Jede App sammelt Daten über ihre Userinnen und User. Datenschutzerklärungen geben an, ob persönliche Daten an Dritte weitergegeben werden und wie lange und wo sie gespeichert werden. Aber liest das wirklich jemand? DIZH-Fellow Nico Ebert weiss, wie man die Menschen dazu kriegt, sich die langweiligen Datenschutzerklärungen doch noch durchzulesen.
«Ihre Privatsphäre ist uns eigentlich überhaupt nicht wichtig» könnte in einer Datenschutzerklärung online stehen und viele Menschen würden trotzdem auf «Akzeptieren» klicken. Allgemeine Geschäftsbedingungen, Impressen und Datenschutzerklärungen sind wichtige rechtliche Bestandteile von Websites und Apps. Sie informieren die Userinnen und User über die Nutzungsbedingungen, darüber welches Unternehmen oder Personen verantwortlich sind und welche der User-Daten zu welchen Zwecken verwendet werden. Nachlesen kann man das alles in voller Länge – aber tut das überhaupt jemand?
«Bei Datenschutzerklärungen handelt es sich wahrscheinlich um das langweiligste Forschungsthema der Welt», sagt Nico Ebert von der ZHAW School of Management and Law. «Aber ich möchte zeigen, dass es nicht so langweilig ist, wie es aussieht.»
Eine Fitness-App getarnt als Datenschutzexperiment
Nico ist Studiengangleiter des MAS Business Engineering und Dozent für Wirtschaftsinformatik in der Fachstelle für Prozessmanagement und Informationssicherheit. In Nicos DIZH Fellowship widmet er sich der Frage, ob es möglich ist, das Bewusstsein für Privatsphäre im Netz durch kurze, kontextuelle Datenschutz-Statements zu erhöhen. Sind die Nutzenden also eher bereit, wenige Sätze zu lesen anstatt eine lange Datenschutzerklärung? Oder ignorieren sie sie genauso?
Um diese Fragen zu beantworten, unternahm Nico mit seinem Team ein Experiment mit über 2000 Teilnehmenden in Deutschland. «Wir haben eine fiktive Fitness-Tracking-App entworfen, die aber sehr echt aussah. Daraufhin haben wir die Teilnehmenden gebeten, die App zu testen und uns Feedback dazu zu geben. Allerdings wussten sie nicht, dass wir auf verschiedene Arten Datenschutzhinweise in der App platziert haben», erklärt Nico.
Dabei untersuchten sie, wie sehr die Hinweise innerhalb der App vom restlichen Inhalt hervorstechen müssen, um einen Effekt zu erzielen. Das testeten sie mit drei Designs:
- Ein kurzer Hinweis auf die Datenschutzerklärungen, die über einen Link abgerufen werden können. «Das ist die gängige Praxis in vielen Apps, dass man selbst aktiv auf den Link klicken muss, um die Informationen zu sehen.»
- Die Datenschutzerklärung wird den Nutzenden angezeigt – ob sie wollen oder nicht – erst dann können sie die Hinweise schliessen.
- Im dritten Design wurden die Datenschutzhinweise unter bestimmten App-Features angezeigt. «Wenn also ein App-Feature bestimmte Daten sammelt, werden die relevanten Datenschutzhinweise im direkten Kontext angezeigt.»
Die drei Designs: Hinweis mit Link (links), Erforderlicher Hinweis (Mitte), Hinweise im Kontext von App-Features (rechts)
Schliesslich erhob das Team auch, wie sich verschiedene Risikolevels auf die Aufmerksamkeit der Nutzenden auswirkt. «Wir hatten zwei Versionen unserer Datenschutzerklärung. Eine war sehr datenschutzfreundlich, erhob also nur wenige Daten, speicherte sie in Österreich und löschte sie wieder nach einem Monat. Die andere war sehr aggressiv und griff stark in die Privatsphäre ein. Sie verlangte zum Beispiel, dass das die App immer Zugriff auf das Mikrofon hat – auch wenn die App nicht genutzt wird – und die Daten in Russland speichert. So eine Datenschutzerklärung würde wahrscheinlich kein Unternehmen verwenden und wir wollten herausfinden, wie die Teilnehmenden darauf reagieren und ob sie sie überhaupt lesen», erklärt Nico.
Merkt sich jemand, was in der Datenschutzerklärung steht?
Um die Aufmerksamkeit der Teilnehmenden für die Datenschutzerklärungen in den verschiedenen Gruppen zu bewerten, mussten sie Fragen zu den verwendeten Datenpraktiken beantworten. «In der ersten Gruppe erinnerten sich die Teilnehmenden an fast gar nichts», fasst Nico zusammen. Diese Gruppe sah nur den Link auf die Datenschutzerklärung und von diesen rund 800 Personen klickten nur 16 diesen Link an. Schon besser waren die Ergebnisse derjenigen, die die Erklärungen unter den App-Features angezeigt bekamen. Am besten an den Inhalt der Datenschutzerklärung erinnerten sich die Teilnehmenden, die die Erklärung direkt angezeigt bekamen.
«Bolder is better»
Die Teilnehmenden verbrachten mehr Zeit mit den Informationen, wenn sie besonders auffällig präsentiert wurden. Das deute darauf hin, dass sie die Datenschutzerklärung lesen und sich somit besser an die Informationen erinnern können. «Wenn man bedenkt, dass sich die Menschen üblicherweise kaum dafür interessieren, hat diese auffällige Art der Darstellung einen enormen Effekt», fasst Nico zusammen. Das treffe auch für aggressivere Inhalte in der Datenschutzerklärung zu. Die Teilnehmenden erinnerten sich tendenziell besser an die Inhalte, die tief in ihre Privatsphäre eingreifen. «Auffälliger ist besser» oder «Bolder is Better» – so lassen sich die Ergebnisse des Experiments zusammenfassen. Es ist also möglich, relevante Information zum Datenschutz so darzustellen, dass sie von den Menschen wahrgenommen wird.
Nico Ebert präsentierte die Ergebnisse seines Experiments auf der PricavyCon 2021 der amerikanischen Bundesbehörde Federal Trade Commission. Auf der PrivacyCon treffen Vertreterinnen und Vertreter aus der Forschung, Branche, Verbraucherschutz und staatlichen Regulierungsbehörden, um die neuesten Forschungsergebnisse und Trends im Zusammenhang mit dem Schutz der Privatsphäre von Verbraucherinnen und Verbrauchen und der Datensicherheit zu diskutieren.
Das Paper von Nico Ebert, Kurt Alexander Ackermann und Björn Scheppler «Bolder is Better: Raising User Awareness through Salient and Concise Privacy Notices» kann auf der Website der Federal Trade Commission heruntergeladen werden.