Ehe Software oder Datenbanken absolut rund laufen, bedarf es vieler Tests. Zwei oder drei Fantasie-Datensätze reichen dazu in der Regel nicht aus. Denn Testläufe sind nur dann aussagefähig, wenn sie mit einer ausreichenden Menge an Informationen erfolgen und die Datenbanken realitätsnah gefordert werden. Warum also nicht auf vorhandenes Material zurückgreifen und mit echten Kunden-Daten arbeiten? Die Entscheidung ist zweifelsfrei nachvollziehbar, setzt datenschutzrechtlich allerdings einiges an Fingerspitzengefühl voraus.
Die Testsysteme müssen zunächst einmal absolut sicher sein. Heißt: Technisch und organisatorisch gelten die gleichen Maßstäbe wie im realen Geschäftsalltag. Schließlich handelt es sich um echte, damit sensible personenbezogene Daten, die bei den Tests verwendet werden. Die IT-Sicherheit hat daher oberste Priorität. Geklärt werden muss in dem Zusammenhang unter anderem, wer im Rahmen der Versuche mit den Daten arbeitet und ob sie möglicherweise an externe Dienstleister weitergegeben werden. Ein solcher Schritt erfordert in der Regel eine ergänzende Vereinbarung über die Auftragsdatenverarbeitung.
Punkt zwei, auf den es zu achten gilt, ist die Zweckbindung. Werden Daten verarbeitet, bedarf es eines bestimmten Zwecks, der bereits vorher festgelegt und im Idealfall auch dokumentiert wurde. Die Daten für andere Zwecke zu nutzen, ist nur mit Einwilligung der Betroffenen oder auf gesetzlicher Grundlage als Zweckdurchbrechung oder Zweckänderung möglich. Ausschlaggebend ist diesbezüglich Paragraf 28 des Bundesdatenschutzgesetzes (BDSG: Datenerhebung und -speicherung für eigene Geschäftszwecke), auf dessen Basis eine Interessenabwägung erfolgen muss.
Die dritte Frage, die geklärt werden muss: Ist es tatsächlich erforderlich ist, bei Software- und Datenbanktests mit Echtdaten zu agieren? Das BDSG verweist darauf, dass die Erforderlichkeit nur dann gegeben ist, wenn keine andere, genauso gut geeignete Möglichkeit besteht – also kein „milderes“ Mittel infrage kommt. Immer vorausgesetzt, die Rechte der Betroffenen werden gewahrt. Ganz wichtig: Das Testsystem muss gemäß Paragraf 9 BDSG klar vom Produktivsystem getrennt werden. Generell empfiehlt es sich, vorab mit einem Datenschutzbeauftragten zu sprechen, um alle Aspekte zu beleuchten.