Urteil : Zeitlich begrenzte Zulässigkeit der Übertragung von personenbezogenen Daten in eine „Testdatenbank“ zur Überprüfung von IT-Systemen : aus der RDV 1/2023 Seite 59 bis 61
(EuGH, Urteil vom 20. Oktober 2022 – C-77/21 –)
- Der Zweckbindungsgrundsatz aus Art. 5 Abs. 1 Buchst. d der DS-GVO verwehrt es Verantwortlichen nicht unbedingt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank auch personenbezogene Daten zu erfassen und zu speichern, die zu einem anderen Zweck erhoben und in einer anderen Datenbank gespeichert wurden.
- Die Speicherung in einer Testdatenbank ist zulässig, wenn sie mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden, was anhand der in Art. 6 Abs. 4 dieser Verordnung genannten Kriterien und sämtlicher Umstände des Einzelfalls zu beurteilen ist.
- Nach Abschluss des Tests sind die Daten mit Blick auf den Grundsatz der „Speicherbegrenzung“ aus Art. 5 Abs. 1 Buchst. e) der Verordnung zu löschen. Eine vorsorgliche Speicherung ohne konkrete Testabsicht ist unzulässig.
(Nicht amtliche Leitsätze)
Zu den Vorlagefragen
Zur ersten Frage
Mit der ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 5 Abs. 1 Buchst. b der Verordnung 2016/679 dahin auszulegen ist, dass der darin vorgesehene Grundsatz der „Zweckbindung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden.
[…]
Insbesondere müssen personenbezogene Daten gemäß Art. 5 Abs. 1 Buchst. b dieser Verordnung, der den Grundsatz der „Zweckbindung“ vorsieht, zum einen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen zum anderen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
[…]
Was zweitens die Anforderung betrifft, dass die personenbezogenen Daten nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen, ist zum einen festzustellen, dass es eine „Weiterverarbeitung“ personenbezogener Daten darstellt, wenn der Verantwortliche in einer neu eingerichteten Datenbank personenbezogene Daten erfasst und speichert, die in einer anderen Datenbank gespeichert waren.
Der Begriff „Verarbeitung“ wird nämlich in Art. 4 Nr. 2 der Verordnung 2016/679 weit definiert als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie u.a. das Erheben, das Erfassen und die Speicherung dieser Daten.
Außerdem stellt nach der üblichen Bedeutung des Worts „Weiterverarbeitung“ im allgemeinen Sprachgebrauch jede Verarbeitung personenbezogener Daten, die nach der ursprünglichen Verarbeitung – der ursprünglichen Erhebung dieser Daten – erfolgt, unabhängig von ihrem Zweck eine „Weiterverarbeitung“ dieser Daten dar.
Zum anderen ist festzustellen, dass Art. 5 Abs. 1 Buchst. b der Verordnung 2016/679 keine Angaben dazu enthält, unter welchen Voraussetzungen eine Weiterverarbeitung personenbezogener Daten als mit den Zwecken der ursprünglichen Erhebung der Daten vereinbar angesehen werden kann.
Als Zweites ergeben sich jedoch aus dem Zusammenhang, in dem diese Vorschrift steht, hierzu nützliche Präzisierungen.
Liest man Art. 5 Abs. 1 Buchst. b, Art. 6 Abs. 1 Buchst. a und Art. 6 Abs. 4 der Verordnung 2016/679 zusammen, ergibt sich nämlich, dass sich die Frage der Vereinbarkeit der Weiterverarbeitung personenbezogener Daten mit den Zwecken, für die sie ursprünglich erhoben wurden, nur stellt, wenn die Zwecke dieser Weiterverarbeitung nicht mit denen der ursprünglichen Erhebung übereinstimmen.
Außerdem ist nach Art. 6 Abs. 4 dieser Verordnung in Verbindung mit deren 50. Erwägungsgrund, wenn die Verarbeitung für einen anderen Zweck als demjenigen, für den die Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht, für die Feststellung, ob die Verarbeitung für einen anderen Zweck mit dem Zweck vereinbar ist, für den die personenbezogenen Daten ursprünglich erhoben wurden, u.a. zu berücksichtigen, erstens ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, zweitens in welchem Kontext die personenbezogenen Daten erhoben wurden, insbesondere das Verhältnis zwischen den betroffenen Personen und dem Verantwortlichen, drittens um welche Art von personenbezogenen Daten es sich handelt, viertens welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und fünftens ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.
Wie der Generalanwalt in den Nrn. 28, 59 und 60 seiner Schlussanträge im Wesentlichen ausgeführt hat, spiegeln diese Kriterien die Notwendigkeit einer konkreten, kohärenten und ausreichend engen Verbindung zwischen dem Zweck der Datenerhebung und der Weiterverarbeitung der Daten wider und ermöglichen es, sich zu vergewissern, dass diese Weiterverarbeitung nicht von den legitimen Erwartungen der Abonnenten hinsichtlich der weiteren Verwendung ihrer Daten abweicht.
Wie der Generalanwalt in Nr. 27 seiner Schlussanträge im Wesentlichen hervorgehoben hat, ermöglichen es diese Kriterien als Drittes auch, die Wiederverwendung früher erhobener personenbezogener Daten einzugrenzen und dabei ein Gleichgewicht zwischen dem Erfordernis der Vorhersehbarkeit und der Rechtssicherheit in Bezug auf die Zwecke der Verarbeitung der zuvor erhobenen personenbezogenen Daten einerseits und der Anerkennung einer gewissen Flexibilität zugunsten des Verantwortlichen bei der Verwaltung dieser Daten andererseits sicherzustellen, und tragen damit zur Erreichung des im zehnten Erwägungsgrund der Verordnung 2016/679 genannten Ziels bei, ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten.
Somit hat das nationale Gericht unter Berücksichtigung der in Rn. 35 des vorliegenden Urteils genannten Kriterien und sämtlicher Umstände, die den vorliegenden Fall kennzeichnen, sowohl die Zwecke der ursprünglichen Erhebung der personenbezogenen Daten als auch der Weiterverarbeitung dieser Daten zu ermitteln und, falls die Zwecke der Weiterverarbeitung von den Zwecken der ursprünglichen Erhebung abweichen, zu überprüfen, ob die Weiterverarbeitung der Daten mit den Zwecken der ursprünglichen Erhebung vereinbar ist.
Doch kann der Gerichtshof dem nationalen Gericht auf dessen Vorabentscheidungsersuchen hin sachdienliche Hinweise für diese Prüfung geben (vgl. in diesem Sinne Urteil vom 7. April 2022, Fuhrmann-2, C-249/21, ECLI:EU:C:2022:269, Rn. 32).
Erstens geht hier, wie in Rn. 13 des vorliegenden Urteils ausgeführt, aus der Vorlageentscheidung hervor, dass Digi, die Verantwortliche, die personenbezogenen Daten ursprünglich zum Zweck des Abschlusses und der Erfüllung von Abonnementverträgen mit ihren Privatkunden erhoben hatte.
Zweitens sind sich die Parteien des Ausgangsrechtsstreits nicht über den konkreten Zweck der Erfassung und Speicherung der fraglichen personenbezogenen Daten in Testdatenbanken durch Digi einig. Digi macht geltend, die Einrichtung der Testdatenbank verfolge den konkreten Zweck, den Zugang zu den Daten der Abonnementkunden zu gewährleisten, bis die Fehler behoben seien, so dass dieser Zweck mit den Zwecken übereinstimme, die mit der ursprünglichen Erhebung dieser Daten verfolgt worden seien. Die Behörde hält dem entgegen, der konkrete Zweck der Weiterverarbeitung unterscheide sich von diesen Zwecken, weil er in der Durchführung von Tests und der Behebung von Fehlern bestanden habe.
Insoweit ist darauf hinzuweisen, dass nach der in Rn. 19 des vorliegenden Urteils angeführten Rechtsprechung im Rahmen des Verfahrens nach Art. 267 AEUV, das auf einer klaren Aufgabentrennung zwischen den nationalen Gerichten und dem Gerichtshof beruht, allein das nationale Gericht für die Auslegung und Anwendung des nationalen Rechts zuständig ist, während der Gerichtshof nur befugt ist, sich auf der Grundlage des ihm vom nationalen Gericht unterbreiteten Sachverhalts zur Auslegung oder zur Gültigkeit einer Unionsvorschrift zu äußern.
Aus der Vorlageentscheidung geht hervor, dass die Testdatenbank von Digi eingerichtet wurde, um Tests durchführen und Fehler beheben zu können. Daher hat das vorlegende Gericht anhand dieser Zwecke zu bewerten, ob die Weiterverarbeitung mit den Zwecken der ursprünglichen Erhebung, nämlich dem Abschluss und der Erfüllung von Abonnementverträgen, vereinbar ist.
Drittens ist hinsichtlich dieser Bewertung darauf hinzuweisen, dass die Durchführung von Tests und die Behebung von Fehlern, die die Datenbank beeinträchtigen, die die Daten der Abonnementkunden enthält, einen konkreten Zusammenhang mit der Erfüllung der mit Privatkunden geschlossenen Abonnementverträgen aufweisen, da sich solche Fehler nachteilig auf die Erbringung der vertraglich vereinbarten Dienstleistung auswirken können, für die die Daten ursprünglich erhoben wurden. Wie der Generalanwalt in Nr. 60 seiner Schlussanträge ausgeführt hat, weicht diese Verarbeitung nicht von den legitimen Erwartungen der Abonnenten hinsichtlich der weiteren Verwendung ihrer Daten ab. Aus der Vorlageentscheidung geht im Übrigen nicht hervor, dass diese Daten oder ein Teil davon sensibel waren oder die fragliche Weiterverarbeitung dieser Daten als solche schädliche Auswirkungen für die Abonnenten hatte oder nicht mit geeigneten Garantien versehen war. Dies zu prüfen ist jedoch Aufgabe des vorlegenden Gerichts.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 5 Abs. 1 Buchst. b der Verordnung 2016/679 dahin auszulegen ist, dass der darin vorgesehene Grundsatz der „Zweckbindung“ es dem Verantwortlichen nicht verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden, wenn diese Weiterverarbeitung mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden, was anhand der in Art. 6 Abs. 4 dieser Verordnung genannten Kriterien und sämtlicher Umstände des Einzelfalls zu beurteilen ist.
Zur zweiten Frage
[…] [Es] ist davon auszugehen, dass das vorlegende Gericht mit dieser Frage im Wesentlichen wissen möchte, ob Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 dahin auszulegen ist, dass der in dieser Vorschrift vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.
Als Erstes ist darauf hinzuweisen, dass gemäß Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 die personenbezogenen Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Somit ist diesem Artikel eindeutig zu entnehmen, dass der Grundsatz der „Speicherbegrenzung“ verlangt, dass der Verantwortliche in der Lage ist, gemäß dem Grundsatz der Rechenschaftspflicht, auf den in Rn. 24 des vorliegenden Urteils hingewiesen worden ist, nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist.
Daraus ergibt sich, dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Laufe der Zeit mit der Verordnung 2016/679 unvereinbar werden kann, wenn diese Daten für die Erreichung solcher Zwecke nicht mehr erforderlich sind (Urteil vom 24. September 2019, GC u.a. [Auslistung sensibler Daten], C-136/17, ECLI:EU:C:2019:773, Rn. 74), und dass die Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind (vgl. in diesem Sinne Urteil vom 7. Mai 2009, Rijkeboer, C-553/07, ECLI:EU:C:2009:293, Rn. 33).
Als Zweites steht diese Auslegung im Einklang mit dem Kontext, in dem Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 steht.
Insoweit ist in Rn. 49 des vorliegenden Urteils darauf hingewiesen worden, dass jede Verarbeitung personenbezogener Daten mit den in Art. 5 dieser Verordnung genannten Grundsätzen für die Verarbeitung personenbezogener Daten im Einklang stehen und eine der in Art. 6 dieser Verordnung aufgeführten Bedingungen für die Rechtmäßigkeit der Verarbeitung erfüllen muss.
Zum einen muss, wie sich aus Art. 6 der Verordnung 2016/679 ergibt, wenn die betroffene Person nicht gemäß Art. 6 Abs. 1 Buchst. a dieser Verordnung ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat, die Verarbeitung gemäß Buchst. b bis f dieses Absatzes eine Voraussetzung in Bezug auf die Erforderlichkeit erfüllen.
Zum anderen ergibt sich eine solche Voraussetzung der Erforderlichkeit auch aus dem in Art. 5 Abs. 1 Buchst. c dieser Verordnung vorgesehenen Grundsatz der „Datenminimierung“, wonach die personenbezogenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
Als Drittes steht eine solche Auslegung im Einklang mit dem Zweck, der mit Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 verfolgt wird, nämlich u.a., wie in Rn. 48 des vorliegenden Urteils ausgeführt, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten.
Im vorliegenden Fall macht Digi geltend, dass die in der Testdatenbank gespeicherten personenbezogenen Daten eines Teils ihrer Privatkunden nach der Durchführung der Tests und der Behebung der Fehler aufgrund eines Versehens nicht gelöscht worden seien.
Hierzu genügt der Hinweis, dass dieses Vorbringen unerheblich für die Beurteilung ist, ob Daten unter Verstoß gegen den in Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 vorgesehenen Grundsatz der „Speicherbegrenzung“ länger gespeichert wurden als für die Erreichung der Zwecke, für die sie weiterverarbeitet wurden, erforderlich ist.
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 dahin auszulegen ist, dass der darin vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.