Datenanonymisierung in Test- und Dev-Systemen

15. Dezember 2021 15:58

Hallo liebe Forumsgemeinde,

ich habe nachfolgende Datenschutzanforderung zu prüfen, bei der ich aktuell nicht weiß, wie sie am besten umgesetzt werden soll. Vielleicht könnt ihr mir hierzu einen Tipp geben.

Unser Entwicklungssystem ist datenbanktechnisch eine Kopie vom Produktionssystem. Um mit aktuellen Daten testen zu können, wird das Entwicklungssystem unregelmäßig gefresht, d.h. mit einem Backup aus dem Produktivsystem überspielt.

Nun sollen im Entwicklungssystem aufgrund von DSGVO-Anforderungen personenbezogene Daten anonymisiert werden, weil auf das System Dritte / Externe zugreifen. Mit personenbezogenen Daten sind u.a. Debitoren und Kontakte gemeint. Welche Möglichkeiten gibt es?

Ich habe mir u.a. das AddOn von TSO angeschaut (https://www.tso.de/datenschutz-dsgvo-to ... al/#c13030). Nur hier scheint es so zu sein, dass man ein Anonymisierungsdatum definieren kann, was aber nicht ganz die Anforderung trifft.

Ich möchte initial, nachdem die DEV-Env. neu aufgebaut wurde, einen Job ,oder wie auch immer, laufen lassen, der in definierten Tabellen definierte Felder anonymisiert.

Viele Grüße

Re: Datenanonymisierung in Test- und Dev-Systemen

15. Dezember 2021 16:37

ich würde ins Verfahrensverzeichnis die externen aufführen und als Maßnahme ein zeitlich begrenzten Login einführen, dazu ein AV-Vertrag und Fertig.
Habt ihr denn B2C oder nur B2B Geschäft?

Re: Datenanonymisierung in Test- und Dev-Systemen

16. Dezember 2021 10:30

Hallo,
danke für deine Antwort. Ich denke eigentlich auch, dass es nicht unbedingt technisch gelöst werden muss. Ob das rechtssicher ist, kann ich aber nicht einschätzen.
Entschuldige die vermeintlich blöde Frage: AV ist wofür die Abkürzung?

Wir machen zu wahrscheinlich 98% nur B2B.

Viele Grüße

Re: Datenanonymisierung in Test- und Dev-Systemen

16. Dezember 2021 10:38

Hallo Hector

ich AV-Vertrag mal gegoogelt => https://www.180-datenschutz.de/auftrags ... gsvertrag/

Jetzt habe ich auch Wichtiges dazugelernt - denn ich wusste auch nicht, dass es das gibt. Aber super, denn auch ich erhalte vom Audit genau die gleiche Anforderung gestellt :-|

VG
Anke

Re: Datenanonymisierung in Test- und Dev-Systemen

16. Dezember 2021 12:58

ob das rechtssicher ist kann ich auch nicht beurteilen, jedenfalls nach meinem Verständnis wäre das in Ordnung.
Man kann bei der DSGVO auch immer damit argumentieren, dass der Aufwand und die damit verbundenen Kosten für die Anonymisierung etc. viel zu hoch ist. (Man stelle sich einen kleinen Tischlerbetrieb vor, der für etliche Tausend Euro Anonymisierungssoftware kaufen muss, die er die nächsten 5 Jahre abbezahlt, nun aber kein Geld mehr für andere wichtige Investitionen übrig hat)
Und da ihr zu 98% B2B Geschäfte macht würde ich das ganze nochmal weniger dramatisch sehen.
Anders wäre es, wenn ihr ein Gesundheitsportal wärt mit besonders schützenswerten Daten von privaten Personen.

Re: Datenanonymisierung in Test- und Dev-Systemen

17. Dezember 2021 13:38

Ich danke euch vielmals für eure Beiträge und werde einmal intern prüfen, ob das nicht auch für uns ausreichend ist:
1. Verfahrensverzeichnis aufsetzen
2. Auftragsverarbeitungsvertrag nach DSGVO mit allen Externen
3. zeitlich begrenzte Logins einrichten