Umgang mit Testdaten

Hallo zusammen,
im Rahmen eines beruflichen Projektes habe ich mich gefragt, wie man mit Daten von erfundenen Personen umgehen sollte. Da ich bei meiner Bewertung aktuell etwas unsicher bin, würde ich euch gern um Rat fragen, wie ihr die Problematik seht oder wie ihr sowas eventuell handhabt.

Auf https://migano.de/testdaten.php kann man sich für die Softwareentwicklung Testdaten von fiktiven Personen erstellen lassen. Problematisch finde ich dabei vor allem die real existierenden Adressen und Telefonnummern. Wobei die Telefonnummern nicht alle real existieren müssen, aber durch das vorgegebene Muster und dem beschränkten Zeichensatz ist es nicht auszuschließen.

Speichere ich nun die Daten oder übermittele sie sogar in eine Cloud liegt zweifelsohne eine Verarbeitung vor. Fraglich ist aber, ob diese auch einen Personenbezug aufweisen (zumindest das LG Berlin hat das, wenn auch schwammig argumentiert, abgelehnt https://openjur.de/u/2396655.html).
Würde man einen Personenbezug annehmen, würde das bedeuten, dass ich alle Adressinhaber nach Art. 14 DSGVO informieren müsste. Praktisch würde ich einen Brief an Unbekannt mit der bekannten Adresse senden. Käme der überhaupt an?
Um meine Informationspflicht sicherzustellen müsste ich also persönlich vorbeifahren und die Information übergeben oder einwerfen.
Gleiches Spiel beim Anschlussinhaber einer Telefonnummer.
Der Aufwand wäre enorm.

Wer auch immer einen Prüfalgorithmus in sein Kontaktformular für eine formal korrekte Telefonnummer einbaut, prüft im Grunde gegen alle möglichen Telefonnummern. Praktisch wohl mit regex, aber davon lassen sich auf alle Telefonnummern schließen. Auch diese Person müsste alle Anschlussinhaber über die Verarbeitung der Telefonnummer informieren.

Das kann doch nicht Sinn und Zweck der DSGVO sein.
Da frage ich mich, was möchte die DSGVO schützen. Die Daten selbst und/oder den Personenbezug.
Ganz pragmatisch stelle ich mir vor, dass ich eine Telefonnummer auswürfele, dort anrufe und irgendwas verkaufen möchte. Die Person fragt nun, wo ich die Telefonnummer herhabe und ich sage, dass ich sie gewürfelt habe. Was entgegnet die Person nun? Ich dürfe keine Telefonnummern würfeln?

Wie seht ihr die Thematik?

Zusammengewürfelte Adressen von existierenden Straßen stellen keine Personenbezogenen Daten dar. Sonst dürfte es ja auch keine Stadtpläne mit Hausnummern oder Kartenapplikationen geben.
Daten sind personenbezogen, wenn es zum Beispiel um die Adresse eine Person geht. Nicht, wenn es um irgendeine Adresse geht.

Wenn Du nicht sicher bist, dass die Daten tatsächlich nicht auf Personen beziehbar sind, so solltest Du sie nicht verwenden. Der Erwägungsgrund 26 der DS-GVO erläutert „Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“

Ohnehin kommt die Rechtmäßigkeit der Verarbeitung vor der Info zur Verarbeitung.

Falls Daten zufällig einen Personenbezug haben, dann sind sie keine. Den Zufall muss man aber im Zweifel plausibel machen können.

Ich sehe – rein sprachlich – zwei Gründe, warum die DSGVO dabei keine Anwendung findet:

  1. Ausgewürfelte Daten sind keine Information. Information heißt Kenntnis bringend. Zufall bringt keine Kenntnis.
  2. Die Daten beziehen sich auf fiktive, nicht auf natürliche Personen.

Somit wären das keine personenbezogenen Daten, wie sie in Art. 4 Abs. 1 DSGVO definiert sind:

Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen

Dies bedeutete, dass die DSGVO sachlich nicht anwendbar wäre – siehe Art. 2 Abs. 1 DSGVO.

Das heißt, die zufälligen Adressen sind so lange verwendbar, bis jemand kommt und nachweist, daß es eine bestimmte Adresse tatsächlich gibt.
Erst dann fällt sie unter die DSGVO und muss aus dem Test entfernt werden.

Allerdings rückwirkend aus dem ganzen Test. Richtig?

Alle Adressen dort sind real vorhanden. Du kannst also jede Adresse eines Datensatzes in einen Kartendienst deiner Wahl eingeben und erhältst einen Treffer.

Das ist richtig, das war ein Argument von der anderen Richtung her.

Wieso ist das so?

Würde man nun annehmen, dass eine gewürfelte Telefonnummer kein personenbezogenes Datum, auch wenn es für sie einen Anschlussinhaber gibt, könnte man genauso annehmen, dass jede Zeichenfolge allein (ohne weitere Angaben wie Zeitpunkt, Name oder welcher Typ die Zeichenfolge ist) kein personenbezogenes Datum ist.
IBAN, Versicherungsnummern, Personalausweisnummer, etc.
All diese haben ein festgelegtes Format und einen begrenzten Zeichensatz. Vom Bauchgefühl her wäre die Annahme aber auch verkehrt.

Der Schlüssel liegt in diesem Wort, bezogen bzw. beziehbar.
Wenn du alle möglichen Anschlussnummern speicherst, aber dadurch keinen Bezug zu einer reellen Person hast, dann gibt es kein Problem.
Wenn du auf Basis dieser Nummern anfängst Leute anzurufen, ist das erstmal kein DSGVO Thema sondern Belästigung, da gibt es iwo ein Gesetz (vll. kann hier jemand noch ergänzen) welches regelt, dass zu kommerziellen Zwecken nicht einfach jeder angerufen werden darf.

Gleiches gilt in meinen Augen auch für deine anderen Beispiele wie IBAN etc.

Wir hatten mal an einer anderen Stelle eine sehr ausführliche Diskussion, ab wann ein personenbezug besteht. Weil in der Theorie lässt sich das auch auf die IP-Adresse ummünzen.

Das ist § 7 UWG.

Nicht nur in der Theorie. Aber ich wollte das Thema IP-Adresse nicht anbringen, weil dazu schonmal eine lange Diskussion angestoßen. Aber faktisch ist eine IP Adresse ohne Zeitpunkt auch ziemlich wertlos und reiht sich genau in die anderen Zeichenfolgen ein.
Ich suche den Thread mal.

Würde ich aber auch annehmen.
Das Gegenteil (lass es Schreibübungen eines Kindes sein), alles unter den Regelungen der DSGVO?
Das wäre doch total irre, denke ich: Ein unerschöpflicher Datensalat.

Hallo voxan,

geht es Dir nur um die rechtliche Absicherung?
Zur DSGVO kann ich nichts sagen, aber da kamen ja schon einige Rückmeldungen.

Man könnte sich aber auch das Moralische ansehen, ob die betroffene Person irgendwo einen Nachteil erfährt, weil sie den fiktiven anderen Daten zugeordnet wird, wenn die Daten irgendwie durchsickern.

So oder so, musst Du dafür bei dem Test Daten eingeben? Und richtige Daten? Tuts nicht auch die Mustermannstr. oder andere Daten, die es sicher nicht gibt (für Fernsehproduktionen gibt es z.B. extra Telefonnummern, die nicht existieren).
Ansonsten würde ich eben gut vorsorgen, dass die Daten nicht geleakt werden können.