SCHLUSSANTRÄGE DES GENERALANWALTS
ANTHONY MICHAEL COLLINS
vom 28. April 2022(1)
Rechtssache C‑129/21
Proximus NV
(Public electronic directories)
gegen
Gegevensbeschermingsautoriteit
(Vorabentscheidungsersuchen des Hof van beroep te Brussel [Appellationshof Brüssel, Belgien])
„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Richtlinie 2002/58/EG – Art. 12 – Teilnehmerverzeichnisse und Telefonauskunftsdienste – Einwilligung der betroffenen Person – Verordnung (EU) 2016/679 – Definition der Einwilligung – Art. 17 – Recht auf Löschung (‚Recht auf Vergessenwerden‘) – Art. 5 Abs. 2, Art. 17 Abs. 2, Art. 19 und Art. 24 – Informationspflichten und Verantwortung des Verantwortlichen“
I. Einleitung
1. Das vorliegende Vorabentscheidungsersuchen des Hof van beroep te Brussel (Appellationshof Brüssel, Belgien) beruht auf einem Antrag einer Person, die Telekommunikationsdienstleistungen abonniert, dass ihre Kontaktdaten nicht länger in öffentlichen Telefonverzeichnissen erscheinen oder bei Telefonauskunftsdiensten verfügbar sind. Sie wirft wichtige Fragen auf zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(2), der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)(3) und dem Verhältnis zwischen diesen beiden Rechtsakten.
2. Die DSGVO erlegt jedem Verantwortlichen eine allgemeine Verpflichtung auf, die Einwilligung der betroffenen Person zur Verarbeitung ihrer Daten einzuholen. Die Richtlinie 2002/58 ändert diese Verpflichtung im Hinblick auf die Datenverarbeitung durch Anbieter von elektronischen Teilnehmerverzeichnissen und Telefonauskunftsdiensten insofern ab, als eine einzige Einwilligung des Teilnehmers zur Verwendung seiner Daten ausreicht, um die Verarbeitung zu diesem Zweck zu erlauben. Ein Teilnehmer erteilt somit eine einzige Einwilligung zum Erscheinen seiner Kontaktdaten in Verzeichnissen, woraufhin andere Anbieter von Teilnehmerverzeichnissen sich auf dieselbe Einwilligung stützen können, um diese Kontaktdaten in ihre Verzeichnisse aufzunehmen. Was passiert, wenn ein Teilnehmer wünscht, dass seine Kontaktdaten aus allen solchen Verzeichnissen entfernt werden? Es stellen sich zumindest zwei Fragen. Erstens, soll ein Teilnehmer einen Antrag an den Telekommunikationsanbieter richten, mit dem er einen Vertrag hat, oder an den oder die Anbieter von Verzeichnissen, oder an jeden von ihnen? Zweitens, ist ein Anbieter von Verzeichnissen verpflichtet, den Antrag auf Entfernung der Kontaktdaten an Dritte weiterzuleiten, wie etwa den Telekommunikationsanbieter des Teilnehmers, andere Anbieter von Verzeichnissen und Anbieter von Suchmaschinen?
II. Sachverhalt
3. Proximus bietet Telekommunikationsdienstleistungen an. Sie nimmt die Kontaktdaten ihrer eigenen Teilnehmer sowie solche, die sie von anderen Telekommunikationsanbietern erhält, in zwei belgische elektronische Teilnehmerverzeichnisse, www.1207.be und www.1307.be, sowie in zwei Telefonauskunftsdienste, 1207 und 1307, auf, die sie ebenfalls anbietet. Sie leitet diese Kontaktdaten an einen weiteren Anbieter von Teilnehmerverzeichnissen weiter.
4. Proximus erläutert, ihre Datenbanken und diejenigen Dritter unterschieden zwischen Teilnehmern, deren Kontaktdaten in Teilnehmerverzeichnissen aufzunehmen seien, und solchen, die davon auszunehmen seien. Seien Kontaktdaten aufzunehmen, laute der maßgebliche Parameter in der Akte eines Teilnehmers „NNNNN“. Sofern die Kontaktdaten davon auszunehmen seien, laute der maßgebliche Parameter „XXXXX“.
5. Der Beschwerdeführer ist ein Teilnehmer eines von Telenet, einer Telekommunikationsanbieterin auf dem Markt in Belgien, angebotenen Telefondienstes. Telenet bietet keine Teilnehmerverzeichnisse an. Sie stellt die Kontaktdaten ihrer Teilnehmer u. a. Proximus zur Verfügung.
6. Am 13. Januar 2019 richtete der Beschwerdeführer unter Verwendung des auf der Website www.1207.be zur Verfügung gestellten Kontaktformulars den folgenden Antrag an Proximus: „Bitte nehmen Sie diese Nummer nicht in ‚Witte Gids‘, in 1207.be, … auf.“
7. Aufgrund dieses Antrags änderte Proximus am 28. Januar 2019 den maßgeblichen Parameter in der Akte des Beschwerdeführers von „NNNNN“ in „XXXXX“. Am selben Tag antwortete ein Arbeitnehmer von Proximus dem Beschwerdeführer wie folgt: „Die Nummer [x] ist gegenwärtig nicht in die Ausgabe der ‚Gids‘ aufgenommen. Sie steht auch nicht bei der Telefonauskunft (1207) und auf der Website (1207.be) zur Verfügung. Sie finden die jüngste Aktualisierung aller veröffentlichten Aufzeichnungen auf unserer Website www.1207.be.“
8. Am 31. Januar 2019 erhielt Proximus von Telenet eine routinemäßige Aktualisierung der Teilnehmerdaten. Diese Aktualisierung enthielt neue Kontaktdaten für den Beschwerdeführer. Sie wies auch aus, dass die Kontaktdaten des Beschwerdeführers in Teilnehmerverzeichnisse aufzunehmen seien („NNNNN“). Proximus verarbeitete diese Aktualisierung automatisch. Demzufolge wurden die Kontaktdaten des Beschwerdeführers öffentlich verfügbar.
9. Nachdem er festgestellt hatte, dass seine Telefonnummer in den elektronischen Telefonverzeichnissen www.1207.be und www.1307.be sowie in einer Reihe weiterer elektronischer Telefonverzeichnisse aufgeführt war, kontaktierte der Beschwerdeführer am 14. August 2019 Proximus unter Verwendung des auf der Website www.1207.be zur Verfügung gestellten Kontaktformulars und beantragte bei Proximus, seine Telefonnummer „auf Ihrer/n Website/s http://www.1207.be“ „nicht zu nennen“.
10. Am selben Tag antwortete ein Arbeitnehmer von Proximus: „Wie von Ihnen erbeten, haben wir Ihren Eintrag gelöscht, so dass Ihre Daten (Telefonnummer, Name, Anschrift) nicht mehr für Telefonverzeichnisse oder Telefonauskunftsdienste verwendet werden. In wenigen Tagen werden Ihre Daten nicht mehr bei www.1207.be – www.1307.be und bei den Auskunftsdiensten (1207-1307) zur Verfügung stehen. Wir werden auch Google kontaktieren, um die maßgeblichen Links zu unserer Website zu löschen. Im Einklang mit den rechtlichen Bestimmungen sind Ihre Daten auch an andere Telefonverzeichnisse oder Telefonauskunftsdienste weitergeleitet worden, die [Proximus] um die Übermittlung von Teilnehmerdaten ersucht haben, nämlich www.wittegids.be, www.infobel.com, www.de1212.be und www.opendi.be. Durch die monatlichen Aktualisierungen werden auch sie von Ihrem Antrag informiert werden, Ihre Daten nicht länger zu verwenden.“
11. Gleichzeitig reichte der Beschwerdeführer eine Beschwerde bei der Gegevensbeschermingsautoriteit (belgische Datenschutzbehörde, im Folgenden: GBA) ein. Darin hieß es: „Ungeachtet meines schriftlichen und ausdrücklichen Antrags …, meine (brandneue) Telefonnummer … und Daten nicht in den Witte Gids, in 1207.be …, aufzunehmen, [habe ich] heute nach einem Telefonanruf von einer Firma, die meine Telefonnummer nicht hat, [festgestellt], dass meine Telefonnummer gleichwohl in www.1207.be, www.1307.be, www.wittegids.be, www.infobel.be, ww.de1212.be und höchstwahrscheinlich in die maßgeblichen Telefonauskunftsdienste 1207, 1307 sowie die Druckfassungen des bzw. der Witte Gids(en) und www.opendi.be aufgenommen worden ist.“
12. Am 27. August 2019 erklärte der Kundenkontaktdienst der GBA die Beschwerde für zulässig und verwies sie an die Geschillenkamer van de Gegevensbeschermingsautoriteit (Streitsachenkammer der belgischen Datenschutzbehörde, im Folgenden: Streitsachenkammer der GBA).
III. Maßgebliche Rechtsvorschriften
A. Unionsrecht
1. Die Charta der Grundrechte der Europäischen Union
13. Die ersten beiden Absätze von Art. 8 („Schutz personenbezogener Daten“) der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) lauten:
„(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Solche Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.“
2. Die Datenschutz-Grundverordnung
14. Der Begriff der Einwilligung steht im Mittelpunkt der Wirkungsweise der DSGVO. Nach deren Art. 4 Nr. 11 bezeichnet der Ausdruck Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
15. Im maßgeblichen Teil von Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) Abs. 1 DSGVO heißt es:
„Personenbezogene Daten müssen
a) auf rechtmäßige Weise nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘)“.
16. In Art. 5 Abs. 2 DSGVO heißt es:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
17. Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO sieht vor:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
…“
18. In den maßgeblichen Absätzen von Art. 7 („Bedingungen für die Einwilligung“) DSGVO heißt es:
„(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
…
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
…“
19. Soweit hier maßgeblich bestimmt Art. 17 DSGVO, der die Überschrift „Recht auf Löschung (‚Recht auf Vergessenwerden‘)“ trägt:
„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
…
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
…
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
…“
20. Art. 19 („Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung“) DSGVO sieht vor:
„Der Verantwortliche teilt allen Empfängern, denen [personenbezogene] Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.“
21. Art. 24 („Verantwortung des für die Verarbeitung Verantwortlichen“) Abs. 1 DSGVO sieht vor:
„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
22. Art. 95 („Verhältnis zur Richtlinie 2002/58/EG“) DSGVO sieht vor:
„Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.“
3. Richtlinie 2002/58
23. Im 17. Erwägungsgrund der Richtlinie 2002/58 heißt es:
„Für die Zwecke dieser Richtlinie sollte die Einwilligung des Nutzers oder Teilnehmers unabhängig davon, ob es sich um eine natürliche oder eine juristische Person handelt, dieselbe Bedeutung haben wie der in der Richtlinie 95/46/EG definierte und dort weiter präzisierte Begriff ‚Einwilligung der betroffenen Person‘. Die Einwilligung kann in jeder geeigneten Weise gegeben werden, wodurch der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt; hierzu zählt auch das Markieren eines Feldes auf einer Internet-Website.“
24. Soweit nicht anders angegeben gelten für die Richtlinie 2002/58 die Begriffsbestimmungen der Richtlinie 95/46(4) und der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und ‑dienste („Rahmenrichtlinie“)(5). Art. 2 Buchst. f der Richtlinie 2002/58 definiert die „Einwilligung“ eines Nutzers oder Teilnehmers unter Verweis auf die Einwilligung der betroffenen Person im Sinne der Richtlinie 95/46. Daraus folgt, dass die Begriffsbestimmung der „Einwilligung“ im Sinne der Richtlinie 2002/58 mit derjenigen in Art. 4 Nr. 11 DSGVO übereinstimmt, deren Wortlaut in Nr. 14 der vorliegenden Schlussanträge wiedergegeben ist.
25. Art. 12 Abs. 2 und 3 der Richtlinie 2002/58 sieht vor:
„(2) Die Mitgliedstaaten stellen sicher, dass die Teilnehmer Gelegenheit erhalten festzulegen, ob ihre personenbezogenen Daten – und ggf. welche – in ein öffentliches Verzeichnis aufgenommen werden, sofern diese Daten für den vom Anbieter des Verzeichnisses angegebenen Zweck relevant sind, und diese Daten prüfen, korrigieren oder löschen dürfen. Für die Nicht-Aufnahme in ein der Öffentlichkeit zugängliches Teilnehmerverzeichnis oder die Prüfung, Berichtigung oder Streichung personenbezogener Daten aus einem solchen Verzeichnis werden keine Gebühren erhoben.
(3) Die Mitgliedstaaten können verlangen, dass eine zusätzliche Einwilligung der Teilnehmer eingeholt wird, wenn ein öffentliches Verzeichnis anderen Zwecken als der Suche nach Einzelheiten betreffend die Kommunikation mit Personen anhand ihres Namens und gegebenenfalls eines Mindestbestands an anderen Kennzeichen dient.“
B. Belgisches Recht
26. Die Wet van 13 juni 2005 betreffende de elektronische communicatie (Gesetz vom 13. Juni 2005 über die elektronische Kommunikation) setzt u. a. die Richtlinie 2002/58 in belgisches Recht um(6). Deren Art. 133 Abs. 1 setzt Art. 12 Abs. 2 der Richtlinie 2002/58 um. Weitere Bestimmungen der WEC, die für die vorgeschlagenen Antworten auf die Fragen des vorlegenden Gerichts maßgeblich sind, werden unten genannt.
IV. Das nationale Verfahren und das Verfahren vor dem Gerichtshof
27. Soweit es für die Vorlage zum Gerichtshof maßgeblich erscheint, ordnete die Streitsachenkammer der GBA am 30. Juli 2020 an, dass Proximus (i) sofort angemessene Schritte zu unternehmen habe, um dem Widerruf der Einwilligung des Beschwerdeführers Rechnung zu tragen und so die Verpflichtungen aus der DSGVO hinsichtlich der Verarbeitung personenbezogener Daten zu erfüllen; (ii) dem Antrag des Beschwerdeführers auf Ausübung seines „Rechts auf Vergessenwerden“ stattzugeben habe; und (iii) die unrechtmäßige Verarbeitung von Daten zu beenden habe, die in der Weiterleitung personenbezogener Daten an Drittanbieter von Teilnehmerverzeichnissen bestehe. Sie rügte Proximus auch für die Nichtbefolgung von Art. 24 DSGVO. Die Streitsachenkammer der GBA erlegte Proximus eine Geldbuße in Höhe von 20 000 Euro wegen Verstößen gegen die Art. 6, 7 und 12 DSGVO auf (im Folgenden: angefochtene Entscheidung).
28. Proximus hat die angefochtene Entscheidung vor dem Hof van beroep te Brussel (Appellationshof Brüssel, Belgien) angefochten, der dem Gerichtshof die folgenden Fragen vorgelegt hat:
1. Ist Art. 12 Abs. 2 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. f dieser Richtlinie und Art. 95 DSGVO dahin auszulegen, dass es zulässig ist, dass eine nationale Aufsichtsbehörde mangels anderslautender nationaler Rechtsvorschriften eine „Einwilligung“ des Teilnehmers im Sinne der DSGVO als Grundlage für die Veröffentlichung seiner personenbezogenen Daten in öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten, die vom Betreiber selbst oder von Drittanbietern herausgegeben werden, verlangt?
2. Ist das Recht auf Löschung nach Art. 17 DSGVO dahin auszulegen, dass es dem entgegensteht, dass eine nationale Aufsichtsbehörde einen Antrag eines Teilnehmers auf Löschung aus öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten als einen Antrag auf Löschung im Sinne von Art. 17 DSGVO einstuft?
3. Sind Art. 24 und Art. 5 Abs. 2 DSGVO dahin auszulegen, dass sie dem entgegenstehen, dass eine nationale Aufsichtsbehörde aus der darin verankerten Rechenschaftspflicht ableitet, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss, um weitere Verantwortliche, nämlich den Telefondienstanbieter und andere Anbieter von Teilnehmerverzeichnissen und Telefonauskunftsdiensten, die Daten von dem erstgenannten Verantwortlichen empfangen haben, über den Widerruf der Einwilligung durch die betroffene Person gemäß Art. 6 in Verbindung mit Art. 7 DSGVO zu informieren?
4. Ist Art. 17 Abs. 2 DSGVO dahin auszulegen, dass er dem entgegensteht, dass eine nationale Aufsichtsbehörde einem Anbieter öffentlich zugänglicher Teilnehmerverzeichnisse und Telefonauskunftsdienste, bei dem beantragt wird, die Daten einer Person nicht mehr zu veröffentlichen, aufgibt, angemessene Maßnahmen zu treffen, um Suchmaschinen über diesen Antrag auf Löschung zu informieren?
29. Proximus, die GBA, die italienische, die lettische, die portugiesische und die rumänische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht.
30. In der Sitzung am 9. Februar 2022 haben Proximus, die GBA und die Kommission mündlich verhandelt und Fragen des Gerichtshofs beantwortet.
V. Bewertung
A. Zulässigkeit der Vorlagefragen
31. Als eine Vorfrage macht Proximus geltend, der Teil der ersten Frage, der die Verpflichtungen der Telekommunikationsanbieter im Unterschied zu denen betreffe, die Anbietern von Teilnehmerverzeichnissen auferlegt seien, sowie die zweite und die vierte Frage seien hypothetischer Natur und/oder ohne Belang für die vom vorlegenden Gericht zu entscheidenden Fragen und daher unzulässig.
32. Der Gerichtshof hat in ständiger Rechtsprechung festgestellt, dass in einem Verfahren nach Art. 267 AEUV nur das nationale Gericht, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, im Hinblick auf die Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof vorzulegenden Fragen zu beurteilen hat. Daher ist der Gerichtshof grundsätzlich gehalten, über ihm vorgelegte Fragen zu befinden, wenn diese die Auslegung des Unionsrechts betreffen(7).
33. Gleichwohl kann die Entscheidung über eine Vorlagefrage eines nationalen Gerichts abgelehnt werden, wenn die erbetene Auslegung des Gemeinschaftsrechts offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine sachdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind(8).
34. Zur Beantwortung des Vorbringens von Proximus zur Unzulässigkeit schlage ich vor, die wesentlichen Argumente der Parteien vor dem Gerichtshof darzulegen, um zu beurteilen, ob die vier Vorlagefragen so weit vom Gegenstand des bei dem vorlegenden Gericht anhängigen Rechtsstreits entfernt sind, dass sie in keinem Zusammenhang mit den Gegebenheiten oder dem Sachverhalt des Ausgangsverfahrens stehen, so dass sie insgesamt oder zum Teil unzulässig sind.
35. Proximus ist der Auffassung, sie sei nicht verpflichtet, die Einwilligung des Beschwerdeführers einzuholen, um seine Kontaktdaten in ihre Teilnehmerverzeichnisse aufzunehmen, oder ihm die Gelegenheit zu geben, festzulegen, ob seine personenbezogenen Daten in diese aufzunehmen sind. Proximus zufolge handelt es sich dabei um Fragen, für die der Telekommunikationsanbieter (hier Telenet) verantwortlich sei. Daraus folge, dass der Beschwerdeführer seinen Antrag auf Löschung seiner Kontaktdaten aus den Teilnehmerverzeichnissen von Proximus an Telenet hätte richten müssen. Hilfsweise trägt Proximus vor, dass die Bestimmungen der DSGVO betreffend das „Recht auf Vergessenwerden“ nicht maßgeblich seien, da die Entfernung der Kontaktdaten in der Änderung des Parameters „NNNNN“ in der maßgeblichen Akte in „XXXXX“ bestehe. Dies stelle eine Berichtigung und keine Löschung von Daten dar. Es sei auch unverhältnismäßig, von Proximus zu verlangen, Suchmaschinenanbieter über den Antrag des Beschwerdeführers zu informieren, da es unsicher sei, ob Letztere seine Kontaktdaten von Proximus oder einem anderen Anbieter von Teilnehmerverzeichnissen erhalten hätten.
36. Die GBA ist der Ansicht, die Aufnahme der Kontaktdaten des Beschwerdeführers in Teilnehmerverzeichnisse erfordere seine vorherige Einwilligung. Mit der Unterrichtung von Proximus, dass er nicht länger wünschte, dass seine Daten darin aufgenommen werden, sei deren fortgesetzte Aufnahme in alle solche Teilnehmerverzeichnisse unrechtmäßig geworden. Der Antrag des Beschwerdeführers stelle einen Widerruf seiner Einwilligung und eine Ausübung seines „Rechts auf Vergessenwerden“ im Sinne von Art. 17 DSGVO dar. Art. 17 Abs. 2 DSGVO verpflichte Proximus, Suchmaschinenanbieter über diesen Antrag zu informieren. Art. 5 Abs. 2 und Art. 24 DSGVO gestatteten der GBA auch, Proximus zu verpflichten, den Telekommunikationsanbieter und andere Anbieter von Teilnehmerverzeichnissen über diesen Antrag zu informieren.
