Maskerade für den Datenschutz

EU-Grundverordnung: Bereit für Data Masking und Pseudonymisierung?

Was Unternehmen tun müssen, um spätestens im Jahr 2018 die Vorgaben der neuen EU-Datenschutz-Grundverordnung (DSGVO) erfüllen zu können

Die Einführung der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sieht strenge Kontrollen vor für Unternehmen, die Daten von europäischen Bürgern erheben, nutzen und weitergeben. Unternehmen sowohl innerhalb als auch außerhalb der EU stehen somit vor neuen Anforderungen. Denn um die Privatsphäre von Kunden zu schützen, ist oftmals ein Umdenken erforderlich. So wurde etwa der Begriff „Pseudonymisierung“ eingeführt, um Schutzmaßnahmen anzuerkennen und zu fördern.

Der Hintergrund: Pseudonymisierung ist ein Oberbegriff für Ansätze wie Data Masking: dem Schutz von vertraulichen Daten, aus denen direkt oder indirekt die Identität einer Person abgeleitet werden kann. Personenbezogene Daten nicht zu schützen und damit die Anforderungen der DSGVO nicht einzuhalten, ist strafbar. Die DSGVO fördert den Einsatz von Pseudonymisierungstechnologien im Rahmen ihrer Sicherheitsanforderungen. Eine Nichtbeachtung dieser Vorschrift kann Unternehmen mit Strafen von bis zu vier Prozent des weltweiten Umsatzes hart treffen.

Was steckt hinter Pseudonymisierung?

Die Definition von Pseudonymisierung lautet: „Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass eine Zuweisung zu einer natürlichen Person nicht möglich ist.“ Einfach gesagt: Die Verordnung erklärt, dass pseudonymisierte Daten in einem Format gespeichert werden müssen, aus dem die direkte Identifizierung einer bestimmten Person nur mit zusätzlichen Informationen möglich ist.

Beispiel: Um „Karl Mustermann“ aus „Benutzer ABC12345“ abzuleiten, ist eine Zuordnungstabelle erforderlich, die Benutzer-IDs den Benutzernamen zuordnet. Wenn solche Zuordnungsinformationen vorhanden sind, müssen diese getrennt gespeichert werden. Sie unterliegen Kontrollen, die verhindern, dass sie mit den pseudonymisierten Daten kombiniert werden können. Data Masking und Hashing sind Beispiele für Pseudonymisierungstechniken.

Was steckt hinter Data Masking?

Unter Data Masking versteht man den Austausch sensibler Daten durch ein nicht sensibles, „verfremdetes“ (maskiertes) Äquivalent unter Beibehaltung der Qualität und Konsistenz, die erforderlich sind, damit die Daten für Analysten oder Software-Entwickler weiterhin verwendbar bleiben. Obwohl diese Technologie bereits seit einiger Zeit von Software-Anbietern wie Delphix bereitgehalten wird, gewinnt sie im Zuge der DSGVO, die ab Frühjahr 2018 in Kraft tritt, an Relevanz und Bedeutung.

Data Masking ist der De-facto-Standard für die Pseudonymisierung, insbesondere in sogenannten Nicht-Produktionsdatenumgebungen, die für Software-Entwicklung, Tests und Schulungen eingesetzt werden. Indem sensible Daten durch fiktive, aber realistische Daten ersetzt werden, neutralisieren Data-Masking-Lösungen das Datenrisiko und bewahren den Wert der Daten für den Einsatz in Nicht-Produktionsumgebungen.

Data Masking bietet Unternehmen zwar ein Instrument, mit dem wichtige Herausforderungen der Datenschutz-Grundverordnung bewältigt werden können, dafür ist allerdings ein „Daten zuerst“-Ansatz erforderlich. Eine höhere Aufmerksamkeit sollte dabei darauf liegen, wie Daten sich im Zeitverlauf verändern bzw. wie sie besser kontrolliert werden können.

 

Daher sollten sich Unternehmen folgenden Frage stellen:

  • Wo sind die Daten?
    Unternehmen, die wissen, wo sich ihre Daten befinden, sind besser vorbereitet, um gezielt Schutzmaßnahmen vorzunehmen.
    Wie sieht die Daten-Governance aus?
    Erst wenige Organisationen verfügen über einen Datenschutzbeauftragten. Unternehmen, die die DSGVO betrifft, müssen Schritte in die Wege leiten, um die Daten-Governance unter Kontrolle zu bringen, und Instrumente einführen, sodass Prozesse wie Data Masking transparenter und zu Standards werden.
  • Wie werden Daten bereitgestellt?
    Wenn die Pseu­donymisierung auf komplizierten Datenbereitstellungsprozessen aufbaut, wird der Aufwand noch größer. So brechen Unternehmen ihre Bemühungen, z.B. Data Masking einzuführen, oft ab. Eine mögliche Lösung besteht in der Kombination aus Data Masking und Virtualisierung. So wird sichergestellt, dass die Verfremdung wiederholbar ist und einen integrierten Bestandteil des Bereitstellungsprozesses darstellt.

 

Bildquelle: Thinkstock / iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok