Digitales Nudging kann Nutzer online schützen

Die Nutzung mobiler Technologien und damit einhergehend die Vernetzung von Personen und Geräten nimmt stetig zu. Für Individuen sind Informations- und Kommunikations-Anwendungen (ICT-Anwendungen) in vielen Lebenslagen zu unverzichtbaren Begleitern geworden, man denke nur an die Rolle sozialer Netzwerke, den mobilen Konsum von Nachrichten oder die Online-Navigation. Unter dem Stichwort Personal-ICT (PICT) gewinnt die vom einzelnen Individuum ausgehende Analyse dieser Entwicklung verstärkt Bedeutung.

Unweigerlich ist damit auch die Zahl der online getroffenen Entscheidungen erkennbar gestiegen. Da hierdurch Nutzer immer mehr Informationskanälen ausgesetzt sind, ist das Risiko eines Information Overloads deutlich erhöht. Während zusätzliche Informationen zur Entscheidungsunterstützung hilfreich sein können, erreichen zu viele Informationen den gegenteiligen Effekt. Eine Möglichkeit, diesem Problem entgegenzuwirken, ist der Einsatz von digitalem Nudging als „Entscheidungsassistenz“ bei Online-Entscheidungen. Nudging bedeutet, das Verhalten der Konsumenten in deren Sinne so zu beeinflussen – ohne sie dabei in ihren Wahlmöglichkeiten einzuschränken – dass sie die für sie günstigsten Entscheidungen treffen, basierend auf der verhaltensökonomischen Erkenntnis, dass Individuen häufig irrational entscheiden. Das digitale Nudging bezeichnet den Einsatz von Design-Elementen bei der Gestaltung von Benutzeroberflächen, um das Verhalten von Personen in digitalen Entscheidungssituationen zu steuern.

Digitales Nudging und Privatheit

Im Zusammenhang mit der Nutzung von PICT stellt sich die Frage nach der digitalen Privatheit der Nutzer. Der Entscheidungsprozess eines Individuums bezüglich seiner Privatheit ist in Abbildung 1 schematisch dargestellt. Zentral in diesem Modell ist das Privatheitskalkül. Es besagt, dass Nutzer Kosten und Nutzen einer Privatheitsentscheidung abwägen und dementsprechend handeln. Auf den Entscheidungsprozess wirkt jedoch auch das sogenannte Paradox der Privatheit (Privacy Paradox) ein, welches beschreibt, dass Nutzer durchaus Risiken erkennen und wahrnehmen, ihr tatsächliches Verhalten dies jedoch nicht immer widerspiegelt. So kann es etwa vorkommen, dass Nutzer durch das Abwägen der Kosten und Nutzen eigentlich zu einer Ablehnung des Anbieters oder einer Nicht-Preisgabe von Daten tendieren, dann aber doch Daten preisgeben oder Datenschutzrichtlinien (Privacy Policies) zustimmen, die eigentlich nicht ihren Vorstelllungen von Privatheit entsprechen.

Eine vollständig zufriedenstellende Erklärung hierfür ist bisher noch nicht gefunden. Das Phänomen des Privacy Paradox steht jedoch im Einklang mit Erkenntnissen der Verhaltensökonomie, nach denen Individuen häufig nicht rational entscheiden. Drei Studien sollen im Folgenden beispielhaft aufzeigen, wie digitales Nudging im Kontext von Privatheit eingesetzt werden kann. Ein multidisziplinärer Literaturüberblick wird hierzu von Acquisti et al. vorgelegt, welcher die bisherige Forschung zur „Entscheidungsassistenz“ durch digitales Nudging bei Entscheidungen zur Privatheit und Sicherheit zusammenführt. So hat beispielsweise die Art der Präsentation von Informationen, so etwa ihre Reihenfolge oder Anordnung, großen Einfluss auf die Entscheidung. Ähnlich ist der Effekt von Defaults, also von vorausgewählten Einstellungen, da Individuen dazu tendieren, den Status quo beizubehalten und somit die Einstellungen nicht zu verändern. Nudges können auch in Form von Anreizen eingesetzt werden, welche die Nutzer motivieren sollen, ihren Privacy-Präferenzen entsprechend zu handeln.

Relevant ist auch die Art und Weise der menschlichen Informationsverarbeitung. Während die einen Informationen besser verbal verarbeiten, funktioniert es bei anderen besser visuell. Dies ist dementsprechend auch für die Verarbeitung von Informationen über den Umgang mit der eigenen Privatsphäre von Bedeutung. Schöning et al. haben dies in ihrer Studie zu Nutzerwahrnehmung und -verhalten in Bezug auf Krankenkassen-Apps untersucht.4 Solche Apps können Nutzern helfen, ihren Gesundheitszustand zu überprüfen (z. B. Monitoring von Bewegung, Medikamenteneinnahme etc.), teilweise erhalten Nutzer dadurch sogar einen Bonus für präventives Verhalten. Das Problem bei diesen Apps ist jedoch, dass Nutzer zögern, sensible Gesundheitsdaten preiszugeben. Gleichzeitig ist eine sinnvolle gesundheitliche Unterstützung durch solche Apps jedoch nur möglich, wenn ausreichend Nutzerdaten, in diesem Fall also persönliche Gesundheitsdaten, vorhanden sind. In einem Online-Experiment wurde den Probanden die entsprechende Privacy Policy zu einer fiktionalen Krankenkassen-App gezeigt, die in zwei Versionen vorlag: zum einen verbal via Text und zum anderen visuell via Icons. Die Probanden wurden zufällig einer der Gruppen (d. h. Versionen) zugeordnet. Mittels eines Fragebogens wurde der eigene Kognitionstyp (verbal oder visuell) des Probanden ermittelt. Die Daten dieser Studie zeigen, dass eine Übereinstimmung von Privacy-Policy-Design und Kognitionstyp die Risikowahrnehmung und damit Kostenwahrnehmung sowie Privacy-Bedenken von Nutzern senken kann.

Dennoch sind sich Smartphone-Nutzer häufig nicht der Daten(-mengen) bewusst, die von Apps auf ihrem Smartphone gesammelt werden. Almuhimedi et al. haben dieses Phänomen in einer Feldstudie untersucht, in der Nutzer einen sogenannten App-Permission-Manager installiert und zusätzlich Nudges gesendet bekamen, z. B. Informationen darüber, wie oft ihr Standort automatisch von Apps geteilt wurde.5 Diese Nudges sollten das Bewusstsein für die Datensammlung der Apps bei den Nutzern steigern. Die Daten aus dieser Studie zeigen, dass nach einer Woche mit App-Permission-Manager 95 % der Probanden ihre Einwilligungen bei Apps überdachten und 58 % der Probanden bei ihren Einwilligungen Einschränkungen vornahmen. Dies wiederum zeigt, dass durch digitales Nudging nicht nur das intendierte, sondern auch das tatsächliche Verhalten positiv beeinflusst werden kann.

Digitales Nudging und Sicherheit

Auch bei Sicherheitsentscheidungen kann der Einsatz von digitalem Nudging sinnvoll sein, da Nutzern oft Kompetenzen für die fundierte Abwägung von Chancen und Risiken bei der Festlegung ihres individuellen Sicherheitslevels fehlen. Abbildung 2 bringt dies zum Ausdruck. Im Folgenden möchten wir daher drei Studien vorstellen, die digitales Nudging im Kontext Sicherheit untersucht haben.

