Sys­te­ma­ti­sches Tes­ten und Daten­schutz im Einklang

Die Vor­be­rei­tung und Durchführung von inte­gra­len Appli­ka­ti­ons­tests ist in hete­ro­ge­nen Sys­tem­land­schaf­ten ein anspruchs­vol­les Unter­fan­gen. Die Berücksichtigung der Auf­la­gen aus dem Daten­schutz­ge­setz (DSG) gewinnt dabei als zusätz­li­che Her­aus­for­de­rung spürbar an Bedeutung.

Bereits mit dem aktu­ell gel­ten­den Daten­schutz­ge­setz (DSG) ist die Ver­wen­dung von Per­so­nen­da­ten oder beson­ders schüt­zens­wer­ten Per­so­nen­da­ten in Test- und Ent­wick­lungs­sys­te­men recht­lich nicht zuläs­sig. Des­halb sind in sol­chen Test­um­ge­bun­gen ent­spre­chen­de Syn­the­ti­sie­run­gen oder Ano­nymisierungen von Daten für Test­zwe­cke erforderlich.

Mit der Wei­ter­ent­wick­lung des Bun­des­ge­set­zes über den Daten­schutz wer­den die­se Rah­men­be­din­gun­gen wei­ter ver­schärft. Die Geset­zes­re­vi­si­on war auf­grund der rasan­ten tech­no­lo­gi­schen Ent­wick­lung und der regu­la­to­ri­schen Ent­wick­lung im internationa­len Umfeld not­wen­dig. Schliess­lich machen Daten nicht an der Lan­des­gren­ze Halt. Das DSG wur­de des­halb über die par­la­men­ta­ri­schen Pro­zes­se den ver­än­der­ten Ver­hält­nis­sen ange­passt und am 25. Sep­tem­ber 2020 im Par­la­ment ver­ab­schie­det. Damit wer­den ins­be­son­de­re die Trans­pa­renz von Daten­be­ar­bei­tun­gen ver­bes­sert und die Selbst­be­stim­mungs­rech­te der betrof­fe­nen Per­so­nen über ihre Daten gestärkt. Die Total­re­vi­si­on ermög­licht es der Schweiz, das revi­dier­te Daten­schutz­über­ein­kom­men des Euro­pa­rats zu rati­fi­zie­ren sowie die Daten­schutz­grund­ver­ord­nung (DSGVO) der EU im Bereich der Straf­ver­fol­gung zu über­neh­men. Die Schweiz ist auf­grund des Schen­gen-Abkom­mens dazu verpflichtet.

In die­sem Stand­punkt erläu­tern wir, wie mit bewähr­ten Metho­den und Werk­zeu­gen auf Basis von pro­duk­ti­ven Daten­be­stän­den daten­schutz­kon­for­me Test­da­ten für Ent­­­wick­lungs- und Test­pro­zes­se erstellt und ver­wal­tet wer­den können.

Mit der Digi­ta­li­sie­rung wer­den Daten oft als «das neue Gold» bezeich­net. Ent­spre­chend ist der not­wen­di­ge Schutz der Daten auch aus­ser­halb pro­duk­ti­ver Sys­tem-Umge­bun­gen sicher­zu­stel­len. Denn der Zugriff auf Pro­duk­ti­ons­da­ten über Test­pro­zes­se ist bei­spiels­wei­se für Mit­be­wer­ber durch­aus inter­es­sant. Des­halb müs­sen Mecha­nis­men und Werk­zeu­ge zur Daten­an­ony­mi­sie­rung (DA) genutzt wer­den, um Kun­den­da­ten zu schüt­zen. Mit einem ange­mes­se­nen Test­da­ten­ma­nage­ment (TDM) kann gewähr­leis­tet wer­den, dass Daten­be­stän­de wäh­rend der Soft­ware­ent­wick­lung kon­trol­liert aktua­li­siert wer­den. Die Ein­hal­tung der Daten­schutz­vor­ga­ben wird hier­bei durch ver­schie­de­ne Anony­mi­sie­rungs- und Syn­the­ti­sie­rungs-Mass­nah­men erreicht.

Um die Ein­hal­tung der DSG-Vor­ga­ben bei ver­netz­ten Sys­te­men zu prü­fen, sind neben den all­ge­mei­nen Grund­la­gen des DSG und der EDÖB-Leit­li­ni­en auch die fall­spe­zi­fi­schen Geset­zes­grund­la­gen einzubeziehen.

  • Per­so­nen­da­ten: Name, Vor­na­me, Geburts­da­tum, Adres­se, Wohnort
  • Beson­ders schüt­zens­wer­te Per­so­nen­da­ten: poli­ti­sche Aus­rich­tung, Gesund­heit, Religion

Die Bear­bei­tung von Daten aus­ser­halb von pro­duk­ti­ven Sys­te­men bedeu­tet oft, dass die in der Pro­duk­ti­on genutz­ten tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men nicht zur Anwen­dung kom­men. Der Daten­schutz ist dadurch mög­li­cher­wei­se nicht ange­mes­sen sichergestellt.

Aus daten­schutz­recht­li­cher Sicht ist die Bear­bei­tung von pro­duk­ti­ven Per­so­nen­da­ten bezie­hungs­wei­se beson­ders schüt­zens­wer­ten Per­so­nen­da­ten in Ent­wick­lungs- und Test­sys­te­men in die­ser Form nicht zuläs­sig. Der Schutz der Daten ist mit­tels Anony­mi­sie­rung in allen Sys­tem­um­ge­bun­gen sicher­zu­stel­len – hier­zu sind die ange­mes­se­nen tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men zu tref­fen. Die Vor­ga­ben dazu sind im auf Geset­zes­stu­fe im DSG Art. 7 sowie detail­lier­ter in der Daten­schutz-Ver­ord­nung (VDSG) in Art. 8ff dokumentiert. 

 

Rolf Bühlmann, Co-Autor und Testdatenmanagement-Experte

 «Der Schutz von Test­da­ten ist eine wich­ti­ge Kom­pe­tenz, die Unter­neh­men erlan­gen müs­sen. Denn schüt­zens­wer­te Daten kön­nen auch aus Test­sys­te­men miss­bräuch­lich ver­än­dert, kopiert oder ent­wen­det werden.»

Rolf Bühl­mann, Co-Autor und Testdatenmanagement-Experte

Test­da­ten­ma­nage­ment sorgt für kon­trol­lier­te Prozess

In der Pra­xis wird in Pro­jek­ten oder agi­len Ent­wick­lun­gen oft in prag­ma­ti­scher Art und Wei­se mit einer Kopie von pro­duk­ti­ven Daten getes­tet. Um den Daten­schutz auch in Test­um­ge­bun­gen zu erhö­hen, soll­te man sich mit den The­men Test­da­ten und Test­da­ten­be­reit­stel­lung befassen. 

Als Grund­la­ge ist es wich­tig zu sehen, dass es sich bei Test­da­ten nicht ein­fach «nur» um anony­mi­sier­te oder syn­the­ti­sier­te Daten­sät­ze han­delt. Test­da­ten stel­len Daten­sät­ze in defi­nier­ten Daten­kon­stel­la­tio­nen dar, die für die Aus­füh­rung von defi­nier­ten Test­fäl­len benö­tigt wer­den. Alle wich­ti­gen Aspek­te rund um Test­da­ten sind in einem Test­da­ten­ma­nage­ment (TDM) zusam­men­ge­fasst. Das Test­da­ten­ma­nage­ment beinhal­tet kon­zep­tio­nel­le und metho­di­sche sowie orga­ni­sa­to­ri­sche und tech­ni­sche Mass­nah­men und Ver­fah­ren, um Test­da­ten zu bewirt­schaf­ten. Das Test­da­ten­ma­nage­ment ist eng mit dem Test­ma­nage­ment und dem «App­li­ca­ti­on Lifecy­cle Manage­ment» ver­bun­den. Es beinhal­tet eine Viel­zahl von Aspek­ten wie Ano­nymisierung, Syn­the­ti­sie­rung, Bereit­stel­lung, TDM-Tools sowie Betrieb und Support.

360excellence – Open Banking

Abbil­dung 1: Zusam­men­spiel des Test­pro­zes­ses und des Testdatenmanagementprozesses

Sys­tem­kon­text ermög­licht Übersicht

Als Grund­la­ge einer Test­sys­tem-Kon­zep­ti­on ist in einem ers­ten Schritt das rele­van­te Sys­tem inklu­si­ve aller für eine Anony­mi­sie­rung rele­van­ter Schnitt­stel­len zu defi­nie­ren und gra­fisch dar­zu­stel­len. Damit wird sicher­ge­stellt, dass alle am Anony­mi­sie­rungs­pro­zess betei­lig­ten Per­so­nen oder Orga­ni­sa­tio­nen ein iden­ti­sches Bild nut­zen. Damit wird das Anony­mi­sie­rungs­vor­ha­ben ver­ständ­lich vermittelt.

360excellence – Open Banking

Abbil­dung 2: Bei­spiel eines Sys­tem­kon­texts mit unter­schied­li­chen Schnittstellen

Ein Schlüs­sel­fak­tor ist die Abgren­zung des kon­kre­ten und appli­ka­ti­ons­spe­zi­fi­schen Daten­um­fangs für den Daten­schutz sowie wei­te­rer, dafür rele­van­ter daten­schutz­recht­li­cher Grund­la­gen. Dabei wer­den die Ver­füg­bar­keit der zu anony­mi­sie­ren­den Daten sowie die Defi­ni­ti­on der zuge­hö­ri­gen Anony­mi­sie­rungs­re­geln zen­tral. Für jede Appli­ka­ti­on gibt es spe­zi­fi­sche Anfor­de­run­gen, die bei der Ein­füh­rung von Daten­an­ony­mi­sie­rung und Test­da­ten­ma­nage­ment zu berück­sich­ti­gen sind.

Test­da­ten­ma­nage­ment aufbauen

Auf der einen Sei­te steht das Test­da­ten­ma­nage­ment mit Ansprü­chen an den Daten­schutz, die Test­da­ten­qua­li­tät und die Ver­füg­bar­keit von Test­da­ten. Auf der ande­ren Sei­te ste­hen die Kun­den bzw. Nut­zer, das sind in Pro­jek­ten die Fach­be­rei­che, die Ent­wick­lung und das Tes­ting. Nur wenn die Anfor­de­run­gen an die Test­da­ten ver­ständ­lich sind, kann davon aus­ge­gan­gen wer­den, dass auch die Erstel­lung und Nut­zung von anony­mi­sier­ten Test­da­ten mög­lich ist. Der Auf­bau des Test­da­ten-Manage­ments erfolgt typi­scher­wei­se in meh­re­ren Etap­pen. Bevor mit der Imple­men­tie­rung eines Test­da­ten­ma­nage­ments gestar­tet wird ist es wich­tig, sich mit der ange­streb­ten Matu­ri­täts­stu­fe aus­ein­an­der­zu­set­zen. Die unten­ste­hen­de Tabel­le erläu­tert die ein­zel­nen Rei­fe­grad­stu­fen von 1 bis 5 mit zuneh­men­der Kom­ple­xi­tät. Die Stu­fen sind in einem ent­spre­chen­den TDM-Kon­zept zu entwickeln.

360excellence – Open Banking

Abbil­dung 3: Die ein­zel­nen Rei­fe­grad­stu­fen einer Test­ma­nage­ment­stra­te­gie von Level 1 bis 5 mit zuneh­men­der Komplexität

Die Errei­chung eines vor­de­fi­nier­ten Matu­ri­täts­le­vels hängt von ver­schie­de­nen Fak­to­ren wie Zeit­plan und ver­füg­ba­ren Res­sour­cen (per­so­nell und finan­zi­ell) ab. Bei stra­te­gi­schen Pro­jek­ten, kür­ze­ren Release­zei­ten oder wenn agi­le Metho­den und Dev­Ops-Model­le inte­griert wer­den sol­len, wird min­des­tens ein Matu­ri­täts­le­vel 4 benö­tigt. Opti­mal soll­te Level 5 ange­strebt wer­den, um die Agi­li­täts­zie­le errei­chen zu können.

Test­da­ten und anony­mi­sier­te Daten sind unterschiedlich

Betrach­ten wir Test­da­ten und anony­mi­sier­te Daten näher, so sind wesent­li­che Unter­schie­de fest­zu­stel­len. Anony­mi­sier­te Daten und ein Test­da­ten­satz im Test­sys­tem dif­fe­ren­zie­ren sich dadurch, dass die Test­da­ten eine defi­nier­te Funk­ti­on im Test­pro­zess haben und ein­deu­tig einem oder meh­re­ren Test­fäl­len zuge­ord­net sind. Die anony­mi­sier­ten Daten dage­gen haben kei­ne ein­deu­ti­ge Funk­ti­on im Test­sys­tem und sind kei­nem Test­fall zuge­ord­net. Jeder anony­mi­sier­te Daten­satz kann zum Test­da­ten­satz wer­den, wenn die ein­deu­ti­ge Zuord­nung zu einem Test­fall oder einer Funk­ti­on im Test­sys­tem erfolgt ist.

