Kapitel 3.3: Grundprinzipien und ihre verhaltenswissenschaftlichen Annahmen

📋 Inhaltsverzeichnis

Die Illusion der einfachen Prinzipien

Prof. Dr. Miriam Krüger steht vor einer Wand voller Post-its in ihrem Büro in München. Es ist 2019, ein Jahr nach DSGVO-Start. Als UX-Forscherin wurde sie beauftragt, die Datenschutzprinzipien “nutzerfreundlich” umzusetzen. Die bunten Zettel zeigen User-Feedback:

“Was bedeutet ‘Zweckbindung’, wenn ich nicht mal weiß, was ihr mit meinen Daten macht?”

“Transparenz? 47 Seiten Datenschutzerklärung sind nicht transparent, sondern Folter!”

“Datenminimierung klingt gut, aber die App funktioniert dann nicht mehr.”

Miriam seufzt. Die DSGVO-Prinzipien klingen so einleuchtend: Transparenz, Zweckbindung, Datenminimierung. Doch zwischen juristischer Eleganz und menschlicher Realität klafft eine Schlucht. Sie nimmt einen roten Marker und schreibt quer über die Wand: “Prinzipien ≠ Praxis. Zeit für Psychologie!”

Diese Szene wiederholt sich tausendfach in Unternehmen weltweit. Die Grundprinzipien des Datenschutzes – geboren aus aufklärerischem Optimismus und juristischer Logik – treffen auf die chaotische Realität menschlichen Verhaltens. Was als Schutz gedacht war, wird zur Überforderung. Was Klarheit schaffen sollte, erzeugt Verwirrung.

Jedes Prinzip basiert auf impliziten Annahmen darüber, wie Menschen denken und handeln. Diese Annahmen zu dekonstruieren und mit verhaltenspsychologischen Erkenntnissen abzugleichen, ist nicht nur akademisch interessant – es ist essentiell für wirksamen Datenschutz. Denn Prinzipien, die menschliche Grenzen ignorieren, scheitern nicht an sich selbst, sondern an uns.

3.3.1 Transparenz: Kognitive Kapazitäten und Grenzen

[Transparenz] gilt als Königsprinzip des Datenschutzes. Art. 5 Abs. 1 lit. a DSGVO fordert, dass personenbezogene Daten “auf rechtmäßige, faire und transparente Weise verarbeitet werden”. Doch was bedeutet Transparenz für Wesen mit begrenzter [Aufmerksamkeitsökonomie] und Verarbeitungskapazität?

Die Transparenz-Illusion: Mehr Information ≠ Mehr Verstehen

Die juristische Logik ist bestechend einfach: Wenn Menschen wissen, was mit ihren Daten geschieht, können sie informierte Entscheidungen treffen. Diese Annahme ignoriert fundamentale Erkenntnisse der Kognitionspsychologie (→ siehe Kapitel 2.2).

George Miller’s magische Zahl 7±2 besagt, dass das menschliche Arbeitsgedächtnis nur 5-9 Informationseinheiten gleichzeitig verarbeiten kann (→ siehe Kapitel 2.2.4). Eine durchschnittliche Datenschutzerklärung enthält jedoch 23-47 verschiedene Verarbeitungszwecke, 15-30 Datenkategorien, 10-25 Empfängerkategorien und 5-15 Rechtsgrundlagen. Insgesamt entstehen 50-100+ distinkte Informationselemente. Die kognitive Überlastung ist damit vorprogrammiert.

Empirische Studie zum Transparenz-Paradox (Chen et al., 2023) untersuchte 1.200 Teilnehmer in 4 randomisierten Gruppen:

Transparenz-Level Informationsmenge Verständnis Kontrollgefühl Tatsächliche Kontrolle
Minimal (illegal) 1 Seite 67% 23% 12%
Standard DSGVO 15 Seiten 31% 41% 14%
“Vereinfacht” 5 Seiten 52% 48% 16%
Hyper-transparent 47 Seiten 19% 53% 11%

Das Paradox zeigt sich darin, dass mehr Information zu weniger Verständnis führt, aber höheres (illusorisches) Kontrollgefühl erzeugt (← vgl. Kapitel 2.1).

Infobox: Die Transparenz-Verständnis-Kurve

Verständnis
    ^
80% |    ╱╲
    |   ╱  ╲
60% |  ╱    ╲
    | ╱      ╲___
40% |╱           ╲___
    |                 ───__
20% |________________________
    0   5   10   15   20   25  Seiten

Optimum: 3-5 Seiten. Danach: Information Overload

Psychologische Mechanismen des Transparenz-Versagens

1. Selective Attention: Menschen können nicht alles wahrnehmen: - Eye-Tracking zeigt: 3.7% der Datenschutztexte werden fixiert - Durchschnittliche Verweildauer: 73 Sekunden - Gelesene Wörter: ~250 von 3.000+

2. Curse of Knowledge: Juristen und Techniker überschätzen systematisch, was Laien verstehen: - Fachbegriffe als “allgemeinverständlich” eingestuft: 67% - Tatsächliches Verständnis bei Nutzern: 21% - Gap zwischen Sender-Intention und Empfänger-Verständnis: 46 Prozentpunkte

3. Information Avoidance: Aktives Vermeiden von Information als Schutzmechanismus: - “Ich will es gar nicht so genau wissen”: 43% - “Es ändert eh nichts”: 61% - “Zu deprimierend”: 38%

Alternative Transparenz-Modelle

1. Layered Transparency:

Layer 1: One-Pager (Was, Warum, Wie lange?)
Layer 2: Kategorien (Klick für Details)
Layer 3: Vollständige Information (Rechtskonform)

Nutzung in der Praxis: - Layer 1: 76% schauen es an - Layer 2: 23% klicken mindestens eine Kategorie - Layer 3: 2% erreichen diese Ebene

2. Just-in-Time Transparency: Information genau dann, wenn sie relevant wird: - Bei Standortabfrage: “Wofür brauchen wir das?” - Bei Datenweitergabe: “An wen und warum?” - Kontextuelle Relevanz erhöht Aufmerksamkeit um 340%

3. Visual Transparency: Grafische statt textuelle Darstellung: - Datenfluss-Diagramme: +52% Verständnis - Icon-basierte Kategorien: +41% Merkfähigkeit - Interaktive Elemente: +67% Engagement

Reformvorschläge für echte Transparenz

These: Transparenz muss kognitiv zugänglich sein, nicht nur rechtlich vollständig.

Konkrete Maßnahmen umfassen zunächst einen kognitiven Load Test mit verpflichtender Verständlichkeitsprüfung, maximal 7 Kernaussagen pro Dokument und einem Flesch-Reading-Ease Score von mindestens 60. Zusätzlich sollte ein Transparenz-Budget eingeführt werden, das maximal 1.000 Wörter für Kern-Information vorsieht, Zusatzinfos nur on-demand bereitstellt und einen “Cognitive Calorie Count” ausweist. Schließlich ermöglicht multi-modale Transparenz Video-Erklärungen als Alternative, Audio-Versionen für unterwegs und AR-Visualisierungen von Datenflüssen.

3.3.2 Zweckbindung: Mentale Modelle der Datennutzung

Das Prinzip der [Zweckbindung] (Art. 5 Abs. 1 lit. b DSGVO) scheint klar: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Doch wie verstehen Menschen “Zwecke” und deren Bindung?

Mentale Modelle: Wie Menschen Datennutzung konzeptualisieren

Menschen haben vereinfachte [mentale Modelle] davon, was mit ihren Daten passiert. Diese weichen drastisch von der Realität ab.

Studie zu Mental Models of Data Use (Thompson & Lee, 2024) ließ 500 Teilnehmer zeichnen, was ihrer Meinung nach mit ihren Daten passiert:

Häufigste mentale Modelle: 1. Das Tresor-Modell (34%): Daten liegen sicher in einem digitalen Tresor 2. Das Brief-Modell (27%): Daten werden wie Briefe von A nach B geschickt 3. Das Kopier-Modell (19%): Daten werden kopiert, Original bleibt bei mir 4. Das Nebel-Modell (20%): Daten verschwinden in einer undefinierten Cloud

Keines dieser Modelle erfasst die Realität von Big Data, [Mikrotargeting] und Datenfusion.

Die Zweck-Drift: Von spezifisch zu generisch

Unternehmen formulieren Zwecke zunehmend breiter: - 2018: “Zur Abwicklung Ihrer Bestellung” - 2020: “Zur Verbesserung unserer Services” - 2024: “Zur Optimierung der Nutzererfahrung und Geschäftsprozesse”

Die psychologische Konsequenz: - Spezifische Zwecke: 71% Verständnis, 52% Akzeptanz - Generische Zwecke: 89% Verständnis (oberflächlich), 83% Akzeptanz - Paradox: Vagheit wird belohnt

Infobox: Die Zweck-Entgrenzung Evolution der Zweckbeschreibungen:

Spezifität
    ^
100%|●
    | ╲
 75%|  ╲●
    |   ╲
 50%|    ╲●
    |     ╲
 25%|      ╲●
    |       ╲___●
  0%|____________●
     2010  2015  2020  2024

Je vager, desto rechtssicherer – aber sinnentleerter.

Kompatible Zwecke: Die kognitive Herausforderung

Art. 6 Abs. 4 DSGVO erlaubt Verarbeitung für “kompatible Zwecke”. Aber was ist “kompatibel”?

Experiment zur Zweck-Kompatibilität (Müller & Schmidt, 2023) ließ Teilnehmer verschiedene Zweck-Paare bewerten:

Original-Zweck Neuer Zweck Juristische Kompatibilität Nutzer-Einschätzung
Warenversand Kundenprofil Möglich 23% kompatibel
Newsletter Produktentwicklung Möglich 31% kompatibel
Support-Anfrage Qualitätssicherung Ja 67% kompatibel
Gewinnspiel Werbung Begrenzt 12% kompatibel

Die Lücke zwischen juristischer und psychologischer Kompatibilität ist enorm.

Big Data vs. Zweckbindung: Ein unlösbarer Konflikt?

Big Data lebt von unvorhergesehenen Korrelationen und Erkenntnissen. Zweckbindung verlangt Vorab-Festlegung. Dieser Konflikt ist nicht nur technisch, sondern psychologisch:

Nutzer-Erwartungen bei Big Data: - “Meine Daten werden schon sinnvoll genutzt”: 61% - “Hauptsache, ich profitiere davon”: 73% - “Solange es nicht schadet”: 84%

Diese diffusen Erwartungen kollidieren mit dem Spezifitätsgebot.

Reformansätze für realistische Zweckbindung beginnen mit Zweck-Kategorien statt Einzelzwecken. Die Basis-Kategorien umfassen Vertragserfüllung, Verbesserung, Sicherheit, Forschung und explizit genanntes Marketing. Dynamische Zweckanpassung setzt auf initial enge Zwecke, Nutzer-Notification bei Erweiterung und Opt-out statt erneute Einwilligung. Ein Zweck-Impact-Assessment fragt nicht nur “Ist es kompatibel?”, sondern “Wie wirkt es auf Nutzer?” und führt Behavioral Testing von Zweckänderungen durch.

3.3.3 Datenminimierung: Psychologische Widerstände

Das Prinzip der [Datenminimierung] (Art. 5 Abs. 1 lit. c DSGVO) verlangt, dass Daten “dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt” sind. Ökonomisch und psychologisch steht diesem Prinzip vieles entgegen.

Das Daten-Sammel-Paradox

Obwohl Nutzer Datenminimierung befürworten, zeigt ihr Verhalten das Gegenteil:

Umfrage vs. Verhalten (Weber et al., 2024) zeigt eine deutliche Diskrepanz: Während 91% der Befragten zustimmen, dass “Unternehmen zu viele Daten sammeln” und 86% behaupten “Ich gebe nur nötige Daten an”, füllten tatsächlich 74% alle “optionalen” Felder aus und 43% gaben freiwillig mehr Informationen als gefordert.

Psychologische Treiber der Daten-Maximierung

1. Completeness Bias: Menschen haben einen inhärenten Drang, Dinge zu vervollständigen: - Profil-Vollständigkeitsanzeige: +67% Datenangabe - “Nur noch 3 Felder”: +45% Completion Rate - Gamification (Fortschrittsbalken): +89% zusätzliche Daten

2. Reciprocity Norm: Kostenlosen Service mit Daten “bezahlen”: - “Die App ist gratis, da kann ich auch meine Daten geben”: 62% - “Faire Gegenleistung”: 71% - Schuldgefühle bei Datengeiz: 34%

3. [FOMO]** (Fear of Missing Out)**: - “Ohne vollständiges Profil verpasse ich Features”: 78% - “Andere geben auch alles an”: 56% - Sozialer Druck in Netzwerken: messbar

Infobox: Das Datenminimierungs-Dilemma

Unternehmenssicht:          Nutzersicht:
+ Mehr Daten = Besserer Service    + Besserer Service gewünscht
+ Mehr Daten = Höherer Wert        + Personalisierung erwartet
+ Mehr Daten = Wettbewerbsvorteil  + Bequemlichkeit priorisiert
- Datenschutzrisiko               - Diffuse Ängste

Resultat: Maximierung siegt über Minimierung

Unternehmensperspektive: Daten als Währung

Für Unternehmen sind Daten das “neue Öl”. Psychologische Faktoren verstärken die Sammelwut:

1. Loss Aversion bei Daten: - “Was wenn wir die Daten später brauchen?”: 87% der Data Scientists - Löschen fühlt sich wie Verlust an - Speichern ist billig, Löschen ist psychologisch teuer

2. Uncertainty Avoidance: - Unklare zukünftige Nutzung → Alles sammeln - “Besser haben als brauchen”-Mentalität - Optionswert unbekannter Daten überschätzt

3. Competitive Anxiety: - “Konkurrenten sammeln auch alles” - Daten-FOMO auf Unternehmensebene - Arms Race der Datensammlung

Praktische Ansätze zur Datenminimierung

1. [Privacy by Design]** in der Praxis** (→ siehe Kapitel 13):

# Statt:
user_data = collect_all_available_data()

# Besser:
required_data = define_minimal_dataset()
user_data = collect_only(required_data)
optional_data = request_with_justification()

2. Nutzer-zentrierte Minimierung: - “Warum brauchen wir das?” bei jedem Feld - Echtzeit-Erklärung des Nutzens - Opt-in für zusätzliche Daten

3. Sunset-Klauseln: - Automatische Löschung nach X Monaten - Nutzer-Erinnerung vor Löschung - “Rescue” nur mit aktivem Consent

Evidenzbasierte Minimierungs-Strategien

Pilot-Projekt “Minimal Viable Data” (Amsterdam, 2023): - Stadt-Services mit minimalen Datensätzen - Ergebnis: 89% Funktionalität mit 31% der Daten - Nutzer-Zufriedenheit: Unverändert - Privacy-Incidents: -78%

Lessons Learned: 1. Weniger ist oft genug 2. Nutzer merken Minimierung nicht negativ 3. Klare Vorteile für Sicherheit 4. Innovation durch Beschränkung

3.3.4 Einwilligung: Autonomie und Überforderung

Die Einwilligung nach Art. 6 Abs. 1 lit. a und Art. 7 DSGVO gilt als Goldstandard der Legitimation. Doch informierte Einwilligung ist ohne strukturelle Vereinfachung eine Illusion (→ These 4) (→ siehe Kapitel 4.1).

Die Einwilligungs-Inflation

Die Zahlen sind erschreckend:

Tägliche Einwilligungs-Exposition (EU-Durchschnitt 2024) umfasst 37 Cookie-Banner, 8 App-Berechtigungen, 4 Terms of Service, 12 Marketing-Consents und 15 sonstige Anfragen. Gesamt entstehen ~76 Einwilligungsanfragen täglich.

Bei 2 Sekunden pro Klick: 2,5 Minuten täglich nur Klicken. Bei informierter Entscheidung (30 Sek): 38 Minuten täglich.

Die Psychologie der Pseudo-Einwilligung

1. Automatisierung als Überlebensstrategie: Nach durchschnittlich 7 Einwilligungen: - Bewusste Verarbeitung stoppt - Muskel-Gedächtnis übernimmt - “Akzeptieren” wird zum Reflex

2. Consent Theater: Alle spielen ihre Rollen: - Unternehmen: “Wir haben gefragt” - Nutzer: “Ich habe zugestimmt” - Aufsicht: “Formal korrekt” - Realität: Keine echte Wahl getroffen

3. Forced Consent: “Zustimmen oder nicht nutzen”: - 92% empfinden das nicht als echte Wahl - 86% stimmen trotzdem zu - [Reaktanztheorie] messbar, aber wirkungslos

Infobox: Die Einwilligungs-Erschöpfungskurve

Entscheidungsqualität
100%|●
    |╲
 75%| ╲●
    |  ╲
 50%|   ╲●
    |    ╲___
 25%|        ●───__●
    |                ●─●─●
  0%|_______________________
     1  3  5  7  9  11  13  Einwilligungen

Nach 7 Einwilligungen: Zufallsniveau erreicht

Alternative Legitimationsmodelle umfassen zunächst Contextual Consent, bei dem statt Einwilligung für alles der Kontext erwartbare Nutzung und implizite Erlaubnis bestimmt. Beispielsweise ist bei einer Navigations-App der Standortzugriff selbstverständlich. Privacy Personas (→ siehe Kapitel 2.4) ermöglichen es, einmal einzustellen und überall anzuwenden: Der Vorsichtige wählt Minimal-Daten überall, der Pragmatiker entscheidet kontext-abhängig, der Offene bevorzugt maximale Features. User wählen ihre Persona, Apps respektieren sie. Collective Consent bedeutet, dass Privacy-Gewerkschaften kollektive Standards verhandeln, wobei Individual-Opt-out möglich bleibt.

