DSGVO und DevOps

Wie Datenschutzbeauftrage erfolgreich arbeiten

| Autor / Redakteur: Eric Schrock / Peter Schmitz

Die DSGVO bringt Unternehmen dazu, alle Prozesse auf den Prüfstand zu stellen, vor allem die zur Speicherung, Verwaltung und zum Schutz aller Daten.
Die DSGVO bringt Unternehmen dazu, alle Prozesse auf den Prüfstand zu stellen, vor allem die zur Speicherung, Verwaltung und zum Schutz aller Daten. (Bild: Pixabay / CC0)

Datenschutz und Datensicherheit sicherzustellen ist für Unternehmen mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) eine noch größere Herausforderung geworden. Eine zentrale Stellung nehmen dafür Datenschutzbeauftragte (DSB) ein. Damit diese erfolgreich arbeiten können, sind DataOps-Plattformen essentiell.

Daten treiben Innovationen in Unternehmen voran. Sie sammeln und erfassen immer mehr davon: Generierten sie 2015 noch 30 Prozent aller Daten, so werden es im Jahr 2025 schon 60 Prozent sein. Das sagen der Festplattenhersteller Seagate und das Marktforschungsunternehmen IDC voraus. Doch Firmen muss der Wert der ihnen anvertrauten Daten bewusst sein – und auch, welches Risiko in ihnen steckt. Denn echte Kundendaten dürfen auf keinen Fall in die Hände von Unbefugten geraten. Und doch passiert das immer wieder.

Mit der Datenschutz-Grundverordnung (DSGVO) rücken Datenschutzbeauftragte ins Zentrum. Ihr Tätigkeitsbereich ist extrem komplex: Sie müssen gleichzeitig die Einhaltung des Datenschutzes im Blick haben, die Mitarbeiter sensibilisieren, die Regulierungsvorgaben durchsetzen helfen und an der Überwachung mitwirken. Ihre umfassende und zentrale Aufgabe: Sie sollen eine Datenschutzkultur im Unternehmen etablieren. Dafür braucht es eine tiefgreifende organisatorische Transformation; Audits, Checklisten und Berichte sind nicht ausreichend.

Der Stichtag für die DSGVO ist unwiderruflich da!

Anwendung Datenschutz-Grundverordnung

Der Stichtag für die DSGVO ist unwiderruflich da!

25.05.18 - Mit dem 25. Mai 2018 endet die Übergangsfrist, die Datenschutz-Grundverordnung (DSGVO / GDPR) gilt unmittelbar und ersetzt in Deutschland zusammen mit dem neuen Bundesdatenschutzgesetz das bisherige BDSG. So klar diese rechtliche Tatsache ist, so offen sind noch viele Punkte bei der Umsetzung. Das Projekt DSGVO ist also nicht abgeschlossen, sondern muss fortgeführt werden. lesen

Alle Daten-Prozesse gehören auf den Prüfstand

Die DSGVO schafft nicht nur die Chance, sondern sogar die Notwendigkeit für Unternehmen, alle möglichen Prozesse auf den Prüfstand zu stellen – vor allem die zur Speicherung, Verwaltung und zum Schutz aller Daten. Dazu gehört auch die technologische Infrastruktur. Datenschutzbeauftragte müssen die Wege steuern, auf denen Daten fließen. Sie wissen, wo Daten gebraucht, wie sie verarbeitet werden und welche Privatsphäre-Bereiche betroffen sind.

Effektive Datenschutzmaßnahmen betreffen verschiedene Abteilungen im Unternehmen mit unterschiedlichen Sicherheitsstufen und einem jeweils anderen Risikolevel. Sensible Daten wandern vom Nutzer zur Applikation. Das können etwa Namen, Kreditkartendaten, E-Mail-Adressen oder Sozialversicherungsnummern sein, aber auch Alter, Standortverlauf, Einkaufsgewohnheiten oder die Aufzeichnung der Stimme. Von der Produktion werden diese Daten an andere Unternehmensbereiche weitergegeben: Firmen stellen Kopien ihrer Produktionsumgebung für Softwareentwicklung, Tests, Backup oder Berichtswesen her. Entwickler brauchen idealerweise Produktivdaten, um realistische digitale Angebote zu entwickeln oder Analysen durchzuführen

Bis zu 90 Prozent aller Test- und Entwicklungsdaten werden aber immer noch nicht-anonymisiert auf Unternehmenssystemen gespeichert. Das ist ein großes Sicherheits- und Compliance-Risiko. In Zukunft werden solche Verstöße außerdem teuer, denn die DSGVO führt empfindliche Strafen ein: Die Bußgelder können sich auf bis zu vier Prozent des jährlichen Gesamtumsatzes belaufen.

Damit Datenschutzbeauftragte erfolgreich arbeiten und die Übersicht behalten können, muss das Unternehmen die Kontrolle über alle Daten zurückgewinnen und behalten. Es muss jederzeit transparent sein, wo sich Informationen befinden einschließlich sensibler Daten in diversen Nicht-Produktionsumgebungen. An jedem Punkt muss ihr Risikoprofil bewertet und eventuell angepasst werden.

Innerhalb einer Produktionskette wird es wahrscheinlich sehr strenge Sicherheitskontrollen geben. Sie wird überwacht, um Zugriffe, Veränderungen oder unbefugtes Eindringen festzustellen. Wahrscheinlich gibt es auch nur eine kleine Anzahl von Personen, die berechtigt ist, auf die Systeme zuzugreifen oder die Informationen anzusehen.

Aber dann benötigen andere Teams diese Daten, etwa Data Science oder Entwicklung. Deren Systeme haben oft nicht dieselben Sicherheitskontrollen. Womöglich arbeiten dort Hunderte von Entwicklern oder Systeme mit unterschiedlichen Zugriffsrechten an Produktivdaten. Wenn diese Daten ausgelesen oder gestohlen werden, sind Rückschlüsse auf die Identität der betroffenen Personen möglich.

Viele Unternehmen geben ihre Daten außerdem an Drittanbieter weiter. So soll etwa ein externer Entwickler aus Testdaten eine neue App entwickeln, dazu erhält er Kopien der Daten, vielleicht über eine Public- oder Hybrid-Cloud. Damit steigt die Gefahr von Datenlecks. Im Moment der Herausgabe können nicht mehr nachvollziehen, wer genau alles Zugriff auf die Informationen hat.

DSGVO – und jetzt?

eBook

DSGVO – und jetzt?

Die wichtigsten Änderungen: Was ist neu und was wurde verschärft? Praxishilfen: Leitlinien und bewährte Verfahren der Aufsichtsbehörden Konkretisierung: Neues Bundesdatenschutzgesetz ergänzt die DSGVO. weiter...

Risikoprofil senken mit Datenmaskierung

Wie kann man also das Risikoprofil senken? Hier kommt die Datenmaskierung ins Spiel. Merkmale, die für die Identifikation einer Person notwendig sind, werden durch anonyme Daten ersetzt. So entsteht eine strukturell ähnliche, aber nicht authentische Version mit fiktiven, aber dennoch gültigen Äquivalenten. So wird aus „Karl Mustermann“ der „Nutzer12345“. Eine Kreditkartennummer sieht immer noch aus wie eine Kreditkartennummer, ist aber nicht die des Kunden.

Erreicht wird das vor allem mit einer Pseudonymisierung. Vertrauliche Daten werden so anonymisiert, dass sie sich nicht mehr einer bestimmten Person zuordnen lassen. Auch im Fall eines Datendiebstahls ist ihre Identität geschützt. Bei dem Prozess werden direkte Identifikatoren per Hashing, Verschlüsselung und Tokenisierung maskiert.

Niemand, auch nicht die Entwickler, können Rückschlüsse auf Personen oder Kunden ziehen. Gleichzeitig haben sie aber Zugriff auf aussagekräftige Informationen. Wenn die echten Datensätze maskiert werden, ist nicht nur die Sicherheit der Informationen gewährleistet, sondern es werden auch die strengen Datenschutzregelungen eingehalten. Die DGVO sieht die Datenmaskierung ausdrücklich als hilfreiches Mittel zum Schutz und zur Verarbeitung personenbezogener Daten an.

DataOps-Plattformen helfen Datenschutzbeauftragten

Daten-Management-Lösung übernehmen diese Maskierung automatisch, aber nicht nur das: Sie sorgen auch für die schnelle Bereitstellung von Daten und den Zugriff auf sie, damit Entwickler und Analysten mit möglichst realistischen Informationen arbeiten können. Ein ganzheitlicher Ansatz und eine Lösung für die komplexen Aufgaben sind DataOps-Plattformen wie die Delphix Dynamic Data Platform.

DataOps versteht sich als ein kollaborativer Ansatz im Management, mit dem Ziel die Kommunikation, Integration und Automatisierungsprozesse innerhalb des Unternehmens auf Datenbasis deutlich zu vereinfachen und zu verbessern. Besonderer Fokus liegt dabei auf dem Austausch zwischen dem IT- und Nicht-IT-Personal, aus dem ein tiefergehendes Verständnis für datenbasierte Prozesse und Informationsverarbeitung hervorgehen soll. Als ganzheitlicher Ansatz legt DataOps damit die Grundlage für eine digitalisierte Unternehmenskultur und Datenkompetenz in allen Mitarbeiterschichten.

Sie erstellen eine virtuelle Kopie der Produktivdaten und ist die Basis für die Bereitstellung der Daten in verschiedenen Entwicklungs- und Testumgebungen, auch über mehrere Umgebungen hinweg sowie lokal und in der Cloud. Die Daten werden schon während des Extraktionsprozesses maskiert, also wenn sie die Produktion verlassen und übertragen werden, nicht erst in der Nachbearbeitung.

Die DataOps-Plattform stellt darüber hinaus ein zentrales Richtlinienmanagement und eine Regel-Engine für die Pseudonymisierung bereit. Das Speichern, Verwalten und Bereitstellen virtueller Kopien erfolgt von einer einzelnen Stelle aus. Der Datenschutzbeauftragte hat so die Kontrolle: Er weiß genau, wo virtuelle Kopien gespeichert sind, und wer darauf Zugriff hat. Datenplattformen stellen außerdem kontinuierlich Compliance-Reports bereit und machen Änderungen an Datenbeständen transparent.

Der Datenschutz wird somit in den gesamten Lebenszyklus von Daten und Produkten eingebettet, von der Entwurfsphase bis zur Bereitstellung, Nutzung und Vernichtung.

Über den Autor: Eric Schrock ist CTO bei Delphix.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45622491 / Compliance und Datenschutz )