Anonymisierung von personen­bezogenen Daten in SAP

 

 

 

 

Anonymisierung von personenbezogenen
Daten in SAP Test- und Qualitätssicherungssystemen

Herausforderung im Kontext der DSGVO

Der Umgang mit produktiven Kundendaten in SAP Test- und Qualitätssicherungs-systemen stellt Unternehmen zwangsläufig vor die Frage, ob produktive Echtdaten auch als Testdaten Verwendung finden können.

Die Antwort auf diese Fragestellung ergibt sich unmittelbar aus der DSGVO. Eine Verwendung von personenbezogenen Daten zu Testzwecken verstößt gegen den Grundsatz der datenschutzrechtlichen Zweckbindung und ist daher unzulässig. Laut DSGVO ist sicherzustellen, dass das Risiko von Datenschutzverletzungen im Zuge der Verwendung von personenbezogenen Daten minimiert wird. Dies gilt somit auch für die Verwendung von personenbezogenen Daten in Test- und Qualitätssicherungs-systemen. In Bezug auf die Verwendung von personenbezogenen Daten in nicht-produktiven Systemen ist zudem der Schutz von personenbezogenen Daten besonders relevant, da diese Systeme häufig einem größeren Anwenderkreis als die eigentlichen Produktionssysteme zugänglich sind. Dieser Umstand stellt deshalb ein großes Risiko dar, die DSGVO zu verletzen. In diesem Zusammenhang sollte schon auf Systemebene sichergestellt werden, dass das Risiko von Datenschutzverletzungen minimiert wird. Der Hinweis auf die Notwendigkeit von fachlichen und technischen Tests für den Systembetrieb und auch eine möglicherweise erteilte Kundezustimmung als Rechtfertigung ist hierfür in der Regel nicht hinreichend.

Erzeugung von Testdaten in der Praxis

Für die Erzeugung von Testdaten - insbesondere in SAP Test- und Qualitätssicherungs-systemen - stehen in der Praxis im Wesentlichen folgende unterschiedliche Verfahren zur Verfügung:

  • Generierung von künstlichen / fiktiven Daten
  • Partielle Datenextraktion
  • Anonymisierung / Pseudonymisierung von Echtdaten

Die Generierung von künstlichen Testdaten und auch die partielle Datenextraktion sind grundsätzlich geeignete Verfahren, um DSGVO-konforme Testdaten bereitzustellen. Nachteilig bei diesen Verfahren ist, dass diese Methoden sehr komplex und damit auch aufwendig und kostenintensiv sind. Es ist in der Regel mit großem Aufwand verbunden, konsistente und qualitativ hochwertige Testdaten zu erzeugen, um durchgängige Prozessketten praxisnah testen zu können.

Vor diesem Hintergrund wird in der Praxis häufig aus Gründen der Komplexitätsreduktion eine vollständige oder teilweise Kopie des Produktivsystems durchgeführt, das dann als Test- und Qualitätssicherungssystem betrieben wird. Im Ergebnis führen somit auch die Sekundärsysteme „Echtdaten“, auf deren Grundlage jedoch durchgängige und praxisnahe Testfälle prozessiert werden können.

Abbildung 1: Erzeugung von Testdaten durch „Systemkopie“

Als Konsequenz dieses Ansatzes zur Testdatenbereitstellung ergibt sich die Herausforderung, personenbezogene Daten in einem SAP Test- und Qualitätssicherungssystem nachträglich DSGVO-konform zu behandeln.

Unsere Lösung zur Testdatenanonymisierung in SAP Systemen

Vor dem Hintergrund der oben dargestellten gängigen Praxis hat cronos ein Verfahren zur nachträglichen Anonymisierung von Testdaten in SAP-Systemen entwickelt. Das Vorgehen beruht auf einer klassischen Kopie der Produktionsdaten, mit dem Unter­schied, dass die darin enthaltenen personenbezogenen Daten an den SAP Stammsatzobjekten (SAP Geschäftspartner, SAP Debitor, SAP Kreditor) nach erfolgter Systemspiegelung im Nachgang verfremdet werden. Hierzu wurde ein spezielles Verwürfelungs- und Anonymisierungsverfahren konzipiert, das über kundeneigene Programme in den jeweiligen SAP Testsystemen implementiert und im Batch-Verfahren ausgeführt wird.

