Digitales Nudging kann Nutzer online schützen
Die Nutzung mobiler Technologien und damit einhergehend die Vernetzung von Personen und Geräten nimmt stetig zu. Für Individuen sind Informations- und Kommunikations-Anwendungen (ICT-Anwendungen) in vielen Lebenslagen zu unverzichtbaren Begleitern geworden, man denke nur an die Rolle sozialer Netzwerke, den mobilen Konsum von Nachrichten oder die Online-Navigation. Unter dem Stichwort Personal-ICT (PICT) gewinnt die vom einzelnen Individuum ausgehende Analyse dieser Entwicklung verstärkt Bedeutung.
Unweigerlich ist damit auch die Zahl der online getroffenen Entscheidungen erkennbar gestiegen. Da hierdurch Nutzer immer mehr Informationskanälen ausgesetzt sind, ist das Risiko eines Information Overloads deutlich erhöht. Während zusätzliche Informationen zur Entscheidungsunterstützung hilfreich sein können, erreichen zu viele Informationen den gegenteiligen Effekt. Eine Möglichkeit, diesem Problem entgegenzuwirken, ist der Einsatz von digitalem Nudging als „Entscheidungsassistenz“ bei Online-Entscheidungen. Nudging bedeutet, das Verhalten der Konsumenten in deren Sinne so zu beeinflussen – ohne sie dabei in ihren Wahlmöglichkeiten einzuschränken – dass sie die für sie günstigsten Entscheidungen treffen, basierend auf der verhaltensökonomischen Erkenntnis, dass Individuen häufig irrational entscheiden. Das digitale Nudging bezeichnet den Einsatz von Design-Elementen bei der Gestaltung von Benutzeroberflächen, um das Verhalten von Personen in digitalen Entscheidungssituationen zu steuern.
Digitales Nudging und Privatheit
Im Zusammenhang mit der Nutzung von PICT stellt sich die Frage nach der digitalen Privatheit der Nutzer. Der Entscheidungsprozess eines Individuums bezüglich seiner Privatheit ist in Abbildung 1 schematisch dargestellt. Zentral in diesem Modell ist das Privatheitskalkül. Es besagt, dass Nutzer Kosten und Nutzen einer Privatheitsentscheidung abwägen und dementsprechend handeln. Auf den Entscheidungsprozess wirkt jedoch auch das sogenannte Paradox der Privatheit (Privacy Paradox) ein, welches beschreibt, dass Nutzer durchaus Risiken erkennen und wahrnehmen, ihr tatsächliches Verhalten dies jedoch nicht immer widerspiegelt. So kann es etwa vorkommen, dass Nutzer durch das Abwägen der Kosten und Nutzen eigentlich zu einer Ablehnung des Anbieters oder einer Nicht-Preisgabe von Daten tendieren, dann aber doch Daten preisgeben oder Datenschutzrichtlinien (Privacy Policies) zustimmen, die eigentlich nicht ihren Vorstelllungen von Privatheit entsprechen.
Eine vollständig zufriedenstellende Erklärung hierfür ist bisher noch nicht gefunden. Das Phänomen des Privacy Paradox steht jedoch im Einklang mit Erkenntnissen der Verhaltensökonomie, nach denen Individuen häufig nicht rational entscheiden. Drei Studien sollen im Folgenden beispielhaft aufzeigen, wie digitales Nudging im Kontext von Privatheit eingesetzt werden kann. Ein multidisziplinärer Literaturüberblick wird hierzu von Acquisti et al. vorgelegt, welcher die bisherige Forschung zur „Entscheidungsassistenz“ durch digitales Nudging bei Entscheidungen zur Privatheit und Sicherheit zusammenführt. So hat beispielsweise die Art der Präsentation von Informationen, so etwa ihre Reihenfolge oder Anordnung, großen Einfluss auf die Entscheidung. Ähnlich ist der Effekt von Defaults, also von vorausgewählten Einstellungen, da Individuen dazu tendieren, den Status quo beizubehalten und somit die Einstellungen nicht zu verändern. Nudges können auch in Form von Anreizen eingesetzt werden, welche die Nutzer motivieren sollen, ihren Privacy-Präferenzen entsprechend zu handeln.
Relevant ist auch die Art und Weise der menschlichen Informationsverarbeitung. Während die einen Informationen besser verbal verarbeiten, funktioniert es bei anderen besser visuell. Dies ist dementsprechend auch für die Verarbeitung von Informationen über den Umgang mit der eigenen Privatsphäre von Bedeutung. Schöning et al. haben dies in ihrer Studie zu Nutzerwahrnehmung und -verhalten in Bezug auf Krankenkassen-Apps untersucht.4 Solche Apps können Nutzern helfen, ihren Gesundheitszustand zu überprüfen (z. B. Monitoring von Bewegung, Medikamenteneinnahme etc.), teilweise erhalten Nutzer dadurch sogar einen Bonus für präventives Verhalten. Das Problem bei diesen Apps ist jedoch, dass Nutzer zögern, sensible Gesundheitsdaten preiszugeben. Gleichzeitig ist eine sinnvolle gesundheitliche Unterstützung durch solche Apps jedoch nur möglich, wenn ausreichend Nutzerdaten, in diesem Fall also persönliche Gesundheitsdaten, vorhanden sind. In einem Online-Experiment wurde den Probanden die entsprechende Privacy Policy zu einer fiktionalen Krankenkassen-App gezeigt, die in zwei Versionen vorlag: zum einen verbal via Text und zum anderen visuell via Icons. Die Probanden wurden zufällig einer der Gruppen (d. h. Versionen) zugeordnet. Mittels eines Fragebogens wurde der eigene Kognitionstyp (verbal oder visuell) des Probanden ermittelt. Die Daten dieser Studie zeigen, dass eine Übereinstimmung von Privacy-Policy-Design und Kognitionstyp die Risikowahrnehmung und damit Kostenwahrnehmung sowie Privacy-Bedenken von Nutzern senken kann.
Dennoch sind sich Smartphone-Nutzer häufig nicht der Daten(-mengen) bewusst, die von Apps auf ihrem Smartphone gesammelt werden. Almuhimedi et al. haben dieses Phänomen in einer Feldstudie untersucht, in der Nutzer einen sogenannten App-Permission-Manager installiert und zusätzlich Nudges gesendet bekamen, z. B. Informationen darüber, wie oft ihr Standort automatisch von Apps geteilt wurde.5 Diese Nudges sollten das Bewusstsein für die Datensammlung der Apps bei den Nutzern steigern. Die Daten aus dieser Studie zeigen, dass nach einer Woche mit App-Permission-Manager 95 % der Probanden ihre Einwilligungen bei Apps überdachten und 58 % der Probanden bei ihren Einwilligungen Einschränkungen vornahmen. Dies wiederum zeigt, dass durch digitales Nudging nicht nur das intendierte, sondern auch das tatsächliche Verhalten positiv beeinflusst werden kann.
Digitales Nudging und Sicherheit
Auch bei Sicherheitsentscheidungen kann der Einsatz von digitalem Nudging sinnvoll sein, da Nutzern oft Kompetenzen für die fundierte Abwägung von Chancen und Risiken bei der Festlegung ihres individuellen Sicherheitslevels fehlen. Abbildung 2 bringt dies zum Ausdruck. Im Folgenden möchten wir daher drei Studien vorstellen, die digitales Nudging im Kontext Sicherheit untersucht haben.
