Investigation of Information Privacy in Employment: Fundamental Knowledge and Practical Solutions for the Human-Centered Design of Measures to Preserve the Right to Informational Self-Determination in Employment

The processing of employee personal data is dramatically increasing. To protect employees' fundamental right to privacy, the law provides for the implementation of privacy controls, including transparency and intervention. At present, however, the stakeholders responsible for putting these obligations into action, such as employers and software engineers, simply lack the fundamental knowledge needed to design and implement the necessary controls. Indeed, privacy research has so far focused mainly on consumer relations in the private context. In contrast, privacy in the employment context is less well studied. However, since privacy is highly context-dependent, existing knowledge and privacy controls from other contexts cannot simply be adopted to the employment context. In particular, privacy in employment is subject to different legal and social norms, which require a different conceptualization of the right to privacy than is usual in other contexts. To adequately address these aspects, there is broad consensus that privacy must be regarded as a socio-technical concept in which human factors must be considered alongside technical-legal factors. Today, however, there is a particular lack of knowledge about human factors in employee privacy. Disregarding the needs and concerns of individuals or lack of usability, though, are common reasons for the failure of privacy and security measures in practice. This dissertation addresses key knowledge gaps on human factors in employee privacy by presenting the results of a total of three in-depth studies with employees in Germany. The results provide insights into employees' perceptions of the right to privacy, as well as their perceptions and expectations regarding the processing of employee personal data. The insights gained provide a foundation for the human-centered design and implementation of employee-centric privacy controls, i.e., privacy controls that incorporate the views, expectations, and capabilities of employees. Specifically, this dissertation presents the first mental models of employees on the right to informational self-determination, the German equivalent of the right to privacy. The results provide insights into employees' (1) perceptions of categories of data, (2) familiarity and expectations of the right to privacy, and (3) perceptions of data processing, data flow, safeguards, and threat models. In addition, three major types of mental models are presented, each with a different conceptualization of the right to privacy and a different desire for control. Moreover, this dissertation provides multiple insights into employees' perceptions of data sensitivity and willingness to disclose personal data in employment. Specifically, it highlights the uniqueness of the employment context compared to other contexts and breaks down the multi-dimensionality of employees' perceptions of personal data. As a result, the dimensions in which employees perceive data are presented, and differences among employees are highlighted. This is complemented by identifying personal characteristics and attitudes toward employers, as well as toward the right to privacy, that influence these perceptions. Furthermore, this dissertation provides insights into practical aspects for the implementation of personal data management solutions to safeguard employee privacy. Specifically, it presents the results of a user-centered design study with employees who process personal data of other employees as part of their job. Based on the results obtained, a privacy pattern is presented that harmonizes privacy obligations with personal data processing activities. The pattern is useful for designing privacy controls that help these employees handle employee personal data in a privacy-compliant manner, taking into account their skills and knowledge, thus helping to protect employee privacy. The outcome of this dissertation benefits a wide range of stakeholders who are involved in the protection of employee privacy. For example, it highlights the challenges to be considered by employers and software engineers when conceptualizing and designing employee-centric