Zur Zulässigkeit der Speicherung von Kundendaten in einer Testdatenbank
Die Speicherung von Kundendaten in einer Testdatenbank ist grundsätzlich erlaubt, wenn ein Zusammenhang zwischen dem Zweck der Testdatenbank und dem Zweck der ursprünglichen Erhebung der Kundendaten besteht.
Der EuGH hatte über folgenden Sachverhalt zu entscheiden:
Im April 2018 richtet Digi, einer der führenden Anbieter von Internet- und Fernsehdiensten in Ungarn, nach einer technischen Störung, die den Betrieb eines Servers beeinträchtigt, eine Testdatenbank ein. In diese Testdatenbank werden die personenbezogenen Daten von ungefähr einem Drittel ihrer Privatkunden kopiert.
Am 23. September 2019 erfährt Digi, dass ein „ethischer Hacker“ auf von ihr gespeicherte personenbezogene Daten von rund 322.000 Personen zugegriffen hat. Dieser „ethische Hacker“ setzte sie davon in Kenntnis und übermittelte ihr zum Beweis einen Eintrag aus der Testdatenbank.
Digi behob den Fehler, der diesen Zugriff ermöglicht hatte, schloss mit dem Hacker eine Vertraulichkeitsvereinbarung und gewährte ihm eine Belohnung.
Nachdem sie die Testdatenbank gelöscht hatte, zeigte Digi die Verletzung des Schutzes personenbezogener Daten am 25. September 2019 der Behörde an, die daraufhin ein Untersuchungsverfahren einleitete.
Am 18. Mai 2020 stellt die Behörde unter anderem fest, Digi habe rechtswidrig gehandelt, indem sie die Datenbank nicht nach der Durchführung der Tests gelöscht, sondern insgesamt 18 Monate lange ohne irgendeinen Zweck gespeichert habe. Infolgedessen verhängt die Behörde gegen Digi eine Geldbuße in Höhe von umgerechnet 248.000 Euro.
Digi ficht diese Entscheidung gerichtlich an. Der zuständige Hauptstädtische Gerichtshof Ungarn setzt das Verfahren daraufhin aus und legt dem EuGH Fragen hinsichtlich der Anforderungen an die Zweckgebundenheit der Datenspeicherung zur Vorabentscheidung vor.
Der EuGH entscheidet, dass die Speicherung von Kundendaten in einer solchen Datenbank grundsätzlich erlaubt ist, wenn dies mit dem ursprünglichen Zweck der Datenerhebung vereinbar ist.
Dies müsse von den nationalen Gerichten im Einzelfall entschieden werden, liege jedoch bei Testzwecken nahe, da auch diese in einem Zusammenhang mit einem reibungslosen Ablauf der Diensterbringung stünden. Dies dürfe allerdings nur so lange geschehen, wie es für den Zweck der Speicherung erforderlich sei.
Hinweis:
An diesem Verfahren war der Verbraucherzentrale Bundesverband (vzbv) nicht beteiligt. Gerne informiert Sie der vzbv alle vier bis sechs Wochen mit einem kostenlosen Newsletter über neue Urteile zum Verbraucherrecht.
Eckdaten zum Urteil
Datum der Urteilsverkündung: 20.10.2022
Aktenzeichen: C-77/21
Gericht: EuGH