In Belgien nahm ein Fall seinen Anfang, der durch eine aktuelle Entscheidung des EuGH (Rechtssache C129/21; Proximus gegen die belgische Datenschutzaufsicht „Gegevensbeschermingsautoriteit“ (GBA)) für ganz Europa von großer Relevanz sein dürfte, wie so viele andere Entscheidungen des EuGH natürlich auch.

Insbesondere ging es in dem nun entschiedenen Fall um den Umgang mit Löschbegehren von betroffenen Personen durch Verantwortliche und ihre Pflichten in diesem Zusammenhang. Denn auch wenn sich die Pflichten der Verantwortlichen für den Fall der Ausübung des Löschrechts aus Art. 17 DSGVO und einer Reihe weiterer Normen der Datenschutz-Grundverordnung ergeben, sind viele Auslegungsfragen ungeklärt und müssen durch den EuGH geklärt werden. Der hier vorliegende Fall ist insgesamt zum Verständnis der Löschpflicht sehr interessant, sodass wir entschieden haben, ihm einen Artikel in unserem Blog zu widmen.

Zum Ausgangsfall

Ein belgischer Anbieter von Telekommunikationsdiensten namens Proximus bietet neben den Telefonauskunftsdiensten auch öffentlich zugängliche Telefonverzeichnisse an. In diesen Telefonverzeichnissen sind Kontaktdaten von natürlichen Personen wie der Name, die Adresse und die Telefonnummer der Teilnehmer verschiedener Betreiber öffentlich zugänglicher Telefondienste enthalten. Als zentrale Stelle bündelt Proximus verschiedene Datenquellen zu einer einzigen in Form des Telefonverzeichnisses.

Die Kontaktdaten der Teilnehmer*innen werden von den jeweiligen Betreibern an Proximus übermittelt. Dabei werden Daten der Teilnehmer*innen, die nicht in die von Proximus herausgegebenen Verzeichnisse aufgenommen werden wollten, aus der Übermittlung ausgenommen. Technisch umgesetzt wird dies durch einen Code, der allen Teilnehmer*innen bei der Registrierung zugewiesen wird, je nachdem ob er diese eine Veröffentlichung wünschen oder nicht. Ebenfalls Teil der Dienstleistung ist die Weiterleitung dieser Daten an andere Anieter von Teilnehmerverzeichnissen.

Ein Teilnehmer des belgischen Telefondienstanbieters Telenet forderte Proximus erstmalig auf, seine veröffentlichten Kontaktdaten in den von Proximus und von Dritten herausgegebenen Teilnehmerverzeichnissen nicht aufzuführen. Wunschgemäß änderte Proximus den Status dieses Teilnehmers in seinem DV-System, so dass die Kontaktdaten nicht mehr zu veröffentlichen waren.

Kurz darauf erhielt Proximus eine routinemäßige Aktualisierung der Telenet-Teilnehmerdaten vom Betreiber. Diese Aktualisierung enthielt jedoch Daten des fraglichen Teilnehmers, die nicht als vertraulich ausgewiesen waren, so dass diese nach einem automatisierten Verfahren verarbeitet, registriert und erneut in den Teilnehmerverzeichnissen von Proximus und weiteren Dritten veröffentlicht wurden.

Nachdem der betroffene Teilnehmer dies festgestellt hatte, forderte er Proximus erneut auf, seine Daten nicht aufzuführen. Gleichzeitig legte der betroffene Teilnehmer bei der zuständigen Aufsichtsbehörde (GBA) eine Beschwerde gegen Proximus ein und begründete diese damit, dass seine Daten ungeachtet seines Löschbegehrens gleichwohl in einigen Telefonverzeichnissen erscheinen.

Die GBA traf im Kern folgende Feststellungen:

  • Die Veröffentlichung der Teilnehmer*innen in Verzeichnissen bedarf einer vorherigen Einwilligung.
  • Bei Widerruf der Einwilligung hat der Verantwortliche entsprechende Maßnahmen zu treffen, die sicherstellen, dass auch Dritte, die Empfänger der Daten waren, darüber zu informieren, dass ein Widerruf stattgefunden hat und eine Veröffentlichung künftig nicht mehr zulässig ist.

Zudem wurde wegen eines Verstoßes gegen eine Reihe von DSGVO-Vorschriften (u.a. Art. 6 i.V.m. Art. 7 DSGVO, Art. 5 Abs. 2 in Verbindung mit Art. 24 DSGVO) eine Geldbuße in Höhe von 20.000,-Euro verhängt.

Gegen diese Entscheidung erhob Proximus Klage beim zuständigen Gericht, was im weiteren Verlauf dazu führte, dass insgesamt vier Fragen zur Auslegung des EU-Rechts (hier der DSGVO an den EuGH gerichtet wurden:

  1. Ist eine „Einwilligung“ des Teilnehmers im Sinne der DSGVO als Grundlage für die Veröffentlichung seiner personenbezogenen Daten in öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten, die vom Betreiber selbst oder von Drittanbietern herausgegeben werden, erforderlich?
  2. Darf eine nationale Aufsichtsbehörde einen Antrag eines Teilnehmers auf Löschung aus öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten als einen Antrag auf Löschung im Sinne von Art. 17 DSGVO einstufen?
  3. Darf eine nationale Aufsichtsbehörde aus Art. 24 und Art. 5 Abs. 2 DSGVO ableiten, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss (also eine entsprechende Pflicht hat), um weitere Verantwortliche, nämlich den Telefondienstanbieter und andere Anbieter von Teilnehmerverzeichnissen und Telefonauskunftsdiensten, die Daten von dem erstgenannten Verantwortlichen empfangen haben, über den Widerruf der Einwilligung durch die betroffene Person gemäß Art. 6 in Verbindung mit Art. 7 DSGVO zu informieren?
  4. Darf eine nationale Aufsichtsbehörde einem Anbieter öffentlich zugänglicher Teilnehmerverzeichnisse und Telefonauskunftsdienste, bei dem beantragt wird, die Daten einer Person nicht mehr zu veröffentlichen, aufgeben, angemessene Maßnahmen zu treffen, um Suchmaschinen über diesen Antrag auf Löschung zu informieren oder ist diese Kompetenz aus der DSGVO nicht abzuleiten?

Den genauen Wortlaut der Vorlagefragen kann ein interessierter Leser unter der Rn. 36 der oben zitierten Entscheidung des EuGH nachlesen.

Was hat der EuGH entschieden?

Im Kern hat der EuGH alle Fragen im Sinne der datenschutzrechtlich „strengeren“ Sichtweise entschieden. Insbsondere die Beantwortung der vierten Frage ist bemerkenswert.

Bzgl. der vierten Vorlagefrage:
Nach der Beantwortung der ersten drei Vorlagefragen zugunsten der Aufsicht und der betroffenen Personen wurde die vierte Vorlagefrage erwartungsgemäß dahingehend beantwortet, dass Art. 17 Abs. 2 DSGVO dahin auszulegen ist, dass eine nationale Aufsichtsbehörde befugt ist, einen Anbieter von Teilnehmerverzeichnissen, von dem verlangt wurde, Daten einer betroffenen Person nicht mehr zu veröffentlichen, zu verpflichten, „angemessene Maßnahmen“ zu ergreifen, um auch Dritte, an die eine Weiterleitung der Daten erfolgt ist, über den Antrag auf Löschung von Daten zu informieren.

Wie man nun erkennen kann, treffen die Verantwortlichen sehr umfangreiche Pflichten in Bezug auf die Maßnahmen, die zur Erfüllung des Betroffenenrechts aus Art. 17 DSGVO zu erfüllen sind, um für eine datenschutzkonforme Verarbeitung der personenbezogenen Daten zu sorgen.

Fazit oder „Was bedeutet das nun für Verantwortliche?“

Konkret bezog sich die vorgenannten Entscheidung des EuGH nur auf die Telekommunikationsdienste. Allerdings sind die durch den EuGH im Rahmen der Entscheidung angestellten Überlegungen auch auf andere (ähnliche) Verarbeitungssituationen übertragbar. Insgesamt ist eine Tendenz des EuGH, die Rechte der betroffenen Personen und die Position und Befugnisse der Aufsichtsbehörden zu stärken, klar zu erkennen.

Für Verantwortliche bedeutet dies, dass die Informationspflichten, die in der DSGVO (ausdrücklich) nicht vorgesehen sind, die der EuGH aus den in der Entscheidung behandelten Normen der DSGVO (Artt. 5 Abs. 2; Art. 24; Art. 12 Abs. 2 sowie Art. 17 DSGVO) jedoch hergeleitet hat, zu beachten sind. Empfänger personenbezogener Daten sind damit in vielen Fällen über eingehende Löschbegehren zu informieren. Dies müssen die Verantwortlichen in ihren Prozessen abbilden.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.