Die Entwicklung und das Testen neuer Softwarelösungen sind ohne repräsentative Testdaten kaum möglich. Doch sobald diese Daten einen Personenbezug aufweisen, greift die Datenschutzgrundverordnung (DSGVO). Der Einsatz von Echtdaten oder auch nur pseudonymisierten Informationen zu Testzwecken ist aus Sicht des Datenschutzrechts keineswegs unproblematisch. Eine aktuelle Kurzposition der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) von Juni 2025 thematisiert den Datenschutz bei der Software-Entwicklung und -Tests. Hierin stellt sie insbesondere auch eine Prüffolge zur Verfügung, die bei der datenschutzkonformen Verwendung von Testdaten helfen soll.
Testdaten und Datenschutz – rechtlicher Rahmen
Testdaten können sich aus vielen verschiedenen Arten von Daten zusammensetzen. Sie können teilweise rein technischer oder wissenschaftlicher Natur sein. Andererseits oder auch parallel hierzu können sie aber auch personenbezogene Daten darstellen. Nach Art. 4 Nr. 1 DSGVO liegt immer dann eine Verarbeitung personenbezogener Daten vor, wenn sich Informationen auf eine identifizierte oder identifizierbare Person beziehen. Dann unterliegen auch Daten in Testumgebungen grundsätzlich dem Datenschutz.
Data Protection by Design als Maßstab
Nach dem Grundsatz Privacy by Design gemäß Art. 25 DSGVO ist jede Software datenschutzfreundlich zu gestalten. Das gilt auch für den Entwicklungsprozess. Insbesondere weist die BfDI in ihrer Kurzposition darauf hin, dass es für den Datenschutz bei Software-Entwicklung und -Tests „keine Ausnahmebereiche“ mit erleichterten Datenschutzvorgaben gibt. Dieses Prinzip erfordere eine frühzeitige, systematische Auseinandersetzung mit der Frage, ob der Einsatz personenbezogener Daten im konkreten Test überhaupt notwendig ist oder vermieden werden kann. Die Datenschutzaufsichtsbehörde empfiehlt dabei eine gestufte Prüffolge.
1. Verwendung nicht-personenbezogener Daten im Regelfall
Im Regelfall sei der Einsatz von Testdaten mit Personenbezug vermeidbar, was den Vorteil hat, dass bei nicht-personenbezogenen Daten die Vorgaben der DSGVO nicht zu beachten sind. Der fehlende Personenbezug kann sich entweder aus der Natur der Daten ergeben, zum Beispiel weil sie rein technische Daten über das Programm sind.
Andererseits können vollsynthetische Daten nach bestimmten Regeln auch generiert werden. Auch dies sei eine datenschutzrechtlich unbedenkliche Option. Selbst komplexe Testanforderungen würden sich häufig durch gezielte Modellerstellung abbilden lassen. In der Testphase ginge es nämlich lediglich darum festzustellen, ob unter bestimmten Bedingungen vorher festgelegte Anforderungen eingehalten werden“ müssen. Beispielsweise könne auch mit künstlich erstellten Informationen getestet werden, ob die Software mit einem ungewöhnlich langen Namen zurechtkommt. Außerdem könnten ein einmal erstellte Testdatensätze auch für zukünftige Tests weiterverwendet werden. Trotzdem sei darauf zu achten, dass bei der Erstellung dieses Datensatzes nicht doch ausversehen indirekt oder unbemerkt personenbezogene Daten übernommen werden.
Sonderfall: Anonymisierung
Besondere Vorsicht sei aber bei der Verwendung anonymisierter Daten geboten. Bei der Anonymisierung werden reale Daten so verändert, dass kein Personenbezug mehr besteht oder dieser „nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft“ wieder hergestellt werden kann. Auch dann entfallen die Vorgaben der DSGVO. Allerdings sei zu beachten, dass die Anonymisierung selbst ein Verarbeitungsvorgang im Sinne der DSGVO sei, der zwar meist aber nicht immer gerechtfertigt sei. Hinzu komme, dass es kein technisches Patentrezept für die sichere Anonymisierung gebe. Eine bloße Entfernung offensichtlicher Identifikatoren wie Namen oder Adressen reiche in der Regel nicht aus. Insbesondere sei zu bedenken, dass auch „Merkmalskombinationen“ zu einer Identifizierung führen können. Deshalb sei eine vollständige Anonymisierung „zum Beispiel im Gesundheitswesen oder der Forschung“ oft nicht vollständig möglich.
2. Verwendung pseudonymisierter Daten als Zwischenfall
Lassen sich personenbezogene Daten nicht vollständig anonymisieren, könne eine Pseudonymisierung, also die Ersetzung identifizierender Merkmale beispielsweise durch Codewerte, eine risikoreduzierende und erforderliche Maßnahme darstellen. Dazu müsse allerdings die Verarbeitung generell zulässig sein, was bedeutet, dass die DSGVO-Vorgaben einzuhalten seien. Insbesondere seien weiterhin die Transparenzpflichten gegenüber den betroffenen Personen zu erfüllen, sofern keine Ausnahme greift.
3. Verwendung personenbezogener Daten als Ultima Ratio
Am strengsten sind die Anforderungen, wenn personenbezogene Daten in ihrer ursprünglichen Form für Tests verwendet werden sollen. Eine solche Verarbeitung sei nur zulässig, wenn der Verantwortliche alle anderen Möglichkeiten ausgeschöpft hat und der Einsatz zwingend erforderlich ist. Dann sind die Vorgaben der DSGVO in vollem Umfang einzuhalten.
Praxisnahe Szenarien und deren Bewertung
Zuletzt illustriert die Kurzposition die rechtlichen Vorgaben anhand typischer Szenarien aus der Unternehmenspraxis. So zeigt sich etwa beim klassischen Lasttest, dass der Einsatz realer Personendaten meist nicht erforderlich sei. Synthetische Daten würden denselben Zweck mit deutlich geringerem Risiko erfüllen.
Anders sehe es aus bei hochkomplexen medizinischen Simulationen, bei denen ein Personenbezug unter Umständen unvermeidlich ist. Die BfDI nennt den Fall, in dem ein Programm den Blutzuckerspiegel bei Diabetes in bei Nacht simulieren soll. Wenn es bislang kein Modell gebe, scheide die Erzeugung synthetischer Daten aus, weshalb ein Rückgriff auf pseudonymisierte Daten notwendig und zulässig sein könnte.
Der Einsatz von Echtdaten zur Entscheidung, welches von verschiedenen Systemen angeschafft werden soll, sei hingegen regelmäßig unzulässig. Eine Sonderkonstellation ergebe sich, wenn ein Unternehmen etwa im Zuge einer Fehleranalyse oder Systemmigration produktive Daten in eine gleichwertig gesicherte Testumgebung überführen will. Hier könne ausnahmsweise die Nutzung von Echtdaten denkbar sein, sofern die Daten den Schutzbereich nicht verlassen und der technische sowie organisatorische Schutz dem des Echtbetriebs entspricht.
Fazit
Die Verwendung von personenbezogenen Daten in Entwicklungs- und Testprozessen ist hochkomplex und kein datenschutzfreier Raum. Die Kurzposition der BfDI zum Datenschutz bei Software-Entwicklung bietet eine wertvolle Unterstützung für Unternehmen. Sie verdeutlicht, dass wer sich über Anforderungen hinwegsetzt oder auf Scheinlösungen wie unzureichend anonymisierte Datensätze vertraut, sich erheblichen Risiken aussetzt. Ein datenschutzgerechter Testbetrieb ist jedoch möglich, wenn Verantwortlich strukturierte Prüfprozesse etablieren, geeignete Schutzmaßnahmen umsetzen und sämtliche Entscheidungen nachvollziehbar dokumentieren. Dabei helfen wir Ihnen als Externe Datenschutzbeauftragte weiter.
