Erstellt ein Unternehmen eine Software, muss diese einem Testdurchlauf unterzogen werden.
Viele Softwareunternehmen fragen sich, welche Daten sie für den Test einsetzen können und dürfen.
Die Wahl fällt entweder auf echte oder unechte, fiktive Daten. Diese Entscheidung birgt aber aus rechtlicher Sicht viele Fragen in sich.
Dabei gehen wir von der Situation aus, dass die Daten innerhalb eines Unternehmens verwendet werden sollen. Sonst kämen noch weitere datenschutzrechtliche Probleme auf uns zu. Nehmen wir also an, dass beispielsweise eine Kundendatenbank an die IT-Abteilung weitergegeben werden soll, um einen Test der Datenbank selbst durchzuführen.
Werden echte Daten für den Test genutzt, darf der Schutz der personenbezogenen Daten nicht um-gangen werden. Die gesetzlichen Grundlagen hierzu stehen im Bundesdatenschutzgesetz. Um Echtdaten verwenden zu dürfen, müssen strenge Anforderungen eingehalten werden.
Zum einen muss ein Zweck zur Datennutzung festgelegt werden und zum anderen muss die Daten-nutzung auch erforderlich sein. Dabei muss insbesondere offensichtlich sein, wer Zugriff auf die Daten hat.
Der Zweck
Die Festlegung eines konkreten Zwecks vor der Datenverarbeitung ist unumgänglich.
Denn nur zu diesem Zweck dürfen die Daten erhoben, verarbeitet und genutzt werden.
Soll trotzdem ein anderer Zweck verfolgt werden, müssen die beiderseitigen Interessen (die der Kunden und die des Unternehmens) gegeneinander abgewogen werden.
Die Erforderlichkeit
Weiterhin muss die Datenverarbeitung und vor allem auch die Datennutzung erforderlich sein, um den vorher festgelegten Zweck zu erreichen.
Erforderlich ist der Zweck, wenn wie hier die Nutzung von Echtdaten das mildeste Mittel ist, um den Test durchführen zu können.
Hier geht es um das mildeste Mittel, also um die schonendste Variante der Datennutzung.
Die Menge der Daten, die bei einem Test benötigt wird, kann durch den Gebrauch von Echtdaten ohne Probleme gedeckt werden. Ein weiterer Vorteil bestünde darin, dass unmittelbar geprüft werden kann, wie die Software oder die Datenbank im echten Betrieb reagiert. Der Test wird sozusagen zum Echtbetrieb.
Milder bzw. schonender wäre es dennoch in aller Regel, anonymisierte Daten oder Fake-Daten einzuspielen, da die Datensicherheit von personenbezogenen Daten dann in jedem Fall gewährleistet wird.
Fakt ist:
Das Verwenden von echten Daten bei einem Testlauf ist zwar rechtlich gesehen möglich, allerdings nicht schonend für die Daten selbst.
Bei der Verwendung insbesondere von Echtdaten für das Testen der Software sollte auf jeden Fall der (betriebliche) Datenschutzbeauftragte frühzeitig eingebunden werden.
Monika Wystup