Die EU-DSGVO (Datenschutz-Grundverordnung) ist längt ein Begriff geworden. Die im April 2016 verabschiedete europaweite Richtlinie wird ab dem kommenden Jahr greifen und den Umgang mit personenbezogenen Daten grundlegend verändern. Einige Unternehmen haben bereits Schritte eingeleitet, um den Forderungen der neuen Richtlinie bis Mai 2018 zu entsprechen. Doch fast immer beziehen sich Maßnahmen und Überlegungen allein auf die Live-Daten und regelmäßig genutzte Datenbanken – und greifen damit zu kurz.

Laut einer Umfrage unter 200 Unternehmen ist die Umsetzung von Maßnahmen für die DSGVO-Compliance bislang lückenhaft. Bild: CA

Laut einer Umfrage unter 200 Unternehmen ist die Umsetzung von Maßnahmen für die DSGVO-Compliance bislang lückenhaft. Bild: CA

Das Testdaten-Management gerät zum entscheidenden Faktor bei der DSGVO-Umsetzung. Denn viele Daten, die zu Testzwecken in Unternehmen Verwendung finden, stammen aus Live-Umgebungen und lassen Rückschlüsse auf persönliche Informationen zu. Damit sind sie im Sinne von DSGVO schutzbedürftig.

Der entscheidende Punkt: Unternehmen müssen bei der Nutzung von Daten – inklusive Testdaten – nachweisen können, woher diese stammen. Und sie müssen sich vorab das Einverständnis des Datengebers einholen, dass sie die entsprechenden Daten auch nutzen dürfen. Die Masse an Daten, die gerade für Testzwecke zum Einsatz kommt, ist in vielen Unternehmen jedoch nicht mehr greifbar – die Nachverfolgung der Wege, die diese Daten im eigenen Unternehmen durchlaufen haben, entsprechend schwer. Wie können Unternehmen also die Anforderungen bezogen auf eine solche Masse an Daten überhaupt bewerkstelligen?

DSGVO-konform mit synthetischen Daten
In einem ersten Schritt müssen Unternehmen ihre Testverfahren dahingehend prüfen, wo und wie sensible Daten abgelegt sind, wer Zugriff auf welche Daten hat und wo ein Risiko für Datenverlust besteht. Im nächsten Schritt gilt es dann zu überlegen, wie sich diese sensiblen Daten anonymisieren lassen. Dies kann zum einen über eine klassische Anonymisierung oder eine Verschlüsselung der Daten erfolgen. Beide Verfahren bergen jedoch Stolperfallen, die in Bezug auf Konformität mit der DSGVO problematisch sein können. Damit maskierte Daten im DSGVO-Kontext wirklich als „pseudoanonymisiert“ gelten, dürfen sie sich nur mittels zusätzlicher, separat abgespeicherter Informationen entschlüsseln lassen. Im Umkehrschluss müssen all diese – häufig über verschiedene Datensysteme verstreuten – persönlichen Informationen, mit denen sich Testdaten demaskieren lassen, ebenfalls anonymisiert sein – ein hochkomplexes Verfahren, das sich in der Vergangenheit als fehleranfällig erwiesen hat.

Eine sichere Variante hingegen ist die Erstellung synthetischer Testdaten. Dies ist die einzige Alternative, die auf Produktivdaten zu Testzwecken verzichten kann. Im Kontext der DSGVO ist der Umgang mit diesen Testdaten deshalb unbedenklich – sie weisen keinerlei Ähnlichkeit mit den Originaldaten auf.

Ein oft gegen die Verwendung synthetischer Daten angeführtes Argument ist, dass sie nicht nah genug an der Realität seien und sich die Erstellung per se schwierig gestalte. Doch wenn man die Daten richtig profiliert und modelliert, ist es ebenso einfach, Daten synthetisch von Grund auf neu zu erzeugen wie bestehende Daten zu maskieren.

Natürlich wird es nicht möglich sein, alle Daten in Testumgebungen auf einmal zu ersetzen. Auch mit leistungsfähigen Tools und Prozessen braucht das Erzeugen von Daten oder das Maskieren einer Datenbank Zeit.

Eine Frage, die Unternehmen vor zusätzliche Herausforderungen stellt und bisher nur unzulänglich zu beantworten ist: Wie lässt sich eine Datenbank maskieren, wenn sich dieselben Daten in einem anderen, abhängigen Teil des Systems befinden? Dafür eignet sich ein hybrider Ansatz, bei dem man die Implementierungszeit dazu nutzt, eine Kombination aus maskierten und synthetischen Daten herzustellen. Daraus kann man dann vergleichsweise leicht einen vollständig synthetischen Datensatz entwickeln.

Zweckgebundenheit der Daten
Vorgabe der EU-Richtlinie ist auch, dass Daten nur für exakt die Zwecke zum Einsatz kommen dürfen, die bei der Erhebung angegeben wurden, und dass man sie nur so lange aufbewahren darf, bis eben dieser Zweck erfüllt ist. Ebenso wenig darf eine unbegrenzte Anzahl an Personen sie nutzen. Dies erfordert es, den Zugang zu und die Nutzung von Testdaten auf befugte Personen zu beschränken. Diese Zugriffsberechtigungen gilt es, sehr akribisch zu implementieren, damit die Zugriffe jederzeit nachvollziehbar sind.

Welches Verfahren für den Umgang mit Testdaten tatsächlich geeignet ist, muss jedes Unternehmen für sich prüfen. Fakt ist jedoch, dass an vielen Stellen noch Nachholbedarf in puncto DSGVO-Konformität besteht, gerade beim Testdaten-Management. Unternehmen sollten umgehend die nötigen Maßnahmen einleiten, um auf den 25. Mai 2018 vorbereitet zu sein.