Löschung aus öffentlichen Telefonverzeichnissen und bei Auskunftsdiensten
EuGH v. 27.10.2022 - C-129/21
Der Sachverhalt:
Proximus, ein Anbieter von Telekommunikationsdiensten in Belgien, bietet auch Teilnehmerverzeichnisse und Telefonauskunftsdienste an. Die Verzeichnisse enthalten den Namen, die Adresse und die Telefonnummer der Teilnehmer der verschiedenen Anbieter öffentlich zugänglicher Telefondienste. Diese Kontaktdaten werden von den Telefondienstanbietern an Proximus übermittelt, es sei denn, der Teilnehmer hat den Wunsch geäußert, nicht in die Verzeichnisse aufgenommen zu werden. Proximus leitet außerdem die Kontaktdaten, die sie erhält, an einen anderen Anbieter von Teilnehmerverzeichnissen weiter.
Telenet, ein belgischer Telefondienstanbieter, leitet die Kontaktdaten seiner Teilnehmer an Anbieter von Teilnehmerverzeichnissen, darunter Proximus, weiter. Einer dieser Teilnehmer forderte Proximus auf, seine Kontaktdaten in den von ihr und von Dritten herausgegebenen Teilnehmerverzeichnissen nicht aufzuführen. Daraufhin änderte Proximus den Status dieses Teilnehmers dahingehend, dass seine Kontaktdaten nicht mehr zu veröffentlichen waren. In der Folge erhielt Proximus jedoch von Telenet eine Aktualisierung der Daten des fraglichen Teilnehmers. Diese Daten waren nicht als vertraulich ausgewiesen. Sie wurden von Proximus nach einem automatisierten Verfahren verarbeitet und dergestalt registriert, dass sie erneut in ihren Teilnehmerverzeichnissen erschienen.
Auf die erneute Aufforderung des Teilnehmers hin, seine Daten nicht zu veröffentlichen, antwortete Proximus, dass sie die betreffenden Daten aus den Teilnehmerverzeichnissen gelöscht und Google kontaktiert habe, damit die maßgeblichen Links zur Website von Proximus entfernt würden. Proximus teilte dem fraglichen Teilnehmer außerdem mit, dass sie seine Kontaktdaten an andere Anbieter von Teilnehmerverzeichnissen weitergeleitet habe, die dank der monatlichen Aktualisierungen über sein Begehren informiert worden seien.
Gleichzeitig legte der fragliche Teilnehmer bei der belgischen Datenschutzbehörde eine Beschwerde ein. Die Streitsachenkammer dieser Behörde verpflichtete Proximus zum Ergreifen von Abhilfemaßnahmen und verhängte wegen Verstoßes gegen mehrere Vorschriften der DSGVO eine Geldbuße i.H.v. 20.000 € gegen sie. Gegen diese Entscheidung legte Proximus Rechtsmittel ein. Sie machte geltend, die Einwilligung des Teilnehmers sei für die Veröffentlichung seiner personenbezogenen Daten in Telefonverzeichnissen nicht erforderlich. Vielmehr müssten die Teilnehmer nach einem sog. "Opt-out"-System selbst beantragen, in den Teilnehmerverzeichnissen nicht aufgeführt zu werden. Solange kein solcher Antrag vorliege, dürfe der betreffende Teilnehmer in den Verzeichnissen aufgeführt werden. Die Datenschutzbehörde vertrat eine gegenteilige Auffassung und machte geltend, dass nach der Datenschutzrichtlinie für elektronische Kommunikation die "Einwilligung der Teilnehmer" i.S.d. DSGVO vorliegen müsse, damit die Anbieter von Teilnehmerverzeichnissen ihre personenbezogenen Daten verarbeiten und übermitteln dürften.
Vor dem Hintergrund, dass der Widerruf dieser Willensäußerung bzw. "Einwilligung" durch einen Teilnehmer nicht spezifisch geregelt ist, hat der nunmehr mit der Sache befasste Appellationshof Brüssel dem EuGH mehrere Fragen zur Vorabentscheidung vorgelegt.
Die Gründe:
Die Einwilligung eines ordnungsgemäß unterrichteten Teilnehmers ist für die Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis erforderlich. Diese Einwilligung erstreckt sich auf jede weitere Verarbeitung der Daten durch dritte Unternehmen, die auf dem Markt für öffentlich zugängliche Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt.
Die Einwilligung erfordert eine in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Jedoch setzt eine solche Einwilligung nicht unbedingt voraus, dass die betroffene Person zum Zeitpunkt ihrer Erteilung die Identität aller Anbieter von Verzeichnissen kennt, die ihre personenbezogenen Daten verarbeiten werden.
Die Teilnehmer müssen die Möglichkeit haben, die Löschung ihrer personenbezogenen Daten aus Teilnehmerverzeichnissen zu erwirken. Der Antrag eines Teilnehmers auf Entfernung seiner Daten kann als Ausübung des "Rechts auf Löschung" i.S.d. DSGVO angesehen werden. Aus den in der DSGVO geregelten allgemeinen Verpflichtungen ergibt sich, dass ein für die Verarbeitung personenbezogener Daten Verantwortlicher wie Proximus geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren.
Ein solcher Verantwortlicher muss außerdem den Telefondienstanbieter, der ihm die personenbezogenen Daten übermittelt hat, informieren, damit dieser die Liste der personenbezogenen Daten, die er dem Anbieter von Teilnehmerverzeichnissen nach einem automatisierten Verfahren übermittelt, anpasst. Wenn sich, wie im vorliegenden Fall, verschiedene Verantwortliche auf eine einheitliche Einwilligung der betroffenen Person stützen, genügt es, dass sich die betroffene Person, um ihre Einwilligung zu widerrufen, an irgendeinen der Verantwortlichen wendet.
Schließlich muss ein Verantwortlicher wie Proximus nach der DSGVO angemessene Maßnahmen treffen, um Suchmaschinenanbieter über den bei ihm eingegangenen Antrag des Teilnehmers eines Telefondienstanbieters auf Löschung seiner personenbezogenen Daten zu informieren.
Mehr zum Thema:
Aufsatz
Grenzen der DSGVO aus dem Unionsprimärrecht?
Sascha Kremer / Kristof Kamm, CR 2022, 427
Handbuch
Inhaltsübersicht
Härting/Konrad in Härting/Konrad, DSGVO Bußgelder und andere Verfahren, 1. Auflage 2020
Auch im Beratermodul IT-Recht abrufbar:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. 4 Wochen gratis nutzen!
EuGH PM Nr. 171 vom 27.10.2022
Proximus, ein Anbieter von Telekommunikationsdiensten in Belgien, bietet auch Teilnehmerverzeichnisse und Telefonauskunftsdienste an. Die Verzeichnisse enthalten den Namen, die Adresse und die Telefonnummer der Teilnehmer der verschiedenen Anbieter öffentlich zugänglicher Telefondienste. Diese Kontaktdaten werden von den Telefondienstanbietern an Proximus übermittelt, es sei denn, der Teilnehmer hat den Wunsch geäußert, nicht in die Verzeichnisse aufgenommen zu werden. Proximus leitet außerdem die Kontaktdaten, die sie erhält, an einen anderen Anbieter von Teilnehmerverzeichnissen weiter.
Telenet, ein belgischer Telefondienstanbieter, leitet die Kontaktdaten seiner Teilnehmer an Anbieter von Teilnehmerverzeichnissen, darunter Proximus, weiter. Einer dieser Teilnehmer forderte Proximus auf, seine Kontaktdaten in den von ihr und von Dritten herausgegebenen Teilnehmerverzeichnissen nicht aufzuführen. Daraufhin änderte Proximus den Status dieses Teilnehmers dahingehend, dass seine Kontaktdaten nicht mehr zu veröffentlichen waren. In der Folge erhielt Proximus jedoch von Telenet eine Aktualisierung der Daten des fraglichen Teilnehmers. Diese Daten waren nicht als vertraulich ausgewiesen. Sie wurden von Proximus nach einem automatisierten Verfahren verarbeitet und dergestalt registriert, dass sie erneut in ihren Teilnehmerverzeichnissen erschienen.
Auf die erneute Aufforderung des Teilnehmers hin, seine Daten nicht zu veröffentlichen, antwortete Proximus, dass sie die betreffenden Daten aus den Teilnehmerverzeichnissen gelöscht und Google kontaktiert habe, damit die maßgeblichen Links zur Website von Proximus entfernt würden. Proximus teilte dem fraglichen Teilnehmer außerdem mit, dass sie seine Kontaktdaten an andere Anbieter von Teilnehmerverzeichnissen weitergeleitet habe, die dank der monatlichen Aktualisierungen über sein Begehren informiert worden seien.
Gleichzeitig legte der fragliche Teilnehmer bei der belgischen Datenschutzbehörde eine Beschwerde ein. Die Streitsachenkammer dieser Behörde verpflichtete Proximus zum Ergreifen von Abhilfemaßnahmen und verhängte wegen Verstoßes gegen mehrere Vorschriften der DSGVO eine Geldbuße i.H.v. 20.000 € gegen sie. Gegen diese Entscheidung legte Proximus Rechtsmittel ein. Sie machte geltend, die Einwilligung des Teilnehmers sei für die Veröffentlichung seiner personenbezogenen Daten in Telefonverzeichnissen nicht erforderlich. Vielmehr müssten die Teilnehmer nach einem sog. "Opt-out"-System selbst beantragen, in den Teilnehmerverzeichnissen nicht aufgeführt zu werden. Solange kein solcher Antrag vorliege, dürfe der betreffende Teilnehmer in den Verzeichnissen aufgeführt werden. Die Datenschutzbehörde vertrat eine gegenteilige Auffassung und machte geltend, dass nach der Datenschutzrichtlinie für elektronische Kommunikation die "Einwilligung der Teilnehmer" i.S.d. DSGVO vorliegen müsse, damit die Anbieter von Teilnehmerverzeichnissen ihre personenbezogenen Daten verarbeiten und übermitteln dürften.
Vor dem Hintergrund, dass der Widerruf dieser Willensäußerung bzw. "Einwilligung" durch einen Teilnehmer nicht spezifisch geregelt ist, hat der nunmehr mit der Sache befasste Appellationshof Brüssel dem EuGH mehrere Fragen zur Vorabentscheidung vorgelegt.
Die Gründe:
Die Einwilligung eines ordnungsgemäß unterrichteten Teilnehmers ist für die Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis erforderlich. Diese Einwilligung erstreckt sich auf jede weitere Verarbeitung der Daten durch dritte Unternehmen, die auf dem Markt für öffentlich zugängliche Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt.
Die Einwilligung erfordert eine in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Jedoch setzt eine solche Einwilligung nicht unbedingt voraus, dass die betroffene Person zum Zeitpunkt ihrer Erteilung die Identität aller Anbieter von Verzeichnissen kennt, die ihre personenbezogenen Daten verarbeiten werden.
Die Teilnehmer müssen die Möglichkeit haben, die Löschung ihrer personenbezogenen Daten aus Teilnehmerverzeichnissen zu erwirken. Der Antrag eines Teilnehmers auf Entfernung seiner Daten kann als Ausübung des "Rechts auf Löschung" i.S.d. DSGVO angesehen werden. Aus den in der DSGVO geregelten allgemeinen Verpflichtungen ergibt sich, dass ein für die Verarbeitung personenbezogener Daten Verantwortlicher wie Proximus geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren.
Ein solcher Verantwortlicher muss außerdem den Telefondienstanbieter, der ihm die personenbezogenen Daten übermittelt hat, informieren, damit dieser die Liste der personenbezogenen Daten, die er dem Anbieter von Teilnehmerverzeichnissen nach einem automatisierten Verfahren übermittelt, anpasst. Wenn sich, wie im vorliegenden Fall, verschiedene Verantwortliche auf eine einheitliche Einwilligung der betroffenen Person stützen, genügt es, dass sich die betroffene Person, um ihre Einwilligung zu widerrufen, an irgendeinen der Verantwortlichen wendet.
Schließlich muss ein Verantwortlicher wie Proximus nach der DSGVO angemessene Maßnahmen treffen, um Suchmaschinenanbieter über den bei ihm eingegangenen Antrag des Teilnehmers eines Telefondienstanbieters auf Löschung seiner personenbezogenen Daten zu informieren.
Aufsatz
Grenzen der DSGVO aus dem Unionsprimärrecht?
Sascha Kremer / Kristof Kamm, CR 2022, 427
Handbuch
Inhaltsübersicht
Härting/Konrad in Härting/Konrad, DSGVO Bußgelder und andere Verfahren, 1. Auflage 2020
Auch im Beratermodul IT-Recht abrufbar:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. 4 Wochen gratis nutzen!