Ilseven, EkinBraun, Maximilian Antonio2025-12-192025-12-192025-02-112025-01-05http://hdl.handle.net/10400.14/56001Organizations today operate in a landscape of heightened stakeholder scrutiny and regulatory complexity. Crises compel organizations to demonstrate accountability, with responsibility-taking narratives playing a critical role in rebuilding trust. This thesis investigates how evolving regulatory frameworks, such as the California Consumer Privacy Act (CCPA), shape organizational responsibility narratives and influence stakeholder-imposed punitive actions, thereby offering empirical evidence for how organizations depend on their consumers. Leveraging an empirical quantitative analysis, this study analyzes pre- and post-CCPA data breach notifications from the California Attorney General’s database and class-action lawsuit records from ClassAction.org. Linguistic analysis quantifies responsibility-taking and deflective language in breach notifications, while a Difference in Differences methodology evaluates regulatory impact. The relationship between crisis severity and class-action lawsuits is examined through matched data from the two databases, exploring the interplay of narratives and legal outcomes. Results show a significant increase in responsibility-taking language and a decrease in deflective communication post-CCPA. However, breaches involving highly sensitive data reduced responsibility-taking narratives, highlighting the moderating role of severity. Despite these shifts, no consistent evidence was found that responsibility-taking alone reduced the likelihood of lawsuits or that severity had a clear moderating role. This study reveals how regulatory frameworks influence corporate crisis communication, shaping responsibility-taking narratives. While these narratives support trust rebuilding and mitigate reputational damage, their effectiveness in reducing punitive actions remains inconsistent. The findings emphasize the need for organizations to adopt context-specific strategies, integrating narrative adjustments with comprehensive crisis management to meet stakeholder expectations and address legal risks effectively.As organizações atuais operam num cenário de maior escrutínio por parte das partes interessadas e de crescente complexidade regulatória. Crises obrigam as organizações a demonstrar responsabilidade, com narrativas de assunção de responsabilidades desempenhando um papel crucial na reconstrução da confiança. Esta tese investiga como estruturas regulatórias em evolução, como o California Consumer Privacy Act (CCPA), moldam narrativas de responsabilidade organizacional e influenciam ações punitivas impostas por stakeholders. Utilizando uma abordagem de métodos mistos, o estudo analisa notificações de violações de dados pré- e pós-CCPA no banco de dados do Procurador-Geral da Califórnia e registos de processos coletivos do ClassAction.org. Uma análise linguística quantifica a linguagem de assunção de responsabilidade e de defesa nas notificações, enquanto uma metodologia de Diferença-em-Diferenças avalia o impacto regulatório. A relação entre a gravidade das crises e os processos coletivos é examinada através de dados combinados das duas fontes, explorando a interação entre narrativas e resultados legais. Os resultados mostram um aumento significativo na linguagem de assunção de responsabilidade e uma redução na comunicação defensiva após o CCPA. No entanto, violações envolvendo dados altamente sensíveis diminuíram as narrativas de responsabilidade, destacando o papel moderador da gravidade. Apesar dessas mudanças, não foram encontradas evidências consistentes de que a assunção de responsabilidade reduza a probabilidade de ações judiciais ou que a gravidade desempenhe um papel moderador claro. Este estudo destaca como os quadros regulatórios moldam a comunicação em crises, realçando a necessidade de estratégias contextuais que integrem ajustes narrativos e gestão de crises eficaz.engCCPAComunicação de criseConfiança das partes interessadasCrisis communicationData breachNarrativa da responsabilidadeResponsibility narrativeStakeholder trustViolação de dadosmaster thesis203907949