Dies ist eine alte Version des Dokuments!
<font 12.0pt/inherit;;inherit;;inherit>Softwaretest (ggf. mit „abrechnen)</font>
<font 12.0pt/inherit;;inherit;;inherit>Auch wenn Software gestestet wird, gelten die allgemeinen Datenschutz-Regeln insbesondere zu VVT, AVV, TOM und Datenschutzkonzept. Es gibt in der DSGVO und dem ThürDSG keine Sonderregeln.</font>
<font 12.0pt/inherit;;inherit;;inherit>Für die Praxis ist das eine schwierige Situation, da die genannten Dokumente oft erst entwickelt werden müssen und dazu gerade auch Test notwendig sind. Da es hierzu praktisch keine Literatur gibt, folgende vorläufige Hinweise:</font>
<font 12.0pt/inherit;;inherit;;inherit>* Tests finden wenn möglich nicht mit echten, personenbezogenen Daten statt.</font>
<font 12.0pt/inherit;;inherit;;inherit>* Vorzugswürdig ist es, fiktive Beispielsdatensätze zu erstellen.</font>
<font 12.0pt/inherit;;inherit;;inherit>* Wenn das nicht umsetzbar ist, zum Beispiel, weil Massen an realtitätsnahen Datensätzen für Performancemessungen benötigt werden, muss eine Pseudonymisierung stattfinden.</font>
<font 12.0pt/inherit;;inherit;;inherit>* Zumindest sollte der Name verfremdet werden, indem entweder der Name durch eine zufällige Buchstabenfolge ersetzt wird oder wenn der Name für Verkettungen benötigt wird, nach einem festen Schlüssel.</font>
<font 12.0pt/inherit;;inherit;;inherit>* Soweit es auf das genaue Geburtsdatum nicht ankommt, kann auch dieses mit wenig Aufwand z.B. auf den 1.1. des jeweiligen Jahres gesetzt werden.</font>
<font 12.0pt/inherit;;inherit;;inherit>* Auch Wohnanschrift und Emailadresse sollten verfremdet werden</font>
<font 12.0pt/inherit;;inherit;;inherit>* Soweit sensible Datenkategorien erfasst werden, sollte um so genauer hinterfragt werden, ob diese für den Test unabdingbar sind und dann sollte für die Durchführung der Tests ein eigenes Datenschutzkonzept erstellt und umgesetzt werden.</font>
<font 12.0pt/inherit;;inherit;;inherit>* Ohne Pseudonymisierung sollten Test nur erfolgen, wenn vorherige Tests mit Pseudonymisierung keine relevanten Mängel ergeben haben und die Dokumentation zumindest weitgehend abgeschlossen ist</font>
<font 12.0pt/inherit;;inherit;;inherit>* Sobald erstmalig personenbezogene Echtdaten eingespielt werden, müssen (mindestens) die gleichen TOM angewendet werden, wie im Produktivbetrieb</font>
<font 12.0pt/inherit;;inherit;;inherit>Es sollte eine Selbstverständlichkeit sein, dass Tests stets dokumentiert werden, so dass nachvollziehbar ist, was mit welchen Daten und welchen Schutzmaßnahmen getestet wurde.</font>
