Datenschutz und Testen von Anwendungen ist möglich. Sei es das Testen eines Dienstes (vgl.: Cloud Service), einer neuen Anwendung, neuer Hardware etc., ob deren Einsatz von betrieblichen Nutzen sein könnte. Es ist zwar immer noch möglich, nur gilt es einiges zu beachten. Am Ende des Dokuments finden sie eine Checkliste.
Geltungsbereich
Zu beachten ist hier, dass das Datenschutzgesetz (vgl.: DSG) und die Datenschutz Grundverordnung (vgl.: DSGVO) nur eine zweckgebundene Verarbeitung erlauben. (Anm.: Eigentlich ein Verarbeitungsverbot mit einem Erlaubnisvorbehalt). Das heisst konkret, gibt es von der betroffenen Person, deren Daten zu Testzwecken verwendet werden, die entsprechende Einwilligung? Sind die verwendeten Daten aus Produktivsystemen, sogenannte Echtdaten, dann handelt es sich um eine Zweckänderung und eine Verarbeitung ist ohne Einwilligung/ Erlaubnis, nicht zulässig. Das schutzwürdige Interesse der betroffenen Person ist ein weiterer Aspekt, der noch betrachtet werden sollte, auch wenn eine Einwilligung erfolgt ist, bevor eine Verarbeitung, in Form des Tests, aufgenommen werden kann.
Verschlüsselung & Hash
Wenn jetzt pseudonymisierte oder gar verschlüsselte personenbezogene Daten als Testdaten herangezogen werden, dann ist das zwar ein qualitatives Merkmal, aber nicht ausreichend. Pseudonymisierung und Verschlüsselung hängen direkt von dem verwendeten Verfahren ab. Sollte jetzt ein aktuell als sicher geltendes Verfahren in der Zukunft als unsicher gelten, dann sind davon auch alle personenbezogenen Daten Betroffener kompromittiert solange sie noch in irgendeiner Form vorliegen. Wie zum Beispiel in Prüf- und Abnahmeprotokollen, Sicherungen etc.
Back Up & Versionierung
Sicherungen und unterschiedliche Versionsstände von Programmen können personenbezogenen Testdaten enthalten und sind auch betroffen. Es müssen Maßnahmen zur Gewährleistung der Ziele aus dem DSG und der DSGVO in allen Umgebungen, wie Test, Entwicklung, Qualitätssicherung uvm., gesetzt werden. Dazu ist im Regelfall die sogenannte Datenschutz Folgen Analyse unter anderem vorgesehen, aus der entsprechende Maßnahmen abgeleitet werden sollten.
Checkliste
– Zumindest ein „Nein“ sollte Abklärung mit einem Experten zum Thema Datenschutz, wie dem Datenschutzbeauftragten der Organisation, zur Folge haben.
– Mehr als zwei „Nein“ Antworten deuten auf massives Verbesserungspotential im Bereich Datenschutz in Ihrer Organisation hin.
- Wurden Tests ohne Echtdaten bereits für die selbe Anwendung ausgeführt?
- Werden Tests mit Echtdaten nur in einem explizit beschränktem Rahmen (Umgebung, Betroffener und Benutzer) ausgeführt?
- Liegen Fehler aus dem Betrieb (Produktion) vor, die sich ohne Echtdaten nicht aufklären lassen?
- Hat der Verantwortliche der Verarbeitung (vgl.: meist GF) schriftlich dem Test mit Echtdaten zugestimmt?
- Wurde der betriebliche Datenschutzbeauftragte vor der Aufnahme der Tests unterrichtet?
- Können die Interessen und Rechte der Betroffenen bei der Durchführung und Auswertung von Tests wahrgenommen werden?
- Ist der Personenkreis eingeschränkt auf Personen, die unmittelbar mit der Fehlerbehung und/ oder der Durchführung des Tests betraut sind?
- Sind alle Personen, die mit der Tätigkeit betraut sind entsprechend unterwiesen bezüglich Vertraulichkeit im Sinne von Datensicherheit und Datenschutz?
- Wurde der Zugriff und die Auswahl im Produktivsystem von personenbezogenen Daten erfasst und dokumentiert (vgl.: Verfahrensverzeichnis, VVZ)?
- Ist das/ Sind die Testverfahren beschrieben und vor allem die Dauer der Aufbewahrung personenbezogener Daten beschränkt?
- Gibt es ein Konzept, das Sicherheit und Schutz von Tests beinhaltet?