Gutachten des Europäischen Parlaments: Voraussetzungen für eine zulässige Vorratsdatenspeicherung

Wie geht es weiter mit einer Vorratsdatenspeicherung in Deutschland? Welche Möglichkeiten bestehen für den nationalen Gesetzgeber, neue Gesetze zu erlassen, nachdem der Gerichtshof der Europäischen Union (EuGH) im April 2014 die EU-Richtlinie zur Vorratsdatenspeicherung für unwirksam erklärt hat (C 293/12)? Ist eine nationale „VDS“ überhaupt möglich?

Antworten auf einige dieser Fragen versucht ein Gutachten des juristischen Dienstes des Europäischen Parlaments aus dem Dezember 2014 (PDF) zu geben. Das Gutachten wurde aufgrund von mehreren Fragen des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) verfasst. Das Gutachten hat einen Umfang von 27 Seiten und soll hier nicht in Gänze besprochen werden. Nachfolgend nur zu einigen, gerade aus der Sicht des deutschen Gesetzgebers relevanten, Aussagen.

Vorschriften zur Speicherung von Daten bei der Nutzung öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat fallen in den Anwendungsbereich von Art. 15 Abs. 1 der RL 2002/58/EG (in der Fassung der RL 2009/136/EG, PDF) und müssen zunächst die gesetzlichen Vorgaben dieser Vorschrift erfüllen. Ein durch gesetzliche Vorschriften zur Speicherung von Daten stattfindender Eingriff in die Rechte der Betroffenen ist danach dann erlaubt,

sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist.

Zudem setzen nationale Vorschriften, die sich auf die Erlaubnis des Art. 15 Abs. 1 der RL 2002/58/EG stützen, europäisches Recht um. Als Folge müssen sich die nationalen Regelungen an den Vorgaben der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF) messen lassen. Insbesondere Art. 7 (Achtung des Privat- und Familienlebens) und 8 (Schutz personenbezogener Daten) sowie Art. 52 Abs. 1 (Tragweite und Auslegung der Rechte und Grundsätze) der EU-Charta sind insofern durch den nationalen Gesetzgeber zu beachten. Bei der Auslegung dieser Artikel ist dann auch das Urteil des EuGH zur Unwirksamkeit der Richtlinie zur Vorratsdatenspeicherung und sind die konkreten Vorgaben des Gerichtshofs zu beachten. Hierzu gehören insbesondere:

  • klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und
  • Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen und
  • Bestimmungen zu entwickeln, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Das Gutachten des juristischen Dienstes geht jedoch nicht davon aus, dass nationale Regelungen zur Vorrastdatenspeicherung per se unzulässig wären. Die Verfasser gehen ausdrücklich davon aus, dass bestehende Regelungen zur Vorratsdatenspeicherung durchaus beibehalten werden können, wenn sie denn die Vorgaben der jeweiligen europäischen Richtlinie und der EU-Charta (unter Berücksichtigung der Auslegung durch den EuGH) erfüllen.

Das Gutachten geht zudem auf die Frage ein, inwieweit das Urteil sowohl bestehende internationale Abkommen zum Datenaustausch oder zur Datenspeicherung berührt und wie die Vorgaben des EuGH bei sich derzeit in Verhandlung befindenden Gesetzesvorhaben (Stichwort „Fluggastdaten“) zu berücksichtigen sind. Das Gutachten ist durchaus lesenswert und zeigt außerdem interessante Parallelen zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte auf.

Recht auf Vergessenwerden – Europäische Datenschützer veröffentlichen Richtlinien

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Google“ (C-131/12) aus dem Mai 2014, besitzen Betroffene einen Anspruch gegen Suchmaschinenbetreiber, mit dem sie unter gewissen Umständen Einträge aus Ergebnislisten entfernen lassen können.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der Art. 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun Richtlinien veröffentlicht (PDF), nach denen sie in Zukunft Beschwerden von Betroffenen bearbeiten möchten, die zuvor mit Ansprüchen gegenüber Suchmaschinenbetreibern gescheitert sind. Das Dokument enthält zudem interessante Informationen dazu, wie die Datenschützer das Urteil des EuGH auslegen. Nachfolgend möchte ich einige Aspekte der Richtlinien näher besprechen.

Im Allgemeinen überwiegt der Datenschutz
Zunächst verweisen (man muss sagen, leider) die Datenschützer auf die Aussage des EuGH, dass im Rahmen der Abwägung zwischen dem Grundrecht auf Schutz personenbezogener Daten mit den Grundrechten der Unternehmen und der Internetnutzer, der Datenschutz im Allgemeinen überwiegen soll. Dass dieser generelle Vorrang eines Grundrechts vor anderen Grundrechten meines Erachtens mit der Charta der Grundrechte der Europäischen Union (EU-Charta) nicht begründbar ist, hatte ich bereits einmal geschrieben. An dieser Einschätzung ändert sich meines Erachtens auch nichts, wenn darauf verwiesen wird, dass ein fairer oder angemessener Ausgleich zwischen den kollidierenden Grundrechtspositionen gefunden werden muss. Denn wenn dieser faire Ausgleich bereits unter dem Vorzeichen des generellen Vorrangs des Datenschutzes steht, dann existiert von Anfang an ein Ungleichgewicht.

Positiv hervorzuheben ist, dass die Art. 29 Gruppe explizit auf das Grundrecht auf Informationsfreiheit nach Art. 11 EU-Charta verweist. Auf der anderen Seite gehen die Datenschützer jedoch davon aus, dass die Auswirkungen von Löschansprüchen auf dieses Grundrecht gar keine große Auswirkungen haben werden, da ja die Originalseiten gar nicht gelöscht werden.

Verantwortung der Niederlassungen
Die Art. 29 Gruppe schein ein Problem zu erkennen, welches bereits in letzter Zeit in Deutschland durch die juristische Nachrichtenlandschaft ging. Einige Landgerichte haben Ansprüche, die gegen die deutsche Niederlassung von Google geltend gemacht wurden, mit der Begründung abgelehnt, dass nach dem Urteil des EuGH allein die Google Inc. in den USA verantwortlich sei. Die nationalen Niederlassungen seien nicht der richtige Anspruchsgegner und damit nicht „passivlegitimiert“. In ihren Richtlinien verweisen die Datenschützer auf das Problem, dass die geltende Datenschutzrichtlinie keine Aussage zu der Verantwortlichkeit von Niederlassungen in der europäischen Union trifft, die eine verantwortliche Stelle, welche in einem Drittland (wie den USA), in der EU besitzt. Nichtsdestotrotz fordern die Datenschützer unter Verweis auf die effektive Durchsetzung der Rechte der Betroffenen, dass diese ihre Ansprüche auch gegenüber nationalen Niederlassungen geltend machen können müssen. Meines Erachtens war der EuGH in seinem Urteil klar: verantwortliche Stelle und damit alleiniger Anspruchsgegner eines datenschutzrechtlichen Anspruchs ist die Google Inc. in den USA. Zwar waren die europäischen Niederlassungen für den EuGH von Relevanz, um europäisches Datenschutzrecht für anwendbar zu erklären. Jedoch bleibt das amerikanische Unternehmen die verantwortliche Stelle. Lösch- oder Widerspruchsansprüche bestehen nur diesem gegenüber. Man kann sich auch fragen, was denn passiert, wenn es in einem europäischen Mitgliedstaat gar keine Niederlassung gibt? Sind dann die Bürger in diesen Staaten darauf angewiesen, allein gegen das in Amerika ansässige Unternehmen vorzugehen? Es existiert ja keine nationale Niederlassung. Damit wären sie im Rahmen der Durchsetzung ihrer Rechte natürlich benachteiligt.

Keine Informationen an Webmaster
Wenig überraschend gehen die Datenschützer auch davon aus, dass Suchmaschinenbetreiber den Webmaster einer Seite nicht darüber informieren dürfen, dass ein Link auf seine Seite aus der Ergebnisliste entfernt wurde. Die Art. 29 Gruppe erkennt keine gesetzliche Grundlage, nach der eine solche Mitteilung, die personenbezogene Daten enthält, erfolgen dürfte. Auch diese Sichtweise ist meines Erachtens, zumindest teilweise, zu kritisieren. Denn zum einen müsste man für jeden Einzelfall prüfen, ob die Information an den Webmaster personenbezogene Daten enthält. Denn wenn nicht (der Name des Antragstellers wird nie mitgeteilt), dann würde das Datenschutzrecht keine Anwendung finden. Selbst wenn eine Rechtsgrundlage erforderlich wäre, dann könnte man hier an Art. 7 (c) (Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt) oder an Art. 7 (f) (Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird) der Datenschutzrichtlinie (RL 95/46/EG) denken. Warum soll etwa ein Presseverlag kein berechtigtes Interesse geltend machen können, hierüber informiert zu werden?

Am Ende des Dokumentes befinden sich dann Fallgruppen und Kriterien, nach denen die europäischen Datenschutzbehörden bestimmte Sachverhalte beurteilen können. Interessant hierbei ist etwa, dass die Datenschützer in Zukunft auch Suchen nach Pseudonymen und Nicknames als taugliche Voraussetzung eines Anspruchs ansehen wollen, wenn diese der Identität einer Person zugeordnet werden können. Das Urteil des EuGH bezog sich jedoch allein auf den Namen einer Person.

Wie regelt man zukünftig Datenschutz und Meinungsfreiheit? EU-Rat verhandelt über mehrere Optionen

Auf welche Weise wird es zukünftig möglich sein, einen angemessenen Ausgleich zwischen zwei gleichwertig geltenden Grundrechten in einem europäischen Gesetz herzustellen? Oder ist dies auf gesetzlicher Ebene überhaupt nicht möglich und sollte der Rechtsprechung überlassen bleiben? Diesen Fragen widmet sich derzeit der Rat der Europäischen Union im Rahmen der Verhandlungen zur geplanten Datenschutz-Grundverordnung (PDF, DS-GVO). Die Thematik wird insbesondere seit dem Urteil des EuGH in Sachen „Google“ (C-131/12) diskutiert, in dem der Gerichtshof einen generellen Vorrang des Grundrechts auf Datenschutz postulierte.

In einem nun veröffentlichten Dokument (PDF) aus der zuständigen Ratsarbeitsgruppe (DAPIX) vom 16. Oktober 2014, stellt die derzeitige italienische Ratspräsidentschaft vier grundsätzlich mögliche Optionen vor, um einen Ausgleich zwischen den Grundrechten auf Datenschutz und Meinungsfreiheit im zukünftigen Datenschutzrecht herstellen zu können.

Alternative 1
Es ist nicht erforderlich, in der DS-GVO eine Pflicht der Mitgliedstaaten aufzunehmen, dass diese bei der Anwendung der Gesetze verschiedene Grundrechte gegeneinander abwägen und in Einklang bringen müssen. Denn die Charta der Grundrechte der Europäischen Union (PDF) gelte ohnehin direkt in jedem Mitgliedstaat und verlange bereits, einen solchen Ausgleich herbeizuführen.

Alternative 2
Ähnlich dem vorgeschlagenen Art. 80 der DS-GVO müsse eine Pflicht für Mitgliedstaaten geschaffen werden, nach der das jeweilige nationale Recht beide hier in Rede stehenden Grundrechte miteinander in Einklang bringen muss. Unter „nationalem Recht“ sei dabei auch die nationale Rechtsprechung zu verstehen.

Alternative 3
Die DS-GVO sollte, ähnlich wie derzeit Art. 9 der Datenschutz-Richtlinie (RL 95/46/EG), diejenigen Artikel bzw. Kapitel der DS-GVO benennen, von denen die Mitgliedstaaten in ihrem nationalen Recht Ausnahmen vorsehen können, wenn es für den Ausgleich zwischen dem Recht auf Datenschutz und Meinungsfreiheit erforderlich ist. Diese national ausgestalteten Ausnahmen müssten dabei optionaler Natur sein und dem Verhältnismäßigkeitsprinzip genügen.

Alternative 4
Zuletzt wäre es denkbar, eine allgemeine Regelung (etwa in Art. 1 der DS-GVO) zu schaffen, die es den Mitgliedstaaten erlaubt, in ihrem nationalen Recht Ausnahmen von jeglichen Vorgaben der DS-GVO vorzusehen, wann immer dies erforderlich ist, um einen angemessenen Ausgleich zwischen Datenschutz und der Meinungsfreiheit herzustellen.

Die Alternativen 2 und 3 sind als ausformulierte Vorschläge in dem Dokument des Rates enthalten (Art. 80). Alternative 3 beruht dabei auf einem neuen Vorschlag von Deutschland.

Recht auf Vergessen – wie geht es weiter?

Nach dem Google-Urteil des EuGH vom 13.5.2014 (Az. C-131/12) und der anschließenden, in der Öffentlichkeit teilweise kritisierten Umsetzung durch Google, stellte sich für europäische Datenschutzbehörden die Frage, wie man mit der Entscheidung und Beschwerden von Betroffenen umgeht, die dieses Recht ausüben möchten. Doch auch der Rat der Europäischen Union hat sich, vor dem Hintergrund der möglichen Auswirkungen des Urteils auf die andauernden Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO), mit dem Thema befasst.

Treffen mit den Datenschutzbehörden
Am gestrigen Donnerstag trafen sich Vertreter von verschiedenen europäischen Datenschutzbehörden mit Anbietern von Internetsuchmaschinen in Brüssel. Wie die Artikel 29 Datenschutzgruppe (der Zusammenschluss der europäischen Aufsichtsbehörden) zuvor in einer Pressemitteilung bekannt gab (PDF), war dieses Treffen ein Teil der Initiative der Datenschützer, bis zum Herbst diesen Jahres gemeinsame Richtlinien für Datenschutzbehörden zu entwerfen, wie diese mit Beschwerden umgehen sollen, die im Anschluss an einen abgelehnten Löschantrag bei ihnen eingehen. Eine offizielle Mitteilung zu den Ergebnissen des Treffens liegt noch nicht vor. Jedoch berichtet Reuters, unter Berufung auf einen nicht genannten Teilnehmer, einige Details:

  • So haben die Datenschützer Google insbesondere dazu befragt, warum Einträge in Ergebnislisten nur auf den europäischen Angeboten gelöscht (bzw. gesperrt) werden, jedoch nicht unter der .com-Adresse. Aus Sicht der Datenschützer greife diese Umsetzung des Urteils zu kurz.
  • Bis zum Ende des Monats sollen die Suchmaschinenbetreiber weitere Informationen zur Umsetzung des Urteils bereitstellen. Diese würden in den Prozess der Entwicklung von Richtlinien für Datenschutzbehörden einfließen. Ein erster Entwurf solcher Richtlinien für Aufsichtsbehörden könnte bis Mitte September fertig gestellt sein.

Auch Bloomberg berichtet zu dem Treffen und einigen statistischen Informationen. Danach habe Google bisher mehr als 91.000 Löschanfragen erhalten, die sich auf 328.000 Internetadressen beziehen. Unter Berufung auf einen ebenfalls nicht genannten Teilnehmer des Treffens wird weiter berichtet, dass Google 30% der Anträge zurückweise und in 15% der Fälle zusätzliche Informationen zu dem Sachverhalt anfordere.

Auswirkungen auf die Datenschutz-Grundverordnung
Doch nicht nur die Datenschützer treibt die Umsetzung des Google-Urteils um. Auch in der Arbeitsgruppe Dapix des Rates der Europäischen Union, in der die DS-GVO verhandelt wird, hat man sich die Entscheidung des EuGH näher angesehen. In einem nun veröffentlichten Dokument (PDF) der Präsidentschaft an die Delegationen wird das Urteil näher erläutert und seine möglichen Folgen für die Verhandlungen analysiert. Nachfolgend einige der in dem Papier angesprochenen Themen:

Der EuGH hatte festgestellt, dass der Löschanspruch dann geltend gemacht werden kann, wenn die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich ist. Dies insbesondere dann, wenn die verarbeiteten Daten den ursprünglichen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Die Präsidentschaft ist sich jedoch nicht sicher, ob der derzeitige Wortlaut (es geht dabei um Art. 17 DS-GVO in der Fassung des Textes im Rat nach der griechischen Ratspräsidentschaft, abrufbar hier, PDF) deutlich genug zum Ausdruck bringt, dass bei der Frage, ob die Daten den ursprünglichen Zwecken nicht mehr entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, nicht auf den Betreiber der Originalwebseite, sondern auf den Betreiber der Suchmaschine abzustellen ist. Dies betrifft insbesondere auch die Frage des berechtigten Interessen bei einer vorzunehmenden Abwägung im Rahmen der Prüfung eines Erlaubnistatbestandes für die Verarbeitung.

Zudem stelle sich die Frage nach dem Verhältnis von Meinungsfreiheit und dem Recht auf Schutz personenbezogener Daten. Der EuGH hatte entschieden, dass sich allein der Betreiber der Originalwebseite auf die (sowohl in der derzeit geltenden Datenschutz-Richtlinie als auch in der DS-GVO vorgesehene) Ausnahme für die Verarbeitung von Daten zu ausschließlich journalistischen Zwecken berufen könne. Die Präsidentschaft stellt hierzu die Frage in den Raum, ob dies nicht auch für die nachfolgenden Datenverarbeiter (wie z.B. den Suchmaschinenbetreiber) gelten solle. Zu beachten ist hierbei, dass Fragen des Rechts auf freie Meinungsäußerung (aus kompetenzrechtlichen Gründen) nicht detailliert innerhalb der DS-GVO geregelt werden können.

Eine weiterer offener Punkt sei, ob es bei der Ausübung des Löschanspruchs eine gesetzlich festgelegte Reihenfolge geben soll, die der Betroffene zu beachten habe. Dass er sich also zunächst immer an den Betreiber der Originalwebseite wenden müsse und nur dann an den nachfolgenden Verarbeiter herantreten könne, wenn der Betreiber der Originalwebseite nicht mehr existiere oder nicht dem EU-Recht unterfalle. Dieser Vorschlag sei in der Vergangenheit von einigen Delegationen im Rat vorgebracht worden. Jedoch gibt die Präsidentschaft zu bedenken, dass ein solches System vom EuGH als nicht ausreichend erachtet wurde, um den Rechten des Betroffenen ausreichend Geltung zu verschaffen.

