Prozess für automatisiertes Generieren einer datenschutzrechtlicher Systemrepräsentation
| Typ | Bachelorarbeit oder Masterarbeit oder Hilfskräfte | |
|---|---|---|
| Aushang | Aushang Abschlussarbeit Konsistenz SA DSGVO.pdf | |
| Betreuer | Wenden Sie sich bei Interesse oder Fragen bitte an: Nicolas Boltz (E-Mail: nicolas.boltz@kit.edu, Telefon: +49-721-608-45997) |
Motivation
Die Digitalisierung erreicht immer mehr Aspekte unseres täglichen Lebens und ermöglicht es uns, intelligente, vernetzte Geräte zu bauen und dadurch verschiedene gesellschaftliche Probleme auf effiziente Weise zu lösen. Ein Wegbereiter der Digitalisierung ist der Datenaustausch zwischen verschiedenen Systemen. In diesem Zusammenhang enthalten die von intelligenten Geräten gesammelten Daten oft persönliche Informationen. Im Zuge des Datenaustauschs können diese Daten an verschiedene Zielstellen mit unterschiedlichen Verantwortungsbereichen, Verarbeitungszwecken und physischen Standorten weitergeleitet und weiterverarbeitet werden.
Dabei ist der Schutz personenbezogener Daten zu einem immer wichtigeren Thema geworden. Rechtsnormen, die sich auf den Datenschutz konzentrieren, wie z. B. die EU-Datenschutzgrundverordnung (DSGVO), enthalten rechtsverbindliche Anforderungen für Systeme, die personenbezogene Daten verarbeiten. Artikel 25 der GDPR verweist auf die Verpflichtung zu Data Protection by Design and Default. Dies kann dadurch erreicht werden, dass in den frühen Phasen der Systementwicklung eine rechtliche Bewertung durchgeführt und gegebenenfalls Datenschutzkonzepte umgesetzt werden. Dies knüpft an Artikel 35 an, der sich auf die Verpflichtung bezieht, rechtliche Bewertungen vor der eigentlichen Verarbeitung von Daten durchzuführen.
Das manuelle Ableiten einer Systemdarstellung für Rechtsexperten während einer Bewertung ist jedoch mühsam und erfordert oft eine enge Zusammenarbeit zwischen Rechtsexperten und Softwarearchitekten. Da sich die Softwarearchitektur in den frühen Phasen der Entwicklung häufig und erheblich ändern kann, können diese Darstellung und die damit verbundene rechtliche Bewertung schnell veraltet sein. Durch die Bereitstellung eines Frameworks, das beide Systemrepräsentationen miteinander konsistent hält, kann der Rechtsexperte die rechtliche Bewertung während des gesamten Entwicklungsprozesses des Systems durchführen und so relevante Gutachten und datenschutzrechtliche Maßnahmen sicherstellen.
Aufgabenstellung
Das Ziel dieser Arbeit ist es, ein Mapping zwischen einem bestehenden Softwarearchitekturmodell und einer Datenschutzsystemdarstellung zu definieren. Das Mapping soll als Grundlage für die Implementierung einer Modell-zu-Modell-Transformation/Konsistenzregeln verwendet werden. Die resultierende Implementierung soll anhand von Fallstudien evaluiert werden.
Motivation
Digitization reaches more and more aspects of our daily life, enabling us to build smart interconnected devices and thereby efficiently solve various societal problems. One enabler of digitization is the data exchange between different systems. In this context, the data collected by smart devices often contains personal information. In the process of data exchange, this data can be passed on to and further processed by various target destinations, with different areas of accountability, processing purposes, and physical facilities.
The protection of personal data has become an increasingly important issue. Legal norms focused on data protection, such as the EU General Data Protection Regulation (GDPR), provide legally binding requirements for systems that process personal data. Article 25 of the GDPR refers to the obligation to Data Protection by Design and Default. This can be achieved by conducting legal assessments of the system in the early stages of development and implementing data protection concepts where necessary. This ties in with Article 35, which refers to an obligation to conduct legal assessments before the actual processing of data.
However, manually deriving a system representation for legal experts is tedious and often requires close collaboration between legal experts and software architects. Since the software architecture can change frequently and significantly in the early stages of development, this representation and the associated legal assessment can become outdated quickly. By providing a framework, which keeps both system representations consistent with each other, the legal expert can carry out the legal assessment throughout the entire development process of the system, ensuring relevant legal opinions and privacy-preserving actions.
Task
The goal of this thesis is to define a mapping between an existing software architecture model and data protection system representation. The mapping should be used as the basis for the implementation of a model to model transformation/consistency rules. The resulting implementation should be evaluated based on case studies.