Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
23. Januar 2024

IT-Tests mit echten, anonymen & fiktiven Daten – was sagt die DSGVO?

Wann sind IT-Tests mit personenbezogenen Daten zulässig, wann nicht?
Bild: iStock.com / amgun
5,00 (3)
drucken
Inhalte in diesem Beitrag
EuGH zu personenbezogenen Daten
Ohne Tests geht in der IT kaum etwas. Denn wie soll man sonst wissen, ob eine Anwendung funktioniert? Für Tests braucht man Daten. Manchmal genügen fiktive Daten. Manchmal müssen die Daten aber auch echt sein. Was sind jeweils die Vorgaben der DSGVO?

➧ Es begann mit 3.000 Euro Geldbuße

Ausgangspunkt war eine Geldbuße von 3.000 €, verhängt von der litauischen Datenschutzaufsicht gegen das Gesundheitsministerium von Litauen. Angeblich – so der Vorwurf der Datenschutzaufsicht – hatte das Gesundheitsministerium bei der Entwicklung einer Corona-App gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Diesen Vorwurf wollte das Ministerium nicht auf sich sitzen lassen. Es klagte deshalb beim Verwaltungsgericht Vilnius gegen die Verhängung der Geldbuße.

➧ Das Verwaltungsgericht hat Fragen an den EuGH zum Test mit personenbezogenen Daten

Das Gericht war sich in mehrfacher Hinsicht über die Auslegung der DSGVO unsicher. Deshalb legte es dem Europäischen Gerichtshof (EuGH) nicht weniger als sechs Fragen vor. Eine dieser Fragen lautet: Ist der Begriff der Verarbeitung personenbezogener Daten nach Art. 4 Nr. 2 DSGVO dahin auszulegen, dass er auch Sachverhalte erfasst, in denen Kopien personenbezogener Daten für das Testen einer mobilen IT-Anwendung verwendet werden? (Frage Nr. 4 des Gerichts an den EuGH)

Mitarbeiterschulung Grundlagen des Datenschutzes

Mitarbeiterschulung Grundlagen des Datenschutzes

Von Fragen wie „Was sind personenbezogenen Daten?“, „Was bedeutet Datenverarbeitung“ und „Wann ist eine Datenverarbeitung zulässig?“ über die Prinzipien des richtigen Verhaltens bei Auskunftsersuchen oder im Homeoffice lernen Ihre Kolleginnen und Kollegen alle wesentlichen Grundlagen kennen.

Der Kurs zeigt den Datenschutz im Unternehmensalltag und die Fallstricke, die dort lauern. Übungen, viel Interaktion und ein Abschlusstest runden die Schulung ab.

 

➜ Jetzt zeitgemäß schulen

➧ Der EuGH gibt Handlungsanleitung für Datenschutz bei IT-Tests

Diese Frage bot dem EuGH die Gelegenheit, eine regelrechte Handlungsanleitung für den Datenschutz bei IT-Tests zu entwickeln. Sie ist von genereller Bedeutung und sollte allen bekannt sein, die für solche Tests verantwortlich sind. Wer dagegen verstößt, riskiert erhebliche Sanktionen.

➧ Stellt ein IT-Test eine „Verarbeitung von Daten“ dar?

Zunächst stellt sich die Frage, ob rein begrifflich überhaupt eine Verarbeitung von Daten vorliegt, wenn ein IT-Test erfolgt. Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DSGVO definiert. Diese Definition bezeichnet als Verarbeitung jeden Vorgang und jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dabei ist es ausdrücklich gleichgültig, ob ein automatisiertes Verfahren zum Einsatz kommt oder nicht.

Der Begriff der „Verarbeitung“ ist sehr weit gefasst

Das Verständnis des Begriffs „Verarbeitung“ geht also sehr weit. Als ausdrückliche Beispiele für eine Verarbeitung nennt die DSGVO das Erheben, die Bereitstellung und die Verwendung personenbezogener Daten. Dabei weist der EuGH ausdrücklich darauf hin, dass die Aufzählung von Beispielen in Art. 4 Nr. 2 DSGVO nicht abschließend ist. Die Bestimmung will erkennbar alles erfassen, was mit personenbezogenen Daten „gemacht“ werden kann.

Die Schlussfolgerung des EuGH ist eindeutig

Aus diesen Überlegungen zieht der EuGH folgende Schlussfolgerung: Die Gründe, aus denen ein Vorgang oder eine Vorgangsreihe ausgeführt wird, spielen keine Rolle. Es ist ohne Belang, ob personenbezogene Daten für IT-Tests verwendet werden oder für einen anderen Zweck. Eine Verarbeitung im Sinn von Art. 4 Nr. 2 DSGVO liegt in beiden Konstellationen vor.

