Europäischer Gerichtshof zur Haftung eines Zeitungsverlages für Online-Artikel

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 11. September 2014 (C-291/13, derzeit nicht auf Deutsch verfügbar) entschieden, dass ein Zeitungsverlag, der eine Webseite betreibt, über die eine Online-Version der herausgegebenen Zeitung abrufbar ist, sich unter gewissen Voraussetzungen nicht auf die Haftungsprivilegierungen der Art. 12 bis 14 der Richtlinie 2000/31/EG (sog. eCommerce-Richtlinie) (in Deutschland umgesetzt in den §§ 7 – 10 TMG) berufen kann.

Der Entscheidung lagen mehrere Vorlagefragen eines zypriotischen Gerichts zugrunde. Der dortige Kläger wandte sich mit Schadenersatz- und Unterlassungsklagen gegen einen online abrufbaren Zeitungsartikel, in dem er seiner Ansicht nach diffamiert wurde.

Entgeltlichkeit bei Online-Werbung
In seiner Entscheidung legt der EuGH zunächst dar, dass der Anwendungsbereich der eCommerce-Richtlinie dann eröffnet ist, wenn es sich um Tätigkeiten eines „Dienstes der Informationsgesellschaft“ handelt. Nach Erwägungsgrund 18 umfassen diese Dienste der Informationsgesellschaft einen weiten Bereich von wirtschaftlichen Tätigkeiten, die online vonstattengehen. Art. 2 a) eCommerce-Richtlinie verweist für die Definition des Begriffs zudem auf Art. 1 Nr. 2 der Richtlinie 98/34/EG (PDF). Danach ist ein „Dienst“ eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Der EuGH stellt in seinem Urteil klar, dass das Entgelt nicht von dem Empfänger des Dienstes selbst stammen muss. Es reichen hierfür auch Einnahmen aus Werbeanzeigen aus, die auf einer Webseite vom Betreiber eingesetzt werden.

Keine Haftungsprivilegierung
Zudem befasste sich der EuGH mit der Frage, inwieweit sich der Zeitungsverlag auf die Haftungsprivilegierungen der Art. 12 bis 14 eCommerce-Richtlinie berufen kann, wenn er eine Webseite betreibt, auf der Zeitungsartikel erscheinen, die von angestellten oder freiberuflichen Journalisten verfasst wurden und der Verlag seine Vergütung auch aus den Einnahmen der Einbindung von Online-Werbeanzeigen auf der Webseite generiert.

Der EuGH verweist zunächst auf seine frühere Rechtsprechung (u.a. C-236/08), wonach sich aus Erwägungsgrund 42 der eCommerce-Richtlinie ergibt, dass die hinsichtlich der Verantwortlichkeit festgelegten Ausnahmen nur Fälle erfassen, in denen die Tätigkeit des Anbieters von Diensten der Informationsgesellschaft „rein technischer, automatischer und passiver Art“ ist. Dies bedeutet, dass der Anbieter „weder Kenntnis noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzt“. Erforderlich für eine Antwort auf die Frage, ob ein Diensteanbieter sich auf die Haftungsprivilegierung des Art. 14 eCommerce-Richtlinie, also die reine Speicherung von fremden Informationen (umgesetzt in § 10 TMG), berufen kann, ist nach dem EuGH die Feststellung, ob die Rolle dieses Anbieters insofern neutral ist, als sein Verhalten rein technischer, automatischer und passiver Art ist und er weder Kenntnis noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzt.

Für den hier vorliegenden Sachverhalt begründet der EuGH die mangelnde Haftungsprivilegierung wie folgt: Da der Zeitungsverlag grundsätzlich Kenntnis von denjenigen Informationen besitzt, die im Rahmen des Online-Angebotes in Form der Artikel bereitgestellt werden und über die Artikel und die in ihnen enthaltenen Informationen auch eine faktische Kontrolle ausübt, kann der Verlag hier nicht als „Vermittler“ im Sinne der eCommerce-Richtlinie angesehen werden. Dies unabhängig davon, ob der Zugang zu der Webseite kostenlos oder kostenpflichtig ausgestaltet ist.

Wie regelt man zukünftig Datenschutz und Meinungsfreiheit? EU-Rat verhandelt über mehrere Optionen

Auf welche Weise wird es zukünftig möglich sein, einen angemessenen Ausgleich zwischen zwei gleichwertig geltenden Grundrechten in einem europäischen Gesetz herzustellen? Oder ist dies auf gesetzlicher Ebene überhaupt nicht möglich und sollte der Rechtsprechung überlassen bleiben? Diesen Fragen widmet sich derzeit der Rat der Europäischen Union im Rahmen der Verhandlungen zur geplanten Datenschutz-Grundverordnung (PDF, DS-GVO). Die Thematik wird insbesondere seit dem Urteil des EuGH in Sachen „Google“ (C-131/12) diskutiert, in dem der Gerichtshof einen generellen Vorrang des Grundrechts auf Datenschutz postulierte.

In einem nun veröffentlichten Dokument (PDF) aus der zuständigen Ratsarbeitsgruppe (DAPIX) vom 16. Oktober 2014, stellt die derzeitige italienische Ratspräsidentschaft vier grundsätzlich mögliche Optionen vor, um einen Ausgleich zwischen den Grundrechten auf Datenschutz und Meinungsfreiheit im zukünftigen Datenschutzrecht herstellen zu können.

Alternative 1
Es ist nicht erforderlich, in der DS-GVO eine Pflicht der Mitgliedstaaten aufzunehmen, dass diese bei der Anwendung der Gesetze verschiedene Grundrechte gegeneinander abwägen und in Einklang bringen müssen. Denn die Charta der Grundrechte der Europäischen Union (PDF) gelte ohnehin direkt in jedem Mitgliedstaat und verlange bereits, einen solchen Ausgleich herbeizuführen.

Alternative 2
Ähnlich dem vorgeschlagenen Art. 80 der DS-GVO müsse eine Pflicht für Mitgliedstaaten geschaffen werden, nach der das jeweilige nationale Recht beide hier in Rede stehenden Grundrechte miteinander in Einklang bringen muss. Unter „nationalem Recht“ sei dabei auch die nationale Rechtsprechung zu verstehen.

Alternative 3
Die DS-GVO sollte, ähnlich wie derzeit Art. 9 der Datenschutz-Richtlinie (RL 95/46/EG), diejenigen Artikel bzw. Kapitel der DS-GVO benennen, von denen die Mitgliedstaaten in ihrem nationalen Recht Ausnahmen vorsehen können, wenn es für den Ausgleich zwischen dem Recht auf Datenschutz und Meinungsfreiheit erforderlich ist. Diese national ausgestalteten Ausnahmen müssten dabei optionaler Natur sein und dem Verhältnismäßigkeitsprinzip genügen.

Alternative 4
Zuletzt wäre es denkbar, eine allgemeine Regelung (etwa in Art. 1 der DS-GVO) zu schaffen, die es den Mitgliedstaaten erlaubt, in ihrem nationalen Recht Ausnahmen von jeglichen Vorgaben der DS-GVO vorzusehen, wann immer dies erforderlich ist, um einen angemessenen Ausgleich zwischen Datenschutz und der Meinungsfreiheit herzustellen.

Die Alternativen 2 und 3 sind als ausformulierte Vorschläge in dem Dokument des Rates enthalten (Art. 80). Alternative 3 beruht dabei auf einem neuen Vorschlag von Deutschland.

Intelligente Netze und Messsysteme: Kommission veröffentlicht Empfehlungen zum Datenschutz

Intelligente Netze (sog. smart grids) und daran angeschlossene Messsysteme (sog. smart meter) erfahren einen immer größeren Verbreitungsgrad. Über diese intelligenten, da digital ansteuer- und auslesbaren, Systeme können Energieunternehmen etwa Daten über das Heizverhalten oder den Stromverbrauch von Haushalten erheben und analysieren. Der Vorteil liegt auf der Hand: Strom kann aufgrund vorgenommener Analysen zum Beispiel besser verteilt werden. Welches Gebiet benötigt wann wieviel Strom? Wo und wann besteht grundsätzlich der geringste Heizbedarf? Auch eine bedarfsgerechtere Abrechnung des Energieverbrauchs ist möglich.

Da jedoch für diese Zwecke nicht nur die jeweiligen „nackten“ Messwerte abgelesen werden, spielt das Thema Datenschutz auch in diesem Bereich des ‚Internets der Dinge‘ eine wichtige Rolle. Die europäischen Datenschützer, versammelt in der sog. Artikel 29 Datenschutzgruppe, haben daher auch bereits im Jahr 2011 eine Stellungnahme zu Fragen des Datenschutzes und dem Smart Meetering verfasst (WP 183, PDF). Die europäischen Datenschützer empfehlen unter anderem vor dem Einsatz von intelligenten Messsystemen eine Datenschutz-Folgenabschätzung vorzunehmen (WP 183, S. 12).

Um eine solche Datenschutz-Folgenabschätzung, welche die potentiellen Risiken für personenbezogene Daten beim Einsatz intelligenter Zähler bereits in der Planungsphase aufzeigen und entsprechend minimieren soll, europaweit möglichst in einer einheitlichen Form durchzuführen, hat eine Arbeitsgruppe auf europäischer Ebene (Expert Group 2 (EG2)) ein Muster (Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems, PDF) entworfen, welches von Unternehmen genutzt werden soll, die den Aufbau oder Investitionen in intelligente Netze oder Messgeräte planen.

Anfang Oktober 2014 hat nun die Europäische Kommission ihre Empfehlungen zum Einsatz des Musters für die Datenschutz-Folgenabschätzung veröffentlicht (2014/724/EU, PDF). Diese Empfehlungen richten sich an die Mitgliedstaaten und wie diese bei der Verbreitung des Musters mitwirken und Unternehmen unterstützen sollten. Interessant sind zudem die in dem Dokument von der Kommission aufgestellten Definitionen zu verschiedensten Begriffen, die derzeit im Datenschutzrecht diskutiert werden (z. B. der „konzeptionsbedingte Datenschutz“ (data protection by design) oder auch der „standardmäßige Datenschutz“ (data protection by default)).

Die Kommission empfiehlt, dass die Mitgliedstaaten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und auch den nationalen Datenschutzbehörden zusammenarbeiten sollten, um in einem frühen Stadium der Einführung intelligenter Netze und intelligenter Messsysteme die Verbreitung und Anwendung des Musters für die Datenschutz-Folgenabschätzung zu fördern und zu unterstützen. Etwas konkreter sind zudem Empfehlungen, wonach die Mitgliedstaaten sicherstellen sollten, dass die für die Datenverarbeitung Verantwortlichen nach der Durchführung einer Datenschutz-Folgenabschätzung die geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen und die Folgenabschätzung sowie die anhaltende Eignung der festgelegten Maßnahmen während des gesamten Lebenszyklus der Anwendung bzw. des Systems überprüfen.

Der Einsatz des Musters zur Folgenabschätzung sowie die Umsetzungsmaßnahmen der Mitgliedstaaten sollen in einer zwei-jährigen Testphase erprobt und danach von der Kommission bewertet werden. Anhand eines nachfolgenden Prüfberichts will die Kommission dann entscheiden, ob das Muster eventuell angepasst werden muss.

Internet der Dinge und Datenschutz: Anforderungen an die Einwilligung

Industrie 4.0, Internet der Dinge, Smart Car und mehr. Die Schlagworte, unter denen der Trend beschrieben wird, dass immer mehr Alltagsgegenstände einen Anschluss an das Internet erhalten und damit selbst „online sein können“, sind mannigfaltig. Daten- und Verbraucherschützer betrachten diese Entwicklung zum Teil kritisch. Die Nutzer von intelligenten Lampen, Kühlschränken oder Rauchmeldern wüssten nämlich häufig gar nicht, ob und wenn ja, welche Daten erhoben, gespeichert und womöglich übertragen werden.

Vor dem Hintergrund dieses, der technischen Entwicklung nun einmal geschuldeten Fehlens von Informationsmöglichkeiten an jedem vernetzten Haushaltsgerät (man denke an einen mehrseitigen Papierzettel, der von einem an der Decke hängenden intelligenten Rauchmelder baumelt), stellt sich aus datenschutzrechtlicher Sicht die Frage, wie man als verantwortliche Stelle, also etwa Gerätehersteller und -vertreiber, bei einer Verarbeitung personenbezogener Daten seinen Informationspflichten (§ 33 Abs. 1 BDSG oder § 13 Abs. 1 TMG) gerecht werden kann.

Fehlende Informationen für Nutzer
Die Problematik, dass sich auch in diesem Bereich rechtliche Anforderungen von den tatsächlichen Entwicklungen am Markt immer mehr entfernen, haben zuletzt die europäischen Datenschützer (versammelt in der sog. Artikel 29 Datenschutzgruppe) erkannt und in einer Stellungnahme zum „Internet der Dinge“ (WP 223, PDF) erste Einschätzungen zum Thema Datenschutz und vernetzte Geräte gegeben (hierzu bereits mein Blogbeitrag).

Nach Ansicht der Datenschützer besteht für Betroffene etwa die Gefahr, dass sie durch die für sie unsichtbare und nicht beherrschbare Datenverarbeitung die Kontrolle über ihre Daten verlieren. Zudem wüssten viele Nutzer nicht, dass die intelligenten Geräte auch untereinander kommunizieren und sich möglicherweise gegenseitig Daten zusenden. Die Artikel 29 Datenschutzgruppe befürchtet daher, dass die Betroffenen an der effektiven Ausübung ihrer Rechte gehindert werden könnten (vgl. S. 6, WP 223).

Unwirksamkeit der Einwilligung?
Dieser Mangel an Informationen darüber, dass personenbezogene Daten verarbeitet werden und wie die geschieht, würde im Falle des Erfordernisses einer Einwilligung, wenn also die Datenverarbeitung z. B. nicht auf ein Vertragsverhältnis gestützt werden könnte, möglicherweise zu deren Unwirksamkeit führen. Denn eine Einwilligung, etwa nach § 13 Abs. 2 TMG, setzt voraus, dass der Nutzer Kenntnis davon hat, worin er einwilligt. Er muss also zumindest darüber informiert werden, auf welche Daten sich die Einwilligung bezieht und welche Verwendungszwecke sie umfasst.

Die Artikel 29 Datenschutzgruppe folgert in ihrer Stellungnahme deshalb, dass in solchen Fällen die Einwilligung keine wirksame Grundlage für eine Datenverarbeitung darstellen könne (S. 7, WP 223).

Ein alternativer Ansatz
Interessanterweise stellt die Artikel 29 Datenschutzgruppe jedoch in einem anderen, kürzlich veröffentlichten Dokument (welches sich per se gar nicht auf das Internet der Dinge bezieht) dar, wie ihrer Ansicht nach eine Einwilligung möglicherweise doch wirksam eingeholt werden könnte. Es handelt sich um das „Hausaufgabenheft“ zur Datenschutzerklärung von Google (PDF). Dort führen die Datenschützer aus, wie ihrer Ansicht nach eine Datenschutzerklärung aufgebaut und präsentiert werden kann, um den gesetzlichen Anforderungen zu genügen.

Die Artikel 29 Datenschutzgruppe verweist in dem Dokument darauf, dass für die verantwortliche Stelle datenschutzrechtliche Informationspflichten bestehen und diese auch dann eingehalten werden müssen, der Betroffene verschiedene Arten von Endgeräten nutzt, wie etwa einen PC, ein Handy oder ein Tablet. Wenn jedoch das Endgerät aufgrund seiner Konstruktion nicht die Möglichkeit bietet, die erforderlichen Informationen zur Datenverarbeitung anzuzeigen (etwa aufgrund eines fehlenden Monitors), so sehen es die europäischen Datenschützer durchaus als gangbare Alternative an, wenn die Informationen auf demjenigen Endgerät angezeigt werden und abrufbar sind, auf dem der Nutzer das intelligente Gerät konfigurieren kann (S. 3).

