Eine effektive Umsetzung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) erreichen Unternehmen nur, wenn sie Strukturen schaffen, mit denen Datenschutzcompliance sichergestellt werden kann, und wenn sie die Vorgaben auf operativer Ebene implementieren, im besten Fall in automatisierter Form. In einer Entscheidung von Oktober 2022 (C-129/21 – „Proximus“) verdeutlicht der Europäische Gerichtshof (EuGH) anschaulich die Bedeutung von technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes.
Sachverhalt
Der Kunde eines Telefondienstanbieters in Belgien hatte ursprünglich seinem Anbieter gegenüber eingewilligt, dass seine Kontaktdaten in einem öffentlichen Verzeichnis aufgeführt werden können. Hierzu gab der Dienstanbieter die Kontaktdaten an das Unternehmen Proximus weiter, das unter anderem öffentlich zugängliche Telefonverzeichnisse und entsprechende Auskunftsdienste anbietet. Zusätzlich leitete Proximus die Kontaktdaten auch an weitere Anbieter von Verzeichnisdiensten weiter.
Später wandte sich der Betroffene direkt an Proximus und verlangte die Löschung in den öffentlichen Verzeichnissen. Nach dem Wunsch des Betroffenen, die Daten nicht mehr öffentlich zugänglich zu machen, markierte Proximus den Datensatz in den eigenen Systemen entsprechend dem brancheneinheitlichen Standard als vertraulich, um die Veröffentlichung zu beenden. Allerdings wurde diese Einstellung bei der nächsten Synchronisierung mit den Daten des Telefondienstanbieters wieder überschrieben, da bei diesem die Einwilligung noch als aktiv hinterlegt war. Die Daten des Kunden waren daraufhin wieder online öffentlich verfügbar. Auf wiederholte Aufforderung durch den Kunden an Proximus wurde der Datensatz erneut als vertraulich markiert. Der Verzeichnisanbieter teilte dem Betroffenen mit, dass er auch die weiteren Empfänger der Daten darüber informiert habe, die die Daten ursprünglich erhalten hatten. Zusätzlich habe man Google aufgefordert, die entsprechenden Links auf die Daten zu löschen.
Da sich der Betroffene ebenfalls bei der zuständigen belgischen Aufsicht beschwert hatte, erließ diese ein Bußgeld in Höhe von 20.000 Euro und forderte Proximus auf, dem Widerruf der Einwilligung mit entsprechenden effektiven Maßnahmen Folge zu leisten und unter anderem geeignete technische und organisatorische Maßnahmen zur Einhaltung der Datenschutz-Grundverordnung
(DSGVO) einzusetzen sowie sicherzustellen, dass keine unrechtmäßige Übermittlung an weitere Anbieter von Telefonverzeichnissen erfolgt. Es schloss sich ein Rechtsstreit unter anderem zur Rechtsgrundlage der Weitergabe der Daten an andere Anbieter sowie zum konkreten Umfang der Pflichten von Proximus zur Gewährleistung der Einhaltung der Datenschutz-Grundverordnung an.
Vorlage an den EuGH
Im Rahmen dieses Klageverfahrens legte das Gericht mehrere Fragen dem EuGH vor.
In seiner Entscheidung konkretisiert der EuGH die datenschutzrechtlichen Complianceanforderungen für Unternehmen. Zunächst stellt das Gericht fest, dass für die Veröffentlichung der Kontaktdaten eines Betroffenen in Telefonverzeichnissen und bei Auskunftsdiensten eine Einwilligung erforderlich sei. Diese Einwilligung sei aber auch ausreichend für die weitere Übermittlung an zusätzliche Anbieter von öffentlich zugänglichen Telefonverzeichnissen, solange die Daten ausschließlich für diesen ursprünglichen Zweck verwendet werden. Obwohl nach Ansicht des EuGH die inhaltlichen Anforderungen an die Einwilligung auch bei Anwendung der E-Privacy-Richtlinie an der DSGVO (Art. 4 Nr. 11 DSGVO) gemessen werden, lässt das Gericht diese ferner für eine nicht näher bestimmte Anzahl an weiteren Empfängern gelten.
Wenn also ein Betroffener einmal seine Einwilligung zur Veröffentlichung der Daten in Verzeichnissen gegeben hat, dann gilt diese auch für jede weitere Verarbeitung und Übermittlung zu diesem speziellen Zweck.
