Die fortschreitende Digitalisierung erfordert in Unternehmen häufig die Einführung neuer Softwarelösungen. Bevor ein System jedoch in den Produktivbetrieb übergeht, ist eine umfassende Testphase unerlässlich, um beispielsweise die technische Funktionalität, die Prozessintegration oder die Nutzerfreundlichkeit sicherzustellen. In der sogenannten Testumgebung werden reale Anwendungsfälle simuliert, um die Software gründlich zu prüfen.
Es entsteht ein Problem, wenn Testsysteme personenbezogene Daten enthalten, insbesondere wenn es sich um echte Daten aus Produktivsystemen handelt. Diese gelangen häufig unbeabsichtigt oder aus Bequemlichkeit in Form von Datenkopien in die Testumgebung. Besonders kritisch wird es, wenn diese Daten auch an externe Dienstleister oder in Cloud-Umgebungen übermittelt werden. Dies kann häufig eine Drittlandübermittlung darstellen.
Die Nutzung echter personenbezogener Daten zu Testzwecken birgt erhebliche datenschutzrechtliche Risiken, da regelmäßig keine gültige Rechtsgrundlage vorliegt, insbesondere wenn die Verarbeitung nicht erforderlich ist. Unternehmen riskieren nicht nur empfindliche Bußgelder, sondern auch Schadensersatzforderungen durch Betroffene, etwa bei Datenschutzpannen im Testsystem.
EuGH-Urteil: Klare Grenzen für die Datenverarbeitung
Ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) verdeutlicht die Rechtslage bei der Verwendung personenbezogener Daten im Rahmen von Softwaretests. In dem zugrundeliegenden Fall klagte ein Arbeitnehmer gegen seinen Arbeitgeber, da seine personenbezogenen Daten im Rahmen einer Testphase für eine cloudbasierte HR-Software verarbeitet wurden, was aus seiner Sicht nicht erforderlich gewesen sei.
Der Kläger argumentierte, dass die Testzwecke auch mit Pseudodaten oder vollständig anonymisierten Testdatensätzen hätten erfüllt werden können. Eine reale Abbildung seiner Person als Datensubjekt sei nicht notwendig gewesen und hätte zudem Risiken für seine informationelle Selbstbestimmung mit sich gebracht.
Der Arbeitgeber berief sich auf eine mit dem Betriebsrat geschlossene Betriebsvereinbarung als Rechtsgrundlage für die Verarbeitung der Testdaten. Der EuGH stellte jedoch klar, dass Betriebsvereinbarungen keine gesetzlich unzulässige Datenverarbeitung legitimieren dürfen. Sie können nur Regelungen für Verarbeitungen treffen, die auf einer zulässigen Rechtsgrundlage beruhen.
Somit wurde die Verarbeitung der personenbezogenen Daten des Arbeitnehmers im Rahmen der Tests als rechtswidrig eingestuft – mit potenziell weitreichenden Folgen für vergleichbare Konstellationen in Unternehmen.
Wie Unternehmen Datenschutzverstöße vorbeugen
Unternehmen sollten beim Testen neuer Software besonders vorsichtig sein. Die Verwendung echter personenbezogener Daten, sei es von Mitarbeitern oder Kunden, birgt erhebliche Risiken und kann gegen Datenschutzvorschriften wie die DSGVO verstoßen. Stattdessen empfiehlt es sich, für Testzwecke fiktive Testdaten oder anonymisierte Daten zu verwenden, um Datenschutzverletzungen zu vermeiden.
Darüber hinaus müssen Unternehmen in Anbetracht des EuGH-Urteils prüfen, ob ihre Betriebsvereinbarungen und Datenschutzdokumentationen überarbeitet werden müssen. Besonders das Verzeichnis von Verarbeitungstätigkeiten sollte auf seine Aktualität und Rechtskonformität hin untersucht werden. So können mögliche Datenschutzverstöße verhindert und die gesetzlichen Anforderungen erfüllt werden.
Unsere Expertise für Ihren Datenschutz
Die rechtlichen Anforderungen an den Datenschutz sind komplex und unterliegen einem ständigen Wandel. Mit unserer Datenschutzberatung unterstützen wir Sie dabei, datenschutzrechtliche Risiken frühzeitig zu erkennen und rechtskonforme Lösungen zu entwickeln. Wir helfen Ihnen bei der Überprüfung und Anpassung Ihrer Betriebsvereinbarungen sowie bei der Optimierung Ihrer Datenschutzdokumentation. Kontaktieren Sie uns und nutzen Sie unsere kostenlose Erstberatung, um Ihr Unternehmen datenschutzrechtlich sicher aufzustellen.
