Auswirkungen der neuen EU-DSGVO auf die Softwareentwicklung

Viele Unternehmen beginnen erst jetzt, sich mit der neuen EU Datenschutzgrundverordnung auseinander zu setzen. Als Softwareengineering Dienstleister gehört es zu unserem Portfolio, mit unterschiedlichsten Unternehmensdaten zu arbeiten. Aus diesem Grund ist es auch unsere Pflicht, unsere Kunden darüber zu informieren, wie sie mit ihren Daten in ihren Softwaresystemen umgehen müssen.

In der Softwareentwicklung betreffen uns zwei Grundsätze der EU DSGVO:

• Privacy by Design
• Privacy by Default

Beide Grundsätze spielen bei der Verarbeitung von personenbezogenen Daten eine Rolle.

Privacy by Design

Privacy by Design bedeutet, dass Datensicherheit bei der Verarbeitung von Daten von vornherein berücksichtigt werden muss. Dies bedeutet, dass es Mechanismen in den Softwarelösungen geben muss, die verhindern, dass Daten für nicht berechtigte Personen sichtbar sind. Das kann zum Beispiel mit einer Benutzerverwaltung inkl. Rollenkonzept realisiert werden, die nur authorisierten Anwendern den Zugriff auf bestimmte Daten erlaubt. Über solche Mechanismen können Administratoren den gewählten Zugriff sicherstellen und so kann der Grundsatz bereits erfüllt werden. Wenn also die Softwaresysteme über die entsprechenden Rollensysteme verfügen, dann müssen diese zukünftig auch aktiviert werden, sodass ein unbefugter Zugriff nicht mehr möglich ist. Sollte eines oder mehrere Systeme nicht über solche Mechanismen verfügen, dann kann man sich nur zum Teil helfen. Zum Beispiel kann die ausführbare Datei der Software über einen Zugriffsschutz im Dateisystem versehen werden. So ist sichergestellt, dass nur noch auf dem Dateisystem berechtigte Personen auf die Software zugreifen sollen. Allerdings hilft das nur bedingt, wenn viele unterschiedliche Daten in der Anwendung gespeichert sind und diese von unterschiedlichsten Anwendergruppen verwendet werden.

Privacy by Default

Privacy by Default baut praktisch auf Privacy by Design auf. In diesem Grundsatz heißt es, dass nicht nur die Anwendung Benutzer- und Rollenkonzepte zur Verfügung stellen sollen, sondern diese auch von vornherein aktiviert sind. Es soll damit sichergestellt werden, dass nicht durch fehlende Sicherheitskonfigurationen Zugriff auf Daten erlangt werden kann.

Ein Beispiel:

Wenn ich einen neuen Anwender innerhalb der Benutzerverwaltung anlege und ihm noch keine Rolle zuordne, so soll der Benutzer auch noch keine Daten sehen dürfen. Erst mit Zuordnung der Rolle darf er auf die seine Rolle entsprechenden Daten zugreifen. Häufig sind Systeme so aufgebaut, dass man ohne Rollenzuordnung plötzlich alle Rechte besitzt und viel mehr Daten sieht als man dürfte. Auch dies kann mit entsprechender Logik in der Applikation einfach gelöst werden, wenn man diese neu entwickelt. Es ist aber umso schwerer solche Mechanismen in bereits existierende Lösungen zu integrieren, da jede Funktionalität der Software geprüft werden muss.

Fazit

Wenn man die neue Anforderungen kennt und diese bereits von Anfang an bedenkt, dann ist die Realisierung ohne großen Aufwand möglich. Probleme wird es sicherlich in den vielen Excelsheets und Access Anwendungen innerhalb der Unternehmen geben, in denen im Normalfall diese Mechanismen nicht realisiert sind. Die Frage ist, sind solche Lösungen heute noch zeitgemäß oder sollten sie durch andere Softwaresysteme ausgewechselt werden, die erstens viel mehr Möglichkeiten bieten als Access oder Excel und zweitens von Beginn an die neue Datenschutzgrundverordnung erfüllen.

Mit WMS können wir sehr schnell solche Lösungen realisieren und dort sind bereits beide Grundsätze von Beginn an integriert und aktiviert.