Stellt ein Betroffener z.B. bei einem Telefonanbieter die Anfrage nach Löschung der Daten, so muss die Telefongesellschaft dafür sorgen, dass die personenbezogenen Daten vollständig gelöscht werden.
Der Betroffene ist dabei nicht verpflichtet, bei jedem Unternehmen einzeln anzufragen – das hat der Europäische Gerichtshof in einem Urteil vom 27. Oktober 2022 (Rechtssache C-129/21 „Proximus“) entschieden.
Die Löschung personenbezogener Daten aus Verzeichnissen wie Telefonbüchern könnte damit für Betroffene künftig wesentlich einfacher werden, denn wurden Kundendaten von Telefonanbietern an andere Anbieter und Suchmaschinen weitergegeben, so sind auch diese verpflichtet, ihre Einträge zu löschen, wenn die Kunden sie darum bitten.
Hintergrund der Entscheidung des Europäischen Gerichtshofs:
In dem vom Europäischen Gerichtshof entschiedenen Fall hatte Proximus, ein belgischer Anbieter von Telefonbüchern, die Adressdaten einer betroffenen Person von einem anderen Unternehmen erhalten, das seinerseits die Daten von der betroffenen Person aufgrund einer Einwilligung erhalten hatte. Die Einwilligung der betroffenen Person erlaubte auch die Weitergabe der Daten an Dritte wie Proximus.
Die betroffene Person hatte sich daraufhin an Proximus gewandt und darum gebeten, dass ihre Adresse nicht in deren Verzeichnissen sowie in den Verzeichnissen der Partner von Proximus angezeigt wird. Nachdem dem Ersuchen der betroffenen Person entsprochen worden war, tauchte die Adresse der betroffenen Person jedoch aufgrund einer „Datenaktualisierung“ durch das Unternehmen, das die Adresse der betroffenen Person ursprünglich an Proximus übermittelt hatte, wieder im Verzeichnis von Proximus auf.
Auf eine zweite Anfrage der betroffenen Person hin löschte Proximus die Daten erneut und teilte der betroffenen Person mit, dass sie die Anfrage an alle Dritten weitergeleitet habe, die die Daten der betroffenen Person von Proximus erhalten hatten.
Die betroffene Person beschwerte sich daraufhin bei der Datenschutzbehörde, die aufgrund des Vorfalls ein Bußgeld gegen Proximus verhängte. Proximus erhob daraufhin Einspruch gegen diese Entscheidung. Proximus argumentierte, dass eine Einwilligung des Kunden für die Veröffentlichung seiner Daten in Telefonverzeichnissen nicht erforderlich sei. Vielmehr sei diese über ein Opt-out-Verfahren expilzit zu beantragen. Bis dahin bestünde eigentlich keine Verpflichtung zur Löschung.
Dieser Argumentation folgte der EuGH nicht
Vor einer Datenveröffentlichung müssten die Kunden demnach offiziell einwilligen. Durch die Einwilligung sind zwar auch andere Unternehmen berechtigt die Daten zu verarbeiten – sofern damit der gleiche Zweck verfolgt wird und sofern diese in der ursprünglichen Einwilligungsabfrage genannt worden waren – genauso reicht es aber auch aus, nur ein einmal die Einwilligung zu widerrufen.
Zusammenfassend stellte der Europäische Gerichtshof also fest, dass ein für die Verarbeitung Verantwortlicher, der die Mitteilung erhält, dass eine betroffene Person ihre Einwilligung widerrufen hat – entweder direkt von der betroffenen Person oder von einer anderen Partei – gemäß Art. 5 Abs. 2 und 24 sowie Art. 19 GDPR, alle seine Datenempfänger über den Widerruf der Einwilligung der betroffenen Person zu informierenhat, und umgekehrt auch alle seine Datenlieferanten (!) ihn über den Widerruf der Einwilligung der betroffenen Person informieren müssen. Das Urteil legt fest, dass die betroffene Person den Widerruf ihrer Einwilligung gegenüber jedem Datenverantwortlichen in der Verarbeitungskette erklären kann.
Schlussfolgerung und Bedeutung für die Onlinemarketing-Branche
Dies ist das erste Mal, dass sich der EuGH ausführlich mit der Meldepflicht in Art. 19 DSGVO im Detail befasst. Das Gericht nutzt diese Gelegenheit, um den Umfang der Meldepflicht zu definieren und erheblich auszuweiten. Konkret besagt Art. 19 DSGVO, dass die für die Verarbeitung Verantwortlichen jede Berichtigung oder Löschung personenbezogener Daten sowie jede Einschränkung der Verarbeitung gemäß Art. 16 17 Abs. 1 und 18 an Dritte weiterzuleiten hat.
Während diese Vorschrift in der Vergangenheit von der Online-Werbebranche weitgehend ignoriert wurde, erhöht das neue Urteil ihre Relevanz für die Einhaltung der DSGVO durch Anbieter von Werbetechnologien und deren Partner und Kunden – und geht sogar noch weiter, indem es die Meldepflicht auch auf die eigenen Datenlieferanten des für die Verarbeitung Verantwortlichen anwendet.
Darüber hinaus stellt der Europäische Gerichtshof fest, dass die betroffene Person ihre Einwilligung bei jedem für die Datenverarbeitung Verantwortlichen in der Verarbeitungskette widerrufen kann. Dies erinnert an die Regelung in Art. 26 Abs. 3 der Datenschutz-Grundverordnung, die die Rechte der betroffenen Person in ähnlicher Weise auf Fälle gemeinsamer Kontrolle ausweitet. Gleichzeitig hat sich das Gericht in diesem Urteil aber nicht mit der Frage der gemeinsamen Kontrolle im Online-Marketing befasst.
In Anbetracht der obigen Ausführungen kann man mit Sicherheit sagen, dass Unternehmen, die mit einer „einheitlichen Einwilligung“ arbeiten, nach diesem Urteil ihre Mechanismen zur Einhaltung der DSGVO neu bewerten müssen. Insbesondere sind Unternehmen verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um Einwilligungsanfragen, die direkt von den betroffenen Personen kommen oder von anderen Parteien über verschiedene Kanäle weitergeleitet werden, umzusetzen und ihre jeweiligen Datenempfänger und Datenlieferanten automatisch und korrekt zu informieren.
Bei Nichteinhaltung drohen betroffenen Unternehmen erhebliche Bußgelder, wenn sie nicht nachweisen können, dass sie die erforderlichen Maßnahmen ergriffen haben, um die Mitteilungen und Signale zum Widerruf der Einwilligung zuverlässig umzusetzen und sowohl Datenempfänger als auch Datenlieferanten korrekt zu informieren.