·
08.04.2021
Lösung

Pseudonymisierung von Testsystemdaten – Schon gewusst, dass Sie das brauchen?

Die Motive, im wahren Leben ein Pseudonym anzunehmen, sind vielfältig. Denken wir beispielsweise an bekannte Schriftsteller, wie Joanne K. Rowling, die unter dem Namen Robert Galbraith abseits ihrer weltweiten Bekanntheit einen Kriminalroman veröffentlichte. Oder aber Musiker, die mit dem Annehmen bzw. Ablegen eines Künstlernamens häufig bestimmte Schaffensphasen ihres Lebens voneinander abgrenzen. Auch die Nutzung eines fiktiven Nutzernamens auf Social Media Plattformen gilt als Pseudonymisierung und dient nicht selten dem Zweck des Schutzes der Privatsphäre. Mit dem Pseudonymisierungstool aus dem PROMOS Datenschutzpaket werden ebenso die personenbezogenen Daten von Nutzern geschützt.
Pseudonymisierung von Testdaten mit dem PROMOS Lösungspaket zum Datenschutz

Was ist der rechtliche Hintergrund?


Seit dem Inkrafttreten der EU-DSGVO im Mai 2018 sind Unternehmen dazu verpflichtet, personenbezogene Daten zu löschen, sobald diese nicht mehr benötigt werden. Ebenso dürfen personenbezogene Daten nur für diejenigen Mitarbeiter zugänglich sein, die diese für ihre Arbeit benötigen. Ein Zuwiderhandeln wurde in der Vergangenheit durch die zuständigen nationalen Datenschutzbehörden bereits mit empfindlichen Geldstrafen belegt. Mit dem PROMOS Datenschutzpaket bietet PROMOS seit Längerem die Möglichkeit, personenbezogene Daten nach dem Ablauf festgelegter Fristen zu löschen bzw. zu anonymisieren. Ein Auskunftsreport kann zudem bei Bedarf die über eine Person erfassten Daten ausgeben. Ergänzt wurde das Paket nun um das Pseudonymisierungstool. Dieses wurde speziell für die Nutzung von Testsystemen entwickelt und verfälscht dort alle vorhandenen personenbezogenen Echtdaten.


Warum braucht es eine spezielle Lösung für Testsysteme?


Testsysteme kommen immer dann zum Einsatz, wenn neue Funktionalitäten, Lösungen oder einfache Änderungen am Customizing auf ihre Wirksamkeit und Handhabbarkeit überprüft werden müssen. Hierzu wird nicht selten einfach eine Eins-zu-eins-Kopie des Produktivsystems erstellt, die dann zum Testen aller möglichen Szenarien genutzt werden kann. Die datenschutzrechtliche Krux besteht darin, dass das Testsystem nun die echten Daten aller Geschäftspartner enthält. Bei den meisten Tests ist jedoch die Kenntnis der personenbezogenen Daten für den Tester gar nicht erforderlich. Insbesondere bei einer Nutzung des Testsystems durch Externe kann dies aus datenschutzrechtlicher Sicht problematisch sein. Andererseits können die Daten auch nicht einfach gelöscht oder wie bei der Anonymisierung durch ein „X“ ersetzt werden, da in diesem Fall das Testen anschließend schlicht nicht mehr möglich wäre. Die Anonymisierung oder Löschung müsste im Testsystem zudem auch die Gesamtheit aller Daten betreffen, also auch alle aktiven Geschäftspartner. Es liegt auf der Hand, dass beispielsweise die testweise Durchführung eines Reports, die zu einer Ausgabe leerer oder aus „X”-en bestehenden Datensätze nicht dem gewünschten Zweck dienen kann.


Und wie lösen wir das Problem?


Die PROMOS Lösung sieht deshalb vor, die Datensätze zu pseudonymisieren. So wird beispielsweise der Ausdruck „Thomas Müller“ dank eines automatisierten Algorithmus durch den pseudozufälligen Ausdruck „Ertzu Sdfgh“ ersetzt. Die Pseudonymisierung erfolgt unter Berücksichtigung vier entscheidender Kriterien.


  1. Die Umschlüsselung eines Geschäftspartners muss an jeder Stelle des Systems gleich sein. Das heißt, dass jeder reale Ausdruck überall immer genau ein Pseudonym erhält, um so eine Auswertbarkeit der Daten zu ermöglichen.
  2. Die Übersetzung darf nicht zurückverfolgbar sein. Es darf also beispielsweise nicht jedes „e“ im System durch ein „r“ und jedes „l“ durch ein „m“ ersetzt werden.
  3. Die neuen Ausdrücke müssen voneinander unterscheidbar sein. Ein Thomas Müller muss also ein anderes Pseudonym erhalten als Martina Schmidt.
  4. Die Ersetzungen müssen formgleich sein. Das bedeutet, dass beispielsweise eine E-Mail-Adresse auch nach der Übersetzung wieder aussehen muss wie eine E-Mail-Adresse.

Mit der Verfolgung dieser Kriterien wird zum einen die Testbarkeit der Daten sichergestellt. Die Testdaten können weiter logisch ausgewertet werden: Tabellen, die vorher eine Telefonnummer enthielten, tun dies nach wie vor und das Versenden einer E-Mail an eine pseudonymisierte E-Mail-Adresse wird aufgrund ihres Aufbaus technisch von SAP® akzeptiert. Zum anderen werden die personenbezogenen Daten so verfälscht, dass eine Einsicht in selbige oder missbräuchliche Verwendung nicht mehr möglich ist.

Pseudonymisierung von personenbezogenen Daten in Testsystemen mit dem PROMOS Lösungspaket zum Datenschutz in SAP

Abbildung 1: Sowohl der Vor- und Nachname als auch alle weiteren personenbezogenen Daten sind pseudonymisiert. Dabei bleiben beispielsweise die E-Mail Adresse und Telefonnummer formgleich.

Protokoll über den Erfolg der Pseudonymisierung personenbezogener Daten in Testsystemen in der PROMOS Datenschutzlösung für SAP

Abbildung 2: Ein Protokoll weist die Ergebnisse des Pseudonymisierungsprogramm aus.

Wie funktioniert die Pseudonymisierung technisch?


Die Pseudonymisierung erfolgt ganz simpel durch den Start des Pseudonymisierungsprogramms als ein Schritt im Rahmen des Aufbaus des Testsystems. Anders als bei der Anonymisierung im Produktivsystem, müssen bei der Pseudonymisierung keine fachlichen Prüfungen der Datensätze, beispielsweise auf bestehende Haltefristen, durchgeführt werden. Stattdessen wird ein generischer Ansatz verfolgt. Durch Customizing-Einstellungen wird definiert, welche Felder in welchen Tabellen auf welche Weise pseudonymisiert werden sollen. Auf Grundlage dieser Einstellungen pseudonymisiert das Programm dann alle Daten sowohl in SAP® Standardtabellen als auch in kundeneigenen Tabellen.


Ist die Pseudonymisierung nur bei einer Nutzung des Testsystems durch Dritte ratsam?


Üblicherweise verfügt nahezu jedes Unternehmen über ein Testsystem, das regelmäßig neu aufgebaut wird. Hier können Anwender testen, ob eine Customizing-Einstellung oder eine Idee zur Lösung eines Problems, funktioniert oder nicht. In der Regel ist es jedoch so, dass die Berechtigungen für Anwender eines Testsystems deutlich weiter gefasst sind als sie es für das Produktivsystem sind. Schließlich muss der Testende auch das Ergebnis seiner Überprüfung einsehen können. Entsprechend des „Need-to-know“-Prinzips muss also auch bei einer Nutzung durch interne Mitarbeiter der Schutz personenbezogener Daten sichergestellt werden. Eine Pseudonymisierung ist also auch hier häufig von Nöten.

Informationstechnologie und Immobilien (IT&I) Ausgabe Nr. 31 / April 2021

Möchten Sie unser Magazin regelmäßig erhalten?


Unsere halbjährlich erscheinende Fachzeitschrift „IT&I – Informationstechnologie und Immobilien“ informiert Sie über Hintergründe und Grundlagen zu aktuellen Themen und neuesten IT-Entwicklungen verbunden mit Fachthemen der Immobilienwirtschaft. Bestellen Sie unsere Online- oder Printausgabe hier.

Und wenn ich für einen Test wirklich mal die echten Daten benötige?


Einige Tests sind ohne echte Daten nicht möglich. Für diese Fälle bietet das PROMOS Datenschutzpaket ein besonderes Bonbon: Mit Hilfe eines Programms können die Daten eines Partners vom Produktivsystem direkt in das Testsystem kopiert werden, die pseudonymisierten Daten werden überschrieben. Nach Abschluss des Tests kann eine erneute Pseudonymisierung dieses Partners gestartet werden, so dass der Datenschutz danach wieder gesichert ist.


Nochmal kurz die Vorteile auf einen Blick?


Die schnellste und einfachste Möglichkeit, ein Testsystem aufzusetzen, besteht darin, eine Kopie des Produktivsystems zu erzeugen. Aus datenschutzrechtlichen Gründen dürfen die darin enthaltenen Daten nicht von Unbefugten eingesehen werden. Die Umschlüsselung der Daten durch das Pseudonymisierungstool der PROMOS ist eine einfache und schnelle Variante, trotz alledem testbare und auswertbare Daten zur Verfügung zu stellen und dabei allen Anforderungen aus der EU-DSGVO umfänglich gerecht zu werden.

Bitte warten