Die Datenschützer erwähnen explizit Geräte des Unternehmens Nest, welches intelligente Rauchmelder oder Thermostate vertreibt. Auf diese Weise böte sich damit natürlich auch die Möglichkeit, auf dem „Konfigurationsgerät“ die Einwilligung der Nutzer für eine Datenverarbeitung einzuholen. Die so vorgeschlagene Vorgehensweise lässt sich in jedem Fall begrüßen und bietet für Unternehmen, die Produkte für das Internet der Dinge herstellen und vertreiben eine interessante Alternative, um ihren datenschutzrechtlichen Pflichten nachzukommen.

Recht auf Vergessen: Google veröffentlicht neue Zahlen – Facebook am meisten betroffen

Als Teil seiner online abrufbaren Transparenzberichte hat Google am 9. Oktober 2014 neue Zahlen und Statistiken zu Löschanfragen von Betroffenen präsentiert, die ihr sog. “Recht auf Vergessenwerden” nach dem europäischen Datenschutzrecht wahrgenommen haben.

Die von Google bereitgestellten Statistiken geben Auskunft über die Gesamtzahl der Anfragen und der betroffenen Links. Auch kann man die Anfragen nach europäischen Ländern filtern. Zudem gibt Google auch Beispiele dafür, welche Arten von Anfragen gestellt wurden, worum es bei diesen inhaltlich ging und ob die betreffenden URLs aus der Ergebnisliste entfernt (bzw. unterdrückt) wurden oder nicht.
Seit dem Urteil des Europäischen Gerichtshofs (Rs C-131/12) vom 13. Mai 2014, hat Google nach eigenen Angaben 144.907 Ersuchen von Betroffenen erhalten. Diese bezogen sich auf insgesamt 497.507 URLs. Hieraus wird deutlich, dass die meisten Personen direkt nicht nur Suchergebnisse zu einer URL, sondern zu mehreren Quellen unterdrückt wissen wollen.

Die Zahlen für Deutschland: Insgesamt 24.979 Ersuchen, die sich auf 88.873 URLs bezogen.

Interessant ist zudem die Statistik, welche Webseiten (also Suchergebnisse mit URLs dieser Webseiten) im Schnitt am häufigsten von Löschanfragen betroffen waren. Spitzenreiter ist hier Facebook.com. Diesbezüglich wäre es natürlich besonders interessant, weitere Einzelheiten zu kennen. Denn wie die meisten wissen, kann man als Nutzer von Facebook Beiträge und Bilder völlig freiwillig der Öffentlichkeit (als dem gesamten Internet und damit auch der Suchmaschine von Google) zugänglich machen. In diesen Fällen wäre also wohl besonders zu untersuchen, ob eventuell die Person, die die Löschanfrage an Google gestellt hat, nicht vorher selbst in die Veröffentlichung eines Bildes oder Textes mit ihren personenbezogenen Daten eingewilligt hat. Freileich können sich die Löschgesuche aber vor allem auch auf diejenigen Fälle beziehen, in denen z.B. Bilder von einer Person ohne deren Zustimmung für die Öffentlichkeit sichtbar gemacht wurden, etwa weil sie aus ihrem Facebookprofil (dessen Inhalte nur für Freunde sichtbar sind) herauskopiert und erneut (öffentlich) gepostet/geteilt wurden.

Weitere beliebte „Löschziele“ der Antragsteller sind auch die Seiten von Youtube, das soziale Netzwerk Badoo und Personensuchmaschinen, wie etwa Yasni.

Die Initiative von Google, Informationen zu den Löschanfragen und ihrer Behandlung durch das Unternehmen zu veröffentlichen ist in jedem Fall zu begrüßen.

Konferenz der deutschen Datenschützer: „Recht, schwer gefunden zu werden“ soll weltweit gelten

Am 8. und 9. Oktober 2014 fand in Hamburg die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) statt. Auf der Tagesordnung standen unter anderem die Kontrolle von Geheimdiensten, das Google-Urteil des EuGH und der Datenschutz im KfZ. Die Entschließungen der DSK sind nun auf der Webseite des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit abrufbar.
Mit Blick auf die Tätigkeit der Nachrichtendienste (Effektive Kontrolle der Nachrichtendienste herstellen!, PDF) stellt die DSK fest, dass deren Befugnisse auch die Überwachung der Telekommunikation einschließe und damit im Bereich der strategischen Auslandsüberwachung des BND ein Kontrolldefizit einhergeht. Da für die Betroffenen die durch Nachrichtendienste vorgenommene Datenverarbeitung in weitem Maße intransparent erfolgt, ist nach Ansicht der DSK auch der Individualrechtsschutz faktisch eingeschränkt. Die DSK bemängelt, dass bestimmte Bereiche nachrichtendienstlicher Tätigkeiten per se Eigeninitiativkontrolle durch die Datenschutzbeauftragten des Bundes und der Länder entzogen seien. Es fehle an einem eigenen Kontrollmandat der Datenschutzbeauftragten für Beschränkungen des Fernmeldegeheimnisses. Die DSK hält daher eine Einbindung der Datenschutzbeauftragten neben den parlamentarischen Kontrollinstanzen (G10-Kommission) für erforderlich.

Auch das „Google-Urteil“ des EuGH (Rs. C-131/12) war ein Thema der DSK (Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen, PDF). Mit Blick auf die immer noch umstrittene Frage, ob nach einer erfolgreichen Beschwerde eines Betroffenen die Ergebnislisten auch bei einer Suche über „Google.com“ entsprecht angepasst (also bestimmte Ergebnisse unterdrückt) werden müssen, fordert die DSK, dass Anbieter von Suchmaschinen die Suchergebnisse bei einem begründeten Widerspruch weltweit unterbinden. Hinsichtlich der auch vom Bundesinnenministerium angestellten Überlegungen, unabhängige Schlichtungsstellen zu etablieren, die bei Beschwerden über zurückgewiesene Anträge von Betroffenen entscheiden sollen, scheint die DSK Zurückhaltung zu üben. Nach der Entschließung dürften alternative Streitbeilegungs-oder Streitschlichtungsverfahren das verfassungsmäßige Recht der Betroffenen auf eine unabhängige Kontrolle durch die dafür vorgesehenen staatlichen Institutionen (also Gerichte und/oder die Datenschutzbehörden) nicht beschneiden. Zuletzt streiten die Datenschützer eine Befugnis von Suchmaschinenbetreibern ab, dass diese bei einem positiven Antrag eines Betroffenen den jeweiligen Inhalteanbieter (also den Webseitenbetreiber) über die Sperrung von Suchergebnissen informieren dürften. Dies soll selbst dann gelt, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält. Meiner Ansicht nach ist dann aber, zumindest aus datenschutzrechtlicher Sicht fraglich, warum eine solche Information nicht erteilt werden dürfte? Denn personenbezogene Daten (wie der Name) werden ja dann nicht verarbeitet. Ironischerweise dürfte diese Sichtweise mit der geplanten Datenschutz-Grundverordnung ohnehin bald obsolet sein. Denn nach dem Entwurf der Kommission (Kom (2012) 11,  PDF) soll in Art. 17 Abs. 2 gerade eine solche Benachrichtigung verpflichtend eingeführt werden. Auf diese Pflicht weißt auch die italienische Ratspräsidentschaft in dem neuesten Dokument aus den Ratsverhandlungen zur Thematik des „Rechts auf Vergessenwerden“ hin (PDF).

Weitere Entschließungen der DSK:
Marktmacht und informationelle Selbstbestimmung (PDF)

Unabhängige und effektive Datenschutzaufsicht ist für Grundrechtschutz unabdingbar (PDF)

Datenschutz im Kraftfahrzeug (PDF)