EuGH Urteil v. - C-77/21

Zur Zulässigkeit der Speicherung von Kundendaten auf externer Datenbank zu Testzwecken oder bei Serverstörung

Leitsatz

1. Art. 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
der darin vorgesehene Grundsatz der „Zweckbindung“ es dem Verantwortlichen nicht verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden, wenn diese Weiterverarbeitung mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden, was anhand der in Art. 6 Abs. 4 dieser Verordnung genannten Kriterien und sämtlicher Umstände des Einzelfalls zu beurteilen ist.

2. Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679
ist dahin auszulegen, dass
der darin vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.

Gesetze: VO (EU) 2016/679 Art. 5 Abs. 1 Buchst. b und e

Gründe

1 Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 5 Abs. 1 Buchst. b und e der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2016, L 314, S. 72, ABl. 2018, L 127, S. 2, und ABl. 2021, L 74, S. 35).

2 Es ergeht im Rahmen eines Rechtsstreits zwischen der Digi Távközlési és Szolgáltató Kft. (im Folgenden: Digi), einem der führenden Anbieter von Internet- und Fernsehdiensten in Ungarn, und der Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationale Behörde für Datenschutz und Informationsfreiheit, im Folgenden: Behörde) wegen einer Verletzung des Schutzes personenbezogener Daten in einer Datenbank von Digi.

Rechtlicher Rahmen

3 In den Erwägungsgründen 10 und 50 der Richtlinie 2016/679 heißt es:

„(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …

(50) Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. … Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.

4 Art. 4 („Begriffsbestimmungen“) der Verordnung 2016/679 bestimmt:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

…“

5 Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) der Verordnung 2016/679 lautet:

„(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (‚Zweckbindung‘);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (‚Speicherbegrenzung‘);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

6 Art. 6 („Rechtmäßigkeit der Verarbeitung“) der Verordnung 2016/679 sieht vor:

„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“

Ausgangsverfahren und Vorlagefragen

7 Digi ist einer der führenden Anbieter von Internet- und Fernsehdiensten in Ungarn.

8 Im April 2018 richtete Digi nach einer technischen Störung, die den Betrieb eines Servers beeinträchtigte, unter der Bezeichnung „test“ eine Testdatenbank (im Folgenden: Testdatenbank) ein, in die sie personenbezogene Daten von ungefähr einem Drittel ihrer Privatkunden kopierte, die in einer anderen Datenbank mit der Bezeichnung „digihu“ gespeichert waren, die mit der Website digi.hu verlinkt werden konnte und die aktualisierten Daten der Newsletter-Abonnenten für Zwecke der Direktwerbung sowie die Zugangsdaten der Systemadministratoren zur Schnittstelle der Website enthielt.

9 Am erfuhr Digi, dass ein „ethischer Hacker“ auf von ihr gespeicherte personenbezogene Daten von rund 322 000 Personen zugegriffen hatte. Dieser „ethische Hacker“ selbst setzte sie davon in Kenntnis und übermittelte ihr zum Beweis einen Eintrag aus der Testdatenbank. Digi behob den Fehler, der diesen Zugriff ermöglicht hatte, und schloss mit dem Hacker eine Vertraulichkeitsvereinbarung und gewährte ihm eine Belohnung.

10 Nachdem sie die Testdatenbank gelöscht hatte, zeigte Digi die Verletzung des Schutzes personenbezogener Daten am der Behörde an, die daraufhin ein Untersuchungsverfahren einleitete.

11 Mit Entscheidung vom stellte die Behörde u. a. fest, dass Digi gegen Art. 5 Abs. 1 Buchst. b und e der Verordnung 2016/679 verstoßen habe, da sie die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht sofort gelöscht habe, wodurch in der Testdatenbank eine große Menge Kundendaten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert worden seien, die die Identifizierung der betroffenen Personen ermöglicht habe. Infolgedessen verpflichtete die Behörde Digi, alle ihre Datenbanken zu überprüfen, und verhängte gegen sie eine Geldbuße in Höhe von 100 000 000 HUF (etwa 248 000 Euro).

12 Digi focht diese Entscheidung vor dem vorlegenden Gericht als rechtswidrig an.

13 Das vorlegende Gericht führt aus, dass die von Digi in die Testdatenbank kopierten personenbezogenen Daten für den Zweck des Abschlusses von Abonnementverträgen erhoben worden seien und die Rechtmäßigkeit der ursprünglichen Erhebung der personenbezogenen Daten von der Behörde nicht in Frage gestellt worden sei. Es fragt sich jedoch, ob sich der Zweck der ursprünglichen Erhebung und Verarbeitung der Daten durch das Kopieren dieser Daten in eine andere Datenbank änderte. Auch sei fraglich, ob es mit dem Zweck der Datenerhebung vereinbar ist, eine Testdatenbank zu errichten und die Kundendaten darin weiterhin zu verarbeiten. Nach Ansicht des vorlegenden Gerichts ist dem in Art. 5 Abs. 1 Buchst. b der Verordnung 2016/679 genannten Grundsatz der „Zweckbindung“ nicht zu entnehmen, in welchen internen Systemen der Verantwortliche berechtigt ist, rechtmäßig erhobene Daten zu verarbeiten, und ob der Verantwortliche solche Daten in eine Testdatenbank kopieren kann, ohne dass sich der Zweck der Datenerhebung ändert.

14 Falls die Einrichtung einer Testdatenbank nicht mit dem Zweck der ursprünglichen Datenerhebung vereinbar ist, fragt sich das vorlegende Gericht auch, ob sich, soweit mit der Verarbeitung der Kundendaten in einer anderen Datenbank nicht die Fehlerbeseitigung, sondern der Abschluss von Verträgen bezweckt werde, die erforderliche Speicherdauer nach dem in Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 festgelegten Grundsatz der „Speicherbegrenzung“ nach der für die Fehlerberichtigung oder für die Erfüllung der vertraglichen Verpflichtungen benötigte Zeit bestimmt.

15 Vor diesem Hintergrund hat der Fővárosi Törvényszék (Hauptstädtischer Gerichtshof, Ungarn) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

  1. Ist der Begriff „Zweckbindung“ in Art. 5 Abs. 1 Buchst. b der Verordnung 2016/679 dahin auszulegen, dass es mit diesem Begriff auch vereinbar ist, wenn der für die Verarbeitung Verantwortliche personenbezogene Daten, die im Übrigen zu einem begrenzten legitimen Zweck erhoben und in einer mit diesem Zweck vereinbaren Weise gespeichert wurden, parallel in einer anderen Datenbank speichert, oder vielmehr dahin, dass die Speicherung der Daten in einer parallelen Datenbank nicht mehr mit dem legitimen Zweck vereinbar ist, für den die betreffenden Daten erhoben wurden?

  2. Sollte die erste Frage dahin beantwortet werden, dass die parallele Speicherung von Daten für sich genommen mit dem Grundsatz der „Zweckbindung“ unvereinbar ist, ist es dann mit dem in Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 niedergelegten Grundsatz der „Speicherbegrenzung“ vereinbar, wenn der Verantwortliche personenbezogene Daten, die im Übrigen zu einem begrenzten legitimen Zweck erhoben und gespeichert wurden, parallel in einer anderen Datenbank speichert?

Zu den Vorlagefragen

Zur Zulässigkeit

16 Sowohl die Behörde als auch die ungarische Regierung äußern Zweifel an der Zulässigkeit der Vorlagefragen, da diese nicht den Sachverhalt des Ausgangsrechtsstreits widerspiegelten und für dessen Entscheidung nicht unmittelbar erheblich seien.

17 Insoweit ist erstens darauf hinzuweisen, dass es nach ständiger Rechtsprechung des Gerichtshofs allein Sache des nationalen Gerichts ist, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, anhand der Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der Fragen zu beurteilen, die es dem Gerichtshof vorlegt. Daher ist der Gerichtshof grundsätzlich gehalten, über ihm vorgelegte Fragen zu befinden, wenn sie die Auslegung oder die Gültigkeit einer Vorschrift des Unionsrechts betreffen. Folglich gilt für Fragen nationaler Gerichte eine Vermutung der Entscheidungserheblichkeit. Der Gerichtshof kann die Beantwortung einer Vorlagefrage eines nationalen Gerichts nur ablehnen, wenn die Auslegung, um die er ersucht wird, offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (Urteil vom , Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 73 und die dort angeführte Rechtsprechung).

18 Im vorliegenden Fall ist das vorlegende Gericht mit einer Klage auf Nichtigerklärung einer Entscheidung befasst, mit der Digi als Verantwortliche mit einer Sanktion belegt wird, weil sie gegen den Grundsatz der „Zweckbindung“ und den Grundsatz der „Speicherbegrenzung“, die in Art. 5 Abs. 1 Buchst. b bzw. e der Verordnung 2016/679 niedergelegt sind, verstoßen haben soll, indem sie eine Datenbank nicht gelöscht hat, die personenbezogene Daten enthielt, die eine Identifizierung der betroffenen Personen ermöglichten. Die Vorlagefragen betreffen jedoch gerade die Auslegung dieser Bestimmungen, so dass nicht angenommen werden kann, dass die erbetene Auslegung des Unionsrechts in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht oder hypothetischer Natur ist. Außerdem enthält die Vorlageentscheidung hinreichende tatsächliche und rechtliche Angaben für eine zweckdienliche Beantwortung der Fragen des vorlegenden Gerichts.

19 Zweitens ist im Rahmen des Verfahrens nach Art. 267 AEUV, das auf einer klaren Aufgabentrennung zwischen den nationalen Gerichten und dem Gerichtshof beruht, allein das nationale Gericht für die Auslegung und Anwendung des nationalen Rechts zuständig, während der Gerichtshof nur befugt ist, sich auf der Grundlage des ihm vom nationalen Gericht unterbreiteten Sachverhalts zur Auslegung oder zur Gültigkeit einer Unionsvorschrift zu äußern (Urteil vom , Zagrebačka banka, C‑567/20, EU:C:2022:352, Rn. 45 und die dort angeführte Rechtsprechung).

20 Somit ist die Argumentation zur Unzulässigkeit der Vorlagefragen zurückzuweisen, die die Behörde und die ungarische Regierung im Wesentlichen daraus herleiten, dass die Vorlagefragen nicht den Sachverhalt des Ausgangsrechtsstreits widerspiegelten.

21 Folglich sind die Vorlagefragen zulässig.

Zur Beantwortung der Vorlagefragen

Zur ersten Frage

22 Mit der ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 5 Abs. 1 Buchst. b der Verordnung 2016/679 dahin auszulegen ist, dass der darin vorgesehene Grundsatz der „Zweckbindung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden.

23 Nach ständiger Rechtsprechung sind bei der Auslegung einer Vorschrift des Unionsrechts nicht nur deren Wortlaut zu berücksichtigen, sondern auch der Zusammenhang, in dem sie steht, sowie die Zwecke und Ziele, die mit dem Rechtsakt, zu dem sie gehört, verfolgt werden (Urteil vom , HOLD Alapkezelő, C‑352/20, EU:C:2022:606, Rn. 42 und die dort angeführte Rechtsprechung).

24 Hierzu ist als Erstes darauf hinzuweisen, dass Art. 5 Abs. 1 der Verordnung 2016/679 die Grundsätze für die Verarbeitung personenbezogener Daten festlegt, die für den Verantwortlichen gelten und deren Einhaltung dieser nach dem in Art. 5 Abs. 2 dieser Verordnung niedergelegten Grundsatz der Rechenschaftspflicht nachweisen können muss.

25 Insbesondere müssen personenbezogene Daten gemäß Art. 5 Abs. 1 Buchst. b dieser Verordnung, der den Grundsatz der „Zweckbindung“ vorsieht, zum einen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen zum anderen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

26 Aus dem Wortlaut dieser Vorschrift ergibt sich somit, dass sie zwei Anforderungen enthält, eine in Bezug auf die Zwecke der ursprünglichen Erhebung der personenbezogenen Daten und eine in Bezug auf die Weiterverarbeitung dieser Daten.

27 Was erstens die Anforderung betrifft, dass die personenbezogenen Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen, bedeutet dies nach der Rechtsprechung des Gerichtshofs, dass die Zwecke der Verarbeitung spätestens zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen müssen, dass die Zwecke dieser Verarbeitung klar angegeben sein müssen und dass die Zwecke der genannten Verarbeitung insbesondere die Rechtmäßigkeit der Verarbeitung der betreffenden Daten im Sinne von Art. 6 Abs. 1 der Verordnung 2016/679 gewährleisten müssen (vgl. in diesem Sinne Urteil vom , Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C‑175/20, EU:C:2022:124, Rn. 64 bis 66).

28 Im vorliegenden Fall geht aus der Formulierung der ersten Frage und der Begründung der Vorlageentscheidung hervor, dass die im Ausgangsverfahren in Rede stehenden personenbezogenen Daten für festgelegte, eindeutige und legitime Zwecke erhoben wurden, wobei die Erhebung dieser Daten nach Angaben des vorlegenden Gerichts im Einklang mit Art. 6 Abs. 1 Buchst. b der Verordnung 2016/679 erfolgte, damit Digi mit ihren Kunden Abonnementverträge schließen und diese erfüllen konnte.

29 Was zweitens die Anforderung betrifft, dass die personenbezogenen Daten nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen, ist zum einen festzustellen, dass es eine „Weiterverarbeitung“ personenbezogener Daten darstellt, wenn der Verantwortliche in einer neu eingerichteten Datenbank personenbezogene Daten erfasst und speichert, die in einer anderen Datenbank gespeichert waren.

30 Der Begriff „Verarbeitung“ wird nämlich in Art. 4 Nr. 2 der Verordnung 2016/679 weit definiert als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie u. a. das Erheben, das Erfassen und die Speicherung dieser Daten.

31 Außerdem stellt nach der üblichen Bedeutung des Worts „Weiterverarbeitung“ im allgemeinen Sprachgebrauch jede Verarbeitung personenbezogener Daten, die nach der ursprünglichen Verarbeitung – der ursprünglichen Erhebung dieser Daten – erfolgt, unabhängig von ihrem Zweck eine „Weiterverarbeitung“ dieser Daten dar.

32 Zum anderen ist festzustellen, dass Art. 5 Abs. 1 Buchst. b der Verordnung 2016/679 keine Angaben dazu enthält, unter welchen Voraussetzungen eine Weiterverarbeitung personenbezogener Daten als mit den Zwecken der ursprünglichen Erhebung der Daten vereinbar angesehen werden kann.

33 Als Zweites ergeben sich jedoch aus dem Zusammenhang, in dem diese Vorschrift steht, hierzu nützliche Präzisierungen.

34 Liest man Art. 5 Abs. 1 Buchst. b, Art. 6 Abs. 1 Buchst. a und Art. 6 Abs. 4 der Verordnung 2016/679 zusammen, ergibt sich nämlich, dass sich die Frage der Vereinbarkeit der Weiterverarbeitung personenbezogener Daten mit den Zwecken, für die sie ursprünglich erhoben wurden, nur stellt, wenn die Zwecke dieser Weiterverarbeitung nicht mit denen der ursprünglichen Erhebung übereinstimmen.

35 Außerdem ist nach Art. 6 Abs. 4 dieser Verordnung in Verbindung mit deren 50. Erwägungsgrund, wenn die Verarbeitung für einen anderen Zweck als demjenigen, für den die Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht, für die Feststellung, ob die Verarbeitung für einen anderen Zweck mit dem Zweck vereinbar ist, für den die personenbezogenen Daten ursprünglich erhoben wurden, u. a. zu berücksichtigen, erstens ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, zweitens in welchem Kontext die personenbezogenen Daten erhoben wurden, insbesondere das Verhältnis zwischen den betroffenen Personen und dem Verantwortlichen, drittens um welche Art von personenbezogenen Daten es sich handelt, viertens welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und fünftens ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.

36 Wie der Generalanwalt in den Nrn. 28, 59 und 60 seiner Schlussanträge im Wesentlichen ausgeführt hat, spiegeln diese Kriterien die Notwendigkeit einer konkreten, kohärenten und ausreichend engen Verbindung zwischen dem Zweck der Datenerhebung und der Weiterverarbeitung der Daten wider und ermöglichen es, sich zu vergewissern, dass diese Weiterverarbeitung nicht von den legitimen Erwartungen der Abonnenten hinsichtlich der weiteren Verwendung ihrer Daten abweicht.

37 Wie der Generalanwalt in Nr. 27 seiner Schlussanträge im Wesentlichen hervorgehoben hat, ermöglichen es diese Kriterien als Drittes auch, die Wiederverwendung früher erhobener personenbezogener Daten einzugrenzen und dabei ein Gleichgewicht zwischen dem Erfordernis der Vorhersehbarkeit und der Rechtssicherheit in Bezug auf die Zwecke der Verarbeitung der zuvor erhobenen personenbezogenen Daten einerseits und der Anerkennung einer gewissen Flexibilität zugunsten des Verantwortlichen bei der Verwaltung dieser Daten andererseits sicherzustellen, und tragen damit zur Erreichung des im zehnten Erwägungsgrund der Verordnung 2016/679 genannten Ziels bei, ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten.

38 Somit hat das nationale Gericht unter Berücksichtigung der in Rn. 35 des vorliegenden Urteils genannten Kriterien und sämtlicher Umstände, die den vorliegenden Fall kennzeichnen, sowohl die Zwecke der ursprünglichen Erhebung der personenbezogenen Daten als auch der Weiterverarbeitung dieser Daten zu ermitteln und, falls die Zwecke der Weiterverarbeitung von den Zwecken der ursprünglichen Erhebung abweichen, zu überprüfen, ob die Weiterverarbeitung der Daten mit den Zwecken der ursprünglichen Erhebung vereinbar ist.

39 Doch kann der Gerichtshof dem nationalen Gericht auf dessen Vorabentscheidungsersuchen hin sachdienliche Hinweise für diese Prüfung geben (vgl. in diesem Sinne Urteil vom , Fuhrmann-2, C‑249/21, EU:C:2022:269, Rn. 32).

40 Erstens geht hier, wie in Rn. 13 des vorliegenden Urteils ausgeführt, aus der Vorlageentscheidung hervor, dass Digi, die Verantwortliche, die personenbezogenen Daten ursprünglich zum Zweck des Abschlusses und der Erfüllung von Abonnementverträgen mit ihren Privatkunden erhoben hatte.

41 Zweitens sind sich die Parteien des Ausgangsrechtsstreits nicht über den konkreten Zweck der Erfassung und Speicherung der fraglichen personenbezogenen Daten in Testdatenbanken durch Digi einig. Digi macht geltend, die Einrichtung der Testdatenbank verfolge den konkreten Zweck, den Zugang zu den Daten der Abonnementkunden zu gewährleisten, bis die Fehler behoben seien, so dass dieser Zweck mit den Zwecken übereinstimme, die mit der ursprünglichen Erhebung dieser Daten verfolgt worden seien. Die Behörde hält dem entgegen, der konkrete Zweck der Weiterverarbeitung unterscheide sich von diesen Zwecken, weil er in der Durchführung von Tests und der Behebung von Fehlern bestanden habe.

42 Insoweit ist darauf hinzuweisen, dass nach der in Rn. 19 des vorliegenden Urteils angeführten Rechtsprechung im Rahmen des Verfahrens nach Art. 267 AEUV, das auf einer klaren Aufgabentrennung zwischen den nationalen Gerichten und dem Gerichtshof beruht, allein das nationale Gericht für die Auslegung und Anwendung des nationalen Rechts zuständig ist, während der Gerichtshof nur befugt ist, sich auf der Grundlage des ihm vom nationalen Gericht unterbreiteten Sachverhalts zur Auslegung oder zur Gültigkeit einer Unionsvorschrift zu äußern.

43 Aus der Vorlageentscheidung geht hervor, dass die Testdatenbank von Digi eingerichtet wurde, um Tests durchführen und Fehler beheben zu können. Daher hat das vorlegende Gericht anhand dieser Zwecke zu bewerten, ob die Weiterverarbeitung mit den Zwecken der ursprünglichen Erhebung, nämlich dem Abschluss und der Erfüllung von Abonnementverträgen, vereinbar ist.

44 Drittens ist hinsichtlich dieser Bewertung darauf hinzuweisen, dass die Durchführung von Tests und die Behebung von Fehlern, die die Datenbank beeinträchtigen, die die Daten der Abonnementkunden enthält, einen konkreten Zusammenhang mit der Erfüllung der mit Privatkunden geschlossenen Abonnementverträgen aufweisen, da sich solche Fehler nachteilig auf die Erbringung der vertraglich vereinbarten Dienstleistung auswirken können, für die die Daten ursprünglich erhoben wurden. Wie der Generalanwalt in Nr. 60 seiner Schlussanträge ausgeführt hat, weicht diese Verarbeitung nicht von den legitimen Erwartungen der Abonnenten hinsichtlich der weiteren Verwendung ihrer Daten ab. Aus der Vorlageentscheidung geht im Übrigen nicht hervor, dass diese Daten oder ein Teil davon sensibel waren oder die fragliche Weiterverarbeitung dieser Daten als solche schädliche Auswirkungen für die Abonnenten hatte oder nicht mit geeigneten Garantien versehen war. Dies zu prüfen ist jedoch Aufgabe des vorlegenden Gerichts.

45 Nach alledem ist auf die erste Frage zu antworten, dass Art. 5 Abs. 1 Buchst. b der Verordnung 2016/679 dahin auszulegen ist, dass der darin vorgesehene Grundsatz der „Zweckbindung“ es dem Verantwortlichen nicht verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden, wenn diese Weiterverarbeitung mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden, was anhand der in Art. 6 Abs. 4 dieser Verordnung genannten Kriterien und sämtlicher Umstände des Einzelfalls zu beurteilen ist.

Zur zweiten Frage

46 Vorab ist darauf hinzuweisen, dass die zweite Frage des vorlegenden Gerichts, die die Vereinbarkeit der von Digi vorgenommenen Speicherung personenbezogener Daten ihrer Kunden in der Testdatenbank mit dem in Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 genannten Grundsatz der „Speicherbegrenzung“ betrifft, nur für den Fall gestellt wird, dass die umformulierte erste Frage bejaht wird, d. h. für den Fall, dass diese Speicherung nicht mit dem in Art. 5 Abs. 1 Buchst. b dieser Verordnung vorgesehenen Grundsatz der „Zweckbindung“ vereinbar ist.

47 Zum einen gelten jedoch, wie der Generalanwalt in Nr. 24 seiner Schlussanträge ausgeführt hat, die in Art. 5 der Verordnung 2016/679 niedergelegten Grundsätze für die Verarbeitung personenbezogener Daten kumulativ. Daher muss die Speicherung personenbezogener Daten nicht nur dem Grundsatz der „Zweckbindung“, sondern auch dem Grundsatz der „Speicherbegrenzung“ genügen.

48 Zum anderen geht aus dem zehnten Erwägungsgrund der Verordnung 2016/679 hervor, dass diese namentlich darauf abzielt, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck dafür zu sorgen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung personenbezogener Daten unionsweit gleichmäßig und einheitlich angewandt werden.

49 Zu diesem Zweck enthalten die Kapitel II und III der Verordnung 2016/679 die Grundsätze für die Verarbeitung personenbezogener Daten bzw. die Rechte der betroffenen Person, die bei jeder Verarbeitung personenbezogener Daten beachtet werden müssen. Insbesondere muss jede Verarbeitung personenbezogener Daten mit den in Art. 5 dieser Verordnung festgelegten Grundsätzen für die Verarbeitung personenbezogener Daten im Einklang stehen und in Anbetracht des in Art. 5 Abs. 1 Buchst. a vorgesehenen Grundsatzes der Rechtmäßigkeit der Verarbeitung eine der in Art. 6 dieser Verordnung aufgeführten Bedingungen für die Rechtmäßigkeit der Verarbeitung erfüllen (vgl. in diesem Sinne Urteile vom , Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 96, und vom , Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C‑175/20, EU:C:2022:124, Rn. 50).

50 Auch wenn das vorlegende Gericht die zweite Frage formal nur für den Fall gestellt hat, dass die umformulierte erste Frage bejaht wird, hindert dies den Gerichtshof in Anbetracht dieser Erwägungen nicht daran, ihm alle Hinweise zur Auslegung des Unionsrechts zu geben, die ihm für die Beurteilung der bei ihm anhängigen Sache von Nutzen sein können (vgl. in diesem Sinne Urteil vom , Daimler, C‑232/20, EU:C:2022:196, Rn. 49), und somit diese zweite Frage zu beantworten.

