Testdatenanonymisierung: Der Schlüssel zur DSGVO- und DORA-Konformität

Unternehmen stehen vor der anspruchsvollen Aufgabe, die DSGVO- und DORA-Vorgaben [...]

von Laura De Michele
Eine Frau in einem Blazer lächelt, während sie mit einem Marker auf eine Tafel schreibt. Das Whiteboard zeigt ein Flussdiagramm mit handschriftlichen Notizen und Pfeilen, die verschiedene Schritte miteinander verbinden.

Unternehmen stehen vor der anspruchsvollen Aufgabe, die DSGVO- und DORA-Vorgaben bei der Nutzung realistischer Testdaten zu erfüllen. Besonders der Finanz- und Versicherungssektor sieht sich durch die DORA-Regelungen mit zusätzlichen Compliance-Anforderungen konfrontiert – diese schaffen jedoch nicht nur Hürden, sondern auch Spielräume für effiziente und sichere Testprozesse. Eine durchdachte Anonymisierungsstrategie ermöglicht es, qualitativ hochwertige Testdaten bereitzustellen, ohne die regulatorischen Vorschriften zu verletzen. Doch wo liegen die Grenzen zwischen Erlaubtem, Sinnvollem und Praktikablem?

Gesetzliche Grundlagen im Testdatenmanagement

Die Europäische Datenschutzgrundverordnung (DSGVO) regelt seit 2018 den Datenschutz und die Nutzung personenbezogener Daten. Finanz- und Versicherungsinstitute müssen darüber hinaus seit Januar 2025 die zusätzlichen Anforderungen des Digital Operational Resilience Act (DORA) beachten. Beide Regularien betreffen Entwicklungs- und Qualitätssicherungsprozesse und setzen klare Grenzen beim Umgang mit Testdaten.

Die DSGVO schreibt Datensparsamkeit und Zweckbindung vor: Personenbezogene Daten dürfen nur für ihren ursprünglichen Verwendungszweck genutzt werden, etwa für die Abwicklung eines Geschäftsprozesses. Eine einfache Kopie von Produktionsdaten in Testumgebungen ist daher ohne angemessene Schutzmaßnahmen nicht zulässig. Beispielsweise wäre es nicht rechtmäßig, wenn Mitarbeitende mit Zugriff auf Produktionsdaten in der Testumgebung uneingeschränkten Zugang zu denselben Daten hätten – hier fehlt der klare Zweckbezug.

DORA ergänzt diese Vorgaben speziell für Finanzinstitute. Die Verordnung zielt auf die digitale Widerstandsfähigkeit ab, reguliert das Risikomanagement und Testverfahren im Bereich der Informations- und Kommunikationstechnologie (IKT) und eröffnet unter bestimmten Voraussetzungen sogar Möglichkeiten für den rechtlich abgesicherten Einsatz von Echtdaten in Tests.

Techniken zur Datenmaskierung im Vergleich

Anonymisierung und Datenmaskierung sind wesentliche Verfahren, um personenbezogene Daten gemäß DSGVO und DORA sicher für Testzwecke bereitzustellen. Während die Anonymisierung eine irreversible Entfernung des Personenbezugs anstrebt, umfasst die Datenmaskierung verschiedene Methoden (darunter auch die Pseudonymisierung), die den Datenschutz erhöhen, ohne zwingend vollständige Anonymität zu gewährleisten.
Tabelle 1 zeigt einen Vergleich gängiger Techniken zur Datenmaskierung und deren Eignung.

Tabelle 1: Vergleich gängiger Techniken zur Datenmaskierung

Methode

Beschreibung

Beispiel

Vorteile

Nachteile

Compliance-Level

Pseudonymisierung

Identifizierende Merkmale werden ersetzt

Kundennummer von 0711 auf 9188
(0=9; 7=1; 1=8)

Struktur erhalten, einfach umsetzbar

Rückführbarkeit möglich

Mittel

Shuffling (Mischung)

Werte werden innerhalb eines Datenfeldes oder über Datensätze hinweg vertauscht.

Telefonnummern, Namen oder Adressen werden innerhalb der Spalte durchmischt

Einfache Umsetzung; Beibehaltung realitätsnaher Werte; gut kombinierbar mit anderen Methoden

Kein vollständiger Schutz bei eindeutig identifizierbaren Daten – zusätzliche Anonymisierung nötig

Mittel

Obfuskation

Teile der Daten werden unkenntlich gemacht bzw. nicht angezeigt

Kreditkartennummer: ****1234

Schnell und leicht zu implementieren

Begrenzter Schutz

Mögliche Frontendvalidierungen können fehlschlagen (je nach Systemlandschaft)

Mittel bis Hoch

Perturbation (Variationsmethode)

