Mit Entscheidung (PDF) vom 15. November 2023 hat die irische Datenschutzbehörde (DPC) unter anderem einen Verstoß der Microsoft Operations Ireland Limited gegen Art. 17 Abs. 1 DSGVO festgestellt.
Sachverhalt
In dem Verfahren ging es auch um das Auslisten von Links aus der Suchmaschine Bing. Der Betroffene beschwerte sich beim BayLDA und dieses leitete die Beschwerde nach Irland weiter. Unter anderem wandte sich der Betroffene am 9. Oktober 2021 mit mehreren Löschaufforderungen an Microsoft. Diese wurden zunächst zurückgewiesen – wie Microsoft aber später eingestand, fälschlicherweise. Der Löschprozess für die personenbezogenen Daten startete dann erst ab dem 26. November 2021. Aus Sicht der DPC sind hier 49 Tage vergangen (wobei man dafür den 9. Oktober mit einbezieht).
Entscheidung
Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern bestimmte Voraussetzungen erfüllt sind.
Was genau „unverzüglich“ bedeutet, ist in der DSGVO nicht geregelt. Eine rein nationale Auslegung verbietet sich. Nach der Rechtsprechung des EuGH müssen Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten (zum Begriff „Schaden“ in Art. 82 DSGVO, C-300/21, Rz. 29).
Im konkreten Fall vergingen nach Ansicht der DPC 49 Tage, bis der der Löschprozess angestoßen wurde. Die Aufsichtsbehörde geht davon aus, dass diese Dauer nicht mehr als „unverzüglich“ im Sinne von Art. 17 Abs. 1 DSGVO angesehen werden kann.