Nutzer entscheiden unterschiedlich impulsiv, sodass eine personalisierte Anpassung der Nudges gegebenenfalls effektiver wäre; allerdings sind personalisierte Nudges bei Sicherheitsfragen noch rar. Das Experiment von Jeske et al. setzt hier an.6 Die Probanden mussten dafür ein Netzwerk aus einem Menü von öffentlichen WLANs auswählen, wobei Farbschema und Anordnungsreihenfolge die Probanden zu sichereren Entscheidungen führen sollten. Die Analyse der gewonnenen Daten bestätigt, dass Nutzer mit geringen IT-Kenntnissen sowie Nutzer mit geringer Impulskontrolle schlechtere Sicherheitsentscheidungen treffen. Durch die personalisierten digitalen Nudges konnten jedoch die Entscheidungen von Nutzern mit geringer Impulskontrolle nachweisbar verbessert werden.

Ein sicherer Umgang online beinhaltet auch die Verwendung verschiedener Sicherheitstools. Ein solches Tool, die persönliche Firewall, wird in der Studie von Raja et al. genauer untersucht, da die Benutzerfreundlichkeit von persönlichen Firewalls der Schlüssel zu ihrer wirksamen Verwendung ist.7 In einem Experiment testeten die Wissenschaftler, inwiefern Nutzer einen Unterschied in ihrem Verhalten zeigen, wenn die Firewall als physische Sicherheits-Metapher dargestellt wird, verglichen mit einer Warnung in Textform. Es konnte gezeigt werden, dass Warnungen mit Sicherheits-Metapher das Verständnis der Warninformation erhöhen, die möglichen Risiken besser vermitteln, ein sicherheitsbewussteres Verhalten fördern sowie zu einem besseren Verständnis von persönlichen Firewalls und entsprechenden Verhaltenskonsequenzen im Allgemeinen beitragen.

Durch die Verbreitung von neuen Technologien fallen immer mehr Entscheidungen online. Da digitale Transaktionen nicht über persönlichen Kontakt stattfinden, steigt jedoch auch das Risiko, Opfer eines Internet-Betrugs zu werden. Um riskanten Online-Transaktionen vorzubeugen und die Vertrauenswürdigkeit und Zuverlässigkeit von Online-Transaktionen zu gewährleisten, werden daher Prozesse zur Identitätsverifikation immer wichtiger. Das Experiment von Schneider et al. untersucht vor diesem Hintergrund, welche Art von digitalen Nudges die Zahl von Online-Verifikationen erhöhen kann. Die gewonnenen Daten zeigen, dass sowohl sogenannte Promotion-Claims (die z. B. die zukünftige Zeitersparnis einer solchen Verifikation bewerben) als auch Prevention-Claims (die z. B. dem Nutzer Vertraulichkeit versichern) die Zahl von Online-Verifikationen signifikant erhöhen, wenn zusätzliche Informationen – wie z. B. Siegel – gegeben werden, wobei ein stärkerer Effekt bei den Prevention-Claims zu erkennen ist.

Fazit und Ausblick

Zusammenfassend lässt sich festhalten, dass digitales Nudging durchaus effektiv eingesetzt werden kann, um Nutzer zu besseren Entscheidungen bei der Sicherung der Privatsphäre zu veranlassen und gleichzeitig mehr Bewusstsein für solche Entscheidungen zu schaffen. Ein mögliches Risiko ist gleichwohl, dass digitales Nudging von Anbietern auch ausgenutzt werden kann, um die Privatheit und/oder Sicherheit der Nutzer zu schwächen. Dieser Aspekt sollte besondere Beachtung finden, da die Nutzung von Personal-ICT weiter an Bedeutung gewinnen wird und dadurch personenbezogene Daten als „Rohstoff“ immer wichtiger werden. Eine große Herausforderung wird daher sein, diese Probleme anzugehen und dabei sicherzustellen, dass sich Datenschutz und digitale Innovation in Zukunft nicht ausschließen, sondern sowohl den Bedürfnissen der Nutzer nach Privatheit und Sicherheit als auch den wirtschaftlichen Interessen der Unternehmen und der allgemeinen Öffentlichkeit gerecht werden.

Charlotte Schöning, Thomas Hess; 2020

https://www.wirtschaftsdienst.eu/pdf-download/jahr/2020/heft/2/beitrag/digitales-nudging-kann-nutzer-online-schuetzen.html

https://creativecommons.org/licenses/by/4.0/deed.de

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.

Swiss Infosec AG; 01.07.2020

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

Ein Fleckenteppich aus nationalen, regionalen und sektoriellen Vorgaben

Im Gegensatz zur EU gibt es in Amerika kein allumfassendes Datenschutzgesetz. Aber es gibt verschiedene andere Gesetze auf Bundes- und Landesebene, die die Daten schützen und sich mit dem Datenschutz befassen. Dieses Rahmenwerk ist jedoch unvollständig, und es gibt viele Bereiche wie das Recht, vergessen zu werden, das Recht auf Löschung usw., die noch nicht jedem Amerikaner zur Verfügung stehen. Hier finden Sie einen Leitfaden zu allen Gesetzen zum Datenschutz in den USA

Nationale Anforderungen und Vorgaben

Privacy Act, 1974

Dies ist eines der ersten Datenschutzgesetze weltweit und befasst sich mit der Sammlung, Nutzung und Verbreitung von „persönlich identifizierbaren Daten“. Der Vorbehalt hierbei ist jedoch, dass es sich nur um Informationen handelt, die von der Regierung gesammelt wurden. Es gewährt den Bürgern ein eingeschränktes Recht, die von der Regierung gespeicherten Daten zu erhalten, ein Recht auf Korrektur der gesammelten Daten. Es stellt auch sicher, dass nur begrenzte und notwendige Personen innerhalb der Regierung Zugang zu Ihren persönlich identifizierbaren Daten haben.

Aber, wie erwähnt, betrifft dies nur Regierungen bzw. die öffentliche Verwaltung. Private Unternehmen sind daher nicht daran gebunden

USA PATRIOT Act

Ein Akronym für „Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, 2001“, dieses Gesetz wurde unmittelbar nach den Anschlägen vom 11. September 2001 erlassen. Ein Gesetz, das ursprünglich darauf abzielte, den Terrorismus zu bekämpfen, ist nun zu einem Instrument für unnötige staatliche Überwachung geworden.

Dieses Gesetz erlaubt es der Regierung, alle persönlichen Informationen über eine Person zu sammeln und zu speichern, wenn sie der Meinung ist, dass diese an terroristischen Aktivitäten beteiligt sein könnte. Im Hinblick auf den Datenschutz wird dieses Gesetz relevant, weil es Bestimmungen enthält, nach denen die Regierungen im Zweifelsfall persönliche Informationen über eine Person von Dritten einholen können. Einfach ausgedrückt bedeutet dies, dass die Regierung Facebook ohne Ihre Zustimmung auffordern kann, persönliche Informationen über Sie bereitzustellen, und Facebook ist verpflichtet, diese bereitzustellen. Ganz zu schweigen von Ihrer Zustimmung, dass Sie wahrscheinlich nicht darüber informiert werden, dass Ihre Daten von der Regierung weitergegeben werden.

Dieses Gesetz ist zu einem wichtigen Anliegen im Bereich des Datenschutzes nicht nur in Amerika, sondern auch in Europa und anderen Rechtsordnungen mit strengen Datenschutzgesetzen geworden.

Federal Trade Commission (FTC) Act

Dies ist das Gesetz, das hinter all den hohen Geldstrafen steht, die Facebook, Uber usw. wegen Verletzung der Privatsphäre auferlegt werden. Ironischerweise hat dieses Gesetz sogar direkt mit dem Datenschutz zu tun! Die FTC ist eine unabhängige Strafverfolgungsbehörde mit dem Ziel, unlauteren Wettbewerb zu verhindern und Verbraucher zu schützen. Nachfolgend sehen Sie, wie die FTC ihren Handlungsspielraum im Umgang mit dem Datenschutz erweitert hat.

Abschnitt 5 dieses Gesetzes verbietet nun Unternehmen, betrügerische Aktivitäten auf dem Markt auszuüben. Im Falle von Facebook handelte es gegen seine Datenschutzrichtlinie und erlaubte Dritten, die persönlichen Daten von Personen ohne deren Zustimmung zu verwenden. Da die Datenschutzrichtlinie von ihren tatsächlichen Handlungen abwich, wurde dies als „irreführend“ bezeichnet, und die FTC durfte Maßnahmen ergreifen.

Für den Datenschutz bedeutet dies, dass die FTC keine Maßnahmen ergreifen kann, es sei denn, es liegt ein eindeutiger Verstoß gegen die Unternehmenspolitik vor. In Fällen also, in denen Unternehmen Sie heimlich dazu bringen, ihren Bedingungen zuzustimmen, kann die FTC nichts unternehmen.

Sektorielle Anforderungen und Vorgaben

Es gibt mehrere andere sektorbezogene Regelungen, die sich mit Informationen einer bestimmten Gruppe oder eines bestimmten Sektors von Personen befassen. Sie befassen sich nicht direkt mit Daten im Internet, sind aber indirekt anwendbar. Hier sind einige davon:

Children’s Online Protection of Privacy Act (COPPA): Dies schränkt die Erfassung von Daten von Kindern unter 12 Jahren ein. Daten können nur mit ausdrücklicher Zustimmung der Eltern gesammelt werden.

Health Insurance Portability and Accountability Act (HIPAA): Dieses Gesetz wurde entworfen, um medizinische und gesundheitsbezogene Informationen von Patienten zu schützen. Es erlaubt nur denjenigen, die an der Behandlung und anderen medizinischen Prozessen beteiligt sind, auf Ihre Gesundheitsinformationen zuzugreifen. Das Gesetz erfordert Ihre Zustimmung, bevor Ihre Daten an andere Personen weitergegeben werden dürfen.

Bundesstaatliche Anforderungen und Vorgaben

Data Breach Notification

Dies gilt für alle 50 Staaten in Amerika. Im Falle einer Datenschutzverletzung, d.h. eines Datenverlusts oder einer versehentlichen Veröffentlichung von Daten, ist das Unternehmen, das von einer solchen Verletzung betroffen ist, verpflichtet, die Regierungen der Bundesstaaten davon in Kenntnis zu setzen. Dies trägt dazu bei, die Verbraucher darauf aufmerksam zu machen, wenn ein Unternehmen, das ihre Daten speichert, eine Datenschutzverletzung begeht.

California Consumer Privacy Act, 2018

Dies ist eines der umfassendsten Gesetze zum Datenschutz in den USA. Obwohl es nur auf Menschen in Kalifornien anwendbar ist, ist dieses Gesetz eine gute Vorlage für ein Bundesgesetz. Dieses Gesetz räumt Verbrauchern das Recht ein, auf personenbezogene Daten im Besitz von Unternehmen zuzugreifen und diese zu löschen. Darüber hinaus verpflichtet es die Unternehmen, den Verbrauchern eine angemessene Sicherheit der Daten zu gewährleisten. Es erlegt Unternehmen jedoch nach wie vor keine obligatorischen Sicherheitsverfahren oder Geldstrafen auf. Wie nützlich und wirksam dieses Gesetz wird, wird die Zeit zeigen.

Andere

Maryland, New York, Hawaii, Massachusetts usw. sind ebenfalls dabei, ihre eigenen Datenschutzgesetze zu bekommen. Die meisten von ihnen haben sich auf die GDPR und den CCPA gestützt und sind dabei, ihre Gesetze entsprechend zu gestalten.

Globalbankingandfinance.com; bow; 13.06.2020

https://www.globalbankingandfinance.com/the-fundamentals-of-data-privacy-in-america

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.