Hintergrund der Entscheidung
Nach einer technischen Störung, die den Betrieb eines Servers beeinträchtigte, richtete das Unternehmen Digi, einer der führenden Anbieter von Internet- und Fernsehdiensten in Ungarn, im April 2018 eine Testdatenbank ein. In diese kopierte Digi personenbezogene Daten von ungefähr einem Drittel seiner Privatkunden, die zuvor in der Produktivdatenbank des Unternehmens gespeichert waren.
Im September 2019 benachrichtigte ein ethischer Hacker das Unternehmen, dass er Zugriff auf personenbezogene Daten von rund 322.000 Personen erlangen konnte, die in der Testdatenbank gespeichert waren. Digi behob den Fehler und zeigte die Datenpanne bei der ungarischen Aufsichtsbehörde an, die daraufhin ein Untersuchungsverfahren einleitete.
Die Behörde stellte fest, dass Digi gegen die in Art. 5 der Datenschutz-Grundverordnung (DSGVO) verankerten Grundsätze der Zweckbindung und Speicherbegrenzung verstoßen hatte, indem es die in der Testdatenbank gespeicherten Daten nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht sofort gelöscht hatte. Somit waren diese Daten fast 18 Monate ohne irgendeinen Zweck in der Testdatenbank gespeichert. Die Behörde verhängte gegen das Unternehmen eine Geldbuße von umgerechnet etwa 248.000 Euro.
Digi focht diese Entscheidung vor dem Hauptstädtischen Gerichtshof an, der daraufhin dem EuGH Fragen zur Auslegung des Art. 5 DSGVO vorlegte.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Der Richterspruch
Grundsatz der Zweckbindung
Die erste Frage des ungarischen Gerichts betraf die Vereinbarkeit der Einrichtung einer separaten Datenbank mit personenbezogenen Daten von Kunden zu Testzwecken und zur Behebung von Fehlern mit dem datenschutzrechtlichen Grundsatz der Zweckbindung.
Nach dem Grundsatz der Zweckbindung dürfen personenbezogene Daten lediglich für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Eine Weiterverarbeitung von Daten für die Zwecke, für die die Daten ursprünglich erhoben wurden, ist laut dem EuGH stets unproblematisch. Demgegenüber muss die Zulässigkeit einer Weiterverarbeitung von Daten für Zwecke, die nicht mit den Zwecken übereinstimmen, für die die Daten ursprünglich erhoben wurden, im Einzelfall geprüft werden. Deren Zulässigkeit ist an den Anforderungen des Art. 6 Abs. 4 DSGVO zu messen.
Die Speicherung personenbezogener Daten in einer neu eingerichteten Testdatenbank fällt laut dem EuGH in die zweite Kategorie. Bei der Beurteilung, ob diese Weiterverarbeitung rechtlich zulässig ist, ist insbesondere zu berücksichtigen:
- ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht,
- in welchem Kontext die personenbezogenen Daten erhoben wurden, insbesondere das Verhältnis zwischen den betroffenen Personen und dem Verantwortlichen,
- um welche Art von personenbezogenen Daten es sich handelt,
- welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und
- ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien für den Schutz von Daten bestehen.
Vereinfacht gesagt verlangen diese Kriterien eine konkrete, kohärente und ausreichend enge Verbindung zwischen dem Zweck der Datenerhebung und der Weiterverarbeitung von Daten. Auf diese Weise soll verhindert werden, dass die Weiterverarbeitung von den legitimen Erwartungen der betroffenen Personen hinsichtlich der weiteren Verwendung ihrer Daten abweicht.
Der EuGH stellte fest, dass die Durchführung von Tests und die Behebung von Fehlern, die die Datenbank mit Kundendaten beeinträchtigen, einen konkreten Zusammenhang mit der Erfüllung der mit Kunden geschlossenen Verträgen aufweisen, da sich solche Fehler nachteilig auf die Erbringung der vertraglich vereinbarten Dienstleistung auswirken können, für die die Daten ursprünglich erhoben wurden. Diese Weiterverarbeitung ist im Einklang mit den legitimen Erwartungen der Kunden bezüglich der weiteren Verwendung ihrer Daten. Der EuGH kommt zum Ergebnis, dass eine solche Weiterverarbeitung personenbezogener Daten mit dem Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b) DSGVO vereinbar ist.
Grundsatz der Speicherbegrenzung
Mit seiner zweiten Frage wollte das ungarische Gericht wissen, ob der in Art. 5 Abs. 1 lit. e) DSGVO verankerte Grundsatz der Speicherbegrenzung es dem Verantwortlichen verbietet, die in der Testdatenbank gespeicherten Daten länger zu speichern als für die Behebung der Fehler erforderlich ist.
Der Grund für diese Vorlagefrage bestand darin, dass die Daten auch 18 Monate nach der Fehlerbehebung weiterhin in der Testdatenbank gespeichert waren. Dies könnte dem ungarischen Gericht zufolge eine Verletzung des Grundsatzes der Speicherbegrenzung darstellen, wonach personenbezogene Daten in einer Form, die die Identifizierung der betroffenen Personen ermöglicht, nur so lange gespeichert werden dürfen, wie dies für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Der EuGH bestätigte die Auffassung des ungarischen Gerichts und urteilte, dass der Grundsatz der Speicherbegrenzung es dem Verantwortlichen verwehrt, in einer Testdatenbank gespeicherte personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.
Der EuGH betonte, dass es gemäß dem Grundsatz der Rechenschaftspflicht dem Verantwortlichen obliegt nachzuweisen, dass er die Daten für die Erreichung der Zwecke, für die sie erhoben bzw. weiterverarbeitet wurden, weiterhin benötigt.
Datenschutzrechtliche Einschätzung
Der Richterspruch des EuGH bringt einige wichtige Erkenntnisse hinsichtlich der Grundsätze der Datenverarbeitung, die für jede Datenverarbeitung relevant sind. Bereits die Verletzung nur eines der sechs Grundsätze der Verarbeitung kann nämlich zur Folge haben, dass die Datenverarbeitung nicht DSGVO-konform ist.
Mit seiner Auslegung des Grundsatzes der Zweckbindung erkennt der EuGH an, dass Verantwortliche bei der Verwendung personenbezogener Daten eine gewisse Flexibilität benötigen. Wie der vorliegende Fall zeigt, können nicht immer sämtliche Zwecke, für die die Daten benötigt werden, im Vorfeld der Datenerhebung festgelegt werden. Dennoch können solche Verarbeitungszwecke legitim sein. Sind die oben aufgeführten Anforderungen des Art. 6 Abs. 4 DSGVO erfüllt, steht die DSGVO einer solchen Weiterverarbeitung nicht im Wege.
Bezüglich des Grundsatzes der Speicherbegrenzung urteilte der EuGH, dass der Verantwortliche im Rahmen seiner Rechenschaftspflicht in der Lage sein muss nachzuweisen, dass die Datenspeicherung für die Zweckerreichung weiterhin erforderlich ist. Die Ausführungen sind nicht nur bei der Verwendung von Daten zu Testzwecken, sondern bei jeder Datenspeicherung von Relevanz. Der Verantwortliche muss für jedes personenbezogene Datum, das er speichert, nachweisen können, dass dieses weiterhin benötigt wird, um die Verarbeitungszwecke zu erreichen. Werden die Daten hierfür nicht mehr erforderlich, sind sie unverzüglich zu löschen. Unternehmen sind gut beraten, sich diesbezüglich im Rahmen der Erstellung eines Löschkonzepts Gedanken zu machen und die für das Unternehmen jeweils gültigen Speicherfristen verbindlich festzulegen.
Fazit
Der Richterspruch des EuGH bietet einige wichtige Klarstellungen bezüglich der praktischen Umsetzung der Grundsätze der Datenverarbeitung. Da diese bei jeder Datenverarbeitung beachtet werden müssen, sollten Unternehmen genau prüfen, welche Auswirkungen sich aus dem Urteil für sie ergeben. Dies gilt insbesondere für die Ausführungen des EuGH zum Grundsatz der Speicherbegrenzung, denn die Praxis zeigt, dass Unternehmen oft dazu tendieren, personenbezogene Daten zu lange bzw. auf Vorrat zu speichern.
