Anonymisierung von personen­bezogenen Daten in SAP

 

 

 

 

Anonymisierung von personenbezogenen
Daten in SAP Test- und Qualitätssicherungssystemen

Herausforderung im Kontext der DSGVO

Der Umgang mit produktiven Kundendaten in SAP Test- und Qualitätssicherungs-systemen stellt Unternehmen zwangsläufig vor die Frage, ob produktive Echtdaten auch als Testdaten Verwendung finden können.

Die Antwort auf diese Fragestellung ergibt sich unmittelbar aus der DSGVO. Eine Verwendung von personenbezogenen Daten zu Testzwecken verstößt gegen den Grundsatz der datenschutzrechtlichen Zweckbindung und ist daher unzulässig. Laut DSGVO ist sicherzustellen, dass das Risiko von Datenschutzverletzungen im Zuge der Verwendung von personenbezogenen Daten minimiert wird. Dies gilt somit auch für die Verwendung von personenbezogenen Daten in Test- und Qualitätssicherungs-systemen. In Bezug auf die Verwendung von personenbezogenen Daten in nicht-produktiven Systemen ist zudem der Schutz von personenbezogenen Daten besonders relevant, da diese Systeme häufig einem größeren Anwenderkreis als die eigentlichen Produktionssysteme zugänglich sind. Dieser Umstand stellt deshalb ein großes Risiko dar, die DSGVO zu verletzen. In diesem Zusammenhang sollte schon auf Systemebene sichergestellt werden, dass das Risiko von Datenschutzverletzungen minimiert wird. Der Hinweis auf die Notwendigkeit von fachlichen und technischen Tests für den Systembetrieb und auch eine möglicherweise erteilte Kundezustimmung als Rechtfertigung ist hierfür in der Regel nicht hinreichend.

Erzeugung von Testdaten in der Praxis

Für die Erzeugung von Testdaten - insbesondere in SAP Test- und Qualitätssicherungs-systemen - stehen in der Praxis im Wesentlichen folgende unterschiedliche Verfahren zur Verfügung:

  • Generierung von künstlichen / fiktiven Daten
  • Partielle Datenextraktion
  • Anonymisierung / Pseudonymisierung von Echtdaten

Die Generierung von künstlichen Testdaten und auch die partielle Datenextraktion sind grundsätzlich geeignete Verfahren, um DSGVO-konforme Testdaten bereitzustellen. Nachteilig bei diesen Verfahren ist, dass diese Methoden sehr komplex und damit auch aufwendig und kostenintensiv sind. Es ist in der Regel mit großem Aufwand verbunden, konsistente und qualitativ hochwertige Testdaten zu erzeugen, um durchgängige Prozessketten praxisnah testen zu können.

Vor diesem Hintergrund wird in der Praxis häufig aus Gründen der Komplexitätsreduktion eine vollständige oder teilweise Kopie des Produktivsystems durchgeführt, das dann als Test- und Qualitätssicherungssystem betrieben wird. Im Ergebnis führen somit auch die Sekundärsysteme „Echtdaten“, auf deren Grundlage jedoch durchgängige und praxisnahe Testfälle prozessiert werden können.

Abbildung 1: Erzeugung von Testdaten durch „Systemkopie“

Als Konsequenz dieses Ansatzes zur Testdatenbereitstellung ergibt sich die Herausforderung, personenbezogene Daten in einem SAP Test- und Qualitätssicherungssystem nachträglich DSGVO-konform zu behandeln.

Unsere Lösung zur Testdatenanonymisierung in SAP Systemen

Vor dem Hintergrund der oben dargestellten gängigen Praxis hat cronos ein Verfahren zur nachträglichen Anonymisierung von Testdaten in SAP-Systemen entwickelt. Das Vorgehen beruht auf einer klassischen Kopie der Produktionsdaten, mit dem Unter­schied, dass die darin enthaltenen personenbezogenen Daten an den SAP Stammsatzobjekten (SAP Geschäftspartner, SAP Debitor, SAP Kreditor) nach erfolgter Systemspiegelung im Nachgang verfremdet werden. Hierzu wurde ein spezielles Verwürfelungs- und Anonymisierungsverfahren konzipiert, das über kundeneigene Programme in den jeweiligen SAP Testsystemen implementiert und im Batch-Verfahren ausgeführt wird.

Das cronos DSGVO-Tool zur Testdatenanonymisierung bietet die Möglichkeit, personenbezogene Daten in Test- und Entwicklungssystemen unumkehrbar zu verfremden, so dass die Anforderungen der DSGVO eingehalten werden, ohne auf die Vollständigkeit und Konsistenz der originären Daten verzichten zu müssen.

Die verfremdeten Stammsätze sehen weiterhin aus wie „Echtdaten“ und verhalten sich prozessual wie „Echtdaten“ - jedoch kann nicht mehr auf die Identität des „Echtkunden“ geschlossen werden. Dieser Zustand wird dadurch erreicht, dass real existierende Daten „verwürfelt“ bzw. inhaltlich konsistent anonymisiert werden.

Dem Lösungsansatz liegen folgende Kernmerkmale zu Grunde:

Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Maecenas porttitor congue massa. Fusce posuere, magna sed pulvinar ultricies, purus lectus malesuada libero, sit amet commodo magna eros quis urna. Nunc viverra imperdiet enim. Fusce est. Vivamus a tellus. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Proin pharetra nonummy pede. Mauris et orci.

Nunc viverra imperdiet enim. Fusce est. Vivamus a tellus. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Proin pharetra nonummy pede. Mauris et orci. Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Maecenas porttitor congue massa. Fusce posuere, magna sed pulvinar ultricies, purus lectus malesuada libero, sit amet commodo magna eros quis urna. Nunc viverra imperdiet enim. Fusce est. Vivamus a tellus. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas.

 

WEITER GEHTS NACH DEM LOGIN

Unser +CONTENT ist und bleibt absolut kostenlos. Ihre Anmeldung hilft uns aber weiter spannenden und gut recherchierten Inhalt zur Verfügung zu stellen.

Passwort vergessen Noch keinen Login? Jetzt registrieren!

REGISTRIEREN

Datenschutzbestimmungen*
Bitte addieren Sie 9 und 1.
Ich bin bereits registriert! Jetzt einloggen.
Mehr zum Thema:

Über den Autor

Mirco Russek
Solution-Architect, cronos Unternehmensberatung GmbH

Diesen Artikel teilen

Mehr zum Thema

DSGVO Tools

Zurück

Über Uns

Aus der Garage an den Silicon-Harbor Münster - Dynamik, Innovationskraft und Start-Up Klima hat man sich bei cronos erhalten, nur die Räumlichkeiten im dock14 am Hafen sind wesentlich großzügiger und einladender als in der Gründer-Garage 1991 in Senden. Als marktführendes Beratungsunternehmen für die Versorgungsbranche mit über 350 Mitarbeitern berät cronos mittlerweile von sieben Standorten in Deutschland und Österreich aus.

Unsere Socials

Bester Arbeitgeber

kununu widget
Copyright 2024. All Rights Reserved.
Einstellungen gespeichert
Datenschutzeinstellungen
You are using an outdated browser. The website may not be displayed correctly. Close