SCHLUSSANTRÄGE DES GENERALANWALTS
PRIIT PIKAMÄE
vom 31. März 2022(1)
Rechtssache C‑77/21
Digi Távközlési és Szolgáltató Kft.
gegen
Nemzeti Adatvédelmi és Információszabadság Hatóság
(Vorabentscheidungsersuchen des Fővárosi Törvényszék [Hauptstädtischer Gerichtshof, Ungarn])
„Vorabentscheidungsersuchen – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 5 Abs. 1 Buchst. b und e – Grundsatz der Zweckbindung – Grundsatz der Speicherbegrenzung – Rechtmäßig erhobene und gespeicherte personenbezogene Daten von Kunden – Einrichtung einer weiteren spezifischen internen Datenbank nach einer technischen Störung – Nachträgliche Überprüfung der Zwecke der Verarbeitung – Doppelte Zweckbindung – Fehlende Identität der Zwecke der Verarbeitung mit den Zwecken der Datenerhebung – Vereinbarkeit der Verarbeitung mit den Zwecken der Erhebung – Art. 6 Abs. 4 – Keine Löschung der Datenbank nach Behebung der technischen Störung – Erreichung der Zwecke der Verarbeitung“
1. Unter welchen Bedingungen darf ein Internet- und TV-Anbieter die rechtmäßig erhobenen und bereits gespeicherten personenbezogenen Daten seiner Kunden auf einem zusätzlichen internen Datenträger ohne deren ausdrückliche Einwilligung, aber zur Überbrückung einer technischen Störung speichern?
2. Dies ist eine der in der vorliegenden Rechtssache aufgeworfenen Fragen, die dem Gerichtshof Gelegenheit gibt, seine immer umfangreichere Rechtsprechung zur Verordnung (EU) 2016/679(2) zu ergänzen, insbesondere in Bezug auf die in deren Art. 5 Abs. 1 Buchst. b und e verankerten Grundsätze der Zweckbindung und der Speicherbegrenzung.
I. Rechtlicher Rahmen
3. Für die vorliegende Rechtssache relevant sind die Art. 4 bis 6, 13 und 32 der DSGVO.
II. Ausgangsverfahren und Vorlagefragen
4. Die Digi Távközlési és Szolgáltató Kft. (im Folgenden: Digi) ist einer der führenden Anbieter von Internet- und Fernsehdiensten in Ungarn.
5. Im April 2018 richtete Digi im Anschluss an eine technische Serverstörung unter der Bezeichnung „test“ eine Datenbank ein, in die sie personenbezogene Daten von ungefähr einem Drittel ihrer Privatkunden kopierte.
6. Am 23. September 2019 erfuhr Digi, dass ein „ethischer Hacker“ auf die personenbezogenen Daten von rund 322 000 Personen zugegriffen hatte. Der Hacker selbst setzte das Unternehmen schriftlich mit einer E‑Mail vom 21. September 2019 davon in Kenntnis und rief zum Beweis einen Eintrag in der Testdatenbank auf. Digi behob den Fehler, schloss mit dem Hacker eine Vertraulichkeitsvereinbarung und gewährte ihm eine Belohnung.
7. Nachdem Digi die Testdatenbank gelöscht hatte, notifizierte sie am 25. September 2019 die Verletzung des Schutzes personenbezogener Daten der Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationale Behörde für Datenschutz und Informationsfreiheit, im Folgenden: Behörde), die daraufhin ein Untersuchungsverfahren einleitete.
8. Mit Entscheidung vom 18. Mai 2020 stellte die Behörde namentlich fest, dass Digi gegen Art. 5 Abs. 1 Buchst. b und e der DSGVO verstoßen habe, da sie die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht gelöscht und dadurch in dieser Testdatenbank eine große Menge personenbezogener Daten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert habe, die die Identifizierung der betroffenen Personen ermöglicht habe. Die unterbliebene Löschung dieser Datenbank habe die Verletzung personenbezogener Daten ermöglicht. Ferner war die Behörde der Auffassung, Digi habe gegen Art. 32 Abs. 1 und 2 der DSGVO verstoßen. Aufgrund dessen verhängte sie gegen Digi eine Geldbuße in Höhe von 100 000 000 ungarischen Forint (HUF) (etwa 270 000 Euro).
9. Digi focht diese Entscheidung vor dem vorlegenden Gericht als rechtswidrig an.
10. Letzteres führt aus, die Erhebung der von Digi in die Testdatenbank kopierten personenbezogenen Daten sei für den Zweck des Abschlusses von Abonnementverträgen erfolgt, und ihre Rechtmäßigkeit sei von der Behörde nicht in Frage gestellt worden. Es möchte jedoch wissen, ob sich der Zweck der Erhebung und der Verarbeitung der Daten beim Kopieren von für einen bestimmten Zweck erhobenen Daten in eine andere Datenbank ändert. Außerdem müsse es klären, ob die Einrichtung einer Testdatenbank und die weitere Verarbeitung von Kundendaten auf diese Weise mit dem Zweck der Erhebung dieser Daten vereinbar sei. In dieser Hinsicht sei dem Grundsatz der Zweckbindung nicht klar zu entnehmen, in welchen internen Systemen der für die Verarbeitung Verantwortliche rechtmäßig erhobene Daten verarbeiten dürfe und ob er solche Daten in eine Testdatenbank kopieren könne, ohne dass sich der Zweck der Datenerhebung ändere.
11. Für den Fall, dass die Einrichtung der Testdatenbank mit dem Zweck der Erhebung unvereinbar ist, fragt sich das vorlegende Gericht ferner, ob, da der Zweck der Verarbeitung von Kundendaten in einer anderen Datenbank nicht die Fehlerkorrektur, sondern der Abschluss von Verträgen sei, die erforderliche Speicherdauer an der für die Fehlerkorrektur erforderlichen Zeit oder vielmehr an der für die Erfüllung der vertraglichen Verpflichtungen erforderlichen Zeit ausgerichtet werden müsse.
12. Unter diesen Umständen hat der Fővárosi Törvényszék (Hauptstädtischer Gerichtshof, Ungarn) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist der Begriff „Zweckbindung“ in Art. 5 Abs. 1 Buchst. b der DSGVO dahin auszulegen, dass es mit diesem Begriff auch vereinbar ist, wenn der für die Verarbeitung Verantwortliche personenbezogene Daten, die im Übrigen zu einem begrenzten legitimen Zweck erhoben und in einer mit diesem Zweck vereinbaren Weise gespeichert wurden, parallel in einer anderen Datenbank speichert, oder vielmehr dahin, dass die Speicherung der Daten in einer parallelen Datenbank nicht mehr mit dem legitimen Zweck vereinbar ist, für den die betreffenden Daten erhoben wurden?
2. Sollte die erste Frage dahin beantwortet werden, dass die parallele Speicherung von Daten für sich genommen mit dem Grundsatz der „Zweckbindung“ unvereinbar ist, ist es dann mit dem in Art. 5 Abs. 1 Buchst. e der DSGVO niedergelegten Grundsatz der „Speicherbegrenzung“ vereinbar, wenn der Verantwortliche personenbezogene Daten, die im Übrigen zu einem begrenzten legitimen Zweck erhoben und gespeichert wurden, parallel in einer anderen Datenbank speichert?
III. Verfahren vor dem Gerichtshof
13. Die Klägerin und die Beklagte des Ausgangsverfahrens, die ungarische, die tschechische und die portugiesische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. In der Sitzung vom 17. Januar 2022 haben die Klägerin und die Beklagte des Ausgangsverfahrens sowie die ungarische Regierung und die Kommission auch mündliche Ausführungen gemacht.
IV. Würdigung
A. Zur Zulässigkeit
14. Sowohl die Behörde als auch die ungarische Regierung äußern Zweifel an der Zulässigkeit des Vorabentscheidungsersuchens, da die gestellten Fragen nicht den Sachverhalt des Ausgangsverfahrens widerspiegelten und für dessen Entscheidung nicht unmittelbar erheblich seien.
15. Nach ständiger Rechtsprechung des Gerichtshofs ist es allein Sache des nationalen Gerichts, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, anhand der Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der Fragen zu beurteilen, die es dem Gerichtshof vorlegt. Daher ist der Gerichtshof grundsätzlich gehalten, über ihm vorgelegte Fragen zu befinden, wenn sie die Auslegung oder die Gültigkeit einer Vorschrift des Unionsrechts betreffen. Folglich gilt für Fragen nationaler Gerichte eine Vermutung der Entscheidungserheblichkeit. Der Gerichtshof kann die Beantwortung einer Vorlagefrage eines nationalen Gerichts nur ablehnen, wenn die Auslegung, um die er ersucht wird, ersichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind. Im vorliegenden Fall enthält das Vorabentscheidungsersuchen genügend tatsächliche und rechtliche Angaben, um die Tragweite der Vorlagefragen zu verstehen. Zudem und vor allem enthalten die dem Gerichtshof vorliegenden Akten keinen Anhaltspunkt dafür, dass die begehrte Auslegung des Unionsrechts in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht oder hypothetischer Natur wäre(3).
16. Insoweit ist darauf hinzuweisen, dass das vorlegende Gericht mit einer Klage auf Nichtigerklärung einer Entscheidung befasst ist, mit der Digi in ihrer Eigenschaft als für die Verarbeitung Verantwortliche wegen eines angeblichen Verstoßes gegen die in Art. 5 Abs. 1 Buchst. b und e der DSGVO genannten Grundsätze der Zweckbindung und der Speicherbegrenzung belangt wird, auf die sich das Auslegungsersuchen dieses Gerichts bezieht. Das Vorabentscheidungsersuchen ist daher als zulässig anzusehen.
B. Zum rechtlichen Prüfungsrahmen
17. Es ist festzustellen, dass sich das Vorabentscheidungsersuchen ausschließlich auf die Auslegung von Art. 5 der DSGVO im Rahmen eines Ausgangsrechtsstreits bezieht, in dem es um die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten durch Digi geht, einem der größten Anbieter von Internet- und Fernsehdiensten in Ungarn, der somit ein Betreiber ist, der Zugang zu öffentlich zugänglichen Online-Kommunikationsdiensten anbietet.
18. Allerdings ist zu beachten, dass die Richtlinie 2002/58/EG(4) ihrem Art. 1 Abs. 1 zufolge die Harmonisierung der Vorschriften der Mitgliedstaaten vorsieht, die erforderlich sind, um u. a. einen gleichwertigen Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre und Vertraulichkeit, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation zu gewährleisten. Darüber hinaus gilt die Richtlinie 2002/58 nach ihrem Art. 3 für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen der Union, einschließlich öffentlicher Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen. Folglich ist davon auszugehen, dass diese Richtlinie die Tätigkeiten der Betreiber solcher Dienste regelt(5).
19. Nach ihrem Art. 1 Abs. 2 stellt die Richtlinie 2002/58 eine Detaillierung und Ergänzung der Richtlinie 95/46/EG(6) im Hinblick auf die im vorerwähnten Abs. 1 genannten Zwecke dar, wobei gemäß Art. 94 Abs. 2 der DSGVO Bezugnahmen in der Richtlinie 2002/58 auf die Richtlinie 95/46 als Bezugnahmen auf diese Verordnung gelten(7). Gemäß dem zehnten Erwägungsgrund der Richtlinie 2002/58 gilt im Bereich der elektronischen Kommunikation die Richtlinie 95/46 vor allem für alle Fragen des Schutzes der Grundrechte und Grundfreiheiten, die von der Richtlinie 2002/58 nicht spezifisch erfasst werden, einschließlich der Pflichten des für die Verarbeitung Verantwortlichen und der Rechte des Einzelnen(8).
20. Aus dem Vorabentscheidungsersuchen geht hervor, dass der Ausgangsrechtsstreit nicht die Nutzung elektronischer Kommunikationsdienste durch die Abonnenten von Digi und damit den in der Richtlinie 2002/58 geregelten Schutz der so getätigten Kommunikation und der hiermit zusammenhängenden Verkehrsdaten betrifft, sondern in den Rahmen der internen Funktionsweise dieses Unternehmens fällt. Digi erstellte im Jahr 2018 nach einer technischen Serverstörung, die dazu führte, dass die ursprüngliche Datenbank ihrer Abonnenten nicht mehr zugänglich war, eine Datei mit der Bezeichnung „test“, in die sie die personenbezogenen Daten eines Teils ihrer Kunden kopierte(9). Nachdem Digi diese Fehlfunktion behoben hatte, wurde die Speicherung von Daten in der zusätzlichen Datenbank bis September 2019 fortgesetzt, als es zu einem Hackerangriff auf diese Datenbank kam. Die von Digi auf diese Weise ausgeübte Tätigkeit stellt eine „Verarbeitung personenbezogener Daten“ dar, für die Digi der „Verantwortliche“ im Sinne der Begriffsbestimmungen in Art. 4 Abs. 2 und 7 der DSGVO ist. In dieser Eigenschaft wurde Digi auch von der Behörde belangt, weil sie bei dieser Gelegenheit ihre Verpflichtungen aus Art. 5 Abs. 1 Buchst. b und e der DSGVO verletzt habe.
21. In diesem Zusammenhang ist darauf hinzuweisen, dass, abgesehen von den nach Art. 23 der DSGVO zulässigen Ausnahmen bei jeder Verarbeitung personenbezogener Daten die Grundsätze für die Verarbeitung personenbezogener Daten und die Rechte der betroffenen Person gemäß Kapitel II bzw. III dieser Verordnung eingehalten werden müssen. Insbesondere muss jede Verarbeitung personenbezogener Daten einerseits den in Art. 5 der Verordnung genannten Grundsätzen entsprechen und andererseits die in deren Art. 6 genannten Bedingungen für die Rechtmäßigkeit erfüllen(10).
22. Nach Art. 5 der DSGVO obliegt es dem für die Verarbeitung Verantwortlichen, sicherzustellen, dass personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer … nachvollziehbaren Weise verarbeitet werden“ (Buchst. a), dass sie „für festgelegte, eindeutige und legitime Zwecke erhoben werden und … nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ (Buchst. b), dass sie „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt [sind]“ (Buchst. c), dass sie „sachlich richtig und erforderlichenfalls auf dem neuesten Stand [sind]“ (Buchst. d) und dass sie schließlich „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“ (Buchst. e); für die Verarbeitung von Daten über die vorgenannte Dauer hinaus für historische, statistische oder wissenschaftliche Zwecke gelten spezifische Vorschriften. Der für die Verarbeitung Verantwortliche hat insofern alle angemessenen Maßnahmen zu treffen, damit Daten, die die Anforderungen der genannten Vorschrift nicht erfüllen, gelöscht oder berichtigt werden(11).
C. Zur Tragweite des Vorabentscheidungsersuchens
23. Das vorlegende Gericht möchte vom Gerichtshof Hinweise zur Auslegung der in Art. 5 Abs. 1 Buchst. b und e der DSGVO verankerten Grundsätze der Zweckbindung und der Speicherbegrenzung erhalten, was in der Formulierung von zwei gesonderten Vorabentscheidungsfragen zu diesen Bestimmungen zum Ausdruck kommt. Die zweite Frage, die sich auf den Grundsatz der Speicherbegrenzung bezieht, wird jedoch nur für den Fall gestellt, dass die fragliche Verarbeitung nicht mit dem Grundsatz der Zweckbindung vereinbar ist.
24. Allerdings ist zu betonen, dass die Anforderungen an die Verarbeitung personenbezogener Daten in Art. 5 der DSGVO eindeutig kumulativ und unabhängig voneinander sind(12). Die Problematik der Einhaltung des Grundsatzes der Speicherbegrenzung ist rechtlich unabhängig von derjenigen betreffend den Grundsatz der Zweckbindung. In der Entscheidung, die Gegenstand des Ausgangsverfahrens ist, vertritt die Behörde die Auffassung, die Speicherung der Daten auf einem zusätzlichen internen Datenträger sei die Ursache für die Missachtung der beiden vorgenannten verschiedenen Grundsätze.
25. Auch wenn das vorlegende Gericht seine zweite Frage in der vorliegenden Rechtssache formal durch ihren bedingten Charakter eingeschränkt hat, hindert dies den Gerichtshof nicht daran, diesem Gericht alle Hinweise zur Auslegung des Unionsrechts zu geben, die ihm bei der Entscheidung des Ausgangsverfahrens von Nutzen sein können, indem er aus dem gesamten von diesem Gericht vorgelegten Material, insbesondere der Begründung der Vorlageentscheidung, diejenigen Elemente des Unionsrechts herausarbeitet, die unter Berücksichtigung des Gegenstands des Rechtsstreits einer Auslegung bedürfen(13).
D. Zur Rechtmäßigkeit der Verarbeitung im Hinblick auf die Grundsätze der Zweckbindung und der Speicherbegrenzung
1. Vorbemerkungen
26. Ich halte es für notwendig, zunächst die jeweilige Tragweite der in Art. 5 Abs. 1 Buchst. b und e der DSGVO festgelegten Grundsätze in Verbindung mit dem in der Vorlageentscheidung und den Schriftsätzen der Beteiligten verwendeten Begriff „Speicherung“ zu analysieren, um den beanstandeten Verarbeitungsvorgang aus zwei Blickwinkeln zu beschreiben. Der erste betrifft die eigentliche Handlung der Speicherung oder Sicherung von Daten, im vorliegenden Fall die Speicherung einer Kopie der Daten eines Teils der Abonnenten von Digi in einer zusätzlichen internen Datenbank. Der zweite betrifft die Speicherung im Sinne der zeitlichen Fortführung dieser Datenbank. Die Frage ist somit, wie lange die Daten gespeichert werden. In dieser Hinsicht geht es bei der vorgenannten zeitlichen Problematik meiner Meinung nach nicht um den Grundsatz der Zweckbindung, sondern ausschließlich um den Grundsatz der Speicherbegrenzung.
27. Der Grundsatz der Zweckbindung in Art. 5 Abs. 1 Buchst. b der DSGVO hat eine doppelte Komponente: Personenbezogene Daten müssen einerseits für „festgelegte, eindeutige und legitime“ Zwecke erhoben werden und dürfen andererseits nicht „in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet“ werden. Dieser Grundsatz soll die Verwendung personenbezogener Daten so klar wie möglich abgrenzen, indem er ein Gleichgewicht zwischen der Achtung der Grundrechte der betroffenen Personen auf Privatsphäre und Datenschutz und der Anerkennung einer gewissen Flexibilität zugunsten des für die Verarbeitung Verantwortlichen bei der Verwaltung dieser Daten, wie sie das digitale Leben und seine Unwägbarkeiten erfordern, herstellt.
28. In seiner zweiten Komponente, die uns im vorliegenden Fall besonders interessiert, soll dieser Grundsatz die Grenzen festlegen, innerhalb deren personenbezogene Daten, die für einen bestimmten Zweck erhoben wurden, weiterverwendet werden dürfen. Gemäß Art. 5 Abs. 1 Buchst. b der DSGVO ist jede Verarbeitung nach der Erhebung als „Weiterverarbeitung“ zu betrachten und muss daher, von Ausnahmen abgesehen, das Erfordernis der Vereinbarkeit erfüllen(14). Letzteres spiegelt die Notwendigkeit einer konkreten, kohärenten und ausreichend engen Verbindung zwischen dem Zweck der Datenerhebung und deren Weiterverarbeitung wider. Mit anderen Worten: Diese Verarbeitung darf nicht vom ursprünglichen Zweck der Datenerhebung losgelöst sein oder diesem widersprechen, ihr Inhalt muss mit dem Zweck der Erhebung vereinbar sein, unabhängig von jeglicher zeitlichen Problematik.
29. Der Grundsatz der Zweckbindung ist, anders als der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 Buchst. e der DSGVO, streng genommen kein Ausdruck des Verhältnismäßigkeitsgrundsatzes. Wie der Gerichtshof klargestellt hat, ergibt sich aus den in diesem Artikel enthaltenen Anforderungen, dass auch eine ursprünglich rechtmäßige Verarbeitung von Daten im Laufe der Zeit womöglich nicht mehr den Bestimmungen der Richtlinie entspricht, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind. Das ist insbesondere der Fall, wenn sie diesen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen(15).
30. Im Rahmen des Grundsatzes der Speicherbegrenzung geht es also darum, eine Beurteilung der Verhältnismäßigkeit der Verarbeitung in Bezug auf ihren Zweck im Hinblick auf den Zeitablauf vorzunehmen. Gegen diesen Grundsatz verstößt die Speicherung von Daten für einen Zeitraum, der über den notwendigen Zeitraum hinausgeht, d. h. über den Zeitraum, der für die Erfüllung der Zwecke, für die die Daten gespeichert wurden, erforderlich ist(16). Wenn die Zwecke dieser Verarbeitung erfüllt sind, müssen die Daten gelöscht werden(17). Der Grundsatz der Speicherbegrenzung beantwortet somit die Frage, wann die Speicherung der Daten auf einem zusätzlichen internen Datenträger von Digi nicht mehr gerechtfertigt war.
31. Im Licht der obigen Ausführungen werde ich die Rechtmäßigkeit der fraglichen Verarbeitung vor dem Hintergrund der beiden vorgenannten Grundsätze prüfen.
2. Zum Grundsatz der Zweckbindung
32. Die Prüfung, ob dieser Grundsatz, was seine zweite Komponente angeht, eingehalten wird, erfordert die vorherige Bestimmung des Zwecks oder der Zwecke der Erhebung der fraglichen Daten. Aus der dem Gerichtshof vorliegenden Akte geht hervor, dass diese Daten von Digi zum Zweck des Abschlusses und der Erfüllung der von ihr in ihrer Eigenschaft als Internet- und TV‑Anbieterin angebotenen Abonnementverträge erhoben wurden und dass die Rechtmäßigkeit dieser ersten Verarbeitung zwischen den Parteien des Ausgangsverfahrens unstreitig ist. Dasselbe gilt für den unumgänglichen nachfolgenden Verarbeitungsvorgang, der in der Speicherung dieser Daten auf einem dedizierten Datenträger besteht, der hier als ursprüngliche Datenbank bezeichnet werden soll(18). In diesem Zusammenhang möchte das vorlegende Gericht insbesondere eine Antwort auf die Frage erhalten, ob sich der festgelegte, eindeutige und legitime Zweck der Datenerhebung dadurch „geändert“ hat, dass die Daten in eine Datenbank kopiert wurden, die zu einer ersten, zwischen den Parteien unumstrittenen Speicherung hinzutritt.
33. Nach der Rechtsprechung des Gerichtshofs sind die in der DSGVO enthaltenen Regeln zum Schutz personenbezogener Daten bei jedweder Verarbeitung dieser Daten im Sinne der Begriffsbestimmung in Art. 2 dieser Verordnung einzuhalten(19). Die obige Frage verkennt meines Erachtens das Erfordernis der individuellen Beurteilung aller Datenverarbeitungsvorgänge nach der Erhebung der Daten, das sich in diesem Fall aus Art. 5 Abs. 1 Buchst. b der DSGVO ergibt.
34. Jede weitere Verwendung dieser Daten ist also auf ihren besonderen Zweck und gegebenenfalls auf ihre Vereinbarkeit mit dem Zweck der Erhebung zu prüfen. Die Rechtmäßigkeit der Erhebung und einer ersten Speicherung der Daten darf sich nicht durch eine Art Übertragungseffekt automatisch auf die Einhaltung des Grundsatzes der Zweckbindung durch eine andere Weiterverarbeitungstätigkeit auswirken, unabhängig davon, ob sich diese auf die gleichen Daten bezieht. Nach Ansicht der ungarischen Regierung kann nicht davon ausgegangen werden, dass der für die Verarbeitung Verantwortliche die personenbezogenen Daten in mehreren Dateien und ohne Einschränkungen speichern darf, wenn er sie ursprünglich rechtmäßig erhoben und verarbeitet hat.
35. Daher muss die Frage der in Art. 5 Abs. 1 Buchst. b der DSGVO geforderten Vereinbarkeit zwischen den Zwecken der Datenerhebung und der Weiterverarbeitung dieser Daten geprüft werden. Diese Frage stellt sich jedoch logischerweise nur dann, wenn diese Verarbeitung zu anderen als den ursprünglich angegebenen Zwecken erfolgt.
36. Laut dem 50. Erwägungsgrund der DSGVO sollte die Verarbeitung personenbezogener Daten „für andere Zwecke“ als die, für die sie ursprünglich erhoben wurden, nur dann zulässig sein, wenn sie mit den Zwecken dieser Erhebung vereinbar ist. Auch der Wortlaut von Art. 6 Abs. 4 dieser Verordnung stützt die obige Schlussfolgerung. Diese Vorschrift enthält eine nicht erschöpfende Liste von Kriterien, anhand deren in einer bestimmten Konstellation beurteilt werden kann, ob die Verarbeitung „zu einem anderen Zweck“ mit dem Zweck vereinbar ist, für den die personenbezogenen Daten ursprünglich erhoben wurden. Daher würde die Feststellung einer Zweckidentität zwischen der Erhebung der Daten und ihrer Weiterverarbeitung, wie von Digi geltend gemacht, die Prüfung der Vereinbarkeit gegenstandslos machen und die Schlussfolgerung zulassen, dass diese Verarbeitung im Hinblick auf den Grundsatz der Zweckbindung rechtmäßig ist(20).
a) Zu den Zwecken der Verarbeitung
37. Aus den dem Gerichtshof vorliegenden Akten und insbesondere aus den Angaben von Digi geht hervor, dass das Unternehmen nach einer technischen Serverstörung, die zur Unzugänglichkeit der ursprünglichen Datenbank führte, eine Kopie der Daten eines Teils der Abonnenten in einer zusätzlichen internen Datenbank gespeichert hat. Diese Datenbank wurde als „Testdatenbank“ bezeichnet, um die technische Störung zu beheben und den Zugang zu den Daten gemäß der dem für die Verarbeitung Verantwortlichen durch Art. 5 Abs. 1 Buchst. f der DSGVO auferlegten und in ihrem Art. 32 näher erläuterten Verpflichtung zu gewährleisten(21). Digi macht geltend, dieser Verarbeitungsvorgang habe in dieser Weise auch zum Zweck der Datenerhebung beigetragen, nämlich der Erbringung der vertraglich vereinbarten Dienstleistung. Unter diesen Umständen sei die beanstandete Speicherung nicht mit einem anderen Zweck verbunden, so dass ein Verstoß gegen Art. 5 Abs. 1 Buchst. b dieser Verordnung ausgeschlossen sei.
38. Auch wenn es natürlich Sache des vorlegenden Gerichts ist, die Rechtmäßigkeit des oben genannten Verarbeitungsvorgangs insbesondere im Hinblick auf die Anforderungen in Art. 5 der DSGVO und auf die Gesamtheit der Umstände des Einzelfalls zu prüfen, können ihm zu diesem Zweck einige Hinweise gegeben werden.
39. Erstens stelle ich fest, dass Digi im Wesentlichen auf das Vorliegen eines doppelten Zwecks für die beanstandete Verarbeitung hinweist, da der erste und spezifische Zweck der Behebung des Serverausfalls und der Sicherung der Verfügbarkeit der Daten der Abonnenten selbst Teil eines zweiten und allgemeinen Zwecks, nämlich der Erfüllung der Abonnementverträge, gewesen sei, der mit dem Zweck der ursprünglichen Datenerhebung zusammenfalle.
40. In der Praxis ist es durchaus denkbar, dass personenbezogene Daten für mehrere Zwecke erhoben oder weiterverarbeitet werden, was die DSGVO eindeutig in Betracht zieht und zulässt, wie aus dem Wortlaut ihres Art. 5 Abs. 1 Buchst. b und ihres Art. 6 Abs. 1 Buchst. a sowie ihren Erwägungsgründen 32 und 50 hervorgeht. Dieser Ansatz entspricht dem durch die komplexe und wenig lineare Verarbeitung personenbezogener Daten im digitalen Zeitalter geweckten Bedürfnis nach Pragmatismus und Flexibilität. Er muss jedoch das Erfordernis einer genauen Zweckbestimmung berücksichtigen, die ein Schlüsselelement bei der Umsetzung des europäischen Systems zum Schutz personenbezogener Daten ist.
41. Eine ausreichend genaue Zweckbestimmung ist somit eine grundlegende Garantie für Vorhersehbarkeit und Rechtssicherheit, da sie dazu beiträgt, dass die betroffene Person die mögliche Verwendung ihrer Daten richtig versteht und so in voller Kenntnis der Sachlage entscheiden kann. Diese Vorhersehbarkeit ist entscheidend für die Beurteilung der Vereinbarkeit des Zwecks der Datenerhebung mit der Weiterverarbeitung der Daten, wodurch das Risiko einer Diskrepanz zwischen den berechtigten Erwartungen der betroffenen Personen hinsichtlich der möglichen künftigen Verwendung ihrer Daten und den von dem für die Verarbeitung Verantwortlichen veranlassten Vorgängen verringert wird. Die Spezifizierung des Zwecks ist auch für die Erfüllung anderer Anforderungen an die Datenqualität erforderlich, darunter die Angemessenheit, Relevanz, Verhältnismäßigkeit und Richtigkeit der erhobenen Daten sowie die Anforderungen an die Dauer ihrer Speicherung gemäß Art. 5 Abs. 1 Buchst. c, d und e der DSGVO.
42. Dieses Genauigkeitserfordernis gilt daher, wie in der Stellungnahme 3/2013 der Artikel‑29-Datenschutzgruppe(22) unterstrichen wird, für jeden Verarbeitungsvorgang und nicht nur in der ersten Phase der Datenerhebung. Interessanterweise ist eine Datenverarbeitung, die auf der Einwilligung der betroffenen Person beruht, gemäß Art. 6 Abs. 1 Buchst. a der DSGVO nur dann rechtmäßig, wenn die Person in die Verarbeitung für einen oder mehrere „bestimmte“ Zwecke eingewilligt hat.
43. Wenn unter diesen Umständen eine bestimmte Verarbeitung zur Erfüllung von zwei Zwecken erfolgen kann, muss jeder dieser Zwecke genau bestimmt sein und eine objektive und ausreichend enge Verbindung zu dem betreffenden Verarbeitungsvorgang aufweisen.
44. Zweitens ist auf den besonderen Kontext hinzuweisen, in dem die Beurteilung des Zwecks bzw. der Zwecke der betreffenden Weiterverarbeitung erfolgen muss.
45. Gemäß den Erwägungsgründen 60 und 61 der DSGVO machen es die Grundsätze der fairen und transparenten Verarbeitung erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird und dass ihr die Informationen über die Verarbeitung ihrer personenbezogenen Daten zu dem Zeitpunkt zur Verfügung gestellt werden, zu dem diese Daten bei ihr erhoben werden. In diesem Zusammenhang sieht Art. 13 Abs. 1 Buchst. c dieser Verordnung vor, dass dann, wenn personenbezogene Daten einer betroffenen Person bei dieser erhoben werden, der für die Verarbeitung Verantwortliche ihr zum Zeitpunkt der Erhebung dieser Daten die Zwecke, für die sie verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung mitteilt.
46. Es bleibt festzuhalten, dass ein für die Verarbeitung Verantwortlicher, so vorausschauend und überlegt er auch sein mag, womöglich nicht in der Lage ist, bereits bei der Planung der Verarbeitung die Art und den genauen Umfang aller Vorgänge, die die Datenverarbeitungskette bilden, zu berücksichtigen und zu bestimmen. Ebenso ist der vorliegende Fall ein gutes Beispiel für die Problematik, die mit der Bewältigung einer naturgemäß unerwarteten technischen Störung und der anschließenden Durchführung einer bestimmten Art der Datenverarbeitung für einen ursprünglich nicht angegebenen Zweck verbunden ist.
47. Bei der Beurteilung der Rechtmäßigkeit einer solchen Verarbeitung durch die Aufsichtsbehörde und sodann durch das Gericht, das mit der Klage gegen die Entscheidung der Aufsichtsbehörde befasst ist, wie im vorliegenden Fall, wird dieser Zweck im Nachhinein anhand der Angaben überprüft, die der für die Verarbeitung Verantwortliche während des Verwaltungsverfahrens gemacht hat. Und es obliegt diesem, der den betreffenden Verarbeitungsvorgang konzipiert hat, gemäß dem in Art. 5 Abs. 2 der DSGVO aufgestellten Grundsatz der Rechenschaftspflicht das tatsächliche Vorliegen des geltend gemachten Zwecks und gegebenenfalls die Vereinbarkeit der Verarbeitung mit dem Zweck der Datenerhebung nachzuweisen(23).
48. In dieser Hinsicht gibt es zwei konkrete und objektive Elemente, die bei der Überprüfung dieses Zwecks berücksichtigt werden können. Erstens sieht Art. 13 Abs. 3 der DSGVO vor, dass dann, wenn personenbezogene Daten einer betroffenen Person bei dieser erhoben werden und der für die Verarbeitung Verantwortliche beabsichtigt, die Daten für einen anderen Zweck weiterzuverarbeiten als den, für den sie erhoben wurden, er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck(24) sowie alle anderen in Abs. 2 dieser Vorschrift genannten relevanten Informationen zur Verfügung stellen muss. Zweitens schreibt Art. 30 Abs. 1 der DSGVO vor, dass jeder für die Verarbeitung Verantwortliche ein schriftliches Verzeichnis der seiner Zuständigkeit unterliegenden Verarbeitungstätigkeiten zu führen hat, was auch in einem elektronischen Format erfolgen kann, und es der Aufsichtsbehörde auf Anfrage zur Verfügung stellen muss. Dieses Verzeichnis enthält verschiedene Informationen, darunter solche über die Zwecke der Verarbeitung.
49. Im vorliegenden Fall hat Digi offensichtlich keinen der betroffenen Abonnenten über ihre Absicht informiert, deren Daten zu duplizieren und auf einem internen Datenträger zu Testzwecken und zur Fehlerkorrektur zu speichern, da dieser Verarbeitungsvorgang nach Ansicht dieses Betreibers keinen anderen Zweck als denjenigen der Datenerhebung hatte und daher nicht in den Anwendungsbereich von Art. 13 Abs. 3 der DSGVO fiel(25). Aus der dem Gerichtshof vorliegenden Akte geht außerdem nicht hervor, ob Digi die in Art. 30 Abs. 5 dieser Verordnung vorgesehene Befreiung von der Verpflichtung zur Führung eines Verzeichnisses in Anspruch nehmen kann(26).
50. In jedem Fall hat Digi in der mündlichen Verhandlung klargestellt, dass die im Jahr 2018 aufgetretene technische Störung nicht zu einer Unterbrechung der vertraglich vereinbarten Dienstleistung geführt habe, da die beanstandete Speicherung allein in Anbetracht des Risikos einer solchen Unterbrechung implementiert worden sei. Diese Angaben müssen in Verbindung mit objektiven materiellen Feststellungen gesehen werden, was die Wahl der Bezeichnung der Datenbank als „Testdatenbank“ und den Umstand angeht, dass diese Datenbank nicht die Daten aller Abonnenten, sondern nur eines Drittels von ihnen enthielt und dass die Datenbank, nachdem sie von Digi in den 18 Monaten nach der Behebung der ursprünglichen technischen Störung vergessen worden war, nach dem Hackerangriff im September 2019, der die Datensicherheit beeinträchtigte, unverzüglich gelöscht wurde.
51. Unter diesen Umständen kann davon ausgegangen werden, dass die beanstandete Verarbeitung ausschließlich dem konkreten und spezifischen Zweck der vorübergehenden Sicherung eines Teils der Abonnentendaten im Zusammenhang mit der Behebung einer die Funktionsweise des Servers beeinträchtigenden technischen Störung diente, d. h. einem Zweck, der sich meiner Ansicht nach von demjenigen der Datenerhebung unterscheidet.
52. Die Kommission und Digi machen dagegen geltend, eine solche Verarbeitung, die auf die Einhaltung der dem für die Verarbeitung Verantwortlichen durch Art. 5 Abs. 1 Buchst. f der DSGVO auferlegten und in deren Art. 32 näher erläuterten Sicherheitspflicht abziele, könne nicht als Verfolgung eines neuen oder anderen Zwecks angesehen werden, da andernfalls die praktische Wirksamkeit dieses Rechtsakts beeinträchtigt würde und eine Information der betroffenen Personen ohne praktischen Nutzen zur Folge hätte.
53. Dieser abstrakte und systematische Ansatz steht meines Erachtens im Widerspruch zu dem Erfordernis, die Rechtmäßigkeit jedes einzelnen Verarbeitungsvorgangs unter Berücksichtigung aller relevanten Umstände des Einzelfalls zu beurteilen. Er führt in Wirklichkeit dazu, dass die in Art. 13 Abs. 3 der DSGVO vorgesehene Verpflichtung des für die Verarbeitung Verantwortlichen zur Information der betroffenen Personen, die dieser ihnen geben muss, um ihnen gegenüber eine Verarbeitung nach Treu und Glauben zu gewährleisten, keine praktische Wirksamkeit entfaltet(27). Diese Verpflichtung ist zwingend, wenn die Verarbeitung wie im vorliegenden Fall im Rahmen eines Vertragsverhältnisses erfolgt, und findet ihre Grundlage in Art. 6 Abs. 1 Buchst. b dieses Rechtsakts, der sich auf den Fall bezieht, in dem die Verarbeitung für die Erfüllung des Vertrags erforderlich ist, ohne dass die Einwilligung der Vertragspartner verlangt wird. Schließlich verkennt dieser Ansatz Sinn und Zweck von Art. 5 Abs. 1 Buchst. b der DSGVO, dass nämlich eine Weiterverarbeitung, die einem anderen Zweck als dem der Datenerhebung dient, nicht unbedingt rechtswidrig ist, da die bloße Vereinbarkeit mit dem Zweck der Datenerhebung ausreicht, um diese Vorschrift zu erfüllen.
b) Zur Vereinbarkeit der Verarbeitung
54. Art. 5 Abs. 1 Buchst. b der DSGVO enthält keinen Hinweis auf die Bedingungen, unter denen eine Weiterverarbeitung, die einem anderen Zweck als dem der ursprünglichen Datenerhebung dient, als mit Letzterer vereinbar angesehen werden kann. In diesem Zusammenhang ist auf Art. 6 Abs. 4 der DSGVO in Verbindung mit deren 50. Erwägungsgrund zu verweisen, dessen Inhalt eine Verbindung zwischen dem Grundsatz der Zweckbindung und der Rechtsgrundlage der betreffenden Verarbeitung zum Ausdruck bringt.
55. In dieser Vorschrift wird, was das Erfordernis der Vereinbarkeit angeht, damit eine Unterscheidung danach getroffen, ob die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 der DSGVO genannten Ziele darstellt.
56. Wenn ja, ist der für die Verarbeitung Verantwortliche gemäß Abs. 2 des 50. Erwägungsgrundes der DSGVO berechtigt, personenbezogene Daten unabhängig von der Vereinbarkeit der Zwecke weiterzuverarbeiten(28). Diese Abweichung vom Erfordernis der Vereinbarkeit ist im Wesentlichen durch die Existenz anderer Vorschriften zum Schutz der betroffenen Personen gerechtfertigt, insbesondere durch die Vorschriften über die Information der betroffenen Personen über die anderen Zwecke und das Recht auf Widerspruch gegen die Verarbeitung(29).
57. Wenn nicht, und das ist die Sachlage in der vorliegenden Rechtssache, berücksichtigt nach Art. 6 Abs. 4 der DSGVO
„… der [für die Verarbeitung] Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“
58. Da Digi zum Zeitpunkt der Datenerhebung keine formellen Angaben zur geplanten Weiterverarbeitung und deren Zweck gemacht hat, ist es angebracht, einen materiellen Ansatz zu verfolgen, der meiner Meinung nach zur Feststellung der Vereinbarkeit der Verarbeitung führt.
59. In dieser Hinsicht besteht unbestreitbar eine Verbindung zwischen dem Zweck der ursprünglichen Datenerhebung, nämlich der Erfüllung des Vertrags über ein Internet- und Fernsehabonnement, und einer Verarbeitung zur Sicherung dieser Daten in einer zusätzlichen internen Datenbank und zur sicheren Durchführung von Tests zur Behebung einer technischen Störung, die für die Erbringung der vertraglich vereinbarten Dienstleistung potenziell schädlich sein könnte. Auch wenn diese Zwecke sich, wie bereits erwähnt, nicht überschneiden, stehen sie doch logisch miteinander in Verbindung.
60. Es ist darauf hinzuweisen, dass diese Verarbeitung nicht von den legitimen Erwartungen der Abonnenten hinsichtlich der weiteren Verwendung ihrer Daten abweicht. Eine zusätzliche Speicherung von Daten auf einem internen Datenträger, die durch die Notwendigkeit begründet ist, eine technische Störung zu beheben, die den Zugang zu den Daten in der ursprünglichen Datenbank beeinträchtigt, kann in der Tat nicht als überraschend oder unwahrscheinlich angesehen werden. Darüber hinaus wurden die betreffenden Daten weiterhin von demselben für die Verarbeitung Verantwortlichen verarbeitet und nicht an Dritte weitergegeben, was a priori bedeutet, dass keine negativen Auswirkungen zu erwarten sind. Der Umstand, dass im Rahmen des Hackerangriffs auf Digi der Täter an die auf diesem Datenträger enthaltenen Daten gelangen konnte, lässt meiner Ansicht nach keinen rückwirkenden Schluss auf die Unvereinbarkeit der fraglichen Verarbeitung zu.
3. Zum Grundsatz der Speicherbegrenzung
61. Gemäß Art. 5 Abs. 1 Buchst. e der DSGVO müssen die Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen(30) nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit sie vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 dieser Verordnung verarbeitet werden.
62. Wie bereits erwähnt, bringt der Grundsatz der Speicherbegrenzung den Grundsatz der Verhältnismäßigkeit zum Ausdruck, ebenso wie den Grundsatz der „Datenminimierung“, wonach personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen(31). Im Rahmen des Grundsatzes der Speicherbegrenzung wird die Frage der Notwendigkeit der Verarbeitung, betrachtet unter einem zeitlichen Aspekt, auf die Frage des Fortbestehens ihres Zwecks bezogen.
63. Außerdem ist darauf hinzuweisen, dass die Einhaltung des Erfordernisses der Verhältnismäßigkeit bedeutet, dass Ausnahmen vom Schutz personenbezogener Daten und Einschränkungen desselben innerhalb der Grenzen des absolut Notwendigen erfolgen müssen(32). Der Gerichtshof hat klargestellt, dass Art. 5 Abs. 1 Buchst. e der DSGVO auf den Schutz der betroffenen Personen abzielt(33).
64. Im 39. Erwägungsgrund der DSGVO heißt es ebenso explizit, dass die Dauer der Datenspeicherung „auf das unbedingt erforderliche Mindestmaß“ beschränkt bleiben muss und dass zu diesem Zweck von dem für die Verarbeitung Verantwortlichen Fristen für die Löschung der Daten oder für eine regelmäßige Überprüfung festgelegt werden sollten. Nach Art. 13 Abs. 2 Buchst. a der DSGVO muss der für die Verarbeitung Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten zusätzliche Informationen zu den in Abs. 1 dieses Artikels genannten Informationen geben, die erforderlich sind, um eine faire und transparente Verarbeitung zu gewährleisten, darunter die Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer(34).
65. In diesem Zusammenhang ist unter Berücksichtigung aller Umstände des Einzelfalls(35) zu ermitteln, zu welchem Zeitpunkt die Zwecke der Speicherung einer Kopie der Daten eines Teils der Abonnenten in einer zusätzlichen internen Datenbank gegebenenfalls als erreicht angesehen werden konnten, wodurch dieser Verarbeitung ihre Daseinsberechtigung entzogen wurde und Digi zur Löschung der Daten gezwungen war. Es liegt auf der Hand, dass es dem für die Verarbeitung Verantwortlichen obliegt, in Anwendung des in Art. 5 Abs. 2 der DSGVO verankerten Grundsatzes der Rechenschaftspflicht die Rechtmäßigkeit der Verarbeitung im Hinblick auf den Grundsatz der Speicherbegrenzung ebenso wie im Hinblick auf den Grundsatz der Zweckbindung nachzuweisen.
66. Im vorliegenden Fall ist Digi der Ansicht, dass die beanstandete Speicherung dem Ziel der Datensicherheit gedient und damit zur Erfüllung des Ziels der Erfüllung des Abonnementvertrags beigetragen habe, und macht geltend, die Dauer der Speicherung der Daten in der Testdatenbank stimme mit der Dauer der Erfüllung ihrer vertraglichen Verpflichtungen überein, was einen Verstoß gegen Art. 5 Abs. 1 Buchst. e der DSGVO ausschließe.
67. Was die Bestimmung des Zwecks bzw. der Zwecke angeht, so verweise ich auf sämtliche Feststellungen und Beurteilungen im Rahmen der Beantwortung der Frage nach der Einhaltung des Grundsatzes der Zweckbindung, denen zufolge nicht angenommen werden kann, dass die fragliche Verarbeitung einen doppelten Zweck verfolgte, der die Erfüllung der Abonnementverträge einschloss(36).
68. Unabhängig von der Art des oder der gewählten Zwecke musste die Verarbeitung der Daten in Form der Speicherung in einer zusätzlichen internen Datei in jedem Fall zeitlich auf das absolut Notwendige beschränkt bleiben. Sobald mit anderen Worten die ursprüngliche Fehlfunktion behoben war, war der Umstand, der die Speicherung und ihre Beibehaltung rechtfertigte, nicht mehr gegeben. Der direkte und primäre Zweck der Sicherung der Daten im Zusammenhang mit der Behebung der technischen Störung konnte, für sich genommen oder auch in Verbindung mit dem indirekten und nebengeordneten Zweck der Erfüllung des Abonnementvertrags, unter diesen Umständen die Fortsetzung der Verarbeitung nicht mehr abdecken.
69. Es ist festzustellen, dass Digi unmissverständlich angegeben hat, die Testdatenbank habe den Zugang zu den Abonnentendaten „bis zur Behebung des Fehlers“ gewährleisten sollen, und sie habe diese versehentlich nicht gelöscht, obwohl die Fehlerbehebung dies nicht mehr gerechtfertigt habe(37), was bedeutet, dass die beanstandete Verarbeitung keinen Nutzen mehr hatte und somit zwecklos war. Kann man annehmen, dass eine interne Datenbank, die nach eigenem Eingeständnis des für die Verarbeitung Verantwortlichen anderthalb Jahre lang vergessen wurde, noch einem tatsächlichen Zweck dienen kann? Offenbar ist diese Frage zwangsläufig zu verneinen.
V. Ergebnis
70. Im Licht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor, dem Fővárosi Törvényszék (Hauptstädtischer Gerichtshof, Ungarn) wie folgt zu antworten:
1. Art. 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der darin genannte Grundsatz der Speicherung rechtmäßig erhobener und gespeicherter personenbezogener Daten in einer zusätzlichen internen Datenbank nicht entgegensteht, sofern diese Verarbeitung denselben Zwecken dient wie die Erhebung oder, falls dies nicht der Fall ist, mit diesen Zwecken vereinbar ist, was der für die Verarbeitung Verantwortliche nachzuweisen hat, einschließlich des Falls, dass die Verarbeitung seiner Verpflichtung entspricht, eine angemessene Sicherheit der personenbezogenen Daten gemäß Art. 5 Abs. 1 Buchst. f dieser Verordnung zu gewährleisten.
Stützt sich diese Verarbeitung zu einem anderen Zweck als dem, zu dem die Daten erhoben wurden, nicht auf die Einwilligung der betroffenen Person oder auf einen Rechtsakt der Union oder eines Mitgliedstaats im Sinne von Art. 23 Abs. 1 der Verordnung 2016/679, so muss die Vereinbarkeit namentlich anhand der Kriterien des Art. 6 Abs. 4 dieser Verordnung nachgewiesen werden.
2. Art. 5 Abs. 1 Buchst. e der Verordnung 2016/679 ist dahin auszulegen, dass der darin genannte Grundsatz der Speicherung rechtmäßig erhobener und gespeicherter Daten in einer Form, die die Identifizierung der betroffenen Personen ermöglicht, in einer zusätzlichen internen Datenbank, die dem Zweck der Behebung einer technischen Anomalie und der vorübergehenden Sicherung dieser Daten dient, über den Zeitraum hinaus, der für die Erreichung dieses Zwecks und damit nach der Behebung dieses Vorfalls erforderlich ist, entgegensteht, auch wenn dieser direkte und erste Zweck mit dem indirekten und zusätzlichen Zweck der Erbringung der vertraglich vereinbarten Dienstleistung in Verbindung gebracht werden kann.