2025-11-11T16:58:09.760494

Privacy by Design: Aligning GDPR and Software Engineering Specifications with a Requirements Engineering Approach

Kosenkov, Zabardast, Fucci et al.
Context: Consistent requirements and system specifications are essential for the compliance of software systems towards the General Data Protection Regulation (GDPR). Both artefacts need to be grounded in the original text and conjointly assure the achievement of privacy by design (PbD). Objectives: There is little understanding of the perspectives of practitioners on specification objectives and goals to address PbD. Existing approaches do not account for the complex intersection between problem and solution space expressed in GDPR. In this study we explore the demand for conjoint requirements and system specification for PbD and suggest an approach to address this demand. Methods: We reviewed secondary and related primary studies and conducted interviews with practitioners to (1) investigate the state-of-practice and (2) understand the underlying specification objectives and goals (e.g., traceability). We developed and evaluated an approach for requirements and systems specification for PbD, and evaluated it against the specification objectives. Results: The relationship between problem and solution space, as expressed in GDPR, is instrumental in supporting PbD. We demonstrate how our approach, based on the modeling GDPR content with original legal concepts, contributes to specification objectives of capturing legal knowledge, supporting specification transparency, and traceability. Conclusion: GDPR demands need to be addressed throughout different levels of abstraction in the engineering lifecycle to achieve PbD. Legal knowledge specified in the GDPR text should be captured in specifications to address the demands of different stakeholders and ensure compliance. While our results confirm the suitability of our approach to address practical needs, we also revealed specific needs for the future effective operationalization of the approach.
academic

Datenschutz durch Design: Ausrichtung von GDPR und Software-Engineering-Spezifikationen mit einem Requirements-Engineering-Ansatz

Grundlegende Informationen

  • Papier-ID: 2510.21591
  • Titel: Privacy by Design: Aligning GDPR and Software Engineering Specifications with a Requirements Engineering Approach
  • Autoren: Oleksandr Kosenkov, Ehsan Zabardast, Davide Fucci, Daniel Mendez, Michael Unterkalmsteiner
  • Klassifizierung: cs.SE (Software Engineering)
  • Veröffentlichungsdatum: 31. Oktober 2025 (arXiv v2)
  • Papierlink: https://arxiv.org/abs/2510.21591

Zusammenfassung

Diese Forschung untersucht einen Requirements-Engineering-Ansatz für Datenschutz durch Design (Privacy by Design, PbD) zur Bewältigung von Konsistenzproblemen zwischen Anforderungen und Systemspezifikationen bei der GDPR-Compliance. Durch Literaturübersicht und Praktiker-Interviews wurden Spezifikationsziele identifiziert und eine integrierte Methode zur Anforderungs- und Systemspezifikation vorgeschlagen, die auf der Modellierung ursprünglicher GDPR-Rechtskonzepte basiert. Die Ergebnisse zeigen die Wirksamkeit des Ansatzes beim Erfassen von Rechtskenntnissen, bei der Unterstützung von Spezifikationstransparenz und Rückverfolgbarkeit.

Forschungshintergrund und Motivation

Problemdefinition

  1. Kernproblem: Bestehende GDPR-Compliance-Methoden behandeln die komplexen Wechselwirkungen zwischen Requirements Engineering (RE) und Software-Design-Architektur (SDA) nicht systematisch, was zu mangelnder Konsistenz und Rückverfolgbarkeit bei der PbD-Implementierung führt.
  2. Problemrelevanz:
    • Artikel 25 der GDPR fordert „Datenschutz durch Design", was die Einbettung von Datenschutzkontrollen in der Designphase erfordert
    • Regelkonformität beeinflusst mehrere Phasen des Software-Entwicklungslebenszyklus (SDLC)
    • GDPR betrifft heterogene Softwareaspekte (Softwarequalität und Benutzerverhalten)
  3. Einschränkungen bestehender Methoden:
    • Mangel an systematischem Anforderungs- und Systemspezifikationsansatz (R&S)
    • Bestehende Forschung konzentriert sich hauptsächlich auf eine einzelne Perspektive von RE oder SDA
    • Unzureichende Transparenz bei der Regelauslegung, fehlende Brücke zwischen Rechts- und Engineeringperspektive
  4. Forschungsmotivation:
    • Etablierung von Rückverfolgbarkeitskonnektionen zwischen GDPR-Text und Engineering-Spezifikationen
    • Unterstützung von Zusammenarbeit zwischen verschiedenen Stakeholdern
    • Bereitstellung einer systematischen Methode zur Erfassung von Rechtskenntnissen

