Datenverarbeiter müssen Löschungsanträge weiterleiten
Die Verantwortlichen für eine Datenbearbeitung müssen technische und organisatorische Massnahmen ergreifen, damit Bearbeiter, denen sie Personendaten weiterleiten, über den Widerruf der Einwilligung einer betroffenen Person in die Bearbeitung ihrer Personendaten informiert werden.
Hintergrund des Entscheids ist eine Klage gegen den belgischen Telefonanbieter Proximus, der auch Auskunftsdienste und Verzeichnisse mit persönlichen Angaben wie Namen, Adressen und Telefonnummern anbietet. Proximus erhält dafür Daten von anderen Telefonanbietern und leitet selbst Daten an andere Anbieter und Suchmaschinen wie Google weiter.
Ein Kunde eines Telefonanbieters legte gegen Proximus bei der belgischen Datenschutzbehörde Beschwerde ein, weil seine neue Telefonnummer ohne seine Einwilligung in einem Telefonverzeichnis stand. Die Datenschutzbehörde gab dem Betroffenen recht. Darauf machte Proximus vor dem Appellationshof Brüssel geltend, die Einwilligung des Kunden sei für die Veröffentlichung seiner personenbezogenen Daten in Telefonverzeichnissen nicht erforderlich. Vielmehr müssten Kunden in einem sogenannten Opt-out-Verfahren selbst beantragen, nicht aufgeführt zu werden. Solange das nicht geschehe, müssten die Daten nicht gelöscht werden.
Der im Vorabentscheidungsverfahren mit dieser Rechtssache befasste Europäische Gerichtshof folgte diesem Vorbringen nicht. Bevor personenbezogene Daten in Telefonverzeichnissen veröffentlicht werden, müssen die Kunden einwilligen. Durch diese Einwilligung könnten zwar auch andere Unternehmen die Daten bearbeiten, sofern damit der gleiche Zweck verfolgt wird. Genauso reicht es dann aber aus, nur ein einziges Mal seine Einwilligung zu widerrufen – und zwar egal, ob gegenüber dem eigenen Anbieter oder einem der anderen Unternehmen, das die Daten weitergeleitet bekam und verwendet. Telefonanbieter sind verpflichtet, den Widerruf weiterzugeben und dafür zu sorgen, dass die Daten überall gelöscht werden.
Abschliessend hielt der Gerichtshof überdies fest, dass ein Verantwortlicher für Datenbearbeitungen wie Proximus angemessene Massnahmen zu treffen hat, um die Betreiber von Suchmaschinen wie Google über eingegangene Anträge zur Löschung von Personendaten zu informieren.
Urteil C-129/21 vom 27.10.2022, Proximus (Annuaires électroniques publics), EU:C:2022:833
Deutsche Pflicht zur Vorratsspeicherung von Randdaten geht zu weit
Die Grosse Kammer des Europäischen Gerichtshofs bestätigte ihre Rechtsprechung, wonach Unionsrecht einer allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten entgegensteht, es sei denn, es liege eine ernste Bedrohung der nationalen Sicherheit vor.
Das Urteil betrifft die Unternehmen Spacenet und Telekom Deutschland, die in Deutschland Internetzugang anbieten. Beide fochten die Pflicht aus dem deutschen Telekommunikationsgesetz an, ab dem 1. Juli 2017 Verkehrs- und Standortdaten ihrer Kunden mehrere Wochen auf Vorrat zu speichern. Die Pflicht wird mit der Verfolgung schwerer Straftaten und der Abwehr konkreter Gefahren für die nationale Sicherheit begründet. Das deutsche Bundesverwaltungsgericht wollte vom Euopäischen Gerichtshof wissen, ob das Unionsrecht einer solchen Pflicht entgegensteht. Seine Zweifel beruhten insbesondere darauf, dass die deutsche Regelung weniger Daten und eine kürzere Speicherungsfrist betreffe, als sie die nationalen Regelungen vorsahen, gegen die sich der EuGH in früheren Urteilen ausgesprochen hatte. Diese Besonderheiten verringern nach Ansicht des Bundesverwaltungsgerichts die Möglichkeit, aus den gespeicherten Daten sehr genaue Schlüsse auf das Privatleben der betroffenen Personen zu ziehen. Ausserdem gewährleiste das Telekommunikationsgesetz, dass die auf Vorrat gespeicherten Daten wirksam vor den Risiken eines Missbrauchs und eines unberechtigten Zugangs geschützt seien.
Die Grosse Kammer des Gerichtshofs relativierte diese Besonderheiten der deutschen Regelung. Zwar würden die Daten betreffend E-Mail-Dienste nicht von der Speicherpflicht erfasst, jedoch stellen sie nur einen Bruchteil aller Verkehrs- und Standortdaten dar. Die im Telekommunikationsgesetz vorgesehene Pflicht zur Vorratsspeicherung erstrecke sich auf einen umfangreichen Satz von Daten, der im Wesentlichen den Datensätzen entspreche, die in früheren Urteilen des EuGH zur Beurteilung standen. Ein solcher Satz von Verkehrs- und Standortdaten, die zehn oder auch nur vier Wochen gespeichert werden, könne sehr genaue Schlüsse auf das Privatleben der Personen und insbesondere die Erstellung eines Profils dieser Personen ermöglichen. Dazu gehören etwa die Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten und die sozialen Beziehungen der betroffenen Personen. Zudem betreffe die deutsche Regelung auch Personen, die dem Berufsgeheimnis unterliegen, wie beispielsweise Anwälte oder Ärzte.
Zu den vom deutschen Bundesverwaltungsgericht vorgebrachten Garantien zum Schutz der gespeicherten Daten gegen Missbrauchsrisiken und unberechtigten Zugang hielt die Grosse Kammer fest, dass die Vorratsdatenspeicherung und der Zugang zu den Daten zwei unterschiedliche Eingriffe in die Grundrechte der Betroffenen darstellen. Dafür sei je eine gesonderte Rechtfertigung erforderlich. Nationale Vorschriften, die eine vollständige Einhaltung der Voraussetzungen im Bereich des Zugangs gewährleisten, können den schwerwiegenden Eingriff in die Rechte der Betroffenen aufgrund der Vorratsdatenspeicherung weder beschränken noch beseitigen.
Urteile C-793/19 und C-794/19 der Grossen Kammer vom 20.9.2022, Space Net und Telekom Deutschland, EU:C:2022:702