Recht auf Vergessen – Warum Google nicht überreagiert

Gestern wurde berichtet, dass verschiedene Medienunternehmen (u. a. der Guardian und die BBC) nicht mit der Art und Weise einverstanden sind, wie Google im Zuge der Umsetzung des Urteils des EuGH vom 13. Mai 2014 (Az. C-131/12) begonnen habe, Links aus Suchergebnislisten zu Beiträgen auf ihren Webseiten zu entfernen. Diese Löschungen wurden unter anderem mit der Begründung kritisiert, dass Google hier überreagiere, dass die betroffenen Presseunternehmen nicht die Gründe der Löschung und auch allgemein nicht die Kriterien kennen würden, nach denen Google die Anfragen bearbeite. Zudem könnten sie sich daher auch nicht gegen eine Löschung aus den Ergebnislisten wehren.

Dass sich nun Erstaunen und Verwunderung über diese Praxis breit macht, mag verständlich sein. Wenn man sich jedoch das EuGH-Urteil betrachtet, ist es einfach nur die logische Konsequenz der Vorgaben der europäischen Richter und keine Überraktion oder dergleichen.

Zum einen verlangt weder das EuGH-Urteil noch das geltende Datenschutzrecht, dass Google Dritten, die Urheber der Originalseite sind (in diesem Fall den Presseunternehmen), die Gründe darlegen muss, warum es einen Eintrag aus der Ergebnisliste entfernt. Klar ist vielmehr, dass derartige Löschantrage direkt an den für die Verarbeitung Verantwortlichen gerichtet werden können und von diesem zu prüfen sind. Selbst wenn Google die Kriterien veröffentlichen würde, nach denen es die Anträge beurteilt, so würde dies den Presseunternehmen wohl wenig helfen. Nach dem Urteil des EuGH sind die generell anzulegenden Maßstäbe nämlich vorgegeben: der Ausgleich der sich gegenüberstehenden Interessen kann in „besonders gelagerten Fällen von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information“ abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren kann. Damit sind die Prüfkriterien öffentlich vorgegeben.

Hier wird jedoch bereits eine negative Konsequenz des EuGH-Urteils deutlich: das Interesse der Öffentlichkeit und auch des Dritten, dass Informationen weiterhin in Ergebnislisten angezeigt werden, hat in dem von Google einzurichtenden Verfahren der Prüfung von Löschanträgen, keinen Vertreter. Beteiligt sind grundsätzlich nur der Betroffene und Google. Der Suchmaschinenbetreiber befindet sich jedoch zudem in der unangenehmen Lage, dass bei einer Nichterfüllung des Löschwunsches, der Betroffene immer noch einen Antrag bei der Datenschutzbehörde oder bei einem Gericht stellen kann. Wollte man verlangen, dass Google sich bei der Prüfung auch in die Lage der Webseitenbetreiber und der Öffentlichkeit versetzt, so würde man dem Suchmaschinenbetreiber eine unabhängige Rolle zusprechen wollen, die er aber nicht besitzt.

Nun könnte man argumentieren, dass Google dann eben in Zweifelsfällen den Eintrag nicht löschen darf, sondern es auf ein Verfahren bei der Datenschutzbehörde oder einem Gericht ankommen lassen muss. Hier kommen wir zu der nächsten, sich in der Praxis negativ auswirkenden Vorgabe des EuGH-Urteils. Denn der Gerichtshof hat klargestellt, dass „im Allgemeinen“ die Rechte der Betroffenen auf Privatsphäre und Datenschutz gegenüber dem Interesse der Internetnutzer am Zugang zu den Informationen überwiegen. Nur „in besonders gelagerten Fällen“ könne ein Ausgleich der verschiedenen Interessen etwa von der Art der Informationen oder deren Sensibilität für das Privatleben der betroffenen Person abhängen. Dies bedeutet freilich nichts anderes, als dass im Zweifel die Löschung der Links in der Ergebnisliste vorgenommen werden muss. Dies ergibt sich bereits aus dem Grundprinzip des hier in Rede stehenden Löschanspruchs. Diese stützt sich unter anderem auf die Erfüllung der Voraussetzung des Art. 7 f) der Datenschutz-Richtlinie (DS-RL), wonach die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Es ist also im Rahmen der Prüfung der Rechtmäßigkeit stets eine Abwägung der Interessen und Grundrechte vorzunehmen. Das ist der gesetzlich vorgesehene Standardfall. Die vom EuGH angesprochenen „besonders gelagerten Fälle“ können daher nicht die Abwägung und damit verbundene Schwierigkeiten an sich betreffen. Denn ansonsten würde der gesetzlich vorgesehene Standardfall zu dem vom EuGH erwähnten besonders gelagerten Fall. Google muss, wenn es dem Urteil des Gerichtshofs folgen will, also gerade auch bei Zweifelsfällen im Rahmen der Abwägung, die nicht besonders gelagert sind, die Einträge in Ergebnislisten löschen. Über diese vorgegebene Wertung zugunsten der Rechte der Betroffenen, mag man sich, meines Erachtens zu Recht, aufregen. Diese Vorgabe besteht aber nun und Google scheint sie umzusetzen. Was sich nun in der Praxis zeigt, sind die Ergebnisse des Anlegens dieser Pro-Datenschutz-Schablone.

Noch ein Gedanke zu der Forderung, dass dann eben die Datenschutzbehörde über derartige Löschanträge und damit auch die Abwägung von dem Recht auf Schutz personenbezogener Daten und dem Recht auf Informationsfreiheit entscheiden solle. Mir ist immer noch nicht klar, wie ein solches Vorgehen und eine damit verbundene Anordnung der Löschung von Links aus Ergebnislisten mit Art. 11 Abs. 1 der Grundrechtecharta der Europäischen Union vereinbar ist. Dort heißt es: „Jede Person hat das Recht…Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben“. Die Löschanordnung durch eine Aufsichtsbehörde würde jedoch genau einen solchen Eingriff in das Recht auf den Empfang von Informationen im Internet darstellen.

Zum Teil wird auch kritisiert, dass Google keine Volljuristen einstelle, um die eingehenden Anträge zu prüfen und die Abwägung vorzunehmen. Eine solche Anforderung ergibt sich weder aus dem EuGH-Urteil, noch aus dem geltenden Datenschutzrecht. Natürlich wäre es wünschenswert, wenn die Abwägung von im Presse- oder Datenschutzrecht versierten Juristen vorgenommen wird. Eine Pflicht hierzu, besteht aber nicht.

Die sich nun ausbreitende Diskussion zeigt, dass der EuGH mit seinem Urteil (wie von mir bereits beschrieben), eventuell doch über das Ziel des erforderlichen Ausgleichs der Grundrechte zwischen Privatsphäre und Datenschutz einerseits, wirtschaftlicher Betätigung und Informationszugang anderseits, hinausgeschossen sein könnte. Wenn man sich als Suchmaschinenbetreiber nun strikt an diese Vorgaben hält, dann wird in der Praxis dieses bisher nur erahnte und sich abstrakt abzeichnende Defizit der Anerkennung einer Gleichwertigkeit von Grundrechten und –freiheiten der beteiligten Parteien im Internet deutlich.

Referentenentwurf des BMJV: Klagemöglichkeiten für Verbände bei Datenschutzrechtsverstößen

Nach den Ankündigungen von Bundesjustizminister Heiko Maas Anfang diesen Jahres, Verbraucherschutzverbänden eine Klagemöglichkeit bei Datenschutzrechtsverletzungen durch Unternehmen zur Verfügung stellen zu wollen, liegt nun der Referentenentwurf aus dem BMJV vor.

Durch den Entwurf soll jedoch nicht nur das Unterlassungsklagegesetz (UKlaG) angepasst werden. Auch Änderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) und des Bürgerlichen Gesetzbuches (BGB) sind in dem Entwurf vorgesehen. Im Folgenden möchte ich eine erste grobe Einschätzung der geplanten Änderungen vornehmen.

Ziel des Gesetzes
Nach der Entwurfsbegründung soll insbesondere der Schutz von Verbrauchern gegen die unzulässige Erhebung, Verarbeitung und Nutzung ihrer Daten verbessert werden. Dabei nutzen laut dem Entwurf die besten datenschutzrechtlichen Regelungen wenig, wenn sie nicht wirksam durchgesetzt werden können. Zwar existieren die (Landes-)Datenschutzbehörden, die auch über entsprechende Kontroll- und Durchsetzungsbefugnisse verfügen. Nach dem Entwurf scheide eine flächendeckende Kontrolle aber schon aufgrund der Zahl der Unternehmer und des stetig zunehmenden Umfangs ihrer Datenerhebung, -verarbeitung und -nutzung aus. Dass man hier eventuell die Mittel und Kapazitäten der Datenschutzbehörden stärken könnte, wird anscheinend im BMJV nicht in Erwägung gezogen. Vielleicht auch deshalb, weil man hierfür nicht zuständig ist und die Länder diese Aufstockung vornehmen müssten. Zum besseren Schutz der Rechte der Verbraucher sollen deswegen laut dem Entwurf künftig neben den betroffenen Verbrauchern und den Datenschutzaufsichtsbehörden auch Verbände und (Berufs-)Kammern gegen die unzulässige Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten durch Unternehmer vorgehen können.

Derzeit können Verbraucherschutzverbände gegen, aus ihrer Sicht rechtswidrige Datenverarbeitungen durch Unternehmen nur über den Umweg des § 1 UKlaG vorgehen, wenn nämlich etwa Datenschutzerklärungen als Allgemeine Geschäftsbedingungen (AGB) qualifiziert werden. Dies soll sich nach dem Entwurf nun ändern. Die Entwurfsbegründung stellt hierzu fest, dass Rechte von Verbrauchern nicht nur beeinträchtigt werden, wenn ein Unternehmer durch das Verwenden von AGB datenschutzrechtlichen Vorschriften zuwiderhandelt,

sondern auch wenn der Unternehmer auf andere Weise gegen datenschutzrechtliche Vorschriften verstößt, wenn er Daten von Verbrauchern erhebt, verarbeitet oder nutzt.

Änderungen des UKlaG
§ 2 Abs. 1 S. 1 UKlaG
Der geltende § 2 Abs. 1 S. 1 UKlaG bestimmt, dass derjenige, der in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), im Interesse des Verbraucherschutzes auf Unterlassung in Anspruch genommen werden.

Die erste bedeutende Änderung des Entwurfs soll dadurch vorgenommen werden, dass in Zukunft auch im UKlaG Beseitigungsansprüche geltend gemacht werden können. Der Entwurf begründet dies damit, dass es auch möglich sein müsse, einen Unternehmer auch (neben einer Unterlassung für die Zukunft) dazu zu verpflichten, unzulässig gespeicherte Daten von Verbrauchern zu löschen oder zu sperren. § 2 Abs. 1 S. 1 UKlaG würde danach wie folgt lauten:

Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. (Hervorhebung durch den Autor)

§ 2 Abs. 2 Nr. 11 UKlaG
In der Aufzählung des § 2 Abs. 2 UKlaG, der festlegt, welche gesetzlichen Regelungen Verbraucherschutzgesetze darstellen, soll eine neue Nr. 11 aufgenommen werden. Zu beachten ist, dass die Aufzählung in Abs. 2 nicht abschließend ist. Dies folgt aus dem Wort „insbesondere“ am Anfang der Aufzählung. Die neue Nr. 11 soll wie folgt lauten:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Nach dem Gesetzesentwurf ist derzeit in Literatur und Rechtsprechung umstritten, ob datenschutzrechtliche Vorschriften Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 S. 1 UKlaG darstellen. Diese Streitfrage soll nun „verbindlich beantwortet“ werden und zwar indem „datenschutzrechtliche Vorschriften, die für Unternehmer gelten, wenn sie Daten von Verbrauchern erheben, verarbeiten oder nutzen, ausdrücklich in den Katalog der Verbraucherschutzgesetze aufgenommen werden“. Die Begründung des Entwurfs führt hierzu aus, dass dies solche Vorschriften sind, welche auf

die Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten anwendbar sein. Dies sind sowohl Vorschriften, die ausdrücklich den Umgang mit Verbraucherdaten regeln, als auch Vorschriften, die – wie z. B. die Vorschriften im Bundesdatenschutzgesetz, den Landesdatenschutzgesetzen, dem Telekommunikationsgesetz oder dem Telemediengesetz – nicht nur für den Umgang mit personenbezogenen Daten von Verbrauchern gelten, sondern auch für den Umgang mit anderen personenbezogenen Daten.

Der Anwendungsbereich umfasst damit im Prinzip jegliche Datenschutzvorschrift. Voraussetzung für ein Vorgehen nach den geplanten Regelungen ist allein, dass personenbezogene Daten von Verbrauchern betroffen sind und ein Unternehmer beteiligt ist. Dass unter anderem sogar der BGH (Urt. v. 16.07.2008 – VIII ZR 348/06, Rz. 17) der Meinung war, dass z. B. § 4 Abs. 1 BDSG nicht als Verbraucherschutzgesetz im Sinne von § 2 UKlaG angesehen wird, weil die Vorschrift alle natürlichen Personen, aber nicht speziell Verbraucher schütze, wird in dem Gesetzesentwurf nicht thematisiert (ebenfalls ablehnend, etwa für § 28 Abs. 4 BDSG: OLG Düsseldorf, Az. I-7 U 149/03; für §§ 3a, 4 BDSG: OLG Frankfurt a. M., Az. 6 U 168/04). Schutzgegenstand des Datenschutzrechts sind „personenbezogene Daten“. Diese können in bestimmten Situationen Verbraucher betreffen (so auch die Art. 29 Datenschutzgruppe, Stellungnahme WP 136, PDF, S. 7), jedoch nicht generell.

Kritik
Meines Erachtens ist jedoch fraglich, ob der deutsche Gesetzgeber einfach bestimmen kann, was „Verbraucherschutzgesetze“ im deutschen Recht sind, zumindest wenn diese nationalen Gesetze auf europäischen Grundlagen beruhen und eventuell durch den europäischen Gesetzgeber entsprechend eingeordnet wurden.

DS-RL verbraucherschützend?
Ein Großteil der derzeit geltenden Datenschutzvorschriften, etwa im BDSG (beruht auf Bestimmungen der RL 1995/46/EG, DS-RL) oder im TMG (beruht auf Bestimmungen der RL 2000/31/EG und RL 2002/58/EG in der geänderter Fassung durch RL 2009/136/EG, PDF), beruht auf europäischen Richtlinien.

RL 2009/22/EG (PDF) über Unterlassungsklagen zum Schutz der Verbraucherinteressen, gibt einen ersten Anhaltspunkt, warum sich der durch den Gesetzentwurf geplante pauschale Verweis auf „Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten“ möglicherweise nicht als europarechtskonform darstellen könnte. Ziel der benannten Richtlinie ist laut ihrem Art. 1 Abs. 1, die Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über Unterlassungsklagen im Sinne des Art. 2 der Richtlinie zum Schutz der Kollektivinteressen der Verbraucher, die unter die in Anhang I der Richtlinie aufgeführten europäischen Richtlinien fallen, um so das reibungslose Funktionieren des Binnenmarkts zu gewährleisten. Und in diesem Anhang I findet sich eine Auflistung von vielen verschiedenen Richtlinien, die sich dann auch in der Aufzählung des § 2 Abs. 2 UKlaG wiederfinden (z. B. RL 2000/31/EG).

Das Problem: die DS-RL wird hier nicht benannt. Man könnte meinen, dass dies eigentlich unverständlich ist, da nach Erwägungsgrund 8 DS-RL zur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich ist, welches durch die DS-RL geschaffen werden soll. Es geht also bei den Regelungen der DS-RL gerade auch um das Funktionieren des Binnenmarktes.

Doch anscheinend erkannte der europäische Gesetzgeber die DS-RL eben gerade nicht als eine solche Richtlinie an, die dem Schutz der Kollektivinteressen der Verbraucher dient. Eine Aufnahme in die Liste des Anhangs I hätte im Übrigen auch in der Vergangenheit erfolgen können, da die RL 2009/22/EG auf einer alten Richtlinie (RL 98/27/EG) beruht, die mehrfach angepasst wurde.

Ein weiteres Argument dafür, dass die DS-RL (und damit auch deren nationale Umsetzung im BDSG) grundsätzlich nicht verbraucherschützend wirkt, könnte sich aus der Verordnung 2006/2004/EG, der Verordnung über die Zusammenarbeit im Verbraucherschutz, ergeben. In der Verordnung geht es um die Zusammenarbeit der zuständigen Durchsetzungsbehörden in den Mitgliedstaaten bei innergemeinschaftlichen Verstößen gegen Gesetze zum Schutz der Verbraucherinteressen. In Art. 3 a) definiert die Verordnung die „Gesetze zum Schutz der Verbraucherinteressen“ als „die im Anhang aufgeführten Richtlinien in der in die innerstaatliche Rechtsordnung der Mitgliedstaaten umgesetzten Form und die dort aufgeführten Verordnungen“. Und auch hier stellt man fest: die DS-RL wird nicht in der Aufzählung im Anhang erwähnt, sehr wohl aber etwa wieder RL 2000/31/EG.

Diese fehlende Berücksichtigung der DS-RL in beiden europäischen Rechtsakten stellt zumindest ein starkes Indiz dafür dar, dass der europäische Gesetzgeber die DS-RL nicht (zumindest nicht generell) als verbraucherschützend qualifizieren wollte. Anhaltspunkte für einen intendierten Verbraucherschutz finden sich auch nicht in der DS-RL oder ihren Erwägungsgründen selbst.

Schutzgegenstand der DS-RL ist ausweislich ihres Art. 1 Abs. 1 die Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten, nicht der Schutz von Verbrauchern oder ähnlichen besonderen Personengruppen. Anknüpfungspunkt des Datenschutzrechts ist allein die natürliche Person. Natürlich mag diese in gewissen Situationen als Verbraucher handeln. Für diese Situationen ist das Datenschutzrecht aber nicht generell konzipiert worden.

Neue Datenschutzbehörden?
Zudem wird sich nach dem Studium des Referentenentwurfs unweigerlich die Frage nach dem Verhältnis von Verbraucherschutzverbänden zu den staatlichen Datenschutzbehörden stellen. Denn Verbraucherschutzverbände sollen nun rechtliche Möglichkeiten erlangen, die bisher allein dem Betroffenen selbst und den Datenschutzbehörden zustehen. Denn nun können Verbraucherschutzverbände auch gerichtlich gegen Unternehmen vorgehen, wenn es sich nicht um die Überprüfung von Allgemeinen Geschäftsbedingungen, sondern tatsächlich allein um die Rechtmäßigkeit der Datenverarbeitung an sich handelt. Der Entwurf führt hierzu aus: „Die Verbraucherschutzverbände und die anderen anspruchsberechtigten Stellen sollen künftig nicht nur Ansprüche auf Unterlassung und Widerruf nach § 1 UKlaG haben, wenn durch das Verwenden und Empfehlen von Allgemeinen Geschäftsbedingungen gegen datenschutzrechtliche Vorschriften verstoßen wird.

Auch hier stellen sich für mich Fragen der Vereinbarkeit des Entwurfs mit dem Europarecht.

Art. 28 DS-RL bestimmt, dass die Mitgliedstaaten vorsehen müssen, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Zudem müssen diese Stellen ihre Aufgaben in völliger Unabhängigkeit wahrnehmen.
Dabei darf man wohl davon ausgehen, dass der Gesetzesentwurf prinzipiell keine neuen Kontrollstellen schaffen möchte. Oder doch? Der EuGH hat zumindest festgestellt (Az. C-288/12, Rz. 47), dass ein Erfordernis dafür besteht, „die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch eine unabhängige Stelle zu überwachen“. Dies ergibt sich unter anderem aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF). Die entscheidende Frage ist nun, ob allein(!) diese unabhängigen und öffentlichen Stellen zur Überwachung der Einhaltung der jeweiligen nationalen Vorschriften zum Schutz personenbezogener Daten berechtigt sind? In einem anderen Urteil hat der EuGH (Az. C-518/07, Rz. 23) festgestellt, dass die in Art. 28 DS-RL vorgesehenen Kontrollstellen „die Hüter“ der Grundrechte und Grundfreiheiten aus Art. 7 und 8 EU-Charta darstellen. Ob daneben noch Platz für andere Stellen ist, die ebenfalls die Einhaltung der datenschutzrechtlichen Vorschriften überwachen dürfen?

Für mich jedoch besonders relevant in Bezug auf die Frage der Europarechtskonformität der geplanten Übertragung von Klagemöglichkeiten auf Verbände ist Art. 28 Abs. 4 DS-RL. Danach kann sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden (Hervorhebung durch den Autor). Verbände, die betroffene Personen vertreten, können sich also an die Datenschutzbehörden wenden. Dieses Recht steht auch den Betroffenen selbst zu.
Doch haben Betroffene nach Art. 22 DS-RL auch das Recht, bei der Verletzung der Rechte, die ihnen durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einzulegen. Der Verband oder eine Vertretung der Betroffenen ist in diesem Zusammenhang in der DS-RL aber gerade nicht aufgeführt, anders als in Art. 28 Abs. 4 DS-RL. Jedoch würde der vorliegende Referentenentwurf gerade eine solche Möglichkeit, bei einem Gericht einen Rechtsbehelf einzulegen, für Verbände vorsehen.

§ 3 Abs. 1 UWG
Beseitigungs- und Unterlassungsansprüche sollen entsprechend § 8 Abs. 1 UWG zudem möglich sein, wenn durch eine rechtswidrige Datenverarbeitung eine unlautere geschäftliche Handlungen i. S. d. § 3 Abs. 1 UWG begangen wird. Nach § 4 Nr. 11 UWG handelt unlauter wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Nach dem Gesetzesentwurf können auch datenschutzrechtliche Vorschriften nämlich gesetzliche Vorschriften sein, die dazu bestimmt sind, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Hier verweist der Entwurf auf einzelne Gerichtsentscheidungen, wonach insbesondere in Bezug auf § 28 BDSG in Verbindung mit §§ 4 Abs. 1, 4a Abs. 1 BDSG festgestellt wurde, dass diese Regelungen als eine solche Marktverhaltensvorschrift angesehen werden können.

Eine generelle Festschreibung, dass es sich bei datenschutzrechtlichen Vorschriften um solche handelt, welche im Interesse der Marktteilnehmer das Marktverhalten regeln, trifft der Entwurf jedoch nicht. Dies erscheint auch richtig. Derzeit wird wohl überwiegend davon ausgegangen, dass datenschutzrechtliche Vorschriften nicht generell eine marktregelnde Funktion besitzen. Ausnahmen werden vor allem dann (in konkreten Einzelfällen!) gemacht, wenn es sich um Situationen der kommerziellen Nutzung von personenbezogenen Daten handelt, vor allem für Werbung (siehe etwa OLG Köln, Az. 6 U 73/10; OLG Stuttgart, Az. 2 U 132/06; OLG Karlsruhe, Az. 6 U 38/11).

In dem Referentenentwurf wird ausdrücklich klargestellt, dass in Zukunft Ansprüche nach dem UKlaG anders als die Ansprüche nach dem UWG, auch dann gegeben sind, wenn gegen eine datenschutzrechtliche Vorschrift verstoßen wird, die keine Marktverhaltensvorschrift ist. Diese Voraussetzung muss i. R. d. UKlaG nicht gegeben sein.

Weitere Änderungen
Um einem Missbrauch der Unterlassungs- und Beseitigungsansprüche des UKlaG besser vorbeugen zu können, soll die bisher in § 2 Abs. 3 UKlaG befindliche Regelung erneuert und in einen § 2b UKlaG transformiert werden. Zum einen soll die Missbrauchsregelung auch für Ansprüche nach § 1 UKlaG (also bei der Verwendung von unwirksamen AGB) gelten. Inhaltlich soll sich die Missbrauchsregelung soll an jener des § 8 Abs. 4 UWG orientieren. Es wird daher (wie in § 8 Abs. 4 S. 2 UWG) in § 2b S. 2 UKlaG ein Anspruch auf Ersatz von Rechtsverfolgungskosten vorgesehen.

Der Referentenentwurf enthält noch andere Änderungen, unter anderem soll die Vorschrift des § 309 Nr. 13 BGB angepasst werden. Es geht hierbei um Formanforderungen, die Verwender durch Bestimmungen in AGB, insbesondere in Verbraucherverträgen, vereinbaren können. Für Erklärungen von Verbrauchern gegenüber dem Verwender von AGB soll nur noch die Textform (und nicht mehr Schriftform) vereinbart werden können.

Fazit
Hier nochmal die aus meiner Sicht wichtigsten geplanten Änderungen:

    • Ergänzung des UKlaG um einen Beseitigungsanspruch
    • Datenschutzrechtliche Vorschriften werden verbindlich als Verbraucherschutzgesetze festgelegt
    • Klagerechte für Verbraucherschutzverbände, Wirtschaftsverbände und Kammern nach dem UKlaG und dem UWG
    • Neuer § 2b UKlaG zur Vermeidung missbräuchlicher Geltendmachung
    • Änderung der Voraussetzungen für Verbände zur Eintragung in die Liste qualifizierter Einrichtungen i. S. d. § 4 UKlaG
    • Änderung des § 309 Nr. 13 BGB (nur noch Textform statt Schriftform vereinbar)
    • Änderung des § 675a BGB (Erleichterte Erfüllung der Informationspflichten im Internet durch Textform)

Für mich stellen sich nach einer ersten Sichtung des Entwurfs teilweise elementare Fragen, sowohl in Bezug auf die Vereinbarkeit mit geltendem europäischem Recht, als auch hinsichtlich der inhaltlichen Reichweite der geplanten Regelungen, gerade von § 2 Abs. 2 Nr. 11 UKlaG. Der Entwurf befindet sich nun in der Ressortabstimmung. Insbesondere könnte ich mir vorstellen, dass das für den Datenschutz federführend zuständige Bundesinnenministerium noch einige Ergänzungsvorschläge vorbringen könnte.

Das Google-Urteil des EuGH – übers Ziel hinaus geschossen?

Mit Urteil vom heutigen Tage hat der EuGH (Az. C-131/12) verschiedene wichtige Entscheidungen in Bezug auf die zukünftige Anwendung und Durchsetzung des europäischen Datenschutzrechts getroffen. Zur Entscheidung lag ihm dabei ein Verfahren zwischen Google und der spanischen Datenschutzbehörde (AEPD) vor. Die von einem spanischen Gericht vorgelegten Fragen betreffen grob folgende Themenkomplexe: 1. den räumlichen Anwendungsbereich der geltenden Datenschutzrichtlinie (DS-RL, RL 95/46/EG, PDF); 2. die Verantwortlichkeit von Suchmaschinenbetreibern für durch sie indexierte Webseiten und darauf befindliche Daten; 3. die Reichweite des Rechts auf Löschung von personenbezogenen Daten.

Sachverhalt
Der dem Urteil zugrunde liegender Sachverhalt stellt sich grob wie folgt dar: gegen einen Betroffenen wurden, aufgrund von Schulden bei der Sozialversicherung, Immobilienversteigerungen betrieben. Diese wurden in einer Zeitung zunächst offline und später auch online veröffentlicht. Die Bekanntmachung erfolgte dabei auf einer gesetzlichen Grundlage. Die AEPD lehnte daher Löschungsansprüche des Betroffenen gegen die online abrufbaren Bekanntmachungen gegen das Presseunternehmen ab. Jedoch wandte sich der Betroffene auch an Google und verlangte, dass die betreffenden Seiten aus dem Index der Suchmaschine zu nehmen seien. Dieser Beschwerde gab die AEPD statt und forderte Google auf, die Seiten aus dem Index zu entfernen. Hiergegen wendete sich Google.

Schlussanträge des Generalanwalts
Am 25.6.2013 präsentierte der zuständige Generalanwalt (GA) am EuGH, Jääskinen, seine Schlussanträge zu dem Verfahren. Hierzu hatte ich bereits einmal gebloggt. Die Ergebnisse der rechtlichen Analyse des GA waren die folgenden:

  • Verarbeitungen personenbezogener Daten werden im Rahmen der Tätigkeiten einer „Niederlassung“ des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Abs. 1 Buchst. a der DS-RL ausgeführt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet.

(Diese Auslegung stieß vielfach auf Kritik, da sie über den Wortlaut der Richtlinie hinausgehe und allein das Vorhandensein einer Niederlassung in einem europäischen Land ausreichen lassen würde, um das dortige Datenschutzrecht zur Anwendung zu bringen, auch wenn diese Niederlassung überhaupt nicht in der entscheidungserheblichen Datenverarbeitung beteiligt ist. Der Anwendungsbereich der DS-RL würde damit massiv ausgeweitet.)

  • Ein Internetsuchmaschinen-Diensteanbieter, dessen Suchmaschine nach Informationen sucht, die Dritte im Internet veröffentlicht oder gespeichert haben, diese Informationen automatisch indexiert, vorübergehend speichert und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung stellt, „verarbeitet“ personenbezogene Daten im Sinne von Art. 2 Buchst. b der DS-RL, wenn die Informationen personenbezogene Daten enthalten.
  • Der Internetsuchmaschinen-Diensteanbieter kann jedoch hinsichtlich dieser personenbezogenen Daten außer in Bezug auf den Inhalt des Indexes seiner Suchmaschine nicht als der „für die Verarbeitung Verantwortliche“ angesehen werden, es sei denn, er indexiert oder archiviert personenbezogene Daten entgegen den Weisungen oder Aufforderungen des Webseitenurhebers.
  • Das in Art. 12 Buchst. b der DS-RL geregelte Recht auf Löschung und Sperrung von Daten sowie das in Art. 14 Buchst. a der DS-RL vorgesehene Widerspruchsrecht verleihen der betroffenen Person nicht das Recht, sich an den Suchmaschinenbetreiber zu wenden, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten rechtmäßig veröffentlicht sind, und sich hierzu auf ihren Willen zu berufen, dass diese Informationen den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass die Informationen ihr schaden könnten, oder sie sich wünscht, dass die Informationen vergessen werden.

Das Urteil des EuGH
Der EuGH geht in seinem Urteil über die vom GA vorgeschlagene rechtliche Lösung hinaus. Man wird wohl bereits jetzt sagen können, dass dieses Urteil in Zukunft teils erhebliche Auswirkungen auf das Geschäftsmodell jeglichen Suchdienstes im Internet haben wird. Thomas Stadler spricht in einem Blogbeitrag davon, dass Urteil habe das Potential, die Funktionsfähigkeit von Suchwerkzeugen erheblich einzuschränken.

1. anwendbares Recht
Hier folgt der EuGH (leider) im Prinzip der Lösung des GA. Der Begriff „im Rahmen der Tätigkeit“ einer Niederlassung i. S. d. Art. 4 Abs. 1 Buchst. a DS-RL sei weit auszulegen. Der durch die DS-RL gewährleistete Schutz dürfe nicht umgangen werden, nur weil ein Diensteanbieter in einem Drittstaat ansässig sei. Daher werden auch Verarbeitungsvorgänge eines Anbieters in einem Drittstaat (hier von Google Search in den USA) „im Rahmen der Tätigkeit“ einer in einem EU Staat befindlichen Niederlassung ausgeführt, wenn diese Niederlassung die Aufgabe hat, in dem Mitgliedstaat für den Verkauf von Werbeanzeigen auf der Internetseite des Anbieters und damit die allgemeine Rentabilität des Unternehmens zu sorgen. Die Tätigkeiten des ausländischen Unternehmens und der europäischen Niederlassung seien dann untrennbar miteinander verbunden.
Diese weite Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL ist aus meiner Sicht kritikwürdig. Denn zum einen besitzt die DS-RL in Art. 4 Abs. 1 Buchst. c einen Tatbestand, der einen Anbieter aus einem Drittstaat europäischen Recht unterwerfen würde, wenn er auf Mittel in der EU zurückgreift. Diese Mittel könnten zB Computer oder aber auch Niederlassungen selbst sein. Mit der weiten Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL durch den EuGH wird diese Tatbestandsalternative praktisch kaum noch relevant werden, obwohl sie aus meiner Sicht gerade diese Konstellationen (Anbieter aus Drittland erhebt Daten im Inland) im Blick hatte. Zum anderen scheint die weite Auslegung des EuGH einfach etwas zu weit zu gehen. Denn die hier relevanten Verarbeitungsprozess (Indexierung und Crawlen) werden eben nicht im „Rahmen der Tätigkeit“ der spanischen Niederlassung durchgeführt. Im Prinzip liest der EuGH den Art. 4 Abs. 1 Buchst. a DS-RL wie „die im wirtschaftlichen Zusammenhang mit den Tätigkeiten der Niederlassung stehe“.

2. Verantwortlichkeit von Google
Der EuGH erkennt, wie der GA, in der Suche, Speicherung und Indexierung von Informationen und eben auch personenbezogenen Daten im Internet durch Google eine „Verarbeitung personenbezogener Daten“ i. S. d. Art. 2 Buchst. b DS-RL. Jedoch geht das Gericht nicht mit der Auslegung des GA konform, dass Google nur dann für die Verarbeitung verantwortlich sei, wenn es um die Daten im Index selbst gehe oder entgegen von technischen Sperren personenbezogene Daten gecrawled habe. Google sei vielmehr für alle selbst ausgeführten Tätigkeiten in Bezug auf personenbezogene Daten auf Webseiten von Dritten verantwortlich. Denn die Tätigkeit der Suchmaschine unterscheide sich von derjenigen der ursprünglichen Herausgeber. Begründet wird diese weite Auslegung des Begriffes der Verantwortlichkeit jedoch auch mit Motiven, die nicht direkt etwas mit dem Verarbeitungsvorgang zu tun haben. Die Tätigkeit von Suchmaschinen habe Anteil an der weltweiten Verbreitung personenbezogener Daten. Sie machen Daten auch solchen Nutzern zugänglich, die die Originalwebseite eventuell gar nicht gefunden hätten. Zudem bestehe die Gefahr, dass bei einer Auflistung von Informationen zu einer Person (die, wohl gemerkt, frei im Netz verfügbar sind) und einer Suche anhand ihres Namens, die Suchenden einen strukturierten Überblick über die betreffende Person erhalten, anhand dessen sie ein Profil dieser Person erstellen können.

3. Löschpflichten
Ist danach klar, dass Google grundsätzlich verantwortlich ist, sobald es mit eigenen Mechanismen Informationen aus dem Netz zusammensucht und als Ergebnislisten darstellt, stellte sich die Frage, ob Google zu einer Löschung von Links in Ergebnislisten auf Webseiten Dritter verpflichtet ist, selbst wenn die Veröffentlichung rechtmäßig erfolgte. Diese Löschpflicht kann sich aus Art. 12 Buchst. b DS-RL ergeben. Dazu müsste ihre Verarbeitung nicht den Bestimmungen der DS-RL entsprechen.

Der EuGH prüft zunächst die Rechtsgrundlage der Datenverarbeitungsvorgänge von Google. Hierbei bezieht er sich auf Art. 7 Buchst. f DS-RL. Diese Grundlage stellt auf die „berechtigten Interessen“ des für die Verarbeitung Verantwortlichen oder Dritten ab. Jedoch dürfen das Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Erforderlich ist also eine Abwägung der sich gegenüberstehenden Rechte und Interessen. Nach dem EuGH

kann eine von einem Suchmaschinenbetreiber ausgeführte Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten erheblich beeinträchtigen, wenn die Suche mit dieser Suchmaschine anhand des Namens einer natürlichen Person durchgeführt wird, da diese Verarbeitung es jedem Internetnutzer ermöglicht, mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person im Internet zu findenden Informationen zu erhalten, die potenziell zahlreiche Aspekte von deren Privatleben betreffen und ohne die betreffende Suchmaschine nicht oder nur sehr schwer hätten miteinander verknüpft werden können, und somit ein mehr oder weniger detailliertes Profil der Person zu erstellen.

Zudem steigere die Rolle des Internets und damit der weltweite Abruf der Informationen noch die Eingriffsintensität. Nun kommt das Gericht zu den berechtigten Interessen von Google. Hier führt es aus, dass wegen seiner potenziellen Schwere, ein solcher Eingriff nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers an der Verarbeitung der Daten gerechtfertigt werden könne. Die Interessen von Google bügelt der EuGH damit in einem Satz ab.

