Lesen Sie hier die größten DSGVO-Hürden von Legacy-Anwendungen und wie man sie überwindet.
Die fünf größten Probleme von Legacy-Anwendungen in Sachen DSGVO
Die DSGVO stellt die Software von Unternehmen vor große Herausforderungen. Das gilt insbesondere für Legacy-Applikationen, denn als sie entstanden sind, existierte die neue Datenschutzrichtlinie der EU noch nicht. Aus diesem Grund stehen ihre Eigenschaften einer DSGVO-Konformität oft im Weg. Zudem haben sich rund um diese Anwendungen häufig Prozesse und Verhaltensweisen etabliert, die ebenfalls nicht im Einklang mit der DSGVO sind.
1. Identifizierung
Um die Daten richtig handhaben zu können, müssen sie oft erst einmal identifiziert werden. In Legacy-Anwendungen sind personenbezogene Daten allerdings in der Regel stark verteilt und oft nicht eindeutig benannt, so dass sie nicht auf Anhieb als solche erkennbar sind. Zusätzlich erschweren bestimmte Dateiformate die Identifizierung weiter. In CSV-Dateien beispielsweise sind sie deutlich schwieriger aufzuspüren als etwa in XML-Dateien.
2. Speicherung
Die DSGVO macht starke Vorgaben für die sichere Speicherung von personenbezogenen Daten. Legacy-Software kann diesen häufig nicht gerecht werden, beispielsweise weil sie keine Verschlüsselung aufweist. Zudem sind die Daten oft einfach irgendwo abgespeichert – unverschlüsselt im Archiv oder gar auf unverschlüsselten Backup-CDs, die schlimmstenfalls irgendwann im Müll landen.
3. Transfer
Ein ähnliches Problem ergibt sich beim Austausch von personenbezogenen Daten zwischen verschiedenen Legacy-Software-Systemen. Er findet häufig nicht ausreichend geschützt statt, beispielsweise über unverschlüsselte E-Mails oder per se unsichere Datenträger. Das liegt aber nicht nur an den Systemen selbst, sondern auch daran, dass sich die Verantwortlichen des Problems oft gar nicht bewusst sind.
4. Löschen
Laut DSGVO müssen personenbezogene Daten bei Bedarf gelöscht oder anonymisiert werden können. Auch das ist mit Legacy-Software oft nur schwer umsetzbar. So lassen sich die Daten teilweise gar nicht löschen, weil sie sich in Primary-Key-Feldern der Datenbanken befinden; oder das Datenbank-Modell sieht einfaches Löschen oder Anonymisieren schlichtweg nicht vor.
5. Verarbeitung
Die DSGVO-Konformität von Legacy-Anwendungen wird zudem oft durch die Art und Weise erschwert, wie sie personenbezogene Daten verarbeiten. So werden beispielsweise häufig Informationen wie Geburtsdaten oder Namen in Schlüsselfelder eingearbeitet. Manche Banken etwa verwenden das Geburtsdatum von Kontoinhabern als festen Bestandteil der Kontonummern.
Trotz dieser Hindernisse können Unternehmen ihre Legacy-Anwendungen aber durchaus fit für die DSGVO machen – wenn sie es richtig angehen.
Der entscheidende Schritt ist die Identifikation der personenbezogenen Daten in den Applikationen. Dabei müssen auch Datenfelder berücksichtigt werden, die vordergründig keinen Bezug zu personenbezogenen Daten aufweisen, beispielsweise Schlüsselfelder.