37. Die Erklärungen der italienischen Regierung und der Kommission weisen weitgehend in dieselbe Richtung wie diejenigen der GBA. Während die Erklärungen der lettischen, der portugiesischen und der rumänischen Regierung einem vergleichbaren Ansatz folgen, enthalten sie auch die folgenden Einschränkungen. Die lettische Regierung weist darauf hin, es bestehe keine Rechtsgrundlage, aufgrund derer jeder Anbieter von Teilnehmerverzeichnissen verpflichtet werden könne, gesonderte Einwilligungen einzuholen: Verschiedene Anbieter, die die Daten zu demselben Zweck verwendeten, müssten in der Lage sein, sich auf eine einzige von der betroffenen Person erteilte Einwilligung zu stützen. Die rumänische Regierung ist der Auffassung, Art. 5 Abs. 2 und Art. 24 DSGVO könnten nicht in der von der GBA vorgebrachten Weise geltend gemacht werden, da diese Bestimmungen die Verantwortlichen nicht dazu verpflichten würden, in einen Dialog mit anderen Verantwortlichen einzutreten. Die portugiesische Regierung ist der Auffassung, die Pflicht der Verantwortlichen, Dritte einschließlich Suchmaschinenanbieter über Anträge auf Datenlöschung zu informieren, ergebe sich aus Art. 19 DSGVO und nicht aus deren Art. 17 Abs. 2.
38. Dieser kurze Überblick über die wesentlichen Argumente, die die Parteien vor dem Gerichtshof vorgebracht haben, bringt mich zu der Überzeugung, dass alle vier Fragen des vorlegenden Gerichts für den Gegenstand des bei ihm anhängigen Rechtsstreits maßgeblich sind und in einem so engen Zusammenhang stehen, dass keiner ihrer Teile als unzulässig erachtet werden kann. Dementsprechend schlage ich dem Gerichtshof vor, die von Proximus vorgebrachte Rüge der Unzulässigkeit der Vorlagefragen zurückzuweisen.
B. Inhaltliche Würdigung
1. Erste Frage
39. Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob nach Art. 12 Abs. 2 der Richtlinie 2002/58 in Verbindung mit deren Art. 2 Buchst. f und Art. 95 DSGVO eine Einwilligung eines Teilnehmers, wie sie in der DSGVO definiert ist, erforderlich ist, um seine Kontaktdaten in Teilnehmerverzeichnisse aufzunehmen, die von einem Telekommunikationsanbieter und/oder anderen Anbietern von Teilnehmerverzeichnissen veröffentlicht werden.
40. Art. 12 Abs. 2 der Richtlinie 2002/58 verlangt, dass die Teilnehmer Gelegenheit erhalten festzulegen, ob ihre personenbezogenen Daten in ein öffentliches Verzeichnis aufgenommen werden. Dieses Erfordernis impliziert eine entsprechende Verpflichtung, Teilnehmern eine Gelegenheit zu geben, eine ausdrückliche Entscheidung darüber zu treffen, ob sie wünschen, dass ihre Daten in solche Teilnehmerverzeichnisse aufgenommen werden. Art. 12 Abs. 3 der Richtlinie 2002/58 nennt darüber hinaus den Umstand, dass eine „zusätzliche Einwilligung“ der Teilnehmer eingeholt werden kann, wenn ein öffentliches Verzeichnis anderen Zwecken als der Suche nach Einzelheiten betreffend die Kommunikation mit Personen anhand ihres Namens dient(9). Die Nennung der „zusätzliche[n] Einwilligung“ in Art. 12 Abs. 3 impliziert auch, dass Art. 12 Abs. 2 erfordert, dass zunächst eine Einwilligung zu einer solchen Veröffentlichung einzuholen ist.
41. Wie in den Nrn. 23 und 24 der vorliegenden Schlussanträge ausgeführt, bedeutet „Einwilligung“ im Sinne von Art. 2 Buchst. f der Richtlinie 2002/58 jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
42. Die Nennung der „bestätigenden Handlung“ in der Begriffsbestimmung der Einwilligung im Sinne der Richtlinie 2002/58 ist ein weiterer Hinweis darauf, dass Teilnehmern eine Gelegenheit zu geben ist, einen „Opt-in“ bezüglich der Aufnahme ihrer personenbezogenen Daten in ein öffentliches Verzeichnis zu erklären. Entgegen dem von Proximus vorgebrachten Argument können Anbieter von Teilnehmerverzeichnissen nicht davon ausgehen, dass die Grundposition darin besteht, dass ein Teilnehmer in die Aufnahme seiner Kontaktdaten in einem öffentlichen Verzeichnis einwilligt, oder darin, was als „Opt-out“-Ansatz beschrieben werden könnte.
43. Zudem hat der Gerichtshof entschieden, dass aus einer wörtlichen und systematischen Auslegung von Art. 12 der Richtlinie 2002/58 hervorgeht, dass sich die Zustimmung nach deren Art. 12 Abs. 2 auf den Zweck der Veröffentlichung der personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis und nicht auf einen bestimmten Anbieter eines Verzeichnisses bezieht. Die Einwilligung nach Art. 12 Abs. 2 der Richtlinie 2002/58 gilt daher für jede spätere Verarbeitung dieser Daten durch dritte Unternehmen, die auf dem Markt für öffentlich zugängliche Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt(10).
44. Daraus ergibt sich, dass die Einwilligung des Teilnehmers, wie sie in Art. 4 Nr. 11 DSGVO definiert ist, für die Aufnahme seiner personenbezogenen Daten in vom Telekommunikationsanbieter und/oder Drittanbietern veröffentlichte Teilnehmerverzeichnisse erforderlich ist. Soweit eine solche Veröffentlichung denselben Zweck verfolgt, können sich der Telekommunikationsanbieter und/oder Drittanbieter auf dieselbe Einwilligung stützen.
45. Ich möchte hinzufügen, dass der Verantwortliche nach Art. 7 Abs. 1 DSGVO, wenn die Verarbeitung auf einer Einwilligung beruht, nachweisen können muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Ein Anbieter von Teilnehmerverzeichnissen wie Proximus kann nicht davon ausgehen, dass ein Teilnehmer seine Einwilligung erklärt hat, selbst wenn sie sich auf die Einwilligung berufen kann, die der Teilnehmer einem anderen Verantwortlichen erteilt hat.
46. Proximus beruft sich auf die Erwägungsgründe 38 und 39 der Richtlinie 2002/58, um das Vorbringen zu stützen, dass jede Verpflichtung, (i) die Teilnehmer vom Zweck der Verzeichnisse zu unterrichten, in die ihre personenbezogenen Daten aufgenommen werden sollen, und (ii) ihnen die Gelegenheit zu geben, festzulegen, ob ihre personenbezogenen Daten in ein Verzeichnis aufgenommen werden, allein dem Telekommunikationsanbieter obliege, mit dem der Teilnehmer einen Vertrag habe. Der Wortlaut dieser Erwägungsgründe stützt dieses Vorbringen nicht. Der 38. Erwägungsgrund nennt die Verpflichtung der „Anbieter öffentlicher Verzeichnisse“, „die darin aufzunehmenden Teilnehmer über die Zwecke des Verzeichnisses … [zu] informieren“. Im 39. Erwägungsgrund heißt es, „[d]ie Verpflichtung zur Unterrichtung der Teilnehmer über den Zweck bzw. die Zwecke öffentlicher Verzeichnisse, in die ihre personenbezogenen Daten aufzunehmen sind, sollte demjenigen auferlegt werden, der die Daten für die Aufnahme erhebt“.
47. Da Telenet keine Teilnehmerverzeichnisse veröffentlicht, findet auf sie keiner dieser Erwägungsgründe Anwendung. Zwar kann ein Telekommunikationsanbieter die Einwilligung der Teilnehmer zum Zweck der Aufnahme ihrer Daten in von Dritten angebotenen Teilnehmerverzeichnisse einholen und können sich solche Dritte anschließend auf eine solche Einwilligung stützen und in der Lage sein, nachzuweisen, dass dem Telekommunikationsanbieter eine solche Einwilligung erklärt worden ist. Die Erwägungsgründe 38 und 39 der Richtlinie 2002/58 implizieren aber nicht, dass nur Telekommunikationsanbieter verpflichtet sind, diese Einwilligung einzuholen, und dadurch Drittanbieter von Teilnehmerverzeichnissen in dieser Hinsicht von ihrer Verantwortung und Rechenschaftspflicht befreit sind.
48. Schließlich ist, da die Richtlinie 2002/58 ausdrücklich die Begriffsbestimmung der Einwilligung der DSGVO übernimmt, die von Proximus eröffnete Erörterung hinsichtlich der Auslegung von Art. 95 DSGVO und des Verhältnisses zwischen der DSGVO und der Richtlinie 2002/58, die sie als eine solche von „lex generalis/lex specialis“ bezeichnet, irrelevant.
49. Daher schlage ich dem Gerichtshof vor, die erste Frage dahin zu beantworten, dass gemäß Art. 12 Abs. 2 der Richtlinie 2002/58 in Verbindung mit deren Art. 2 Buchst. f und Art. 95 DSGVO, eine „Einwilligung“ des Teilnehmers, wie sie in Art. 4 Nr. 11 DSGVO definiert ist, für die Aufnahme seiner Kontaktdaten in Verzeichnisse erforderlich ist, die von einem Telekommunikationsanbieter und/oder von anderen Anbietern von Teilnehmerverzeichnissen veröffentlicht werden.
2. Zweite Frage
50. Mit der zweiten Frage möchte das vorlegende Gericht klären, ob ein Antrag eines Teilnehmers, seine Daten aus Verzeichnissen zu entfernen, eine Ausübung des „Rechts auf Löschung“ nach Art. 17 DSGVO darstellt.
51. Proximus vertritt die Ansicht, ein Drittanbieter von Teilnehmerverzeichnissen sei nicht verpflichtet, einen Antrag eines Teilnehmers auf Entfernung von Daten aus Verzeichnissen umzusetzen, da Art. 17 DSGVO nicht für diesen Dritten gelte. Der Teilnehmer hätte seinen Antrag an den Telekommunikationsanbieter richten müssen, mit dem er einen Vertrag habe. Proximus argumentiert wieder, das Verhältnis zwischen der DSGVO und der Richtlinie 2002/58 sei ein solches von lex generalis/lex specialis.
52. Hilfsweise bringt Proximus vor, der Antrag des Beschwerdeführers, „die Telefonnummer … nicht in 1207.be aufzunehmen“, stelle einen Antrag auf Berichtigung im Sinne von Art. 16 DSGVO dar und nicht einen Antrag auf Löschung nach Art. 17 DSGVO, da der maßgebliche Parameter in der Teilnehmerakte lediglich von „NNNNN“ in „XXXXX“ geändert werde.
53. In Art. 12 Abs. 2 der Richtlinie 2002/58 heißt es, dass Teilnehmer die Gelegenheit erhalten müssen, personenbezogene Daten, in deren Aufnahme in Teilnehmerverzeichnisse sie einwilligen, zu „korrigieren oder [zu] löschen“. Die Richtlinie 2002/58 definiert nicht die Begriffe „korrigieren oder löschen“. Es ist daher angemessen, die gewöhnliche Bedeutung dieser Worte in dem Zusammenhang zu berücksichtigen, in dem sie stehen, nämlich der Aufnahme der Kontaktdaten der Teilnehmer in Verzeichnisse. Das Wort „korrigieren“ findet eindeutig auf Situationen Anwendung, in denen Teilnehmer die Art und Weise zu ändern wünschen, auf die ihre Kontaktdaten in einem Verzeichnis erscheinen, z. B. die Korrektur der Schreibweise eines Namens oder der Unrichtigkeit einer Anschrift. Diese Situation unterscheidet sich von der hier entstandenen, in der der Beschwerdeführer wünscht, dass seine Kontaktdaten nicht länger in öffentlichen Verzeichnissen erscheinen. Zu den Bedeutungen des Wortes „löschen“ zählen „entfernen“, „aufheben“ oder „zurückrufen“. Es ist festzustellen, dass der Beschwerdeführer dadurch, dass er nicht länger in die Verarbeitung seiner Daten durch die Aufnahme in Teilnehmerverzeichnisse einwilligt, die Löschung seiner personenbezogenen Daten im Sinne von Art. 12 Abs. 2 der Richtlinie 2002/58 beantragt hat.
54. Wie die lettische Regierung ausführt, enthält die Richtlinie 2002/58 keine weiteren Hinweise auf die Modalitäten, die Umsetzung und die Folgen der Anträge, personenbezogene Daten zu „löschen“. Die Bestimmungen der DSGVO sind daher unmittelbar anwendbar, so dass das von Proximus vorgebrachte, auf einem lex generalis/lex specialis-Verhältnis zwischen diesen beiden Rechtsakten beruhende Argument hinfällig ist. Gemäß Art. 7 Abs. 3 DSGVO ist ein Teilnehmer berechtigt, seine Einwilligung jederzeit zu widerrufen. Ist diese Einwilligung widerrufen, sieht Art. 6 Abs. 1 Buchst. a DSGVO vor, dass die Verarbeitung der Daten des Teilnehmers für den bestimmten Zweck ihrer Aufnahme in Verzeichnisse nicht länger rechtmäßig ist. Dies wiederum führt zur Anwendung von Art. 17 DSGVO.
55. Proximus trägt vor, diese Auslegung könne nicht richtig sein, da dies bedeute, dass sowohl sie als auch Telenet verpflichtet seien, die Teilnehmerakte aus allen ihren Datenbanken zu löschen. Die GBA und die anderen Parteien, die beim Gerichtshof Erklärungen abgegeben haben, sind der Ansicht, der Antrag des Beschwerdeführers sei auf die Löschung seiner Daten aus Teilnehmerverzeichnissen begrenzt und nicht auf ihre Löschung aus der Datenbank der Telenet-Teilnehmer gerichtet.
56. Der Beschwerdeführer sucht die Verarbeitung seiner Daten für Zwecke zu verhindern, die mit Teilnehmerverzeichnissen in Zusammenhang stehen. Art. 17 Abs. 1 Buchst. b DSGVO, der den Widerruf der Einwilligung erlaubt, auf der die Verarbeitung beruht, ermöglicht seinen Wunsch. Die vom Teilnehmer nach Art. 12 Abs. 2 der Richtlinie 2002/58 einzuholende Einwilligung betrifft die Verarbeitung von Daten auf eine bestimmte Art und Weise, nämlich zum Zweck der Veröffentlichung in Teilnehmerverzeichnissen. Wird diese Einwilligung widerrufen, wird diese bestimmte Art und Weise der Verarbeitung der Daten des Teilnehmers rechtswidrig. Wäre dies anders, wäre ein Teilnehmer nicht in der Lage, die Einwilligung zum Zweck der Veröffentlichung in Verzeichnissen zu widerrufen, ohne gleichzeitig seinen Vertrag über die Leistung von Telekommunikationsdiensten zu kündigen.
57. Daher schlage ich dem Gerichtshof vor, auf die zweite Frage zu antworten, dass ein Antrag eines Teilnehmers, seine Daten aus Teilnehmerverzeichnissen zu entfernen, eine Ausübung des „Rechts auf Löschung“ nach Art. 17 DSGVO darstellt.
3. Dritte Frage
58. Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen klären, ob eine nationale Aufsichtsbehörde gemäß Art. 5 Abs. 2 und Art. 24 DSGVO beschließen kann, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss, um Drittverantwortliche, nämlich den Telekommunikationsanbieter und andere Anbieter von Teilnehmerverzeichnissen, die Daten von diesem Erstverantwortlichen erhalten haben, über den Widerruf der Einwilligung der betroffenen Person im Einklang mit Art. 6 DSGVO in Verbindung mit Art. 7 DSVGO zu informieren.
59. Im Rahmen dieser Frage ist der „Verantwortliche“ Proximus und die „Drittverantwortlichen“ sind: (i) der Telekommunikationsanbieter Telenet, bei der der Beschwerdeführer ein Telefonabonnement unterhält, und (ii) Anbieter von Teilnehmerverzeichnissen, denen Proximus Teilnehmerdaten liefert, einschließlich solcher, die sie von Telenet erhalten hat.
60. Da der Telekommunikationsanbieter keine Verzeichnisse anbietet und zur Aufnahme der Kontaktdaten der Teilnehmer eine Einwilligung eingeholt werden muss, ergibt sich die Frage, warum es relevant wäre, den Telekommunikationsanbieter über den Widerruf der Einwilligung des Teilnehmers zur Verwendung seiner Daten zu diesem Zweck zu informieren.
61. Die WEC verpflichtet Telekommunikationsanbieter, die Kontaktdaten der Teilnehmer an die Anbieter von Teilnehmerverzeichnissen weiterzuleiten(11). Sie müssen jedoch die Kontaktdaten der Teilnehmer „getrennt halten“, die angezeigt haben, dass sie ihre Aufnahme in ein Teilnehmerverzeichnis nicht wünschen, um ihnen zu erlauben, eine Kopie dieses Teilnehmerverzeichnisses zu erhalten(12). Wie in Nr. 4 dieser Schlussanträge ausgeführt, wird der Widerruf der Einwilligung durch die Anpassung der Parameter in einer Teilnehmerakte bewirkt. Bei Empfang eines Widerrufs einer Einwilligung aktualisiert Proximus ihre Datenbank. Diese Aktualisierung wird jedoch überschrieben, wenn Proximus vom Telekommunikationsanbieter eine weitere Teilnehmerdatensammlung zur Aufnahme dieser Daten in Teilnehmerverzeichnisse erhält und der Telekommunikationsanbieter nicht über den Antrag des Teilnehmers informiert worden ist, dass seine Daten nicht in einem öffentlichen Verzeichnis erscheinen sollen. Proximus muss daher nicht nur ihre eigene Datenbank aktualisieren, um dem Widerruf der Einwilligung des Teilnehmers Rechnung zu tragen, sondern auch den Telekommunikationsanbieter über diesen Widerruf informieren.
62. Proximus vertritt folglich den Standpunkt, sie sei lediglich eine „Empfänger[in], de[r] personenbezogene Daten offengelegt wurden“ im Sinne von Art. 19 DSGVO. Daher gelte die in Art. 17 Abs. 2 DSGVO enthaltene Verpflichtung der Verantwortlichen, angemessene Maßnahmen zu treffen, um den Löschungsantrag anderen Verantwortlichen mitzuteilen, nicht für sie. Daraus ergebe sich, dass es nicht richtig sei, Art. 5 Abs. 2 und Art. 24 DSGVO dahin auszulegen, dass diese sie dazu verpflichteten, den Telekommunikationsanbieter und andere Anbieter von Teilnehmerverzeichnissen über Löschungsanträge zu informieren, die sie erhalte.
63. Es fällt mir schwer anzunehmen, dass Proximus lediglich eine Empfängerin personenbezogener Daten ist. Während sie die Kontaktdaten des Beschwerdeführers von Telenet erhalten haben mag, stellt die Veröffentlichung dieser Daten in ihren Teilnehmerverzeichnissen eine Datenverarbeitung im Sinne von Art. 4 Abs. 2 DSGVO dar. In diesem Zusammenhang handelt Proximus als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO(13). Gemäß Art. 5 Abs. 2 und Art. 24 DSGVO müssen Verantwortliche Rechenschaft ablegen und geeignete Maßnahmen ergreifen, um zu gewährleisten, dass die Verarbeitung gemäß der DSGVO erfolgt.
64. Art. 5 Abs. 1 Buchst. a DSGVO sieht vor, dass personenbezogene Daten auf rechtmäßige Weise verarbeitet werden müssen. Gemäß Art. 6 Abs. 1 Buchst. a DSGVO ist die Verarbeitung nur rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung zur Verarbeitung ihrer Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Aus dem Vorlagebeschluss ergibt sich, dass der Beschwerdeführer seine Einwilligung im Sinne von Art. 7 DSGVO zur Verarbeitung seiner personenbezogenen Daten zur Veröffentlichung in Teilnehmerverzeichnissen widerrufen hat. Eine solche Verarbeitung einschließlich einer solchen durch andere Anbieter von Teilnehmerverzeichnissen zu demselben Zweck ist nicht mit der DSGVO vereinbar. Sie ist somit unrechtmäßig.
65. Es entspricht dieser Feststellung zusammen mit den Informationsverpflichtungen nach Art. 17 Abs. 2 und Art. 19 DSGVO, dass eine nationale Aufsichtsbehörde aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und der Verpflichtung nach Art. 24 DSGVO, sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt, ableiten kann, dass ein Verantwortlicher geeignete technische und organisatorische Maßnahmen treffen muss, um andere Verantwortliche, nämlich den Anbieter von Telekommunikationsdienstleistungen und andere Anbieter von Teilnehmerverzeichnissen, die von diesem Erstverantwortlichen Daten erhalten haben, über den Widerruf der Einwilligung der betroffenen Person gemäß Art. 6 DSGVO in Verbindung mit Art. 7 DSGVO zu informieren.
66. Die rumänische Regierung weist darauf hin, dass Art. 17 Abs. 2 DSGVO die Informationsverpflichtungen enthalte, denen Suchmaschinenanbieter nachkommen müssten, wenn Löschungsanträge gestellt würden. Es sei somit nicht angemessen, wenn sich eine nationale Aufsichtsbehörde auf Art. 5 Abs. 2 und Art. 24 DSGVO berufe, insbesondere, weil diese Bestimmungen keine spezifischen Verpflichtungen enthielten, die die Weiterleitung von Informationen an Dritte regelten.
67. Meiner Ansicht nach erlegen Art. 5 Abs. 2 und Art. 24 DSGVO Verantwortlichen eine allgemeine Rechenschaftspflicht sowie Compliance-Pflichten auf. Ihr weitgefasster Wortlaut und Anwendungsbereich ermöglicht es, eine nationale Aufsichtsbehörde zu unterstützen, die Verantwortlichen Informationspflichten gegenüber Dritten aufzuerlegen sucht. Es trifft zu, dass Art. 17 Abs. 2 und Art. 19 DSGVO spezifische Informationspflichten festlegen, die „Verantwortliche“ (im Hinblick auf Daten, die öffentlich gemacht worden sind und deren Löschung beantragt worden ist) bzw. „Empfänger“ betreffen. Diese Bestimmungen erfassen jedoch nicht den in Rede stehenden Sachverhalt, in dem infolge des Zusammenspiels der Datenbanken der verschiedenen Beteiligten die Notwendigkeit entsteht, den Telekommunikationsanbieter über den Widerruf der Einwilligung zu informieren, ohne die Proximus und Anbieter, die von Proximus erhaltene Teilnehmerdaten verwenden, Daten letztendlich unrechtmäßig verarbeiten.
68. Diese Auslegung der DSGVO führt zu einer Situation, in der ein Teilnehmer den Widerruf seiner Einwilligung (hier den Antrag, Kontaktdaten nicht in Teilnehmerverzeichnisse aufzunehmen) jeder Stelle, die solche Daten in Teilnehmerverzeichnisse aufnimmt, oder jeder Stelle (einschließlich dem Telekommunikationsanbieter) mitteilen kann, die solche Kontaktdaten anderen für denselben Zweck mitteilt. Die Stelle, zu deren Kontaktierung sich der Teilnehmer entscheidet, wird verantwortlich für die Weiterleitung seines Löschungsantrags an andere Verantwortliche, soweit dies erforderlich ist, um sicherzustellen, dass die Daten nicht unrechtmäßig verarbeitet werden. Eine solche Auslegung steht im Einklang mit der Verantwortlichen durch Art. 12 Abs. 2 DSGVO auferlegten Verpflichtung, den betroffenen Personen die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO zu erleichtern. Sie trägt ebenso dem Erfordernis nach dem letzten Satz von Art. 7 Abs. 3 DSGVO Rechnung, dass der Widerruf der Einwilligung zur Verarbeitung personenbezogener Daten so einfach wie die Erteilung der Einwilligung sein muss. Da sich ein Anbieter von Teilnehmerverzeichnissen auf die Einwilligung berufen kann, die ein Teilnehmer einem anderen Anbieter zur Verarbeitung von Daten zu diesem Zweck erteilt hat, folgt daraus, dass es einem Teilnehmer zum Widerruf der Einwilligung möglich sein muss, irgendeinen der Anbieter von Teilnehmerverzeichnissen oder den Telekommunikationsanbieter zu kontaktieren, damit seine Kontaktdaten aus den Teilnehmerverzeichnissen gelöscht werden, die von all denen veröffentlicht werden, die sich auf seine einzige Einwilligung stützen.
69. Somit schlage ich vor, dass die Antwort auf die dritte Frage lautet, dass eine nationale Aufsichtsbehörde gemäß Art. 5 Abs. 2 und Art. 24 DSGVO beschließen kann, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss, um Drittverantwortliche, nämlich den Telekommunikationsanbieter oder andere Anbieter von Teilnehmerverzeichnissen, die Daten vom Erstverantwortlichen erhalten haben, über den Widerruf der Einwilligung der betroffenen Person gemäß Art. 6 DSGVO in Verbindung mit Art. 7 DSGVO zu informieren.
4. Vierte Frage
70. Mit der vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 17 Abs. 2 DSGVO dem entgegensteht, dass eine nationale Aufsichtsbehörde einem Anbieter von Teilnehmerverzeichnissen aufgibt, Suchmaschinenanbieter über Löschungsanträge zu informieren, die er erhalten hat.
71. Diese Frage impliziert die Auffassung des vorlegenden Gerichts, dass der Beschwerdeführer nicht länger wollte, dass seine Kontaktdaten der Öffentlichkeit im Internet durch Suchmaschinen zugänglich sind.
72. Wie in Nr. 62 der vorliegenden Schlussanträge festgestellt, ist Proximus der Ansicht, Art. 17 Abs. 2 DSGVO finde auf sie keine Anwendung, da sie lediglich eine Empfängerin personenbezogener Daten sei. Hilfsweise macht Proximus geltend, sie sei nach Art. 17 Abs. 2 DSGVO lediglich verpflichtet, angemessene Maßnahmen zu treffen, um Verantwortliche darüber zu informieren, dass die betroffene Person die Löschung ihrer Daten beantragt habe(14). In Ermangelung einer unmittelbaren Offenlegung von Daten gegenüber Suchmaschinenanbietern durch Proximus sei es „nicht zu 100 % sicher“, dass diese Anbieter die Kontaktdaten des Beschwerdeführers von Proximus erhalten hätten; sie könnten diese auch von einem anderen Anbieter von Teilnehmerverzeichnissen erhalten haben. Unter solchen Umständen sei es unverhältnismäßig, Proximus zu verpflichten, bei Erhalt des Antrags des Beschwerdeführers Suchmaschinenanbieter unmittelbar zu kontaktieren.
