Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepage

Test mit Echtdaten und der Datenschutz

4. Oktober 2016/von Datenschutzbeauftragter/tma

[Update 2019]

Offenbar hat die Aufsichtsbehörde Hamburg „aufgeräumt“ und alte (veraltete) Inhalte entfernt. Daher sind die in diesem Artikel verlinkten Dokumente und/oder Seiten nicht mehr aufrufbar.

[Update Ende]

Es gibt keine fehlerfreie Software. Was hier wie eine Anklage klingt, ist so natürlich nicht gemeint. Vielmehr ist es Fakt und eines der großen Themen der Informatik.

Wer testet gerne?

Um damit umzugehen, dass Software eigentlich immer Fehler enthält, wird getestet, verbessert und wieder getestet. Sowohl im Rahmen der Software-Entwicklung, als auch im Rahmen der Freigabe von Software erfolgen diese Prozesse. Dabei gibt es ein großes Problem: Testen ist häufig notwendiges Übel, gilt als unkreativ und destruktiv und ist damit in vielen Fällen ein ungeliebtes Kind.

Testen ist nicht einfach

Neben der Tatsache, dass nur die wenigsten Softwareentwickler wirklich gerne testen und auch Fachabteilungen für die Abnahme von Software meist nur die absolut notwendigen Ressourcen zur Verfügung stellen (können), gibt es beim Test weitere Probleme:

  • Testet man mit künstlich erzeugten Datenbeständen, so lassen sich manche Fehler gar nicht entdecken, da künstlich erzeugte Datenbestände häufig automatisiert erzeugt werden und damit häufig ungewollt einem Muster folgen.
  • Tests von Massendatenverarbeitungen können häufig nicht unter Echt-Bedingungen durchgeführt werden. So stehen  genügend Testdaten zur Verfügung stehen oder die Testsysteme nicht die gleiche Rechenleistung bieten, wie die späteren Produktivsysteme, so dass sich das Laufzeitverhalten einer Anwendung ggf. erst im Rahmen des tatsächlichen Betriebs offenbart.

Ist Test mit Echtdaten die Lösung?

Eine Lösung für diese Probleme ist häufig der Test mit Echtdaten. Es wird ein Abzug der produktiven Datenbank in die Test- und/oder Abnahmeumgebung kopiert und die Tests werden mit diesen Daten durchgeführt. Aus Sicht der Softwareentwicklung und der Tester eine effiziente, zeitsparende, bequeme und praktikable Lösung.

Was sagt der Datenschutzbeauftragte dazu?

Grundsätzlich ist es schon einmal positiv, wenn der Datenschutzbeauftragte überhaupt davon erfährt, denn in den meisten Fällen geschehen diese Tests nämlich am Datenschutzbeauftragten vorbei. Dabei wollen wir hier gar keinen bösen Willen unterstellen. Erfahrungsgemäß liegt die Nicht-Beteiligung der Datenschutzbeauftragten nämlich im Unwissen der für den Test verantwortlichen Personen darüber, dass bei allen Verfahren, die mit personenbezogenen Daten durchgeführt werden, der Datenschutzbeauftragte einzubeziehen ist.

Zweckbindung

Wird der Datenschutzbeauftragte einbezogen, so wird er auf die Zweckbindung hinweisen. Das BDSG (§ 28 Abs. 1 Satz 2) und auch die zukünftige DSGVO bestehen auf einer im Voraus festgelegten Zweckbindung für die Verarbeitung personenbezogener Daten. Es kann davon ausgegangen werden, dass der Zweck „Nutzung für den Test von Neu- und Weiterentwicklungen der Software XY“ im Normalfall nicht mit dem Betroffenen vereinbart wurde. Nun könnte man alle Betroffenen anschreiben und um entsprechende Zustimmung zur Erweiterung des Verwendungszwecks bitten. Hier eine hohe positive Rückläuferquote zu erwarten ist vermutlich eher Wunschdenken. Damit wäre es notwendig die Daten derjenigen Betroffenen, die nicht zugestimmt haben, aus dem Testdatenbestand zu entfernen. Hier besteht nun die Gefahr, dass der verbleibende nutzbare Testdatenbestand für sinnvolle Tests aufgrund der Größe oder des verbleibenden Inhalts nicht mehr sinnvoll ist.

Anonymisieren kann helfen

Ein probates Mittel, um an Testbestände heranzukommen, die dem Echtdatenbestand möglichst ähnlich sind, ist die Anonymisierung. Werden die Echtdaten wirksam(!) anonymisiert, so könnten sie vermutlich für den Test herangezogen werden. Zu beachten ist bei der Anonymisierung, dass es nicht ausreichend ist, alle Vor- und Nachnamen einfach zu ersetzen. Vielmehr müssen alle Identifikationsmerkmale ersetzt werden. Hierzu gehören auch Kunden-, Auftrags-, Konto- und sonstige Nummern. Ebenso wie Kontaktdaten, also Telefonnummern, E-Mailadressen und weitere. Es kann durchaus vorkommen, dass der Testdatenbestand durch eine wirksame Anonymisierung für den Testzweck unbrauchbar wird.

Nicht übersehen werden darf hier auch, dass die Anonymisierung des Datenbestands auch bereits eine Nutzung der Daten ist und damit eine Erweiterung des bislang festgelegten Zwecks darstellt. Allerdings erlaubt § 28 Abs. 1 Nr. 2 BDSG die Nutzung für eigene berechtigte Interessen, soweit [Zitat] „kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt„.

Da die Daten anonymisiert werden, also der Personenbezug entfernt wird, kann im Rahmen einer Interessenabwägung sicher in vielen Fällen davon ausgegangen werden, dass eben kein schutzwürdiges Interesse des Betroffenen überwiegt.

Besondere Arten personenbezogener Daten

Werden besondere Arten personenbezogener Daten (s. § 3 Abs. 9 BDSG) verarbeitet, so sieht das allerdings anders aus. Für diese Art Daten finden sich in § 28 BDSG Abs. 6 bis 9 eigene Regelungen, die bis auf wenige, eng umrissene, Ausnahmetatbestände die Zweckerweiterung für besondere Arten personenbezogener Daten ausschließen.

Die Meinung der Aufsichtsbehörden

Auch die Aufsichtsbehörden haben sich zu diesem Thema bereits Gedanken gemacht und gemeinsam eine Orientierungshilfe zum Thema Testen mit Echtdaten herausgegeben. Sie ist z. B. hier zu finden: [Link entfernt – nicht mehr erreichbar].

Grundsätzlich empfehlen wir Ihnen, vor jedem Test, den Sie mit Echtdaten durchführen möchten, Ihren Datenschutzbeauftragten hinzuziehen.

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2015/04/cloud_computing.jpg 480 830 Datenschutzbeauftragter/tma /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/tma2016-10-04 12:04:282020-02-14 16:40:39Test mit Echtdaten und der Datenschutz
Das könnte Sie auch interessieren
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbot Videoüberwachung unter der EU-Datenschutz-Grundverordnung
betrug Betrugsversuche? Unser guter Name wird missbraucht…
TOM Technikgestaltung technische organisatorische Maßnahmen private nutzung kommunikationsmittel supportende windows 7 Private Nutzung betrieblicher E-Mail Accounts und Internet | Datenschutz
telefax vertraulichkeit Vertraulichkeit bei der Verwendung von Telefax
bußgeld ermittlungen staatsanwaltschaft herausgabe Erstes Bußgeld für Datenschutzverstoß nach DSGVO in Deutschland
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61b Startet nun die prophezeite DSGVO Bußgeldwelle?

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Anforderungen an eine Website aus Datenschutz-Sicht Link to: Anforderungen an eine Website aus Datenschutz-Sicht Anforderungen an eine Website aus Datenschutz-Sichtdatenschutzerklärung generator tracking cookies analytics cookies piwik Link to: Auftragsdatenverarbeitung – Anforderungen an den Vertrag Link to: Auftragsdatenverarbeitung – Anforderungen an den Vertrag einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoAuftragsdatenverarbeitung – Anforderungen an den Vertrag
Nach oben scrollen Nach oben scrollen Nach oben scrollen