Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Abo

Datenschutz : Nutzung von Echtdaten zu Testzwecken – gewusst wie

Wer Software für den Personalbereich entwickelt, muss – ab einem gewissen Punkt – mit Echtdaten testen, sagen Praktiker. Eingewendet wird häufig, dass zum Testen auch anonyme oder künstliche Daten genutzt werden könnten. Wenn ein datensparsameres Mittel zur Verfügung steht – hier anonyme oder künstliche Daten –, wird rechtlich aus dem „Können“ schnell ein „Müssen“.

Dr. Niels LepperhoffAbrechnungspraxisPraxis
Lesezeit 5 Min.

Der Europäische Gerichtshof (EuGH) hat sich in die Debatte auf erfrischende Weise eingemischt (Urteil v. 20.10.2022, Az. C77/21) und für Entwickler von Software für mehr Rechtssicherheit gesorgt.

Worum ging es vor dem EuGH?

Digi, laut Urteil einer der führenden Anbieter von Internet- und Fernsehdiensten in Ungarn, hatte nach einer technischen Störung ein Drittel der Kundendaten in eine Testdatenbank zur Analyse der Fehlerursache kopiert. Bei den Kundendaten handelte es sich um Newsletterempfänger und Administrationszugänge.

Nutzung von Echtdaten
Nutzung von Echtdaten

In der Testdatenbank befanden sich Datensätze von 322.000 Personen. Die Datenbank wurde nach Abschluss der Tests nicht gelöscht, sondern „vergessen“.

Knapp 18 Monate später informierte ein „ethischer Hacker“ – so die Beschreibung im Urteil – Digi, dass er aus dem Internet auf die Testdatenbank zugreifen konnte. Digi löschte die Testdatenbank und meldete den Vorfall im Einklang mit Art. 33 Datenschutz-Grundverordnung (DS-GVO) an die ungarische Datenschutzaufsichtsbehörde. Selbige verhängte ein Bußgeld von 248.000 Euro, da die Speicherung auch nach Abschluss der Tests erfolgte und keinem Zweck mehr diente. Der daraus resultierende Rechtsstreit hinsichtlich der Erlaubnis, Echtdaten zu Testzwecken nutzen zu dürfen, und einer möglicherweise bestehenden Löschpflicht erreichte nun den EuGH.

Nutzung von Echtdaten 2
Nutzung von Echtdaten 2

Was sagt der EuGH?

Art. 5 Abs. 1 lit. b) DS-GVO führt die Zweckbindung ein, d. h. personenbezogene Daten dürfen ausschließlich für die Zwecke verarbeitet werden, für die sie erhoben worden sind. Im vorliegenden Fall war das die „Vertragsdurchführung“. Der Zweck „Softwaretests zur Fehlerbehebung“ zählte nicht zu den bei der Erhebung festgelegten Zwecken. Weiterhin macht der EuGH deutlich, dass er der Auffassung von Digi, die Fehlerbehebung sei für die Vertragserfüllung erforderlich gewesen, da die Kunden nicht auf ihre abonnierten Inhalte zugreifen konnten, nicht folgt. „Softwaretests zur Fehlerbehebung“ stellen demnach einen eigenständigen Zweck dar. Folglich sind solche Softwaretests nicht per se zulässig. Die Zulässigkeit muss entlang der üblichen Anforderungen aus der DS-GVO geprüft werden.

Gleichwohl erlaubt es Art. 6 Abs. 4 DS-GVO, unter bestimmten Voraussetzungen personenbezogene Daten zu neuen Zwecken zu verarbeiten („Zweckänderung“ genannt). Der EuGH betont, dass eine solche Zweckänderung grundsätzlich auch für Softwaretests zulässig sei. Im Einzelfall ist die Beurteilung der Zulässigkeit zu prüfen,

  1. ob zwischen dem Erhebungszweck und dem neuen Zweck ein Zusammenhang besteht,
  2. in welchem Verhältnis betroffene Personen zu dem Unternehmen, das die Daten für den neuen Zweck nutzen will, stehen,
  3. um welche Datenarten es sich handelt,
  4. welche Folgen den betroffenen Personen aus der Verarbeitung für den neuen Zweck erwachsen und
  5. ob sowohl für den ursprünglichen als auch für den neuen Zweck geeignete Garantien bestehen.

Dienen Softwaretests der Wiederherstellung der Funktionsfähigkeit, liegt regelmäßig ein Zusammenhang mit dem Zweck „Vertragsdurchführung“ vor. Während im Fall von Digi die betroffenen Personen direkte Kunden von Digi waren, sieht es für Softwareentwickler anders aus. Sofern der HR-Softwareentwickler die Fehlerbehebung als Auftragsverarbeiter für das Unternehmen durchführt, dessen Mitarbeiter betroffen sind, besteht rechtlich eine direkte Beziehung, da es auf die Beziehung des Auftraggebers zu den Betroffenen ankommt. Führt ein HR-Softwareentwickler die gleichen Tests außerhalb einer Auftragsverarbeitung durch, fehlt es an einem direkten Verhältnis zwischen ihm und den betroffenen Personen.

Nutzung von Echtdaten 3
Nutzung von Echtdaten 3

Des Weiteren erwarten betroffene Personen, dass sie betreffende Fehler behoben werden. Das gilt zumindest dann, wenn die betroffenen Personen auch von dem Fehler betroffen waren. Präventiv durchgeführte Tests können – müssen aber nicht – noch im Rahmen der Erwartung der betroffenen Personen liegen.

Der EuGH musste sich in diesem Verfahren nicht damit beschäftigen, ob sich auch besondere Kategorien personenbezogener Daten i. S. d. Art. 9 Abs.1 DS-GVO unter den Testdaten befinden dürfen. HR-Datensätze enthalten regelmäßig solche Daten, bspw. als Angaben zur Religion (Kirchensteuer), Gesundheitsdaten und Angaben zur Gewerkschaftszugehörigkeit (Abführung von Gewerkschaftsbeiträgen). An dieser Stelle besteht weiterer Klärungsbedarf.

Zur fünften Anforderung hat sich der EuGH nicht näher geäußert. Hier sei angemerkt, dass zu den Garantien auch die getroffenen Sicherheitsmaßnahmen zählen. Sofern die Testdatenbank genauso abgesichert ist wie der Produktivbetrieb, ist die Anforderung regelmäßig erfüllt – vorausgesetzt, dass das Sicherheitsniveau der Produktivdatenbank ausreichend ist. Da Softwarehersteller das Sicherheitsniveau bei ihren Kunden nicht kennen oder beeinflussen können, empfiehlt es sich, eine Testdatenbank mindestens so abzusichern, dass sie auch produktiv betrieben werden könnte.

Wann sind Testdaten zu lösen?

Der EuGH stellt klar, dass die Löschpflicht auch für Testdaten gilt. Die Softwaretestung muss für ein konkretes Testvorhaben erfolgen, d. h. eine Speicherung für noch nicht absehbare Tests in der Zukunft ist unzulässig. Sobald die Tests und die Fehlerbehebung abgeschlossen sind, sind Testdaten zu löschen. Damit orientieren sich die Löschfristen für Testdaten nicht an den Löschfristen für Produktivdaten.

Digi hatte die Testdatenbank für einen konkreten Fehler angelegt. Deshalb hatte sich der EuGH nur mit der Behebung eines konkreten Fehlers beschäftigen dürfen. Überträgt man seine Ausführungen auf Kompatibilitätstests, so ist festzustellen, dass der Testzweck darin besteht, zu verhindern, dass eine Softwareänderung zu einer fehlerhaften Verarbeitung bei den Kunden führt. Insofern besteht der Zweck dauerhaft fort. Ob eine solche dauerhafte Verarbeitung rechtlich zulässig wäre, war nicht Gegenstand des Urteils, d. h. hier kommt es weiterhin auf eine Zulässigkeitsprüfung im Einzelfall an. Der EuGH hat – mutmaßlich mit Blick auf die Bußgeldbemessung – explizit darauf hingewiesen, dass auch ein „versehentliches“ Nichtlöschen einen Gesetzesverstoß darstellt. Ob es sich um ein „Versehen“, wie von Digi behauptet, handelt oder nicht, sei bei der Bewertung der Rechtmäßigkeit unbeachtlich.

Fazit

Das Urteil des EuGH bringt etwas mehr Klarheit, unter welchen Umständen personenbezogene Daten im Rahmen von Softwaretests verarbeitet werden dürfen. Es stellt zudem klar, dass Testdaten nach Abschluss der Tests und der Fehlerbehebung unverzüglich zu löschen sind.

Insbesondere für Unternehmen, die den Zweck „Softwaretests zur Fehlerbehebung“ nicht bei der Erhebung festgelegt hatten, steht der Weg unter den beschriebenen Voraussetzungen offen, eine Zweckänderung durchzuführen. Mit Blick auf die Rechenschaftspflicht ist die Einzelfallbegründung, warum die Zweckänderung als zulässig angesehen wird, zu dokumentieren. Alle von der Zweckänderung betroffenen Personen sind über den neuen Zweck zu informieren (Artt. 13 Abs. 3 und 14 Abs. 4 DS-GVO).

Es sei daran erinnert, dass eine Zweckänderung nur einmalig möglich ist. Direkt nach der Zweckänderung ist der Zweck „Softwaretests zur Fehlerbehebung“ als Erhebungszweck auch in der Datenschutzinformation i. S. d. Artt. 13 und 14 DS-GVO anzugeben.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.