privacy controls. Policymakers and researchers gain a better understanding of employees' perceptions of privacy and obtain fundamental knowledge for future research into theoretical and abstract concepts or practical issues of employee privacy. Employers, IT engineers, and researchers gain insights into ways to empower data processing employees to handle employee personal data in a privacy-compliant manner, enabling employers to improve and promote compliance. Since the basic principles underlying informational self-determination have been incorporated into European privacy legislation, we are confident that our results are also of relevance to stakeholders outside Germany.Die Verarbeitung personenbezogener Daten von Beschäftigten nimmt erheblich zu. Um das Grundrecht auf Privatheit zu schützen, sieht der Gesetzgeber die Implementierung von Datenschutzmaßnahmen inklusive Transparenz und Intervention vor. Gegenwärtig mangelt es den für die Umsetzung verantwortlichen Akteuren, wie Arbeitgebenden und Software-Ingenieurinnen und -Ingenieuren, jedoch schlichtweg an Grundlagenwissen, um die notwendigen Maßnahmen zu konzipieren und zu implementieren. Tatsächlich hat sich die Privatheitsforschung bisher hauptsächlich auf Beziehungen im privaten Kontext von Verbraucherinnen und Verbrauchern konzentriert. Im Gegensatz dazu ist Privatheit im Beschäftigungskontext weniger gut untersucht. Da Privatheit in hohem Maße kontextabhängig ist, können vorhandene Kenntnisse und Datenschutzmaßnahmen aus anderen Kontexten jedoch nicht einfach auf den Beschäftigungskontext übertragen werden. Insbesondere unterliegt die Privatheit im Beschäftigtenkontext abweichenden rechtlichen und sozialen Normen, die eine andere Konzeptualisierung des Rechts auf Privatheit erfordern, als dies in anderen Kontexten üblich ist. Um diesen Besonderheiten gerecht zu werden, besteht ein breiter Konsens darüber, dass Privatheit als sozio-technisches Konzept betrachtet werden muss, bei dem neben den technisch-rechtlichen Faktoren immer auch menschliche Faktoren berücksichtigt werden müssen. Derzeit mangelt es jedoch insbesondere an Wissen über menschliche Faktoren zur Privatheit im Beschäftigtenkontext. Die Außerachtlassung der Bedürfnisse und Anliegen von Individuen oder mangelnde Benutzerfreundlichkeit sind jedoch häufige Gründe für das Scheitern von Datenschutz- und Sicherheitsmaßnahmen in der Praxis. Diese Dissertation adressiert zentrale Wissenslücken zu menschlichen Faktoren im Beschäftigtendatenschutz, indem sie die Ergebnisse von insgesamt drei Studien mit Beschäftigten in Deutschland vorstellt. Die Ergebnisse geben Aufschluss über ihre Wahrnehmung des Rechts auf Privatheit sowie über ihre Wahrnehmungen und Erwartungen an die Verarbeitung personenbezogener Daten. Die gewonnenen Erkenntnisse bilden eine Grundlage für die menschzentrierte Gestaltung und Umsetzung von Datenschutzmaßnahmen im Beschäftigtenkontext, d.h. von Datenschutzmaßnahmen, die die Sichtweisen, Erwartungen und Fähigkeiten von Beschäftigten einbeziehen. Konkret werden in dieser Dissertation erstmals mentale Modelle von Beschäftigten zum Recht auf informationelle Selbstbestimmung, dem deutschen Pendant zum Recht auf Privatheit, vorgestellt. Die Ergebnisse geben Aufschluss über (1) die Wahrnehmung von Kategorien von Daten, (2) die Vertrautheit mit und die Erwartungen an das Recht auf Privatheit und (3) die Wahrnehmung von Datenverarbeitung, Datenfluss, Schutzmaßnahmen und Bedrohungsmodellen. Darüber hinaus werden drei Haupttypen von mentalen Modellen vorgestellt, die jeweils andere Konzeptualisierungen des Rechts auf Privatheit und unterschiedliche Bedürfnisse für Datenschutzmaßnahmen beinhalten. Darüber hinaus bietet diese Dissertation vielfältige Einblicke in die Wahrnehmung der Datensensibilität und die Bereitschaft von Beschäftigten, personenbezogene Daten im Rahmen ihrer Beschäftigung preiszugeben. Insbesondere wird die Einzigartigkeit des Beschäftigungskontextes im Vergleich zu anderen Kontexten hervorgehoben und die Mehrdimensionalität der Wahrnehmung personenbezogener Daten aufgeschlüsselt. Infolgedessen werden die Dimensionen, in denen Beschäftigte Daten wahrnehmen, dargestellt und die Unterschiede hervorgehoben. Ergänzend dazu werden persönliche Merkmale und Einstellungen gegenüber Arbeitgebenden sowie dem Recht auf Privatheit identifiziert, die diese