Home Blog Datenschutzrisiken bei Softwaretests: Keine echten personenbezogenen Daten verwenden

Datenschutzrisiken bei Softwaretests: Keine echten personenbezogenen Daten verwenden

Beitrag vom 13.03.2025

Die Digitalisierung bringt häufig den Einsatz neuer Software mit sich. Bevor Programme jedoch produktiv eingesetzt werden, müssen sie getestet werden, um ihre Funktionalität und Eignung zu beurteilen. Dabei kann es vorkommen, dass Testsysteme personenbezogene Daten verarbeiten oder sogar in die Cloud zu externen Partnern übertragen. Dies birgt erhebliche datenschutzrechtliche Risiken: Eine unzulässige Verarbeitung personenbezogener Daten kann gegen geltende Datenschutzbestimmungen verstoßen und rechtliche Konsequenzen nach sich ziehen.

EuGH-Urteil: Klare Grenzen für die Datenverarbeitung

Ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) hat sich mit dieser Problematik befasst. In dem verhandelten Fall klagte ein Arbeitnehmer gegen seinen Arbeitgeber, weil seine personenbezogenen Daten für die Testphase einer cloudbasierten HR-Software verwendet wurden. Nach Ansicht des Arbeitnehmers war diese Verarbeitung nicht erforderlich, da auch fiktive Daten hätten verwendet werden können. Er argumentierte, dass er nicht verpflichtet sei, sich als reales Datensubjekt für Softwaretests zur Verfügung zu stellen.

Das Unternehmen verteidigte sein Vorgehen mit einer zwischen Arbeitgeber und Betriebsrat geschlossenen Betriebsvereinbarung. Der EuGH entschied jedoch, dass Betriebsvereinbarungen keine gesetzlich unzulässigen Datenverarbeitungen legitimieren können. Somit wurde die Verarbeitung der Arbeitnehmerdaten als rechtswidrig eingestuft.

Wie Unternehmen Datenschutzverstöße vorbeugen

Unternehmen sollten beim Testen neuer Software besonders vorsichtig sein. Die Verwendung echter personenbezogener Daten, sei es von Mitarbeitern oder Kunden, birgt erhebliche Risiken und kann gegen Datenschutzvorschriften wie die DSGVO verstoßen. Stattdessen empfiehlt es sich, für Testzwecke fiktive Testdaten oder anonymisierte Daten zu verwenden, um Datenschutzverletzungen zu vermeiden.

Darüber hinaus müssen Unternehmen in Anbetracht des EuGH-Urteils prüfen, ob ihre Betriebsvereinbarungen und Datenschutzdokumentationen überarbeitet werden müssen. Besonders das Verzeichnis von Verarbeitungstätigkeiten sollte auf seine Aktualität und Rechtskonformität hin untersucht werden. So können mögliche Datenschutzverstöße verhindert und die gesetzlichen Anforderungen erfüllt werden.

Unsere Expertise für Ihren Datenschutz

Die rechtlichen Anforderungen an den Datenschutz sind komplex und unterliegen einem ständigen Wandel. Wir unterstützen Sie dabei, datenschutzrechtliche Risiken frühzeitig zu erkennen und rechtskonforme Lösungen zu entwickeln. Wir helfen Ihnen bei der Überprüfung und Anpassung Ihrer Betriebsvereinbarungen sowie bei der Optimierung Ihrer Datenschutzdokumentation. Kontaktieren Sie uns und nutzen Sie unsere kostenlose Erstberatung, um Ihr Unternehmen datenschutzrechtlich sicher aufzustellen.

Verwandte Artikel

Diese Beiträge könnten Sie auch interessieren

23.12.2022

Was sind personenbezogene Daten?

Gelegentlich wird der Begriff Datenschutz missverstanden und fälschlicherweise mit jeder Art von Daten in Verbindung gebracht. Es ist wichtig zu verstehen, dass sich der Datenschutz ausschließlich auf eine bestimmte Art von Daten bezieht, nämlich auf personenbezogene Daten.

02.01.2025

Schatten-KI: Gefährdung der Daten und Compliance-Verstöße

Der unautorisierte Einsatz von Künstlicher Intelligenz (KI) greift in immer mehr Unternehmen um sich. Diese sogenannte Schatten-KI stellt eine ernsthafte Bedrohung für die Informationssicherheit und den Datenschutz dar.

29.06.2023

WhatsApp & andere Messenger: Was Unternehmen beim Datenschutz beachten müssen

So praktisch die Kommunikation via Messenger auch sein mag, aus Unternehmenssicht gehen mit ihr erhebliche Datenschutzrisiken einher. Unternehmen, die keine klaren Rahmenbedingungen schaffen, riskieren kostspielige Datenschutzvorfälle.

03.05.2022

DSGVO Datenschutz: Anonymisierung von Daten

Personenbezogene Daten können abseits vom primären Zweck von großem Wert sein, beispielsweise für Analysen im Marketing oder die Entwicklung neuer Produkte. Doch aufgepasst, bei personenbezogenen Daten gilt die DSGVO und damit das Prinzip der Datenminimierung.

10.07.2023

Umstieg auf Cloud-Software: Wie Sie die DSGVO-Vorgaben erfüllen

Lange Zeit machten deutsche Unternehmen um Cloud-Software einen Bogen. Mittlerweile findet ein Umdenken statt, vor allem bei Anwendungssoftware boomen Cloud-Lösungen.

Neueste Artikel

Die aktuellsten Beiträge aus unserem Blog

01.04.2025

Einwilligungsverwaltungsverordnung: Ende der Cookie-Banner-Flut?

Jeder kennt sie, fast jeder ärgert sich über sie: die Cookie-Banner, die uns auf fast jeder Website begegnen. Immer wieder fordern sie den Nutzer auf, seine Einwilligung zur Datenverarbeitung zu erteilen – ein Prozess, der nicht nur zeitaufwändig, sondern auch frustrierend ist.

04.03.2025

Neue KI-Schulungspflicht – Sind Ihre Mitarbeiter vorbereitet?

Die EU hat eine Schulungspflicht für den verantwortungsvollen Umgang mit Künstlicher Intelligenz (KI) eingeführt. Seit Februar 2025 müssen Unternehmen unabhängig von Branche und Größe gemäß Artikel 4 der europäischen KI-Verordnung sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen.

KI-Schulungspflicht: Was Unternehmen jetzt wissen müssen, um zukunftsfähig zu bleiben

24.02.2025

Immer gut informiert - mit unserem Newsletter

Wir halten Sie auf dem Laufenden zu aktuellen Entwicklungen und praxisrelevanten Neuerungen aus den Bereichen Informationssicherheit, Compliance und Datenschutz.

Newsletter abonnieren