Kernbeiträge

  1. Identifikation von fünf Hauptzielen der R&S-Spezifikation zur Charakterisierung des für PbD erforderlichen R&S-Spezifikationsansatzes
  2. Bereitstellung einer Übersicht über Praktiker-Spezifikationsziele, die die Ziele offenbaren, die Praktiker bei der Anwendung von R&S-Spezifikationsmethoden anstreben
  3. Vorschlag einer systematischen Methode zur Inhaltsmodellierung von R&S-Spezifikationen mit vorläufiger Bewertung
  4. Etablierung systematischer Verbindungen zwischen Rechtskenntnissen und Software-Spezifikationen, die die Systematisierung integrierter Anforderungs- und Systemspezifikationen für PbD fördern

Methodische Details

Forschungsmethodischer Rahmen

Diese Forschung nutzt eine Mischmethod, bestehend aus vier Hauptphasen: Literaturübersicht (LR), Synthese von Kandidatenmethoden (CA), halbstrukturierte Interviews (IN) und Konzeptbewertung (EV).

Literaturübersichtsmethode

  1. Dreiteilige Literaturübersicht:
    • Tertiäre Forschung: Suche und Analyse von Sekundärforschung
    • Sekundäre Forschung: Analyse von aus Sekundärforschung ausgewählten Hauptstudien
    • Ergänzende Literaturübersicht: Ergänzung der Ergebnisse der ersten beiden Phasen
  2. Forschungsfragen:
    • RQ1: Forschungsstand zu PbD und R&S-Spezifikation
    • RQ2: Von bestehenden Methoden abgeleitete Anforderungs- und Systemkomponenten
    • RQ3: Spezifikationsziele, die R&S-Spezifikation erreichen muss

Kandidatenmethodendesign

Konzeptionelles Modell

Ein dreischichtiges konzeptionelles Modell basierend auf Rechtskonzepten wurde entwickelt:

  1. Rechtliches Objekt (Legal Object): Materielle oder immaterielle Entitäten, die an Rechtsbeziehungen oder -handlungen beteiligt sind
  2. Regulierungsziel (Target of Regulation): Bestehende Softwaresystemkomponenten, in Vorschriften erwähnte Organisationsprozesse
  3. Compliance-Kontrolle (Compliance Control): Neue oder bestehende Komponenten und Prozesse zur Behandlung von Regulierungszielen
  4. Kriterium (Criterion): Aus rechtlicher Perspektive akzeptable Attribute von Compliance-Kontrollen und/oder Regulierungszielen

Abstraktionsebenen

  • Anforderungsspezifikationsebene: Enthält Konzepte, die nicht spezifisch für Systemebenen-Spezifikationen sind und zusätzliche Erklärung erfordern
  • Systemspezifikationsebene: Enthält Konzepte, die direkt mit dem System verbunden sind und keine zusätzliche Erklärung erfordern

Interviewmethodendesign

Teilnehmerauswahl

  • Verwendung von Zweckstichproben und Schneeballverfahren
  • 12 Teilnehmer aus 8 Unternehmen verschiedener Größen
  • Abdeckung von Rollen wie technische Leiter, Architekten, Datentechniker, Sicherheitsadministratoren

Datenerfassung

Strukturierte Interviews mit der Goal-Question-Metric (GQM)-Methode:

  • Konzeptuelle Ebene: Definition der zu erreichenden Ziele
  • Operative Ebene: Definition von Fragen zur Bewertung der Zielerreichung
  • Quantitative Ebene: Definition von Metriken oder Daten, die zur Beantwortung von Fragen erforderlich sind

Experimentelle Einrichtung

Literaturübersichts-Einrichtung

  • Suchbereich: Scopus-Datenbank
  • Suchstrategie: Systematische Suche und Schneeballverfahren
  • Auswahlkriterien: Berücksichtigung von RE und SDA, Bericht über R&S-Spezifikation, Englisch, Peer-Review

Interview-Einrichtung

  • Interviewdauer: Durchschnittlich 60-90 Minuten
  • Interviewformat: Kombination aus Online- und Offline-Formaten
  • Datenanalyse: Kodierung mit Taguette-Tool, deduktive Kodierungsmethode

Bewertungsexperiment-Einrichtung

  • Teilnehmer: 9 Teilnehmer aus der Interviewgruppe rekrutiert
  • Aufgabendesign: GDPR-Artikel-Annotation und Spezifikationsinhaltsmodellkonstruktion
  • Bewertungskriterien: Vergleich mit von den Autoren etabliertem Grundwahrheitswert

Experimentelle Ergebnisse

Spezifikationsziel-Identifikationsergebnisse

Fünf Kernspezifikationsziele (SO) wurden durch Literaturübersicht identifiziert:

  1. SO1: Erfassung von Rechtskenntnissen und -zielen (Wichtigkeitsrang: 1, Median-Bewertung: 5)
  2. SO2: Rückverfolgbarkeit und Konsistenz von Spezifikationen (Wichtigkeitsrang: 2, Median-Bewertung: 4)
  3. SO3: Trennung von Compliance- und Nicht-Compliance-Belangen (Wichtigkeitsrang: 5, Median-Bewertung: 1)
  4. SO4: Transparenz und Übersicht von Systemspezifikationen (Wichtigkeitsrang: 3, Median-Bewertung: 4,5)
  5. SO5: Spezifikationen zur Unterstützung von Systemflexibilität (Wichtigkeitsrang: 4, Median-Bewertung: 4)

Hauptergebnisse aus Praktiker-Interviews

  1. Statusanalyse: Die meisten Praktiker verwenden keine speziellen PbD-R&S-Spezifikationsmethoden, sondern nutzen Ad-hoc-Methoden und Wiederverwendung bestehender Methoden
  2. Anforderungen an Schlüsselmerkmale:
    • Unterstützung der Implementierung von GDPR-Compliance-Kontrollen
    • Trennung und Verfolgung regulierter Datentypen
    • Konkretisierung von GDPR-Spezifikationen
    • Förderung der Verständlichkeit und Erklärbarkeit von GDPR
  3. Wichtigkeit von Spezifikationszielen: SO1 (Erfassung von Rechtskenntnissen) wird als am wichtigsten bewertet, gefolgt von SO2 (Rückverfolgbarkeit) und SO4 (Transparenz)

Bewertungsergebnisse der Kandidatenmethode

Bewertung der Anwendungsfähigkeit (RQ8)

  • Praktiker können die Kandidatenmethode nur begrenzt nutzen
  • Von 90 Annotationen (9 Teilnehmer × 10 Benchmark-Annotationen) wurden 29 nicht identifiziert
  • Von 61 identifizierten Annotationen waren nur 19 vollständig korrekt identifiziert

Bewertung der Methodennützlichkeit (RQ9)

Bewertungsergebnisse für verschiedene Spezifikationsziele (Median-Bewertung):

  • SO1 (Erfassung von Rechtskenntnissen): 5 (nützlich)
  • SO4 (Spezifikationstransparenz): 5 (nützlich)
  • SO2 (Rückverfolgbarkeit): 4 (möglicherweise nützlich)
  • SO5 (Systemflexibilität): 4 (möglicherweise nützlich)
  • SO3 (Belang-Trennung): 2 (möglicherweise nicht nützlich)

Komponentenvergleichsergebnisse (RQ10)

Im Vergleich zu bestehenden Methoden identifiziert die Kandidatenmethode mehr Anforderungs- und Systemkomponenten:

  • Anforderungen: 15 vs. maximal 13 (andere Methoden)
  • Systemkomponenten: 13 vs. maximal 10 (andere Methoden)