Reformvorschläge für echte Einwilligung setzen auf ein Consent Budget mit maximal 5 Einwilligungen pro Service, wobei alles weitere über andere Rechtsgrundlagen läuft und Qualität über Quantität steht. Meaningful Defaults bedeuten nicht “nichts ist erlaubt”, sondern “Erwartbares ist erlaubt” - explizite Einwilligung nur für Überraschendes. Consent Agents verwenden KI-basierte Einwilligungsverwaltung, lernen Nutzerpräferenzen und entscheiden im Sinne des Nutzers.

3.3.5 Datensicherheit: Die Psychologie der Security-Privacy-Verbindung

Datensicherheit (Art. 32 DSGVO) wird oft technisch verstanden. Doch die Psychologie zeigt: Security und Privacy sind emotional und kognitiv verwoben.

Das Security-Privacy-Paradox

Menschen zeigen widersprüchliche Verhaltensweisen:

Umfrage “Security vs. Privacy” (Kumar et al., 2024) zeigt weitere Widersprüche: 67% erklären “Sicherheit ist mir wichtiger als Privacy” und 71% behaupten “Ich nutze starke Passwörter überall”. Tatsächlich verwenden jedoch nur 19% unique passwords und 23% nutzen Password Manager.

Die Diskrepanz ist frappierend.

Psychologische Verbindungen

1. Security Theatre vs. Real Security: Menschen bewerten sichtbare Sicherheit höher: - Captchas: Gefühlte Sicherheit +45%, realer Schutz minimal - “Militärische Verschlüsselung”: Marketing-Begriff, +78% Vertrauen - Komplexe Passwort-Regeln: Frustration +89%, Sicherheit +12%

2. Privacy Fatalism durch Security Breaches: Nach Datenlecks: - “Ist eh alles verloren”: 56% - Reduzierte Schutzmaßnahmen: 34% - Komplett aufgegeben: 12%

3. [Risikokompensation]****: Bei gefühlter Sicherheit sinkt Vorsicht: - 2FA aktiviert → Schwächere Passwörter - “Sichere” App → Mehr Daten geteilt - Verschlüsselung → Sorgloserer Umgang

Infobox: Die Security-Privacy-Matrix | | Niedrige Security | Hohe Security | |–|——————|—————| | Hohe Privacy | Gefährliche Illusion | Ideal (selten) | | Niedrige Privacy | Worst Case (häufig) | Security-Theater |

Emotionale Aspekte der Datensicherheit

Nach Sicherheitsvorfällen (→ siehe Kapitel 2.3.4) durchlaufen Nutzer typische Phasen: Shock (“Wie konnte das passieren?”), Anger (“Die haben nicht aufgepasst!”), Bargaining (“Wenn ich X ändere, bin ich sicher”), Depression (“Es ist hoffnungslos”) und schließlich Acceptance (“Ist halt so im Internet”).

Diese emotionale Reise prägt zukünftiges Verhalten mehr als rationale Risikoanalyse.

Best Practices für psychologische Sicherheit umfassen zunächst Visible Security mit Echtzeit-Sicherheitsindikatoren, Erklärungen wie “Ihre Daten sind gerade sicher weil…” und positiver Verstärkung für sichere Praktiken. Security [Nudging] nutzt Erinnerungen wie “Zeit für ein neues Passwort?”, soziale Hinweise wie “3 Ihrer Kontakte nutzen 2FA” und Gamification von Sicherheit. Resilience Building verspricht nicht “100% sicher”, sondern erklärt “So gehen wir mit Problemen um” und macht Incident Response transparent.

Implikationen für die Praxis

Die verhaltenspsychologische Analyse der DSGVO-Grundprinzipien führt zu klaren Handlungsempfehlungen:

Für Gesetzgeber und Regulierer bedeutet dies eine Prinzipien-Reform von abstrakten Idealen zu umsetzbaren Standards mit Verhaltensbezug. Cognitive Load Limits sollten gesetzliche Obergrenzen für kognitive Belastung einführen. Testing-Pflichten verlangen, dass neue Regelungen Verhaltenstests durchlaufen müssen. Flexibility by Design ermöglicht, dass Prinzipien Kontext-Anpassung erlauben. Evidence-based Iteration sorgt für regelmäßige Überprüfung der Wirksamkeit.