Jedoch stellt der EuGH dann fest, dass eine Löschung aus den Ergebnislisten die berechtigten Interessen von Dritten, nämlich der Internetnutzer, beeinträchtigen könnte. Nun muss also eine Interessenabwägung in diesem Verhältnis vorgenommen werden. Hierbei stellt der EuGH jedoch als Ausgangspunkt klar:

Zwar überwiegen die durch diese Artikel geschützten Rechte der betroffenen Person im Allgemeinen gegenüber dem Interesse der Internetnutzer;

Jedoch könne der nötige Ausgleich in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren. Im Prinzip lässt der EuGH hier eine (meines Erachtens bedenkliche) Tendenz erkennen. Nämlich dass Informationen dann zu löschen sind bzw. das Interesse der betroffenen Person zunächst einmal grundsätzlich überwiege und eben nur in besonderen Fällen, etwa bei Prominenten oder tagesaktuellen oder historischen Geschehnissen, hinter dem Informationsinteresse der Internetnutzer zurückzutreten habe. Damit besteht also im Ausgangspunkt eine Löschpflicht, selbst bei rechtmäßiger Weise veröffentlichten Informationen, wenn die Interessen des Betroffenen überwiegen. Dies ist nach dem EuGH grundsätzlich der Fall, außer in besonderen Situationen. Wohlgemerkt beziehen sich die Ausführungen des Gerichts auf Suchmaschinenbetreiber und die von ihnen generierten Ergebnislisten, vor allem wenn nach Namen von Personen gesucht werden.

4. Recht auf Vergessen werden
Zum Schluss befasst sich der EuGH mit der Frage, ob ein Betroffener ein Recht darauf hat, das Informationen zu ihm, die im Internet veröffentlicht wurden, irgendwann vergessen werden müssen.

Hierzu stellt der EuGH fest, dass Daten nach Art. 12 Buchst. b DS-RL auch dann zu löschen sind, wenn sie nicht den Zwecken der Verarbeitung entsprechen, dafür nicht erheblich sind oder darüber hinausgehen, nicht auf den neuesten Stand gebracht sind oder länger als erforderlich aufbewahrt werden, es sei denn ihre Aufbewahrung ist für historische, statistische oder wissenschaftliche Zwecke erforderlich. Hieraus ergebe sich, dass auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen kann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind.

Im Rahmen der Prüfung des Löschungsrechts nach Art. 12 Buchst. b DS-RL gelte es auch die Voraussetzungen des Art. 6 Abs. 1 DS-RL zu beachten, insbesondere, dass Daten nicht mehr den ursprünglichen Zwecken entsprechen. Wenn sich herausstelle, dass die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der in Rede stehenden Verarbeitung durch den Suchmaschinenbetreiber nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, müssen die betreffenden Informationen und Links der Ergebnisliste gelöscht werden, so das Gericht. Daher müsse auch geprüft werden, ob die betroffene Person ein Recht darauf habe, dass die betreffenden Information über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird. Hierbei weist der EuGH darauf hin, dass die Feststellung eines solchen Rechts nicht voraus setze, dass der betroffenen Person durch die Einbeziehung der betreffenden Information in die Ergebnisliste ein Schaden entstehe.

Und auch hier rückt der EuGH nicht von seiner eingeschlagenen Linie (des grundsätzlichen Vorrangs des Schutzes der Privatsphäre vor Informationsinteressen) ab. Er stellt vielmehr ausdrücklich klar, dass wenn die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, ist davon auszugehen, dass diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit daran, die Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche zu finden, überwiegen.

Fazit
Die Entscheidung des EuGH übertrifft wohl sämtliche Erwartungen an das Verfahren. Nicht nur weil das Gericht über die Linie des GA hinausgegangen ist, sondern vor allem mit welcher Deutlichkeit dies geschieht. Die Tendenz, dem Recht auf Schutz personenbezogener Daten grundsätzlich einen Vorrang einzuräumen und nur in besonderen Situationen eine Veröffentlichung zuzulassen, sollte man kritisch betrachten. Zudem scheint sich das Urteil vielerorts weniger durch juristische oder an Datenverarbeitungsprozessen ausgerichteten faktischen Feststellungen, sondern oft auch die allgemeine, aus Sicht der EuGH, negative Wirkung und das Geschäftsmodell von Google und dessen Suche in den Blick zu nehmen.

EU: Rat sieht hohe Hürden für neue Vorratsdatenspeicherung

Wie geht es weiter mit der Vorratsdatenspeicherung? Wird es nach dem EuGH-Urteil (Az. C-293/12, C-594/12) eine neue EU-Richtlinie oder nationale Ansätze geben?

Sowohl auf nationaler als auch internationaler Ebene stellen sich Beteiligte diese Frage und diskutieren, ob und wenn ja, unter welchen Voraussetzungen, eine Neuregelung möglich sein könnte.

Ein internes Dokument des Rates der Europäischen Union (PDF, Stand: 05.05.2014), welches durch das Generalsekretariat für den Ausschuss der ständigen Vertreter vorbereitet wurde, zeigt, dass die Hürden für eine Neuregelung als sehr hoch angesehen werden. Mehr noch: nach der Analyse wird sich das Urteil allgemein auf laufende und zukünftige Gesetzgebungsprozesse auf europäischer Ebene auswirken.

Das Papier analysiert zunächst die jeweils wichtigsten Aussagen des Urteils des EuGH. Danach werden unter Rz. 15 diejenigen Voraussetzungen aufgezählt, welche die Richtlinie zur Vorratsdatenspeicherung vermissen ließ und daher für nichtig erklärt wurde. Nach Ansicht der Verfasser des Berichts spiegeln dieses fehlenden Voraussetzungen gleichzeitig diejenigen Kriterien wieder, die für eine Rechtmäßigkeit einer möglichen neuen Richtlinie erforderlich wären. 

Interessant sind dann vor allem die Rz. 19-21 des Berichts, in denen eigene Schlussfolgerungen gezogen werden. So zeige das Urteil deutlich, dass der EuGH strenge Voraussetzungen an Gesetze anlege die, mögen sie auch noch so sinnvoll und geeignet sein, einen bestimmten Zweck zu erreichen, intensive Grundrechtseingriffe implizieren und dem Verhältnismäßigkeitstest nicht genügen. Das Gericht werde hierbei sein Augenmerk vor allem auch auf das Vorhandensein von angemessenen Schutzvorkehrungen richten, die Grundrechtseingriffe auf ein Mindestmaß beschränken müssen. Diese Schutzvorkehrungen dürften zudem nicht dem nationalen Gesetzgeber zur Ausgestaltung überlassen werden, sondern müssen bereits in der EU-rechtlichen Vorgabe enthalten sein.

Diese strengen Voraussetzungen gelten insbesondere bei solchen Rechtsakten, welche die massenhafte Sammlung und Speicherung von personenbezogenen Daten zuließen und den Strafverfolgungsbehörden zur Verfügung stehen sollen. Hier verweist der Bericht dann in einer Fußnote etwa auf die geplante Richtlinie zur Speicherung von Fluggastdaten in der EU, in der ebenfalls eine mehrjährige Datenspeicherung vorgesehen werden soll.

Fazit
Der Bericht zeigt, dass die durch den EuGH aufgestellten Hürden für eine anlasslose Speicherung von Daten und deren Nutzung durch Strafverfolgungsbehörden streng sind. Insbesondere die Vorgabe nach bereits im EU-Rechtsakt aufzustellenden Sicherheiten, um den Grundrechtseingriff so gering wie möglich ausfallen zu lassen, wird man eventuell nur mit einer Rechtsverordnung beikommen können. Denn eine Richtlinie würde stets einen gewissen Umsetzungsspielraum für die Mitgliedstaaten mit sich bringen.

Ministerkomitee des Europarates: Leitfaden der Menschenrechte von Internetnutzern

Am 16. April 2014 hat das Ministerkomitee des Europarates (Die Versammlung der Außenminister der Mitgliedstaaten) eine Empfehlung mit dem Titel „Guide to human rights for Internet users“ verabschiedet. Derartige Empfehlungen sind für die Mitgliedstaaten nicht bindend, geben jedoch die Sichtweise der für die Verabschiedung erforderlichen Mehrheit der Mitgliedstaaten wieder.
Die Empfehlung ist zweigeteilt. Zu Beginn richtet sie sich mit Forderungen an die Mitgliedstaaten. Der zweite Teil stellt den eigentlichen Leitfaden für die Bürger dar.

Empfehlungen an Mitgliedstaaten
Das Ministerkomitee stellt zunächst klar, dass die in der Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) aufgestellten Rechte und Freiheiten sowohl offline als auch online gelten.

Zudem besitzen die Mitgliedstaaten im Rahmen der Wahrung des Schutzes der Menschenrechte auch die Pflicht, die Aufsicht über private Unternehmen auszuüben. Privatrechtliche Vereinbarungen müssen sich an den durch die Grundrechte aufgestellten Prinzipien messen lassen.

Das Internet besitzt besonderen Wert als öffentliches Gut. Bürger besitzen ein berechtigtes Interesse, das Internet ohne diskriminierende Einschränkungen, sicher und zuverlässig nutzen zu können.

Bürger sollten Unterstützung erhalten, wie sie ihre Menschenrechte online wirksam ausüben könne. Hierzu gehöre auch der Zugang zu wirksamen Rechtsschutzmöglichkeiten, wenn ihre Rechte und Freiheiten eingeschränkt wurden.