Wichtigste experimentelle Erkenntnisse

  1. Bedeutung der Erfassung von Rechtskenntnissen: Praktiker sind sich einig, dass die Erfassung von Rechtskenntnissen das wichtigste Spezifikationsziel ist
  2. Komplexität der Rückverfolgbarkeit: Verschiedene Rollen haben unterschiedliche Anforderungen an Rückverfolgbarkeit, wobei technische Rollen sich mehr auf Rückverfolgbarkeit zwischen R&S-Spezifikationen konzentrieren
  3. Transparenz und Kommunikation: Spezifikationstransparenz ist für verschiedene Stakeholder gleich wichtig, aber die erforderliche Informationsgranularität unterscheidet sich
  4. Herausforderungen bei der Methodenimplementierung:
    • Schwierigkeiten bei der Behandlung von Synonymen im GDPR-Text
    • Komplexität der Identifikation relevanter Konzepte
    • Unsicherheit von Praktikern bei Annotationen und Modellierungsergebnissen

Verwandte Arbeiten

GDPR-Compliance-Softwareengineering-Forschung

  • Die meisten Studien konzentrieren sich auf Geschäftsprozess-Compliance, unabhängige Lösungen oder Datenkontrollmechanismen
  • Mangel an Forschung zur Integration von GDPR-Compliance in alle SDLC-Phasen

Datenschutz durch Design in der Softwaretechnik

  • Bestehende Forschung verfolgt meist eine einzelne Perspektive von RE oder SDA
  • Mangel an systematischem Ansatz zur Behandlung von GDPR als PbD-Anforderungsquelle

Anforderungs- und Systemspezifikation für GDPR-Compliance

  • Sehr wenige Studien berücksichtigen gleichzeitig R&S-Spezifikationen
  • Bestehende Methoden fehlt ein transparenter Prozess zur Ableitung von Anforderungs- und Systemspezifikationen

Regelmodellierung für GDPR-Compliance

  • Die meisten Studien konzentrieren sich auf Rechtsinformatik und GDPR-Modellierung für RE-Zwecke
  • Mangel an systematischem Ansatz zur Behandlung von GDPR-Text zur Ableitung entsprechender Modelle

Schlussfolgerungen und Diskussion

Hauptschlussfolgerungen

  1. Notwendigkeit gemeinsamer Spezifikation: Vier Spezifikationsziele (SO1, SO2, SO3, SO4) müssen durch gemeinsame Realisierung von R&S-Spezifikationen erreicht werden
  2. Zentrale Rolle der Rückverfolgbarkeit: Rückverfolgbarkeit ist ein Schlüsselspezifikationsziel zur Gewährleistung von PbD, erfordert aber Unterstützung durch Spezifikationstransparenz und Rechtskenntnisse
  3. Wirksamkeit der Rechtskonzeptmodellierung: Die auf der Modellierung ursprünglicher GDPR-Rechtskonzepte basierende Methode zeigt Wirksamkeit beim Erfassen von Rechtskenntnissen und bei der Förderung von Spezifikationstransparenz
  4. Bedeutung von Abstraktionsebenen: GDPR-Anforderungen müssen auf verschiedenen Abstraktionsebenen des Engineering-Lebenszyklus behandelt werden, um PbD zu realisieren

Einschränkungen

  1. Komplexität der Methodenimplementierung: Praktiker haben Schwierigkeiten, das konzeptionelle Modell effektiv zur Annotation von GDPR-Text und Konstruktion von Spezifikationsinhaltsmodellen anzuwenden
  2. Begrenzte Bewertungsreichweite: Die Bewertung umfasst nur Auszüge aus vier GDPR-Artikeln und erfordert weitere Validierung in echten Industrieumgebungen
  3. Operationalisierungsherausforderungen: Weitere Forschung ist erforderlich, um die vorgeschlagene Methode in Industrieumgebungen effektiv zu operationalisieren
  4. Repräsentativität der Teilnehmer: Obwohl verschiedene Rollen abgedeckt werden, ist die Stichprobengröße relativ begrenzt

Zukünftige Richtungen

  1. Methodenoperationalisierung: Entwicklung von Vorlagen oder Werkzeugen zur Unterstützung der Methodenimplementierung in verschiedenen Organisationsumgebungen und Engineering-Modellen
  2. Erweiterung des Anwendungsbereichs: Anwendung der Methode auf Zusatzressourcen zur GDPR-Ergänzung sowie auf andere Vorschriften, die Compliance-Design erfordern
  3. Fallstudien-Bewertung: Durchführung fallstudienbasierter Bewertungen in Industrieumgebungen zur Validierung der Methodenunterstützung bei der Erreichung von Spezifikationszielen
  4. Rollenspezifische Forschung: Untersuchung von Unterschieden in der Wahrnehmung der Wichtigkeit bestimmter Spezifikationsziele durch spezifische Softwareengineering-Rollen

Tiefgreifende Bewertung

Stärken

  1. Systematischer Ansatz: Bietet den ersten systematischen Ansatz zur Behandlung der R&S-Spezifikationsbeziehung in GDPR-Compliance und füllt eine wichtige Forschungslücke
  2. Solide empirische Grundlage: Die Mischmethod aus Literaturübersicht, Praktiker-Interviews und Konzeptbewertung bietet umfassende empirische Unterstützung
  3. Hoher praktischer Wert: Die identifizierten Spezifikationsziele und Praktiker-Erkenntnisse bieten konkrete Orientierung für die Praxis
  4. Methodische Innovation: Die auf Rechtskonzepten basierende Inhaltsmodellierungsmethode ist innovativ und kann direkte Verbindungen zwischen Rechtstext und Engineering-Spezifikationen herstellen
  5. Hohe Transparenz: Der Forschungsprozess und die Daten sind transparent und offen, was die Reproduzierbarkeit der Ergebnisse unterstützt

Mängel

  1. Methodenkomplexität: Die vorgeschlagene Methode ist für Praktiker schwierig anzuwenden und erfordert doppelte Fachkompetenz in Recht und Technik
  2. Begrenzte Bewertungstiefe: Die Konzeptbewertung basiert hauptsächlich auf Dokumentenfilterung und einfachen Experimenten, es fehlt tiefe Validierung in echten Projektumgebungen
  3. Stichprobengröße: Die Anzahl der Interview-Teilnehmer ist relativ begrenzt (12 Personen), was die Allgemeingültigkeit der Ergebnisse beeinflussen kann
  4. Regelabdeckungsbereich: Konzentriert sich hauptsächlich auf GDPR-Kernkonzepte, die Abdeckung anderer wichtiger Regelbestimmungen könnte unvollständig sein

Auswirkungen

  1. Akademischer Beitrag: Bietet einen wichtigen theoretischen Rahmen und empirische Grundlage für die Bereiche Datenschutz-Engineering und Requirements Engineering
  2. Praktische Orientierung: Bietet Softwareentwicklern konkrete Spezifikationsziele und Methodenorientierung für GDPR-Compliance
  3. Politische Auswirkungen: Forschungsergebnisse können als Referenz für relevante Politikgestaltung und Standardentwicklung dienen
  4. Zukünftige Forschung: Bietet eine solide Grundlage und klare Entwicklungsrichtungen für nachfolgende Forschung

Anwendungsszenarien

  1. Softwareentwicklungsorganisationen: Softwareentwicklungsteams und Organisationen, die GDPR-Compliance implementieren müssen
  2. Requirements-Engineering-Praxis: Requirements-Engineering-Projekte mit regulatorischen Compliance-Anforderungen
  3. Datenschutz-Engineering: Engineering-Projekte, die systematische Behandlung von Datenschutzanforderungen erfordern
  4. Regelkonformitätsberatung: Fachleute, die Unternehmen bei GDPR-Compliance-Beratung unterstützen

Literaturverzeichnis

Das Papier zitiert umfangreiche verwandte Literatur, hauptsächlich einschließlich:

  1. GDPR-Compliance-Forschung: Leite et al. (2022), Kempe & Massey (2021)
  2. Datenschutz-Design-Theorie: Cavoukian (2012), Gürses et al. (2011)
  3. Requirements-Engineering-Methoden: Kitchenham (2007), Runeson et al. (2009)
  4. Software-Architektur-Forschung: Bass et al. (2006), Galster et al. (2009)
  5. Rechtsinformatik: Palmirani et al. (2018), Robaldo et al. (2024)

Dieses Papier leistet wichtige Beiträge im Bereich Datenschutz-Engineering und GDPR-Compliance, bietet einen systematischen theoretischen Rahmen und praktische Methoden und legt eine solide Grundlage für die weitere Entwicklung dieses Bereichs. Obwohl die Methodenoperationalisierung noch weiter verbessert werden muss, sind sein Forschungswert und seine praktische Bedeutung unbestreitbar.