Wahrnehmungen beeinflussen. Des Weiteren gibt diese Dissertation Einblicke in die praktische Umsetzung von Datenmanagementlösungen die den Schutz der Privatheit von Beschäftigten fördern. Konkret werden die Ergebnisse einer nutzerzentrierten Designstudie mit Beschäftigten vorgestellt, die im Rahmen ihrer Tätigkeit personenbezogene Daten anderer Beschäftigter verarbeiten. Auf der Grundlage der gewonnenen Ergebnisse wird ein Datenschutzmuster vorgestellt, das die Datenschutzverpflichtungen mit den Aktivitäten zur Verarbeitung personenbezogener Daten in Einklang bringt. Das Datenschutzmuster ist nützlich für die Gestaltung von Datenschutzmaßnahmen, die die Fähigkeiten und Kenntnisse dieser Beschäftigten berücksichtigen, um sie in der datenschutzkonformen Verarbeitung zu unterstützen und so zum Beschäftigtendatenschutz beizutragen. Die Ergebnisse dieser Dissertation kommen einer Vielzahl von Akteuren zugute, die mit dem Beschäftigtendatenschutz befasst sind. Zum Beispiel werden die Herausforderungen aufgezeigt, die von Arbeitgebenden und Software-Ingenieurinnen und -Ingenieuren bei der Konzeption und Gestaltung von mitarbeiterzentrierten Datenschutzkontrollen zu berücksichtigen sind. Politische Entscheidungsträgerinnen und -träger sowie Forscherinnen und Forscher gewinnen ein besseres Verständnis für die Wahrnehmung der Privatheit durch die Beschäftigten und erhalten Grundlagenwissen für die künftige Erforschung theoretischer und abstrakter Konzepte oder praktischer Fragen des Beschäftigtendatenschutzes. Arbeitgebende, IT-Ingenieurinnen und -Ingenieure sowie Forscherinnen und Forscher erhalten Einblicke in die Möglichkeiten, wie datenverarbeitende Mitarbeitende befähigt werden können, mit personenbezogenen Daten von Arbeitnehmenden datenschutzkonform umzugehen, sodass Arbeitgebende die Einhaltung der Vorschriften verbessern und fördern können. Da die Grundprinzipien der informationellen Selbstbestimmung Eingang in die europäische Datenschutzgesetzgebung gefunden haben, sind wir zuversichtlich, dass unsere Ergebnisse auch für Akteure außerhalb Deutschlands von Bedeutung sind

Investigation of Information Privacy in Employment: Fundamental Knowledge and Practical Solutions for the Human-Centered Design of Measures to Preserve the Right to Informational Self-Determination in Employment

Die Verarbeitung personenbezogener Daten von Beschäftigten nimmt erheblich zu. Um das Grundrecht auf Privatheit zu schützen, sieht der Gesetzgeber die Implementierung von Datenschutzmaßnahmen inklusive Transparenz und Intervention vor. Gegenwärtig mangelt es den für die Umsetzung verantwortlichen Akteuren, wie Arbeitgebenden und Software-Ingenieurinnen und -Ingenieuren, jedoch schlichtweg an Grundlagenwissen, um die notwendigen Maßnahmen zu konzipieren und zu implementieren. Tatsächlich hat sich die Privatheitsforschung bisher hauptsächlich auf Beziehungen im privaten Kontext von Verbraucherinnen und Verbrauchern konzentriert. Im Gegensatz dazu ist Privatheit im Beschäftigungskontext weniger gut untersucht. Da Privatheit in hohem Maße kontextabhängig ist, können vorhandene Kenntnisse und Datenschutzmaßnahmen aus anderen Kontexten jedoch nicht einfach auf den Beschäftigungskontext übertragen werden. Insbesondere unterliegt die Privatheit im Beschäftigtenkontext abweichenden rechtlichen und sozialen Normen, die eine andere Konzeptualisierung des Rechts auf Privatheit erfordern, als dies in anderen Kontexten üblich ist. Um diesen Besonderheiten gerecht zu werden, besteht ein breiter Konsens darüber, dass Privatheit als sozio-technisches Konzept betrachtet werden muss, bei dem neben den technisch-rechtlichen Faktoren immer auch menschliche Faktoren berücksichtigt werden müssen. Derzeit mangelt es jedoch insbesondere an Wissen über menschliche Faktoren zur Privatheit im Beschäftigtenkontext. Die Außerachtlassung der Bedürfnisse und Anliegen von Individuen oder mangelnde Benutzerfreundlichkeit sind jedoch häufige Gründe für das Scheitern von Datenschutz- und Sicherheitsmaßnahmen in der Praxis. Diese Dissertation adressiert zentrale Wissenslücken zu menschlichen Faktoren im Beschäftigtendatenschutz, indem sie die Ergebnisse von insgesamt drei Studien mit Beschäftigten in Deutschland vorstellt. Die Ergebnisse geben Aufschluss über ihre Wahrnehmung des Rechts auf Privatheit sowie über ihre Wahrnehmungen und Erwartungen an die Verarbeitung personenbezogener Daten. Die gewonnenen Erkenntnisse bilden eine Grundlage für die menschzentrierte Gestaltung und Umsetzung von Datenschutzmaßnahmen im Beschäftigtenkontext, d.h. von Datenschutzmaßnahmen, die die Sichtweisen, Erwartungen und Fähigkeiten von Beschäftigten einbeziehen. Konkret werden in dieser Dissertation erstmals mentale Modelle von Beschäftigten zum Recht auf informationelle Selbstbestimmung, dem deutschen Pendant zum Recht auf Privatheit, vorgestellt. Die Ergebnisse geben Aufschluss über (1) die Wahrnehmung von Kategorien von Daten, (2) die Vertrautheit mit und die Erwartungen an das Recht auf Privatheit und (3) die Wahrnehmung von Datenverarbeitung, Datenfluss, Schutzmaßnahmen und Bedrohungsmodellen. Darüber hinaus werden drei Haupttypen von mentalen Modellen vorgestellt, die jeweils andere Konzeptualisierungen des Rechts auf Privatheit und unterschiedliche Bedürfnisse für Datenschutzmaßnahmen beinhalten. Darüber hinaus bietet diese Dissertation vielfältige Einblicke in die Wahrnehmung der Datensensibilität und die Bereitschaft von Beschäftigten, personenbezogene Daten im Rahmen ihrer Beschäftigung preiszugeben. Insbesondere wird die Einzigartigkeit des Beschäftigungskontextes im Vergleich zu anderen Kontexten hervorgehoben und die Mehrdimensionalität der Wahrnehmung personenbezogener Daten aufgeschlüsselt. Infolgedessen werden die Dimensionen, in denen Beschäftigte Daten wahrnehmen, dargestellt und die Unterschiede hervorgehoben. Ergänzend dazu werden persönliche Merkmale und Einstellungen gegenüber Arbeitgebenden sowie dem Recht auf Privatheit identifiziert, die diese Wahrnehmungen beeinflussen. Des Weiteren gibt diese Dissertation Einblicke in die praktische Umsetzung von Datenmanagementlösungen die den Schutz der Privatheit von Beschäftigten fördern. Konkret werden die Ergebnisse einer nutzerzentrierten Designstudie mit Beschäftigten vorgestellt, die im Rahmen ihrer Tätigkeit personenbezogene Daten anderer Beschäftigter verarbeiten. Auf der Grundlage der gewonnenen Ergebnisse wird ein Datenschutzmuster vorgestellt, das die Datenschutzverpflichtungen mit den Aktivitäten zur Verarbeitung personenbezogener Daten in Einklang bringt. Das Datenschutzmuster ist nützlich für die Gestaltung von Datenschutzmaßnahmen, die die Fähigkeiten und Kenntnisse dieser Beschäftigten berücksichtigen, um sie in der datenschutzkonformen Verarbeitung zu unterstützen und so zum Beschäftigtendatenschutz beizutragen. Die Ergebnisse dieser Dissertation kommen einer Vielzahl von Akteuren zugute, die mit dem Beschäftigtendatenschutz befasst sind. Zum Beispiel werden die Herausforderungen aufgezeigt, die von Arbeitgebenden und Software-Ingenieurinnen und -Ingenieuren bei der Konzeption und Gestaltung von mitarbeiterzentrierten Datenschutzkontrollen zu berücksichtigen sind. Politische Entscheidungsträgerinnen und -träger sowie Forscherinnen und Forscher gewinnen ein besseres Verständnis für die Wahrnehmung der Privatheit durch die Beschäftigten und erhalten Grundlagenwissen für die künftige Erforschung theoretischer und abstrakter Konzepte oder praktischer Fragen des Beschäftigtendatenschutzes. Arbeitgebende, IT-Ingenieurinnen und -Ingenieure sowie Forscherinnen und Forscher erhalten Einblicke in die Möglichkeiten, wie datenverarbeitende Mitarbeitende befähigt werden können, mit personenbezogenen Daten von Arbeitnehmenden datenschutzkonform umzugehen, sodass Arbeitgebende die Einhaltung der Vorschriften verbessern und fördern können. Da die Grundprinzipien der informationellen Selbstbestimmung Eingang in die europäische Datenschutzgesetzgebung gefunden haben, sind wir zuversichtlich, dass unsere Ergebnisse auch für Akteure außerhalb Deutschlands von Bedeutung sind.The processing of employee personal data is dramatically increasing. To protect employees' fundamental right to privacy, the law provides for the implementation of privacy controls, including transparency and intervention. At present, however, the stakeholders responsible for putting these obligations into action, such as employers and software engineers, simply lack the fundamental knowledge needed to design and implement the necessary controls. Indeed, privacy research has so far focused mainly on consumer relations in the private context. In contrast, privacy in the employment context is less well studied. However, since privacy is highly context-dependent, existing knowledge and privacy controls from other contexts cannot simply be adopted to the employment context. In particular, privacy in employment is subject to different legal and social norms, which require a different conceptualization of the right to privacy than is usual in other contexts. To adequately address these aspects, there is broad consensus that privacy must be regarded as a socio-technical concept in which human factors must be considered alongside technical-legal factors. Today, however, there is a particular lack of knowledge about human factors in employee privacy. Disregarding the needs and concerns of individuals or lack of usability, though, are common reasons for the failure of privacy and security measures in practice. This dissertation addresses key knowledge gaps on human factors in employee privacy by presenting the results of a total of three in-depth studies with employees in Germany. The results provide insights into employees' perceptions of the right to privacy, as well as their perceptions and expectations regarding the processing of employee personal data. The insights gained provide a foundation for the human-centered design and implementation of employee-centric privacy controls, i.e., privacy controls that incorporate the views, expectations, and capabilities of employees. Specifically, this dissertation presents the first mental models of employees on the right to informational self-determination, the German equivalent of the right to privacy. The results provide insights into employees' (1) perceptions of categories of data, (2) familiarity and expectations of the right to privacy, and (3) perceptions of data processing, data flow, safeguards, and threat models. In addition, three major types of mental models are presented, each with a different conceptualization of the right to privacy and a different desire for control. Moreover, this dissertation provides multiple insights into employees' perceptions of data sensitivity and willingness to disclose personal data in employment. Specifically, it highlights the uniqueness of the employment context compared to other contexts and breaks down the multi-dimensionality of employees' perceptions of personal data. As a result, the dimensions in which employees perceive data are presented, and differences among employees are highlighted. This is complemented by identifying personal characteristics and attitudes toward employers, as well as toward the right to privacy, that influence these perceptions. Furthermore, this dissertation provides insights into practical aspects for the implementation of personal data management solutions to safeguard employee privacy. Specifically, it presents the results of a user-centered design study with employees who process personal data of other employees as part of their job. Based on the results obtained, a privacy pattern is presented that harmonizes privacy obligations with personal data processing activities. The pattern is useful for designing privacy controls that help these employees handle employee personal data in a privacy-compliant manner, taking into account their skills and knowledge, thus helping to protect employee privacy. The outcome of this dissertation benefits a wide range of stakeholders who are involved in the protection of employee privacy. For example, it highlights the challenges to be considered by employers and software engineers when conceptualizing and designing employee-centric privacy controls. Policymakers and researchers gain a better understanding of employees' perceptions of privacy and obtain fundamental knowledge for future research into theoretical and abstract concepts or practical issues of employee privacy. Employers, IT engineers, and researchers gain insights into ways to empower data processing employees to handle employee personal data in a privacy-compliant manner, enabling employers to improve and promote compliance. Since the basic principles underlying informational self-determination have been incorporated into European privacy legislation, we are confident that our results are also of relevance to stakeholders outside Germany

Data Cart: A Privacy Pattern for Personal Data Management in Organizations

The European General Data Protection Regulation requires the implementation of Technical and Organizational Measures (TOMs) to reduce the risk of illegitimate processing of personal data. For these measures to be effective, they must be applied correctly by employees who process personal data under the authority of their organization. However, even data processing employees often have limited knowledge of data protection policies and regulations, which increases the likelihood of misconduct and privacy breaches. To lower the likelihood of unintentional privacy breaches, TOMs must be developed with employees’ needs, capabilities, and usability requirements in mind. To reduce implementation costs and help organizations and IT engineers with the implementation, privacy patterns have proven to be effective for this purpose. In this chapter, we introduce the privacy pattern Data Cart, which specifically helps to develop TOMs for data processing employees. Based on a user-centered design approach with employees from two public organizations in Germany, we present a concept that illustrates how Privacy by Design can be effectively implemented. Organizations, IT engineers, and researchers will gain insight on how to improve the usability of privacy-compliant tools for managing personal data

Privacy Considerations for Risk-Based Authentication Systems

Risk-based authentication (RBA) extends authentication mechanisms to make them more robust against account takeover attacks, such as those using stolen passwords. RBA is recommended by NIST and NCSC to strengthen password-based authentication, and is already used by major online services. Also, users consider RBA to be more usable than two-factor authentication and just as secure. However, users currently obtain RBA's high security and usability benefits at the cost of exposing potentially sensitive personal data (e.g., IP address or browser information). This conflicts with user privacy and requires to consider user rights regarding the processing of personal data. We outline potential privacy challenges regarding different attacker models and propose improvements to balance privacy in RBA systems. To estimate the properties of the privacy-preserving RBA enhancements in practical environments, we evaluated a subset of them with long-term data from 780 users of a real-world online service. Our results show the potential to increase privacy in RBA solutions. However, it is limited to certain parameters that should guide RBA design to protect privacy. We outline research directions that need to be considered to achieve a widespread adoption of privacy preserving RBA with high user acceptance

Employees’ privacy perceptions: exploring the dimensionality and antecedents of personal data sensitivity and willingness to disclose

The processing of employees’ personal data is dramatically increasing, yet there is a lack of tools that allow employees to manage their privacy. In order to develop these tools, one needs to understand what sensitive personal data are and what factors influence employees’ willingness to disclose. Current privacy research, however, lacks such insights, as it has focused on other contexts in recent decades. To fill this research gap, we conducted a cross-sectional survey with 553 employees from Germany. Our survey provides multiple insights into the relationships between perceived data sensitivity and willingness to disclose in the employment context. Among other things, we show that the perceived sensitivity of certain types of data differs substantially from existing studies in other contexts. Moreover, currently used legal and contextual distinctions between different types of data do not accurately reflect the subtleties of employees’ perceptions. Instead, using 62 different data elements, we identified four groups of personal data that better reflect the multi-dimensionality of perceptions. However, previously found common disclosure antecedents in the context of online privacy do not seem to affect them. We further identified three groups of employees that differ in their perceived data sensitivity and willingness to disclose, but neither in their privacy beliefs nor in their demographics. Our findings thus provide employers, policy makers, and researchers with a better understanding of employees’ privacy perceptions and serve as a basis for future targeted research on specific types of personal data and employees