test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepage

Test mit Echtdaten und der Datenschutz

[Update 2019]

Offenbar hat die Aufsichtsbehörde Hamburg „aufgeräumt“ und alte (veraltete) Inhalte entfernt. Daher sind die in diesem Artikel verlinkten Dokumente und/oder Seiten nicht mehr aufrufbar.

[Update Ende]

Es gibt keine fehlerfreie Software. Was hier wie eine Anklage klingt, ist so natürlich nicht gemeint. Vielmehr ist es Fakt und eines der großen Themen der Informatik.

Wer testet gerne?

Um damit umzugehen, dass Software eigentlich immer Fehler enthält, wird getestet, verbessert und wieder getestet. Sowohl im Rahmen der Software-Entwicklung, als auch im Rahmen der Freigabe von Software erfolgen diese Prozesse. Dabei gibt es ein großes Problem: Testen ist häufig notwendiges Übel, gilt als unkreativ und destruktiv und ist damit in vielen Fällen ein ungeliebtes Kind.

Testen ist nicht einfach

Neben der Tatsache, dass nur die wenigsten Softwareentwickler wirklich gerne testen und auch Fachabteilungen für die Abnahme von Software meist nur die absolut notwendigen Ressourcen zur Verfügung stellen (können), gibt es beim Test weitere Probleme:

  • Testet man mit künstlich erzeugten Datenbeständen, so lassen sich manche Fehler gar nicht entdecken, da künstlich erzeugte Datenbestände häufig automatisiert erzeugt werden und damit häufig ungewollt einem Muster folgen.
  • Tests von Massendatenverarbeitungen können häufig nicht unter Echt-Bedingungen durchgeführt werden. So stehen  genügend Testdaten zur Verfügung stehen oder die Testsysteme nicht die gleiche Rechenleistung bieten, wie die späteren Produktivsysteme, so dass sich das Laufzeitverhalten einer Anwendung ggf. erst im Rahmen des tatsächlichen Betriebs offenbart.

Ist Test mit Echtdaten die Lösung?

Eine Lösung für diese Probleme ist häufig der Test mit Echtdaten. Es wird ein Abzug der produktiven Datenbank in die Test- und/oder Abnahmeumgebung kopiert und die Tests werden mit diesen Daten durchgeführt. Aus Sicht der Softwareentwicklung und der Tester eine effiziente, zeitsparende, bequeme und praktikable Lösung.

Was sagt der Datenschutzbeauftragte dazu?

Grundsätzlich ist es schon einmal positiv, wenn der Datenschutzbeauftragte überhaupt davon erfährt, denn in den meisten Fällen geschehen diese Tests nämlich am Datenschutzbeauftragten vorbei. Dabei wollen wir hier gar keinen bösen Willen unterstellen. Erfahrungsgemäß liegt die Nicht-Beteiligung der Datenschutzbeauftragten nämlich im Unwissen der für den Test verantwortlichen Personen darüber, dass bei allen Verfahren, die mit personenbezogenen Daten durchgeführt werden, der Datenschutzbeauftragte einzubeziehen ist.

Zweckbindung

Wird der Datenschutzbeauftragte einbezogen, so wird er auf die Zweckbindung hinweisen. Das BDSG (§ 28 Abs. 1 Satz 2) und auch die zukünftige DSGVO bestehen auf einer im Voraus festgelegten Zweckbindung für die Verarbeitung personenbezogener Daten. Es kann davon ausgegangen werden, dass der Zweck „Nutzung für den Test von Neu- und Weiterentwicklungen der Software XY“ im Normalfall nicht mit dem Betroffenen vereinbart wurde. Nun könnte man alle Betroffenen anschreiben und um entsprechende Zustimmung zur Erweiterung des Verwendungszwecks bitten. Hier eine hohe positive Rückläuferquote zu erwarten ist vermutlich eher Wunschdenken. Damit wäre es notwendig die Daten derjenigen Betroffenen, die nicht zugestimmt haben, aus dem Testdatenbestand zu entfernen. Hier besteht nun die Gefahr, dass der verbleibende nutzbare Testdatenbestand für sinnvolle Tests aufgrund der Größe oder des verbleibenden Inhalts nicht mehr sinnvoll ist.

Anonymisieren kann helfen

Ein probates Mittel, um an Testbestände heranzukommen, die dem Echtdatenbestand möglichst ähnlich sind, ist die Anonymisierung. Werden die Echtdaten wirksam(!) anonymisiert, so könnten sie vermutlich für den Test herangezogen werden. Zu beachten ist bei der Anonymisierung, dass es nicht ausreichend ist, alle Vor- und Nachnamen einfach zu ersetzen. Vielmehr müssen alle Identifikationsmerkmale ersetzt werden. Hierzu gehören auch Kunden-, Auftrags-, Konto- und sonstige Nummern. Ebenso wie Kontaktdaten, also Telefonnummern, E-Mailadressen und weitere. Es kann durchaus vorkommen, dass der Testdatenbestand durch eine wirksame Anonymisierung für den Testzweck unbrauchbar wird.

Nicht übersehen werden darf hier auch, dass die Anonymisierung des Datenbestands auch bereits eine Nutzung der Daten ist und damit eine Erweiterung des bislang festgelegten Zwecks darstellt. Allerdings erlaubt § 28 Abs. 1 Nr. 2 BDSG die Nutzung für eigene berechtigte Interessen, soweit [Zitat] „kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt„.

Da die Daten anonymisiert werden, also der Personenbezug entfernt wird, kann im Rahmen einer Interessenabwägung sicher in vielen Fällen davon ausgegangen werden, dass eben kein schutzwürdiges Interesse des Betroffenen überwiegt.

Besondere Arten personenbezogener Daten

Werden besondere Arten personenbezogener Daten (s. § 3 Abs. 9 BDSG) verarbeitet, so sieht das allerdings anders aus. Für diese Art Daten finden sich in § 28 BDSG Abs. 6 bis 9 eigene Regelungen, die bis auf wenige, eng umrissene, Ausnahmetatbestände die Zweckerweiterung für besondere Arten personenbezogener Daten ausschließen.

Die Meinung der Aufsichtsbehörden

Auch die Aufsichtsbehörden haben sich zu diesem Thema bereits Gedanken gemacht und gemeinsam eine Orientierungshilfe zum Thema Testen mit Echtdaten herausgegeben. Sie ist z. B. hier zu finden.

Grundsätzlich empfehlen wir Ihnen, vor jedem Test, den Sie mit Echtdaten durchführen möchten, Ihren Datenschutzbeauftragten hinzuziehen.


Diesen Beitrag teilen