Zum Inhalt springen Zur Navigation springen
EuGH: Umfassende Informationspflichten bei Löschbegehren

EuGH: Umfassende Informationspflichten bei Löschbegehren

Begehrt jemand die Löschung seiner Kontaktdaten aus einem öffentlich zugänglichen Telefon- oder Teilnehmerverzeichnis, muss der verantwortliche Anbieter angemessene Maßnahmen treffen, um auch weitere Anbieter über dieses Löschbegehren zu informieren. Was der EuGH zur Umsetzung der DSGVO-Löschpflicht von den Anbietern öffentlicher Telefonverzeichnisse verlangt, lesen Sie hier.

Teilnehmer begehrt Löschung von Kontaktdaten

In dem Urteil des Europäischen Gerichtshofes (EuGH, Urteil vom 27.10.2022, C-129/21; Pressemitteilung des EuGH) geht es darum, dass der belgische Telekommunikationskonzern Proximus auch Teilnehmerverzeichnisse und Telefonauskunftsdienste anbietet. Die Kontaktdaten der Teilnehmer (Namen, Adressen und Telefonnummern) erhält Proximus von anderen Anbietern öffentlich zugänglicher Telefondienste, u.a. Telenet. Die erhaltenen Kontaktdaten leitet Proximus zudem an andere Anbieter von Teilnehmerverzeichnissen weiter. Das Unternehmen befindet sich also in einer Zwischenposition: es empfängt Daten von Dritten, nutzt diese selbst und leitet sie wiederum an Dritte weiter.

Nun wandte sich ein Telenet-Kunde an Proximus, seine Kontaktdaten nicht mehr zu veröffentlichen. Dem kam Proximus nach und informierte auch die Anbieter, an welche es die entsprechenden Kontaktdaten weitergeleitet hatte, über die Forderung des Kunden. Telenet, von welcher die Daten ursprünglich stammten, wurde jedoch nicht informiert. So erhielt Proximus von Telenet erneut die Daten des Kunden, woraufhin dessen Kontaktdaten abermals bei Proximus erschienen.

Daraufhin erneuerte der Kunde seine Forderung gegenüber Proximus und legte zugleich Beschwerde bei der belgischen Datenschutzbehörde ein. Diese verpflichtete Proximus zur Abhilfe und verhängte gegen das Unternehmen wegen Verstößen gegen die Artikel 5, 6, 7 und 24 der DSGVO eine Geldbuße in Höhe von 20.000 Euro. Proximus focht die Entscheidung an und die Sache landetet vor dem EuGH.

EuGH äußert sich zu Einwilligung und Löschung

Der EuGH äußerte sich zunächst zur Frage der erforderlichen Einwilligung (Artikel 4 Nr. 11 DSGVO) für die Veröffentlichung personenbezogener Daten in Telefonverzeichnissen. Hierbei setzte er sich auch mit den speziellen Reglungen aus der ePrivacy-Richtlinie (2002/58/EG), insbesondere mit Artikel 12 zu Teilnehmerverzeichnissen, auseinander. Im zweiten Teil des Urteils befasste er sich mit den Pflichten, die Anbieter öffentlicher Telefonverzeichnisse treffen, um dem Löschbegehren eines Kunden nachzukommen.

Veröffentlichung in Telefonverzeichnissen nur mit Einwilligung

Proximus vertrat die Auffassung, dass eine Einwilligung zur Veröffentlichung nicht erforderlich sei. Vielmehr müsste ein Teilnehmer beantragen, in den Verzeichnissen nicht aufgeführt zu werden (sogenanntes „Opt-out“-System).

Der EuGH war anderer Auffassung: für die Veröffentlichung personenbezogener Daten in einem öffentlich zugänglichen Telefon- oder Teilnehmerverzeichnis ist die ausdrückliche Einwilligung des Teilnehmers erforderlich. Die einmal erteilte Einwilligung gilt dann auch für jede weitere Verarbeitung der Daten durch dritte Unternehmen, die die gleichen Dienste anbieten. Die Datenverarbeitung muss also denselben Zweck verfolgen. Für eine wirksame Einwilligung ist es allerdings nicht erforderlich, dass der Teilnehmer die Identität aller Anbieter von Verzeichnissen kennt, die seine personenbezogenen Daten verarbeiten werden.

Hier ist für Rechtsanwender Vorsicht geboten, denn die Ausführungen des EuGH zur Datenweitergabe im Zusammenhang mit dem Telefon- oder Teilnehmerverzeichnis werden sich nicht ohne weiteres auf andere Sachverhalte übertragen lassen: Der EuGH bezieht sich ausdrücklich auf die Einwilligung gem. Art. 12 der ePrivacy-Richtlinie („Teilnehmerverzeichnisse“). Bei fehlender Kenntnis über die Identität der weiteren Datenempfänger wird es außerhalb von Teilnehmerverzeichnissen typischerweise am Merkmal „in Kenntnis der Sachlage“ (Erwägungsgrund 42 S.4 der DSGVO) fehlen, welches für eine wirksame Einwilligung erforderlich ist.

Anbieter treffen umfassende Informationspflichten über Löschbegehren

Zunächst stellte der EuGH fest, dass der Wunsch des Kunden, seine Daten aus dem jeweiligen Verzeichnis zu entfernen bzw. nicht mehr zu veröffentlichen, die Ausübung des Rechts auf Löschung gemäß Artikel 17 DSGVO darstellt. Zugleich stellt der Wunsch des Kunden den Widerruf der Einwilligung dar.

Gibt es nun verschiedene Anbieter öffentlicher Telefon- und Teilnehmerverzeichnisse, welche sich alle auf dieselbe Einwilligung des Kunden stützen, so ist es nach Ansicht des EUGH ausreichend, wenn sich der Kunde an irgendeinen dieser Anbieter wendet.

Es ist dann Aufgabe dieses Anbieters, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sowohl die Anbieter über den Widerruf zu informieren, denen er die Daten weitergeleitet hat als auch die, von denen er die Daten erhalten hat. Zudem muss er angemessene Maßnahmen ergreifen, um auch Suchmaschinenanbieter über das Löschbegehren zu informieren. Die Anbieter von Telefon- und Teilnehmerverzeichnissen trifft also eine umfassende Informationspflicht über das Löschbegehren eines Kunden.

Wie soll das Recht auf Löschung in der Praxis umgesetzt werden?

In seinem Urteil fordert der EuGH, dass die Anbieter öffentlicher Telefon- und Teilnehmerverzeichnisse geeignete technische und organisatorische Maßnahmen treffen müssen, um andere Anbieter und auch Suchmaschinen über den Widerruf einer Einwilligung bzw. das damit verbundene Löschbegehren zu informieren. Wie diese Maßnahmen aber konkret aussehen sollen, lässt der EuGH leider offen.

Dabei stellt sich in der Praxis oft die Frage, wie Verantwortliche dem Recht auf Löschung in angemessenem Umfang nachkommen können.

Webinar zum Thema

Wer mehr als nur graue Theorie lernen will, also auch praxistaugliche und technische Hilfestellungen zum Thema Löschkonzept erfahren möchte, sollte an unserem bevorstehenden Webinar: „DSGVO-konformes Löschen“ teilnehmen.

Mittwoch, den 24. Mai 2023
von 14:30 bis 17:00 Uhr

Hier können Sie sich anmelden

Im Kleingruppenformat vermitteln wir Fachwissen gemäß der DSGVO. Wir zeigen den Teilnehmenden anhand von Praxisbeispielen auf, wie die Löschung technisch umgesetzt werden kann. Wie bei all unseren Webinaren ist auch ausreichend Zeit für Fragen vorhanden. Zudem erhalten sie neben den Vortragsunterlagen und Skripten auch ein Teilnahmezertifikat als Fachkundenachweis gemäß § 40 Abs. 6 BDSG und Art. 37 Abs. 5 DSGVO.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.