EuGH zur Nutzung personenbezogener Daten zu Testzwecken
Der EuGH entschied im Urteil vom 20. Oktober 2022, dass personenbezogene Daten zu Testzwecken gespeichert werden dürfen, wenn dies nach den Voraussetzungen des Art. 6 Abs. 4 DSGVO nach einer Gesamtbetrachtung aller Umstände mit dem ursprünglichen Zweck der Datenerhebung vereinbar ist, jedoch nicht länger, als es für die Testzwecke erforderlich ist.
Der Entscheidung des EuGH vorausgegangen war ein Bußgeldbescheid und die Anordnung der Überprüfung aller Datenbanken durch die Ungarische Nationale Behörde für Datenschutz und Informationsfreiheit gegenüber einem Anbieter von Internet- und Fernsehdiensten. Dieser hatte nach einer technischen Störung, die den Betrieb eines Servers beeinträchtigte, personenbezogene Daten von ca. einem Drittel der Privatkunden auf eine Testdatenbank kopiert. Die Testdatenbank wurde erst 18 Monate nach der Durchführung der notwendigen Tests gelöscht. Nachdem es einem „ethischen Hacker“ gelungen war, auf Daten von etwa 322 000 Personen zuzugreifen, meldete der Anbieter den Verstoß der Behörde.
Das Gericht, vor dem die Entscheidung der Behörde angefochten wurde, setzte das Verfahren aus, um vor dem Europäischen Gerichtshof die Fragen klären zu lassen, ob
- die Zweckbindung nach Art. 5 Abs. 1 Buchst. b DSGVO auch eine parallele Speicherung von personenbezogenen Daten, die ursprünglich zu einem legitimen Zweck erhoben und gespeichert wurden, auf einer weiteren Datenbank erlaubt und
- diese Vorgehensweise mit dem Grundsatz der Speicherbegrenzung gem. Art. 5 Abs. 1 Buchst. e DSGVO vereinbar ist.
Zur Antwort der Vorlagefragen
Der EuGH verdeutlicht zunächst, dass es sich bei jeder Verarbeitung nach der ursprünglichen Erhebung der Daten, so auch dem Kopieren in die Testdatenbank, um eine Weiterverarbeitung nach Art. 5 Abs. 1 Buchst. b DSGVO handelt. Die Nutzung der Testdatenbank zur Fehlerbehebung stünde in Zusammenhang mit der ursprünglichen Vertragserfüllung und der Erbringung der Dienstleistungen, da sich besagte Fehler negativ auf diese vertraglichen Pflichten auswirken können. Bei der Prüfung der Vereinbarkeit mit dem Zweck der Datenerhebung seien gem. Art. 6 Abs. 4 DSGVO stets sämtliche Umstände des Einzelfalls zu berücksichtigen.
Nach dem in Art. 5 Abs. 1 Buchst. e DSGVO statuierten Grundsatz der Speicherbegrenzung dürften personenbezogene Daten in einer Testdatenbank nur so lange gespeichert werden, als dies für die Durchführung der Tests und der Fehlerbehebung notwendig sei. Hiergegen sei verstoßen worden, da die Testdatenbank nicht unmittelbar, sondern erst 18 Monate, nach der Durchführung der Tests gelöscht wurde
Fazit
Die Entscheidung weicht die oft apodiktisch formulierte Position auf, dass personenbezogenen Daten grundsätzlich nicht zu Testzwecken verwendet dürften. Die Nutzung zu Testzwecken kann vielmehr mit dem Zweck der ursprünglichen Datenerhebung vereinbar und damit rechtmäßig sein. Voraussetzung dafür ist, dass zwischen der ursprünglichen Datenerhebung und der Weiterverarbeitung ein hinreichend enger Zusammenhang besteht. Die weitere Auslegung dieser Anforderung wird neben der Softwareentwicklung insbesondere im Bereich von Lösungen der Künstlichen Intelligenz vor hoher praktischer Bedeutung sein.
Dass personenbezogene Daten in einer Testdatenbank nach Abschluss der Tests gelöscht werden, sollte dagegen eine Selbstverständlichkeit sein.