EU-Datenschutz-Grundverordnung

Datenmaskierung schützt vor hohen Strafen

| Autor: Elke Witmer-Goßner

Neue Regelungen stellen Unternehmen vor die Herausforderung, europäische Daten standardmäßig zu anonymisieren.
Neue Regelungen stellen Unternehmen vor die Herausforderung, europäische Daten standardmäßig zu anonymisieren. (Bild: Stocksnapper, Fotolia)

Bei Verstößen gegen die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) drohen hohe Bußgelder. Die verhängte Strafe kann bis zu vier Prozent des weltweiten Umsatzes ausmachen. Um den neuen Anforderungen zu entsprechen, sollten Firmen deshalb ihre Prozesse neu aufsetzen und ihre Daten besonders schützen.

Der Europäische Rat und das Parlament haben die Verordnung im April dieses Jahres verabschiedet. Am 24. Mai 2016 trat sie in Kraft. Dem Regelwerk zufolge müssen alle Unternehmen, die europäische Daten speichern, künftig Datenschutz in ihre Systeme und Infrastruktur integrieren. Dies gilt insbesondere für Daten in Test- und Entwicklungsumgebungen. Einer unabhängigen Analyse zufolge sind bis zu neunzig Prozent aller Test- und Entwicklungsdaten nicht-anonymisiert auf Unternehmenssystemen gespeichert. Das stelle ein bedeutendes Sicherheits- und Compliance-Risiko dar, warnt das Unternehmen Delphix, Spezialist für Datenvirtualisierung.

„Die Datenschutz-Grundverordnung führt ein Strafenregister ein, das Verstöße zu einem hohen Risiko werden lässt. Es ähnelt den Maßnahmen im Wettbewerbsrecht, die Preisabsprachen verhindern“, sagt Joachim Kuehne, Manager for Data Virtualisation and Strategy DACH bei Delphix. „In den vergangenen Jahren mussten Blue-Chip-Unternehmen hunderte Millionen Dollar Strafe für Preisabsprachen zahlen, einige sind dadurch sogar insolvent gegangen. Verstöße gegen die DSGVO können Firmen in ähnliche Situationen bringen. Eine umfassende Übersicht über die eigenen Daten wird deshalb zunehmend wichtiger, sprich Unternehmen sollten Entwicklungs- und Testdaten mit demselben Sicherheitslevel behandeln wie Live-Daten.“

Vermummung ausdrücklich erlaubt

Data Masking pseudonymisiert Daten insbesondere aus Nicht-Produktionsdatenumgebungen, die für Softwareentwicklung, Tests, Schulungen und Analysen eingesetzt werden. Indem sensible Daten durch fiktive, aber realistische Daten ersetzt werden, neutralisieren Data-Masking-Lösungen das Datenrisiko.
Data Masking pseudonymisiert Daten insbesondere aus Nicht-Produktionsdatenumgebungen, die für Softwareentwicklung, Tests, Schulungen und Analysen eingesetzt werden. Indem sensible Daten durch fiktive, aber realistische Daten ersetzt werden, neutralisieren Data-Masking-Lösungen das Datenrisiko. (Bild: Delphix)

Die Verordnung erfordert stärkeren Datenschutz, um Compliance-Anforderungen einzuhalten. Dabei geht es vor allem um die Pseudonymisierung. Bei diesem Prozess werden vertrauliche Daten so anonymisiert, dass sie sich nicht mehr einer bestimmten Person zuordnen lassen, und auch im Falle eines Diebstahls sind die Daten geschützt. Das neue Regelwerk enthält deshalb Anregungen zur Datenmaskierung in verschiedenen Bereichen. So muss im Falle einer Datenschutzverletzung mit geringem Risiko für die Beteiligten keine Meldung an die Aufsichtsbehörden und betroffene Personen erfolgen. Eine zuvor erfolgte Datenmaskierung (Anonymisierung) hilft dabei, die Gefahr zu reduzieren. Ein bestehendes Risiko muss hingegen innerhalb von 72 Stunden an die entsprechende Behörde gemeldet werden. Bei einer ernsthaften Datenschutzverletzung ist das eine sehr knappe Zeitvorgabe. Können aber Unternehmen nachweisen, dass sich einzelne Personen aufgrund maskierter Daten nicht ohne weiteres identifizieren lassen, können sie sich von der Auskunftspflicht befreien lassen. Sie sind folglich nicht verpflichtet, Daten auf Anfrage herauszugeben oder zu löschen. Unternehmen, die pseudonymisierte Daten nutzen, schützen die Privatsphäre einzelner Personen. In Bezug auf die neue Verordnung bedeutet das: Sie können meist automatisierte Entscheidungen und Profiling durchführen lassen, ohne dabei explizite Einwilligungserklärungen anfordern zu müssen.

Rechtlich abgesichert

Da in Produktionsumgebungen viele Datenkopien vorliegen, werde eine Technologie benötigt, mit der sich sämtliche Informationen effizient schützen lassen, und nicht nur die sensibelsten, fordert Kuehne: „Um zukünftige Anforderungen an den Datenschutz umsetzen zu können, müssen wir in einem ersten Schritt verstehen, wo sich all die Daten in den IT-Systemen befinden. In einem zweiten Schritt geht es darum, die Compliance-Anforderungen zu unterstützen und das Risiko von Datenschutzverletzungen zu mindern. Projekte dürfen sich dadurch jedoch nicht verzögern.“ Um das Sicherheitsniveau der EU-Datenschutz-Grundverordnung zu erreichen, könnten Unternehmen beispielsweise Datenmaskierung und -virtualisierung miteinander kombinieren. Dadurch ließen sich auch Compliance-Anforderungen einhalten und Daten für wichtige Projekte schnell verteilen, so Kuehne.

Der Rechtsexperte Phil Lee, Partner im Privacy-, Security- und Information-Team bei der internationalen Anwaltskanzlei Fieldfisher, pflichtet dieser Meinung bei: „Die EU-Datenschutz-Grundverordnung nutzt das Prinzip ‚Zuckerbrot und Peitsche’, um Datenmaskierung zu fördern. An mehreren Stellen des Gesetzestextes werden Unternehmen dazu aufgefordert, Pseudonymisierungstechnologien einzusetzen. Zum einen sollen diese Teile eines guten Informationsmanagements sein, zum anderen sollen sie regulatorischen Ballast bei unvorhergesehenen Ereignissen reduzieren, zum Beispiel bei Sicherheitsvorfällen. Der Gegensatz dazu: Unternehmen, die gegen die Verordnung verstoßen, drohen die Aufsichtsbehörden mit der gezückten Peitsche. Bußgelder können sich auf bis zu vier Prozent des jährlichen Gesamtumsatzes belaufen. Das ist ein sehr großer Anreiz, sich an die EU-DSGVO zu halten!“

Vorteile des Data Masking

Lösungen, die virtuelle Daten und Data Masking kombinieren, können beispielsweise nicht nur den Prozess der Verfremdung von Daten vereinfachen, sondern auch die Bereitstellung der verfremdeten Daten. Sie erzeugen und liefern schlanke Datenkopien in einem Bruchteil der Zeit und für einen Bruchteil des für normale physische Kopien erforderlichen Speicherplatzes.
Lösungen, die virtuelle Daten und Data Masking kombinieren, können beispielsweise nicht nur den Prozess der Verfremdung von Daten vereinfachen, sondern auch die Bereitstellung der verfremdeten Daten. Sie erzeugen und liefern schlanke Datenkopien in einem Bruchteil der Zeit und für einen Bruchteil des für normale physische Kopien erforderlichen Speicherplatzes. (Bild: Delphix)

Delphix hat zu dieser Problematik ein White Paper mit dem Titel „Anforderungen der Datenschutz-Grundverordnung für Data Masking – Was die IT wissen und tun muss“ veröffentlicht. Hier wird ausführlich dargestellt, welchen Ansatz Unternehmen verfolgen sollten, um mehr Transparenz und Kontrolle über ihre Daten zu erhalten – in Verbindung mit Tools für sogenanntes Data Masking, die nicht nur Daten verfremden, sondern auch diesen Prozess verschlanken und automatisieren. Das Papier befasst sich ausführlich mit entsprechenden Maßnahmen für den Schutz personenbezogener Daten in Übereinstimmung mit den Anforderungen der Datenschutz-Grundverordnung. Unternehmen könnten auf diese Weise Meldepflichten bei einer Verletzung des Schutzes personenbezogener Daten vermeiden. Die Bereitstellung von Tools könnten zudem Rechtsabteilungen darin unterstützen, Daten zu identifizieren, zu überprüfen und darüber Bericht zu erstatten. Dadurch müssten nicht mehr so viele Einwilligungen für das Daten-Profiling eingeholt werden oder würden sogar komplett wegfallen – mit der Folge, dass sich alle IT- und Geschäftsprozesse, die vom Zugang zu sicheren Daten abhängen, beschleunigen ließen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44127596 / Compliance)