Ende Mai 2018 beginnt in Sachen Datenschutz eine neue Zeitrechnung. Dann tritt die europaweite, einheitliche Regelung namens DSGVO endgültig in Kraft. Diese bestimmt sehr genau, wie personenbezogene Daten verarbeitet, gespeichert und gelöscht werden müssen. Damit kommen auch auf die Anbieter von Anwendungssoftware zahlreiche Aufgaben zu, die sie bis spätestens 25. Mai 2018 erledigt haben müssen. Doch welche Regelungen umfasst die DSGVO eigentlich, wenn es um den Schutz personenbezogener Daten geht? Nun, in diesem Kontext werden fünf wesentliche Aspekte genannt:
- Datenübertragung
- Datenlöschung
- Meldepflicht
- angepasster Datenschutz
- technik-bezogener Datenschutz
Diese fünf DSGVO-Prinzipien haben für Anbieter von Software-Anwendungen weitreichende Konsequenzen, die sie bei der Bewertung ihrer Applikationen unbedingt berücksichtigen müssen.
So bedeutet Prinzip #1 („Datenübertragung“), dass personenbezogene Daten sehr einfach und komfortabel von einem Anbieter auf einen anderen übertragen werden können. Dies hat zur Folge, dass stets klar sein muss, an welchen Stellen eine Applikation Daten speichert und wie man diese mit einfachen Methoden zusammenfassen und speichern kann.
Software-Bewertung: An welchen Stellen werden Daten gespeichert? Wie lassen sich Daten transferieren? Wie lassen sich mehrere Datensätze eines Anwenders zu einem einzigen Datensatz zusammenfassen?
Prinzip #2 („Datenlöschung“) wiederum besagt, dass Anwender jederzeit das Löschen ihrer Daten verlangen können, sobald die Legitimierung für das Speichern ihrer Daten entfällt. Daraus ergibt sich die Konsequenz, dass sämtliche Daten eines bestimmten Nutzers innerhalb der Anwendung gelöscht werden müssen. Das betrifft alle zentral und dezentral gespeicherte Daten.
Software-Bewertung: An welchen Stellen werden Daten gespeichert? Wie lassen sich diese rückstandsfrei löschen? Wie kann das am besten mit wenigen Handgriffen geschehen?
Das dritte Prinzip („Meldepflicht“) hat weitreichende Folgen für sämtliche Unternehmen, die in den Geltungsbereich der DSGVO fallen (und das sind so ziemlich alle). Es besagt nämlich, dass eine Firma, die Opfer eines Hackerangriffs wurde, (in dessen Zuge personengezogene Daten entwendet wurden) diesen Datenklau sofort der nationalen Aufsichtsbehörde melden müssen.
Software-Bewertung: Wie lässt sich feststellen, ob Daten abhanden gekommen sind? Welche Daten sind besonders schützenswürdig? Wie anfällig ist die Software-Applikation gegenüber möglichen Hackerangriffen? An welchen Stellen der Anwendung ist das Risiko eines Datenklaus besonders hoch?
[irp posts=“33107″ ]
Prinzip Nummer 4 („angepasster Datenschutz“) besagt, dass Datenschutz nicht mehr generell betrachtet werden kann, sondern den jeweiligen Risiken angepasst werden muss, denen ein Unternehmen ausgesetzt ist. Das soll sicherstellen, dass Firmen beispielsweise eine Risikobewertung ihrer gesamten IT-Infrastruktur vornehmen, um klarzustellen, dass ihnen diese Risiken bewusst sind und wie sie diese zu minimieren bzw. auszuschließen gedenken.
Software-Bewertung: Wie sicher sind die Daten innerhalb einer Anwendung? Wie hoch ist das Risiko eines Datenstörfalls? Wie lassen sich vorhandene Risiken reduzieren? An welchen Schnittstellen bestehen besondere Risiken?
Das Prinzip #5 („technik-bezogener Datenschutz“) schließlich wendet sich direkt an Software-Anbieter und -Hersteller, indem es die Einhaltung bestimmter Grundsätze fordert. So sollen Anwendungsprogramme künftig personenbezogene Daten bestmöglich schützen und diese von Anfang an nur dann verarbeiten bzw. speichern, wenn sich das überhaupt nicht vermeiden lässt. Diese zwei Ansätze sind unter den Begriffen „Privacy by Design“ und „Privacy by Default“ bekannt.
Software-Bewertung: Wie lässt sich sicherstellen, dass Software von Anfang den hohen Datenschutzanforderungen der DSGVO entspricht? Welche default-mäßigen Einstellungen sorgen für einen bestmöglichen Datenschutz?
CAST-Analysesoftware hilft beim Bewerten der eigenen Anwendungssoftware
Bei der Beantwortung all dieser und weiterer Fragen rund um die DSGVO helfen die Analysetools von CAST, indem die Anwendungssoftware einmal vollständig auf Schwachstellen und mögliche Risiken untersucht wird. Anhand dieser Bewertung kann der Anbieter seiner Anwendungssoftware einen exakten Maßnahmenkatalog erstellen, wie er die identifizieren Sollbruchstellen eliminieren kann. Denn nur dann können Software-Hersteller sicher sein, dass ihre Produkte den Anforderungen der DSGVO entsprechen.
[irp posts=“32806″ ]
So lässt sich beispielsweise mithilfe des Analysetools CAST Enlighten identifizieren, wo und wie Daten verarbeitet werden. Und das mittels einer durchgängigen Visualisierung aller Transaktionen einer Anwendungen. Aber auch das Anlegen eines Registers bzw. einer Matrix aller schützenswerter Daten ist mit den CAST mühelos möglich.
Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.