Nutzer entscheiden unterschiedlich impulsiv, sodass eine personalisierte Anpassung der Nudges gegebenenfalls effektiver wäre; allerdings sind personalisierte Nudges bei Sicherheitsfragen noch rar. Das Experiment von Jeske et al. setzt hier an.6 Die Probanden mussten dafür ein Netzwerk aus einem Menü von öffentlichen WLANs auswählen, wobei Farbschema und Anordnungsreihenfolge die Probanden zu sichereren Entscheidungen führen sollten. Die Analyse der gewonnenen Daten bestätigt, dass Nutzer mit geringen IT-Kenntnissen sowie Nutzer mit geringer Impulskontrolle schlechtere Sicherheitsentscheidungen treffen. Durch die personalisierten digitalen Nudges konnten jedoch die Entscheidungen von Nutzern mit geringer Impulskontrolle nachweisbar verbessert werden.
Ein sicherer Umgang online beinhaltet auch die Verwendung verschiedener Sicherheitstools. Ein solches Tool, die persönliche Firewall, wird in der Studie von Raja et al. genauer untersucht, da die Benutzerfreundlichkeit von persönlichen Firewalls der Schlüssel zu ihrer wirksamen Verwendung ist.7 In einem Experiment testeten die Wissenschaftler, inwiefern Nutzer einen Unterschied in ihrem Verhalten zeigen, wenn die Firewall als physische Sicherheits-Metapher dargestellt wird, verglichen mit einer Warnung in Textform. Es konnte gezeigt werden, dass Warnungen mit Sicherheits-Metapher das Verständnis der Warninformation erhöhen, die möglichen Risiken besser vermitteln, ein sicherheitsbewussteres Verhalten fördern sowie zu einem besseren Verständnis von persönlichen Firewalls und entsprechenden Verhaltenskonsequenzen im Allgemeinen beitragen.
Durch die Verbreitung von neuen Technologien fallen immer mehr Entscheidungen online. Da digitale Transaktionen nicht über persönlichen Kontakt stattfinden, steigt jedoch auch das Risiko, Opfer eines Internet-Betrugs zu werden. Um riskanten Online-Transaktionen vorzubeugen und die Vertrauenswürdigkeit und Zuverlässigkeit von Online-Transaktionen zu gewährleisten, werden daher Prozesse zur Identitätsverifikation immer wichtiger. Das Experiment von Schneider et al. untersucht vor diesem Hintergrund, welche Art von digitalen Nudges die Zahl von Online-Verifikationen erhöhen kann. Die gewonnenen Daten zeigen, dass sowohl sogenannte Promotion-Claims (die z. B. die zukünftige Zeitersparnis einer solchen Verifikation bewerben) als auch Prevention-Claims (die z. B. dem Nutzer Vertraulichkeit versichern) die Zahl von Online-Verifikationen signifikant erhöhen, wenn zusätzliche Informationen – wie z. B. Siegel – gegeben werden, wobei ein stärkerer Effekt bei den Prevention-Claims zu erkennen ist.
Fazit und Ausblick
Zusammenfassend lässt sich festhalten, dass digitales Nudging durchaus effektiv eingesetzt werden kann, um Nutzer zu besseren Entscheidungen bei der Sicherung der Privatsphäre zu veranlassen und gleichzeitig mehr Bewusstsein für solche Entscheidungen zu schaffen. Ein mögliches Risiko ist gleichwohl, dass digitales Nudging von Anbietern auch ausgenutzt werden kann, um die Privatheit und/oder Sicherheit der Nutzer zu schwächen. Dieser Aspekt sollte besondere Beachtung finden, da die Nutzung von Personal-ICT weiter an Bedeutung gewinnen wird und dadurch personenbezogene Daten als „Rohstoff“ immer wichtiger werden. Eine große Herausforderung wird daher sein, diese Probleme anzugehen und dabei sicherzustellen, dass sich Datenschutz und digitale Innovation in Zukunft nicht ausschließen, sondern sowohl den Bedürfnissen der Nutzer nach Privatheit und Sicherheit als auch den wirtschaftlichen Interessen der Unternehmen und der allgemeinen Öffentlichkeit gerecht werden.
Charlotte Schöning, Thomas Hess; 2020
https://creativecommons.org/licenses/by/4.0/deed.de
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.
Swiss Infosec AG; 01.07.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch