Attorneys at Law | Patent Attorneys
European Trademark Attorneys
European Patent Attorneys
European Design Attorneys
European Trademark Attorneys
European Patent Attorneys
European Design Attorneys
EuGH: Weitergabe von Löschungsaufforderungen auch an Datenlieferanten
EuGH: Weitergabe von Löschungsaufforderungen auch an Datenlieferanten
Wenn Sie Daten veröffentlichen oder weitergeben, sind Sie dazu verpflichtet, auch den Empfängern der Daten mitzuteilen, wenn ein Betroffener sein Recht auf Löschung von Daten geltend macht. Dies folgt aus Art. 19 DSGVO. Allerdings gilt Entsprechendes auch im umgekehrten Fall. Auch der Datenempfänger muss dem Datenlieferanten gegenüber mitteilen, wenn Ansprüche auf Löschung gestellt wurden, wie der Europäische Gerichtshof (EuGH) am 27.10.2022 (Rechtssache C-129/21) entschied.
In diesem Artikel zeigen wir Ihnen auf, welche Dokumentations- und Informationsmaßnahmen Sie nun ergreifen sollten.
Pflichten als Empfänger von Löschungsbegehren
Als datenschutzrechtlich Verantwortlicher sind Sie bei Berichtigungs- oder Löschungsbegehren der betroffenen Person nach Art. 19 DSGVO verpflichtet, Datenempfänger hierüber selbständig zu informieren. Der Betroffene kann sogar verlangen, dass ihm die Datenempfänger mitgeteilt werden.
Dies hat zur Folge, dass ein Unternehmen, das Daten über einen Betroffenen an ein anderes (z. B. an ein Konzernunternehmen, einen Zustelldienst oder eine Bank) weitergibt, weitreichende Pflichten hat, wenn der Betroffene Berichtigung oder Löschung seiner Daten verlangt. So muss das Unternehmen diese Aufforderung auch dem Empfänger mitteilen und gegebenenfalls Auskunft über die Geschäftsverbindung erteilen.
Eine Ausnahme greift nur dann, wenn dieses Vorgehen unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist.
Entscheidung des EuGH
In der neuen Entscheidung des EuGH vom 27.10.2022 (Rechtssache C-129/21) ging es um die Einwilligung zur Datenveröffentlichung in Telefonverzeichnissen. Hierbei werden Daten nach Einwilligung des Betroffenen an weitere Diensteanbieter weitergegeben.
Ein solcher Diensteanbieter wurde vom Betroffenen auf Löschung in Anspruch genommen und kam dem zunächst nach. Nach einer „Datenaktualisierung“ durch den Datenlieferanten waren die Daten jedoch wieder im System vorhanden. Vorliegend ging es also um den umgekehrten Fall zu Art. 19 DSGVO: Der EuGH bejahte die Vorlagefrage, ob auch der Datenempfänger dem Datenlieferanten gegenüber mitteilen muss, wenn Löschungsansprüche ihm gegenüber gestellt wurden.
Weiter führte der EuGH aus, jedes Unternehmen müsse geeignete technische und organisatorische Maßnahmen ergreifen, um auch bei der Datenübertragung Löschungsanträge o. Ä. weiterzugeben. Der Betroffene müsse den Widerruf seiner Einwilligung für einen zusammenhängenden Verarbeitungszweck nur einmal kundtun.
Handlungsvorschlag für Unternehmen
Die Entscheidung des EuGH führt einerseits zu einer deutlichen Klarstellung allgemeiner Datenschutzvorgaben, andererseits zu Handlungsbedarf. Unternehmen müssen bei Datenweitergaben nicht nur die Weitergabe von Gestaltungsrechten der betroffenen Person gewährleisten, sondern auch Empfangskanäle überwachen.
Empfehlenswert ist insoweit, Datenweitergaben stets auch intern zu dokumentieren und den betroffenen Personen Attribute zuzuordnen, die die Datenweitergabe technisch und organisatorisch nachvollziehbar machen. Nur so kann der Überblick über Datenweitergaben gewahrt werden.
Dies gilt auch für den Empfang von Daten. So muss eine Rückmeldung an den Datenlieferanten erfolgen können, wenn ein Betroffener Rechte wegen Datenverarbeitungen gegen den Datenempfänger geltend macht.
