Von Requirements zu Privacy Explanations: Ein nutzerzentrierter Ansatz für Usable Privacy

Abstract

Im Zeitalter der fortschreitenden Digitalisierung, in dem die Technologie zunehmend in unsere Gesellschaft eindringt, rücken sogenannte human values wie Ethik, Fairness, Privatsphäre und Vertrauen weiter in den Mittelpunkt. Digitale Informationssysteme dringen immer stärker in private und berufliche Bereiche vor und bieten den Nutzern Unterstützung, schnell und einfach mit anderen Menschen in Kontakt zu treten, bei der Informationsbeschaffung und helfen bei der Erledigung täglicher Aufgaben. Im Gegenzug geben die Nutzer bereitwillig große Mengen an persönlichen Daten an diese Systeme weiter. Diese Datenerfassung bedeutet jedoch, dass die Privatsphäre der Nutzer zunehmend gefährdet ist. Daher ist die Aufklärung der Nutzer über die gesammelten Informationen und ihre anschließende Verarbeitung der Schlüssel, die Privatsphäre der Nutzer zu schützen.

Der Gesetzgeber hat Datenschutzerklärungen als Mittel zur Kommunikation von Datenpraktiken eingeführt. Leider erweisen sich diese Dokumente für die Endnutzer als praktisch nutzlos, da sie umfangreich, vage formuliert und mit Fachausdrücken gespickt sind, die oft ein tieferes Fachwissen erfordern. Das Ergebnis ist ein Mangel an nutzerorientierten Lösungen zur transparenten und verständlichen Vermittlung von Datenpraktiken.

Um diese Lücke zu schließen, wird in dieser Arbeit das Konzept der Erklärbarkeit als entscheidender Qualitätsaspekt zur Verbesserung der Kommunikation zwischen Systemen und Nutzern in Bezug auf Datenpraktiken in einer klaren, verständlichen und nachvollziehbaren Weise untersucht. Zu diesem Zweck wird ein Ansatz vorgeschlagen, der aus drei Theorien besteht, die durch sieben Artefakte gestützt werden, die die Rolle der Erklärbarkeit im Kontext der Privatsphäre skizzieren und Leitlinien für die Kommunikation von Datenschutzinformationen aufstellen. Diese Theorien und Artefakte sollen Software-Experten unterstützen, (a) privatsphärerelevante Aspekte zu identifizieren, (b) diese kontextrelevant und verständlich an den Nutzer zu kommunizieren, um (c) datenschutzfreundliche Systeme zu designen.

Um die Wirksamkeit des vorgeschlagenen Ansatzes zu validieren, wurden Evaluierungen durchgeführt, darunter Literaturrecherchen, Workshops und Nutzerstudien. Die Ergebnisse bestätigen die Eignung der entwickelten Theorien und Artefakte und bieten eine vielversprechende Grundlage für die Entwicklung datenschutzfreundlicher, fairer und transparenter Systeme.

In the era of ongoing digitalization, where technology increasingly infiltrates our society, fun-damental human values such as ethics, fairness, privacy, and trust have taken center stage. Digital systems have seamlessly penetrated both personal and professional spheres, offering users swift connectivity, information access, and assistance in their daily routines. In exchange, users willingly share copious amounts of personal data with these systems. However, this data collection means that that users’ privacy sphere is increasingly at stake. Therefore, educating users about the information being collected and its subsequent processing is key to protect users’ privacy sphere. Legislation has established privacy policies as a means of communicating data practices. Unfortunately, these documents often prove fruitless for end users due to their extensive, va-gue, and jargon-laden nature, replete with legal terminology that often requires a deeper level of specialized knowledge. The result is a lack of user-centric solutions to communicate privacy information transparently and understandably. To bridge this gap, this thesis explores the concept of explainability as a crucial quality aspect for improving communication between systems and users concerning data practices, in a clear, understandable, and comprehensible manner. To this end, this thesis proposes an approach consisting of three theories supported by seven artifacts that outline the role of explainability in the context of privacy and provide guidelines for communicating privacy information. These theories and artifacts are intended to help software professionals (a) to identify privacy-relevant aspects, (b) to communicate them to users in a contextually relevant and understandable way, and (c) to design privacy-aware systems. To validate the efÏcacy of the proposed approach, evaluations were conducted, including literature reviews, workshops, and user studies. The results endorse the suitability of the de-veloped theories and artifacts, offering a promising foundation for developing privacy-aware, fair, and transparent systems.