Eine Umfrage von Compuware in Zusammenarbeit mit der Nationalen Initiative für Internet-Sicherheit (NIFIS) ergab, dass 64 Prozent der IT-Entscheidungsträger echte Kundendaten für Anwendungstests nutzen. Damit gehen sie das Risiko von Bußgeldern oder anderen Maßnahmen nach dem Bundesdatenschutzgesetz (BDSG) ein. Das Gesetz verbietet es Unternehmen, Ist-Daten für andere Zwecke zu nutzen als für die, derentwegen sie erhoben wurden. Die Untersuchung wurde unter über 100 deutschen IT-Führungskräften durchgeführt.
36 Prozent der IT-Entscheidungsträger gaben an, dass sie nicht umfassend mit dem Gesetz vertraut sind. So kann es nicht verwundern, dass ein erheblicher Teil der Befragten das Risiko eines Verstoßes gegen das BDSG eingeht, indem sie ohne Beachtung datenschutzrechtlicher Vorschriften echte Kundendaten zum Testen von Anwendungen nutzen.
Gerald Pfeiffer, Manager Solutions Delivery bei Compuware warnt: „Wenn Unternehmen keine stringenten Verfahren einsetzen, riskieren sie, dass Kundendaten unbemerkt an Dritte gelangen. Test-Umgebungen sind von Natur aus unsichere Orte für die Verarbeitung von echten Kundendaten, auch deshalb, weil Ausdrucke und Test-Blätter während der Tests neben PCs liegen gelassen werden. Wenn die Kundendaten nach außen gelangen müssen die Unternehmen mit Bußgeldern rechnen. Der mögliche Imageschaden kann jedoch deutlich schlimmer sein.“
Darüber hinaus hat sich die Datenschutzproblematik auch dadurch verschärft, dass in den letzten Jahren viele Unternehmen Arbeiten an externe Dienstleister auslagern. Dabei ist nicht immer ausgeschlossen, dass Angestellte von Outsourcing-Unternehmen vertrauliche Informationen weitergeben. Allerdings geben immerhin 53 Prozent der Befragten an, bei der Vergabe von Softwaretests an externe Partner Vertraulichkeitsvereinbarungen (Non Disclosure Agreements oder NDAs) abzuschließen.
“Die datenschutzrechtlich saubere Vorgehensweise ist gestuft. In der Testphase werden keine Echtdaten, sondern spezielle Testdaten verwendet. Erst wenn die Software qualitätsgesichert und getestet ist, sind Praxiserprobungen mit Echtdaten zulässig, wenn dabei die Vorgaben des BDSG beachtet werden“, erläutert Dr. Thomas Lapp, Vorstand des NIFIS e.V.
Ein naheliegendes Vorgehen wäre es, keine Kundendaten für Tests zu nutzen, doch das ist nicht so einfach. Sofern Unternehmen nicht umfangreiche Datenmengen nutzen, die eine Anwendung komplett und gründlich unter „Live-Bedingungen“ testen, ist die Wahrscheinlichkeit von Fehlern im späteren Live-Einsatz sehr hoch. Daher haben Unternehmen die Wahl, entweder zeit- und kostenaufwändig umfassende Testdaten zu schaffen, die für den Zweck der Anwendung geeignet sind, oder Daten zu desensibilisieren, was einige Felder jedoch ungültig machen könnte. Der Anwendungstest wäre damit unvollständig.
Eine Möglichkeit zur Lösung dieses Problems ist die Anonymisierung der Daten. Durch den Austausch bekannter Werte, wie z.B. Adressen, mit anderen Werten können Kundendaten anonymisiert werden, sodass von diesen nicht mehr auf die Person zurück geschlossen werden kann, sie aber noch immer vom System in der ganzen Organisation verarbeitet werden können. Dabei bleiben wichtige Felder intakt, wie z.B. die Postleitzahl. Dieser Prozess kann automatisiert werden, damit menschliches Versagen ausgeschlossen wird. (ml)