An anderer Stelle wird allerdings sehr darüber gestritten, wie detailliert Betroffene zu informieren sind, sei es für eine konkrete Einwilligung oder auch im Rahmen der Information über die Empfänger der Daten innerhalb der Datenschutzerklärung. Da der EuGH im vorliegenden Fall aber die Einwilligung sehr eng mit Art. 12 der E-Privacy-Richtlinie verknüpft, der sich auf öffentlich zugängliche Teilnehmerverzeichnisse bezieht, bleibt die Übertragbarkeit auf andere Fälle unklar.
Diese weite Auslegung der Einwilligung ist praxistauglich und nicht nur für Unternehmen eine Erleichterung. Auch die Betroffenen profitieren, denn sie müssen sich nicht durch Listen von weiteren Empfängern wühlen, die die Daten ohnehin nur zu einem klar definierten Zweck nutzen dürfen. Die Rechte des Einzelnen werden insgesamt überdies nicht geschwächt, denn dem Betroffenen steht ein Auskunftsrecht über die Empfänger der Daten zu. In Bezug auf die Auskunftspflicht entschied der Gerichtshof nun korrespondierend im Januar dieses Jahres (C-154/21), dass der Auskunftsanspruch weit auszulegen sei und so die konkrete Angabe von Empfängern der Daten erfordere.
Weitreichende Einwilligung, weitreichende Widerrufsmöglichkeit
Als ausgleichendes Element hat der EuGH im vorliegenden Fall der weitreichenden Einwilligung die ebenso weitreichende Widerrufsmöglichkeit gegenübergestellt. Denn das Gericht stellt klar, dass der Widerruf der Einwilligung den Verantwortlichen verpflichtet, auch die anderen Empfänger der Daten darüber zu informieren. Die Aufforderung des Betroffenen, aus den öffentlichen Verzeichnissen entfernt zu werden, ist nach Ansicht des EuGH als Löschbegehren zu verstehen. Nach dem Wortlaut des Art. 19 DSGVO muss der Verantwortliche, an den das Löschbegehren gerichtet worden ist, alle Empfänger der Daten über die Löschung informieren, sofern dies nicht unmöglich oder unverhältnismäßig ist. Die Richter erweitern diese Pflicht auch auf Verantwortliche, von denen der Verantwortliche, hier Proximus, die Daten erhalten hat.
Jedes Unternehmen hat folglich alle anderen Unternehmen über ein etwaiges Löschbegehren eines Betroffenen zu informieren, unabhängig davon, an welcher Stelle der Übermittlungskette es steht. Denn nur so kann sichergestellt werden, dass die Löschung erfolgreich umgesetzt werden kann.
Aus der Qualifizierung als Löschbegehren folgt ferner die in Art. 17 Abs. 2 DSGVO geregelte Pflicht, im Fall der Veröffentlichung der Daten weitere Verantwortliche, die die Daten verarbeiten – beispielsweise Suchmaschinenanbieter –, über das Löschbegehren zu informieren. Dies gilt auch dann, wenn es keine aktive Weitergabe an die Suchmaschinen gegeben hat. Hier kommt das sogenannte Recht auf Vergessenwerden zum Einsatz.
Im Ergebnis sieht es das Gericht als rechtmäßig an, dass die Aufsichtsbehörde von dem verantwortlichen Unternehmen verlangen kann, technische und organisatorische Maßnahmen zu ergreifen, sowohl den Dienstanbieter als Startpunkt der Übermittlungskette – sowie die weiteren Empfänger – als auch mögliche Suchmaschinenbetreiber über das Löschbegehren zu informieren. Nur auf diese Weise kann eine effektive Durchsetzung des Löschbegehrens in der Übermittlungskette sichergestellt werden.
Ob diese Pflicht zur Information auch eine Haftung für etwaiges Fehlverhalten der übrigen Verantwortlichen ergeben kann, ist nicht zu erkennen. Das Gericht spricht nur von einer Informationspflicht. Aufgrund der Synchronisation der Systeme führt allerdings der Fehler eines anderen Unternehmens ohnehin unter bestimmten Umständen zum Verstoß bei den weiteren beteiligten Unternehmen.
Fazit
Die Entscheidung setzt die Intention der DSGVO konsequent um. Sie stellt erneut eine Mahnung für Unternehmen dar, dass nur eine ganzheitliche Datenschutzcompliance zur Vermeidung von Bußgeldern führen kann. Insbesondere bei Datensynchronisierungen über Unternehmensgrenzen hinweg muss sichergestellt sein, dass Änderungen an jeder Stelle der Verarbeitungskette berücksichtigt werden können.
