Vor dem Einsatz neuer Technologien, ist es notwendig, dass entsprechende Testverfahren durchlaufen werden, bevor eine Umsetzung im Produktivbetrieb vorgenommen werden kann. Vor allem, wenn die Technologie dazu dienen soll in den IT-Systemen personenbezogene Daten zu bearbeiten, sind besondere Vorkehrungen zu treffen.

I. Durchführung eines Testbetriebs

Im Allgemeinen gilt der Grundsatz, dass es im Hinblick auf die datenschutzrechtlichen Regelungen des Bundesdatenschutzgesetzes a.F. bzw. der ab Mai 2018 gültigen Europäische Datenschutz-Grundverordnung nicht erlaubt ist, personenbezogene Echtdaten ohne Weiteres in der Integrations- und Testphase zu verwenden. Denn eine rechtswidrige Verwendung hätte weitreichende Folgen auf die Zugriffsberechtigungen, Fehleranalyse und eventuelle Datensicherungen. Der Umgang mit personenbezogenen Daten ist nur zweckbezogen erlaubt, eine Einbringung in ein Testsystem würde eine Zweckänderung darstellen, welche aber gerade nicht zur Wahrung der Interessen erforderlich ist. Grundsätzlich sollten demzufolge Testdaten (z.B. synthetische Datensätze) oder anonymisierte Daten in das IT- System eingespielt werden, um den Funktions- und Programmtest durchzuführen.

Der Testbetrieb sollte in einer isolierten Testumgebung (ohne Verbindungen zum Produktivsystem) durch eine kleine Gruppe von Testern durchgeführt werden und anschließend durch einen nachweisbaren Integrations- und Abnahmetest freigegeben werden.

II. Datenschutzrechtliche Prüfungen im Vorfeld

Neben der allgemeinen Funktionalität ist noch davor aus datenschutzrechtlicher Sicht zu überprüfen, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Eine solche Überprüfung dient einer Beschreibung der geplanten Verarbeitungsvorgänge und einer Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt werden kann.

Im Rahmen einer ersten Stellungnahme der Artikel-29-Datenschutzgruppe wurden entsprechende – nicht rechtsverbindliche – Kriterien zusammengefasst, bei welchen eine Datenschutz-Folgenabschätzung durchzuführen ist. Das sind insbesondere solche Aspekte über:

• Daten zur Bewertung, zum Scoring oder zum Profiling, insbesondere in den Bereichen Arbeit, wirtschaftliche Situation, Gesundheit, persönliche Vorlieben und Interessen, Bonität, Verhaltensweisen, Aufenthaltsort;
• Formen automatisierter Entscheidungsfindung mit rechtlichen Folgen;
• Verarbeitung sensibler Daten wie beispielsweise Gesundheitsdaten;
• umfangreiche Verarbeitungsvorgänge;
• zusammengeführte oder kombinierte Datensätze;
• Daten schutzbedürftiger Personen wie Kindern, älteren Menschen, Patienten oder Mitarbeitern;
• Nutzung neuer Technologien wie IoT-Entwicklungen;
• Datentransfers außerhalb der EU;
• Datenverarbeitung kann dazu führen, dass ein Betroffener ein Recht nicht ausüben oder einen Vertrag nicht schließen kann (bspw. Prüfung auf Kreditwürdigkeit);

In der Praxis soll bei Erfüllung mindestens zwei dieser Anhaltspunkte eine entsprechende Datenschutz-Folgenabschätzung durchgeführt werden.

Zudem müssen beim Einsatz neuer Technologien weitere Aspekte des Datenschutzes- und der Datensicherheit betrachtet werden, wie die Umsetzung der Datenminimierung, der Vermeidung einer negativen Wechselwirkung mit anderer Software bzw. Programmen und der Grundsatz der datenschutzfreundlichen Technikgestaltung.