Der EuGH hat sich mit Urteil vom 27.10.2022 zu den Anforderungen an eine wirksame Einwilligung und dem Recht auf Löschung geäußert – konkret bezogen auf Telefonverzeichnisse. Dabei setzt er niedrige Anforderungen an eine wirksame Einwilligung und hohe Anforderungen an die Umsetzung von Löschbegehren. Wir zeigen auf, was genau der EuGH verlangt und inwiefern die Ausführungen auch auf Fallgestaltungen außerhalb von Telefonverzeichnissen übertragbar sind.
Dem Urteil des EuGH liegt ein belgisches Vorabentscheidungsersuchen zugrunde. In dem zugrundeliegenden Rechtsstreit geht ein Anbieter von Telekommunikationsdiensten in Belgien gegen eine Entscheidung der belgischen Datenschutzbehörde (GBA)vor.
In der Sache geht es um die Veröffentlichung von Adressdaten (inkl. Telefonnummer) in öffentlich zugänglichen Telefonverzeichnissen und über Telefonauskunftsdienste. Daten für die Veröffentlichung erhalten Anbieter von solchen Verzeichnissen und Auskunftsdiensten regelmäßig von den Anbietern von Telekommunikationsdiensten. In Streit stand, ob diese ihre Teilnehmer fragen müssen, ob sie mit ihren Daten in Verzeichnissen und Auskunftsdiensten gelistet werden möchten (Einwilligung) oder aber, ob eine Weitergabe und Veröffentlichung auch ohne ausdrückliche Frage aus berechtigten Interessen zulässig ist.
Der EuGH hielt in seinem Urteil fest:
- Die Veröffentlichung der Teilnehmerdaten in öffentlich zugänglichen Telefonverzeichnissen und ihre Beauskunftung in Auskunftsdiensten ist nur mit Einwilligung der Teilnehmer zulässig. Berechtigte Interessen und die Möglichkeit zum Opt-Out reichen nicht.
- Allerdings sind die Anforderungen an eine wirksame Einwilligung insofern gering, als bei Abgabe der Einwilligung die späteren Empfänger der Daten nicht benannt werden müssen: Eine Weitergabe ist an eine unbestimmte Vielzahl von Anbietern öffentlich zugänglicher Telefonverzeichnisse und Auskunftsdiensten möglich.
- Verlangt ein Teilnehmer die Löschung seiner Daten (nach Einwilligungswiderruf), so muss allerdings technisch-organisatorisch abgesichert sein, dass alle diejenigen, die diese Daten vorher erhalten haben, davon auch Kenntnis erlangen und die Daten auch in ihren Verzeichnissen löschen.
Für die Praxis ist insbesondere relevant, ob das EuGH-Urteil zur Angabe der Empfänger auf andere Sachverhaltskonstellationen übertragbar ist: Müssen jetzt generell für eine wirksame Einwilligung die späteren Empfänger der Daten nicht bekannt sein und nicht benannt werden?
Die Antwort auf diese Frage ist eine typisch Juristische: Es kommt darauf an. Jedenfalls ist eine generelle Übertragbarkeit auf andere Konstellationen nicht möglich.
Aber der Reihe nach:
- Eine wirksame Einwilligung setzt nicht voraus, dass der Betroffene schon zum Einwilligungszeitpunkt alle Empfänger seiner Daten kennt.
- Der Grund hierfür liegt in der besonderen Situation: Zunächst regelt die ePrivacy-Richtlinie explizit, dass Teilnehmer vor Aufnahme in öffentliche Teilnehmerverzeichnisse über deren Zwecke informiert werden müssen (Art. 12 Abs. 1, ErwG 38). Hinzu kommt, dass Betroffene i.d.R. kein Interesse daran haben, wer ein öffentliches Telefonverzeichnis führt – entscheidend ist für sie lediglich die Grundentscheidung, ob sie in einem solchen Verzeichnis geführt werden wollen oder nicht.
- Übertragbar ist diese Aussage des EuGH damit nicht auf sämtliche anderen Konstellationen. Übertragbar ist dies aber auf solche Konstellationen, in denen es dem Betroffenen ebenfalls nicht darauf ankommt, wer seine Daten erhält, sondern der Zweck allein maßgeblich ist.
- Dass Zurückhaltung bei einer Übertragung der Entscheidung auf andere Konstellationen geboten ist, bestätigt eine weitere aktuelle EuGH-Entscheidung, die wir im zweiten Beitrag des heutigen Newsletters besprechen (EuGH, Urt. v. 12.01.2023, Rs. C-154/21 – Österreichische Post). Dort stärkt der EuGH im Rahmen des Auskunftsrechts das Recht der Betroffenen, die konkreten Empfänger seiner Daten (namentlich) zu erfahren.
Für alle Bereiche gilt dagegen, was der EuGH zur Umsetzung eines Löschbegehrens geäußert hat: Wenn ein Verantwortlicher ein Löschbegehren erhält, muss er die Umsetzung auch bei Empfängern von Daten durch technisch-organisatorische Maßnahmen absichern.