um nicht zu sagen unplausibel. Oder um es anders zu formulieren – ein völlig ungeeignetes Experiment, um überhaupt irgendeine Aussage zur eigentlichen Arbeitshypothese zu treffen! Mir scheint hier werden mal wieder völlig eindimensional Schlüsse gezogen, um möglichst effektheischend irgendeine Publikation zusammenzukleistern. Ob was Sinnvolles bei rauskommt interessiert ja eh keinen!

  6. Für mich sind die Datenschutzeinstellungen auch nur dazu da, im Zweifelsfall das Unternehmen bei den Eiern haben zu können wenn bekannt wird das dagegen verstoßen wird.
    Alles andere wäre ja ziemlich Naiv. :)

  7. Diese tatsächlich nicht vorhandene Kontrolle führt dazu, dass ich – selbst wenn es um den engsten Freundeskreis geht – immer vorher überlege, ob ich eine Information jeder Person anvertrauen würde bzw. wie viel Schaden eine Information anrichten kann, wenn sie jeder kennt. Kann ich diese Frage nicht positiv beantworten bzw. fällt die Überlegung negativ aus, gebe ich die Information nicht preis. Auch ohne Paranoia sollte sich jeder im Klaren darüber sein: Daten, die man einmal preisgegeben hat, kann man nicht mehr zwingend kontrollieren.

    Konsequenterweise sind meine Profile in sozialen Netzwerken öffentlich, werden aber kaum mit Daten gefüttert.

  8. Gut zu erkennen ist, dass beliebige Unsicherheiten die Bereitschaft etwas preis zu geben bereits erheblich zu verringern scheinen.
    Viele Menschen vertrauen blind auf die Datenschutzrichtlinien und setzen einfach ihr Häkchen. Wer allerdings einmal eine entsprechende Datenschutzerklärung gelesen, oder es zumindest versucht hat, merkt wie schnell die Unsicherheit und die Vorsicht in Anbetracht der Komplexität wächst.
    Ich vermute unter anderem das grundsätzliche Lesen der Datenschutzrichtlinien verstärkt bei mir die Vorsicht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.