Digitalisierung dank EU-GDPR

Compliance bei Software-Tests und Datenanalysen

| Autor / Redakteur: Ralph Nüsse * / Stephan Augsten

Datenschutz muss auch im Rahmen der Software-Entwicklung berücksichtigt werden.
Datenschutz muss auch im Rahmen der Software-Entwicklung berücksichtigt werden. (Bild: Fernando Arcos - pexels.com / CC0)

Die Vorgaben der EU-Datenschutz-Grundverordnung wirken sich auch auf die Anwendungsentwicklung aus. Doch wie wahrt man die GDPR-Compliance bei Software-Tests, der Datenbank-Anbindung und Anwenderanalysen?

Viele Unternehmen müssen ihre Data-Governance-Richtlinien modernisieren. Gerade die EU-Datenschutzgrundverordnung (General Data Protection Regulation, GDPR), die Ende Mai 2018 in Kraft tritt und den Umgang mit Kundendaten regelt, spielt dabei eine wichtige Rolle. Dies betrifft auch die im Rahmen der Software-Entwicklung genutzten Datensätze und Datenbanken.

Die EU-Datenschutz-Grundverordnung definiert einen Mindeststandard für den Umgang, die Sicherung und Weitergabe von persönlichen Daten von Bürgern der EU. Halten Unternehmen diese Vorschriften nicht ein, so drohen ihnen Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent ihres weltweiten Jahresumsatzes – je nachdem, was höher ist.

Der so entstehende Zwang zur Compliance kann jedoch auch als Chance betrachtet werden, um die Datenbearbeitungsprozesse zu optimieren und die Produktivität zu steigern. Der Weg dorthin ist aber alles andere als einfach.

Viele Firmen verzweifeln angesichts der großen Herausforderungen durch die GDPR. So müssen sie zum Beispiel alle Instanzen von Kundendaten nachverfolgen können, die Zustimmung der Betroffenen zur Nutzung ihrer Daten einholen sowie die eingesetzten Maßnahmen zur Verwaltung dieses Prozesses für Auditoren dokumentieren.

Dies ist gleich aus mehreren Gründen schwierig: Erstens explodiert die Menge der gesammelten Daten geradezu, sodass deren Management immer aufwendiger wird. Zweitens erhöht der Trend zu agilen Methoden und DevOps die Veränderungs-Geschwindigkeit. Und drittens erhöhen neue digitale Technologien wie Mobile, sowie die Auslagerung von Prozessen an Dienstleistern, die Komplexität der IT-Strukturen.

Aus diesem Grund wird es immer problematischer, die Kundendaten jederzeit nachverfolgen zu können. Gleichzeitig wird die Kontrolle darüber immer wichtiger. Wie also können Unternehmen die EU-Vorschriften einhalten, ohne ihre digitale Transformation zu beeinträchtigen?

Die Daten analysieren

Projekte zur Datenanalyse stellen eine besondere Herausforderung für die Compliance mit GDPR dar. In den vergangenen Jahren haben Unternehmen, um ihre Kunden besser zu verstehen, immer mehr Informationen über sie gesammelt. Neun von zehn Organisationen sagen, dass dies zur Erreichung ihrer Geschäftsziele erfolgsentscheidend ist.

Daher wäre es kontraproduktiv, das Sammeln von Daten komplett zu stoppen. Der Besitz der Informationen an sich ist kein Problem. Jedoch werden die Daten während der Analyseprozesse häufig zwischen verschiedenen Systemen ausgetauscht. Dies erhöht das Risiko für einen Verstoß gegen die Vorschriften.

Wenn sich die Mehrheit der Kundendaten großer Unternehmen auf dem Mainframe befindet, lässt sich dieses Problem relativ einfach lösen. Angesichts der Tatsache, dass diese Plattform hochsicher, skalierbar und zuverlässig ist, sollten Unternehmen die Analyseprozesse zu den Daten bringen und sie auf dem Mainframe durchführen.

Damit müssen sie die Daten nicht mehr in die Cloud eines Drittanbieters oder einen anderen internen Server übertragen. Dies reduziert deutlich das Risiko einer Datenschutzverletzung und damit von Strafzahlungen aufgrund eines Verstoßes gegen die GDPR.

Die Daten kontrollieren

Die nächste Aufgabe besteht darin, die Komplexität der IT-Systeme zu reduzieren, die durch die digitale Transformation entstanden ist. Eine der großen Herausforderungen durch GDPR ist dabei das „Recht auf Vergessen werden“, wonach Unternehmen auf Anfrage Kundendaten innerhalb einer Frist löschen müssen, wenn die User das fordern. Bevor sie diese entfernen können, müssen sie aber zuerst herausfinden, wo sich die Daten überhaupt befinden.