73. Aus meiner vorgeschlagenen Antwort auf die zweite Frage folgt, dass ein Antrag eines Teilnehmers auf Entfernung seiner Daten aus Teilnehmerverzeichnissen die Anwendung der dem Verantwortlichen durch Art. 17 Abs. 2 DSGVO auferlegten Pflicht auslöst, angemessene Maßnahmen zu treffen, um Verantwortliche, die personenbezogene Daten verarbeiten, darüber zu informieren, dass die betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
74. Dies wirft sodann die Frage auf, ob Suchmaschinenanbieter Verantwortliche sind. Das Indexieren und die Bereitstellung personenbezogener Daten für Internetnutzer in einer Liste von Suchergebnissen stellt die Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. Da Suchmaschinenanbieter darüber entscheiden, wie das Indexieren dieser Daten erfolgt, und sie für die Entwicklung des Algorithmus verantwortlich sind, der die Reihenfolge festlegt, in der die Suchergebnisse erscheinen, entscheiden sie über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten und handeln dadurch als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO(15).
75. Es verbleibt das Erfordernis, dass Proximus nur angemessene Maßnahmen, auch technischer Art, zu treffen hat, um Suchmaschinenanbieter über einen Antrag auf Datenlöschung zu informieren.
76. Zur Beurteilung der Angemessenheit der getroffenen Maßnahmen sieht Art. 17 Abs. 2 DSGVO vor, dass die verfügbare Technologie und die Implementierungskosten zu berücksichtigen sind, eine Aufgabe, die vorbehaltlich gerichtlicher Überprüfung vornehmlich der für solche Angelegenheiten zuständigen Behörde zufällt. In Nr. 10 der vorliegenden Schlussanträge wird festgestellt, dass Proximus dem Beschwerdeführer mitgeteilt habe, sie werde Google über seinen Löschungsantrag informieren. In ihren Erklärungen vor dem Gerichtshof hat die GBA darauf hingewiesen, dass es in Belgien im zweiten Quartal 2020 eine begrenzte Anzahl von Suchmaschinenanbietern gegeben habe, die von Google mit einem Marktanteil zwischen 90 % (für Desktop-Suchen) und 99 % (für Smartphone- und Tablet-Suchen) angeführt worden seien(16). Allein auf dieser Grundlage erscheint die Schlussfolgerung ungerechtfertigt, es sei unangemessen, von Proximus zu verlangen, Suchmaschinenanbieter über solche von ihr erhaltene Löschungsanträge zu informieren.
77. Jedenfalls bin ich nicht davon überzeugt, dass die Beurteilung, ob die Maßnahmen, die Proximus treffen muss, um einen bestimmten Suchmaschinenanbieter zu informieren, „angemessen“ im Sinne von Art. 17 Abs. 2 DSGVO sind, berücksichtigen muss, ob es zu „100 % sicher“ ist, dass der fragliche Suchmaschinenanbieter die zu löschenden Daten von Proximus erhalten hat. Auch beeindruckt mich das Argument nicht, es sei unverhältnismäßig von Proximus zu verlangen, Maßnahmen zu treffen, um Art. 17 Abs. 2 DSGVO einzuhalten, da es nicht zu „100 % sicher“ sei, dass Suchmaschinenanbieter die Kontaktdaten des Beschwerdeführers von Proximus erhalten hätten.
78. Gestattete man Verantwortlichen, die Verantwortung für die Verarbeitung personenbezogener Daten mit dem Hinweis darauf zu vermeiden, dass die fraglichen Daten möglicherweise nicht von ihnen erhalten worden seien, würde dies jede diesbezügliche Verpflichtung unter den zahlreichen Umständen unwirksam machen, unter denen Daten im Internet verbunden oder kopiert werden. Ein solcher Ansatz könnte sogar einen perversen Anreiz bieten, Daten zu verbreiten, um dieser Verpflichtung zu entgehen. Außerdem wäre, dächte man das von Proximus vorgebrachte Argument konsequent zu Ende, kein Anbieter von Teilnehmerverzeichnissen für die Einhaltung von Art. 17 Abs. 2 DSGVO durch die Informierung der Suchmaschinenanbieter über den Antrag des Beschwerdeführers verantwortlich, da sich alle diese Anbieter auf jegliche Unsicherheit im Hinblick auf den Ursprung der Daten berufen könnten. Außerdem konnten die Suchmaschinenanbieter die Daten nicht von dem Telekommunikationsanbieter erhalten haben, da Telenet keine Teilnehmerverzeichnisse veröffentlicht. Dies bedeutet, dass der Teilnehmer herausfinden müsste, wo seine Kontaktdaten zugänglich sind, und jeder Stelle, die diese veröffentlicht, Löschungsanträge zusenden müsste. Ein solcher Ansatz wäre offensichtlich mit Art. 7 Abs. 3 DSGVO unvereinbar, der vorsieht, dass der Widerruf der Einwilligung so einfach sein muss wie die Erteilung der Einwilligung.
79. Dementsprechend schlage ich dem Gerichtshof vor, auf die vierte Frage dahin zu antworten, dass Art. 17 Abs. 2 DSGVO nicht dem entgegensteht, dass eine nationale Aufsichtsbehörde einem Anbieter von Teilnehmerverzeichnissen aufgibt, Suchmaschinenanbieter über von ihm erhaltene Löschungsanträge zu informieren.
VI. Ergebnis
80. Dementsprechend schlage ich dem Gerichtshof vor, auf die vom Hof van beroep te Brussel (Appellationshof Brüssel, Belgien) zur Vorabentscheidung vorgelegten Fragen die folgenden Antworten zu geben:
1. Gemäß Art. 12 Abs. 2 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in Verbindung mit deren Art. 2 Buchst. f und Art. 95 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist eine „Einwilligung“ des Teilnehmers, wie sie in Art. 4 Nr. 11 der Datenschutz-Grundverordnung definiert ist, für die Aufnahme seiner Kontaktdaten in Verzeichnisse erforderlich, die von einem Telekommunikationsanbieter und/oder von anderen Anbietern von Teilnehmerverzeichnissen veröffentlicht werden.
2. Ein Antrag eines Teilnehmers, seine Daten aus Teilnehmerverzeichnissen zu entfernen, stellt eine Ausübung des „Rechts auf Löschung“ nach Art. 17 Datenschutz-Grundverordnung dar.
3. Eine nationale Aufsichtsbehörde kann gemäß Art. 5 Abs. 2 und Art. 24 der Datenschutz-Grundverordnung beschließen, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss, um Drittverantwortliche, nämlich den Telekommunikationsanbieter oder andere Anbieter von Teilnehmerverzeichnissen, die Daten vom Erstverantwortlichen erhalten haben, über den Widerruf der Einwilligung der betroffenen Person gemäß Art. 6 der Datenschutz-Grundverordnung in Verbindung mit Art. 7 dieser Verordnung zu informieren.
4. Art. 17 Abs. 2 der Datenschutz-Grundverordnung steht nicht dem entgegen, dass eine nationale Aufsichtsbehörde einem Anbieter von Teilnehmerverzeichnissen aufgibt, Suchmaschinenanbieter über von ihm erhaltene Löschungsanträge zu informieren.