Towards a Goal-Centric Assessment of Requirements Engineering Methods for Privacy by Design

Die Studie schlägt einen zielorientierten Bewertungsansatz für Requirements-Engineering-Methoden im Rahmen von Privacy by Design vor, um Organisationen bei der Auswahl passender Methoden zur Umsetzung der DSGVO zu unterstützen.

Das Wesentliche

Stellen Sie sich vor, Sie bauen ein riesiges, modernes Haus. Aber dieses Haus ist nicht nur für Menschen gedacht, sondern auch für sensible Daten – wie ein digitaler Tresor. Das Gesetz (die DSGVO/GDPR) sagt: „Bevor Sie den ersten Stein legen, müssen Sie den Tresor so planen, dass er von Anfang an sicher ist." Das nennt man Privacy by Design (Datenschutz durch Technikgestaltung).

Das Problem ist: Es gibt unzählige Baupläne und Werkzeuge (Methoden), die Ingenieure nutzen könnten, um diesen Tresor zu bauen. Aber wie weiß ein Bauherr (ein Unternehmen), welches Werkzeug das richtige für seine Ziele ist? Bisher haben die meisten nur auf die Werkzeuge selbst geschaut („Ist der Hammer gut?"), statt darauf, ob das Haus am Ende sicher und bewohnbar ist.

Dieser Papier ist wie ein neuer Kompass für Bauherren. Hier ist die Erklärung in einfachen Worten:

1. Das Problem: Der Werkzeugkasten ist verwirrend

Stellen Sie sich vor, Sie wollen ein Haus bauen, das gegen Überschwemmungen geschützt ist. Es gibt 100 verschiedene Methoden, wie man das macht. Manche sagen: „Nehmen Sie dicke Wände!", andere: „Bauen Sie auf Stelzen!"
Die Forscher haben festgestellt: Niemand weiß genau, welche Methode für welches Ziel am besten ist. Unternehmen nutzen oft improvisierte Lösungen („Ad-hoc"), weil es keine klare Anleitung gibt, wie man die Methoden vergleicht. Die bestehenden Checklisten fragen nur: „Haben Sie den Plan gemacht?", aber nicht: „Erreicht dieser Plan unser Ziel, die Daten sicher zu halten?"

2. Die Lösung: Vom Werkzeug zum Ziel

Die Autoren schlagen vor, die Frage zu ändern. Statt zu fragen: „Ist diese Methode gut?", sollten wir fragen: „Welches Ziel wollen wir erreichen?"

Stellen Sie sich vor, Sie bewerten einen Koch nicht danach, ob er ein scharfes Messer hat (das Werkzeug), sondern danach, ob das Essen am Ende schmeckt und gesund ist (das Ziel).
Die Forscher haben eine neue Methode entwickelt, die zielorientierte Bewertung genannt wird. Sie funktioniert in drei Schritten, wie ein Rezept:

• Schritt 1: Das Ziel (Der Hunger): Was wollen wir? (z. B. „Wir wollen, dass niemand unsere Daten stehlen kann" oder „Wir wollen, dass alle Mitarbeiter verstehen, was zu tun ist").
• Schritt 2: Die Fragen (Der Geschmackstest): Wie prüfen wir das? (z. B. „Können wir genau nachvollziehen, wer wann auf die Daten zugreift?").
• Schritt 3: Die Messung (Die Waage): Wie messen wir das? (z. B. „Wie viele Zugriffsprotokolle fehlen?").

3. Was haben sie herausgefunden? (Die Interviews)

Die Forscher haben mit echten Bauherren (Software-Ingenieuren, Anwälten, Sicherheitschefs) gesprochen.

• Die Erkenntnis: Die meisten Leute bauen noch immer mit improvisierten Methoden. Sie haben oft Schwierigkeiten zu erklären, warum sie etwas tun.
• Die wichtigsten Ziele: Die Leute wollen vor allem drei Dinge:
  1. Verständnis: Dass auch der Anwalt und der Programmierer die gleiche Sprache sprechen.
  2. Transparenz: Dass man genau sehen kann, wo die Daten sind und wie sie geschützt werden.
  3. Flexibilität: Dass das Haus umbaubar ist, falls sich das Gesetz ändert (wie ein Haus, das man leicht erweitern kann).

4. Der neue Kompass (Die Bewertungsmethode)

Die Autoren haben einen „Bauplan für die Bewertung" erstellt.

• Früher: Man hat geschaut: „Haben Sie eine Checkliste abgehakt?"
• Jetzt: Man schaut: „Hilft diese Methode uns, unsere Ziele zu erreichen?"

Sie haben 11 große Ziele identifiziert (wie „Risiken managen" oder „Gesetze verstehen") und dafür Fragen und Messungen entwickelt.
Das Testergebnis: Als sie diesen neuen Kompass den Bauherren zeigten, sagten die meisten: „Ja, das ist sinnvoll! Das hilft uns wirklich, die richtigen Entscheidungen zu treffen."

Zusammenfassung in einer Metapher

Stellen Sie sich vor, Sie sind ein Schiffskapitän (das Unternehmen).

• Die alten Methoden waren wie eine Liste von Werkzeugen im Schiffsraum: „Wir haben einen Kompass, ein Fernglas und eine Karte." Aber sie sagten nicht, ob Sie damit sicher ans Ziel kommen.
• Die neue Methode ist wie ein Navigationssystem, das fragt: „Wollen Sie nach London oder nach New York?"
  • Wenn Sie nach London wollen (Ziel: Datenschutz), zeigt es Ihnen, welche Route (Methode) am besten ist.
  • Es prüft nicht nur, ob Sie ein Fernglas haben, sondern ob Sie tatsächlich den Hafen erreichen.

Fazit: Dieses Papier sagt uns: Hört auf, nur auf die Werkzeuge zu schauen. Fangen Sie an, auf die Ziele zu schauen. Nur so können Unternehmen wirklich sichere Software bauen, die den Gesetzen entspricht.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Towards a Goal-Centric Assessment of Requirements Engineering Methods for Privacy by Design" auf Deutsch:

1. Problemstellung

Die Umsetzung von „Privacy by Design" (PbD) gemäß der Datenschutz-Grundverordnung (GDPR/DSGVO) im Software Engineering (SE) stellt eine wachsende Herausforderung dar. Obwohl die Anzahl der Anforderungen an die Anforderungsanalyse (Requirements Engineering, RE) steigt, fehlt es in der Praxis an systematischen Ansätzen zur Bewertung und Auswahl geeigneter RE-Methoden für die DSGVO-Konformität.

Die bestehenden Probleme lassen sich wie folgt zusammenfassen:

• Fehlende Bewertungskriterien: Es gibt keine konkreten Kriterien, um zu bestimmen, welche RE-Methode am besten zu den Zielen einer Organisation passt.
• Ad-hoc-Ansätze: Die Adoption von PbD-Methoden erfolgt oft unstrukturiert und ad-hoc.
• Unzureichende bestehende Frameworks: Gängige SE-Prozessbewertsmethoden (wie CMMI, SPICE/ISO 33061) fokussieren sich auf Prozess- oder Produkteigenschaften, berücksichtigen aber nicht die spezifischen rechtlichen Ziele der DSGVO oder die Notwendigkeit, regulatorische Anforderungen über den gesamten Software-Lebenszyklus (SDLC) hinweg zu integrieren.
• Zielkonflikte: Die Bewertung muss unternehmensweite Ziele (Enterprise Goals) berücksichtigen, was in aktuellen Ansätzen oft vernachlässigt wird.

2. Methodik

Die Autoren verfolgten einen gemischten Ansatz (Mixed-Methods), um einen zielzentrierten Bewertungsansatz zu synthetisieren und zu validieren. Die Studie gliederte sich in drei Hauptphasen:

1. Literaturanalyse (Literature Review):

   • Suche: Eine umfassende Suche in Scopus und Google Scholar ergab 2.260 einzigartige Studien.
   • Auswahl: Nach Filterung wurden sekundäre Studien (4), primäre Studien mit systematischer Bewertung (6) und primäre Studien mit nicht-systematischer Bewertung (60) analysiert.
   • Ziel: Identifikation bestehender Bewertungskriterien und Charakteristiken von RE-Methoden für PbD.

2. Interviews mit Praktikern:

   • Teilnehmer: 19 Experten aus verschiedenen Rollen (z. B. Tech Leads, Architekten, Datenschutzbeauftragte, Juristen) mit Erfahrung in RE und DSGVO.
   • Ansatz: Semi-strukturierte Interviews basierend auf dem „Goal-Question-Metric" (GQM)-Ansatz.
   • Ziel: Ermittlung der Wichtigkeit von Methoden-Charakteristiken (Ranking) und Identifikation der Ziele (Goals), die Praktiker im RE-Prozess für PbD verfolgen.

3. Synthese und Validierung:

   • Synthese: Entwicklung eines initialen Bewertungsansatzes, der auf den identifizierten Zielen (Goals) und den GQM-Prinzipien basiert.
   • Validierung: Ein „Walkthrough" und Screening des Ansatzes durch die Teilnehmer, um die Nützlichkeit (Usefulness) und Machbarkeit (Feasibility) der Komponenten (Ziele, Fragen, Metriken) zu bewerten.

3. Schlüsselbeiträge und Ergebnisse

A. Identifizierte RE-Methoden-Charakteristiken (MCs)

Basierend auf der Literaturanalyse wurden fünf grundlegende Charakteristiken für RE-Methoden im Kontext von PbD identifiziert:

1. MC1: Erfassung von Rechtsdomänenwissen: Notwendig, um rechtliche Konzepte zu verstehen und die Lücke zwischen juristischen und technischen Perspektiven zu schließen.
2. MC2: Nachverfolgbarkeit & Konsistenz: Wichtig für Zertifizierung und den Nachweis der Konformität.
3. MC3: Trennung von Compliance- und Nicht-Compliance-Anliegen: Um Konflikte mit bestehenden SE-Methoden (z. B. Outsourcing) zu vermeiden.
4. MC4: Transparenz der Systemspezifikation: Ermöglicht die Einbindung von Stakeholdern und unterstützt Risikomanagement.
5. MC5: Flexibilität der Systemspezifikation: Ermöglicht Anpassungen an sich ändernde Regularien oder Software.

Ranking der Wichtigkeit (durch Praktiker):
Die Praktiker stuften MC1 (Rechtliches Wissen) und MC2 (Nachverfolgbarkeit) als am wichtigsten ein, gefolgt von MC4, MC5 und MC3.

B. Zielzentrierter Bewertungsansatz (Goal-Centric Approach)

Der Kernbeitrag ist ein neuer Bewertungsrahmen, der nicht nur Prozessmerkmale, sondern Ziele in den Mittelpunkt stellt.

• Struktur: Der Ansatz folgt dem GQM-Modell auf drei Ebenen:
  1. Konzeptionell: 11 übergeordnete Ziele (MGs) und 32 Unterziele (Subgoals). Beispiele: „GDPR-Konformität im gesamten SDLC erleichtern", „Verständlichkeit der DSGVO gewährleisten", „Entscheidungsfindung ermöglichen".
  2. Operativ: 148 Fragen, die prüfen, ob die Ziele erreicht werden.
  3. Quantitativ: 172 Metriken und Kriterien zur Beantwortung der Fragen.
• Flexibilität: Der Ansatz erlaubt es Organisationen, relevante Ziele auszuwählen und den Bewertungsumfang entsprechend zu skalieren (Tailoring).

C. Validierungsergebnisse

Die Validierung durch die Teilnehmer ergab eine hohe Zustimmung:

• Nützlichkeit: 90–100 % der Unterziele, 92–99 % der Fragen und 87–99 % der Metriken wurden als nützlich bewertet.
• Machbarkeit: Die Bewertung der Machbarkeit variierte stärker (z. B. 44–92 % bei Metriken), wobei einige Aspekte (wie „Kommunikation in einer gemeinsamen Sprache") als schwer messbar oder umsetzbar wahrgenommen wurden.
• Fazit: Die Idee eines zielzentrierten Ansatzes wurde positiv aufgenommen, da Praktiker oft Schwierigkeiten haben, ihre Praktiken direkt über Methoden-Charakteristiken zu beschreiben, aber klare Ziele verfolgen.

4. Signifikanz und Implikationen

Das Paper liefert einen wichtigen Beitrag zur Schnittstelle von Recht und Softwaretechnik:

• Paradigmenwechsel: Es schlägt vor, RE-Methoden für PbD nicht primär nach Prozessmerkmalen, sondern nach ihrem Beitrag zu organisatorischen Zielen zu bewerten.
• Praxisrelevanz: Der Ansatz bietet Organisationen einen Leitfaden zur Auswahl, Anpassung (Tailoring) und Entwicklung von RE-Praktiken für die DSGVO-Konformität.
• Brückenfunktion: Der Ansatz integriert juristische Anforderungen (GDPR) direkt in die Anforderungsanalyse und Systemarchitektur, anstatt sie isoliert zu betrachten.
• Offene Daten: Die Autoren stellen die Daten und den Bewertungsrahmen öffentlich zur Verfügung (Zenodo), um die Weiterentwicklung durch die Community zu fördern.

Zusammenfassend adressiert das Paper die Lücke zwischen der theoretischen Notwendigkeit von PbD und der praktischen Unzulänglichkeit bestehender Bewertungsmethoden, indem es einen strukturierten, zielorientierten Rahmen für die Bewertung von Requirements Engineering-Methoden bereitstellt.