Ein kleiner, aber interessanter Fall.
Ein führender Anbieter von Internet- und Fernsehdienstleistungen in Ungarn musste im April 2018 aufgrund einer technischen Störung einen Teil seiner Kundendaten von Privatkunden auf einen externen Server übertragen. Die Störung beeinträchtigte den Betrieb des eigenen Servers. Der Anbieter richtete zu diesem Zweck auf einem externen Server eine Testdatenbank ein.
Als aber die Störung beseitigt war, löschte der Anbieter die Daten nicht.
Entscheidung des EuGH
Der EuGH entschied mit Urteil vom 20.10.2022 (Az. C-77/21) dass die Übertragung von Kundendaten auf einen externen Server unter diesen Umständen auch ohne die Einwilligung der einzelnen Kunden möglich ist. Art. 5 Abs. 1 lit. b) DSGVO steht dem nicht entgegen, da hier lediglich eine Störung behoben werden musste. Die Zwecke der Weiterleitung auf einen externen Server sind somit im Rahmen des Art. 6 Abs. 4 DSGVO mit den ursprünglichen Zwecken der Verarbeitung vereinbar.
Allerdings, so der EuGH, widerspricht die weitere Speicherung der personenbezogenen Daten auf dem externen Server den Grundsätzen des Art. 5 Abs. 1 lit. e) DSGVO zur „Speicherbegrenzung“.
Fazit
Wenn in der Datenschutzerklärung die Speicherung der Kundendaten auf dem eigenen Server erklärt wird, ist es ohne Einwilligung der Kunden oder ohne begründete Änderung der Verarbeitung personenbezogener Daten nicht ohne weiteres möglich, die Daten auf einem externen Server zu übertragen.
Vor diesem Hintergrund sollten Sie bei jeder Änderung ihrer Abläufe überprüfen, ob die Verarbeitung personenbezogener Daten davon betroffen ist und wenn ja, ob es sich um eine rechtmäßige Änderung handelt. Wenn Sie unsicher sind oder Fragen haben, kontaktieren Sie uns. Wir schauen uns den Fall gemeinsam mit Ihnen an.