Aufrufe
vor 1 Jahr

07-08 | 2017

IT & Management Schutz

IT & Management Schutz personenbezogener Daten wird immer wichtiger Neue Herausforderungen im Umgang mit Kundendaten DATENSCHUTZ | Datenhandel, Datenmissbrauch, Sicherheits - lücken – kaum ein Tag vergeht, ohne dass in den Medien über neue Datenschutzskandale berichtet wird. Die EU-Datenschutzgrundverordnung (EU-DSGVO) verpflichtet die Unternehmen verstärkt dazu, die Daten ihrer Kunden adäquat zu schützen. Doch was genau ist Datenschutz? Und welche IT-technischen Möglichkeiten gibt es, der EU-DSGVO gerecht zu werden? Energieversorger müssen sich der Brisanz des Themas Datenschutz und Datensicherheit bewusst werden und zeitnah auf die künftigen Anforderungen reagieren. Das Recht auf Datenschutz wird aus dem Allgemeinen Persönlichkeitsrecht abgeleitet und wurde durch das Bundesverfassungsgericht unter der Bezeichnung Recht auf informationelle Selbstbestimmung im Grundgesetz fest verankert. Datenschutz stellt somit ein Grundrecht dar und garantiert jedem Bürger, über die Preisgabe und Verwendung seiner persönlichen Daten frei bestimmen zu können. Unter Datenschutz versteht man folglich Maßnahmen, die zum Schutz von Personen bei Verarbeitung ihrer personenbezogenen Daten getroffen werden. Grundsätzlich ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten. Nur wenn die explizite Einwilligung des Betroffenen vorliegt, ist eine Datenverarbeitung erlaubt – und zwar ausschließlich für den vereinbarten Verwendungszweck und dessen Dauer. Des Weiteren gibt es gesetzliche Legitimationstatbestände innerhalb des Bundesdatenschutzgesetzes (BDSG) sowie spezielle Regelungen außerhalb des BDSG, die eine Datenverarbeitung legitimieren. Die Verantwortlichkeiten sind klar geregelt: Jede Person oder Stelle, die personenbezogene Daten erhebt, verarbeitet oder nutzt – oder Dritte damit beauftragt –, ist dazu verpflichtet, datenschutzrechtliche Vorkehrungen zu treffen. Wer dieser Verpflichtung nicht nachkommt, geht ein hohes Risiko ein, denn eine Missachtung der rechtlichen Bestimmungen zieht Sanktionen nach sich. Abhängig vom Ausmaß des Vergehens reichen diese von empfindlichen Bußgeldern bis hin zu Freiheitsstrafen. Auch irreversible Imageschäden können die Folge sein. Im Zuge der EU-DSGVO, die im Mai 2018 das BDSG ablösen wird, werden diese Sanktionen sogar noch verschärft. Während das BDSG beispielsweise derzeit einen Bußgeldrahmen zwischen 50 000 und 300 000 € je Verstoß vorsieht, wird dieser zukünftig auf bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes der betroffenen Unternehmensgruppe ausgeweitet. Auch eine verschärfte Informations- und Transparenzpflicht wird im Zuge der EU-DSGVO eingeführt, die das Recht auf Auskunft ergänzen wird. Personenbezogene Daten in IT-Systemen der EVU Gerade in der Energiebranche werden personenbezogene Daten in großem Umfang zur Prozessabwicklung erfasst, verarbeitet und mit voller Historie gespeichert. Energieversorger müssen sich der Brisanz des Themas bewusst werden und zeitnah auf die künftigen Anforderungen reagieren. Die Nutzung in energiewirtschaftlichen Abwicklungssystemen und die erforderlichen Maßnahmen lassen sich exemplarisch in vier Handlungsfelder gliedern: Löschung Nach Beendigung von Verträgen werden Kundendaten an neue Dienstleister übergeben. Der historische Datenbestand verbleibt aktuell weiterhin in den jeweiligen Produktivsystemen, doch dies ist laut Ge- 48 BWK Bd. 69 (2017) Nr. 7/8

IT & Management Die vier wesentlichen Handlungsfelder im Datenschutz und ihre Umsetzung. setz nicht rechtens. Da der Grund für die Datenerhebung (Vertrag) nicht mehr existiert und damit die Legitimation fehlt, müssen alle relevanten personenbezogenen Daten restlos gelöscht werden. Sperrung Auch in den Prozessen zur Kundenakquise und Vertragsabwicklung werden umfangreich Daten erfasst und übermittelt. Die Nutzung der Daten ist für den jeweiligen Zweck legitimiert und daher zeitlich begrenzt. Nach Ablauf der Prozessabwicklung stehen die Daten meist uneingeschränkt weiter zur Verfügung, doch da der Sachverhalt erledigt ist, unterliegen die Daten einem relativen Nutzungsverbot. Entweder müssen sie vollständig gelöscht werden, oder, falls dem gesetzliche Aufbewahrungspflichten entgegenstehen, muss eine Sperrung erfolgen, um eine weitere Verarbeitung und Nutzung auszuschließen. Dies geschieht durch objektweise Sperrung der Datensätze. Die Daten verbleiben im System, werden aber „maskiert“, so dass ein Rückschluss auf die betroffene Person nicht mehr möglich ist. Anonymisierung Um in Test- und Schulungssystemen mit Echtdaten arbeiten zu können, wird in der Praxis eine vollständige Kopie des Produktivsystems verwendet. Diese Zweckentfremdung der Daten ist ein Verstoß gegen das Gesetz. Um dennoch einen adäquaten Datenbestand zur Verfügung stellen zu können, sind die Originaldaten bei der Kopie auf die Test- und Schulungssysteme zu anonymisieren. Auskunftsanspruch Betroffene haben das Recht, bei den verantwortlichen Stellen, Auskunft über die Speicherung und Verarbeitung ihrer persönlichen Daten zu verlangen. Diese Auskunft erfolgt aktuell als manueller Prozess. Die gewünschten Informationen können nur mit hohem Aufwand und, in der Regel, nicht im gesetzlich vorgeschriebenen Format bereitgestellt werden. Jedoch muss der Auskunftsanspruch über Daten mit Personenbezug gewährleistet sein. Informationstechnische Handlungsmöglichkeiten Wie sehen die Optionen für die vier Handlungsfelder im Detail aus? Zur Löschung historischer Daten erstellen die Natuvion-Experten im ersten Schritt eine konzernübergreifende Bestandsaufnahme, um die betroffenen IT- Systeme und den Datenumfang zu ermitteln. Auf dieser Basis werden ein detailliertes Löschkonzept erarbeitet und eine beispielhafte Datenlöschung durchgeführt. Es folgt die Initiierung der relevanten Löschprojekte und schließlich die produktive Datenlöschung, die von Wirtschaftsprüfern begleitet wird. Das Projekt endet mit der Erstellung eines Regelprozesses zur Identifikation und zukünftigen Löschung relevanter Datenbestände. Ein Projekt zur Sperrung von Daten und der Implementierung eines kontinuierlichen Datenmanagements startet mit der Prozessaufnahme und Datenidentifikation, wonach ein Typisierungskonzept angefertigt wird. Daraufhin folgt unmittelbar die Umsetzung der Datenmaskierung in den SAP-Hauptabwicklungssystemen des Konzerns. Im nächsten Schritt wird ein individuelles, auf das Unternehmen angepasstes Sperr- und Löschkonzept für sämtliche eingesetzte IT-Systemlandschaften entwickelt und abschließend in den einzelnen Kerngesellschaften implementiert. Die erste Phase einer Datenanonymisierung in Test-, Qualitäts- und Schulungssystemen wird von einer Ad-hoc-Anonymisierung durch Einführung eines SAP-Add-ons eingeleitet. Im Anschluss daran wird der Vorgang durch eine zusätzliche Auditierung zertifiziert und ein Betriebskonzept zur kontinuierlichen Anonymisierung der Qualitäts- und Projektsysteme erstellt. Die Anfertigung eines Grobkonzepts und die Definition des Prozessablaufs initiieren das Projekt zum Auskunftsanspruch über Daten mit Personenbezug. Für jeden Konzernbereich und unter Berücksichtigung der eingesetzten IT-Systeme wird ein individuelles Konzept erstellt, bevor die IT-gestützte Datenermittlung für die Beauskunftung eingeführt werden kann. Datenanonymisierung für Test- und Schulungszwecke Damit Unternehmen in ihren Test- und Schulungssystemen mit Echtdaten arbeiten können, ohne sich einer verbotenen Zweckentfremdung schuldig zu machen, hat Natuvion den Servicebaustein Test- Data-Anonymization (TDA) für SAP-Systeme entwickelt. TDA anonymisiert oder pseudonymisiert alle personenbezogenen Daten entweder direkt bei Kopie der Systeme oder nach Systembereitstellung. So können Prozesse auf Basis konsistenter anonymisierter Daten gesetzeskonform getestet und verarbeitet werden. i Bilder (2): Natuvion Holger Strotmann und Patric Dahse, Geschäftsführer der Natuvion GmbH, Walldorf www.professional-system-security.de BWK Bd. 69 (2017) Nr. 7/8 49

Ausgabenübersicht