Sicherheitsbedürfnisse und Datenschutzanforderungen sind wichtige Bausteine im Unternehmen, die unter dem Stichwort Online-Privatsphäre auch in einen Spannungsbogen münden können. Der folgende Beitrag zeigt auf, wie unterschiedlich Unternehmensverantwortliche beim Thema Privatsphäre ticken und wie, wenn vorhanden, dieses Wissen hilft, datenschutzbewussteres Verhalten im Unternehmen durchzusetzen. Es geht um eine kleine Psychologie der digitalen Privatsphäre.
Gutes Augenmass bei Datenschutz und möglichst effiziente Arbeitsabläufe gehören zu den grössten Herausforderungen im Tagesgeschäft aller Agenturen und Unternehmen.
- Gutachten und Preislisten müssen schnell zur Hand sein, können aber leicht im Drucker vergessen werden.
- Grosse Dateien machen sich auf USB-Sticks auf die Reise zum Kunden, obwohl die Sticks ebenso häufig verschwinden wie Kugelschreiber.
- Im Vorstellungsgespräch verbotene Fragen, die den Personaler nicht beeinflussen sollten, lassen sich verführerisch leicht auf Facebook recherchieren.
- Sicherheitsbewusste Mitarbeiter nutzen verschiedene Passwörter, diese lauten dann aber «1234567» und «firmenname» oder werden mit Haftnotizen an den Bildschirm geklebt.
Darauf angesprochen verstehen die Kollegen vielleicht noch nicht einmal, warum das ein Problem sein könnte, schliesslich bleibt es doch unter Kollegen. All das ist sicher auch schon so oder so ähnlich in Ihrem Unternehmen vorgekommen. Und das, obwohl Deutsche und Schweizer doch eigentlich als ganz besonders sicherheits- und datenschutzbewusst gelten? Wie passt das zusammen? Auch uns trieb diese Frage um.
Ein weiter Begriff: «Privatsphäre»
Vor einigen Jahren versuchten wir in einer Studie herauszufinden, warum manche unserer Facebook-Kontakte sich so unangenehm ungehemmt verhalten, anstatt – so dachten wir damals – etwas vorsichtiger zu sein. Wir dachten, viele der damit verbundenen Risiken wären offensichtlich. Das galt für unsere Freunde aber anscheinend nicht. Also fragten wir die Teilnehmer unserer ersten Studie, was sie über sich auf Facebook preisgeben und warum. Als wir die Ergebnisse sahen, wurde uns schnell klar, wie sehr wir uns geirrt haben. Wir hatten nach unseren persönlichen Massstäben geurteilt, dass sich jemand «unvorsichtig» oder «falsch» verhielt, wenn er Informationen preisgab, die wir selbst für unangemessen hielten. Aber so einfach war die Sache nicht. Für fast jeden unserer Befragten gab es etwas, das er als besonders intim oder schützenswert behandelte. Manche fanden ihren Beziehungsstatus besonders privat, andere ihren Wohnort, wieder andere fanden, dass Arbeitskollegen nichts über ihre Freizeit wissen sollen und Freunde nichts über ihre Arbeit. Wir hatten vorschnell angenommen, es gäbe ein geteiltes Verständnis darüber, was «privat» bedeutet und was nicht. Aber selbst in der wissenschaftlichen Fachliteratur ist man sich noch nicht einig, was «Privatsphäre» nun eigentlich ist. Das unterschiedliche Begriffsverständnis reicht auch hier von zwischenmenschlicher Intimität über Geheimhaltung, Anonymität in der Masse, das Bedürfnis, eine Tür hinter sich schliessen zu können, über freiwillige Isolation von anderen bis hin zu einem einklagbaren Grundrecht, bei dem es mehr ums Prinzip als die individuelle Umsetzung geht. So kann es etwa dazu kommen, dass eine Person keine Verletzung der Privatsphäre empfindet, auch wenn eine Verletzung des Rechts auf Privatsphäre stattgefunden hat. «Privatsphäre» ist also alles andere als eindeutig definiert. Und damit verbunden auch, was «Datenschutz» für den einzelnen bedeutet. Das bedeutet andersherum gedacht: Wer selbst kein Problem und Risikoempfinden dafür hat, seine Kontaktdaten zu teilen, kann auch schwerer nachvollziehen, warum er mit den Informationen anderer sorgsam umgehen muss.
Wir wurden neugieriger und führten eine zweite, grössere Studie mit deutschen Facebook-Nutzern durch. Dies bestätigte, dass nahezu jeder auf die eine oder andere Weise das, was er im Internet über sich preisgibt, an schützende Bedingungen knüpft. Was wir persönlich also als nahezu aufdringlich ungehemmt empfanden – etwa Bilder in Reizwäsche oder extreme politische Meinungen – war fast immer an (scheinbar) schützende Bedingungen wie falsche Namen oder einen sehr klein gehaltenen Freundeskreis geknüpft. Warum dann aber überhaupt Facebook nutzen, wenn niemand volles Vertrauen in die Sicherheit seiner Daten zu haben scheint?
Bereicherung unseres Lebens
Wir alle nutzen das Internet und die verschiedensten digitalen Angebote, etwa E-Mails, Cloudspeicher, Onlineshops, Gesundheits-Apps, Diskussionsforen oder Wikipedia, weil sie uns einen persönlichen Nutzen bringen. Wir sparen Zeit, bekommen Komplimente, erhalten Rat, raffen uns eher zum Sport auf, können ortsunabhängig arbeiten, Wissen teilen, neue Menschen kennenlernen oder Geheimnisse beichten. All das bereichert unser Leben und macht es etwas bequemer.
Onlinebanking geht jedoch nicht ohne die Kontodaten. Rat gibt es nicht, ohne einer Person oder zumindest Suchmaschine das (sehr private) Problem zu offenbaren. Damit all das möglich ist, ist zudem ein gewisses Grundvertrauen notwendig, dass es nicht zum Missbrauch dieses Wissens kommt. Und zudem das Gefühl, dass man nicht alles preisgibt, sondern nur eine begrenzte Menge an sensiblen Informationen. Damit behält man sich ein Gefühl von Kontrolle. Ähnlich ist das aber auch in der analogen Welt. Man kann nicht normal an der Welt teilnehmen, wenn man niemandem seinen Nachnamen verraten will. Sauna geht nicht, ohne Haut zu zeigen, aber immerhin sind dort Jahreseinkommen und Steuernummer nicht nötig. Bei der Steuererklärung muss man dafür kein Strandfoto beilegen. In jeder Situation wird die als richtig empfundene Balance aus notwendiger Preisgabe und Schutz anders hergestellt. Von jeder Person ein wenig anders, aber auch in jeder Kultur.
Sensibilität um Wissen und Normen
Im Umgang und Problembewusstsein mit digitalen Daten ist das im Grunde nicht anders. Nur dass hier die Gesellschaft erst sehr wenige Jahre Zeit hatte, etablierte Verhaltensnormen für extrem komplexe Sicherheitsprobleme zu entwickeln und deren Tauglichkeit auszutesten. Der Anpassungs- und Lernprozess dazu, was sicheres oder riskantes Verhalten ist, hinkt der rasend schnellen technischen Evolution ständig hinterher. Und noch wesentlich langsamer folgen schützende Regulierungen durch den Gesetzgeber.
Als Beispiel: Auch ohne ein tieferes Verständnis von Infektionskrankheiten wissen Kinder heutzutage, dass sie sich regelmässig die Hände waschen sollten, weil dies eine in unserer Kultur allgemein durchgesetzte Norm ist, die auf Jahrzehnten der medizinischen Aufklärung und auch Verbesserung der hygienischen Rahmenbedingungen beruht. Aber ohne solche allgemein etablierten Normen für datenschutzbewusstes Verhalten müssen sich Nutzer auf ihr eigenes Bauchgefühl und begrenztes technisches Wissen verlassen. Allen gemein bleibt nur die Faustregel: «Wenn du nur einzelne Informationen streust, behältst du die Kontrolle.» Dementsprechend facettenreich sind die individuellen Strategien, die Internetnutzer einsetzen, wenn sie sich in ständig neues Territorium wagen.
Kontrolle als Grundbedürfnis
In unserer Facebook-Studie konnten wir sieben verschiedene Arten des persönlichen Datenschutzmanagements ermitteln. Die ausgesprochen verschiedenen Herangehensweisen waren nicht nur vom Vertrauen in die Plattform und andere Nutzer abhängig, sondern auch davon, welchen Hauptzweck die Seite für die Befragten erfüllte: Während die einen das soziale Netzwerk als Tagebuchersatz behandelten (aber das leseberechtigte Publikum streng auswählten) oder zum Blog umfunktionierten (aber nicht den echten Namen nutzten), sahen wieder andere Nutzer Facebook eher als eine soziale Verpflichtung, an der sie nur widerwillig teilnahmen, um dabei zu sein. Die eigene Profilseite empfanden manche Nutzer aber wie eine Art umzäunten Vorgarten, auf dem andere nichts zu suchen haben. Allen gemeinsam war: Sie alle hatten bewusst oder unbewusst eine Strategie für sich entwickelt, mit der sie das Gefühl von Kontrolle über ihre Privatsphäre haben.
