Kann man als Verantwortlicher personenbezogene Daten auch zu anderen Zwecken verwenden, als bei der Erhebung ursprünglich gedacht?
Mit dieser Frage durfte sich der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsersuchens auseinandersetzen (Urteil vom 20.10.2022, Az.: C-77/21). Auch wenn das Urteil bereits einige Zeit zurückliegt, so hat die Bewertung durch den EuGH große Relevanz für die Praxis.
Ausgangslage
Den Grund für das Vorabentscheidungsersuchen lieferte der führende Anbieter von Internet- und Fernsehdiensten DIGI Távközlési és Szolgáltató Kft. („Digi“) in Ungarn. Dieser hatte mit einer technischen Störung zu kämpfen, die den Betrieb eines Servers beeinträchtigte. Deswegen kopierte Digi aus dem Produktivsystem etwa ein Drittel seiner personenbezogenen Kundendaten in eine neu angelegte Testdatenbank hinein, um den Fehler über das Testsystem zu finden. Bei den Kundendaten handelte es sich um Daten, die ursprünglich für Newsletter-Abonnements verwendet wurden.
Ein White-Hat-Hacker machte Digi auf einen Fehler der Testdatenbank aufmerksam, der es Unbefugten – wie dem White-Hat-Hacker – erlaubte, auf die Datenbank zuzugreifen. Digi schloss die Lücke und informierte die Aufsichtsbehörde.
Die Behörde erließ einen Bußgeldbescheid über 248.000 Euro, da Digi die personenbezogenen Daten ohne „irgendeinen Zweck“ gespeichert habe. Das Unternehmen ging gerichtlich gegen den Bußgeldbescheid vor.
Das ungarische Gericht fragte daraufhin den EuGH, ob es mit dem Grundsatz der Zweckbindung und der Speicherbegrenzung zulässig sei, die ursprünglich erhobenen Daten in einer Testdatenbank zu speichern und zu Testzwecken zu verwenden.
Daten können grundsätzlich für andere Zwecke genutzt werden
Der EuGH urteilte, dass die Zweckbindung es dem Verantwortlichen nicht verwehrt, personenbezogene Daten zu Testzwecken weiterzuverarbeiten.
Dabei stellte der EuGH zunächst fest, dass die ursprüngliche Erhebung und Verarbeitung der Kundendaten zur Erfüllung der Abonnementverträge auf einer entsprechenden Rechtsgrundlage aus Art. 6 Abs. 1 lit. b DSGVO beruht und nicht zu beanstanden sei.
In der Kopie der Kundendaten in eine Testdatenbank sah der EuGH eine Weiterverarbeitung. Eine rechtmäßige Weiterverarbeitung von personenbezogenen Daten zu anderen Zwecken sei an Art. 6 Abs. 4 DSGVO zu messen. Dazu müssen nach dem EuGH die folgenden Kriterien berücksichtigt werden (Rn. 35):
- Besteht ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung?
- In welchem Kontext wurden die personenbezogenen Daten erhoben bzw. welches Verhältnis besteht zwischen Verantwortlichen und betroffener Person?
- Um welche Art von personenbezogenen Daten handelt es sich?
- Welche Folgen hat die beabsichtigte Weiterverarbeitung für die betroffene Person?
- Bestehen bei der ursprünglichen als auch bei der beabsichtigten Weiterverarbeitung geeignete Garantien?
Der EuGH gab einige Hinweise, wie das nationale Gericht nun entscheiden sollte: Das Gericht muss anhand der Zwecke der Testdurchführung und Fehlerbehebung bewerten, ob die Weiterverarbeitung mit der ursprünglichen Erhebung (Abschluss und Erfüllung von Abonnementverträgen) vereinbar ist.
Auch sah der EuGH einen konkreten Zusammenhang zwischen der Erfüllung der Abonnementverträge und der Datenverarbeitung zu Testzwecken, da die Fehler im Produktivsystem sich nachteilig auf die Erbringung der Erfüllung der Abonnementverträge auswirken könnten (Rn. 44).
Außerdem schienen die Daten nicht sensibler Natur zu sein, die Weiterverarbeitung keine nachteilige Auswirkung für die betroffenen Personen zu haben und es sei nicht erkenntlich, dass die Weiterverarbeitung nicht mit geeigneten Garantien versehen wäre, so der EuGH weiter (Rn. 44).
Speicherbegrenzung
Der EuGH stellte in Bezug auf die Dauer der Speicherung von Daten klar, dass der Verantwortliche im Rahmen seiner Rechenschaftspflicht nachweisen muss, dass die personenbezogenen Daten nur solange gespeichert werden dürfen, wie es für die Erreichung der Ziele erforderlich ist (Rn. 53). Danach werde die Datenverarbeitung unzulässig.
Fazit
Das Urteil stellt eine Erleichterung für die Praxis dar, wenn es um die Datenverarbeitung zu Testzwecken geht. Wenn die Weiterverarbeitung personenbezogener Daten im Sinne der betroffenen Personen ist, keine sensiblen Daten (wie z. B. Gesundheitsdaten) betroffen sind und Maßnahmen zur Datensicherheit bestehen, kann man die Daten getrost nutzen, ohne umständlich die Einwilligung einholen zu müssen. Dies ist insbesondere deswegen wichtig, da Dummy-Daten nicht immer geeignet sind Tests durchzuführen. Auf keinen Fall darf aber vergessen werden, dass die betroffenen Personen über die Zweckänderung informiert werden müssen, wie wir hier eingehend schildern.
Es sollte aber auf jeden Fall – Stichwort Rechenschaftspflicht – eine kurze Prüfung der Zweckänderung anhand von Art. 6 Abs. 4 DSGVO durchgeführt werden, um auf der sicheren Seite zu sein. Dass die Testdaten nach erfolgreichem Test gelöscht werden müssen, versteht sich dabei von selbst.
Hinweis: Im o. g. Aktenzeichen zum Urteil hatte sich ein Fehler eingeschlichen, wir haben dies korrigiert.
4. April 2024 @ 13:00
A small correction: the process is C-77/21, not C-77/22 as indicated at the beginning.
4. April 2024 @ 15:03
Thank you for your comment, we have corrected it.