Europäischer Gerichtshof: Bürger*innen müssen Daten einfach löschen lassen können

Datenschutzrheinmain/ Oktober 27, 2022/ alle Beiträge, Beschäftigten- / Sozial- / Verbraucherdaten-Datenschutz, EU-Datenschutz/ 0Kommentare

Wenn Telefonanbieter die Daten ihrer Kundinnen und Kunden weitergeben, müssen sie für die Löschung sorgen, wenn die Betroffenen das verlangen. Egal, ob die Daten an Mitbewerber oder an Suchmaschinen gegangen sind. Eine Zustimmung zur Datenweitergabe können Kundinnen und Kunden auch im Nachhinein widerrufen. Das hat der Europäische Gerichtshof (EuGH) in einem Urteil vom 27.10.2022 (Aktemzeichen: C-129/21) entschieden.

Worüber hatte der EuGH zu entscheiden?

Ein belgischer Telefondienstanbieter leitet die Kontaktdaten seiner Teilnehmer*innen an Anbieter von Teilnehmerverzeichnissen weiter. Ein Teilnehmer forderte das Unternehmen auf, seine Kontaktdaten in den von ihr und von Dritten herausgegebenen Teilnehmerverzeichnissen nicht aufzuführen. Daraufhin änderte das Unternehmen den Status dieses Teilnehmers dahin gehend, dass seine Kontaktdaten nicht mehr zu veröffentlichen waren. In der Folge erhielt es jedoch von einem andere Unternehmen eine Aktualisierung der Daten des fraglichen Teilnehmers. Diese Daten waren nicht als vertraulich ausgewiesen. Sie wurden daher nach einem automatisierten Verfahren verarbeitet und dergestalt registriert, dass sie erneut in ihren Teilnehmerverzeichnissen erschienen. Auf die erneute Aufforderung des Teilnehmers hin, seine Daten nicht zu veröffentlichen, antwortete das Unternehmen, dass es die betreffenden Daten aus den Teilnehmerverzeichnissen gelöscht und Google kontaktiert habe, damit die maßgeblichen Links zur Website des Unternehmens entfernt würden.

Gleichzeitig legte der fragliche Teilnehmer bei der belgischen Datenschutzbehörde eine Beschwerde ein. Die Behörde verpflichtete das Unternehmen zum Ergreifen von Abhilfemaßnahmen und verhängte wegen Verstoßes gegen mehrere Vorschriften der Datenschutz-Grundverordnung (DSGVO) eine Geldbuße in Höhe von 20.000 €. Gegen diese Entscheidung legte das Unternehmen Rechtsmittel ein. Das belgische Gericht legte dem EuGH mehrere Fragen zur Vorabentscheidung vor.

In seinem Urteil bestätigt der EuGH, dass die Einwilligung eines ordnungsgemäß unterrichteten Teilnehmers für die Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis erforderlich ist. Diese Einwilligung erstreckt sich auch auf jede weitere Verarbeitung der Daten durch dritte Unternehmen, die auf dem Markt für öffentlich zugängliche Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt. Zudem stellt der EuGH fest, dass sich aus den in der DSGVO geregelten allgemeinen Verpflichtungen ergibt, dass ein für die Verarbeitung personenbezogener Daten Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren. Ein solcher Verantwortlicher muss außerdem den Telefondienstanbieter, der ihm die personenbezogenen Daten übermittelt hat, informieren, damit dieser die Liste der personenbezogenen Daten, die er dem Anbieter von Teilnehmerverzeichnissen nach einem automatisierten Verfahren übermittelt, anpasst. Wenn sich nämlich, wie im vorliegenden Fall, verschiedene Verantwortliche auf eine einheitliche Einwilligung der betroffenen Person stützen, genügt es, dass sich die betroffene Person, um ihre Einwilligung zu widerrufen, an irgendeinen der Verantwortlichen wendet. Abschließend befindet der EuGH, dass ein Verantwortlicher nach der DSGVO angemessene Maßnahmen zu treffen hat, um Suchmaschinenanbieter über den bei ihm eingegangenen Antrag des Teilnehmers eines Telefondienstanbieters auf Löschung seiner personenbezogenen Daten zu informieren.

Quelle: EuGH, Pressemitteilung vom 27.10.2022 zum Urteil C-129/21 vom 27.10.2022

Das Recht auf Löschung (auch: Recht auf Vergessenwerden) hat seine Grundlage in Art. 17 DSGVO.