Volltext-Downloads (blau) und Frontdoor-Views (grau)

Investigation of Information Privacy in Employment: Fundamental Knowledge and Practical Solutions for the Human-Centered Design of Measures to Preserve the Right to Informational Self-Determination in Employment

  • The processing of employee personal data is dramatically increasing. To protect employees' fundamental right to privacy, the law provides for the implementation of privacy controls, including transparency and intervention. At present, however, the stakeholders responsible for putting these obligations into action, such as employers and software engineers, simply lack the fundamental knowledge needed to design and implement the necessary controls. Indeed, privacy research has so far focused mainly on consumer relations in the private context. In contrast, privacy in the employment context is less well studied. However, since privacy is highly context-dependent, existing knowledge and privacy controls from other contexts cannot simply be adopted to the employment context. In particular, privacy in employment is subject to different legal and social norms, which require a different conceptualization of the right to privacy than is usual in other contexts. To adequately address these aspects, there is broad consensus that privacy must be regarded as a socio-technical concept in which human factors must be considered alongside technical-legal factors. Today, however, there is a particular lack of knowledge about human factors in employee privacy. Disregarding the needs and concerns of individuals or lack of usability, though, are common reasons for the failure of privacy and security measures in practice. This dissertation addresses key knowledge gaps on human factors in employee privacy by presenting the results of a total of three in-depth studies with employees in Germany. The results provide insights into employees' perceptions of the right to privacy, as well as their perceptions and expectations regarding the processing of employee personal data. The insights gained provide a foundation for the human-centered design and implementation of employee-centric privacy controls, i.e., privacy controls that incorporate the views, expectations, and capabilities of employees. Specifically, this dissertation presents the first mental models of employees on the right to informational self-determination, the German equivalent of the right to privacy. The results provide insights into employees' (1) perceptions of categories of data, (2) familiarity and expectations of the right to privacy, and (3) perceptions of data processing, data flow, safeguards, and threat models. In addition, three major types of mental models are presented, each with a different conceptualization of the right to privacy and a different desire for control. Moreover, this dissertation provides multiple insights into employees' perceptions of data sensitivity and willingness to disclose personal data in employment. Specifically, it highlights the uniqueness of the employment context compared to other contexts and breaks down the multi-dimensionality of employees' perceptions of personal data. As a result, the dimensions in which employees perceive data are presented, and differences among employees are highlighted. This is complemented by identifying personal characteristics and attitudes toward employers, as well as toward the right to privacy, that influence these perceptions. Furthermore, this dissertation provides insights into practical aspects for the implementation of personal data management solutions to safeguard employee privacy. Specifically, it presents the results of a user-centered design study with employees who process personal data of other employees as part of their job. Based on the results obtained, a privacy pattern is presented that harmonizes privacy obligations with personal data processing activities. The pattern is useful for designing privacy controls that help these employees handle employee personal data in a privacy-compliant manner, taking into account their skills and knowledge, thus helping to protect employee privacy. The outcome of this dissertation benefits a wide range of stakeholders who are involved in the protection of employee privacy. For example, it highlights the challenges to be considered by employers and software engineers when conceptualizing and designing employee-centric privacy controls. Policymakers and researchers gain a better understanding of employees' perceptions of privacy and obtain fundamental knowledge for future research into theoretical and abstract concepts or practical issues of employee privacy. Employers, IT engineers, and researchers gain insights into ways to empower data processing employees to handle employee personal data in a privacy-compliant manner, enabling employers to improve and promote compliance. Since the basic principles underlying informational self-determination have been incorporated into European privacy legislation, we are confident that our results are also of relevance to stakeholders outside Germany.
  • Die Verarbeitung personenbezogener Daten von Beschäftigten nimmt erheblich zu. Um das Grundrecht auf Privatheit zu schützen, sieht der Gesetzgeber die Implementierung von Datenschutzmaßnahmen inklusive Transparenz und Intervention vor. Gegenwärtig mangelt es den für die Umsetzung verantwortlichen Akteuren, wie Arbeitgebenden und Software-Ingenieurinnen und -Ingenieuren, jedoch schlichtweg an Grundlagenwissen, um die notwendigen Maßnahmen zu konzipieren und zu implementieren. Tatsächlich hat sich die Privatheitsforschung bisher hauptsächlich auf Beziehungen im privaten Kontext von Verbraucherinnen und Verbrauchern konzentriert. Im Gegensatz dazu ist Privatheit im Beschäftigungskontext weniger gut untersucht. Da Privatheit in hohem Maße kontextabhängig ist, können vorhandene Kenntnisse und Datenschutzmaßnahmen aus anderen Kontexten jedoch nicht einfach auf den Beschäftigungskontext übertragen werden. Insbesondere unterliegt die Privatheit im Beschäftigtenkontext abweichenden rechtlichen und sozialen Normen, die eine andere Konzeptualisierung des Rechts auf Privatheit erfordern, als dies in anderen Kontexten üblich ist. Um diesen Besonderheiten gerecht zu werden, besteht ein breiter Konsens darüber, dass Privatheit als sozio-technisches Konzept betrachtet werden muss, bei dem neben den technisch-rechtlichen Faktoren immer auch menschliche Faktoren berücksichtigt werden müssen. Derzeit mangelt es jedoch insbesondere an Wissen über menschliche Faktoren zur Privatheit im Beschäftigtenkontext. Die Außerachtlassung der Bedürfnisse und Anliegen von Individuen oder mangelnde Benutzerfreundlichkeit sind jedoch häufige Gründe für das Scheitern von Datenschutz- und Sicherheitsmaßnahmen in der Praxis. Diese Dissertation adressiert zentrale Wissenslücken zu menschlichen Faktoren im Beschäftigtendatenschutz, indem sie die Ergebnisse von insgesamt drei Studien mit Beschäftigten in Deutschland vorstellt. Die Ergebnisse geben Aufschluss über ihre Wahrnehmung des Rechts auf Privatheit sowie über ihre Wahrnehmungen und Erwartungen an die Verarbeitung personenbezogener Daten. Die gewonnenen Erkenntnisse bilden eine Grundlage für die menschzentrierte Gestaltung und Umsetzung von Datenschutzmaßnahmen im Beschäftigtenkontext, d.h. von Datenschutzmaßnahmen, die die Sichtweisen, Erwartungen und Fähigkeiten von Beschäftigten einbeziehen. Konkret werden in dieser Dissertation erstmals mentale Modelle von Beschäftigten zum Recht auf informationelle Selbstbestimmung, dem deutschen Pendant zum Recht auf Privatheit, vorgestellt. Die Ergebnisse geben Aufschluss über (1) die Wahrnehmung von Kategorien von Daten, (2) die Vertrautheit mit und die Erwartungen an das Recht auf Privatheit und (3) die Wahrnehmung von Datenverarbeitung, Datenfluss, Schutzmaßnahmen und Bedrohungsmodellen. Darüber hinaus werden drei Haupttypen von mentalen Modellen vorgestellt, die jeweils andere Konzeptualisierungen des Rechts auf Privatheit und unterschiedliche Bedürfnisse für Datenschutzmaßnahmen beinhalten. Darüber hinaus bietet diese Dissertation vielfältige Einblicke in die Wahrnehmung der Datensensibilität und die Bereitschaft von Beschäftigten, personenbezogene Daten im Rahmen ihrer Beschäftigung preiszugeben. Insbesondere wird die Einzigartigkeit des Beschäftigungskontextes im Vergleich zu anderen Kontexten hervorgehoben und die Mehrdimensionalität der Wahrnehmung personenbezogener Daten aufgeschlüsselt. Infolgedessen werden die Dimensionen, in denen Beschäftigte Daten wahrnehmen, dargestellt und die Unterschiede hervorgehoben. Ergänzend dazu werden persönliche Merkmale und Einstellungen gegenüber Arbeitgebenden sowie dem Recht auf Privatheit identifiziert, die diese Wahrnehmungen beeinflussen. Des Weiteren gibt diese Dissertation Einblicke in die praktische Umsetzung von Datenmanagementlösungen die den Schutz der Privatheit von Beschäftigten fördern. Konkret werden die Ergebnisse einer nutzerzentrierten Designstudie mit Beschäftigten vorgestellt, die im Rahmen ihrer Tätigkeit personenbezogene Daten anderer Beschäftigter verarbeiten. Auf der Grundlage der gewonnenen Ergebnisse wird ein Datenschutzmuster vorgestellt, das die Datenschutzverpflichtungen mit den Aktivitäten zur Verarbeitung personenbezogener Daten in Einklang bringt. Das Datenschutzmuster ist nützlich für die Gestaltung von Datenschutzmaßnahmen, die die Fähigkeiten und Kenntnisse dieser Beschäftigten berücksichtigen, um sie in der datenschutzkonformen Verarbeitung zu unterstützen und so zum Beschäftigtendatenschutz beizutragen. Die Ergebnisse dieser Dissertation kommen einer Vielzahl von Akteuren zugute, die mit dem Beschäftigtendatenschutz befasst sind. Zum Beispiel werden die Herausforderungen aufgezeigt, die von Arbeitgebenden und Software-Ingenieurinnen und -Ingenieuren bei der Konzeption und Gestaltung von mitarbeiterzentrierten Datenschutzkontrollen zu berücksichtigen sind. Politische Entscheidungsträgerinnen und -träger sowie Forscherinnen und Forscher gewinnen ein besseres Verständnis für die Wahrnehmung der Privatheit durch die Beschäftigten und erhalten Grundlagenwissen für die künftige Erforschung theoretischer und abstrakter Konzepte oder praktischer Fragen des Beschäftigtendatenschutzes. Arbeitgebende, IT-Ingenieurinnen und -Ingenieure sowie Forscherinnen und Forscher erhalten Einblicke in die Möglichkeiten, wie datenverarbeitende Mitarbeitende befähigt werden können, mit personenbezogenen Daten von Arbeitnehmenden datenschutzkonform umzugehen, sodass Arbeitgebende die Einhaltung der Vorschriften verbessern und fördern können. Da die Grundprinzipien der informationellen Selbstbestimmung Eingang in die europäische Datenschutzgesetzgebung gefunden haben, sind wir zuversichtlich, dass unsere Ergebnisse auch für Akteure außerhalb Deutschlands von Bedeutung sind.

Export metadata

Additional Services

Search Google Scholar Check availability

Statistics

Show usage statistics
Metadaten
Document Type:Doctoral Thesis
Language:English
Author:Jan Tolsdorf
Number of pages:xvii, 261
DOI:https://doi.org/10.53846/goediss-9481
Referee:Delphine Reinhardt, Kai Rannenberg, Luigi Lo Iacono
Date of exam:2022/08/08
Contributing Corporation:Georg-August-Universität Göttingen
Date of first publication:2022/10/10
Keyword:Employee Privacy; Human-Centered Design; Information Privacy; Right to Informational Self-Determination
Departments, institutes and facilities:Fachbereich Informatik
Graduierteninstitut
Institut für Cyber Security & Privacy (ICSP)
Dewey Decimal Classification (DDC):0 Informatik, Informationswissenschaft, allgemeine Werke / 00 Informatik, Wissen, Systeme / 004 Datenverarbeitung; Informatik
Entry in this database:2022/10/14
Licence (German):License LogoCreative Commons - CC BY-NC - Namensnennung - Nicht kommerziell 4.0 International