➧ Wann sind Daten für IT-Tests personenbezogen?

Als nächstes weist EuGH darauf hin, dass Art. 4 Nr. 2 DSGVO nur Verarbeitungen erfasst, die personenbezogene Daten betreffen. Somit stellt sich folgende Frage: Wann sind Daten, die bei IT-Tests zum Einsatz kommen, personenbezogenen und wann sind sie es nicht?

Ausgangspunkt ist die Definition in der DSGVO

Um sie beantworten zu können, greift der EuGH auf die Begriffsdefinition von Art. 4 Nr.1 DSGVO zurück. Demnach sind unter personenbezogenen Daten alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es geht somit nur um Daten natürlicher Personen, also um Daten von Menschen. Daten, die sich ausschließlich auf juristische Person beziehen, erfasst der Begriff dagegen nicht.

Der Unterschied Kopie / Original ist ohne Belang

Keine Rolle spielt es laut EuGH, ob „Kopien“ von Daten verwendet werden. Dieser Umstand als solcher nimmt Daten nicht von der Einstufung als personenbezogene Daten aus. Kopien von personenbezogenen Daten sind ebenfalls personenbezogen. Das mag vielen selbstverständlich erscheinen, doch hatte das Verwaltungsgericht den EuGH danach ausdrücklich gefragt.

Fiktive Daten sind der DSGVO gleichgültig

Anders sieht es aus, wenn fiktive Daten zum Einsatz kommen. Darunter versteht der EuGH Daten einer „erfundenen“ Person, die in Wirklichkeit gar nicht existiert. Solche Daten sind nicht personenbezogen im Sinn von Art. 4 Nr. 1 DSGVO.

Das Ergebnis bleibt an dieser Stelle offen

Ob das beim konkreten Test der Fall war, entscheidet der EuGH nicht. Das ist Sache des Verwaltungsgerichts, das ihm die Fragen vorgelegt hat. Beim konkreten Test wurden zwar nahezu ausschließlich fiktive Daten verwendet. Zum Einsatz kamen jedoch auch die echten Telefonnummern von Mitarbeitern des IT- Unternehmens. Insofern kann man die Frage des Personenbezugs der für den Test verwendeten Daten vermutlich so oder so sehen. Damit wird sich das Verwaltungsgericht herumschlagen müssen.

Anonyme Daten sind nicht personenbezogen

Anonyme Daten sind eindeutig nicht personenbezogen. Das ergibt sich aus Erwägungsgrund 26 zur DSGVO. Er charakterisiert anonyme Informationen als Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ebenfalls nicht personenbezogen sind Daten, die ursprünglich personenbezogen waren, aber dann anonymisiert worden sind. Erwägungsgrund 26 zur DSGVO charakterisiert sie als „personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“

Endgültig entscheiden muss das Verwaltungsgericht

Wann diese Voraussetzungen in der Praxis im Einzelfall erfüllt sind, erläutert der EuGH nicht. Danach hatte ihn das litauische Gericht schlicht nicht gefragt. Deshalb hatte er auch keinen Anlass, darauf einzugehen.

➧ Für pseudonyme Daten gilt die DSGVO

Als letzten Punkt behandelt der EuGH die Frage, ob pseudonymisierte Daten personenbezogen sind oder nicht. Seine Antwort ist eindeutig: Pseudonymisierte Daten sind personenbezogen. Dies begründete er mit der Definition des Begriffs „Pseudonymisierung“ (siehe Art. 4 Nr. 5 DSGVO).

Demnach sind Daten dann pseudonymisiert, wenn sie „ohne Hinzuziehung zusätzliche Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.“ Das bedeutet im Umkehrschluss: Wer über solche zusätzliche Informationen verfügt, kann diese Daten sehr wohl noch einer bestimmten Person zuordnen. Damit sind sie jedenfalls für ihn personenbezogen.

Praxis-Tipp
➧ Eine Zusammenfassung zu IT-Tests für den Alltag

Die Ergebnisse seiner Überlegungen fasst der EuGH so zusammen:

  • Die Vorschriften der DSGVO gelten für IT-Tests, sofern dabei personenbezogene Daten zum Einsatz kommen.
  • Das ist der Fall, wenn sich die Daten auf eine natürliche Person beziehen, die entweder schon durch die Daten selbst identifiziert wird oder die mithilfe dieser Daten identifiziert werden kann.
  • Anwendbar ist die DSGVO auch auf pseudonymisierte Daten, denn solche Daten sind personenbezogen.
  • Nicht anwendbar ist die DSGVO dagegen, wenn die verwendeten Daten anonymisiert sind. Denn dann lässt sich mit ihrer Hilfe keine natürliche Person mehr identifizieren.
  • Ebenfalls nicht anwendbar ist die DSGVO, wenn lediglich fiktive Daten zum Einsatz kommen. Denn fiktive Daten beziehen sich nicht auf eine natürliche Person, die tatsächlich existiert.

