Im Mai 2018 ist es soweit: die Europäische Datenschutzgrundverordnung (EU-DSGVO) muss umgesetzt werden. Für Unternehmen bedeutet das: Sie müssen deutlich höhere Anforderungen im Umgang mit personenbezogenen Daten erfüllen und sehen sich bei Verstößen mit empfindlichen Strafen (bis zu vier Prozent des Jahresumsatzes) konfrontiert.
Foto: T.Dallas - shutterstock.com
Die Vorbereitung auf die neuen Datenschutzregeln ist für Unternehmen eine Chance, ihren Umgang mit sensiblen Daten zu überprüfen. Durch die immer stärkere Vernetzung und die Verlagerung von "Datenschätzen" in die Cloud sind Unternehmensdaten immer größeren Gefahren durch Cyberkriminalität ausgesetzt. Neben dem gesetzlich geforderten Schutz personenbezogener Daten müssen Unternehmen auch ihre sensiblen Unternehmensdaten vor unberechtigtem Zugriff schützen.
Datenschutz durch Pseudonymisierung
Die EU-DSGVO stellt hohe Anforderungen an den Datenschutz bei der Verarbeitung personenbezogener Daten. "Data protection by design" und "by default" sind grundsätzliche Prinzipien. Einen Vorschlag zur Erreichung eines angemessenen Schutzniveaus hat die Verordnung aber auch zu bieten: die Pseudonymisierung. Artikel 25 des EU-DSGVO beschreibt, dass die Pseudonymisierung vor allem hilft den Datenschutzgrundsatz "Datenminimierung" wirksam umzusetzen und somit die Rechte der betroffenen Personen zu schützen. Die gute Nachricht: Pseudonymisierung eignet sich hervorragend, um Risiken wie Insider-Bedrohungen oder die Auswirkungen von Datenabflüssen sowie unerlaubten Zugriffen und Einsichtsnahmen zu reduzieren - egal ob es sich um personenbezogene oder andere sensible Unternehmensdaten handelt.
Anonymisierungs- und Pseudonymisierungsverfahren bieten die Möglichkeit, sensible Daten vor unerlaubten Zugriffen durch Dritte zu schützen. Bei der Pseudonymisierung wird das Originaldatum durch einen anderen Wert ersetzt, wobei die Zuordnung zwischen Original und Ersatz abgespeichert wird. Wenn zu einem späteren Zeitpunkt das Originaldatum benötigt wird, kann es anhand der abgespeicherten Zuordnung abgerufen und rekonstruiert werden. Im Gegensatz dazu wird bei der Anonymisierung das Original so ersetzt, dass ein Rückschluss aus den anonymisierten Daten auf die ursprünglichen Daten nicht mehr möglich ist.
Sowohl für die Anonymisierung, als auch die Pseudonymisierung werden gerne Verschlüsselungsverfahren eingesetzt. Bei der Anonymisierung wird der Schlüssel "weggeworfen" und damit die Rekonstruktion der Daten ausgeschlossen. Anonymisierung kommt in der IT vor allem an zwei Stellen zum Einsatz: Einmal bei der Testdatenbereitstellung und zum anderen bei der Datenübergabe an Sekundärsysteme wie Data Warehouses und Reporting-Lösungen. Wenn entlang eines Geschäftsprozesses immer wieder Zugriff auf die Originaldaten erforderlich wird, ist die Pseudonymisierung das Verfahren der Wahl: Nur berechtigte Mitarbeiter bekommen Zugriff auf die Originaldaten. Alle anderen sehen lediglich Pseudonyme. Anschaulich wird das zum Beispiel bei der Auftragsabwicklung. Der eingegangene Kundenauftrag wird in der Auftragsverwaltung erfasst und die Bonität des Kunden geprüft. Dann wandert der Kundenauftrag weiter an Auftragsdisposition, Lager und Versand. Vor Abschluss des Auftrags erfolgt die Fakturierung. Der Kundenname mit seinen Bankdaten und Bonitätsinformationen wird nur an wenigen Stellen der Auftragsabwicklung benötigt und muss vor unberechtigtem Zugriff geschützt werden.
Zum Video: Ein Schritt zur DSGVO-Compliance
Die Auswahl des geeigneten Verfahrens hängt von verschiedenen Faktoren wie zum Beispiel den Geschäftsanforderungen und den IT-technischen Rahmenbedingungen ab. Bei der Auswahl der Daten muss sorgfältig darauf geachtet werden, die gesetzlichen Vorgaben einzuhalten und gleichzeitig flexible Auswertungsmöglichkeiten - zum Beispiel für Data Analytics - zu gewährleisten. Für die Anwender stehen Usability-Fragen beim Umgang mit pseudonymisierten Daten im Vordergrund. Auch die Prozess-Effizienz darf durch die Einführung von Datenschutzmaßnahmen nicht beeinträchtigt werden. Zudem müssen die technischen Lösungen hochgradig skalierbar sein.
Für Anonymisierung und Pseudonymisierung sind unterschiedliche Produkte verfügbar. Das Leistungsangebot reicht von der Verschlüsselung über Ersatzmechanismen bis hin zum Löschen von Daten. Bei der Verschlüsselung können beispielsweise einzelne Datenbank-Spalten von Datensätzen, komplette Dateien oder gar ganze Speicher verschlüsselt werden. In einigen Bereichen gibt es bereits sehr ausgereifte Lösungen. Dazu gehört die Verarbeitung von Kreditkartendaten nach dem Payment Card Industry Data Security Standard (PCI DSS), wo vor allem Ersatzmechanismen in Form von Tokens zum Einsatz kommen. Für die Nutzung ihrer Dienste bieten die Cloud-Anbieter häufig eigene Verschlüsselungs-Lösungen an. Daneben etablieren sich eigenständige Anbieter mit speziellen Lösungen für die sichere Datenspeicherung in der Cloud.
In 4 Schritten zur Pseudonymisierung
Um die optimale Lösung für die spezifischen Herausforderungen im eigenen Unternehmen zu finden empfiehlt sich ein Vorgehen in vier Schritten:
Im ersten Schritt erfolgt die Formulierung der Ziele, die mit einer Pseudonymisierung erreicht werden sollen. Dabei sind die Einbindung sämtlicher relevanter Stakeholder des Unternehmens, sowie die Sicherstellung der Unterstützung durch die Unternehmensleitung von hoher Bedeutung. Es gilt die Rahmenbedingungen wie zum Beispiel gesetzliche Vorgaben zu klären und den Umfang der angestrebten Lösung festzulegen. So ist beispielsweise zu entscheiden, welche Geschäftsprozesse im Fokus sind. Die geschäftlichen Anforderungen müssen sorgfältig erhoben und in einem Anforderungskatalog festgehalten werden. Das schafft Transparenz und verhindert unangenehme Überraschungen im späteren Projektverlauf.
Nach Analyse der Geschäftsanforderungen steht die Erfassung und Dokumentation der Datenflüsse an. Eine intensive Analyse der Unternehmensprozesse und der darin verarbeiteten, schutzbedürftigen Daten stellt eine lückenlose Identifizierung der für die Pseudonymisierung relevanten Daten sicher. Parallel erfolgt die Erfassung und Dokumentation der beteiligten, datenhaltenden IT-Systeme sowie der Schnittstellen zwischen den beteiligten IT-Systemen.
Herausforderungen bei der Analyse sind häufig historisch gewachsene Anwendungslandschaften, in denen Schnittstellen und Datenflüsse im besten Fall nur teilweise dokumentiert sind. Nicht übersehen werden dürfen außerdem Schnittstellen zu externen Applikationen von Geschäftspartnern. Oft "verstecken" sich schutzbedürftige Daten auch in Protokolldateien. Eine enge, abteilungsübergreifende Zusammenarbeit ist für den erfolgreichen Abschluss dieses Schrittes unerlässlich.
Zum Video: Ein Schritt zur DSGVO-Compliance
Sind die Ziele der Pseudonymisierung definiert und die Daten und IT-Systeme hinreichend analysiert, kann die Pseudonymisierungsstrategie erarbeitet werden. Hierbei sind grundsätzliche Entscheidungen zu treffen, wie zum Beispiel durch wen die Pseudonymisierung erfolgen soll. Ein organisatorisch abgetrennter Datentreuhänder bietet hier einen sehr hohen Schutz. Auch die Festlegung der zu pseudonymisierenden Daten gehört dazu.
Vor dem Start der Lösungskonzeption empfiehlt es sich, sich einen Überblick über kommerzielle IT-Produkte zu verschaffen. Bestandteil der Lösungskonzeption sind neben der IT-technischen Lösung auch die künftigen Zielprozesse sowie die erforderlichen Organisationsanpassungen für die Einführung der Pseudonymisierung. Ist die Entscheidung für eine konkrete IT-Lösung gefallen, kann auch das Konzept zur Pseudonymisierung der Bestandsdaten (Datenmigration) entwickelt werden. Gerade bei verteilter Datenhaltung über mehrere Applikationen darf dieser Bestandteil der Lösungskonzeption nicht unterschätzt werden.
Wenn die Pseudonyme über mehrere Applikationen hinweg prozessiert werden, muss außerdem die durchgängige Verarbeitbarkeit mit besonderer Aufmerksamkeit bedacht werden. Nicht immer akzeptieren alle Applikationen und Schnittstellen die für das Pseudonym als zulässig definierten Zeichen. Obacht gilt auch bei Importprogrammen, in denen nicht selten Geschäftslogik versteckt ist. Bewährt hat sich in diesem Zusammenhang die praktische Erprobung mit pseudonymisierten Testdatensätzen.
Datenschutz trifft Überblick
Nach Fertigstellung des Lösungskonzepts und positiver Entscheidung der Geschäftsführung kann die Umsetzung der Pseudonymisierung beginnen. Nach Möglichkeit sollte zunächst ein Pilot für einen abgegrenzten Bereich durchgeführt werden, um die möglichen Risiken für den Geschäftsbetrieb gering zu halten. Außerdem hat es sich bewährt, die Einführung der Pseudonymisierung von neuen Daten von der Migration der Bestandsdaten zu trennen und die Organisation im Rahmen von Trainings auf die Einführung der Pseudonymisierungslösung vorzubereiten. Nach erfolgreicher Einführung der Pseudonymisierung können die Bestanddaten migriert werden. Das Ziel ist erreicht: die sensiblen Unternehmensdaten sind dank Pseudonymisierung vor unerlaubten Zugriffen geschützt.
Trotz vollmundiger Versprechen von Lösungsanbietern, gibt es für das Ausbalancieren von Schutzanforderungen und Geschäftsanforderungen für eine gewachsene IT-Anwendungslandschaft keine Standardlösungen. In jedem Projekt muss diese Balance neu erarbeitet werden. Voraussetzung für eine adäquate Lösung ist die sorgfältige Analyse und Klassifizierung der betroffenen Daten. Genauso müssen die gesetzlichen, geschäftlichen und IT-technischen Anforderungen sorgfältig erhoben werden.
Ein Pseudonymisierungsprojekt bietet aber auch die Chance, einen umfassenden Überblick über die vorhandenen Daten und deren Wert zu erhalten. Zudem können sich neue Möglichkeiten zur Nutzung der Daten ergeben. Ein solches Projekt muss eingebunden sein in die Datenschutz-Governance des Unternehmens, die Verantwortlichkeiten, Prozesse und Datenlebenszyklus festlegt und überwacht. (fm)