Fügt statistische Variation zu numerischen Werten hinzu

Umsatz von 10.000 zu 10.372 €

Erhält Trends, schützt Identität

Komplex, nicht für alle Datentypen geeignet

Hoch

Synthetische Daten

Realitätsnahe, aber fiktive Datensätze generiert unter anderem durch Verwendung von Hashfunktionen

Simulierte Kundendaten

Kein Bezug zu realen Personen

Hoher Aufwand, technische Hürden

Sehr hoch

Datenmaskierungsprozess

Ein mehrstufiger Datenmaskierungsprozess bzw. Anonymisierungsprozess beginnt mit der systematischen Datenklassifizierung zur Identifikation kritischer Datenfelder (z. B. Namen, Adressen, Kundennummern). Darauf aufbauend erfolgt eine detaillierte Risikobewertung möglicher Schäden bei Offenlegung. Basierend auf diesen Erkenntnissen werden passende Maskierungstechniken ausgewählt. Nach der Methodenauswahl folgt die konkrete Implementierung der gewählten Techniken im jeweiligen Kontext. Die referenzielle Integrität über Systemgrenzen hinweg muss dabei durchgängig gewährleistet bleiben, etwa durch die Verwendung spezifischer Nummernkreise beim Ersetzen von IDs. Die umgesetzten Maßnahmen müssen anschließend überprüft und validiert werden – beispielsweise im Hinblick auf Datenqualität oder Funktionalität in Testsystemen. Abschließend stellt eine gründliche Qualitätssicherung die Lesbarkeit und Relevanz der Testdaten sicher. Beispielsweise sollten Namen nicht durch kryptische Zeichenfolgen wie „579HXR“ ersetzt werden, sondern aus einem realitätsnahen Namenspool generiert werden, z. B. per Zufallszuweisung gängiger deutscher Namen. Nur bei erfolgreicher Validierung kann eine abschließende Dokumentation der Anonymisierungsstrategie und -ergebnisse erfolgen.

grafik-20250515-082256.png
Bild: Datenmaskierungsprozess

DORA-Ausnahmereglung und Best Practices für Echtdaten

In Ausnahmefällen erlaubt die DORA-Verordnung (DORA RTS, Art. 16 Abs. 1, 2, 4, 5) den Einsatz von Echtdaten in Testumgebungen. Diese Ausnahme gilt jedoch nur unter sehr engen Voraussetzungen: Eine Nutzung ist gestattet, wenn die Anonymisierung der Daten technisch nicht durchführbar ist oder der Test ohne Echtdaten keine aussagekräftigen Ergebnisse liefern könnte. Zusätzlich müssen umfassende Schutzmaßnahmen getroffen werden, und die Verwendung von Echtdaten muss formal dokumentiert und genehmigt sein. Diese Bedingungen verdeutlichen die hohen Anforderungen an den Einsatz von sensitiven Produktionsdaten außerhalb des eigentlichen Betriebszwecks.

Um den sicheren und rechtskonformen Umgang mit Echtdaten zu gewährleisten, sollten Unternehmen systematisch vorgehen und die Nutzung dieser Daten bis ins Detail absichern. Zunächst ist eine ausführliche Dokumentation unerlässlich: Es muss klar dargelegt werden, warum eine Anonymisierung nicht möglich ist und weshalb die Verwendung von echten Daten in der spezifischen Testsituation erforderlich ist. Der Zugang zu diesen Daten sollte dabei auf ein absolutes Minimum an Personen begrenzt werden. Idealerweise erhalten nur speziell geschulte Mitarbeitende Zugriff, die auf ihre Datenschutzpflichten vorbereitet wurden.

Ein weiteres zentrales Element sind erweiterte Sicherheitsmaßnahmen. Dazu gehört beispielsweise ein präzises „Logging“ aller Zugriffe, sodass jedes Handling der Daten uneingeschränkt nachvollziehbar ist. Ergänzend sollte ein zuverlässiges Monitoring-System etabliert werden, das potenzielle Verstöße oder ungewöhnliche Aktivitäten umgehend erkennt. Zeitliche Beschränkungen für die Nutzung sind ebenfalls essenziell – die Daten dürfen nur so lange verfügbar sein, wie der Test benötigt wird. Anschließend müssen sie unverzüglich und sicher gelöscht werden, was durch klare Löschkonzepte gewährleistet wird.

Best Practices zusammengefasst

  • Dokumentation: Begründung für den Echtdaten-Einsatz, inklusive Risikoanalyse
  • Zugriffskontrolle: Nur autorisierte, geschulte Personen mit begrenztem Zugriff
  • Logging & Monitoring: Umfassende Protokollierung und Echtzeitüberwachung
  • Löschkonzept: Datenzugriff auf Testzeitraum begrenzt, danach sofortige Löschung

Grundsätzlich stehen zwei Ansätze zur Wahl:

  1. Vollständige Anonymisierung: Garantiert maximale Datensicherheit und Compliance.
  2. Kontrollierter Zugriff auf Echtdaten: Hohe Schutzmaßnahmen und Zugriffsbeschränkungen bei technisch notwendigen Tests mit relevanten Daten.

Unternehmen haben grundsätzlich zwei Ansätze zur Wahl: Sie können entweder auf maximale Datensicherheit setzen, indem sie ausschließlich vollständig anonymisierte Testdaten verwenden, oder sie erlauben unter strengen Bedingungen den kontrollierten Einsatz von Echtdaten. In der Praxis sind jedoch Mischformen häufig die beste Lösung. Eine Teilanonymisierung – etwa durch das Maskieren besonders sensibler Felder – kann mit räumlichen und zeitlichen Zugriffsbeschränkungen kombiniert werden. Dabei muss sorgfältig zwischen zentral definierten Richtlinien und der Flexibilität dezidierter Projektentscheidungen abgewogen werden, da die Anforderungen oft stark vom jeweiligen Testkontext abhängen.

Mit Blick auf die vollständige Inkraftsetzung von DORA ergeben sich konkrete Handlungsfristen auch für die Testdatenstrategie:

  • Ab Q3 2025: Nachweis der Compliance durch Audits und Dokumentation

Für viele Institute bedeutet das: Handlungsbedarf besteht jetzt, um nicht in zeitlichen Rückstand zu geraten.

Fazit

Die Balance zwischen anspruchsvollen regulatorischen Anforderungen und realitätsnahem Testen ist herausfordernd, aber machbar. Eine nachhaltige Testdatenstrategie kombiniert technische und organisatorische Maßnahmen zur Anonymisierung, setzt auf Datenminimierung und reduziert gleichzeitig Risiken und Kosten. Eine ausgewogene Testdatenstrategie, die technische und organisatorische Maßnahmen intelligent kombiniert, ist der Schlüssel zum Erfolg.

Literatur

[1] Europäisches Parlament und Rat, Verordnung (EU) 2016/679 (Datenschutz-
Grundverordnung), 2016, siehe: https://eur-
lex.europa.eu/eli/reg/2016/679/oj/deu?locale=de

[2] Europäisches Parlament und Rat, Verordnung (EU) 2022/2554 (DORA), 2022, siehe:
https://eur-lex.europa.eu/eli/reg/2022/2554/oj/deu?locale=de[3] BaFin, Orientierungshilfe zu Anforderungen an die IT in Finanzinstituten, 2021, BAIT:
BaFin veröffentlicht Anforderungen an die IT von Banken, siehe:
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2017/meldung_17110
6_BAIT.html[4] Bundesamt für Sicherheit in der Informationstechnik, Technische Richtlinie TR-03139:
Anonymisierung personenbezogener Daten, 2022, siehe:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-
Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03139/TR-03139_node.html

[5] Europäische Kommission, Delegierte Verordnung (EU) 2024/1532 zur Ergänzung der
Verordnung (EU) 2022/2554 (DORA) hinsichtlich technischer Regulierungsstandards für das

IKT-Risikomanagement, 2024, https://ec.europa.eu/finance/docs/level-2-measures/dora-
regulation-rts–2024-1532_en.pdf

Keywords: DSGVO, DORA, Datenschutz, Finanzsektor, Testdatenmanagement, Anonymisierung, IT-Risiko

Das könnte Sie auch interessieren
  • Dev Ops
    Unternehmen

    DevOps@TestGilde: Dein Weg zu effizientem Testen im DevOps-Zeitalter

    von TestGilde

    Die Veränderung der Softwareentwicklungsprozesse hat erhebliche Auswirkungen auf die Testprozesse. Der TestGilde-Weg bietet eine klare Vision für die Umgestaltung des Testprozesses von manuell zu automatisiert und integriert in die Entwicklungsphase.

  • Software Optimierung lernen
    Unternehmen

    7 Jahre Betriebszugehörigkeit

    von TestGilde

    Was vor 17 Jahren mit zwei Personen begann, ist heute ein Team aus 25 engagierten Mitarbeiter*innen. Einige Kollegen und Kolleginnen waren bereits sehr früh mit dabei, andere sind auf unserem langen Weg hinzugestoßen.

  • Testautomatisierung lernen
    TestmanagementUnternehmen

    Qualitätsmodell der TestGilde – jetzt wissenschaftlich bestätigt

    von TestGilde

    Eine neue Studie mit mehr als 7000 Probanden belegt: Arbeiten, die pünktlich abgegeben werden, werden besser bewertet als Arbeiten, die trotz identischem Inhalt verspätet fertiggestellt wurden.