M 2.509 Datenschutzrechtliche Freigabe

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Datenschutzbeauftragter

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung

Software und IT-Verfahren sind mit systematisch entwickelten Fall-Konstellationen (Testdaten, keine personenbezogenen Echtdaten) nach einem Testplan, aus dem das gewünschte Ergebnis hervorgeht, zu überprüfen (siehe auch M 2.83 Testen von Standardsoftware ). Massentests können, wenn erforderlich, nach Zustimmung und Vorgaben der fachlich dafür zuständigen Stelle mit anonymisierten Originaldaten durchgeführt werden. Die Zustimmung der fachlich zuständigen Stelle zur Anonymisierung von Originaldaten und alle Testergebnisse sind revisionssicher zu dokumentieren.

Tests mit einer Kopie der erforderlichen, nicht-anonymisierten Originaldaten (personenbezogene Echtdaten) sind nur zulässig, wenn

Der/die behördliche bzw. betriebliche Datenschutzbeauftragte bzw. eine sonstige dafür zuständige Stelle ist rechtzeitig vor den geplanten Tests mit Originaldaten zu informieren.

Der Kopierzugriff auf die Originaldaten ist zu protokollieren. Nach Beendigung des Tests ist die benutzte Kopie der Originaldaten unverzüglich aus dem Testbereich zu löschen bzw. im Testbereich zu anonymisieren. Die Verwendung von Originaldatenkopien ist mit Anlass, Begründung, Umfang und Dauer, die getroffenen Sicherheitsmaßnahmen sowie die vorangehenden Tests mit Testdaten revisionssicher zu dokumentieren.

Es muss geregelt sein, wie IT-Verfahren abgenommen, freigegeben, eingespielt bzw. benutzt werden dürfen. Auf die Maßnahmen M 2.62 Software-Abnahme- und Freigabe-Verfahren bzw. Baustein B 1.10 Standardsoftware wird verwiesen.

Die Freigabe von IT-Verfahren mit der Verarbeitung personenbezogener Daten setzt eine Prüfung auch aus datenschutzrechtlicher Sicht voraus. Die vorherige Beteiligung des Landesbeauftragten für den Datenschutz wird in einigen Landesdatenschutzgesetzen vorgeschrieben.

Prüffragen: