Nahezu jedes Unternehmen kennt die Situation: Eine neue Software soll eingeführt werden. Ganz gleich ob es sich hierbei um ein neues CRM-System oder eine neue Software zur Personalverwaltung handelt, muss in der Regel für die Entwicklung, das Customizing, den Test, aber auch die Schulungsmaßnahmen der Mitarbeiter auf möglichst realistische Daten zurückgegriffen werden. Am einfachsten verfügbar sind hier Echtdaten. Leider viel zu selten wird in dieser Situation allerdings die Frage gestellt, ob deren Verwendung aus Datenschutzsicht zulässig ist.

Zweckbindung verletzt – und das war’s?

Gemäß Art. 5 Abs.1 lit. b DSGVO dürfen personenbezogene Daten ausschließlich zweckgebunden verarbeitet werden. Bei der Datenerhebung werden in der Regel andere Zwecke verfolgt, als die Daten für Testzwecke zu verwenden. Da die Daten demnach nicht für Testzwecke erhoben worden sind, ist das schnelle Ergebnis der Prüfung der Rechtmäßigkeit solcher Tests mit Echtdaten, dass diese nicht zulässig sind. 

Ganz so einfach wollen wir es uns aber nicht machen, schließlich sind wir Dienstleister und möchten für unsere Kunden das Mögliche auch möglich machen. Schauen wir uns das Thema also etwas detaillierter an und suchen nach vorhandenen Möglichkeiten:

Datenkorrektheit und Vollständigkeit

Unternehmen sind verpflichtet, zu verhindern, dass personenbezogene Daten unberechtigt gelöscht oder verändert werden. Um das sicherstellen zu können, ist es unseres Erachtens unabdingbar, beispielsweise die Migration der Daten von einem alten in das neue System zu testen und so die Korrektheit und Vollständigkeit der migrierten Daten gewährleisten zu können.

Darüber hinaus zeigt die Praxis, dass Tests mit Echtdaten auch außerhalb von Datenmigrationen sehr häufig Fehler zutage bringen, die mit künstlichen Daten gar nicht und mit anonymisierten Daten nur vielleicht gefunden worden wären. Gerade solche schwer zu findenden und datenabhängigen Fehler hätten später für Probleme und/oder Fehler in der Produktion gesorgt.

Um diese Fehler identifizieren zu können, sind Unternehmen in zahlreichen Situationen darauf angewiesen, mit Echtdaten zu testen. In solchen Fällen lässt sich die Nutzung von Echtdaten auch begründen, sofern diese stark eingeschränkt ist. Tests mit Echtdaten sollten also keinesfalls der Regelfall sein und auch nur unter bestimmten Rahmenbedingungen erfolgen. Grundsätzlich müssen Tests mit Echtdaten auf ein absolutes Minimum beschränkt werden. Dies bezieht sich sowohl auf die Anzahl der Tests als auch auf die Menge der für den Test genutzten Echtdaten.

Entwicklungs- und Testphasen

Im Anfangsstadium, also der Entwicklung einer Software, muss zwingend auf Testen mit Echtdaten für beispielsweise lokale Entwicklertests in der Entwicklungsumgebung verzichtet werden. In der frühen Phase einer Softwareentwicklung treten noch vermehrt Fehler auf bis eine solide Basis entwickelt ist. Diese lassen sich üblicherweise auch mit künstlichen Daten finden und beheben.

Daher darf in dieser Projektphase nur mit künstlichen oder vollständig anonymisierten Daten gearbeitet werden. Eine vollständige Anonymisierung bedeutet, es darf nicht möglich sein, Rückschlüsse von den genutzten Daten auf die Echtdaten zu ziehen. Diese Rückschlüsse dürfen auch nicht durch Anreicherung mit weiteren Daten möglich sein. Gegebenenfalls ist die Gewährleistung einer vollständigen Anonymisierung auch im Rahmen der Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO sicherzustellen und zu dokumentieren. Zumindest für die TK-Branche hält der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber gemäß einem von ihm veröffentlichten Positionspapier die Durchführung einer Datenschutz-Folgenabschätzung für unabdingbar.

Datenmigration

Dasselbe Vorgehen sollte auch noch in der frühen Phase des Tests einer eventuellen Datenmigration erfolgen.

Nach Abschluss der nächsten Phase und der gewonnenen Sicherheit, dass mit den Testdaten keine Fehler mehr in den Routinen der Datenmigration zu finden sind, kann auf Echtdaten zurückgegriffen werden. Hierbei ist zu beachten, dass der Datenbestand mengenmäßig einzuschränken ist, sofern dies möglich ist. Um Fehler durch Testen zu identifizieren reicht häufig ein reduzierter Datenbestand, welcher die „kritischen Fälle“ enthält. Ein Rückgriff auf die vollständige Datenbank mit Echtdaten ist häufig nicht nötig.

Darüber hinaus ist jeder Test mit Echtdaten zu begründen und zu dokumentieren. Solche Tests sollten in jedem Einzelfall mit der Geschäftsführung besprochen, abgestimmt und auch von dieser freigeben werden. Spätestens in dieser Phase des Projekts ist es sinnvoll den Datenschutzbeauftragten mit einzubeziehen, um jede Unsicherheit aus Datenschutzsicht zu beseitigen. Das Vorgehen sollte als allgemeine interne Vorgabe für das Testmanagement etabliert werden.

Löschen nicht vergessen

Nach erfolgreichem (oder auch nicht erfolgreichem) Test muss die Löschpflicht aus Art. 5 Abs. 1 lit. e DSGVO und Art. 17 Abs. 1 lit. a DSGVO eingehalten werden. Der (neue) Verarbeitungszweck „Test“ ist erreicht, die Daten dürfen keinesfalls in einer Testumgebung verbleiben. Die Löschung hat umgehend nach Abschluss des Tests zu erfolgen, die abschließende Löschung ist zu dokumentieren. Im besten Fall bietet die Zielumgebung (bzw. die Testumgebung) einen entsprechenden Lösch-Mechanismus. Sofern dies nicht der Fall ist, muss die Löschung auf andere Weise datenschutzkonform erfolgen. Das bedeutet, dass die Testdaten tatsächlich vernichtet und nicht nur als gelöscht gekennzeichnet werden (so wie es aus Performancegründen häufig in Datenbanken passiert). Vernichtet sind die Daten dann, wenn sie nicht mehr mit leicht verfügbaren Tools (zum Beispiel Sektor-Lese-Software) vom Speichermedium wiederhergestellt werden können. Üblicherweise erreicht man dies durch gezieltes Überschreiben der Testdaten. Ist dies nicht möglich, muss der Datenträger ersetzt werden. Der für den Test benutzte Datenträger kann dann vollständig durch Überschreiben gelöscht oder (im Extremfall) physikalisch vernichtet werden.

Informationspflichten

Wie so oft sind auch beim Testen die Informationspflichten an die betroffenen Personen nach Artikel 13 und 14 DSGVO zu erfüllen. Sofern Sie zum Testen Daten nutzen, welche Sie im Rahmen von Verarbeitungen verarbeiten, bei denen Sie Verantwortlicher nach Artikel 4 Nr. 7 DSGVO sind, müssen Sie prüfen, ob die Nutzung der Daten im Rahmen des Tests von den bisherigen Informationen zum Datenschutz abgedeckt sind. Sollte das nicht der Fall sein, müssen Sie die betroffenen Personen aktiv „nachinformieren“. Diese Information muss erfolgen, bevor Sie mit der Verarbeitung, also dem Testen mit Echtdaten beginnen und kann auf unterschiedlichsten Wegen erfolgen. Die Erfahrung zeigt, dass aktuell der größte Teil der Unternehmen noch nachinformieren muss sofern Echtdaten zum Testen verwendet werden sollen, weil Tests nicht von vorneherein eingeplant waren und diesbezügliche Informationen daher noch nicht bereitgestellt wurden.

Auftragsverarbeiter: Vorsicht!

Auftragsverarbeiter sollten stets auch die Auftraggeber über den geplanten Wechsel eines Systems und die damit verbundenen Änderungen vollständig informieren. Gegebenenfalls müssen hierfür auch weitere organisatorische Maßnahmen getroffen werden, damit weiterhin ein angemessenes Datenschutzniveau gewährleistet werden kann.

Darüber hinaus stellt sich uns aber bereits bezüglich der Rechtmäßigkeit von Tests mit den Daten der Auftraggeber die Frage, ob sich dies unter Beachtung der DSGVO und Einhaltung des geschlossenen Vertrags zur Auftragsverarbeitung überhaupt abbilden lässt. Der Vertrag regelt üblicherweise, dass die Daten keinesfalls für andere als die beauftragten Zwecke und schon gar nicht für eigene verarbeitet werden dürfen. Wenn überhaupt, dann ist unseres Erachtens die Nutzung anonymisierter Daten denkbar. Aber auch solche Tests und insbesondere die Anonymisierung müssten unseres Erachtens im Vertrag zur Auftragsverarbeitung mit vereinbart werden.

Fazit

Die Nutzung von Echtdaten zu Testzwecken ist mit einem hohen organisatorischen Aufwand verbunden und darf nicht ohne besonderen Grund erfolgen. Deshalb sollte genau geprüft werden, ob nicht alternative Möglichkeiten zur Erstellung von Testdaten zum Einsatz kommen könnten. Eine Unterstützung hierfür können Testdatenmanagementsysteme bieten. Diese unterstützen festgelegte Regeln um Gesetzesvorgaben einzuhalten. Die Auswahl bedarf allerdings großer Sorgfalt, um ein System zu wählen, das sowohl den Anforderungen des Unternehmens und der Infrastruktur als auch den datenschutzrechtlichen Anforderungen entspricht. Sofern aber die Verwendung von Testdaten nicht ausreicht, um die Sicherheit und Funktionalität eines Systems sicherzustellen, kann im Einzelfall die Verwendung von Echtdaten zu Testzwecken zulässig sein.

Planen Sie die Entwicklung, Anpassung, Einführung von Software? Müssen Sie Daten von einem System in ein anderes migrieren? Melden Sie sich, wir unterstützen Sie dabei, Ihr Vorhaben datenschutzkonform durchzuführen.