Softwaretest mit Echtdaten?

webanalyse 07
Fachbeitrag

In der täglichen Beratung erreichen uns häufig Anfragen, ob in einem Softwareprojekt auch mit “Echtdaten” zu Testzwecken gearbeitet werden kann und vor allem darf.

Bei IT-Projekten, gerade im Bereich der Softwareerstellung, oder auch im Bereich von Datenbankanwendungen, wird häufig der Bedarf nach Echtdaten zu Testzwecken geäußert. Dies wird zum einen damit begründet, dass nur mit den Echtdatensätzen gefütterte Datenbanken sich so auch im Testverfahren so verhalten, wie später im Echtbetrieb. Zum anderen aber auch mit der meist notwendigen schieren Masse an Datensätzen für Testzwecke.

Warum geht das nicht einfach, wenn die Daten doch sogar im selben Unternehmen bleiben?

Zunächst soll im Rahmen dieses Artikels davon ausgegangen werden, dass die benötigten Daten nicht an einen externen Entwickler weitergegeben, bzw. übermittelt werden. Dies hätte nämlich zahlreiche weitere datenschutzrechtliche Probleme zur Folge (z.B. Erforderlichkeit des Abschlusses einer ergänzenden Vereinbarung über die Auftragsdatenverarbeitung). Doch auch innerhalb des Unternehmens können und dürfen die vorhandenen Echtdaten, z.B. die Kundendatenbank nicht einfach zu Testzwecken an die IT weitergegeben werden.

IT-Sicherheit

Zunächst einmal muss auch innerhalb der Testsysteme sichergestellt werden, dass zu Testzwecken übermittelte Echtdaten mit denselben Maßstäben an die technischen und organisatorischen Maßnahmen behandelt werden. Es darf kein “weniger” an Schutz für die Testdaten geben, weil diese halt keine “Fake-Daten”, sondern echte personenbezogene Daten sind, an deren Umgang das BDSG strenge Maßstäbe gerade auch im Hinblick auf die IT-Sicherheit setzt (vgl. §9 BDSG und dessen Anlage). Besonders ist hierbei zu beachten, wer im Laufe des Projektes einen Zugriff auf die Daten nehmen kann und an wen und zu welchen Zwecken diese ggf. weitergegeben werden. Sind externe Dienstleister und / oder Softwareentwickler betroffen, kann auch eine ergänzende Datenschutzvereinbarung über die Auftragsdatenverarbeitung erforderlich sein, oder gar eine unzulässige Datenübermittlung vorliegen.

Zweckbindung

Insbesondere muss auch der datenschutzrechtliche Grundsatz der Zweckbindung beachtet werden.

  • Jeder Datenverarbeitung muss ein bestimmter Zweck zugrunde liegen. Dieser muss auch schon vor der Verarbeitung festgelegt und am besten dokumentiert worden sein. Nur zu diesem zuvor ursprünglich festgelegten, nicht jedoch zu einem anderen Zweck darf eine Verarbeitung und Nutzung erfolgen.?Eine Ausnahme bildet wieder die vorher erteilte freiwillige Einwilligung des Betroffenen.

Eine Datenverarbeitung zu einem anderen als dem ursprünglich festgelegten Zweck ist als Zweckänderung oder Zweckdurchbrechung nur auf gesetzlicher Grundlage oder mit Einwilligung des Betroffenen zulässig. Eine Einwilligung der Betroffenen, hier der Kunden aus der Kundendatenbank, zur Verwendung ihrer Daten zu Testzwecken wird in der Regel nicht vorliegen. Daher muss eine Interessenabwägung nach §28 BDSG vorgenommen werden.

Erforderlichkeit

Die Datenverarbeitung muss zudem erforderlich sein. Dabei wird der Begriff „erforderlich“ im BDSG an mehreren Stellen verwendet und kann dabei auch unterschiedliche Bedeutungen haben.

  • Grundsätzlich ist etwas nur dann erforderlich, wenn es zur Zweckerreichung das mildeste Mittel ist.

Das heißt dass kein anderes Mittel zur Verfügung stehen darf, das zur Erreichung des Zwecks genauso gut geeignet wäre, ohne jedoch zu sehr in die Rechte des Betroffenen einzugreifen. Nur wenn kein milderes Mittel in Betracht kommt, eben z.B. das Einspielen von Fake-Daten, oder auch anonymisierten Daten, kommt eine Verwendung der Echtdaten zu Testzwecken weiter in Betracht.

Ein Hinweis am Ende des Artikels nicht fehlen, selbstverständlich fordern die technischen und organisatorischen Maßnahmen des §9 BDSG eine Trennung von Produktiv- und Testsystem.  Eine Lösung ist damit nicht das Testen im Livebetrieb.

Fragen Sie Ihren Datenschutzbeauftragten, sollten Sie wirklich keine andere Lösung finden, als Echtdaten zu verwenden!

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.