Ausgangssituation und Projektauftrag

Die EU-Datenschutz Grundverordnung (DSGVO) erfordert den Schutz personenbezogener Daten. Betroffen sind alle Unternehmen, die Daten von EU-Bürgern verarbeiten.
Im Zuge der Umsetzung der EU-DSGVO stand die CosmosDirekt vor der Herausforderung, die im Datawarehouse (DWH) gespeicherten personenbezogenen Daten, den neuen Regularien anzupassen. Bei Nichteinhaltung fürchtete man Geldstrafen, Imageverluste oder auch Wettbewerbsnachteile.
Bei der CosmosDirekt war insbesondere auch das DataWarehouse betroffen. Die neuen Regularien verpflichteten unseren Kunden zur Datensparsamkeit, Zweckbindung und Rechenschaftspflicht aller personengebundenen Daten im Warehouse.
Die CosmosDirekt beauftragte die MT AG im November 2017 mit der Umsetzung dieses Projektes. Die produktive Einführung musste zwingend mit der Anwendung des EU Gesetzes und dem damit verbundenen Strafenkatalog zum 25. Mai 2018 abgeschlossen sein.
Der von der MT AG gewählte Weg der Pseudonymisierung der personenbezogenen Daten ermöglichte der CosmosDirekt ein Erhalt der Eindeutigkeit und der Entschlüsselbarkeit der Daten z.B. für Revisionsaufgaben.
Die Herausforderung für die Umsetzung des Projektauftrags bestand darin, dass in einem historisch gewachsenen DWH nicht alle Datenstrecken umfassend dokumentiert waren. Hinzu kam der Einsatz vieler unterschiedlicher ETL Technologien und die Verteilung der personenbezogenen Daten über viele Tabellen mit vielen Abhängigkeiten untereinander.

Vorgehen im Projekt

Im ersten Schritt analysierte die MT AG in einem Proof-of-Concept (PoC) die Machbarkeit der Pseudonymisierung innerhalb der heterogenen DWH Landschaft. Durch die Analyse wurden die betroffenen Spalten identifiziert und klassifiziert. Darauf aufbauend wurden die Abhängigkeiten dargestellt und ein Plan für die Umsetzung des Projektauftrages erstellt. Die notwendigen Anpassungen für die Pseudonymisierung in den ETL Strecken wurden durchgeführt und die vorhandenen Daten migriert. Zugriffe auf entschlüsselte, personenbezogene Daten in der Datenbank wurden auditierbar gemacht.

Projektergebnisse und Ausblick

Folgender Nutzen konnte für die CosmosDirekt durch die Umsetzung der EU-DSGVO erreicht werden:

  • Sicherheit
    • Verbesserte Zugriffskontrolle durch zusätzliche Sicherheitsstufe
    • Zugriffstransparenz durch Logging bzw. Auditierung
  • Außendarstellung
    • CosmosDirekt kann mit vertraulichem Umgang mit Kundendaten werben
    • Wettbewerbsvorteil: „Wir sind EU DSGVO konform“
    • Erhöhtes Vertrauen der Versicherten
  • Technologie
    • Durch Pseudonymisierung ist die Entschlüsselung der Daten weiterhin möglich

Patric Becker, IT-Leiter, CosmosDirekt-Gruppe: „Auf der einen Seite stand das Projekt durch den vorgegebenen regulatorischen Zieltermin unter hohem Lieferdruck, der eingehalten werden konnte. Trotz des hohen Lieferdrucks ist hier eine Lösung entstanden, die wiederverwendbar ist. Durch die geschaffene Lösung konnten bereits Nachfolgeprojekte einfach und schnell umgesetzt werden.“

 

 

Menü