Ungetestete Software ist nichts wert – soweit die Binsenweisheit. Gerade bei Weiterentwicklungen oder Fehlerbehebungen in Produktivumgebunden ist dabei nicht nur der Test nicht wegzudenken, sondern insbesondere muss man mit Echtdaten arbeiten.
Der Klassiker ist ein weiterentwickeltes Kundensupport-System, auf das umgestellt werden soll. Hier wird man im Regelfall mit bereits vorhandenen Kundendatensätzen (auszugsweise) erste Testläufe vornehmen. Doch: Ist das datenschutzrechtlich zulässig? Diese Frage war bisher umstritten, wurde vom EUGH nun aber – durchaus zufriedenstellend – in einer groben Skizzierung beantwortet.
Zweckbindung steht Echtdaten-Test nicht entgegen
Das Kernproblem lässt sich auf die so genannte Zweckbindung reduzieren, die in Art. 5 Abs. 1 Buchst. b DSGVO vorgesehen ist. Diese im Datenschutzrecht allgemein vorgesehene Zweckbindung enthält zwei Anforderungen, eine in Bezug auf die Zwecke der ursprünglichen Erhebung der personenbezogenen Daten und eine in Bezug auf die Weiterverarbeitung dieser Daten:
- Bei der ursprünglichen Erhebung ist darauf zu achten, dass die personenbezogenen Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden. Mit der Rechtsprechung des EUGH ist dies so zu verstehen, dass die Zwecke der Verarbeitung spätestens zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen müssen, dass die Zwecke dieser Verarbeitung klar angegeben sein und dass die Zwecke der genannten Verarbeitung insbesondere die Rechtmäßigkeit der Verarbeitung der betreffenden Daten im Sinne von Art. 6 Abs. 1 der Verordnung 2016/679 gewährleisten müssen;
- Bei der Weiterverarbeitung ist darauf zu achten, dass die personenbezogenen Daten nicht in einer mit den Zwecken der ursprünglichen Verarbeitung nicht zu vereinbarenden Weise weiterverarbeitet werden.
Der EUGH stellt zuvorderst fest, dass es eine „Weiterverarbeitung“ personenbezogener Daten darstellt, wenn der Verantwortliche in einer neu eingerichteten Datenbank personenbezogene Daten erfasst und speichert, die in einer anderen Datenbank gespeichert waren. Das überrascht angesichts des weiten Verständnisses der „Weiterverarbeitung“ wenig – aber: Art. 5 Abs. 1 Buchst. b DSGVO macht keine Angaben dazu, unter welchen Voraussetzungen eine Weiterverarbeitung personenbezogener Daten als mit den Zwecken der ursprünglichen Erhebung der Daten vereinbar anzusehen ist. Hier setzt nun der EUGH an.
Dabei gibt der EUGH keine allgemeine, standardisierte Antwort, sondern gibt Kriterien vor, die Gerichte zu prüfen haben, so dass es zwar auf den Einzelfall ankommt, aber eben keine grundsätzliche Unzulässigkeit im Raum steht. Als kumulative Kriterien sind im Einzelfall zu prüfen:
- Ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht;
- In welchem Kontext die personenbezogenen Daten erhoben wurden, insbesondere das Verhältnis zwischen den betroffenen Personen und dem Verantwortlichen;
- Um welche Art von personenbezogenen Daten es sich handelt;
- Welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat;
- Ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.
Dabei betont der EUGH ausdrücklich, dass die Durchführung von Tests und die Behebung von Fehlern, die eine Datenbank beeinträchtigen, die Daten von Kunden enthält, einen konkreten Zusammenhang mit der Erfüllung der mit Kunden geschlossenen Verträge aufweisen, da sich solche Fehler nachteilig auf die Erbringung der vertraglich vereinbarten Dienstleistung auswirken können, für die die Daten ursprünglich erhoben wurden. Und beantwortet dann abschliessend, dass
der … vorgesehene Grundsatz der „Zweckbindung“ es dem Verantwortlichen nicht verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden, wenn diese Weiterverarbeitung mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden, was anhand der in Art. 6 Abs. 4 dieser Verordnung genannten Kriterien und sämtlicher Umstände des Einzelfalls zu beurteilen ist.
Keine schrankenlose Verwendung
Allerdings hebt der EUGH zugleich hervor, dass der Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist ( Art. 5 Abs. 1 Buchst. e DSGVO).
Fazit: Testzwecke ja, aber im Einzelfall sauber prüfen und umsetzen
Um es positiv zu formulieren: Die Verwendung von echten Daten innerhalb des gleichen Unternehmens zur Weiterentwicklung oder Fehlerbehebung von Systemen, die in unmittelbarem Zusammenhang mit diesen Daten stehen, wird keinen grundsätzlichen Bedenken mehr begegnen können.
Aber: Im Einzelfall wird man weiterhin prüfen müssen, insbesondere Datenschutzfolgenabschätzung vornehmen müssen – und die Speicherdauer sowie den Speicherumfang im Blick haben müssen. Dies schon zum Eigenschutz, denn Testsysteme haben einen gewissen fragmentarischen Charakter bereits naturgemäß in sich liegend – wie auch der vorliegende Fall zeigte:
Am 23. September 2019 erfuhr D., dass ein „ethischer Hacker“ auf von ihr gespeicherte personenbezogene Daten von rund 322 000 Personen zugegriffen hatte. Dieser „ethische Hacker“ selbst setzte sie davon in Kenntnis und übermittelte ihr zum Beweis einen Eintrag aus der Testdatenbank. D. behob den Fehler, der diesen Zugriff ermöglicht hatte, und schloss mit dem Hacker eine Vertraulichkeitsvereinbarung und gewährte ihm eine Belohnung. Nachdem sie die Testdatenbank gelöscht hatte, zeigte D. die Verletzung des Schutzes personenbezogener Daten am 25. September 2019 der Behörde an, die daraufhin ein Untersuchungsverfahren einleitete.
Eben ein solcher Vorall unterstreicht hervorragend, warum man zwar nicht zwingend ein Problem mit der Verwendung von echten Daten zu Testzwecken haben muss – aber die Speicherdauer und der Speicherumfang von herausragender Bedeutung sind.
Darum: Testen ja, aber auch die Testumgebung unterliegt Spielregeln und (bis zur Löschung) fortwährender Kontrolle.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024