Logo Verlag Dr. Otto Schmidt, Köln

EuGH v. 20.10.2022 - C-77/21

Speicherung von Kundendaten in zusätzlicher Datenbank wegen Serverstörung

Der EuGH hat sich vorliegend mit der Frage befasst, ob und ggf. wie lange wegen einer Serverstörung Kundendaten in einer zusätzlichen Datenbank gespeichert werden dürfen.

Der Sachverhalt:
Der ungarische Internet- und Fernsehanbieter Digi wehrt sich vor einem ungarischen Gericht gegen eine Geldbuße i.H.v. rd. 250.000 €, die ihm die ungarische Datenschutzbehörde auferlegt hat. Digi hatte im Anschluss an eine technische Serverstörung eine Testdatenbank erstellt, in die Digi personenbezogene Daten von ungefähr einem Drittel seiner Privatkunden kopierte, um Tests durchführen und Fehler beheben zu können. Diese Daten waren ursprünglich für den Zweck des Abschlusses von Abonnementverträgen erhoben worden. Einem "ethischen Hacker" gelangt es in der Folge, auf die Testdatenbank zuzugreifen. Nach Ansicht der Behörde hätte Digi diese Datenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen löschen müssen.

Das mit der Sache befasste ungarische Gericht bittet den EuGH um Auslegung der DSGVO, die u.a. die Grundsätze der Zweckbindung und der Speicherbegrenzung aufstellt.

Die Gründe:
Art. 5 Abs. 1 Buchst. b DSGVO ist dahin auszulegen, dass der darin vorgesehene Grundsatz der "Zweckbindung" es dem Verantwortlichen nicht verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden, wenn diese Weiterverarbeitung mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden, was anhand der in Art. 6 Abs. 4 dieser Verordnung genannten Kriterien und sämtlicher Umstände des Einzelfalls zu beurteilen ist.

Nach Art. 6 Abs. 4 DSGVO ist - wenn die Verarbeitung für einen anderen Zweck als demjenigen, für den die Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht - für die Feststellung, ob die Verarbeitung für einen anderen Zweck mit dem Zweck vereinbar ist, für den die personenbezogenen Daten ursprünglich erhoben wurden, u.a. folgendes zu berücksichtigen:

  • 1. ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht,
  • 2. in welchem Kontext die personenbezogenen Daten erhoben wurden, insbesondere das Verhältnis zwischen den betroffenen Personen und dem Verantwortlichen,
  • 3. um welche Art von personenbezogenen Daten es sich handelt,
  • 4. welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und
  • 5. ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.

Die Durchführung von Tests und die Behebung von Fehlern, die die Datenbank beeinträchtigen, die die Daten der Abonnementkunden enthält, weisen einen konkreten Zusammenhang mit der Erfüllung der mit Privatkunden geschlossenen Abonnementverträgen auf. Denn solche Fehler können sich nachteilig auf die Erbringung der vertraglich vereinbarten Dienstleistung auswirken, für die die Daten ursprünglich erhoben worden sind. Diese Verarbeitung weicht nicht von den legitimen Erwartungen der Abonnenten hinsichtlich der weiteren Verwendung ihrer Daten ab.

Art. 5 Abs. 1 Buchst. e DSGVO ist dahin auszulegen, dass der darin vorgesehene Grundsatz der "Speicherbegrenzung" es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist. Die Grundsätze der Zweckbindung und der Speicherbegrenzung gelten kumulativ, d.h. die Speicherung personenbezogener Daten muss nicht nur dem Grundsatz der "Zweckbindung", sondern auch dem Grundsatz der "Speicherbegrenzung" genügen. Aus letzterem folgt, dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Laufe der Zeit mit der DSGVO unvereinbar werden kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet worden seien, nicht mehr erforderlich sind.

Mehr zum Thema:

Aufsatz
Grenzen der DSGVO aus dem Unionsprimärrecht?
Sascha Kremer / Kristof Kamm, CR 2022, 427

Handbuch
Inhaltsübersicht
Härting/Konrad in Härting/Konrad, DSGVO Bußgelder und andere Verfahren, 1. Auflage 2020

Auch im Beratermodul IT-Recht abrufbar:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. 4 Wochen gratis nutzen!



Verlag Dr. Otto Schmidt vom 20.10.2022 14:54
Quelle: EuGH online

zurück zur vorherigen Seite