#69707901 | Sebastian Duda | Fotolia.com

 

Immer öfter taucht in meinen Kundengesprächen die Frage nach den notwendigen Umstellungen und Anpassungsmaßnahmen auf, die sich speziell im IT-Testbereich bei Unternehmen aus dem neuen EU-Datenschutzgesetz ergeben.

Hintergrundinformation

Am 04. Mai 2016 wurde eine neue, europäische Richtlinie/Verordnung, die „General Data Protection Regulation (GDPR)“, veröffentlicht. Sie wird nach einer insgesamt zweijährigen Übergangszeit nationale Datenschutzverfahren in Europa ablösen und am 25. Mai 2018 in Kraft treten. In Deutschland wird diese Richtlinie auch als „EU-Datenschutz-Grundverordnung (EU-DSGVO)“ bezeichnet.

Das Kernanliegen dieser EU-Verordnung zielt auf den besseren Umgang und Schutz von personenbezogenen Daten von EU-Bürgern ab.

Das neue, länderübergreifende „Marktortprinzip“

Betroffen sind alle Unternehmen und Organisationen, die in der EU und für die EU als Zielmarkt tätig sind, und personenbezogene Daten von Rechtssubjekten der EU verarbeiten. Also: alle Unternehmen und Organisationen mit Kunden, Mitarbeitern und/oder Lieferanten, die Daten IT-gestützt abspeichern und verarbeiten.

Das gilt auch für Firmen, die außerhalb der EU grenzüberschreitende Datentransfers durchführen, wie Lieferanten oder Dienstleister für EU-Firmen (z. B. Offshore-Dienstleister).

Vorsicht: Sanktionen

Laut einer Studie von Symantec ergab sich noch Ende letzten Jahres folgendes Bild: “96 Prozent der Unternehmen haben keinen vollständigen Überblick darüber, was die neue Regelung für sie bedeutet und welche Herausforderungen mit ihr verbunden sind. In Deutschland sogar 99 Prozent “ (Zitat aus „IT-daily.net“).

Dabei können Sanktionen bei Übertretungen und Missbräuchen von personenbezogenen Daten ab dem kommenden Jahr mit bis zu 20 Mio. Euro bzw. 4 Prozent des gesamten, weltweiten Jahresumsatzes einer Firma teuer werden. 

Was ist zu tun, um den neuen Richtlinien speziell im Testumfeld gerecht zu werden?

Aktuell arbeiten wir an einem Angebot, das den Anwendern durch Beratungsaktivität und anschließend mit aktiver Unterstützung vor Ort dabei hilft, die Auswirkungen der neuen Datenschutzregelungen, insbesondere bei allen Themen rund ums Testing, in ihrem Unternehmen bzw. ihrer Organisation in den Griff zu bekommen.

In enger Zusammenarbeit und Abstimmung mit dem Kunden und den jeweiligen Anwendern im Testumfeld werden wir zunächst bei der Analyse, Aufdeckung und künftigen Vermeidung von Risiken und fehlerhaften Prozessen unterstützen.

Dies geschieht in drei Schritten:

  • KickStart-Workshop: Hier werden die beteiligten Systeme, Datenbestände und Prozesse, in denen relevante Personendaten genutzt und gemanagt werden, identifiziert. Zugleich werden der aktuelle Status und der Reifegrad der IT-Sicherheit geprüft und ermittelt.
  • Discovery Phase: Wir führen automatische Suchvorgänge über Datenbanken und Dateiserver durch, um GDPR-relevante Daten zu finden.
  • Ergebnis: Präsentation und Auswertung der Ergebnisse und Vorschlag einer Roadmap

Im Anschluss an diese Analysephase helfen wir bei der fachlichen Umsetzung, wie z.B. bei der Auswahl und Nutzung von geeigneten TDM (Testdatenmanagement-)Werkzeugen sowie bei allen Schritten, die den Datenschutz im Testprozess unterstützen (Datenermittlung, -überprüfung und –optimierung, Datenmaskierung,…).

Michael Lietz
Michael Lietz ist Senior Consultant bei Sogeti Deutschland. Er ist Testmanager und als solcher u.a. im Bereich Requirements Engineering tätig. Seine Tätigkeitsschwerpunkt liegt hauptsächlich im Finanzbereich und aktuell im Automotive Sektor.