{"id":1512,"date":"2023-02-10T09:35:49","date_gmt":"2023-02-10T08:35:49","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1512"},"modified":"2023-02-10T09:35:49","modified_gmt":"2023-02-10T08:35:49","slug":"proximus-urteil-des-eugh-anfragen-von-betroffenen-muessen-unaufgefordert-an-dritte-weitergeleitet-werden-in-beide-richtungen-der-verarbeitungskette","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1512&lang=de","title":{"rendered":"„Proximus“\u2013 Urteil des EuGH: Anfragen von Betroffenen m\u00fcssen unaufgefordert an Dritte weitergeleitet werden \u2013 in beide Richtungen der Verarbeitungskette"},"content":{"rendered":"\n

Stellt ein Betroffener z.B. bei einem Telefonanbieter die Anfrage nach L\u00f6schung der Daten, so muss die Telefongesellschaft daf\u00fcr sorgen, dass die personenbezogenen Daten vollst\u00e4ndig gel\u00f6scht werden.
\u00a0
Der Betroffene ist dabei nicht verpflichtet, bei jedem Unternehmen einzeln anzufragen \u2013 das hat der Europ\u00e4ische Gerichtshof in einem Urteil vom 27. Oktober 2022 (Rechtssache C-129\/21 \u201eProximus\u201c) entschieden.
\u00a0
Die L\u00f6schung personenbezogener Daten aus Verzeichnissen wie Telefonb\u00fcchern k\u00f6nnte damit f\u00fcr Betroffene k\u00fcnftig wesentlich einfacher werden, denn wurden Kundendaten von Telefonanbietern an andere Anbieter und Suchmaschinen weitergegeben, so sind auch diese verpflichtet, ihre Eintr\u00e4ge zu l\u00f6schen, wenn die Kunden sie darum bitten.
\u00a0
Hintergrund der Entscheidung des Europ\u00e4ischen Gerichtshofs:<\/strong>
\u00a0
In dem vom Europ\u00e4ischen Gerichtshof entschiedenen Fall hatte Proximus, ein belgischer Anbieter von Telefonb\u00fcchern, die Adressdaten einer betroffenen Person von einem anderen Unternehmen erhalten, das seinerseits die Daten von der betroffenen Person aufgrund einer Einwilligung erhalten hatte. Die Einwilligung der betroffenen Person erlaubte auch die Weitergabe der Daten an Dritte wie Proximus.
\u00a0
Die betroffene Person hatte sich daraufhin an Proximus gewandt und darum gebeten, dass ihre Adresse nicht in deren Verzeichnissen sowie in den Verzeichnissen der Partner von Proximus angezeigt wird. Nachdem dem Ersuchen der betroffenen Person entsprochen worden war, tauchte die Adresse der betroffenen Person jedoch aufgrund einer \u201eDatenaktualisierung\u201c durch das Unternehmen, das die Adresse der betroffenen Person urspr\u00fcnglich an Proximus \u00fcbermittelt hatte, wieder im Verzeichnis von Proximus auf.
\u00a0
Auf eine zweite Anfrage der betroffenen Person hin l\u00f6schte Proximus die Daten erneut und teilte der betroffenen Person mit, dass sie die Anfrage an alle Dritten weitergeleitet habe, die die Daten der betroffenen Person von Proximus erhalten hatten.
\u00a0
Die betroffene Person beschwerte sich daraufhin bei der Datenschutzbeh\u00f6rde, die aufgrund des Vorfalls ein Bu\u00dfgeld gegen Proximus verh\u00e4ngte. Proximus erhob daraufhin Einspruch gegen diese Entscheidung. Proximus argumentierte, dass eine Einwilligung des Kunden f\u00fcr die Ver\u00f6ffentlichung seiner Daten in Telefonverzeichnissen nicht erforderlich sei. Vielmehr sei diese \u00fcber ein Opt-out-Verfahren expilzit zu beantragen. Bis dahin best\u00fcnde eigentlich keine Verpflichtung zur L\u00f6schung.
\u00a0
Dieser Argumentation folgte der EuGH nicht<\/strong>
Vor einer Datenver\u00f6ffentlichung m\u00fcssten die Kunden demnach offiziell einwilligen. Durch die Einwilligung sind zwar auch andere Unternehmen berechtigt die Daten zu verarbeiten \u2013 sofern damit der gleiche Zweck verfolgt wird und sofern diese in der urspr\u00fcnglichen Einwilligungsabfrage genannt worden waren \u2013 genauso reicht es aber auch aus, nur ein einmal die Einwilligung zu widerrufen.
\u00a0
Zusammenfassend stellte der Europ\u00e4ische Gerichtshof also fest, dass ein f\u00fcr die Verarbeitung Verantwortlicher, der die Mitteilung erh\u00e4lt, dass eine betroffene Person ihre Einwilligung widerrufen hat \u2013 entweder direkt von der betroffenen Person oder von einer anderen Partei \u2013 gem\u00e4\u00df Art. 5 Abs.\u00a02 und 24 sowie Art. 19 GDPR, alle seine Datenempf\u00e4nger \u00fcber den Widerruf der Einwilligung der betroffenen Person zu informierenhat, und umgekehrt auch alle seine Datenlieferanten (!) ihn \u00fcber den Widerruf der Einwilligung der betroffenen Person informieren m\u00fcssen. Das Urteil legt fest, dass die betroffene Person den Widerruf ihrer Einwilligung gegen\u00fcber jedem Datenverantwortlichen in der Verarbeitungskette erkl\u00e4ren kann.
\u00a0
Schlussfolgerung und Bedeutung f\u00fcr die Onlinemarketing-Branche<\/strong>
Dies ist das erste Mal, dass sich der EuGH ausf\u00fchrlich mit der Meldepflicht in Art. 19 DSGVO im Detail befasst. Das Gericht nutzt diese Gelegenheit, um den Umfang der Meldepflicht zu definieren und erheblich auszuweiten. Konkret besagt Art. 19 DSGVO, dass die f\u00fcr die Verarbeitung Verantwortlichen jede Berichtigung oder L\u00f6schung personenbezogener Daten sowie jede Einschr\u00e4nkung der Verarbeitung gem\u00e4\u00df Art. 16 17 Abs.\u00a01 und 18 an Dritte weiterzuleiten hat.
\u00a0
W\u00e4hrend diese Vorschrift in der Vergangenheit von der Online-Werbebranche weitgehend ignoriert wurde, erh\u00f6ht das neue Urteil ihre Relevanz f\u00fcr die Einhaltung der DSGVO durch Anbieter von Werbetechnologien und deren Partner und Kunden \u2013 und geht sogar noch weiter, indem es die Meldepflicht auch auf die eigenen Datenlieferanten des f\u00fcr die Verarbeitung Verantwortlichen anwendet.
\u00a0
Dar\u00fcber hinaus stellt der Europ\u00e4ische Gerichtshof fest, dass die betroffene Person ihre Einwilligung bei jedem f\u00fcr die Datenverarbeitung Verantwortlichen in der Verarbeitungskette widerrufen kann. Dies erinnert an die Regelung in Art. 26 Abs.\u00a03 der Datenschutz-Grundverordnung, die die Rechte der betroffenen Person in \u00e4hnlicher Weise auf F\u00e4lle gemeinsamer Kontrolle ausweitet. Gleichzeitig hat sich das Gericht in diesem Urteil aber nicht mit der Frage der gemeinsamen Kontrolle im Online-Marketing befasst.
\u00a0
In Anbetracht der obigen Ausf\u00fchrungen kann man mit Sicherheit sagen, dass Unternehmen, die mit einer \u201eeinheitlichen Einwilligung\u201c arbeiten, nach diesem Urteil ihre Mechanismen zur Einhaltung der DSGVO neu bewerten m\u00fcssen. Insbesondere sind Unternehmen verpflichtet, technische und organisatorische Ma\u00dfnahmen zu ergreifen, um Einwilligungsanfragen, die direkt von den betroffenen Personen kommen oder von anderen Parteien \u00fcber verschiedene Kan\u00e4le weitergeleitet werden, umzusetzen und ihre jeweiligen Datenempf\u00e4nger und Datenlieferanten automatisch und korrekt zu informieren.
\u00a0
Bei Nichteinhaltung drohen betroffenen Unternehmen erhebliche Bu\u00dfgelder, wenn sie nicht nachweisen k\u00f6nnen, dass sie die erforderlichen Ma\u00dfnahmen ergriffen haben, um die Mitteilungen und Signale zum Widerruf der Einwilligung zuverl\u00e4ssig umzusetzen und sowohl Datenempf\u00e4nger als auch Datenlieferanten korrekt zu informieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Stellt ein Betroffener z.B. bei einem Telefonanbieter die Anfrage nach L\u00f6schung der Daten, so muss die Telefongesellschaft daf\u00fcr sorgen, dass die personenbezogenen<\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1512"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1512"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1512\/revisions"}],"predecessor-version":[{"id":1513,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1512\/revisions\/1513"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1512"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1512"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1512"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}