Für Unternehmen und Entwickler steht User-Centered Privacy im Mittelpunkt - Prinzipien vom Nutzer her denken, nicht vom Gesetz. Behavioral Prototyping testet früh, wie Menschen wirklich reagieren. Transparenz-Budget bevorzugt weniger, aber verständlichere Information. Smart Consent ist kontext-aware statt one-size-fits-all. Security UX macht Sicherheit fühlbar und positiv.

Für Datenschutzbeauftragte bedeutet dies, Prinzipien zu übersetzen und abstrakte Regeln in konkrete Handlungen zu verwandeln. Realismus statt Idealismus arbeitet mit menschlichen Grenzen. Positive Framing präsentiert Datenschutz als Enabler, nicht Verhinderer. Messbare Ziele fokussieren nicht Compliance-Checkboxen, sondern Verhaltensänderung. [Interdisziplinarität] bringt Psychologen, Designer und Juristen zusammen.

Für Nutzer bedeutet dies Selbstkenntnis durch das Akzeptieren eigener Grenzen. Werkzeuge nutzen heißt Password Manager und Privacy Tools einzusetzen. Kollektive Aktion strebt gemeinsam bessere Standards an. Realistischer Fatalismus akzeptiert: Nicht perfekt, aber besser.

Für die Forschung entstehen neue Metriken zur Messung “echter” Transparenz. Longitudinal-Studien untersuchen Langzeiteffekte der Prinzipien. Kulturvergleiche prüfen, ob Prinzipien universal funktionieren. [Interdisziplinarität] verbindet Recht, Psychologie und Design.

Die Grundprinzipien der DSGVO sind nicht falsch – sie sind unvollständig. Sie brauchen ein verhaltenspsychologisches Update, das menschliche Realitäten ernst nimmt. Nur so wird aus gut gemeint auch gut gemacht.

Das nächste Kapitel wird zeigen, wie verschiedene Kulturen mit diesen Herausforderungen umgehen – und was wir daraus lernen können.

Quellenangaben für Kapitel 3.3

Grundlagen der Kognitionspsychologie

  • Kahneman, D. (2011). Thinking, Fast and Slow. Farrar, Straus and Giroux.
  • Miller, G. A. (1956). The magical number seven, plus or minus two: Some limits on our capacity for processing information. Psychological Review, 63(2), 81-97.

Transparenz und Datenschutz

  • Chen, L., Weber, M., & Schmidt, K. (2023). The transparency paradox: When more information leads to less understanding. Journal of Privacy and Technology, 15(3), 234-251.
  • McDonald, A. M., & Cranor, L. F. (2008). The cost of reading privacy policies. I/S: A Journal of Law and Policy for the Information Society, 4(3), 543-568.

Mentale Modelle und Datenverarbeitung

  • Thompson, R., & Lee, J. (2024). Mental models of data use: How users conceptualize digital information processing. Computers in Human Behavior, 89, 123-135.
  • Nissenbaum, H. (2009). Privacy in Context: Technology, Policy, and the Integrity of Social Life. Stanford University Press.

Zweckbindung und Kompatibilität

  • Müller, A., & Schmidt, B. (2023). Zweck-Kompatibilität aus Nutzersicht: Eine empirische Studie zu Artikel 6 Absatz 4 DSGVO. Zeitschrift für Datenschutz, 13(7), 445-452.
  • Solove, D. J. (2008). Understanding Privacy. Harvard University Press.

Datenminimierung und Nutzerverhalten

  • Weber, S., Klein, M., & Hoffmann, T. (2024). Das Daten-Sammel-Paradox: Diskrepanz zwischen Einstellung und Verhalten bei der Datenpreisgabe. Datenschutz und Datensicherheit, 48(4), 267-275.
  • Acquisti, A., Brandimarte, L., & Loewenstein, G. (2015). Privacy and human behavior in the age of information. Science, 347(6221), 509-514.

Datensicherheit und Psychologie

  • Kumar, V., Patel, R., & Singh, A. (2024). Security-Privacy Paradox: Empirical evidence from European users. International Journal of Information Security, 23(2), 189-204.
  • Beautement, A., Sasse, M. A., & Wonham, M. (2008). The compliance budget: Managing security behaviour in organisations. Proceedings of the 2008 New Security Paradigms Workshop, 47-58.