Neuer Beitrag: Das Recht auf Auskunft: Prozess-Definition und Usability Evaluation von über 400 Auskunftsersuchen

Das Recht auf Auskunft gibt es nicht nur in der Datenschutz-Grundverordnung- auch in einigen der weltweiten Ableger fand es Eingang. Es soll Nutzern ermöglichen, zu verstehen und zu kontrollieren, welche Daten Unternehmen über sie haben und nutzen. Die DSGVO gibt dabei allerdings nur vage vor, wie eine Ausübung des Rechts auf Auskunft sowie die Beantwortung durch Verarbeiter aussehen muss. Dennoch finden sich einige Anhaltspunkte, die eine recht deutliche Anlehnung and Konzepte der Usability nehmen. Gemeinsam mit Dominik Pins vom Fraunhofer FIT, haben wir daher ein protoypisches Proozessmodell einer Beauskunftung erarbeitet, und die jeweiligen Prozessschritte mit einem erweiterten SUS-Modell getestet. Das Besondere: Zum ersten Mal steht eine solche Evaluation auf einer breiten empirischen Basis. Wir haben über 400 Auskunftsersuchen ausgeführt und damit über 130 Verarbeiter erreicht und bewertet.

Zum Artikel:

https://www.tandfonline.com/doi/abs/10.1080/0144929X.2022.2074894

Abstract:

In both data protection law and research of usable privacy, awareness and control over the collection and use of personal data are understood to be cornerstones of digital sovereignty. For example, the European General Data Protection Regulation (GDPR) provides data subjects with the right to access data collected by organisations but remains unclear on the concrete process design. However, the design of data subject rights is crucial when it comes to the ability of customers to exercise their right and fulfil regulatory aims such as transparency. To learn more about user needs in implementing the right to access as per GDPR, we conducted a two-step study. First, we defined a five-phase user experience journey regarding the right to access: finding, authentication, request, access and data use. Second, and based on this model, 59 participants exercised their right to access and evaluated the usability of each phase. Drawing on 422 datasets spanning 139 organisations, our results show several interdependencies of process design and user satisfaction. Thereby, our insights inform the community of usable privacy and especially the design of the right to access with a first, yet robust, empirical body.