EuGH urteilt zur Nutzung personenbezogener Daten zu Testzwecken
Bedürfnis zur Weiterverarbeitung personenbezogener Daten
Datenverarbeitung ist für Unternehmen inzwischen zum zentralen Werkzeug geworden. Neben der eigentlichen Bereitstellung einer Dienstleistung oder eines Produkts ist die Verarbeitung von Informationen der nächstgrößte Faktor zum Erhalt, zur Verbesserung und zur Erweiterung der eigenen Services. Dazu können Datenverarbeitungen z. B. zu Test- und Sicherheitszwecken, Analysen der Produkte und zur Weiterentwicklung von KI-Lösungen unabdingbar sein. Für die Weiterverarbeitung personenbezogener Daten setzt der Datenschutz klare Grenzen, u. a. Grundsätze der Rechtsmäßigkeit, Zweckbindung und Speicherbegrenzung (vgl. Art. 5 Abs. 1 DSGVO). Ganz konkret beschäftigte sich kürzlich der Europäische Gerichtshof, die höchste gerichtliche Instanz Europas, mit Datenverarbeitung zu Testzwecken, und setzt dabei Rahmenbedingungen zur legitimen Verarbeitung.
Sachverhalt zum Urteil des Europäischen Gerichtshofs (EuGH)
Hintergrund zur Entscheidung des EuGH (C-77/21) war die Vorlage der Ungarischen Nationalen Behörde für Datenschutz und Informationsfreiheit, die im Kontext der Meldung eines Datenschutzvorfalls mit der Verarbeitung von Testdaten konfrontiert wurde. Das betreffende Unternehmen hatte aufgrund einer vorangegangenen technischen Störung eine Testdatenbank eingerichtet. Dazu wurden personenbezogene Echtdaten von ungefähr einem Drittel der bestehenden Privatkunden kopiert und in einer separaten Datenbank verarbeitet. Aufgrund eines Hackerangriffs auf die Testdatenbank, gab das Unternehmen eine Meldung des Vorfalls an die ungarische Aufsichtsbehörde ab. Die zuständige Behörde untersuchte daraufhin den Sachverhalt und verhängte ein Bußgeld, das vom Unternehmen gerichtlich angefochten wurde.
Das zuständige nationale Gericht, vor dem die Entscheidung der Behörde angefochten wurde, setzte das Verfahren aus, und legte folgende Fragen dem Europäischen Gerichtshof zur Klärung vor:
- Ist die parallele Speicherung personenbezogener Daten in einer Testdatenbank mit dem Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b DSGVO vereinbar?
- Sofern nicht, ist die parallele Speicherung personenbezogener Daten in einer Testdatenbank mit dem Grundsatz der Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e DSGVO vereinbar?
Was sagt das Gericht zur Verwendung von personenbezogenen Daten zu Testzwecken
Zunächst stellte der EuGH klar, dass die parallele Speicherung der personenbezogenen Daten in einer Testdatenbank eine Weiterverarbeitung im Sinne von Art. 5 Abs. 1 lit. b DSGVO darstellt (Rn. 29 ff.). Entscheidend für die legitime Weiterverarbeitung ist die Vereinbarkeit zwischen Erhebungszweck und Weiterverarbeitungszweck (vgl. Art. 6 Abs. 4 DSGVO). Um somit legitim zu sein, müsste zwischen der parallelen Speicherung der Testdaten mit dem ursprünglichen Zweck zur Verarbeitung der Kundendaten (Abschluss und Erfüllung von Abonnentenverträgen mit Privatkunden) eine „konkrete, kohärente und ausreichend enge Verbindung bestehen“ (vgl. Rn. 36).
Der EuGH kommt hierbei zur Einschätzung, dass die Durchführung von Tests und die Behebung von Fehlern im ausreichenden Zusammenhang zum Zweck der Vertragserfüllung steht, da solche Fehler sonst nachteilig für die vertraglich vereinbarten Dienstleistungen sein können (Rn. 44). Angeführt werden dabei, dass
- diese Verarbeitung nicht von den legitimen Erwartungen der Kunden hinsichtlich der weiteren Verwendung ihrer Daten abweicht, und
- nicht davon auszugehen war, dass die Daten oder ein Teil davon sensibel waren oder die fragliche Weiterverarbeitung dieser Daten schädliche Auswirkungen für die Abonnenten hatte oder nicht mit geeigneten Garantien versehen war.
Eine Verarbeitung personenbezogener Daten zu Testzwecken kann somit eine legitime Weiterverarbeitung personenbezogener Daten im Sinne des Art. 6 Abs. 4 DSGVO darstellen, erfordert allerdings eine Einzelfallbetrachtung. Ein abschließendes Urteil für den konkreten Sachverhalt, ob eine legitime Weiterverarbeitung vorliegt, wurde durch den EuGH allerdings nicht gefällt, da dies dem nationalen Gericht obliegt.
Zum Grundsatz der Speicherbegrenzung betont der EuGH die kumulative Anwendung zum Grundsatz der Zweckbindung. In jedem Fall sind somit Zweckbindung und Speicherbegrenzung gleichzeitig bei der Bewertung der Datenverarbeitung zu berücksichtigen. Testdaten sind somit, unabhängig von der Fragestellung der legitimen Weiterverarbeitung, nur so lange zu speichern, wie sie für die Durchführung der Tests und die Behebung der Fehler erforderlich sind (Rn. 62).
Fazit – Was ziehen wir für uns aus dem Urteil?
Zusammengefasst können wir aus dem EuGH-Urteil mitnehmen, dass zur Verwendung personenbezogener Daten zu Testzwecken vorab eine Bewertung der legitimen Weiterverarbeitung gem. Art. 6 Abs. 4 DSGVO erforderlich ist. Eine Verwendung personenbezogener Daten zu Testzwecken ist, je nach Kontext, durchaus möglich.
Es bleibt spannend zu sehen, welche weiteren Konkretisierungen zur „Weiterverarbeitung“ gem-Art. 6 Abs. 4 DSGVO (weitere Urteile, Behördenempfehlungen, etc.) folgen. Die Weiterverarbeitung stand bisher bei vielen Datenschützern in der Kritik, da enorme Rechtsunsicherheit besteht, und eine Einzelfallbewertung unabdingbar ist, ohne genau zu wissen, ob die eigene Einschätzung rechtskonform ist.
Der Bedarf zur Weiterverarbeitung existiert und wird zunehmend wettbewerbsentscheidend. So empfiehlt auch der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), selbst bei der Weiterverarbeitung anonymisierter Daten eine vergleichbare Legitimitätsprüfung durchzuführen (vgl. Kap. 4.1.2 Positionspapier zur Anonymisierung). Für die Bewertung von Testdaten bietet das EuGH-Urteil daher etwas Futter, eine Bewertung im Einzelfall ist allerdings weiterhin erforderlich.