CosmosDirekt.

Die EU-Datenschutzgrundverordnung (EU-DSGVO) erfordert den Schutz personenbezogener Daten. Betroffen sind alle Unternehmen, die Daten von EU-Bürgerinnen und EU-Bürgern verarbeiten. Im Zuge der Umsetzung der EU-DSGVO stand die CosmosDirekt vor der Herausforderung, die im Data Warehouse (DWH) gespeicherten personenbezogenen Daten den neuen Regularien anzupassen. Bei Nichteinhaltung fürchtete man Geldstrafen, Imageverluste oder auch Wettbewerbsnachteile.

Ausgangssituation und Projektauftrag

Bei der CosmosDirekt war insbesondere auch das Data Warehouse betroffen. Die neuen Regularien verpflichteten unseren Kunden zur Datensparsamkeit, Zweckbindung und Rechenschaftspflicht aller personengebundenen Daten im Warehouse. Die CosmosDirekt beauftragte die MT im November 2017 mit der Umsetzung dieses Projekts. Die produktive Einführung musste zwingend mit der Anwendung des EU-Gesetzes und dem damit verbundenen Strafenkatalog zum 25. Mai 2018 abgeschlossen sein. Der von der MT gewählte Weg der Pseudonymisierung der personenbezogenen Daten ermöglichte der CosmosDirekt ein Erhalt der Eindeutigkeit und der Entschlüsselbarkeit der Daten, etwa für Revisionsaufgaben. Die Herausforderung für die Umsetzung des Projektauftrags bestand darin, dass in einem historisch gewachsenen DWH nicht alle Datenstrecken umfassend dokumentiert waren. Hinzu kam der Einsatz vieler unterschiedlicher ETL-Technologien und die Verteilung der personenbezogenen Daten über viele Tabellen mit vielen Abhängigkeiten untereinander.

Vorgehen im Projekt

Im ersten Schritt analysierte die MT in einem Proof-of-Concept (PoC) die Machbarkeit der Pseudonymisierung innerhalb der heterogenen DWH-Landschaft. Durch die Analyse wurden die betroffenen Spalten identifiziert und klassifiziert. Darauf aufbauend wurden die Abhängigkeiten dargestellt und ein Plan für die Umsetzung des Projektauftrages erstellt. Die notwendigen Anpassungen für die Pseudonymisierung in den ETL-Strecken wurden durchgeführt und die vorhandenen Daten migriert. Zugriffe auf entschlüsselte, personenbezogene Daten in der Datenbank wurden auditierbar gemacht.

Projektergebnisse und Ausblick

Folgender Nutzen konnte für die CosmosDirekt durch die Umsetzung der EU-DSGVO erreicht werden:

  • Sicherheit
  • Verbesserte Zugriffskontrolle durch zusätzliche Sicherheitsstufe
  • Zugriffstransparenz durch Logging bzw. Auditierung
  • Außendarstellung
  • CosmosDirekt kann mit vertraulichem Umgang mit persönlichen Daten werben
  • Wettbewerbsvorteil: „Wir sind EU-DSGVO-konform“
  • Erhöhtes Vertrauen der Versicherten
  • Technologie

Durch Pseudonymisierung ist die Entschlüsselung der Daten weiterhin möglich

Auf der einen Seite stand das Projekt durch den vorgegebenen regulatorischen Zieltermin unter hohem Lieferdruck, der eingehalten werden konnte. Trotz des hohen Lieferdrucks ist hier eine Lösung entstanden, die wiederverwendbar ist. Durch die geschaffene Lösung konnten bereits Nachfolgeprojekte einfach und schnell umgesetzt werden.

Patric Becker
IT-Leiter, CosmosDirekt-Gruppe

Weitere spannende Projekte