EU-Recht - 27. Oktober 2022

Der für die Verarbeitung personenbezogener Daten Verantwortliche ist verpflichtet, angemessene Maßnahmen zu ergreifen, um Suchmaschinenanbieter über einen Löschungsantrag der betroffenen Person zu informieren

EuGH, Pressemitteilung vom 27.10.2022 zum Urteil C-129/21 vom 27.10.2022

Der für die Verarbeitung personenbezogener Daten Verantwortliche muss geeignete technische und organisatorische Maßnahmen treffen, um die anderen Verantwortlichen, die ihm diese Daten übermittelt haben bzw. denen er die Daten weitergeleitet hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren. Stützen sich verschiedene Verantwortliche auf ein und dieselbe Einwilligung der betroffenen Person, genügt es, wenn sich diese Person an irgendeinen der Verantwortlichen wendet, um ihre Einwilligung zu widerrufen.

Proximus, ein Anbieter von Telekommunikationsdiensten in Belgien, bietet auch Teilnehmerverzeichnisse und Telefonauskunftsdienste an. Die Verzeichnisse enthalten den Namen, die Adresse und die Telefonnummer der Teilnehmer der verschiedenen Anbieter öffentlich zugänglicher Telefondienste. Diese Kontaktdaten werden von den Telefondienstanbietern an Proximus übermittelt, es sei denn, der Teilnehmer hat den Wunsch geäußert, nicht in die Verzeichnisse aufgenommen zu werden. Proximus leitet außerdem die Kontaktdaten, die sie erhält, an einen anderen Anbieter von Teilnehmerverzeichnissen weiter.

Telenet, ein belgischer Telefondienstanbieter, leitet die Kontaktdaten seiner Teilnehmer an Anbieter von Teilnehmerverzeichnissen, darunter Proximus, weiter. Einer dieser Teilnehmer forderte Proximus auf, seine Kontaktdaten in den von ihr und von Dritten herausgegebenen Teilnehmerverzeichnissen nicht aufzuführen. Daraufhin änderte Proximus den Status dieses Teilnehmers dahin gehend, dass seine Kontaktdaten nicht mehr zu veröffentlichen waren.

In der Folge erhielt Proximus jedoch von Telenet eine Aktualisierung der Daten des fraglichen Teilnehmers. Diese Daten waren nicht als vertraulich ausgewiesen. Sie wurden von Proximus nach einem automatisierten Verfahren verarbeitet und dergestalt registriert, dass sie erneut in ihren Teilnehmerverzeichnissen erschienen.

Auf die erneute Aufforderung des Teilnehmers hin, seine Daten nicht zu veröffentlichen, antwortete Proximus, dass sie die betreffenden Daten aus den Teilnehmerverzeichnissen gelöscht und Google kontaktiert habe, damit die maßgeblichen Links zur Website von Proximus entfernt würden. Proximus teilte dem fraglichen Teilnehmer außerdem mit, dass sie seine Kontaktdaten an andere Anbieter von Teilnehmerverzeichnissen weitergeleitet habe, die dank der monatlichen Aktualisierungen über sein Begehren informiert worden seien.

Gleichzeitig legte der fragliche Teilnehmer bei der belgischen Datenschutzbehörde eine Beschwerde ein. Die Streitsachenkammer dieser Behörde verpflichtete Proximus zum Ergreifen von Abhilfemaßnahmen und verhängte wegen Verstoßes gegen mehrere Vorschriften der Datenschutz-Grundverordnung (DSGVO)1 eine Geldbuße in Höhe von 20.000 Euro gegen sie.

Gegen diese Entscheidung legte Proximus beim Appellationshof Brüssel ein Rechtsmittel ein. Sie machte geltend, die Einwilligung des Teilnehmers sei für die Veröffentlichung seiner personenbezogenen Daten in Telefonverzeichnissen nicht erforderlich. Vielmehr müssten die Teilnehmer nach einem sogenannten „Opt-out“-System selbst beantragen, in den Teilnehmerverzeichnissen nicht aufgeführt zu werden. Solange kein solcher Antrag vorliege, dürfe der betreffende Teilnehmer in den Verzeichnissen aufgeführt werden.

Die Datenschutzbehörde vertrat eine gegenteilige Auffassung und machte geltend, dass nach der Datenschutzrichtlinie für elektronische Kommunikation2 die „Einwilligung der Teilnehmer“ im Sinne der DSGVO vorliegen müsse, damit die Anbieter von Teilnehmerverzeichnissen ihre personenbezogenen Daten verarbeiten und übermitteln dürften.

Vor dem Hintergrund, dass der Widerruf dieser Willensäußerung bzw. „Einwilligung“ durch einen Teilnehmer nicht spezifisch geregelt ist, hat der Appellationshof Brüssel dem Gerichtshof mehrere Fragen zur Vorabentscheidung vorgelegt.

In seinem heute verkündeten Urteil bestätigt der Gerichtshof, dass die Einwilligung eines ordnungsgemäß unterrichteten Teilnehmers für die Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis erforderlich ist. Diese Einwilligung erstreckt sich auf jede weitere Verarbeitung der Daten durch dritte Unternehmen, die auf dem Markt für öffentlich zugängliche Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt.

Die Einwilligung erfordert eine „in informierter Weise und unmissverständlich abgegebene“ Willensbekundung in Form einer Erklärung oder einer sonstigen „eindeutigen bestätigenden Handlung“, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Jedoch setzt eine solche Einwilligung nicht unbedingt voraus, dass die betroffene Person zum Zeitpunkt ihrer Erteilung die Identität aller Anbieter von Verzeichnissen kennt, die ihre personenbezogenen Daten verarbeiten werden.

Der Gerichtshof weist außerdem darauf hin, dass die Teilnehmer die Möglichkeit haben müssen, die Löschung ihrer personenbezogenen Daten aus Teilnehmerverzeichnissen zu erwirken. Er befindet, dass der Antrag eines Teilnehmers auf Entfernung seiner Daten als Ausübung des „Rechts auf Löschung“ im Sinne der DSGVO3 angesehen werden kann.

Sodann bestätigt der Gerichtshof, dass sich aus den in der DSGVO geregelten allgemeinen Verpflichtungen ergibt, dass ein für die Verarbeitung personenbezogener Daten Verantwortlicher wie Proximus geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren. Ein solcher Verantwortlicher muss außerdem den Telefondienstanbieter, der ihm die personenbezogenen Daten übermittelt hat, informieren, damit dieser die Liste der personenbezogenen Daten, die er dem Anbieter von Teilnehmerverzeichnissen nach einem automatisierten Verfahren übermittelt, anpasst. Wenn sich nämlich, wie im vorliegenden Fall, verschiedene Verantwortliche auf eine einheitliche Einwilligung der betroffenen Person stützen, genügt es, dass sich die betroffene Person, um ihre Einwilligung zu widerrufen, an irgendeinen der Verantwortlichen wendet.

Abschließend befindet der Gerichtshof, dass ein Verantwortlicher wie Proximus nach der DSGVO angemessene Maßnahmen zu treffen hat, um Suchmaschinenanbieter über den bei ihm eingegangenen Antrag des Teilnehmers eines Telefondienstanbieters auf Löschung seiner personenbezogenen Daten zu informieren.

Fußnoten

1Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1).

2Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. 2009, L 337, S. 11) geänderten Fassung.

3Art. 17 DSGVO.

Quelle: Gerichtshof der Europäischen Union