Was bedeutet das nDSG für unsere Kunden?

Mit der Einführung einer gesamteuropäischen Datenschutz-Grundverordnung (DSGVO; französisch Règlement général sur la protection des données RGPD, englisch General Data Protection Regulation GDPR) im Mai 2018 wurde die Verarbeitung von personenbezogenen Daten seitens privater und öffentlicher Dienstleister geregelt. Diese Harmonisierung hatte zwei Ziele: Erstens sollte der Schutz personenbezogener Daten innerhalb des Europäischen Wirtschaftsraums einheitlich geregelt werden und zweitens sollte die Möglichkeit geschaffen werden einen unterbrechungsfreien und uneingeschränkten Informationsfluss innerhalb EU zu gewährleisten. Nicht nur Europäische Unternehmen sind davon betroffen. Die folgenden Beispiele zeigen, dass auch Schweizer Unternehmungen von der DSGVO tangiert werden. Wenn zum Beispiel personenbezogene Daten im EG-Raum (EWR; Europäischer Wirtschaftsraum) teilweise oder ganz verarbeitet, Waren oder Dienstleitungen EU-Kunden angeboten oder Daten über einen Online-Shop zu Marketingzwecke gesammelt werden. Die Welt ist schon lange zu einem digitalen Dorf zusammen gewachsen.

DS01

Mit der Verabschiedung zum neuen Datenschutzgesetz (nDSG) im September 2020 und der damit voraussichtlichen Inkraftsetzung für 2022 kommt der Schweizer Gesetzgeber einer gesamtheitlich europäischen Lösung nach. Dies bedeutet nicht, dass die DSGVO übernommen wurde, sondern vielmehr dass das bestehende DSG hinsichtlich europäischer Harmonisierung revidiert und Schweizerische Eigenheiten integriert wurden. Das bedeutet, dass im Gegensatz zur DSGVO nicht nur Unternehmungen rechtlich in die Pflicht genommen, sondern auch Privatpersonen, also Angestellte einer Unternehmung, haftbar gemacht werden können. Dies zeigt, dass die Schweizer Unternehmenskultur auch in diesem Bereich mehr auf Eigenverantwortung und Pflichtbewusstsein setzt und in einem besonderen Masse zur Qualitätsverbesserung der Thematik beiträgt. Wenn Mitarbeiter zu Mitschaffende werden, zahlt sich das oft hinsichtlich Qualität und Produktivität aus. Was hat sich nun konkret geändert:

      • Kein Schutz der Daten von juristischen Personen: Es werde nur noch die Daten von natürlichen Personen als schützenswert angesehen
      • Besonders schützenswerte Daten: Die Liste der besonders schützenswerten Daten wurde u.a. um genetische und biometrische Daten erweitert
      • Profiling: Das Profiling mit hohem Risiko (Auswertung durch Verknüpfung von Daten) erfordert eine ausdrückliche Einwilligung
      • Datenschutz durch Technik: Die Grundsätze Privacy by Design und Privacy by Default müssen berücksichtigt werden
      • Ausbau Auskunftspflichten: Der Anspruch auf Auskunft ist nicht mehr auf die Mindestinformation beschränkt.

Dies sind nur einige Beispiele, die die Neuausrichtung des DSG beinhalten. Ein wichtiger Punkt sind die damit verbundenen Sanktionen, die bei Missachtung ausgesprochen werden können. So können natürliche Personen innerhalb der betroffenen Unternehmung mit einer Busse bis zu CHF 250’000 belegt werden, wenn die Auskunftspflicht oder die Sorgfaltspflicht verletzt wurde. Neu ist auch, dass der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ab in Kraft treten des nDSG eine Verfügungsgewalt zugesprochen wird. Dieser kann zukünftig zum Beispiel die Löschung von Personendaten anordneten, oder deren Verarbeitung untersagen. Vor dem nDSG hatte der EDÖB nur die Möglichkeit unverbindliche Empfehlungen auszusprechen.

