Pseudonymisierung
Daten inkognito
Manche Arbeitsbereiche in Unternehmen offenbaren erst auf den zweiten Blick einen Bezug zur EU-DSGVO: beispielsweise Testen, Testautomatisierung und die Überwachung von IT-Systemen und Netzwerken. Eine Lösung ist die Pseudonymisierung von personenbezogenen Daten.
Mit der Anwendung der EU-Datenschutzgrundverordnung ab dem 25. Mai 2018 werden die Rechte von Betroffenen zum Schutz ihrer persönlichen Daten deutlich ausgeweitet und das Instrumentarium zur Durchsetzung von Datenschutzvorgaben verschärft. §25 DSGVO verlangt, dass der Datenschutz in die Entwicklung von Geschäftsprozessen für Produkte und Dienstleistungen integriert ist, anstatt den Datenschutz zu einem späteren Zeitpunkt zu ergänzen. In der Beschreibung der Grundsätze für die Verarbeitung personenbezogener Daten (§5 DSGVO) wird zudem gefordert, dass Unternehmen nur die Daten vorhalten und verarbeiten sollten, die für die Abwicklung des Anwendungsfalls unbedingt notwendig sind (Datenminimierung – im BDSG wird in diesem Kontext auch der der Begriff Datensparsamkeit verwendet).
Die IT-Sicherheit betreffend fordert die EU-DSGVO (§25, Abs. 1, 2), dass personenbezogene Daten durch angemessene technische und organisatorische Maßnahmen – etwa durch Pseudonymisierung – geschützt werden. Dies umfasst nach EU-DSGVO (§5, Abs. 1f) auch den Schutz vor unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust („Integrität und Vertraulichkeit“).
Zahlreiche neue Pflichten gehen mit der Verordnung einher, insbesondere in den Bereichen Dokumentation sowie Risikobewertung inklusive Folgeabschätzung und Kontrolle. Dabei ist der „Stand der Technik“ (der in der EU-DSGVO nicht näher spezifiziert ist) die gesetzliche Maßgabe zur Sicherstellung von Datenschutz durch technische Maßnahmen.
Nähert man sich dem Thema ‚Verarbeitung personenbezogener Daten‘, so denkt man spontan an Datenverarbeitung im Rahmen von Beschäftigungsverhältnissen oder die Verarbeitung von Daten im Rahmen von Geschäftsbeziehungen und die damit jeweils korrespondierenden typischen IT-Systeme (CRM, ERP, HR-Software) sowie Unternehmensprozesse. Aber auch in ganz anderen Bereichen kann man sehr schnell in Berührung mit personenbezogenen Daten kommen. Zur Sensibilisierung bezüglich der Gültigkeits- und Anwendungsbereiche der EU-DSGVO, finden Sie anschließend zwei typische Bereiche, die in Unternehmen gerne übersehen werden:
Viele Unternehmen reagieren in ihren IT-Projekten auf die Schnelllebigkeit im Geschäftsalltag mit agilen Methoden und Managementkonzepten. Entwickelt man Software agil, dann sind der Einsatz von automatisierten Tests und insbesondere bei bereichsübergreifenden Projekten die Etablierung von Testautomatisierung wichtige Erfolgsfaktoren. Im Rahmen von Testautomatisierung benötigt man im Allgemeinen Testdaten. Diese können synthetisch erzeugt oder aus Produktivdaten (prinzipiell sind diese Daten näher an der Realität) generiert werden. An dieser Stelle kommen Entwickler und Tester schneller mit personenbezogenen Daten in Kontakt als es Unternehmen lieb sein kann.
Ein weiterer Bereich, bei dem Mitarbeiter in Kontakt mit personen-bezogenen Daten kommen können, wird durch den rasanten Einzug der Digitalisierung im Kontext der EU-DSGVO immer betrachtungs-würdiger. Durch die zunehmende Vernetzung mit Lieferanten, Partnern und Kunden, die Automatisierung von Fertigungsprozessen sowie die intensive Auswertung von geschäftsrelevanten Daten kommt es zu einer immer stärkeren Kopplung des Unternehmenserfolgs an die Leistungsfähigkeit und Zuverlässigkeit der IT-Systeme sowie geschäftskritischen Anwendungen. Folglich haben viele Unternehmen ein vitales Interesse daran, ihre IT-Systeme zu überwachen: Monitoring und Optimierung von Performance und Qualität, Reduzierung von Ausfallzeiten, schnellere Fehlerlokalisierung und -behebung sowie Reduzierung von Risiken durch Schadsoftware, Spionage oder Sabotage.
Spannungsfelder
Im Kontext der EU-DSGVO oder dem BDSG entsteht so ein Spannungsfeld zwischen Datensicherheit, IT-Sicherheit, IT-Performance und Datensparsamkeit (§5, Abs. 1c der DSGVO). Dieses Dilemma ist in vielen Unternehmen nicht oder nur unzureichend gelöst.
Die unter den zuvor genannten Gesichtspunkten notwendigen Tracing- und Monitoring-Systeme stellen in Abhängigkeit der verwendeten Technologie ein unterschiedlich großes aber potenzielles Risiko zum Datenmissbrauch dar. Ein Beispiel, das in der Praxis sehr oft vorzufinden ist, ist die bei der Fehlersuche und -analyse weit verbreitete und hilfreiche Kombination aus IT-Mitarbeiter, Notebook, Wireshark (leistungsfähige Open Source Software zum Mitschneiden und Dekodieren von Netzwerkdaten) und konfigurierten Mirror-Ports an zentralen Switchen. Der anlassbezogene und zeitbegrenzte Einsatz legitimiert unter Datenschutzgesichtspunkten zwar die zuvor geschilderte Vorgehensweise, in der Praxis kann aber keine Einschränkung auf die zur Fehleranalyse tatsächlich relevanten Netzwerkdaten erfolgen. Insofern können IT-Mitarbeiter sehr schnell und sehr einfach mit vielen personenbezogenen Daten, die in den Netzwerkdaten enthalten sind, in Kontakt kommen.
Ebenfalls gängig und mit Risiken verbunden ist die Weitergabe von Trace-Files (Mitschnitt von Netzwerkdaten) an Lieferanten von IT-Systemen zur Fehleranalyse oder im Rahmen der Inbetriebnahme neuer Systeme und Anlagen. Auch hier kann es schnell dazu kommen, dass personenbezogene Daten oder kritische Infrastrukturinformationen unbeabsichtigt in die falschen Hände geraten.
- Daten inkognito
- Zwei Ansätze
Lesen Sie mehr zum Thema
