Der Europäische Gerichtshof (nachfolgend „EuGH“) hat in seinem Urteil C-77/21 vom 20.10.2022 zu einem datenschutzrechtlichen Klassiker Stellung bezogen: Ist die Verwendung von Echtdaten zu Testzwecken mit dem Zweckbindungsgrundsatz der Datenschutz-Grundverordnung vereinbar? Der EuGH führt in seinem Urteil aus, dass eine Weiterverarbeitung von personenbezogenen Daten (Echtdaten) zu Testzwecken mit dem ursprünglichen Zweck der Datenverarbeitung vereinbar sein kann, wenn die in Artikel 6 Abs. 4 DSGVO genannten Kriterien erfüllt sind.
Ausgangsfall
Ein ungarischer Anbieter von Internet- und Fernsehdiensten richtete nach einer technischen Störung eine Testdatenbank ein. In dieser Testdatenbank wurden durch den Anbieter Kopien von ca. einem Drittel der Privatkunden gespeichert und anschließend weiterverarbeitet. Der Anbieter gab an, dass dieser die Testdatenbank zur Ermittlung von Fehlern und deren Behebung einrichtete. Ursprünglich wurden die personenbezogenen Daten durch den Anbieter zur Erfüllung von Abonnementverträgen erhoben.
Im September 2019 erfuhr der Anbieter, dass ein unbefugter Dritter Zugriff auf die Testdatenbank erlangt hatte. Der Anbieter zeigte die Verletzung des Schutzes personenbezogener Daten („Datenpanne“) bei der zuständigen ungarischen Datenschutzbehörde an, die anschließend ein Untersuchungsverfahren einleitete. Das Verfahren endete mit dem Verhängen einer Geldbuße von ca. 250.000 €. Der Anbieter setzte sich vor einem ungarischen Gericht gegen die Entscheidung zur Wehr. Das ungarische Gericht legte dem EuGH unter anderem die Frage zur Vorabentscheidung vor, ob die Verwendung der Echtdaten in der Testdatenbank mit dem Grundsatz der Zweckbindung (Art. 5 Abs. 1 Buchst. b DSGVO) vereinbar ist.
Die Entscheidung des EuGH
Zunächst stellte der EuGH wenig überraschend fest, dass der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 Buchstabe b DSGVO aus zwei Anforderungen besteht. Erstens müssen die personenbezogenen Daten zu einem festgelegten, eindeutigen und legitimen Zweck erhoben werden und zweitens dürfen diese Daten nicht weiterverarbeitet werden, wenn die Weiterverarbeitung mit dem vorher festgelegten Zweck nicht vereinbar ist. Nach Feststellung, dass die ursprüngliche Datenerhebung rechtmäßig erfolgte, führte der EuGH ausführlich zur Frage aus, ob eine Weiterverarbeitung zu Testzwecken ebenfalls mit den Grundsätzen der DSGVO, insbesondere dem der Zweckbindung, vereinbar ist. Dabei stellte der EuGH fest, dass eine Weiterverarbeitung von personenbezogenen Daten nur zulässig sein kann, wenn die Zwecke der Weiterverarbeitung mit den Zwecken der ursprünglichen Erhebung der Daten vereinbar sind. Dabei ist nach Art. 6 Abs. 4 bzw. Erwägungsgrund 50 der DSGVO unter anderem zu berücksichtigen, (a) ob ein Zusammenhang zwischen den jeweiligen Zwecken besteht, (b) in welchem Kontext die Datenerhebung stattfand, (c) um welche Kategorien von personenbezogenen Daten es sich handelt, (d) welche Folgen die Weiterverarbeitung für die betroffenen Personen hat und (e) ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.
Bezogen auf die Ausgangsfrage stellte der EuGH sodann fest, dass die Durchführung von Tests mittels eigener Testdatenbank zur Behebung von Fehlern, die die Datenbank beeinträchtigen, einen konkreten Zusammenhang zur Erfüllung von Abonnementverträgen aufweist. Der EuGH begründete diese Ansicht damit, dass sich Fehler in der Datenbank negativ auf die vereinbarte Dienstleistung auswirken können und dass die Durchführung von Tests in einer Testdatenbank nicht von den legitimen Erwartungen der Betroffenen abweichen.
Damit ist es nach Ansicht des EuGH mit dem Grundsatz der Zweckbindung vereinbar, wenn ein Unternehmen zur Behebung von Fehlern Echtdaten in eine Testdatenbank überführt und darin weiterverarbeitet.
Praxishinweise
Die Entscheidung des EuGH betrifft zwar nur den Fall, dass eine Weiterverarbeitung von Echtdaten zu Testzwecken in einer Testdatenbank nach einer technischen Störung zur Behebung von Fehlern zulässig sein kann. Dennoch dürfte die Argumentation des EuGH auch auf andere Fallkonstellationen übertragbar sein. Hier ist jedoch nach wie vor eine Prüfung des Einzelfalls erforderlich. Bei dieser Prüfung können die Argumente des EuGH berücksichtigt werden, wonach ein Zusammenhang zwischen verschiedenen Zwecken bestehen kann, wenn das Testen mit Echtdaten bewirkt, dass das ursprüngliche System fehlerfrei betrieben werden kann. Dieser Zusammenhang dürfte in anderen Konstellationen ebenfalls zu begründen sein.
Daneben sind jedoch die weiteren Tatbestandsmerkmale von Art. 6 Abs. 4 DSGVO zu prüfen. Diese wurden durch den EuGH in diesem Verfahren nicht geprüft, da die Beantwortung dieser Fragen nicht Gegenstand der Vorlageentscheidung waren. Zusätzlich zu dem oben beschriebenen Zusammenhang der Zwecke ist einzelfallabhängig in der Prüfung zu berücksichtigen, welche Kategorien von Daten überhaupt vom Test betroffen sind, welche Folgen die geplante Testverarbeitung für die Betroffenen hat und ob im Testsystem geeignete Schutzmaßnahmen zur Wahrung der Sicherheit der betroffenen Daten getroffen wurden. Planen Sie die Durchführung von Tests mit Echtdaten? Sprechen Sie uns an, wir beurteilen für Sie die Zulässigkeit und geben, sofern nötig, wertvolle Hinweise zur Einhaltung des Datenschutzrechts.