LUXEMBURG (AFP)--Unternehmen dürfen in Testdatenbanken auch persönliche Dateien ihrer Kunden einspeisen. Sobald die Tests abgeschlossen sind, muss eine solche Datenbank aber wieder gelöscht werden, wie der Europäische Gerichtshof (EuGH) in Luxemburg zu einem Streit in Ungarn entschied. Zudem darf sich der Test auch nur auf den Zweck beziehen, zu dem die Daten erhoben wurden. (Az: C-77/21)
Bei dem ungarischen Internet- und Fernsehanbieter Digi gab es eine Serverstörung. Um danach mögliche Fehler finden und beseitigen zu können, speiste das Unternehmen die Daten von einem Drittel seiner Privatkunden in eine Testdatenbank ein. Einem externen Hacker gelang es, auf diese Daten zuzugreifen. Dadurch wurde die Existenz der Datenbank bekannt, zu einem Missbrauch der Daten kam es aber nicht.
Die ungarische Datenschutzbehörde erlegte Digi eine Geldbuße in Höhe von umgerechnet 248.000 Euro auf. Dagegen klagt das Unternehmen. Das ungarische Gericht legte den Streit dem EuGH vor.
Dieser entschied, dass die nach EU-Recht bestehende "Zweckbindung" bei der Speicherung persönlicher Daten auch die Nutzung der Daten zu Testzwecken umfasst. Das gelte auch für eine Testdatenbank wie hier, die zum Auffinden und Beheben von Fehlern genutzt werden soll. Voraussetzung sei, dass der Test der Weiterverwendung dieser Daten für ihren ursprünglichen Zweck dient.
Gleichzeitig verwiesen die Luxemburger Richter aber auch auf den "Grundsatz der Speicherbegrenzung". Dies bedeute hier, dass persönliche Daten nicht länger in einer Testdatenbank bleiben dürfen, als dies für die Tests und die Behebung der Fehler erforderlich ist.
Über den konkreten Streit müssen nach diesen Maßgaben nun die Gerichte in Ungarn entscheiden.
Kontakt zum Autor: konjunktur.de@dowjones.com
DJG/apo
(END) Dow Jones Newswires
October 20, 2022 08:50 ET (12:50 GMT)
