Der EuGH hat sich am 27. Oktober 2022 in seinem Urteil Rs. C‑129/21 i.S. Proximus mit der Frage beschäftigt, ob ein Glied einer Verarbeitungs- bzw. Weitergabekette die anderen Glieder vor und nach ihm über eine Löschung informieren muss:
Gegenstand war ein Telefonbuch (Teilnehmerverzeichnis). Der Anbieter des Beschwerdeführers, Telenet, hatte Verzeichnisdaten u.a. an Proximus weitergeben, einen weiteren belgischen Anbieter.
Die ersten beiden Vorlagefragen lassen sich kurz zusammenfassen:
- Der EuGH hält zunächst fest, dass Art. 12 Abs. 2 der e‑Privacy-Richtlinie 2002 eine Einwilligung in die Aufnahme in Teilnehmerverzeichnisse verlangt, dass diese Einwilligung aber nicht auf einen bestimmten Anbieter beschränkt ist – mit der Ersteinwilligung dürfen die Verzeichnisdaten deshalb an einen anderen Anbieter bekanntgegeben weden, sofern der Bearbeitungszweck nicht erweitert wird (so bereits im Deutsche-Telekom-Urteil, EuGH Rs. C‑543/09 vom 5.5.2011). Die Ersteinwilligung muss dabei den Anforderungen der DSGVO genügen.
- Verlangt ein Teilnehmer, seine Personendaten aus den Teilnehmerverzeichnissen zu entfernen, müssen die Anbieter dem sodann nachkommen – das ist eine Ausübung des „Rechts auf Löschung“ i.S.v. Art. 17 DSGVO.
Mehr Sprengstoff bietet die dritte Vorlagefrage. Hier ging es darum, ob ein Verzeichnisanbieter im Fall der Löschung weitere Anbieter entsprechend informieren muss, dies vor dem Hintergrund der Weitergabekette:
Dieser Anbieter kann die Daten seinerseits auf der Grundlage derselben Einwilligung an andere Anbieter von Teilnehmerverzeichnissen weitergeben, womit eine Kette von Verantwortlichen entsteht, die die Daten nacheinander auf der Grundlage ein und derselben Einwilligung unabhängig voneinander verarbeiten
Die Frage lautete hier genauer, ob ein Anbieter in der Mitte, demgegenüber der Widerruf der Einwilligung erklärt wurde, auch die vor- und nachgelagerten Glieder der Kette informieren muss:
[…], ob ein Anbieter von Teilnehmerverzeichnissen wie Proximus, wenn ein Teilnehmer eines Telefondienstanbieters seine Einwilligung in die Aufnahme in die Verzeichnisse dieses Anbieters widerruft, nicht nur seine eigene Datenbank aktualisieren muss, […] sondern auch den Telefondienstanbieter, der ihm die fraglichen Daten übermittelt hat, sowie die anderen Anbieter von Teilnehmerverzeichnissen, denen er selbst Daten übermittelt hat, über den Widerruf informieren muss.
Der EuGH bejaht diese Frage mit folgenden Überlegungen:
- Nach dem Widerruf der Einwilligung wäre die weitere Verarbeitung rechtswidrig i.S.d. DSGVO (fehlende Rechtsgrundlage).
- Der Verantwortliche muss die Rechtmässigkeit seiner Verarbeitung nach Art. 5 DSGVO nachweisen können. Nach Art. 24 DSGVO muss er zudem geeignete technische und organisatorische Massnahmen umsetzen, um die Rechtmässigkeit und ihren Nachweis sicherzustellen.
- Konkreter sieht Art. 19 DSGVO vor, dass der Verantwortliche allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung mitteilt, wenn dies nicht unmöglich oder unverhältnismässig ist.
Daraus zieht der EuGH folgenden Schluss:
85 Um die Wirksamkeit des in Art. 7 Abs. 3 DSGVO vorgesehenen Rechts auf Widerruf einer Einwilligung zu gewährleisten und sicherzustellen, dass die Einwilligung der betroffenen Person strikt auf den Zweck bezogen ist, zu dem sie erteilt wurde, ist der Verantwortliche, gegenüber dem die betroffene Person ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten widerrufen hat, entsprechend den zutreffenden Ausführungen der Kommission in der Tat verpflichtet, jede Person, die ihm diese Daten übermittelt hat, sowie die Person, der er seinerseits die Daten übermittelt hat, über den Widerruf zu informieren. Die dementsprechend informierten Verantwortlichen sind dann ihrerseits verpflichtet, diese Informationen an die anderen Verantwortlichen weiterzuleiten, denen sie solche Daten übermittelt haben.
Zur vierten Vorlagefrage hält der EuGH weiter fest, dass der Verantwortliche sogar Suchmaschinenanbieter – die eigene Verantwortliche sind – informieren muss:
96 Unter Umständen wie denen des Ausgangsverfahrens ist daher davon auszugehen, dass ein Verantwortlicher wie Proximus nach Art. 17 Abs. 2 DSGVO angemessene Maßnahmen zu treffen hat, um Suchmaschinenanbieter über den bei ihm eingegangenen Antrag des Teilnehmers eines Telefondienstanbieters auf Löschung seiner personenbezogenen Daten zu informieren. Wie der Generalanwalt in Nr. 76 seiner Schlussanträge ausgeführt hat, sieht Art. 17 Abs. 2 DSGVO allerdings vor, dass bei der Beurteilung der Angemessenheit der vom Anbieter von Teilnehmerverzeichnissen ergriffenen Maßnahmen die verfügbare Technologie und die Implementierungskosten zu berücksichtigen sind, wobei diese Beurteilung in erster Linie der zuständigen Behörde obliegt und gerichtlich überprüfbar ist.
Diese Erwägungen des EuGH sind nicht auf Teilnehmerverzeichnisse begrenzt. Es ist deshalb davon auszugehen, dass der EuGH in anderen Verarbeitungsketten grundsätzlich gleich entscheiden würde, d.h. dass der Widerruf einer Einwilligung generell den vor- und nachgelagerten Gliedern mitzuteilen wäre. Dies letztlich als Teil des Compliance-Systems, das der Verantwortliche insbesondere aufgrund von Art. 24 DSGVO betreiben muss.
Auf die Schweiz bzw. das DSG lässt sich dies allerdings nicht übertragen:
- Im Entwurf der revidierten VDSG war noch vorgesehen, dass der Verantwortliche Empfänger von Daten “unverzüglich über die Berichtigung, Löschung oder Vernichtung sowie die Einschränkung der Bearbeitung von Personendaten” informieren muss (damals Art. 16; kritisch dazu hier). In die DSV wurde diese Bestimmung zu recht nicht aufgenommen. Es wäre deshalb mit dem Willen des Gesetzgebers unvereinbar, solche Pflichten aus allgemeinen Grundsätzen zu destillieren. Auch kennt die Schweiz keine Accountability-Pflicht, wie sie der EuGH hier statuiert.
- Der Grundsatz von Privacy by Design gilt sodann zwar auch im DSG, aber er statuiert keine zusätzlichen materiellen Pflichten, sondern verlangt nur, existierende Pflichten proaktiv abzusichern (d.h. er schneidet dem Verantwortlichen den Einwand ab, eine bestimmte datenschutzrechtliche Pflicht aufgrund des Systemdesigns nicht erfüllen zu können).