Verarbeitung personenbezogener Echtdaten zur Netz- und Informationssicherheit

Zusammenfassung

Zur Gewährleistung eines angemessenen Sicherheitsniveaus und einer durchgreifenden Datensicherheit, sind verantwortliche Stellen zur Durchführung von technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO verpflichtet. Dies beinhaltet die Durchführung von Softwaretestungen. Strengere Vorgaben gibt es bei hohem Schutzbedarf, wie etwa für Kritische Infrastrukturen (KRITIS). Um Schwachstellen in der IT aufzudecken, soll oftmals unter so realen Bedingungen wie möglich – demnach auch mit Echtdaten – geprobt und getestet werden. Weisen diese Echtdaten einen Personenbezug auf, sind Gesichtspunkte des Datenschutzes und die Vorgaben der Datenschutz-Grundverordnung zu berücksichtigen. Der Beitrag beleuchtet, ob und unter welchen Voraussetzungen aus Gründen der IT-Sicherheit, insbesondere bei Softwaretests, Verarbeitung mit personenbezogenen Echtdaten durchgeführt werden können.