Überfordert durch Big Data
Bisher galt die Preisgabe von jeweils ausgewählten Informationen in verschiedenen Situationen als erfolgreiche Strategie, um das persönliche Bedürfnis nach Privatsphäre ausreichend zu befriedigen. Verhältnismässig viele Zufälle mussten sich häufen, bevor Ihr Bankberater bei der Kreditprüfung weiss, dass Sie an Diabetes leiden. Durch Big Data wird dies nun aber theoretisch möglich: Umfangreiches Tracking von eigentlich harmlosen Onlinespuren und riesige Rechenkapazitäten zur Datenanalyse können nun all die Informationen über uns oder unsere Kunden zusammenbringen, die im analogen Leben ausreichend gut voneinander getrennt waren. Aus vielen kleinen Puzzleteilen entsteht nun ein sehr detailliertes Bild einer Person. Die vorher zumeist vollkommen ausreichende Datenschutzstrategie funktioniert damit nicht mehr. Bis dieses Problem durch neue Verhaltensnormen, Sicherheitstechnik und Gesetzgebung gelöst ist, herrscht in Sachen Big Data eine Art Goldgräberstimmung. Die gesunde Balance zwischen Privatsphäre und bequemen Errungenschaften muss sich erst neu einpendeln.
Mitarbeiter beim Datenschutz unterstützen
Sicher verlieren Mitarbeiter angesichts der vielen spannenden und hilfreichen Informationen über Kunden manchmal deren Privatsphäre aus den Augen. Aber aufgrund unserer Studien glauben wir, dass das Bedürfnis zum datenschutzbewussten Verhalten (für uns selbst und andere) sozusagen in unserer DNA steckt. Die meisten Menschen möchten verantwortungsbewusst mit den eigenen, Firmen- und Kundendaten umgehen. Nur wie erfolgreich dies umgesetzt wird, hängt stark von der Person, Risikosensibilisierung, kultureller Prägung und Rahmenbedingungen ab. Hier können Sie Ihre Mitarbeiter abholen und unterstützen.
Schulen Sie das Wissen Ihrer Mitarbeiter und versuchen Sie für die Konsequenzen einer Sicherheitsschwachstelle verschiedene Beispiele zu finden, die den unterschiedlichen Vorstellungen von verletzter Privatsphäre gerecht werden. Nehmen Sie umgekehrt aber auch Hinweise von Kollegen ernst, bei denen Sie selbst Probleme haben, das vermeintliche Datenschutzproblem zu sehen. Entwickeln Sie gemeinsam mit den Mitarbeitern alltagstaugliche Prozesse und die geeigneten technischen Lösungen. Wenn das Unternehmen dafür zu gross ist, beziehen Sie zumindest die «Leitwölfe» jedes Teams in diese Veränderungsprozesse ein. Denn wenn eine von oben verordnete Lösung zu umständlich wird, verleitet das Ihre Mitarbeiter schnell dazu, «Abkürzungen» zu nehmen. Sorgen Sie zudem dafür, dass niemand unnötig Zugang zum Inhalt von sensiblen Dateien hat, der sie nicht für die tägliche Arbeit braucht. Diese «Zero-Knowledge»-Strategie sollte ein Anspruch sowohl an Ihre IT-Dienstleister als auch an interne Abläufe sein.
Auch die Rückbesinnung auf eine andere Alltagsregel kann bereits helfen: Im echten Leben wäre es durchaus verdächtig, wenn man ohne Gegenleistung Finanzberatung, Haarschnitt oder Lebensmittel angeboten bekäme. Entgegen dieser Regel hat es sich sehr schnell unter Privatnutzern, aber auch Unternehmern etabliert, dass Online-Angebote kostenlos sein sollten. Dadurch machen Sie aber Ihre vertraulichen Informationen zur Währung, mit der Sie zahlen. Investieren Sie daher lieber in gute, verschlüsselte und anwenderfreundliche EDV. Denn wenn die Software genauso einfach funktioniert wie die bekannten US-Dienste, aber verschlüsselt ist und europäischem Recht unterliegt, ist bereits viel für den Datenschutz getan. Und mit sicheren Rahmenbedingungen stärken Sie Ihren Mitarbeitern am besten den Rücken.
Weitere Informationen:
www.tresorit.com