Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Softwaretests mit Echtdaten
Beim Test von Software ist es bisweilen notwendig, personenbezogene Daten zu verwenden. Der Europäische Gerichtshof (EuGH) gibt in seiner Rechtsprechung eine Reihe von Hinweisen dafür, was dabei zu beachten ist.
Bevor Software im Echtbetrieb zum Einsatz kommt, muss sie ausreichend getestet sein: „Software jeglicher Art“ muss „schon vor der Inbetriebnahme im Rahmen von Software-Tests überprüft werden“ (so das Bundesamt für Sicherheit in der Informationstechnik – BSI, IT-Grundschutzkompendium, Stand Februar 2023, OPS. 1.1.6, Ziff. 1.1). Die dabei verwendeten Daten brauchen angemessenen Schutz. Dafür gelten folgende Grundsätze (OPS. 1.1.6.A11; die Großschrift steht so im Original!):
Zentrale Vorgaben des BSI
- „Wenn Produktivdaten für Software-Tests verwendet werden, die schützenswerte Informationen enthalten, dann MÜSSEN diese Testdaten angemessen geschützt werden.
- Enthalten diese Daten personenbezogene Informationen, dann MÜSSEN diese Daten mindestens pseudonymisiert werden.
- Falls möglich, SOLLTEN die Testdaten mit Personenbezug vollständig anonymisiert werden.
- Wenn ein Personenbezug von den Testdaten abgeleitet werden könnte, MUSS der oder die Datenschutzbeauftragte […] hinzugezogen werden.“
Tests sind auch mit Echtdaten denkbar
Diese Vorgaben des BSI sind aus der Datenschutz-Grundverordnung (DSGVO) abzuleiten. Relevant ist dabei besonders der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO). Auch der Grundsatz der Speicherbegrenzung wirkt sich aus. Nach ihm müssen personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“ (Art. 5 Abs. 1 Buchst. e, Halbsatz 1 DSGVO…
Weiterlesen mit DP+
Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?