Aktuell in CR

Datenverarbeitungs-Crashtests ohne Daten-Dummys - Zur Zulässigkeit der Nutzung von (echten) personenbezogenen Daten zu Testzwecken nach DSGVO (Heinemeyer, CR 2019, 147)

Nach kurzer Einleitung zur Notwendigkeit von Tests (I.) arbeitet der Beitrag sorgfältig heraus, ob und unter welchen Voraussetzungen Softwaretests mit personenbezogenen Echtdaten unter eine Rechtsgrundlage in Art. 6 DSGVO fallen (II.).

I. Notwendigkeit von Tests

1. Beispiele für regulatorische Anforderungen

2. Industriestandards und üblicher Aufbau von Tests

II. Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten zu Testzwecken

1. Einwilligung (Art. 6 Abs. 1 lit. a)

2. Erforderlichkeit im Rahmen gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c)

3. Interessenabwägung (Art. 6 Abs. 1 lit. f)

a) Wahrung berechtigter Interessen

b) Erforderlichkeit

aa) Geeignetheit

bb) Erforderlichkeit i.e.S. (Angemessenheit und Überwiegen der Interessen des Verantwortlichen)

c) Hilfsweise: Weitere Anforderungen

III. Fazit


I. Notwendigkeit von Tests

1
Das Testen von Computerprogrammen und ihren Aktualisierungen (Updates) vor ihrer produktiven Nutzung ist nicht nur praktisch notwendig, um die Funktionsfähigkeit der einzusetzenden Software und der damit zusammenhängenden Geschäftsprozesse zu gewährleisten, es ist auch in vielen Bereichen eine regulatorische Anforderung. Zudem mag sich aus Art. 32 Abs. 1 DSGVO ergeben, dass im Rahmen der geforderten Sicherheit Software getestet werden muss, bevor persönliche Daten mit dieser verarbeitet werden, zumindest soweit die obligatorischen Tests ihrer jeweiligen Hersteller nicht (für das konkrete Nutzungsszenario) ausreichend sind.

2
Anwendungen können aber nicht hinreichend ohne Daten getestet werden. Als einfachste Lösung erscheint es daher, die – ohnehin vorhandenen – „Echtdaten“ für Testzwecke zu nutzen. Dieser Beitrag untersucht die Rechtmäßigkeit dieses Vorgehens unter datenschutzrechtlichen Aspekten.

1. Beispiele für regulatorische Anforderungen
3
Die BaFin etwa verlangt im Zuge der „Bankaufsichtliche Anforderungen an die IT“ (BAIT), dass im Rahmen der Anwendungsentwicklung nicht nur angemessene Prozesse festzulegen sind, sondern die Anwendungen (vorab) zu testen sind. Die Nutzung der produktiv genutzten Systeme (samt Daten) für Testzwecke scheidet aus offensichtlichen Gründen aus.

4
Es ist in diesem Zusammenhang erforderlich, dass die Tests in ihrem Umfang insb. die Funktionalität der Anwendung, die Sicherheitskontrollen als auch die Systemleistung unter verschiedenen Stressbelastungsszenarien einbeziehen. Dabei haben Testumgebungen zur Durchführung der Abnahmetests in wesentlichen Aspekten der Produktionsumgebung zu entsprechen.

2. Industriestandards und üblicher Aufbau von Tests
5
Auch im Rahmen der Informationssicherheitsmaßnahmen nach ISO 27001 muss der sichere Einsatz der Test- und Entwicklungsumgebungen gewährleistet sein. Ein einfacher und auch oft gewählter Weg ist die Spiegelung von Produktivsystemen sowie der darin enthaltenen Daten, um eine plausible Datengrundlage für Tests zur Verfügung stellen zu können. Es wird also ...

 

Verlag Dr. Otto Schmidt vom 20.03.2019 10:31
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite