#DSGVO-konforme Umsetzung der #Anonymisierung von Testsystemen

12.07.2019 11:15

#DSGVO-konforme Umsetzung der #Anonymisierung von Testsystemen

Wie kann man realistisch Tests durchführen, wenn Produktivdaten nicht genutzt werden dürfen?

Personenbezogene Daten verdienen zu Recht einen hohen Schutz, nicht erst seit der DSGVO. Gemäß der Zweckgebundenheit personenbezogener Daten dürfen nur solche Daten verarbeitet werden, die für den konkreten geschäftlichen Zweck benötigt werden, und auch nur von einem Personenkreis mit berechtigtem Interesse. Für Produktivumgebungen ist dies eine prozessuale/organisatorische Frage und natürlich auch Thema des Berechtigungswesens.

Wie sieht es jedoch mit nicht-produktiven Umgebungen aus? In der Praxis werden unter anderem Testsysteme oft mit klassischen Systemkopien aktualisiert. Ergo: Produktive Daten in nicht-produktiven Umgebungen. Üblicherweise hat somit eine Vielzahl an nicht-berechtigten Personen (Entwickler, Berater, Admins) Zugriff auf Echtdaten. Vielleicht nicht tagesaktuell, aber immer noch ganz klar personenbezogen.

Das stellt Unternehmen vor eine kritische Situation: Auf der einen Seite muss das Testsystem realistische Daten enthalten, um sinnvolle Tests zu ermöglichen, auf der anderen Seite dürfen keine Echtdaten genutzt werden. Doch wie soll ohne Echtdaten in den Testumgebungen realistisch getestet werden?

Abhilfe verschafft die Anonymisierung von Daten, so dass diese keinen konkreten Personenbezug mehr besitzen. Sie ist eine hervorragende Methode, Testdaten gemäß den geltenden Anforderungen bereitzustellen ohne Risiken im Hinblick auf DSGVO und betrieblichen Datenschutz, Sicherheit und Compliance. Das klingt erstmal einfacher, als es ist. Denn hierbei muss unter anderem weiterhin auf Sinnhaftigkeit und logische Konsistenz geachtet werden, innerhalb des Systems wie auch über Systemgrenzen hinweg innerhalb der Landscape.

Umsetzen lässt sich das mit Libelle DataMasking (LDM), einer Software, die Daten auf nicht-produktiven Systemen und Systemlandschaften sinnvoll und logisch konsistent anonymisiert. Geschäftsprozesse können somit auch weiterhin nach Herzenslust Ende-zu-Ende durchgetestet werden.