Bis zum In­-kraft-­tre-­ten des neuen Datenschutzgesetzes empfehle ich die Zeit zu nutzen und eine Bestandsaufnahme ihrer personenbezogenen Daten und deren Verarbeitung hinsichtlich der bevorstehenden Änderungen durchführen. Mittels Health Check könnte eine Gap-Analyse durchgeführt werden. Die dann zu Action Points führen, welche abschliessend, nach nach Abwägung von unternehmerischem Risiko und Aufwand, zur Schliessung der festgestellten Lücken führen. Obwohl das nDSG die Rolle des Data Protection Officer (DPO) nicht explizit vorsieht lohnt es sich dennoch über diese Führungsrolle nachzudenken. Diese Rolle ist zentral für die Überwachung der umgesetzten Datenschutzstrategie verantwortlich und stellt die gesetzliche Konformität sicher. In Deutschland ist der Notebook-Versender notebook.de rechtskräftig zu zehn Millionen Euro Busse abgestraft worden, weil er seine Mitarbeiter ohne deren Einwilligung überwacht hat. Gemessen an solchen Strafen ist das Budget für die Einführung eines rechtskonformen Datenschutzes zu vernachlässigen.

DS02

Der Datenschutz der Kunden betrifft branchenweit alle Unternehmen und öffentliche Einrichtungen. Wer heute schon die Strukturen von Morgen schafft muss nicht mehr hinterher rennen. Der bei weitem wichtigste Punkt aus meiner Sicht ist die damit verbundene Reputation. Zu den Themen Glaubwürdigkeit und Seriosität muss zukünftig jedes Unternehmen gegenüber seinen Kunden Stellung beziehen. Das Beispiel WhatsApp hat sehr deutlich gezeigt, dass auch in einer virtuellen Welt der Kunde immer noch König ist und den König sollte man nicht verärgern. Damit das nicht passiert sind wir nicht nur im Bereich Agilität und Qualitätsmanagement für unsere Kunden im Einsatz, sondern stehen auch für solche Themen zur Verfügung.

Dein Kontakt

Harald Schmidt

Harald Schmidt
Email: harald.schmidt@spf-consulting.ch
Kontakt: https://www.spf-consulting.ch/kontakt/

Erfolgsfaktor Testautomatisierung (Teil 3)

Nun habe ich in den letzten beiden Teilen viel über CI, Unit-Testing und diverse andere Prozess-orientierte Punkte gesprochen. Dies war aus Deep-Dive-Sicht ausserordentlich wichtig, um ein Gesamtbild darzustellen, was eine erfolgreiche Testautomatisierung ausmacht. Die beiden vorherigen Beiträge sollen vor allem eines verdeutlichen: Es ist nie ein Punkt alleine, der zum Erfolg führt, sondern immer das Zusammenwirken aller Faktoren, die das optimale Ergebnis und damit den Gesamterfolg liefert.
In diesem Beitrag möchte ich einen, wenn nicht sogar zwei Schritte zurück gehen und aus meiner Sicht einmal die wesentlichen Punkte aufzählen, an denen man den Erfolg einer solchen Vorhabens ableiten und vor allem auch messen kann. Denn jeder dieser Punkte lässt sich zumindest in Erfolgskategorien wie zum Beispiel nicht vorhanden, teilweise vorhanden, oder vorhanden, oder nicht umgesetzt, teilweise umgesetzt, oder komplett umgesetzt aufteilen. Nimmt man nun zum Beispiel das Spider-Diagramm aus Excel, kann man hervorragend den Status der Voraussetzungen visualisieren. Hierbei würde ich allerdings empfehlen, von der zuvor beschriebenen Kategorisierung Abstand zu nehmen und vielmehr auf eine numerische Skala zu wechseln. Ein Wertebereich zwischen Null und fünf in 1er-Schritten wäre aus meiner Sicht ideal. Somit spart man sich das Mapping von einer textuellen Kategorisierung hin zu einer numerischen Bewertung und vereinfacht so die Generierung des oben erwähnten Diagramms. Wie das aussehen könnte zeige ich im nachfolgenden Diagramm:

Erfolgsfaktoren Testautomatisierung

…und damit kommen wir auch gleich zu den im Radar-Chart vorweg genommenen Faktoren, die eine erfolgreiche Testautomatisierung ausmachen:

  • Maturität der Applikation (SUT)
  • Automatisierbarkeit der Test-Elemente
  • Qualität / Verfügbarkeit der Testdaten
  • Installation / Verteilung der Software
  • Fachliche Kompetenz der TA
  • Stabilität der Test-Sets
  • Wiederverwendbarkeit der Tests
  • Skalierbarkeit der Tests

Wie eingangs erwäht ist nicht ein einzelner Faktor für den Erfolg einer Testautomatisierung verantwortlich, sondern alle Punkte zusammen. Wobei man allerdings die oben genannten Punkte durchaus priorisieren kann und auch sollte. Aus meiner Erfahrung heraus sind die wichtigsten beiden Punkte die Maturität der Applikation und die Qualität der Daten. Diese beiden Punkte haben die höchste Gewichtung in der Bewertung und sollte als erstes in den Fokus genommen werden. Aller anderen Punkte sind auch meiner Sicht nachgelagerte Faktoren.

Dein Kontakt

Harald Schmidt

Harald Schmidt
Email: harald.schmidt@spf-consulting.ch
Kontakt: https://www.spf-consulting.ch/kontakt/

Das Test-Reporting-Dilemma – Wie man schlechte Nachrichten überlebt

Test Management, oder vielmehr Testing allgemein, stellt das Bindeglied zwischen Auftraggeber und Projekt mit dem Fokus auf die Feststellung der vom Projekt gelieferten Qualität dar. Dabei spielt es eher eine untergeordnete Rolle, ob Testing ein Service an das Projekt ist, den Auftraggeber im Abnahmetest direkt und ausschliesslich unterstützt oder integraler Bestandteil eines agilen Teams ist.

Nun gibt es in dieser Konstellation hin und wieder Teilnehmer, die das “Testing” als behindernden, wenn nicht sogar als verhindernden Beitrag zur Entwicklung bezeichnen würden. Die Begründungen sind hierbei vielfältig und nicht selten kommt als Argument fehlendes fachliches Know-How oder eine mangelnde Toleranz gegenüber der festgestellten Abweichung.

01-Message

Der eine oder andere zum Intellekt geneigte Leser (Anmerkung des Autors: kleiner Scherz) hat bestimmt schon selbst festgestellt, dass man Software nicht gesund testen kann. Auch der ISTQB hat zu dieser Thema eine klare Meinung, die in der Praxis all zu oft untergeht: “Das Test-Team stellt die Qualität des Testobjekts fest, ist aber nicht für die Qualität des Testobjekts verantwortlich”. In diesem Beitrag möchte ich gerne dem Leser etwas mit auf dem Weg geben, das mir in all den Jahren als Test Manager sehr geholfen hat: “Die Aussagen zur festgestellten Qualität müssen gewaltfrei und belastbar sein”. Und das aus verschiedenen Perspektiven.

