30. März 2022

Testdatenmanagement im Einklang mit der EU-DSGVO

AuthorMichael Schwenk

Am 25. Mai 2022 wird sich das Inkrafttreten der DSGVO zum vierten Mal jähren. Und wie jedes andere Gesetz und jede andere Verordnung unterliegt auch sie jährlichen Änderungen und Anpassungen. Doch nach wie vor werden die Vorgaben zum Datenschutz von vielen Unternehmen nicht in dem geforderten Umfang erfüllt. Vor allem auch im Umgang mit Testdaten. Eine ideale Schwachstelle für Auditoren bei einer möglichen Überprüfung. Das große Dilemma: Wie soll in den Testumgebungen realistisch und DSGVO-konform gearbeitet werden?

Schwachstelle Testdaten

Häufig entstehen Schwachstellen bei einem Audit auf Grund der Testdaten, insbesondere in Bezug auf zu löschende oder insgesamt personenbezogene Daten oder bei der Realisierung mitunter komplexer Testsystemlandschaften. Diese können sich dabei auch über Ländergrenzen hinweg erstrecken.

Oftmals leider mit dem Ergebnis schwerwiegender Feststellungen, womit sich Unternehmen der Gefahr hoher Strafen aussetzen. Dieses Strafmaß beläuft sich auf bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag am Ende höher ist.

Schon vor Inkrafttreten der DSGVO war auf Basis des Bundesdatenschutzgesetzes (BDSG) untersagt, personenbezogene Daten zu Testzwecken (Testdaten) zu nutzen. Neben vielen anderen Dingen haben sich 2018 durch die DSGVO auch die datenschutzkonformen Voraussetzungen für die Nutzung von Testsystem und somit auch allgemein im Bereich des Testdatenmanagements, enorm gesteigert. Und dennoch ist die Verwendung von Echtdaten in Testumgebungen bis heute eine gängige Praxis. Oftmals kommen hier Software-Lösungen wie Testdatenmanagement-Tools innerhalb Unternehmen zum Einsatz, um den Datenschutz aufrechtzuerhalten. (Quelle)

Gefahren im Testdatenmanagement identifizieren

In Test- und Entwicklungsumgebungen wird häufig wesentlich mehr Personen Zugriff gewährt, als es im produktiven System der Fall ist. Neben den internen Testern und Entwicklern können das unter anderem auch externe Berater sein. Eine der größten Herausforderungen für viele Unternehmen das ist den Zugriff auf die genutzten Daten durch unberechtigte Dritte auszuschließen. Insbesondere dann, wenn aufgrund von Tests die Daten zur Analyse an Dritte, Vierte usw. fließen.

Pauschal kann man sagen, dass die Speicherung und Verarbeitung personenbezogener und personenbeziehbarer Daten aufgrund regionaler gesetzlicher Vorgaben, wie der DSGVO, untersagt ist. Dennoch gibt es Ausnahmen, beispielsweise behelfen sich Unternehmen hier mit der Nutzung eines DSGVO-konformen Testdatenmanagement Tools. (Quelle)

Welche Ausnahmen gibt es bei der Verarbeitung von personenbezogen Daten?

Eine typische Ausnahme bei der Verarbeitung von personenbezogen Daten ist eine zweckgebundene Einwilligung für die Erfüllung einer Geschäftsbeziehung. Gängige Beispiele hierfür sind die Ausführung einer Bestellung, Erbringen einer Serviceleistung oder Zusenden eines Newsletters.

In den seltensten Fällen dürften Unternehmen personenbezogene Daten in Testumgebungen innerhalb Ihres Testdatenmanagements nutzen. Dafür müssen die jeweiligen Personen dieser Nutzung zugestimmt bzw. eingewilligt haben. Wurden die Daten dennoch ohne Einwilligung genutzt, stellt das zunächst einmal eine Änderung des Zwecks, um nicht zu sagen, eine Zweckentfremdung dar. Sollten für den Test zwingend Echtdaten (Testdaten) benötigt werden, muss dies hieb und stichfest begründet werden.

Wenn die Daten in nicht-produktiven Umgebungen zunächst anonymisiert oder mindestens pseudonymisiert werden, sind Tester und Entwickler weiterhin in der Lage, ihren Tätigkeiten auch innerhalb gesetzlicher Vorschriften nachzugehen. Verfahren wie Anonymisierung oder Pseudonymisierung werden mit der Hilfe eines Testdatenmanagement Tools durchgeführt. (Quelle)

Dies ist ein Weg für Unternehmen ein DSGVO-konformes Testdatenmanagement zu gewährleisten. Beruht die Verarbeitung der personenbezogenen Daten auf einem anderen als dem ursprünglichen Zweck, verlangt die DSGVO in Bezug auf Datenschutz:

„…das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“

(Quelle: DSGVO Artikel 6 Absatz 4 Buchstabe e)

Im Umkehrschluss heißt das, dass die Echtdaten für Test- oder ähnliche Zwecke ausdrücklich nicht genutzt werden dürfen.

Die Prinzipien der Datenvermeidung, Datensparsamkeit und Datenminimierung

Vor Inkrafttreten der DSGVO forderte schon das BDSG in seiner bis dahin gültige Form, mit dem Speichern von Daten sparsam umzugehen und diese sogar zu vermeiden. Schon damals sollte das Ziel für Unternehmen sein, personenbezogene Daten so wenig wie möglich zu erheben, zu verarbeiten sowie zu nutzen.

Mit dem Grundsatz der Datenminimierung geht die DSGVO einen entscheidenden Schritt weiter. Der Artikel 25, Absatz 1 besagt:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“

(Quelle: DSGVO Artikel 25 Absatz 1)

Mit dieser Regelung gehen Bußgelder einher. An und für sich kommt heutzutage kein Unternehmen am Einsatz einer Software wie Libelle DataMasking vorbei. Mit diesem Testdatenmanagement Tool lassen sich die Nutzung von entsprechenden Testdaten gesetzeskonform gestalten und ein DSGVO-konformes Testdatenmanagement nutzen. (Quelle)

Testdatenmanagement: Nicht nur relevant im Bereich Datenschutz

Beim Testdatenmanagement geht es nicht nur um den Datenschutz, sondern auch um die automatisierte Bereitstellung von Testdaten, wie es unser Dreamteam Libelle SystemCopy und Libelle DataMasking bietet. Auch das Zurücksetzen von Daten nach ihrer Nutzung, das Protokollieren der Validität, des Alters und der Verbrauchsstandes der Testdaten sind wichtige Bestandteile des Testdatenmanagements.

Lesen Sie hierzu mehr in unseren Blogbeitrag zum Thema „Was ist Testdatenmanagement (TDM) eigentlich?“ oder machen Sie den Libelle Datenschutz Quick-Check für ihr Testdatenmanagement.


Empfohlenene Artikel
22. Dezember 2022 Libelle IT-Glossar Teil 22: Was ist DevOps?
18. Dezember 2022 Anonymisierte Daten in der Datenpipeline

Alle Blogartikel