Die EU-Datenschutzgrundverordnung und deren Auswirkungen auf die technische Beschaffenheit von IT-Applikationen

Abstract

Mit 25.05.2018 tritt die EU-Datenschutzgrundverordnung (im folgenden DSGVO) in Kraft. Werden die einzelnen Punkte der DSGVO betrachtet, so ergeben sich massive Auswirkungen auf eine konkrete Umsetzung in IT-Systemen. Betrachtet man die Entwicklungen zum Thema „Datenschutz“, so ist zu erkennen, dass viele Anforderungen seit langem definiert sind und die Ausführungen in der DSGVO im Vergleich zum Datenschutzgesetz 2000 (DSG2000) kaum neue Bereiche adressieren. Offensichtlich ist die Androhung von hohen Bußgeldern von bis zu 20 Millionen Euro der Treiber, der die DSGVO bei fast allen Unternehmen präsent macht. Einige Themen wie die „Betroffenenrechte“ wurden geschärft (z.B. Auskunftsrecht). Themen wie das „Recht auf Vergessenwerden“ (Löschen) sind detaillierter ausgeführt. „Datenportabilität“, die „Durchführung einer Datenschutz-Folgenabschätzung“ und „Datenschutz durch Technikgestaltung“ („Privacy by Design“) stellen explizit neue Anforderungen dar. Untersucht man die Anforderungen der DSGVO hinsichtlich technischer Verfahren wie „Anonymisierung“, „Pseudonymisierung“ oder „Verschlüsselung“, so erkennt man, dass diese Stand der Technik sind. Die Abbildung der DSGVO in der IT ist daher weniger ein Thema der anzuwendenden technischen Verfahren, sondern eher eine Frage der Abbildung in der IT-Governance. Die Anforderungen des Datenschutzes müssen impliziter Teil des Anforderungsprozesses sein und als funktionale Anforderungen definiert werden. Dies bedarf eines interdisziplinären Zusammenspiels zwischen dem Fachbereich mit dem Domänenwissen, der IT, die die technische Implementierung sicherstellen muss und dem Rechtsbereich, der den rechtlichen Rahmen vorgibt. In dieser Arbeit wird dargestellt, wie aus den rechtlichen Ausführungen der DSGVO mit deren eigenen Begrifflichkeiten Anforderungen an die Begrifflichkeiten der IT abgeleitet werden können. Dies führt einerseits zu einer direkten Übersetzung der Anforderungen aus den einzelnen Beiträgen und andererseits müssen diese Anforderungen in eine Gesamtstruktur aus der Sicht der IT-Governance eingebettet werden. Dazu werden Frameworks wie COBIT oder ITIL herangezogen und ein Mapping auf die Anforderungen durchgeführt. Zur Abgrenzung des Datenschutzes zur Datensicherheit wird die ISO/IEC 27001 (IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen) diskutiert. Abschließend wird auf Basis des Anforderungsprozesses (Business Requirements Process) die strukturierte Einbettung der Datenschutzanforderungen dargestellt. Ergänzt wird diese Darstellung durch den Aspekt der Implementierung in einem Enterprise-Umfeld und einem Abschnitt über Mechanismen zur sicheren Softwareentwicklung.

On 25.05.2018 the EU General Data Protection Regulation (GDPR) comes into force. If the individual points of the GDPR are considered, massive consequences for a concrete implementation in IT systems result. If one looks at the developments on the subject of 'data protection', it can be realised that many requirements have long been defined and the statements in the GDPR hardly address any new areas in comparison to the Data Protection Act 2000 (DPA 2000). Obviously, the threat of high fines of up to € 20 million is the driving force that makes the DSGVO present in almost all companies. Some topics, such as the 'data subject rights' have been sharpened (eg right of access). Topics like the ‘right to be forgotten’ are more detailed. 'Data portability', 'Data privacy impact assessment' and 'Privacy by design' are explicitly new requirements. Examining GDPR requirements for technical processes such as 'anonymisation', 'pseudonymisation' or 'encryption', one recognizes that they are state of the art. The mapping of the GDPR in IT is therefore less a topic of the technical procedures to be applied, but rather a question of mapping in IT governance. The requirements of data protection must be an implicit part of the request process and must be defined as functional requirements. This requires an interdisciplinary interaction between the subject area with the domain knowledge, the IT, which must ensure the technical implementation and the legal area, which sets the legal framework. In this thesis it is shown how requirements of the terminology of IT can be derived from the legal explanations of the GDPR with their own terminology. On the one hand, this leads to a direct translation of the requirements from the individual entries and, on the other hand, these requirements have to be embedded in an overall structure from the point of view of IT governance. For this, frameworks such as COBIT or ITIL are used and the requirements are mapped. In order to distinguish data protection from data security, ISO / IEC 27001 (Information technology — Security techniques — Information security management systems — Requirements) is discussed. Finally, based on the requirements process (Business Requirements Process), the structured embedding of data protection requirements is presented. This presentation is supplemented by the aspect of implementation in an enterprise environment and a section on mechanisms for secure software development.