Daten als Crash Test Dummies?
PSP Case Study zur DSGVO: Praxisfall 34

DSGVO: Praktischer Fall

Die Huber AG entwickelt seit Jahren eine Software für eine digitale Patientenakte. Es steht ein wesentliches neues Release an mit erheblichen Funktionserweiterungen, die vorab geprüft werden müssen. Insbesondere die Skalierbarkeit, d. h. die Verarbeitung der Daten einer großen Anzahl von Patienten, stellt technisch noch ein Problem dar. Die Huber AG ist daher auf der Suche nach möglichst großen Datensätzen mit Beispieldaten, die testweise verwendet werden können, um das System auf Fehlerfreiheit und Performanz zu testen. Der Träger des Krankenhauses in Maieringen, als Anwender auf das System der Huber AG zwingend angewiesen, fragt sich, ob und unter welchen Voraussetzungen bzw. Auflagen er die von ihm verarbeiteten Datensätze der Huber AG zur Verfügung stellen kann.

Software kann nicht hinreichend ohne Daten getestet werden. Der Einsatz von Echtdaten, die aus der produktiven Arbeit mit der Software stammen, für Testzwecke ist daher naheliegend. Eine Anonymisierung dieser Daten ist bisweilen – je nach Datenfeldern und Testzwecken – schwierig bis unmöglich. Teilweise werden Vorabtests in regulierten Bereichen sogar gefordert, ohne dass man hieraus allerdings eine gesetzliche Verpflichtung zum Einsatz von Echtdaten in Testsystemen ableiten kann.

Eine (formularmäßige) Einwilligung der Betroffenen einzuholen würde wohl Probleme mit dem „Koppelungsverbot“ bzw. dem „Entbündelungsgebot“ heraufbeschwören (s. Fall 30). Würde das Testsystem, für das die Daten zum Einsatz kommen, unsicherer sein als eine Produktivumgebung, müsste auch darüber wohl informiert werden. Zudem ist eine Einwilligung mit dem Risiko des jederzeit möglichen Widerrufs versehen. Allerdings muss der Widerruf nicht in jedem Fall – außerhalb des Bereichs der Aufbewahrungspflichten – zur sofortigen Löschung führen, sondern die Notwendigkeit der Löschung von noch anderweitig genutzten Daten kann gleichwohl (im Einzelfall) auch einer Abwägung zugänglich sein. So hat es zumindest – ohne dogmatische Begründung, denn in der DSGVO ist dies nicht angelegt – das bayerische Landesamt für Datenschutzaufsicht in seinem Tätigkeitsbericht 2017/2018 im Hinblick auf Mitarbeiterfotos ausgeführt:

Der Widerruf einer Einwilligung entfaltet Wirkung für die Zukunft (ex nunc). Bei der Frage der weiteren Verwendung der Fotos des betroffenen Mitarbeiters wird eine Abwägung der Interessen der Beteiligten vorzunehmen sein. Dabei ist zugunsten des Unternehmens der Aufwand bei der Herstellung der Broschüren und Flyer zu berücksichtigen. Die weitere Verwendung der bereits gedruckten Exemplare haben wir als vertretbar angesehen, da die Herstellungskosten sehr hoch waren und der Mitarbeiter keine besonders herausgehobene Funktion im Unternehmen bekleidete und die Darstellung in den Veröffentlichungen ebenfalls nicht besonders herausgehoben war. Bei einer Neuproduktion dürfen die Fotos des betreffenden Mitarbeiters aber nicht mehr verwendet werden.

Eine solche Interessenabwägung wird sich gleichwohl im Bereich der Testdaten immer dem Einwand ausgesetzt sehen, dass die Verarbeitung der Echtdaten nicht „erforderlich“ ist, sondern auch anonymisierte oder synthetische Daten eingesetzt werden können. Manuell können natürlich immer Echtdaten auch mit Blick auf den Testzweck und die benötigten Datenfelder ausreichend anonymisiert bzw. synthetische (nicht-personenbezogene) Daten hergestellt werden. Dies mag zwar mit erheblichem Aufwand verbunden sein, doch dies allein ist kein taugliches Argument im Rahmen der Bewertung der Erforderlichkeit der Nutzung personenbezogener Daten. Außerdem ist auch die Anonymisierung als solche eine Verarbeitungshandlung, für die es – so behaupten manche Juristen – eine eigene datenschutzrechtliche Legitimationsgrundlage geben muss. Echtdaten dürfen also überhaupt nur zu anonymisierten Testdaten „umgeformt“ werden, wenn es hierfür z. B. eine Einwilligung gibt, deren Widerruf dann allerdings die Anonymisierung (und die weitere Verwendung der gewonnenen anonymen Daten) unberührt blieben ließe. Ähnliche Überlegungen dürften auch im Kontext einer Zweckänderung und des entsprechenden Kompatibilitätstests anzustellen sein.

Diese Themen werden weiter verkompliziert, wenn der Software-Hersteller die Daten nicht selbst „besitzt“, sondern sich von seinen Kunden beschaffen muss. Dann geht es nicht nur um eine mögliche Zweckänderung und ggf. Interessenabwägung, sondern darüber hinaus auch um die Frage, ob eine Übermittlung an Dritte gerechtfertigt werden kann. Dies dürfte noch schwerer zu rechtfertigen sein, was die Frage aufwirft, ob nicht der Software-Hersteller insoweit als Auftragsverarbeiter seines Kunden tätig werden kann. Da allerdings die Ergebnisse der Tests mit den zugelieferten Echtdaten nicht nur dem spezifischen Kunden zugutekommen, kann dies kaum als „Verarbeitung im Auftrag“ dieses spezifischen Kunden gelten.

Eher als Auftragsverarbeitung lassen sich sog. „Penetrationstests“ durch Dienstleister einordnen. Ein Zusammenhang zwischen den beiden Themen liegt in Art. 32 DSGVO, der (u. a.) „wirksame“ Maßnahmen im Bereich der Datensicherheit fordert. Um die Wirksamkeit aufzeigen zu können, kann es sowohl notwendig sein, die ordnungsgemäße Funktion einer IT- bzw. Software-Umgebung (mit Testdaten) zu testen als auch die Abschottung der Daten nach außen hin (durch Penetrationstests) sicherzustellen. Der sächsische Datenschutzbeauftragte hat sich in seinem Tätigkeitsbericht 2017/2018 mit dem Verhältnis zwischen dem Auftraggeber und dem Dienstleister derartiger Test-Tätigkeiten beschäftigt. In diesem Zusammenhang empfiehlt der Sächsische Datenschutzbeauftragte – ähnlich wie in Wartungsfällen (s. Fall 27) – eine Auftragsverarbeitungsvereinbarung:

Aufgrund durchgeführter Testmaßnahmen besteht, je nach Auftrag, die Möglichkeit, dass seitens eines Auftragnehmers, der die Tests durchführt, personenbezogene Daten erlangt, ausgelesen oder auf irgendeine Weise verarbeitet werden. Ist dies nicht auszuschließen, rate ich Verantwortlichen, den Auftragnehmer im Wege einer Auftragsverarbeitung zu binden, so dass dieser rechtlich nicht als Dritter handelt und der Auftraggeber Herr der Daten bleibt. Auch wenn Penetrationstests in der Praxis, wie zuvor dargestellt, durchaus gesetzlichen Zwecken dienen, hätte ich in Bezug auf personenbezogene Datenerhebungen durch den Auftragnehmer und Datenübermittlungen an diesen, auch zum Zweck der Durchführung der Analysen, Vorbehalte.

Denn – ähnlich wie bei der Wartung – kann der Dienstleister hier mit personenbezogenen Daten, die der Verantwortliche verarbeitet, in Berührung kommen, auch wenn dies eigentlich gar nicht der Zweck des Penetrationstests ist. Interessant ist dabei die implizite Behauptung des Sächsischen Datenschutzbeauftragten, die Durchführung von Penetrationstests sei „irgendwie“ Teil der ursprünglichen Legitimationsgrundlage. Ohne diese Annahme dürften die Daten nicht im Rahmen einer Auftragsverarbeitung an einen Dienstleister weitergegeben werden – die Auftragsverarbeitung kann nicht Verarbeitungshandlungen legitimieren, die von der im Verhältnis zum Betroffenen bestehenden Legitimationsgrundlage nicht erfasst sind. Und welcher Verantwortliche kommuniziert im Bereich der Pflichthinweise schon „IT-Penetrationstests“ als Verarbeitungszweck?

Selbst wenn man dem Sächsischen Datenschutzbeauftragten folgt, lässt sich mit dessen Argumentation wohl nicht die Verwendung von Testdaten durch einen Software-Hersteller im Wege der Auftragsverarbeitung rechtfertigen. Denn der Software-Hersteller braucht „irgendwelche“ Daten, um das Funktionieren seiner Software zu prüfen. Es geht hier nicht zielgerichtet darum, für einen spezifischen Kunden tätig zu werden und dessen Daten für diesen zu verarbeiten oder andere Tätigkeiten für diesen auszuführen, anlässlich derer man mit den vom Verantwortlichen verarbeiteten Daten unvermeidlich „in Berührung kommt“.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden