Nutzung personenbezogener Daten zu Testzwecken

Wenn eine neue Software für eine umfangreiche Datenverarbeitung eingeführt werden soll, sind Tests unumgänglich. Besonders praktisch scheint hierfür die Nutzung bereits vorhandener Datensätze – schließlich sind diese gut verfügbar und aussagekräftig für den Erfolg von Testläufen. Doch ist dieses Vorgehen datenschutzrechtlich erlaubt? Hierzu entschied das Bundesarbeitsgericht (BAG) mit Urteil vom 8. Mai 2025 – 8 AZR 209/21.

Geklagt hatte ein Arbeitnehmer und Betriebsratsvorsitzender eines Konzernunternehmens. Das Unternehmen verarbeitete personenbezogene Daten ihrer Beschäftigten zu Abrechnungszwecken in SAP. Als konzernweites Personal-Informationsmanagementsystem sollte schließlich die Software Workday eingesetzt werden. Hierfür war ein Datentransfer von SAP zu Workday erforderlich. Dieser fand jedoch bereits Jahre vor Inbetriebnahme des Produktivzeitraums statt. Der Kläger bemängelte, die Verarbeitung seiner personenbezogenen Daten sei nicht für Testzwecke erforderlich gewesen und der Arbeitgeber hätte stattdessen Testdaten (sog. Dummy-Daten) verwenden können. Er beantragte schließlich die Zahlung von 3.000 Euro immateriellen Schadensersatz nach Art. 82 DSGVO, da er einen Kontrollverlust über die Verarbeitung seiner personenbezogenen Daten erlitten habe. Nach Ansicht der Arbeitgeberin war die Verarbeitung durch eine entsprechende Duldungsbetriebsvereinbarung gerechtfertigt.

Die Frage der Betriebsvereinbarung als legitime Rechtsgrundlage legte das BAG bereits zuvor dem Europäischen Gerichtshof vor, der hierzu im Dezember 2024 bereits zu Ungunsten der beklagten Arbeitgeberin urteilte (wir berichteten). Das BAG folgte der Ansicht des EuGH. Die Verarbeitung von Echtdaten war für die Zweckerreichung nicht erforderlich und erfolgte damit nicht in Einklang mit der DSGVO. Dem Kläger sprach das BAG einen immateriellen Schadensersatz in Höhe von 200 Euro aufgrund des erlittenen Kontrollverlustes bei der unrechtmäßigen Verarbeitung der Echtdaten, einschließlich der Übermittlung an die Konzernmutter, zu. Die Entscheidung bedeutet gleichzeitig nicht, dass für Testzwecke nicht auch Echtdaten verwendet werden dürfen. Um Echtdaten zu verwenden, ist jedoch stets zu prüfen, ob die Zwecke nicht auch mit Dummy-Daten erreicht werden können.

Daten in Testsystemen werden häufig nicht bei der Umsetzung von Löschfristen berücksichtigt. Echtdaten, die in diesen Systemen verarbeitet werden, werden somit gerne für lange Zeit – möglicherweise sogar nicht korrekt – gespeichert. Diese „vergessenen Datensätze“ können letztlich auch Risiken für die Rechte und Freiheiten der Betroffenen bedeuten, bspw. wenn Echtdaten eines Tages in unberechtigte Hände gelangen oder veraltete Daten dabei für korrekt gehalten werden. Auch einmal erteilte Berechtigungen werden in Testsystemen gerne übersehen und nicht korrigiert. Finden mit Echtdaten weiterhin Tests in diesen Systemen statt, besteht so ein vermeidbares Risiko einer unrechtmäßigen Verarbeitung.

Bevor Testsysteme mit Daten befüllt werden, sollten sich Verantwortliche zunächst überlegen, welche Fälle überhaupt getestet werden sollen. Die erforderlichen Datenkategorien werden hierbei bestenfalls bereits festgelegt. Schnell wird erkenntlich, ob Dummy-Daten ausreichen oder echte Daten benötigt werden. Beispielsweise E-Mail-Benachrichtigungen können nur mit tatsächlich existierenden E-Mail-Adressen getestet werden. Die Betroffenen dieser Tests sollten darüber transparent informiert und die Anzahl der Betroffenen so klein wie möglich gehalten werden. Eine Dokumentation von Testfällen, Zweck der Tests und Maßnahmen zum Datenschutz können dabei die Position der Verantwortlichen im Sinne der Rechenschaftspflicht stärken.

Autorin: Rebecca Schimkat LL.M. (Senior Data Privacy Consultant)