Volltextdatei(en) vorhanden Open Access https://creativecommons.org/licenses/by/4.0/
Titel: Exposure of Worker Activity Times Through Application Software and Its Limitation
Sprache: Englisch
Autor*in: Burkert, Christian
Schlagwörter: Datenminimierung; data minimisation
GND-Schlagwörter: DatenschutzGND
App <Programm>GND
ZeitstempelGND
DatenmodellGND
AktivitätGND
MetadatenGND
ÜberwachungGND
Erscheinungsdatum: 2022-10
Tag der mündlichen Prüfung: 2023-02-16
Zusammenfassung: 
Die Digitalisierung der Arbeitswelt hat zur Folge, dass ein wesentlicher Teil der Arbeitsschritte eines Beschäftigten die Interaktion mit Software (Apps) beinhaltet. Diese Interaktionen hinterlassen digitale Spuren der Beschäftigten. Sie umfassen häufig sekundengenaue Angaben über den Zeitpunkt der Interaktion (Zeitstempel). Metadaten über digitale Arbeitsschritte von Beschäftigten werden bereits zur Unternehmensoptimierung ausgewertet. Aber auch eine automatisierte Leistungskontrolle wäre technisch dadurch möglich. Aus rechtlicher Sicht stehen dem legitimen Interesse eines Arbeitgebers an der Optimierung seiner Geschäftsabläufe schutzwürdige Interessen der Beschäftigten entgegen. Die Verarbeitung von Daten über Beschäftigte unterliegt, wie personenbezogenen Daten generell, dem Datenschutzrecht. Demzufolge müssen Arbeitgeber Grundsätze wie Zweckbindung und Datenminimierung beachten, deren Einhaltung nachweisen und durch geeignete technische Maßnahmen sicherstellen (Privacy-by-Design).

Die Gefahr, die durch die Preisgabe von Aktivitätszeiten durch Software-Prozesse für die informationelle Selbstbestimmung ausgeht, wurde technisch bisher wenig untersucht. Auch gab es bisher keine Ansätze, wie die Datenschutzkonformität von Apps im Bezug auf Aktivitätszeiten untersucht, verbessert und gewahrt werden kann. Die vorliegende Dissertation umfasst Arbeiten, die zur Beantwortung dieser Fragen Beiträge liefern, um zu verstehen, welche Aufgaben Zeitstempel sowohl programmatisch als auch informativ übernehmen, welcher Bedarf seitens der App-User besteht und wie die Preisgabe reduziert werden kann.

Mittels Programmanalysen im Rahmen von App-Fallstudien kann diese Arbeit erstmals systematisch ein Potential für die Datenminimierung bei Zeitstempeln herleiten und in diesem Zusammenhang das Phänomen des übermäßigen Zeitstempelns beschreiben. Wie dieses Übermaß vermieden werden kann, beschreibt die Arbeit nicht nur konzeptionell, sondern implementiert auch ein quelloffenes Framework mit datensparsameren Zeitstempel-Alternativen. Zudem liefert diese Arbeit erstmals empirische Hinweise zum Präzisionsbedarf bei informativen Zeitstempeln und Maßzahlen für den Datenschutz-Effekt von Präzisionsreduktionen. In experimentellen Sicherheitsanalysen konnte die Arbeit erstmals den großen Umfang einer Schutzlücke bei der Verwendung von VPNs in WLAN-Hotspots nachweisen, die zur unerwünschten Preisgabe von Aktivitätsmetadaten führen kann. Abschließend stellt diese Arbeit ein neues Verfahren vor, mit dessen Hilfe Angaben für die Datenschutz-Compliance aus AppDatenmodellen generiert werden können. Dabei wird erstmals die Problematik der ubiquitären Identifizierbarkeit systematisch beschrieben und Ansätze zu dessen Abmilderung mittels neuer graphbasierter Interpretationen des Datenmodells entwickelt.

Diese Dissertation erschließt die Problematik der Preisgabe von Aktivitätszeiten in Apps. Sie zeigt auf, wie mangelnde Datenminimierung in Apps untersucht und ausgeräumt werden kann und somit die informationelle Selbstbestimmung von App-Usern gestärkt wird.

The digitalization of the workplace means that a significant proportion of an employee’s work involves interaction with software (apps). These interactions leave digital traces of the employee. They often include second-by-second information about the time of the interaction (timestamps). Metadata about employees’ digital work steps is already being evaluated for business optimization. But automated performance monitoring would also be technically possible. From a legal point of view, the legitimate interest of an employer in optimizing its business processes is opposed by the interests of employees that are worthy of protection. The processing of employee data, like personal data in general, is subject to data protection laws, Accordingly, employers must observe principles such as purpose limitation and data minimization, demonstrate compliance and ensure it through appropriate technical measures (privacy by design).

The danger posed to informational self-determination by the exposure of activity times by software processes, has been little investigated technically. Nor have there been approaches to investigate, improve, and preserve the privacy compliance of apps with respect to activity times. This dissertation includes work that contributes to answering these questions, to understand what tasks timestamps perform both programmatically and informatively, what needs exist on the part of app users and how the exposure can be reduced.

Using program analyses in the context of app case studies, this thesis can for the first time systematically deduce a potential for data minimization in timestamps, and in this context describe the phenomenon of excessive timestamping. How this excess can be avoided is not only conceptually described in the thesis, but also implemented as an open-source framework with more data-minimal timestamp alternatives. In addition, this work provides the first empirical evidence on the precision requirements of informative timestamps and measures of the privacy effect of precision reductions. In experimental security analyses, this work was able to demonstrate for the first time the large scale of a protection gap when using VPNs in Wi-Fi hotspots, which can lead to the unwanted exposure of activity metadata. Finally, this work presents a new method for generating privacy compliance information from app data models. In doing so, the problem of ubiquitous identifiability is systematically described for the first time, and approaches to mitigate it using new graph-based interpretations of the data model are developed.

This dissertation opens up the problem of activity time exposure in apps. It shows how lack of data minimization in apps can be investigated and eradicated, thus strengthening the informational self-determination of app users.
URL: https://ediss.sub.uni-hamburg.de/handle/ediss/10117
URN: urn:nbn:de:gbv:18-ediss-107370
Dokumenttyp: Dissertation
Betreuer*in: Federrath, Hannes
Enthalten in den Sammlungen:Elektronische Dissertationen und Habilitationen

Dateien zu dieser Ressource:
Datei Beschreibung Prüfsumme GrößeFormat  
version-publikation-nosig.pdfe963656209010a3a9440fa43092b988c5.02 MBAdobe PDFÖffnen/Anzeigen
Zur Langanzeige

Info

Seitenansichten

179
Letzte Woche
Letzten Monat
geprüft am 23.04.2024

Download(s)

120
Letzte Woche
Letzten Monat
geprüft am 23.04.2024
Werkzeuge

Google ScholarTM

Prüfe