Test­da­ten syn­the­ti­sie­ren oder anonymisieren?

Die Daten­schutz­an­for­de­run­gen an Test­da­ten kön­nen mit Anwen­dung von anony­mi­sier­ten und/oder mit syn­the­ti­sier­ten Daten erfüllt werden.

Anony­mi­sie­ren beinhal­tet die Ver­än­de­rung von per­so­nen­be­zo­ge­nen Daten, sodass die ein­zel­ne Anga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se nicht mehr oder nur mit einem unver­hält­nis­mäs­sig gros­sen Auf­wand (Zeit, Kos­ten und Arbeits­kraft) einer bestimm­ten natür­li­chen oder juris­ti­schen Per­son zuge­ord­net wer­den kön­nen. Die Anony­mi­sie­rung basiert auf der Ver­wen­dung von pro­duk­ti­ven Daten.

Bei syn­the­ti­schen Daten­sät­zen wer­den die Daten mit defi­nier­ten Ver­knüp­fun­gen und Wer­ten neu und unab­hän­gig von den aktu­el­len pro­duk­ti­ven Daten ange­legt. Syn­the­ti­sche Daten und anony­mi­sier­te Daten unter­lie­gen in der Fol­ge sehr unter­schied­li­chen Her­aus­for­de­run­gen und Risiken.

Wenn es der Zweck des Pro­jekts zulässt, soll­ten vor­zugs­wei­se anony­mi­sier­te Daten ver­wen­det wer­den. Anony­mi­sier­te Daten fal­len nicht mehr unter das Bun­des­ge­setz über den Daten­schutz. Ist die Anony­mi­sie­rung nicht mög­lich, kann mit pseud­ony­mi­sier­ten Daten gear­bei­tet wer­den. Wei­te­re Details dazu sind im «Leit­fa­den tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men des Daten­schut­zes» des EDÖB ersichtlich.

«Sen­si­ble Daten in Test­sys­te­men sind risi­ko­reich. TDM Tools ermög­li­chen effi­zi­en­te Daten­an­ony­mi­sie­rung und effek­ti­ves Testdatenmanagement.»

Rolf Bühl­mann, Co-Autor und Testdatenmanagement-Experte

Daten ana­ly­sie­ren und nach DSG beurteilen

Grund­sätz­lich sind alle Per­so­nen­da­ten, die sich gemäss Defi­ni­ti­on in DSG, Art. 3 lit. a.) auf eine bestimm­te oder bestimm­ba­re Per­son bezie­hen, zu anony­mi­sie­ren. Damit fällt die Bear­bei­tung des betref­fen­den Daten­sat­zes nicht in den Gel­tungs­be­reich des DSG. Bestimm­bar ist eine Per­son dann, wenn ein Rück­schluss auf sie auf­grund des Kon­texts mög­lich ist. Bei­spiels­wei­se durch indi­rekt iden­ti­fi­zie­ren­de Infor­ma­tio­nen wie eine Benut­zer­num­mer, eine IP-Adres­se, Stand­ort­da­ten, bio­me­tri­sche Daten oder ander­wei­ti­ge iden­ti­fi­zie­ren­de Anga­ben oder Iden­ti­fi­ka­ti­ons­merk­ma­le. Nach­ste­hend soll erläu­tert wer­den, wie man die Fra­ge: «Was muss anony­mi­siert wer­den?» ent­spre­chend beant­wor­ten kann. Dazu wird zunächst der Umfang der Anony­mi­sie­rung bestimmt. Die­ser ergibt sich aus der Ver­bin­dung der vor­han­de­nen Daten und den Anfor­de­run­gen des DSG. Die wei­te­ren Schrit­te sind:

  • betrof­fe­ne Daten mit­tels «sen­si­ti­ve Daten Dis­co­very» identifizieren
  • für jedes erkann­te Iden­ti­fi­ka­ti­ons­merk­mal wird der Umgang mit bestimm­ten Daten­ty­pen für die Anony­mi­sie­rung festgelegt

Das «sen­si­ti­ve Daten Dis­co­very» bezeich­net das Ver­fah­ren zur Unter­su­chung von Daten­struk­tu­ren auf sen­si­ti­ve und sen­si­ble Daten. Dabei wer­den direk­te und indi­rek­te Iden­ti­fi­ka­ti­ons­merk­ma­le über die gesam­te Daten­in­fra­struk­tur hin­weg gesucht und identifiziert.

