SBS Firmengruppe Logos

| Datenschutzrecht

Externe Speicherung von Kundendaten? Nur vorübergehend!


Der EuGH legt die Verordnung (EU) 2016/679 zum Schutz bei der Verarbeitung personenbezogener Daten folgendermaßen aus:

Kundendaten dürfen auch ohne Zustimmung bei einer Serverstörung in einer externe Datenbank gespeichert werden. Jedoch müssen diese Daten gelöscht werden, sobald die Störung beseitigt wurde. Denn die externe Speicherung von Kundendaten ist nur vorübergehend erlaubt!

Speicherung von Daten auf einen anderen Server wegen Störungen

Die Klägerin, eine der führenden Anbieter von Internet- und Fernsehdiensten in Ungarn, hatte eine technischen Störung ihrer Server. Hierdurch wurde der Betrieb ihrer Server beeinträchtigt. Für die Behebung hat sie ein Drittel der Daten ihrer Privatkunden auf einer externen Datenbank gespeichert.

Nach der Beseitigung der Störung erfolgte jedoch keine Löschung der Kundendaten. Die ungarische Datenschutzbehörde sah hierin ein Datenschutzproblem. Die Klägerin zweifelte dies jedoch an und wehrte sich.

Nun stellte der EuGH zunächst fest, dass die Speicherung von Kundendaten auf einem anderen Server wegen Störungen durchaus auch ohne die Zustimmung nicht zu beanstanden ist. Ein Problem stellt es erst dann dar, wenn nach der Behebung der Störung keine Löschung erfolgt.

Grundsatz der Zweckbindung

Grundsätzlich sollen die erhobenen personenbezogenen Daten nur für den Zweck verarbeitet werden, für den sie auch ursprünglich erhoben wurden. Das ist aber in dem Fall von einer anderweitigen dauerhaften Speicherung durchaus fraglich.

Die Zulässigkeit der Verarbeitung von Kundendaten für andere Zwecke ist nur dann zulässig, wenn sich an den Grundsatz der Zweckbindung gehalten wird.

Nach diesem Grundsatz ist es den Verantwortlichen nicht verwehrt, die Daten auf einem externen Server zu speichern, um eine Störung zu beheben. Dies ist aber nur dann zulässig, wenn diese Weiterverarbeitung mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden.

Ob das der Fall ist, ist gemäß der Verordnung nach folgenden Kriterien und nach sämtlichen Umständen des Einzelfalls zu beurteilen:


Artikel 6 Absatz 4 der Verordnung

Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem

a)

jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b)

den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c)

die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,

d)

die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e)

das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

 


Artikel 5 - Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen…

(...)

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“)


Grundsatz der Speicherbegrenzung

Hier wurde der Grundsatz der Speicherbegrenzung verankert. Er macht deutlich, dass die Verantwortlichen die personenbezogenen Daten nicht länger speichern dürfen, als für die Durchführung der Tests oder Fehlerbehebung notwendig ist. 


SBS Legal Rechtsanwälte – Ihr Anwalt für Datenschutzrecht in Hamburg

Fast täglich geben wir im Internet unsere personenbezogenen Daten ein. In Zeiten der Digitalisierung gewinnt die Speicherung von sensiblen Daten immer mehr an Bedeutung. Um so bedeutender ist, dass diese auch einen angemessenen Schutz erfahren.

Auch Untermehmen werden fast täglich mit den neuen rechtlichen Herausforderungen konfrontiert. Denn wie Verordnugnen auszulegen sind und was erlaubt und was den Unternehmen verwehrt ist, ist oft nicht so leicht zu beurteilen. Auch bei den Verpflichtungen für Arbeitnehmer mit Beachtung des Datenschutzes helfen wir gern.

Wir sind in allen Bereichen für Sie da

Wir als spezialisierte Anwälte für Datenschutzrecht berate Sie bei jeglichen Belangen. So auch bei den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

Sie brauchen eine Beratung im Datenschutzrecht oder einen Datenschutzanwalt für die Erstellung von Datenschutzerklärungen? Oder bei dem rechtmäßigen Umgang von Cookies? Wir sind in allen Belangen für Sie da!

Kontaktieren Sie unser Anwaltsteam einfach via E-Mail, Direktkontaktformular oder per Telefon oder besuchen Sie unsere Social Media Plattformen auf Facebook, Instagram, Twitter oder LinkedIn.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht