Ein Kunde hatte sich beschwert, weil ein Telefonverzeichnis–Anbieter seine neue Telefonnummer ohne sein Wissen weitergegeben und veröffentlicht hatte. Der EuGH gab ihm nun in einem aktuellen Urteil Recht und stärkte damit erneut die Bedeutung des Datenschutzrechts in der EU. Haben Anbieter die Daten an andere Anbieter weitergeleitet, genüge es für einen Widerruf zur Erreichung der Datenlöschung, wenn sich der Kunde an einen der „Verantwortlichen“ wende. Dieser müsse die anderen, auch Suchmaschinenbetreiber, informieren.
Der EuGH hat entschieden, dass bevor Telefonanbieter persönliche Daten von Kunden in Verzeichnissen wie Telefonbüchern veröffentlichen, es einer Einwilligung des Betroffenen bedarf. Widerruft ein Kunde diese Einwilligung, muss ein Telefonanbieter außerdem dafür sorgen, dass dessen weitergegebene persönliche Daten gelöscht werden. Der Kunde muss dafür nicht bei jedem Unternehmen einzeln anfragen (Urt. v. 27.10.2022, Az. C-129/21).
Klage gegen Telefonanbieter Proximus
Hintergrund des Urteils ist eine Klage gegen den belgischen Telefonanbieter Proximus, der unter anderem Telefonauskunftsdienste und Verzeichnisse mit persönlichen Daten wie Namen, Adressen und Telefonnummern anbietet. Diese Kontaktdaten werden von anderen Telefondienstanbietern an Proximus übermittelt, und Proximus leitet sie auch an andere Anbieter und Suchmaschinen wie Google weiter. Dafür genügt bislang eine einzige Einwilligung der Kunden.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Nachdem ein Kunde seine Einwilligung jedoch widerrufen hatte, forderte er Proximus zur Löschung seiner Kontaktdaten in den von ihr und von Dritten herausgegebenen Verzeichnissen auf. Infolgedessen entfernte Proximus zunächst die Daten aus ihren Verzeichnissen. Nachdem der Anbieter in der Folge jedoch von Dritten die neue Telefonnummer des Kunden erhalten hatte, wurde diese im Rahmen eines automatisierten Verfahrens in ihren Verzeichnissen aufgeführt. Auf die erneute Aufforderung des Kunden hin, löschte Proximus die Telefonnummer aus den Verzeichnissen und informierte weitere Anbieter, darunter auch Google, über das Löschungsbegehren.
Gleichzeitig klagte der Kunde bei der belgischen Datenschutzbehörde gegen die Aufnahme seiner neuen Telefonnummer in die Verzeichnisse, da er in die Veröffentlichung nicht eingewilligt hatte. Die belgische Datenschutzbehörde verpflichtet Proxismus anschließend wegen Verstoßes gegen mehrere Vorschriften der Datenschutz-Grundverordnung (DSGVO) zur Zahlung einer Geldbuße in Höhe von 20.000 Euro. Gegen diese Entscheidung legte Proximus Berufung beim Appellationshof Brüssel ein und machte geltend, dass die Einwilligung des Kunden für die Veröffentlichung seiner Daten in die Telefonverzeichnisse nicht erforderlich gewesen sei. Vielmehr müssten die Kunden nach einem sogenannten „Opt-out-Verfahren“ selbst beantragen, in den Verzeichnissen nicht aufgeführt zu werden. Solange ein solcher Antrag nicht gestellt wurde, müssten die Daten auch nicht gelöscht werden.
Zum EuGH gelangte der Fall, weil bei der Veröffentlichung von Kontaktdaten in den Verzeichnissen personenbezogene Daten verarbeitet werden, sodass sich die rechtliche Beurteilung nach den Vorschriften der Europäischen DSGVO richtet. Der Appellationshof Brüssel hatte dem EuGH mehrere Fragen, die im Kern die Auslegung der DSGVO betreffen, zur Vorabentscheidung vorgelegt.
EuGH: Kunden müssen einwilligen
Mit seinem Urteil folgte der EuGH der Argumentation von Proximus nicht. Zunächst bestätigten die Luxemburger Richter, dass eine Veröffentlichung von Kontaktdaten der vorherigen Einwilligung der Kunden bedürfe. Durch diese Einwilligung könnten dann zwar auch andere Unternehmen die Daten verarbeiten, sofern damit der gleiche Zweck verfolgt wird. Dennoch müssten die Kunden stets die Möglichkeit haben, eine ursprünglich erteilte Einwilligung in Ausübung ihres „Rechts auf Löschung“ im Sinne der DSGVO zu widerrufen. Wenn für die Veröffentlichung der Kontaktdaten durch mehrere Telefondienstanbieter eine einzige Einwilligung genüge, müsse es im Gegenzug genauso ausreichen, wenn der Kunde seine Einwilligung nur ein einziges Mal widerruft – und zwar egal ob gegenüber dem eigenen Anbieter oder einem der anderen Unternehmen. Die allgemeinen Verpflichtungen der DSGVO seien darüber hinaus so zu verstehen, dass die Telefonanbieter dann verpflichtet seien, den Widerruf weiterzuleiten und dafür zu sorgen, dass die Daten gelöscht werden.
So geht es weiter
Im konkreten Fall obliegt die Entscheidung nun beim Appellationshof Brüssel. Dieser ist dabei an die Rechtsauslegung des EuGH gebunden. Fest steht, dass sich der EuGH mit seinem aktuellen Urteil erneut gegen den rücksichtslosen Umgang von Unternehmen mit Kundendaten wendet und damit die Bedeutung des Datenschutzrechtes in der EU weiterhin untermauert. Insbesondere zeichnet sich ab, dass das umfangreiche Löschen persönlicher Daten aus Verzeichnissen wie Telefonbüchern künftig wesentlich einfacher werden könnte.
aha