➧ So kommen Sie an das Urteil des EuGH zu IT-Tests

Das Urteil des EuGH vom 5. Dezember 2023 trägt das Aktenzeichen C-683/12. Es ist bei Eingabe des Aktenzeichens in einer Suchmaschine leicht zu finden. Die Ausführungen des EuGH zu IT-Tests sind in den Randnummern 47-59 des Urteils enthalten.

➧ Ein kleiner Nachklapp für deutsche Leser

Wer in Deutschland auf dem Gebiet des Datenschutzes arbeitet, dürfte sich über den Ausgangspunkt des Falls leicht wundern. Kann es sein, dass eine Aufsichtsbehörde für den Datenschutz gegen ein Ministerium eine Geldbuße verhängt? Jedenfalls in Deutschland hat man von so etwas noch nie gehört. Ein solches Stutzen ist verständlich. Doch ist in Litauen manches anders als in Deutschland. Das hat folgenden Hintergrund:

  • An sich gilt die DSGVO für jede Verarbeitung personenbezogener Daten. Durch wen diese Verarbeitung erfolgt, spielt keine Rolle. Auch Behörden müssen die DSGVO deshalb beachten.
  • An sich können die Datenschutz-Aufsichtsbehörden auch gegenüber einer Behörde eine Geldbuße verhängen, wenn diese Behörde gegen die DSGVO verstoßen hat.
  • Allerdings erlaubt die DSGVO den Mitgliedstaaten der EU, von dieser Vorgabe abzuweichen. Sie können selbst festlegen, „ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.“ So steht es in Art. 83 Absatz 7 DSGVO.
  • In Deutschland hat man von dieser Ausnahmemöglichkeit so umfassend wie möglich Gebrauch gemacht. § 43 Absatz 2 Bundesdatenschutzgesetz (BDSG) legt für den Bereich der Bundesbehörden Folgendes fest: „Gegen Behörden und sonstige öffentliche Stellen … werden keine Geldbußen verhängt.“. Die Datenschutzgesetze der Bundesländer enthalten entsprechende Regelungen für die Behörden und öffentlichen Stellen der Bundesländer.
  • In Litauen ist aber alles anders. Dort hat sich der Gesetzgeber entschlossen, keine solche Ausnahme vorzusehen.
  • Damit sind in Litauen Geldbußen auch gegen Behörden und öffentliche Stellen möglich.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
EuGH Urteil
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
11. November 2024
DP+
Der Europäische Gerichtshof (EuGH) hat zwei wichtige Entscheidungen getroffen. Ein Fall beschreibt das Versagen von technischen, der andere das Versagen von organisatorischen Maßnahmen.
Bild: iStock.com/Flashvector

EuGH: Risikomanagement ja, Risikofreiheit nein

Urteil
EuGH Urteil
08. November 2024
Kontaktdaten eines Datenschutzbeauftragten - hier symbolisiert durch ein @-Zeichen, einen Briefumschlag und ein Telefonhörer
Bild: peterschreiber.media/iStock/Getty Images Plus

„Kontaktdaten“ eines DSB

Urteil
Urteil
07. November 2024
DP+
Daten aus Visitenkarten für die Direktwerbung? Die Rechtsgrundsätze, um die es in diesem Urteil geht, gelten im Kern auch in Deutschland.
Bild: iStock.com/shapecharge

Daten aus Visitenkarten für die Direktwerbung

Urteil
Urteil
05. November 2024
DP+
Die DSGVO definiert den Begriff des Schadens weit und macht den Anspruch auf Schadensersatz von keiner bestimmten Schwelle abhängig. Sie beschränkt den Anspruch nicht auf Schäden von einer gewissen Erheblichkeit.
Bild: iStock.com/bymuratdeniz

Massenklagen auf Schadensersatz nach DSGVO

Urteil
EuGH Urteil
31. Oktober 2024
DP+
Terminbuchungstools und Datenschutz: Gemäß dem Need-to-know“-Prinzip dürfen nur die Beschäftigten Zugriff auf das Tool erhalten, für die dies erforderlich ist. Die zuständigen Beschäftigten müssen regelmäßig datenschutzrechtlich sensibilisiert und geschult werden.
Bild: iStock.com/AndreyPopov

Terminbuchungstools für Arztpraxen

Ratgeber
Drittland EuGH
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.