EU-Datenschutzverordnung – und nun?

Bereits letztes Jahr, am 24. Mai 2016, ist die EU-Datenschutzgrundverordnung (DSGVO) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten in Kraft getreten. Die Verordnung ist ab dem 25. Mai 2018 anzuwenden, womit Unternehmen bis Mai nächsten Jahres Zeit haben, sich entsprechend vorzubereiten und die Verordnung umzusetzen.

Hier müssen Unternehmen aktiv werden

Zur Vorbereitung der Umsetzung der EU-Datenschutzgrundverordnung müssen die Datenschutzabteilungen jedes Unternehmens Konzepte erstellen, wie die Informationssicherheit in der eigenen Datenverarbeitung zu wahren ist. Diese Konzepte definieren sowohl den Umgang mit personenbezogenen Daten in der eigenen IT-Landschaft und beschreiben zudem Richtlinien und Prozesse, die die Themen Datenschutz, Rechenschaftspflichten, Datenportabilität oder auch die Umsetzung des Löschanspruchs von Betroffenen berücksichtigen.

Die Wahrung der Informationssicherheit ist vor allem in nicht-produktiven Anwendungssystemen dringend notwendig. Testsysteme sind meist aus gutem Grund mit produktionsnahen Daten versehen. Wenn in Testsystemen mit «echten» Daten gearbeitet werden soll, müssen zwingend Massnahmen getroffen werden, die den Schutz aller personenbezogenen Daten sicherstellen. Insbesondere, wenn es sich um Anwendungssysteme handelt, auf die auch externe Bearbeiter zugreifen, die ausserhalb der EU arbeiten oder leben. Hierfür bietet sich die Anonymisierung beziehungsweise Pseudoanonymisierung der Daten an, die auf personenbezogene Daten angewandt wird.

Das A und O: die Analyse

Für die Einführung der Anonymisierung bedarf es einer ausführlichen Analysephase, nach der dann die Umsetzung erfolgt.

Eine wesentliche Voraussetzung für die Anonymisierung von Daten ist, diejenigen Prozesse zu identifizieren, die personenbezogene Daten verarbeiten beziehungsweise verwenden. Es gibt Werkzeuge, die diese Analysen unterstützen. Sie werden eingesetzt, um Arbeitsabläufe ­unter anderem aus SAP-, EBS-, JD-Edwards- oder Peoplesoft-ERP-Systemen, basierend auf Stamm- und Bewegungsdaten, zu analysieren und zu veranschaulichen. Solche Auswertungen sind auch im Zuge von Anonymisierungsprojekten relevant. Sie helfen zu verstehen, welche Prozessvarianten in den Anwendungssystemen zum Einsatz kommen und wie sich eine Ano­nymisierung auf sie auswirkt.

Ebenso wichtig wie die Ausprägung von Geschäftsprozessen ist die Kommunikation zwischen Systemen. Über Schnittstellen wird der Informationsaustausch innerhalb der eigenen Systemlandschaft sowie zu externen Kommunikationspartnern gewährleistet. Bei einer Anonymisierung darf man nicht den Fehler machen, ein Anwendungssystem nur für sich zu betrachten. Es muss klar analysiert werden, welche Systeme miteinander kommunizieren und welche Daten zwischen diesen Systemen ausgetauscht werden. Wenn man etwa Daten nur in einem ERP-System anonymisiert, und Daten aus einem anderen System werden in nicht anonymisierter Form über eine Schnittstelle wieder zurückgespielt, kann die Anonymisierung bestimmter Daten unwirksam werden.

Die Zeit läuft

Ein Jahr ist schnell vorbei und ehe man es sich versieht, ist der 25. Mai 2018. Beginnen Sie jetzt mit den vorbereitenden Aktivitäten, die für die Umsetzung der EU-Datenschutzgrundverordnung nötig sind! Je detaillierter die Umsetzung der Kernpunkte der Verordnung vorbereitet wird, desto weniger Probleme werden entstehen, wenn es zur eigentlichen Umsetzung kommt – und desto geringer ist das Risiko hoher Strafen wegen Nichterfüllung.