Softwaretests mit Echtdaten

Bevor Software im Echtbetrieb zum Einsatz kommt, muss sie ausreichend getestet sein: „Software jeglicher Art“ muss „schon vor der Inbetriebnahme im Rahmen von Software-Tests überprüft werden“ (so das Bundesamt für Sicherheit in der Informationstechnik – BSI, IT-Grundschutzkompendium, Stand Februar 2023, OPS. 1.1.6, Ziff. 1.1). Die dabei verwendeten Daten brauchen angemessenen Schutz. Dafür gelten folgende Grundsätze (OPS. 1.1.6.A11; die Großschrift steht so im Original!):

Zentrale Vorgaben des BSI

• „Wenn Produktivdaten für Software-­Tests verwendet werden, die schützenswerte Informationen enthalten, dann MÜSSEN diese Testdaten angemessen geschützt werden.
• Enthalten diese Daten personenbezogene Informationen, dann MÜSSEN diese Daten mindestens pseudonymisiert werden.
• Falls möglich, SOLLTEN die Testdaten mit Personenbezug vollständig anonymisiert werden.
• Wenn ein Personenbezug von den Testdaten abgeleitet werden könnte, MUSS der oder die Datenschutzbeauftragte […] hinzugezogen werden.“

Tests sind auch mit Echtdaten denkbar

Diese Vorgaben des BSI sind aus der ­Datenschutz-Grundverordnung (DSGVO) abzuleiten. Relevant ist dabei besonders der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO). Auch der Grundsatz der Speicherbegrenzung wirkt sich aus. Nach ihm müssen personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“ (Art. 5 Abs. 1 Buchst. e, Halbsatz 1 DSGVO…