Das ist einfacher gesagt als getan. Denn die digitalen Infrastrukturen nutzen ein unübersichtliches Sammelsurium an verschiedenen Datenbanken. Die Lage ist tatsächlich so kompliziert, dass fast jeder dritte CIO zugibt, er könne nicht garantieren, jede Kopie der Daten eines Kunden zu finden oder gar zu löschen.

Für viele Unternehmen fungiert der Mainframe als zentraler Speicherort für Daten. Daher sollte das Finden und Löschen von Daten eigentlich eine einfache Aufgabe sein, da diese sich an einem Platz befinden. Doch die Realität sieht anders aus. Viele IT-Teams besitzen nämlich keine großen Erfahrungen in der Arbeit mit dem Mainframe, sodass sie kaum die entsprechenden Informationen identifizieren und extrahieren können.

Kundendaten können außerdem in verschiedene Datenbanken kopiert worden sein. Dies erschwert das Aufspüren zusätzlich. Die einzige Möglichkeit, dies zu umgehen, ist die Bereitstellung einer einfach nutzbaren Anwendung zur Visualisierung der Beziehungen zwischen Datensätzen auf dem Mainframe. Damit lassen sich ohne spezielles Wissen alle Kundendaten ermitteln und bei Bedarf entfernen.

Die Erlaubnis einholen

Eine weitere Anforderung ist das Einholen der ausdrücklichen Erlaubnis des Kunden, seine Daten für andere Zwecke außerhalb der eigentlichen Verwendungsart zu nutzen. Zum Beispiel testen viele Unternehmen mit Hilfe von echten Kundendaten neue Anwendungen. Damit gewährleisten sie, dass die digitalen Services erwartungsgemäß funktionieren, sobald sie live gestellt werden.

Doch Studien zeigen, dass gerade einmal jedes fünfte Unternehmen die ausdrückliche Erlaubnis von Kunden einholt, bevor sie deren Daten für weitere Zwecke wie Testläufe nutzen. Zudem lagern viele Unternehmen die Entwicklung ihrer Anwendungen an Drittanbieter aus und teilen Kundendaten mit ihren Partnern für Testzwecke. Dies dürfte einen deutlichen Verstoß gegen die GDPR darstellen, wenn nicht zuvor die Erlaubnis jedes betroffenen Kunden eingeholt wurde.

Um Kunden nicht bei jeder einzelnen neuen Verwendung ihrer Daten zu belästigen und dadurch zu verärgern, bitten Unternehmen in der Regel einmal um eine breite Zustimmung für alle möglichen Aktivitäten. Dies wird jedoch von der GDPR nicht akzeptiert. Daher benötigen Unternehmen einen neuen Ansatz, wenn sie keine negativen Konsequenzen fürchten wollen.

Dieser kann in einer effektiven Datenschutzstrategie für Testläufe bestehen. Wenn Unternehmen Kundendaten maskieren, lassen sich diese nicht mehr einzelnen Personen zuordnen. Trotzdem eignen sie sich für eine Vielzahl an Aufgaben wie Tests, ohne eine explizite Erlaubnis der betroffenen Kunden zu benötigen.

Die Herausforderung als Chance

Die GDPR erzeugt eine Vielzahl an Herausforderungen für Unternehmen. Durch einen aktuellen Ansatz für das Datenmanagement lassen sich aber viele daraus entstehende Risiken reduzieren. So scheint die Gewährleistung der Compliance auf den ersten Blick eine hohe Belastung darzustellen; sie bietet aber auch eine große Chance, die Produktivität durch die Optimierung der Datenbearbeitungsprozesse zu erhöhen.

Ralph Nüsse
Ralph Nüsse (Bild: Compuware)

Neben der Einhaltung der GDPR helfen moderne Ansätze auch bei der Senkung des Aufwands für das Sammeln und Verwalten von Daten. Damit können sich IT-Teams stärker auf Analysen und Innovationen konzentrieren – zum beiderseitigen Vorteil von Unternehmen und Kunden.

* Ralph Nüsse arbeitet seit über 15 Jahren in der IT. Zur Zeit verwirklicht er als Architekt Datenschutz-Projekte mit Compuwares Ansatz der statischen Datenanonymisierung. Er hat bei einer Reihe europäischer Kunden geholfen, deren Testdaten-Schutz Strategien zu entwickeln und umzusetzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44589299 / Compliance und Datenschutz )