Löschen personenbezogener Daten: Eine Aufforderung muss reichen
Wer personenbezogene Daten an andere Anbieter weiterleitet, muss sich darum kümmern, dass auch diese Anbieter sie löschen, wenn der Kunde dies verlangt: Das ist der Kernpunkt der Rechtssache C-129/21, über die das Luxemburger Gericht am 27. Oktober 2022 befunden hat. Wenn mehrere Anbieter sich auf dieselbe Einwilligung eines Kunden stützen, Daten zu veröffentlichen, muss auch ein einziger Widerruf an einen einzelnen dieser Anbieter ausreichen, damit die Daten wieder aus dem Netz verschwinden – der besagte Anbieter ist dann in der Pflicht, die dazu notwendigen Schritte einzuleiten. „Der für die Verarbeitung personenbezogener Daten Verantwortliche muss geeignete technische und organisatorische Maßnahmen treffen, um die anderen Verantwortlichen, die ihm diese Daten übermittelt haben bzw. denen er die Daten weitergeleitet hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren“, fasste der EuGH in einer Pressemitteilung die Essenz des Urteils zusammen.
Wie es zu dem Urteil kam
Auslöser des Urteils war ein Rechtsstreit des belgischen Telekommunikationsanbieters Proximus mit der Datenschutzbehörde des Landes: Zum Geschäftsmodell von Proximus gehört die Übermittlung so genannter Teilnehmerverzeichnisse – Namen, Adressen und Telefonnummern von Kunden öffentlich zugänglicher Telefondienste. Diese tauchen dann zum Beispiel in Suchmaschinen und Telefonauskunftdiensten auf. Ein Kunde der Firma Telenet, dessen Daten von Proximus auf diesem Weg weitergeleitet worden waren, forderte Proximus auf, sie nicht mehr zu veröffentlichen. Proximus erfüllte den Wunsch – zum Problem wurde dann aber, dass sich die Daten des Kunden änderten, ohne dass gleich klar war, dass der Kunde sie weiterhin nicht veröffentlicht sehen wollte.
Proximus lud die Daten – in einem automatisierten Verfahren – wieder hoch und leitete sie weiter. Der Kunde wandte sich erneut an Proximus, das erneut Maßnahmen ergriff. Der Datenschutzbehörde gingen diese jedoch nicht weit genug, sie verhängte 20.000 Euro Geldbuße wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSVGO). Proximus hätte eine ausdrückliche Einwilligung des Kunden zur Veröffentlichung der neuen Daten abwarten müssen. Die Firma vertrat dagegen die Ansicht, dass der Teilnehmer nochmal in der Bringschuld gewesen wäre ihr mitzuteilen, dass auch die neuen Daten nicht weitergegeben und veröffentlicht werden sollten (Opt-out-Verfahren). Proximus legte Rechtsmittel ein, der Fall ging vor den EuGH, der dann die undeutliche Rechtslage klarstellte.
Löschung von Daten: Was der EuGH konkret beschlossen hat
Der Gerichtshof verfügte in seinem Urteil: Bevor personenbezogene Daten in einem Teilnehmerverzeichnis auftauchen und diese weitergegeben werden dürfen, muss der Teilnehmer der Veröffentlichung und Verarbeitung zustimmen. Es brauche eine „in informierter Weise und unmissverständlich abgegebene“ Willensbekundung. Sind Teilnehmer dagegen nicht einverstanden, müssen sie die Möglichkeit haben, „die Löschung ihrer personenbezogenen Daten aus Teilnehmerverzeichnissen zu erwirken“ – das „Recht auf Löschung“ im Sinne der DSVGO.
Die Telekommunikationsunternehmen werden konkret in die Pflicht genommen, auch untereinander zu kommunizieren, um dem Wunsch des Kunden Rechnung zu tragen. Eine Firma wie Proximus muss die Firmen, an die sie die Daten weitergegeben haben, über den Löschwunsch des Kunden informieren – und auch die Firma, von der sie die Daten hat. In dem konkreten Streitfall hätte so vermieden werden können, dass die veränderten Daten gegen den Willen des Kunden wieder im Netz aufgetaucht wären. Es müsse ausreichen, so der EuGH, „dass sich die betroffene Person, um ihre Einwilligung zu widerrufen, an irgendeinen der Verantwortlichen wendet“. Dieser Verantwortliche müsse dann „geeignete technische und organisatorische Maßnahmen ergreifen (…), um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren“. Das gilt auch für die Kommunikation mit Suchmaschinenanbietern wie Google, wo die Daten ebenfalls auftauchen.
Und was bedeutet dieses Urteil für dich?
Der EuGH hat mit seinem Urteil im Fall Proximus (Rechtssache C-129/21) eine bedeutsame Klarstellung vollzogen, wenn es um den Wunsch nach Löschung personenbezogener Daten aus dem öffentlichen Raum geht. Es ist für dich nun prinzipiell deutlich einfacher, die unerwünschte Veröffentlichung und Vervielfältigung deiner persönlichen Daten zu bremsen. Wenn du einem Anbieter mitteilst, dass du das nicht mehr willst, muss er sich darum kümmern, das auch an Dritte weiterzugeben – und nicht du. Wenn du weitere Fragen hast, was in solchen Fällen zu tun ist oder andere Probleme beim Thema Datenschutz: Wir von dimata sind gern für dich da.