Das cronos DSGVO-Tool zur Testdatenanonymisierung bietet die Möglichkeit, personenbezogene Daten in Test- und Entwicklungssystemen unumkehrbar zu verfremden, so dass die Anforderungen der DSGVO eingehalten werden, ohne auf die Vollständigkeit und Konsistenz der originären Daten verzichten zu müssen.

Die verfremdeten Stammsätze sehen weiterhin aus wie „Echtdaten“ und verhalten sich prozessual wie „Echtdaten“ - jedoch kann nicht mehr auf die Identität des „Echtkunden“ geschlossen werden. Dieser Zustand wird dadurch erreicht, dass real existierende Daten „verwürfelt“ bzw. inhaltlich konsistent anonymisiert werden.

Dem Lösungsansatz liegen folgende Kernmerkmale zu Grunde:

Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Maecenas porttitor congue massa. Fusce posuere, magna sed pulvinar ultricies, purus lectus malesuada libero, sit amet commodo magna eros quis urna. Nunc viverra imperdiet enim. Fusce est. Vivamus a tellus. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Proin pharetra nonummy pede. Mauris et orci.

Nunc viverra imperdiet enim. Fusce est. Vivamus a tellus. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Proin pharetra nonummy pede. Mauris et orci. Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Maecenas porttitor congue massa. Fusce posuere, magna sed pulvinar ultricies, purus lectus malesuada libero, sit amet commodo magna eros quis urna. Nunc viverra imperdiet enim. Fusce est. Vivamus a tellus. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas.

 

WEITER GEHTS NACH DEM LOGIN

Unser +CONTENT ist und bleibt absolut kostenlos. Ihre Anmeldung hilft uns aber weiter spannenden und gut recherchierten Inhalt zur Verfügung zu stellen.

Passwort vergessen Noch keinen Login? Jetzt registrieren!

REGISTRIEREN

Datenschutzbestimmungen*
Was ist die Summe aus 4 und 4?
Ich bin bereits registriert! Jetzt einloggen.
Mehr zum Thema:
compactSession MaKo2022: cronos Lösungen für Netznutzungsabrechnung

+CONTENT Nach der Verschiebung der ersten Prozess- und Formatänderungen der Mako 2022 vom 01.04.2022 auf den 01.10.2022 gilt es die eigentlichen Änderungen zum Oktober 22 bzw. Januar 23 ebenfalls umzusetzen. In diesem Termin werfen wir einen Umfassenden Blick auf diese Prozess- und Formatänderungen zum 01.10.2022 und die Auswirkungen auf die Prozesslandschaft. Als Resümee betrachten wir alle Änderungen der Mako22 in Gänze sowie mögliche Lösungen.

von cronos Unternehmensberatung GmbH 11. Jul, 2022
compactSession MaKo2022: Neuerung zum 01.10.2022

+CONTENT Nach der Verschiebung der ersten Prozess- und Formatänderungen der Mako 2022 vom 01.04.2022 auf den 01.10.2022 gilt es die eigentlichen Änderungen zum Oktober 22 bzw. Januar 23 ebenfalls umzusetzen. In diesem Termin werfen wir einen Umfassenden Blick auf diese Prozess- und Formatänderungen zum 01.10.2022 und die Auswirkungen auf die Prozesslandschaft. Als Resümee betrachten wir alle Änderungen der Mako22 in Gänze sowie mögliche Lösungen.

von Navid Monteiro Emamjomeh 30. Jun, 2022

Über den Autor

Mirco Russek
Solution-Architect, cronos Unternehmensberatung GmbH

Diesen Artikel teilen

Mehr zum Thema

DSGVO Tools

Zurück

Copyright 2022. All Rights Reserved.
Einstellungen gespeichert
Datenschutzeinstellungen
You are using an outdated browser. The website may not be displayed correctly. Close