EuGH Urteil vom 20.10.2022 - C-77/21

Entscheidungsstichwort (Thema)

Vorlage zur Vorabentscheidung. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Grundsatz der ‚Zweckbindung’. Grundsatz der ‚ Speicherbegrenzung’. Einrichtung einer Datenbank zur Durchführung von Tests und Behebung von Fehlern aus einer bestehenden Datenbank. Weiterverarbeitung der Daten. Vereinbarkeit der Weiterverarbeitung dieser Daten mit den Zwecken der ursprünglichen Erhebung. Speicherdauer nach Maßgabe dieser Zweck

Normenkette

EUVO 679/2016 Art. 5 Abs. 1 Buchst. b, e

Beteiligte

Digi

Digi Távközlési és Szolgáltató Kft

Nemzeti Adatvédelmi és Információszabadság Hatóság

Tenor

1. Art. 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

der darin vorgesehene Grundsatz der „Zweckbindung” es dem Verantwortlichen nicht verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden, wenn diese Weiterverarbeitung mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden, was anhand der in Art. 6 Abs. 4 dieser Verordnung genannten Kriterien und sämtlicher Umstände des Einzelfalls zu beurteilen ist.

2. Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679

ist dahin auszulegen, dass

der darin vorgesehene Grundsatz der „Speicherbegrenzung” es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.

Tatbestand

In der Rechtssache

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Fővárosi Törvényszék (Hauptstädtischer Gerichtshof, Ungarn) mit Entscheidung vom 21. Januar 2021, beim Gerichtshof eingegangen am 8. Februar 2021, in dem Verfahren

Digi Távközlési és Szolgáltató Kft.

gegen

Nemzeti Adatvédelmi és Információszabadság Hatóság

erlässt

DER GERICHTSHOF (Erste Kammer)

unter Mitwirkung des Kammerpräsidenten A. Arabadjiev, des Vizepräsidenten des Gerichtshofs L. Bay Larsen in Wahrnehmung der Aufgaben eines Richters der Ersten Kammer, der Richter P. G. Xuereb und A. Kumin sowie der Richterin I. Ziemele (Berichterstatterin),

Generalanwalt: P. Pikamäe,

Kanzler: I. Illéssy, Verwaltungsrat,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 17. Januar 2022,

unter Berücksichtigung der Erklärungen

• der Digi Távközlési és Szolgáltató Kft., vertreten durch R. Hatala und A. D. László, Ügyvédek,
• der Nemzeti Adatvédelmi és Információszabadság Hatóság, vertreten durch G. Barabás, Rechtsberater, im Beistand von G. J. Dudás und Á. Hargita, Ügyvédek,
• der ungarischen Regierung, vertreten durch Zs. Biró-Tóth und M. Z. Fehér als Bevollmächtigte,
• der tschechischen Regierung, vertreten durch T. Machovičová, M. Smolek und J. Vláčil als Bevollmächtigte,
• der portugiesischen Regierung, vertreten durch P. Barros da Costa, L. Inez Fernandes, I. Oliveira, J. Ramos und C. Vieira Guerra als Bevollmächtigte,
• der Europäischen Kommission, vertreten durch V. Bottka und H. Kranenborg als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 31. März 2022

folgendes

Urteil

Entscheidungsgründe

Rz. 1

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 5 Abs. 1 Buchst. b und e der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2016, L 314, S. 72, ABl. 2018, L 127, S. 2, und ABl. 2021, L 74, S. 35).

Rz. 2

Es ergeht im Rahmen eines Rechtsstreits zwischen der Digi Távközlési és Szolgáltató Kft. (im Folgenden: Digi), einem der führenden Anbieter von Internet- und Fernsehdiensten in Ungarn, und der Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationale Behörde für Datenschutz und Informationsfreiheit, im Folgenden: Behörde) wegen einer Verletzung des Schutzes personenbezogener Daten in einer Datenbank von Digi.

Rechtlicher Rahmen

Rz. 3

In den Erwägungsgründen 10 und 50 der Richtlinie 2016/679 heißt es:

„(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Pe...