Firmen verstoßen gegen das Bundesdatenschutzgesetz

Illegale Software-Tests mit Kundendaten

04.08.2006 von Tanja Wolff
64 Prozent der deutschen IT-Entscheider nutzen echte Kundendaten für ihre Anwendungstests. Laut einer gemeinsamen Studie des Lösungsanbieters Compuware und NIFIS (Nationale Initiative für Internet-Sicherheit) verstoßen sie damit gegen das Bundesdatenschutzgesetz (BDSG). Demnach dürfen Ist-Daten nur zu den Zwecken genutzt werden, für die sie erhoben wurden.

Trotz Spam und Cybercrime sorgen Unternehmen immer noch nicht dafür, dass ihre Verfahren für den Datenschutz so strikt wie möglich konzipiert sind. Obwohl das BDSG schon seit 16 Jahren in Kraft ist, sind 36 Prozent der Befragten nicht umfassend mit den gesetzlichen Vorschriften vertraut. Folglich ist die Zahl der Verstöße auch sehr hoch.

Der Studie zufolge muss dokumentiert werden, wie und zu welchem Zweck IT-Abteilungen Kundendaten nutzen. Darüber hinaus wachsen die Probleme rund um den Datenschutz, weil viele Firmen an externe Dienstleister auslagern. Dabei ist nicht immer ausgeschlossen, dass Angestellte von Outsourcing-Unternehmen vertrauliche Informationen weitergeben. Mehr als die Hälfte der IT-Entscheider sagt, dass sie bei der Vergabe von Software-Test an externe Partner Vertraulichkeitsvereinbarungen abschließen.

"Unternehmen müssen ihre Maßnahmen zum Schutz von personenbezogenen Daten überdenken, damit diese nicht in die Umgebung der Anwendungstests gelangen", sagt Gerald Pfeiffer, Manager bei Compuware. Test-Umgebungen seien von Natur aus unsichere Orte für die Verarbeitung von echten Kundendaten. Ein Grund dafür sei, dass Ausdrucke und Test-Blätter während der Tests neben den PCs liegen gelassen werden. Wenn die Kundendaten nach außen gelangen, müssten die Firmen mit Bußgeldern rechnen. Der mögliche Image-Schaden könne jedoch noch deutlich schlimmer sein.

Laut der Untersuchung sind datenschutzrechtlich saubere Vorgehensweisen gestuft. Das bedeutet, dass in der Testphase keine Echtdaten, sondern spezielle Testdaten verwendet werden. Erst wenn die Software qualitätssicher und getestet ist, sind Praxiserprobungen mit Echtdaten zulässig. Voraussetzung ist, dass dabei die Vorgaben des BDGS beachtet werden.

Lösungsansätze

Das Ergebnis zeigt, dass es nicht so einfach ist, keine Kundendaten für Tests zu nutzen. Der Grund: Wenn Firmen keine umfangreichen Datenmengen nutzen, die eine Anwendung komplett und gründlich unter Live-Bedingungen testen, ist die Wahrscheinlichkeit von Fehlern im späteren Live-Einsatz sehr hoch. Daher stehen Firmen vor der Wahl, entweder zeit- und kostenaufwendig umfassende Testdaten zu schaffen, oder Daten zu desensibilisieren. Letzteres könnte jedoch einige Fehler ungültig machen und der Anwendungstest wäre unvollständig.

Die Anonymisierung der Daten ist eine Möglichkeit zur Lösung des Problems, so die Analyse. Dabei können Kundendaten so bearbeitet werden, dass von diesen nicht mehr auf die Person zurück geschlossen wird, sie aber noch immer vom System in der ganzen Organisation verarbeitet werden können. Dabei bleiben wichtige Fehler intakt, wie beispielsweise die Postleitzahl. Der Prozess kann automatisiert werden, um menschliches Versagen auszuschließen.

Für die Studie wurden 100 deutsche IT-Führungskräfte befragt.