51 Unter diesen Umständen ist davon auszugehen, dass das vorlegende Gericht mit dieser Frage im Wesentlichen wissen möchte, ob Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 dahin auszulegen ist, dass der in dieser Vorschrift vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.

52 Als Erstes ist darauf hinzuweisen, dass gemäß Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 die personenbezogenen Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

53 Somit ist diesem Artikel eindeutig zu entnehmen, dass der Grundsatz der „Speicherbegrenzung“ verlangt, dass der Verantwortliche in der Lage ist, gemäß dem Grundsatz der Rechenschaftspflicht, auf den in Rn. 24 des vorliegenden Urteils hingewiesen worden ist, nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist.

54 Daraus ergibt sich, dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Laufe der Zeit mit der Verordnung 2016/679 unvereinbar werden kann, wenn diese Daten für die Erreichung solcher Zwecke nicht mehr erforderlich sind (Urteil vom , GC u. a. [Auslistung sensibler Daten], C‑136/17, EU:C:2019:773, Rn. 74), und dass die Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind (vgl. in diesem Sinne Urteil vom , Rijkeboer, C‑553/07, EU:C:2009:293, Rn. 33).

55 Als Zweites steht diese Auslegung im Einklang mit dem Kontext, in dem Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 steht.

56 Insoweit ist in Rn. 49 des vorliegenden Urteils darauf hingewiesen worden, dass jede Verarbeitung personenbezogener Daten mit den in Art. 5 dieser Verordnung genannten Grundsätzen für die Verarbeitung personenbezogener Daten im Einklang stehen und eine der in Art. 6 dieser Verordnung aufgeführten Bedingungen für die Rechtmäßigkeit der Verarbeitung erfüllen muss.

57 Zum einen muss, wie sich aus Art. 6 der Verordnung 2016/679 ergibt, wenn die betroffene Person nicht gemäß Art. 6 Abs. 1 Buchst. a dieser Verordnung ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat, die Verarbeitung gemäß Buchst. b bis f dieses Absatzes eine Voraussetzung in Bezug auf die Erforderlichkeit erfüllen.

58 Zum anderen ergibt sich eine solche Voraussetzung der Erforderlichkeit auch aus dem in Art. 5 Abs. 1 Buchst. c dieser Verordnung vorgesehenen Grundsatz der „Datenminimierung“, wonach die personenbezogenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

59 Als Drittes steht eine solche Auslegung im Einklang mit dem Zweck, der mit Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 verfolgt wird, nämlich u. a., wie in Rn. 48 des vorliegenden Urteils ausgeführt, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten.

60 Im vorliegenden Fall macht Digi geltend, dass die in der Testdatenbank gespeicherten personenbezogenen Daten eines Teils ihrer Privatkunden nach der Durchführung der Tests und der Behebung der Fehler aufgrund eines Versehens nicht gelöscht worden seien.

61 Hierzu genügt der Hinweis, dass dieses Vorbringen unerheblich für die Beurteilung ist, ob Daten unter Verstoß gegen den in Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 vorgesehenen Grundsatz der „Speicherbegrenzung“ länger gespeichert wurden als für die Erreichung der Zwecke, für die sie weiterverarbeitet wurden, erforderlich ist.

62 Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 dahin auszulegen ist, dass der darin vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.

Kosten

63 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem bei dem vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:

1. Art. 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
der darin vorgesehene Grundsatz der „Zweckbindung“ es dem Verantwortlichen nicht verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden, wenn diese Weiterverarbeitung mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden, was anhand der in Art. 6 Abs. 4 dieser Verordnung genannten Kriterien und sämtlicher Umstände des Einzelfalls zu beurteilen ist.

2. Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679
ist dahin auszulegen, dass
der darin vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.

Auf diese Entscheidung wird Bezug genommen in folgenden Gerichtsentscheidungen:

ECLI Nummer:
ECLI:EU:C:2022:805

Fundstelle(n):
QAAAJ-56638