Der EuGH befasst sich im Verfahren C-77/21 in einem Verfahren mit einer "Testdatenbank", die längere Zeit nicht gelöscht wurde, und dann durch einen ethischen Hacker im System gefunden wurde. Nun liegen die Schussanträge des Generalanwaltes vor.
Ein Unternehmen erstellte im Jahr 2018 eine "Testdatenbank" mit Echtdaten von ca 1/3 der Kunden.
Die Aufsichtsbehörde hat nach einem Data-Breach-Verfahren, in dem diese Testdatenbank auch Thema war, nachdem ein ethischer Hacker die Unternehmensleitung im April 2019 auf das Bestehen dieser Datenbank aufmerksam gemacht hatte, eine Geldstrafe verhängt, da die Testdatenbank mit personenbezogenen Daten keinem Zweck diente und seit mehr als 18 Monaten vorhanden war, obwohl die Tests und Fehleranalysen abgeschlossen waren.
Im Zuge des Rechtsmittels gegen die verhängte Geldstrafe gelangte das Verfahren zum EuGH.
Der EuGH beschäftigt sich nun mit der Frage, der "Löschfristen" bzw. Speicherbegrenzung sowie der Frage der Zweckänderung iSd Art 6 Abs 4 DSGVO.
Der Generalanwalt Priit Pikamäe hat am 31.3.2022 seine Schlussanträge gestellt.
Nach Ansicht des GA steht Art 5 Abs 1 lit b DSGVO (Grundsatz der Zweckbindung) einer separaten Speicherung personenbezogener Daten in einer internen zusätzlichen Datenbank nicht entgegen, sofern dies zum selben Zweck erfolgt oder mit diesen Zwecken vereinbar ist (Art 6 Abs 4 DSGVO); die Beweislast dafür liegt beim Verantwortlichen.
Art 5 Abs 1 lit e DSGVO (Grundsatz der Speicherbegrenzung) macht es erforderlich, dass die Testdatenbank (zur Behebung einer technischen Anomalie und der vorübergehenden Sicherung der personenbezogenen Daten) nach dem Zeitraum, in dem die Behebung erfolgt (Zweckerreichung), gelöscht wird.
Kommentar schreiben