Die Europäische Union und das Vereinigte Königreich schreiben in der Datenschutz-Grundverordnung (DSGVO) vor, dass Nutzerinnen und Nutzer von Webdiensten zunächst zustimmen müssen, bevor Daten erhoben werden dürfen. Vor jedem Besuch einer entsprechenden Website erscheint daher ein Datenschutzhinweis. Eine neue Studie stellt in Frage, ob diese wirklich ihren Zweck erfüllen und verständlich über die Nutzung personenbezogener Daten aufklären.
Um nachzuvollziehen, ob und wie User des Internets den Zweck der Datenerfassung verstehen, führte ein Team von Wissenschaftlerinnen und Wissenschaftlern des Max-Planck-Instituts für Sicherheit und Privatsphäre in Zusammenarbeit mit der Universität Utrecht, der University of Michigan und der University of Washington halbstrukturierte Interviews durch. Zu Beginn der Interviews gaben die meisten Teilnehmenden an, dass sie die Datenschutzhinweise als "lästig" empfanden und versuchten, sie zu umgehen. Während der Studie wurden sie daher auch gebeten, beispielhafte Datenschutzhinweise im Detail durchzulesen. Das Ergebnis ist verblüffend: Am Ende der Befragung fühlte sich niemand gut darüber informiert, wie Online-Daten weiter verarbeitet werden.
Die Hauptergebnisse dieser Studie verdeutlichen den Mangel an Transparenz in den Zweckbeschreibungen: Die Studienteilnehmerinnen und -teilnehmer äußerten beispielsweise den Wunsch, Informationen darüber zu erhalten, wie lange ihre Daten gespeichert werden und wie sie die Löschung ihrer Daten beantragen können. Darüber hinaus teilten die meisten die Überzeugung, dass Organisationen immer noch Wege finden würden, ihre Daten zu sammeln, selbst wenn sie die Weitergabe ihrer Daten ausdrücklich ablehnten. Diese Befürchtung wurde in Fällen geäußert, in denen in den Datenschutzhinweisen darauf hingewiesen wurde, dass bestimmte Dienste nur dann zur Verfügung stehen, wenn der Zugang zu bestimmten Daten gewährt wird. Einige wollten mehr darüber erfahren, welche Dienste ihnen bei Ablehnung der Datenschutzabfrage verweigert würden, während andere berichteten, dass sie solche Mitteilungen als Bedrohung empfanden. Einige der Teilnehmenden fühlten sich sogar "manipuliert", ihre Daten auf diese Weise zu teilen.
Sprache in Datenschutzhinweisen oft zu unklar
Die Studie befasste sich auch mit der Sprache, die Unternehmen verwenden, um den Zweck der Datenerfassung zu erklären. Einige der verwendeten Begriffe waren demnach für die User unverständlich. So waren die Teilnehmenden beispielsweise nicht der Ansicht, dass es einen Unterschied zwischen dem Zweck "Werbung" (Bereitstellung allgemeiner Werbung) und dem Zweck "personalisierte Werbung" (gezielte Werbung) gibt. Außerdem fühlten sich viele unwohl, ihre Daten für Werbezwecke weiterzugeben.
Doch die Studie schlägt auch mehrere Lösungen für die festgestellten Probleme vor: Den Usern könnte eine Art "Zustimmungs-Nutri-Score" zur Verfügung gestellt werden. Durch die Verwendung eines besseren Designs der Benutzungsoberfläche sowie von Symbolen und Farben in den Datenschutzhinweisen könnten die Unternehmen den Informationsfindungsprozess zugänglicher und weniger zeitaufwändig gestalten. Um den Umgang mit den personenbezogenen Daten und deren Verarbeitung zu verdeutlichen, könnten sich die Unternehmen von anderen Bereichen inspirieren lassen, in denen Einverständniserklärungen üblich sind, wie etwa in der Humanforschung oder im Gesundheitswesen.
"Unsere Studie hat gezeigt, dass Einwilligungserklärungen in ihrer jetzigen Form kein wirksames Mittel sind, um eine informierte Zustimmung einzuholen. In unserer zukünftigen Arbeit wollen wir die Bedürfnisse und Motivationen der verschiedenen Interessengruppen (User, Unternehmen, usw.) daher weiter untersuchen, um zu verstehen, wie die Einwilligung nahtloser und wirklich informiert gestaltet werden kann, und um potentiell Lösungen zu finden, die von diesem klassischen 'Hinweis- und Einwilligungs'-Modell wegführen", sagt Lin Kyi, die Erstautorin der Studie. (mpg)