Digi, ein ungarischer Anbieter von Internet- und Fernsehdiensten, richtete im April 2018 nach einer technischen Störung, die den Betrieb eines Servers beeinträchtigte, eine Testdatenbank ein, in die sie personenbezogene Daten von ungefähr einem Drittel ihrer Privatkunden kopierte, die in einer anderen Datenbank mit der Bezeichnung gespeichert waren. Nach einem Hackerangriff auf diese Testdatenbank, zeigte Digi im September 2019 die Verletzung des Schutzes personenbezogener Daten der nationalen Datenschutzbehörde an.
Grundsatz der Zweckbindung
Personenbezogene Daten müssen gemäß Art 5 Abs 1 lit b DSGVO zum einen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen zum anderen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Grundsatz der „Zweckbindung“). Die Vorschrift enthält somit zwei Anforderungen, eine in Bezug auf die Zwecke der ursprünglichen Erhebung der personenbezogenen Daten und eine in Bezug auf die Weiterverarbeitung dieser Daten.
Es stellt eine „Weiterverarbeitung“ personenbezogener Daten dar, wenn der Verantwortliche in einer neu eingerichteten Datenbank personenbezogene Daten erfasst und speichert, die in einer anderen Datenbank gespeichert waren. Der Begriff „Verarbeitung“ wird in Art 4 Nr 2 DSGVO weit definiert als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie ua das Erheben, das Erfassen und die Speicherung dieser Daten. Außerdem stellt nach der üblichen Bedeutung des Worts „Weiterverarbeitung“ im allgemeinen Sprachgebrauch jede Verarbeitung personenbezogener Daten, die nach der ursprünglichen Verarbeitung – der ursprünglichen Erhebung dieser Daten – erfolgt, unabhängig von ihrem Zweck eine „Weiterverarbeitung“ dieser Daten dar.
Liest man Art 5 Abs 1 lit b, Art 6 Abs 1 lit a und Art 6 Abs 4 DSGVO zusammen, ergibt sich, dass sich die Frage der Vereinbarkeit der Weiterverarbeitung personenbezogener Daten mit den Zwecken, für die sie ursprünglich erhoben wurden, nur stellt, wenn die Zwecke dieser Weiterverarbeitung nicht mit denen der ursprünglichen Erhebung übereinstimmen.
Außerdem ist nach Art 6 Abs 4 DSGVO iVm ErwGr 50, wenn die Verarbeitung für einen anderen Zweck als demjenigen, für den die Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht, für die Feststellung, ob die Verarbeitung für einen anderen Zweck mit dem Zweck vereinbar ist, für den die personenbezogenen Daten ursprünglich erhoben wurden, ua zu berücksichtigen, erstens ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, zweitens in welchem Kontext die personenbezogenen Daten erhoben wurden, insbesondere das Verhältnis zwischen den betroffenen Personen und dem Verantwortlichen, drittens um welche Art von personenbezogenen Daten es sich handelt, viertens welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und fünftens ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.
Diese Kriterien spiegeln die Notwendigkeit einer konkreten, kohärenten und ausreichend engen Verbindung zwischen dem Zweck der Datenerhebung und der Weiterverarbeitung der Daten wider und ermöglichen es, sich zu vergewissern, dass diese Weiterverarbeitung nicht von den legitimen Erwartungen der Abonnenten hinsichtlich der weiteren Verwendung ihrer Daten abweicht.
Die Durchführung von Tests und die Behebung von Fehlern, die die Datenbank beeinträchtigen, die die Daten der Abonnementkunden enthält, weist einen konkreten Zusammenhang mit der Erfüllung der mit Privatkunden geschlossenen Abonnementverträgen auf, da sich solche Fehler nachteilig auf die Erbringung der vertraglich vereinbarten Dienstleistung auswirken können, für die die Daten ursprünglich erhoben wurden. Diese Verarbeitung weicht nicht von den legitimen Erwartungen der Abonnenten hinsichtlich der weiteren Verwendung ihrer Daten ab. Aus der Vorlageentscheidung geht im Übrigen nicht hervor, dass diese Daten oder ein Teil davon sensibel waren oder die fragliche Weiterverarbeitung dieser Daten als solche schädliche Auswirkungen für die Abonnenten hatte oder nicht mit geeigneten Garantien versehen war. Dies zu prüfen ist jedoch Aufgabe des vorlegenden Gerichts.
Der in Art 5 Abs 1 lit b DSGVO vorgesehene Grundsatz der „Zweckbindung“ verwehrt es dem Verantwortlichen nicht, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden, wenn diese Weiterverarbeitung mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden, was anhand der in Art 6 Abs 4 DSGVO genannten Kriterien und sämtlicher Umstände des Einzelfalls zu beurteilen ist.
Grundsatz der Speicherbegrenzung
Gemäß Art 5 Abs 1 lit e DSGVO müssen die personenbezogenen Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Daraus ergibt sich, dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Laufe der Zeit mit der DSGVO unvereinbar werden kann, wenn diese Daten für die Erreichung solcher Zwecke nicht mehr erforderlich sind.
Der in Art 5 Abs 1 lit e der DSGVO vorgesehene Grundsatz der „Speicherbegrenzung“ verwehrt es dem Verantwortlichen, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.