In diesem Artikel zeigen wir Ihnen auf, welche Dokumentations- und Informationsmaßnahmen Sie nun ergreifen sollten.
Pflichten als Empfänger von Löschungsbegehren
Als datenschutzrechtlich Verantwortlicher sind Sie bei Berichtigungs- oder Löschungsbegehren der betroffenen Person nach Art. 19 DSGVO verpflichtet, Datenempfänger hierüber selbständig zu informieren. Der Betroffene kann sogar verlangen, dass ihm die Datenempfänger mitgeteilt werden.
Dies hat zur Folge, dass ein Unternehmen, das Daten über einen Betroffenen an ein anderes (z. B. an ein Konzernunternehmen, einen Zustelldienst oder eine Bank) weitergibt, weitreichende Pflichten hat, wenn der Betroffene Berichtigung oder Löschung seiner Daten verlangt. So muss das Unternehmen diese Aufforderung auch dem Empfänger mitteilen und gegebenenfalls Auskunft über die Geschäftsverbindung erteilen.
Eine Ausnahme greift nur dann, wenn dieses Vorgehen unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist.
Entscheidung des EuGH
In der neuen Entscheidung des EuGH vom 27.10.2022 (Rechtssache C-129/21) ging es um die Einwilligung zur Datenveröffentlichung in Telefonverzeichnissen. Hierbei werden Daten nach Einwilligung des Betroffenen an weitere Diensteanbieter weitergegeben.
Ein solcher Diensteanbieter wurde vom Betroffenen auf Löschung in Anspruch genommen und kam dem zunächst nach. Nach einer „Datenaktualisierung“ durch den Datenlieferanten waren die Daten jedoch wieder im System vorhanden. Vorliegend ging es also um den umgekehrten Fall zu Art. 19 DSGVO: Der EuGH bejahte die Vorlagefrage, ob auch der Datenempfänger dem Datenlieferanten gegenüber mitteilen muss, wenn Löschungsansprüche ihm gegenüber gestellt wurden.
Weiter führte der EuGH aus, jedes Unternehmen müsse geeignete technische und organisatorische Maßnahmen ergreifen, um auch bei der Datenübertragung Löschungsanträge o. Ä. weiterzugeben. Der Betroffene müsse den Widerruf seiner Einwilligung für einen zusammenhängenden Verarbeitungszweck nur einmal kundtun.
Handlungsvorschlag für Unternehmen
Die Entscheidung des EuGH führt einerseits zu einer deutlichen Klarstellung allgemeiner Datenschutzvorgaben, andererseits zu Handlungsbedarf. Unternehmen müssen bei Datenweitergaben nicht nur die Weitergabe von Gestaltungsrechten der betroffenen Person gewährleisten, sondern auch Empfangskanäle überwachen.
Empfehlenswert ist insoweit, Datenweitergaben stets auch intern zu dokumentieren und den betroffenen Personen Attribute zuzuordnen, die die Datenweitergabe technisch und organisatorisch nachvollziehbar machen. Nur so kann der Überblick über Datenweitergaben gewahrt werden.
Dies gilt auch für den Empfang von Daten. So muss eine Rückmeldung an den Datenlieferanten erfolgen können, wenn ein Betroffener Rechte wegen Datenverarbeitungen gegen den Datenempfänger geltend macht.
Fazit
Mit Blick auf Art. 19 DSGVO und die neue Entscheidung des EuGH sollten Sie also ein Verzeichnis über Datenempfänger und Datenlieferanten anlegen und Mitteilungskanäle organisieren. So dürfte neben dem Verzeichnis auch bereits jetzt der Entwurf eines Musterschreibens sinnvoll sein, um schnell handlungsfähig zu sein.
Mit Blick auf Art. 19 DSGVO und die neue Entscheidung des EuGH sollten Sie also ein Verzeichnis über Datenempfänger und Datenlieferanten anlegen und Mitteilungskanäle organisieren. So dürfte neben dem Verzeichnis auch bereits jetzt der Entwurf eines Musterschreibens sinnvoll sein, um schnell handlungsfähig zu sein.
Alexander Brittner, LL.M.
Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (TÜV)
E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189