Im Jahr 2018 wurde die Airbnb Ireland UC (nachfolgend Airbnb), von einem registrierten Host aufgefordert alle ihm zugehörigen personenbezogenen Daten zu löschen. Damit verbunden widerrief der Betroffene seine diesbezügliche Einwilligung zur Verarbeitung seiner personenbezogenen Daten. In Reaktion auf die Betroffenenanfrage, teilte Airbnb mit, dass das Unternehmen die Löschung durchführen werde, außer es bestehe nach den Vorschriften der DSGVO die Berechtigung diese Daten aufzubewahren und, dass dies lange dauern könne. Weitere Informationen oder ein Update zum Löschantrag erhielt der Betroffene nicht.

Dies veranlasste den Betroffenen im Dezember 2018 bei der zyprischen Datenschutzbehörde Beschwerde einzureichen. Dabei rügte der Betroffene, dass seine Daten unrechtmäßig aufbewahrt wurden und den Grundsätzen der Datenminimierung und Transparenz nicht in ausreichendem Maß Rechnung getragen wurde. Die zyprische Aufsichtsbehörde als „betroffene Aufsichtsbehörde“ im Sinne des Art. 60 DSGVO, leitete die Anfrage sodann im März 2019 an die irische Aufsichtsbehörde weiter, welche in dieser Anfrage als „federführende Aufsichtsbehörde“ agierte.

Exkurs

Für die Beurteilung datenschutzrechtlicher Belange, welcher eine grenzüberschreitende Verarbeitung zugrunde liegt, führte die DSGVO das One-Stop-Shop-Verfahren ein. (Wir berichteten.)

Eine grenzüberschreitende Datenverarbeitung liegt vor, soweit eine Verarbeitung von personenbezogenen Daten durch den Verantwortlichen bzw. den Auftragsverarbeiter, innerhalb der EU in mehr als einem Mitgliedsstaat erfolgt, oder wenn die Verarbeitung zwar nur innerhalb eines Mitgliedstaates erfolgt, diese jedoch erhebliche Auswirkungen auf Personen in anderen Mitgliedstaaten hat.  Für die Beurteilung der federführenden Aufsichtsbehörde ist grundsätzlich die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen oder des Auftragsverarbeiters maßgebend (Art. 56 DSGVO). Was einfach klingt, führt in der Praxis jedoch immer wieder zu Problemen.

Ziel dieses Verfahrens ist eine weitegehende Vereinheitlichung aufsichtsrechtlicher Kommunikation mit dem Unternehmen innerhalb Europas. Es soll vermieden werden, dass sich Aufsichtsbehörden im Rahmen Ihrer Tätigkeit in Widerspruch setzen.

In den Eingaben an die irische Datenschutzbehörde brachte die Verantwortliche vor, dass der Beschwerdeführer acht Konten auf Airbnb hatte, die nach einem Angriff auf einen Gast im November 2018 gesperrt wurden. Die Verantwortliche argumentierte, dass die Daten möglicherweise in einem Straf- oder Zivilverfahren verwendet werden könnten. Dies, so ihre Ansicht, würde dazu führen, dass sie nicht zur Löschung der Daten verpflichtet sei. Zudem stehe der Verantwortlichen ein berechtigtes Interesse an der Sicherheit ihrer Plattform zu. In diesem Zusammenhang beauftragte die Verantwortliche auch ein Rechtsgutachten bei einem zyprischen Rechtsanwalt, welches das Vorgehen unterstützte.

Der Beschwerdeführer brachte seinerseits vor, dass die Verantwortliche seinem Löschbegehren noch immer nicht nachgekommen sei und auch keine diesbezüglichen Informationen zum Bearbeitungsstand bereitstellte. Hinzu komme, dass der in Rede stehende Vorfall zwar polizeilich untersucht werde, der Gast jedoch nicht über die Buchungsplattform Airbnb vermittelt wurde.

Nachdem sich die betroffene Person geweigert hatte, eine gütliche Einigung mit dem für die Verarbeitung Verantwortlichen anzustreben, nahm die irische Aufsichtsbehörde die Bearbeitung der Beschwerde auf.

Die Entscheidung

Nach einer vorläufigen Entscheidung, die an alle EU-Aufsichtsbehörden weitergeleitet wurde und der keine Einwände entgegengebracht wurden, traf die irische Datenschutzbehörde ihre endgültige Entscheidung. Zuerst prüfte die Aufsichtsbehörde, ob die Verantwortliche eine rechtmäßige Grundlage für die Verarbeitung der Daten hatte. Der Verantwortlichen war der Vorfall zwar bekannt, aber sie hatte nie eine offizielle Aufforderung seitens der Strafverfolgungsbehörden zur Datenaufbewahrung erhalten. Daher stellte sich die Frage, ob die Verantwortliche die Aufbewahrung der Kontendaten auf ein berechtigtes Interesse stützen konnte (Art. 6 Abs. 1 S.1 lit. a DSGVO). Nach einer umfassenden Abwägung der Rechte des Betroffenen mit den Interessen der Verantwortlichen wurde dies im Ergebnis bejaht. Die Verantwortliche hat ein Interesse daran, die Integrität der polizeilichen Ermittlungen zu wahren, sich vor Haftung zu schützen und die Plattform sicher zu halten. Entgegenstehende Interessen des Betroffenen liegen nicht vor. Damit wurde das Recht des Betroffenen auf Löschung seiner Daten (Art. 17 DSGVO) von der Verantwortlichen rechtmäßig eingeschränkt.

Auch gegen den Grundsatz der Datenminimierung wurde nicht verstoßen. Die für die Verarbeitung Verantwortliche bewahrte nämlich nur diejenigen Daten auf, welche laut Rechtsgutachten des zyprischen Anwalts erforderlich waren.

Allerdings wurde festgestellt, dass die Verantwortliche den Betroffenen nicht ausreichend über den Stand seines Löschungsantrags und seine Rechte informiert hatte, wodurch sie gegen Art. 12 abs. 4 DSGVO verstoßen hat.

Infolgedessen erhielt Airbnb eine Verwarnung gemäß Art. 58 Abs. 2 lit. b DSGVO.