  • Direk­te Iden­ti­fi­ka­ti­ons­merk­ma­le: Daten las­sen direk­te Iden­ti­fi­zie­rung zu
  • Indi­rek­te Iden­ti­fi­ka­ti­ons­merk­ma­le: Daten, wel­che in Ver­bin­dung mit ande­rem Wis­sen eine Iden­ti­fi­ka­ti­on ermöglichen
  • Nicht iden­ti­fi­zie­ren­de Daten: Alle ande­ren Daten, die weder direk­te oder indi­rek­te Iden­ti­fi­ka­ti­ons­merk­ma­le darstellen

Iden­ti­fi­ka­ti­ons­merk­ma­le anonymisieren

Die Iden­ti­fi­zie­rung von Iden­ti­fi­ka­ti­ons­merk­ma­len über­nimmt der hier­für ver­ant­wort­li­che Test­da­ten­mo­del­lie­rer. Er ver­ant­wor­tet die Ana­ly­se der Iden­ti­fi­ka­ti­ons­merk­ma­le und die Pla­nung der Anony­mi­sie­rung im Detail. 

Bei der Ana­ly­se und der Pla­nung ist es wich­tig zu berück­sich­ti­gen, dass bei jeder Anony­mi­sie­rung die refe­ren­zi­el­le Inte­gri­tät, wel­che zwi­schen Iden­ti­fi­ka­ti­ons­merk­ma­len herrscht, beach­tet wer­den muss. 

Für die Anony­mi­sie­rung ist für jeden sen­si­blen Daten­typ durch den Test­da­ten­mo­del­lie­rer, wel­cher exem­pla­risch die Anony­mi­sie­rung vor­be­rei­tet, die Defi­ni­ti­on der Daten­ver­än­de­rung fest­zu­le­gen. Anschlies­send wird der Test­da­ten­pro­du­cer die­se in Anony­mi­sie­rungs­rou­ti­nen umsetzen.

Test­da­ten­ma­nage­ment (TDM) Tools verwenden

Die Test­da­ten­ma­nage­ment Tools gewähr­leis­ten ein nach­voll­zieh­ba­res End-to-End-Test­da­ten­ma­nage­ment. Dies ist für die effi­zi­en­te Bereit­stel­lung von Test­da­ten in ver­netz­ten Sys­te­men sinnvoll.

Spe­zi­fi­sche Tools bie­ten bei­spiels­wei­se auch Funk­tio­nen zur Daten­mas­kie­rung, Daten­un­ter­tei­lung und zur syn­the­ti­schen Daten­er­zeu­gung. Die­se wer­den oft kom­bi­niert mit einer Viel­zahl wei­te­rer län­der­spe­zi­fi­scher Algo­rith­men für die Daten­an­ony­mi­sie­rung. Dabei gilt es, die refe­ren­zi­el­le Daten­in­te­gri­tät in allen gän­gi­gen Daten­bank­for­ma­ten zu berück­sich­ti­gen. So unter­stüt­zen die­se Test­da­ten­ma­nage­ment Tools die Ein­hal­tung der Daten­schutz­vor­ga­ben im Unternehmen.

«Pro­duk­ti­ons­da­ten stel­len eine wert­vol­le Grund­la­ge für Test­da­ten­be­stän­de dar. Eine zuneh­men­de Sen­si­bi­li­sie­rung der Kun­den und sich ver­schär­fen­de daten­schutz­recht­li­che Grund­la­gen in Bezug auf die Ver­wen­dung von pro­duk­ti­ven Daten in nicht pro­duk­ti­ven Sys­te­men ver­un­mög­li­chen die­se Pra­xis in Zukunft. Die Lösung besteht dar­in, auf Basis von pro­duk­ti­ven Daten­be­stän­den über bewähr­te Metho­den und Tools der Anony­mi­sie­rung und Syn­the­ti­sie­rung von sen­si­blen Daten­ty­pen einen rechts­kon­for­men Test­da­ten­be­stand zu erzeu­gen und zu ver­wal­ten. Die­ser Daten­be­stand trägt wesent­lich zur Risi­ko­re­duk­ti­on von miss­bräuch­li­cher Daten­ver­wen­dung bei, da kei­ner­lei Rück­schlüs­se auf real exis­tie­ren­de Per­so­nen oder beson­ders schüt­zens­wer­te Daten ermög­lich sind.»

Ste­fan Lenz