Der Testmanager von heute ist ein Integrationselement im Konglomerat der Projektteilnehmer. Er ist DIE verbindende Rolle im Projekt, wenn es darum geht festgestellt Abweichungen zu bewerten und daraus resultierende Risiken zu erkennen. Er macht dies gewaltfrei und vermeidet Adjektive wie zum Beispiel “schlimm, unbrauchbar, katastrophal, …”. Eine gewaltfrei Kommunikation ist die Basis für einen respektvollen Umgang innerhalb des Projekts und fördert voll allem die Motivation der Betroffenen, sich dem identifizierten Thema anzunehmen und dies zum Erfolg zu führen. Im Gegensatz zur NLP (Neuro-Linguistische Programmierung) versucht man nicht die andere Seite zu einer bestimmten Handlung zu bewegen, sondern fokussiert sich auf eine wertschätzende Beziehung und dem damit verbundenen gemeinsamen Ziel. Qualitätsaussagen müssen aus jeder Perspektive belastbar sein. Wie schafft man das? Man nimmt sämtliche emotionalen Begriffe aus dem Teststatus-Report heraus und verweist auf die zugrunde liegenden Zahlen. Hierbei würde ich zwischen Status- und Trendzahlen unterscheiden:

  • Statuszahlen spiegeln die aktuelle Situation des Projekts wieder: Wie hoch ist der Anteil an “failed” Testfällen? Wieviele Testfälle der Risikoklasse A wurden erfolgreich ausgeführt? Wie erfolgreich waren in dieser Iteration die Nachtests? Wie hoch ist derzeit der Anteil der Fehler im Bereich XY?
  • Trendzahlen geben einen Ausblick über eine mögliche Entwicklung der bisher festgestellten Qualität. Sinkt die Anzahl der Fehler oder steigt sie? Haben die neuen Massnahmen gegriffen und konnte die Nachtest-Rate gesenkt werden? Können sämtliche Testfälle bis zum Endtermin ausgeführt werden?

Diese Beispiele könnten beliebig erweitert werden. Wichtig ist hierbei, dass die im Teststatus-Report dokumentierten Aussagen zur Bewertung der aktuellen Qualitätssituation nur und ausschliesslich auf diesen Zahlen basieren und möglichst wenig Raum für Interpretationen zulassen. So entzieht man einer möglichen emotionsbehafteten Diskussion die Grundlage und schafft den Boden für eine zielgerichtete und erfolgsorientierte Diskussion. Aber Achtung: Es erfordert einige Übung und den einen oder anderen Review-Partner, bis man sich einen Wortschatz zugelegt hat, der die oben genannte Idee konsequent umsetzt. Manchmal ist es auch hilfreich, den Test-Report einige Zeit (z.B. 2h) liegen zu lassen, anschliessend zu redigieren und erst dann final an die jeweiligen Projektteilnehmer zu versenden.

01-Team

Ein weiterer, wenn nicht sogar essentieller, Tipp wäre, sich über die Ziele und deren zugrunde liegenden Metriken im Vorfeld des Projekts Gedanken zu machen und diese klar, abgestimmt und für alle Beteiligten verständlich transparent zu dokumentieren. Ähnlich wie die Definition-of-Done von einem Scrum-Arbeitspaket sollten auch Metriken und Ziele vor der Realisierung definiert werden. Im Laufe der Jahre und den damit verbundenen Test-Projekten hat sich herauskristallisiert, dass reine Statuszahlen (Anzahl von XY) wenig oder nur oberflächlich Einblicke in das Testvorgehen widerspiegeln. Viel interessanter und aufschlussreicher sind Trendzahlen (Werteverlauf) und Verhältniszahlen (z.B. durchschnittliche Nachtestrate). Ein empfehlenswertes Vorgehen wäre hier der GQM-Ansatz (Goal-Question-Metric). Dies würde allerdings den Rahmen dieses Artikels bei weitem sprengen und wird in einem späteren Beitrag von mir behandelt.

…übrigens, das Zitat: “Traue keiner Statistik, die du nicht selbst gefälscht hast”. wird üblicherweise Winston Churchill zugeschrieben. Eine Evidenz hierfür ist uns die Zitate- und Sprichwort-Forschung (ja, die gibt es wirklich) bis heute schuldig geblieben.

Dein Kontakt

Harald Schmidt

Harald Schmidt
Email: harald.schmidt@spf-consulting.ch
Kontakt: https://www.spf-consulting.ch/kontakt/