Legacy-Anwendungen sind typischerweise nicht dafür eingerichtet, die neuen Datenschutzregeln einzuhalten. Avision, Spezialist für Software Revivals, erläutert die größten Hürden und zeigt auf, wie Unternehmen sie überwinden können.
Die europäische Datenschutz-Grundverordnung (DSGVO) stellt Unternehmen vor große Herausforderungen. Das gilt insbesondere für Legacy-Applikationen. Als diese entstanden sind, existierte die Datenschutzrichtlinie noch gar nicht. Außerdem haben sich rund um diese Anwendungen häufig Prozesse und Verhaltensweisen etabliert, die nicht datenschutzkonform sind. Daher stehen Legacy-Applikationen der DSGVO-Konformität oft im Weg.
Auf die Modernisierung von Legacy-Software hat sich der Münchner IT-Dienstleister Avision spezialisiert. Die Consulter erläutern die zentralen Knackpunkte beim DSGVO-konformen Umgang mit personenbezogenen Daten:
- Identifizierung. Um die Daten richtig handhaben zu können, müssen sie erst einmal identifiziert werden. In Legacy-Anwendungen sind personenbezogene Daten meist stark verteilt und oft nicht eindeutig benannt, so dass sie nicht auf Anhieb als solche erkennbar sind. Zusätzlich erschweren bestimmte Dateiformate die Identifizierung. In CSV-Dateien (Comma Separated Values) beispielsweise sind sie deutlich schwieriger aufzuspüren als etwa in XML-Dateien (Extended Markup Language).
- Speicherung. Die DSGVO macht starke Vorgaben für die sichere Speicherung von personenbezogenen Daten. Legacy-Software kann diesen häufig nicht gerecht werden, beispielsweise weil sie keine Verschlüsselung aufweist. Zudem sind die Daten oft einfach irgendwo abgespeichert – unverschlüsselt im Archiv oder gar auf unverschlüsselten Backup-CDs, die schlimmstenfalls irgendwann im Müll landen.
- Transfer. Ein ähnliches Problem ergibt sich beim Austausch von personenbezogenen Daten zwischen verschiedenen Legacy-Software-Systemen. Die Übermittlung ist nur selten ausreichend geschützt und läuft beispielsweise über unverschlüsselte E-Mails oder unsichere Datenträger. Das liegt nicht nur an den Systemen selbst, sondern auch daran, dass sich die Verantwortlichen des Problems oft gar nicht bewusst sind.
- Löschen. Laut DSGVO müssen personenbezogene Daten bei Bedarf gelöscht oder anonymisiert werden können. Mit Legacy-Software ist das oft nur schwer umsetzbar. So lassen sich die Daten teilweise gar nicht löschen, weil sie sich in Primary-Key-Feldern der Datenbanken befinden. Manch ein Datenbank-Modell sieht einfaches Löschen oder Anonymisieren schlichtweg nicht vor.
- Verarbeitung. Die DSGVO-Konformität von Legacy-Anwendungen wird oft durch die Art und Weise erschwert, wie sie personenbezogene Daten verarbeiten. So werden beispielsweise häufig Informationen wie Geburtsdaten oder Namen in Schlüsselfelder eingearbeitet. Manche Banken etwa verwenden das Geburtsdatum von Kontoinhabern als festen Bestandteil der Kontonummern.
Die Identifikation der Personendaten ist der erste Schritt
Trotz dieser Hindernisse können Unternehmen ihre Legacy-Anwendungen nach Ansicht von Avision aber durchaus fit für die DSGVO machen. „Der entscheidende Schritt ist die Identifikation der personenbezogenen Daten in den Applikationen“, erläutert Nadine Riederer, CEO bei Avision. „Dabei müssen auch Datenfelder berücksichtigt werden, die vordergründig keinen Bezug zu personenbezogenen Daten aufweisen, beispielsweise Schlüsselfelder.“
Zum Aufspüren der Daten empfiehlt die Expertin den Einsatz spezieller Analysewerkzeuge wie dem Metadata Harvester von Orion Governance. Eine manuelle Nachkontrolle sei dennoch ratsam. Davon, diese Tätigkeit an einen Near- oder Offshore-Dienstleister auszulagern, rät Riederer ab. Dies sei nicht nur aus Datenschutzgründen problematisch. Für Muttersprachler aus demselben Kulturraum sei es einfach wesentlich leichter, Daten richtig zu interpretieren.
„Nicht mehr benötigte Daten sollten nach der Identifikation eliminiert werden.“, rät Riederer. „Die übrigen Informationen sollten, falls möglich, an wenigen Speicherorten zusammengeführt und mit Schlüsseln in die weiteren Applikationen referenziert werden.“ Die Einrichtung einer Löschroutine ermögliche es, künftig Einzeldaten bei Bedarf zu löschen. Ein weiterer wichtiger Schritt sei die Verschlüsselung der Daten und ihrer Übermittlungskanäle. Um ihrer Informationspflicht nachzukommen, sollten Unternehmen zudem eine Dokumentation der Datenverarbeitung erstellen. Jürgen Frisch
