EuGH i.S. Pro­xi­mus (Rs. C‑129/21, 27.10.22): Infor­ma­ti­ons­pflich­ten bei Löschung in einer Verarbeitungskette

Der EuGH hat sich am 27. Okto­ber 2022 in sei­nem Urteil Rs. C‑129/21 i.S. Pro­xi­mus mit der Fra­ge beschäf­tigt, ob ein Glied einer Ver­ar­bei­tungs- bzw. Wei­ter­ga­be­ket­te die ande­ren Glie­der vor und nach ihm über eine Löschung infor­mie­ren muss:

Gegen­stand war ein Tele­fon­buch (Teil­neh­mer­ver­zeich­nis). Der Anbie­ter des Beschwer­de­füh­rers, Tel­en­et, hat­te Ver­zeich­nis­da­ten u.a. an Pro­xi­mus wei­ter­ge­ben, einen wei­te­ren bel­gi­schen Anbieter.

Die ersten bei­den Vor­la­ge­fra­gen las­sen sich kurz zusammenfassen:

  • Der EuGH hält zunächst fest, dass Art. 12 Abs. 2 der e‑Pri­va­cy-Richt­li­nie 2002 eine Ein­wil­li­gung in die Auf­nah­me in Teil­neh­mer­ver­zeich­nis­se ver­langt, dass die­se Ein­wil­li­gung aber nicht auf einen bestimm­ten Anbie­ter beschränkt ist – mit der Erst­ein­wil­li­gung dür­fen die Ver­zeich­nis­da­ten des­halb an einen ande­ren Anbie­ter bekannt­ge­ge­ben weden, sofern der Bear­bei­tungs­zweck nicht erwei­tert wird (so bereits im Deut­sche-Tele­kom-Urteil, EuGH Rs. C‑543/09 vom 5.5.2011). Die Erst­ein­wil­li­gung muss dabei den Anfor­de­run­gen der DSGVO genügen.
  • Ver­langt ein Teil­neh­mer, sei­ne Per­so­nen­da­ten aus den Teil­neh­mer­ver­zeich­nis­sen zu ent­fer­nen, müs­sen die Anbie­ter dem sodann nach­kom­men – das ist eine Aus­übung des „Rechts auf Löschung“ i.S.v. Art. 17 DSGVO.

Mehr Spreng­stoff bie­tet die drit­te Vor­la­ge­fra­ge. Hier ging es dar­um, ob ein Ver­zeich­nis­an­bie­ter im Fall der Löschung wei­te­re Anbie­ter ent­spre­chend infor­mie­ren muss, dies vor dem Hin­ter­grund der Weitergabekette:

Die­ser Anbie­ter kann die Daten sei­ner­seits auf der Grund­la­ge der­sel­ben Ein­wil­li­gung an ande­re Anbie­ter von Teil­neh­mer­ver­zeich­nis­sen wei­ter­ge­ben, womit eine Ket­te von Ver­ant­wort­li­chen ent­steht, die die Daten nach­ein­an­der auf der Grund­la­ge ein und der­sel­ben Ein­wil­li­gung unab­hän­gig von­ein­an­der verarbeiten

Die Fra­ge lau­te­te hier genau­er, ob ein Anbie­ter in der Mit­te, dem­ge­gen­über der Wider­ruf der Ein­wil­li­gung erklärt wur­de, auch die vor- und nach­ge­la­ger­ten Glie­der der Ket­te infor­mie­ren muss:

[…], ob ein Anbie­ter von Teil­neh­mer­ver­zeich­nis­sen wie Pro­xi­mus, wenn ein Teil­neh­mer eines Tele­fon­dienst­an­bie­ters sei­ne Ein­wil­li­gung in die Auf­nah­me in die Ver­zeich­nis­se die­ses Anbie­ters wider­ruft, nicht nur sei­ne eige­ne Daten­bank aktua­li­sie­ren muss, […] son­dern auch den Tele­fon­dienst­an­bie­ter, der ihm die frag­li­chen Daten über­mit­telt hat, sowie die ande­ren Anbie­ter von Teil­neh­mer­ver­zeich­nis­sen, denen er selbst Daten über­mit­telt hat, über den Wider­ruf infor­mie­ren muss.

Der EuGH bejaht die­se Fra­ge mit fol­gen­den Überlegungen:

  • Nach dem Wider­ruf der Ein­wil­li­gung wäre die wei­te­re Ver­ar­bei­tung rechts­wid­rig i.S.d. DSGVO (feh­len­de Rechtsgrundlage).
  • Der Ver­ant­wort­li­che muss die Recht­mä­ssig­keit sei­ner Ver­ar­bei­tung nach Art. 5 DSGVO nach­wei­sen kön­nen. Nach Art. 24 DSGVO muss er zudem geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men umset­zen, um die Recht­mä­ssig­keit und ihren Nach­weis sicherzustellen.
  • Kon­kre­ter sieht Art. 19 DSGVO vor, dass der Ver­ant­wort­li­che allen Emp­fän­gern, denen per­so­nen­be­zo­ge­ne Daten offen­ge­legt wur­den, jede Löschung mit­teilt, wenn dies nicht unmög­lich oder unver­hält­nis­mä­ssig ist.

Dar­aus zieht der EuGH fol­gen­den Schluss:

85 Um die Wirk­sam­keit des in Art. 7 Abs. 3 DSGVO vor­ge­se­he­nen Rechts auf Wider­ruf einer Ein­wil­li­gung zu gewähr­lei­sten und sicher­zu­stel­len, dass die Ein­wil­li­gung der betrof­fe­nen Per­son strikt auf den Zweck bezo­gen ist, zu dem sie erteilt wur­de, ist der Ver­ant­wort­li­che, gegen­über dem die betrof­fe­ne Per­son ihre Ein­wil­li­gung in die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten wider­ru­fen hat, ent­spre­chend den zutref­fen­den Aus­füh­run­gen der Kom­mis­si­on in der Tat ver­pflich­tet, jede Per­son, die ihm die­se Daten über­mit­telt hat, sowie die Per­son, der er sei­ner­seits die Daten über­mit­telt hat, über den Wider­ruf zu infor­mie­ren. Die dem­entspre­chend infor­mier­ten Ver­ant­wort­li­chen sind dann ihrer­seits ver­pflich­tet, die­se Infor­ma­tio­nen an die ande­ren Ver­ant­wort­li­chen wei­ter­zu­lei­ten, denen sie sol­che Daten über­mit­telt haben.

Zur vier­ten Vor­la­ge­fra­ge hält der EuGH wei­ter fest, dass der Ver­ant­wort­li­che sogar Such­ma­schi­nen­an­bie­ter – die eige­ne Ver­ant­wort­li­che sind – infor­mie­ren muss:

96 Unter Umstän­den wie denen des Aus­gangs­ver­fah­rens ist daher davon aus­zu­ge­hen, dass ein Ver­ant­wort­li­cher wie Pro­xi­mus nach Art. 17 Abs. 2 DSGVO ange­mes­se­ne Maß­nah­men zu tref­fen hat, um Such­ma­schi­nen­an­bie­ter über den bei ihm ein­ge­gan­ge­nen Antrag des Teil­neh­mers eines Tele­fon­dienst­an­bie­ters auf Löschung sei­ner per­so­nen­be­zo­ge­nen Daten zu infor­mie­ren. Wie der Gene­ral­an­walt in Nr. 76 sei­ner Schluss­an­trä­ge aus­ge­führt hat, sieht Art. 17 Abs. 2 DSGVO aller­dings vor, dass bei der Beur­tei­lung der Ange­mes­sen­heit der vom Anbie­ter von Teil­neh­mer­ver­zeich­nis­sen ergrif­fe­nen Maß­nah­men die ver­füg­ba­re Tech­no­lo­gie und die Imple­men­tie­rungs­ko­sten zu berück­sich­ti­gen sind, wobei die­se Beur­tei­lung in erster Linie der zustän­di­gen Behör­de obliegt und gericht­lich über­prüf­bar ist.

Die­se Erwä­gun­gen des EuGH sind nicht auf Teil­neh­mer­ver­zeich­nis­se begrenzt. Es ist des­halb davon aus­zu­ge­hen, dass der EuGH in ande­ren Ver­ar­bei­tungs­ket­ten grund­sätz­lich gleich ent­schei­den wür­de, d.h. dass der Wider­ruf einer Ein­wil­li­gung gene­rell den vor- und nach­ge­la­ger­ten Glie­dern mit­zu­tei­len wäre. Dies letzt­lich als Teil des Com­pli­ance-Systems, das der Ver­ant­wort­li­che ins­be­son­de­re auf­grund von Art. 24 DSGVO betrei­ben muss.

Auf die Schweiz bzw. das DSG lässt sich dies aller­dings nicht über­tra­gen:

  • Im Ent­wurf der revi­dier­ten VDSG war noch vor­ge­se­hen, dass der Ver­ant­wort­li­che Emp­fän­ger von Daten “unver­züg­lich über die Berich­ti­gung, Löschung oder Ver­nich­tung sowie die Ein­schrän­kung der Bear­bei­tung von Per­so­nen­da­ten” infor­mie­ren muss (damals Art. 16; kri­tisch dazu hier). In die DSV wur­de die­se Bestim­mung zu recht nicht auf­ge­nom­men. Es wäre des­halb mit dem Wil­len des Gesetz­ge­bers unver­ein­bar, sol­che Pflich­ten aus all­ge­mei­nen Grund­sät­zen zu destil­lie­ren. Auch kennt die Schweiz kei­ne Accoun­ta­bi­li­ty-Pflicht, wie sie der EuGH hier statuiert.
  • Der Grund­satz von Pri­va­cy by Design gilt sodann zwar auch im DSG, aber er sta­tu­iert kei­ne zusätz­li­chen mate­ri­el­len Pflich­ten, son­dern ver­langt nur, exi­stie­ren­de Pflich­ten pro­ak­tiv abzu­si­chern (d.h. er schnei­det dem Ver­ant­wort­li­chen den Ein­wand ab, eine bestimm­te daten­schutz­recht­li­che Pflicht auf­grund des System­de­signs nicht erfül­len zu können).