Die neue DSGVO und Testing

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

08. Mai 2018

Am 25. Mai 2018 wird, wie bekannt, die Datenschutz Grundverordnung in Kraft treten. Natürlich laufen die Bemühungen die entsprechende Gesetzesvorlage zu erfüllen in den meisten Betrieben bereits auf Hochtouren. Und auch wenn die Interpretationen der einzelnen Artikel zum Teil erheblich voneinander abweichen dürften (und letzten Endes wahrscheinlich von zuständigen Gerichten abschließend geklärt werden müssen), so wird doch jedes Unternehmen bereits seit längerem eine grundsätzliche Vorstellung davon haben, welche Auswirkungen die gesetzlichen Vorgaben für die eigene Arbeitsweise und den Umgang mit kundenspezifischen Daten haben werden.

Für den Test sind diese Vorstellungen und Interpretation selbstverständlich unverzichtbar, da sie ja die Basis für die Anforderungen darstellen, gegen die Testfälle entwickelt werden müssen. Nicht nur im Bereich der Softwareentwicklung, sondern auch die eigentlichen Geschäftsprozesse betreffend. Allerdings ist gerade bei einer gesetzlichen Vorgabe nicht nur die Durchführung des Testprozesses an sich wichtig. Mindestens genauso entscheidend ist die häufig nicht beachtete saubere Dokumentation sowohl der Anforderungen, als auch der Durchführung der Testfälle und der Ergebnisse und deren Auswertung. Die Bedeutung ergibt sich schnell, wenn man externe Prüfungen in Betracht zieht. Denn Testunterlagen dienen als *der* Beweis für die Konformität (oder zumindest den Versuch sie zu erreichen) mit den gesetzlichen Regelungen. Und im Test gilt immer die Regelung: „Wenn es nicht dokumentiert ist, ist es nicht erfolgt.“.  Man sollte dabei auch immer bedenken: Eine firmenintern akzeptierte Regelung zur Dokumentation von Tests könnte von externen Auditoren (z.B. Datenschutzbeauftragte von Partnern oder auch staatliche Prüfstellen) durchaus als nicht ausreichend empfunden werden. Was zusammengefasst bedeutet, dass in solchen Fällen eine gesetzliche Vorgabe als nicht erfüllt betrachtet werden muss und die entsprechenden Konsequenzen nach sich zieht. Im besten Falle wäre das eine aufwendige und teure Nachdokumentation. Es könnten aber möglicherweise auch eine Neudurchführung der Testphase, Neuerstellung der Anforderungen und in jedem Falle empfindliche Strafen drohen.

Es empfiehlt sich also in jedem Fall nicht nur die eigenen Prozesse und die eigene Software auf die entsprechende Änderung vorzubereiten, sondern auch geeignete Wege zu finden um zu beweisen, dass man es getan hat.