Für die Sicherstellung der gleichwertigen Geltung von Menschenrechten auch im Internet empfiehlt das Ministerkomitee den Mitgliedstaaten:

  • Die Umsetzung und Anwendung des Leitfadens der Menschenrechte für Internetnutzer unter den Bürgern, den öffentlichen Stellen und den privaten Unternehmen zu fördern und konkrete Maßnahmen für seine Anwendung durchzuführen;
  • Kontinuierlich Einschränkungen von Menschenrechten im Internet zu überwachen, zu prüfen und auch aufzuheben, wenn diese nicht im Einklang mit den Vorgaben der EMRK im Lichte der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) stehen;
  • Sicherzustellen, das Internetnutzer Zugang zu wirksamen Rechtsschutzmöglichkeiten besitzen, wenn ihre Rechte eingeschränkt wurden. Dies erfordere eine Koordinierung und Zusammenarbeit der relevanten Einrichtungen. Zudem müsse eine Zusammenarbeit mit der privaten Wirtschaft und Bürgerrechtsorganisationen stattfinden.
  • Auch mit Staaten zusammenzuarbeiten, die nicht Mitglied des Europarates sind, um Maßstäbe und Verfahren zu entwickeln, die Einfluss auf den Schutz der Rechte und Freiheiten im Internet besitzen.
  • Private Unternehmen zu unterstützen und zu fördern, im Rahmen ihrer unternehmerische Gesellschaftsverantwortung in einen Dialog mit staatlichen Behörden und der Zivilgesellschaft zu treten.

Leitfaden der Menschenrechte von Internetnutzern
In dem Leitfaden selbst werden den Bürgern Informationen zu verschiedenen Menschenrechten (etwa Meinungsfreiheit, Zugang zu Informationen, Versammlungsfreiheit etc.), jeweils mit Bezug zum Internet, gegeben. Beispielhaft sei hier das Recht auf Schutz des Privatlebens (Art. 8 EMRK) genannt. Dessen Schutzbereich umfasst auch den Schutz personenbezogener Daten (zu dem Schutzumfang der EMRK und im Vergleich hierzu durch die Charta der Grundrechte der Europäischen Union hatte ich bereits einmal etwas geschrieben). Der Leitfaden weist darauf hin, dass eine Nutzung des Internets grundsätzlich mit einer Verarbeitung personenbezogener Daten einhergeht. Die Verarbeitung darf jedoch nur auf der Grundlage eines Gesetzes oder einer Einwilligung erfolgen. Zudem dürfe der Bürger nicht Gegenstand einer ständigen Überwachungsmaßnahme sein. Bei einer Einschränkung dieses Rechts, etwa zum Zwecke der Kriminalitätsbekämpfung, muss der Bürger über die Grundlagen des Eingriffs und seine Rechtsschutzmöglichkeiten informiert werden. Auch am Arbeitsplatz müsse die Privatsphäre des Bürgers beachtet werden. Überwachungsmaßnahmen durch den Arbeitgeber müssten vorher mitgeteilt werden.

Fazit
Der verabschiedete Leitfaden ist absolut begrüßenswert. Er versucht in einer möglichst bürgernahen und unjuristischen Sprache über die Rechte im Internet aufzuklären und sollte jedem interessierten Bürger als Informationsquelle dienen. Abgesehen von dem Leitfaden selbst, sind die Empfehlungen an die Mitgliedstaaten ebenfalls nicht uninteressant. Insbesondere das Votum für eine engere Einbeziehung des privaten Sektors in Form einer geminsamen Zusammenarbeit mit staatlichen Stellen zum Nutzen der Bürger fällt deutlich aus und ist meines Erachtens auch ein richtiger Weg.

Hat der EuGH die Cloud für tot erklärt?

In seinem gestrigen Urteil (Az. C?293/12 und C?594/12) zur Vereinbarkeit der Vorgaben der Richtlinie 2006/24 (VDS-RL, PDF) zur Vorratsdatenspeicherung, hat sich der EuGH naturgemäß mit den einzelnen Vorschriften zur Umsetzung der Richtlinie in nationalstaatliches Recht befasst. Die Richtlinie wurde, in ihrer jetzigen Ausformung, für nichtig erklärt (siehe hierzu die Urteilsbesprechung bei Hans Peter Lehofer), da die derzeit geltenden Vorgaben unverhältnismäßige Eingriffe in die europäischen Grundrechte auf Privatsphäre (Art. 7 Charta der Grundrechte der EU, Charta) und auf den Schutz personenbezogener Daten (Art. 8 Charta) zur Folge hätten. Bisher kaum Beachtung scheinen jedoch einige, meines Erachtens für das allgegenwärtige Cloud Computing wichtige, Ausführungen des Gerichts gefunden zu haben.

In seinem Urteil prüft der EuGH ab Rz. 56 die Verhältnismäßigkeit der Vorgaben der VDS-RL im engeren Sinne. Die dort erlaubten Eingriffe in Grundrechte müssen auf das absolut notwendige Maß beschränkt sein. In Rz. 65 kommt das Gericht zu dem Schluss:

Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Maßnahmen zur Datensicherheit
„Gut“, möchte man denken. Damit ist die Prüfung abgeschlossen. Doch das Gericht fügt seiner Begründung noch drei weitere Randziffern (66-68) an. In diesen befasst es sich, freilich zunächst auch mit Blick auf die VDS-RL, mit der Sicherheit und dem Schutz von gespeicherten Daten. Der EuGH stellt fest, die VDS-RL keine ausreichenden Bestimmungen enthalte, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind (Rz. 66).

Solche Vorgaben zum Schutz personenbezogener Daten und gerade auch in Bezug auf Maßnahmen zur Gewährung der Datensicherheit kennen wir aus der Datenschutz-Richtlinie, 95/46/EG (DS-RL, PDF). Dort bestimmt Art. 17 DS-RL entsprechende Pflichten für die verantwortliche Stelle. Im Falle einer Auftragsdatenverarbeitung, wenn also die tatsächlichen Verarbeitungsprozesse von einem Dritten wahrgenommen werden, bestimmt Art. 17 Abs. 2 DS-RL, dass die verantwortliche Stelle nur solche Auftragnehmer auswählen darf, die technische Sicherheitsmaßnahmen bereithalten. Zudem muss sich der Verantwortliche hiervon auch selbst überzeugen. Art. 17 Abs. 3 DS-RL bestimmt zudem, dass auch den Auftragsdatenverarbeiter selbst Pflichten zur Datensicherheit nach dem für ihn geltenden nationalen Datenschutzrecht treffen.

Cloud Computing
Diese Konstellation, die Datenverarbeitung durch einen Auftragnehmer, ist das typische Beispiel, welches den meisten Cloud Computing-Lösungen zugrunde liegt. Man nehme etwa den Anbieter eines Internet-Speicherdienstes: Der Anbieter der Cloud ist der Auftragsdatenverarbeiter (er selbst sitzt z. B. in den USA, seine Server stehen auf der ganzen Welt), der Kunde ist die verantwortliche Stelle (ob diese rechtliche Einschätzung in der heutigen Zeit noch angemessen erscheint, soll hier nicht diskutiert werden; sie ist nicht unumstritten, wird so aber etwa von der Art. 29 Datenschutzgruppe vertreten, siehe Stellungnahme WP 196, PDF).

Zurück zum Urteil des EuGH. Auch das Gericht verweist für erforderliche Sicherheitsmaßnahmen auf die Vorgaben des Art. 17 DS-RL (Rz. 67), deren Einhaltung, wir erinnern uns an das Beispiel, der Kunde des Speicherdienstes zu prüfen hätte und der Speicherdienst als Auftragnehmer auch selbst einsetzen müsste. Doch nun wird es interessant und relevant.

Datenspeicherung in Drittstaaten
Der EuGH kritisiert in Rz. 68, dass die VDS-RL im Rahmen der erforderlichen Sicherheitsmaßnahmen keine Vorgaben dazu macht, dass die Daten nur innerhalb des Unionsgebietes gespeichert werden dürfen. Hieraus folgert das Gericht, dass

es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird.

Der in dem Zitat angesprochene Art. 8 Abs. 3 Charta bestimmt, dass die Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch eine unabhängige Stelle überwacht werden müssen. In der Praxis sind dies in Europa die Datenschutzbehörden.

Was bedeutet diese Aussage nun? Der EuGH scheint der Auffassung zu sein, dass Daten, welche auf Servern in Drittstaaten gespeichert werden, nicht dem Schutzniveau des Art. 8 Charta entsprechend geschützt werden können. Dies deshalb, weil in dem jeweiligen Drittstaat möglicherweise keine unabhängige Stelle existiert, welche die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit überwacht. Nun mag man einwenden, dass es ja gerade für Fälle der Übermittlung von Daten in Drittstaaten etwa Standardvertragsklauseln gibt oder auch Angemessenheitsbeschlüsse der Kommission, die einem Drittstaat (oder einem gewissen Wirtschaftsbereich) ein angemessenes Schutzniveau bescheinigen. Auf diese Instrumente scheint das Gericht aber überhaupt nicht abzustellen. Sein Verweis bezieht sich vielmehr auf das Vorhandensein einer unabhängigen Stelle im Sinne des Art. 8 Abs. 3 Charta. Diese Überwachung durch unabhängige Datenschutzbehörden ist für den EuGH entscheidend.

Hiergegen mag man ins Feld führen, dass es ja auch in Drittstaaten unabhängige Behörden gibt, welche die Einhaltung des dortigen Datenschutzrechts überwachen. Doch auch diesbezüglich scheint der EuGH den Grundrechtsschutz des Art. 8 Charta äußerst streng zu nehmen, denn er führt aus:

Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Das Gericht knüpft das Erfordernis der Überwachung durch eine unabhängige Stelle an die „Grundlage des Unionsrechts“. Es mag also durchaus unabhängige Datenschutzbehörden in Drittstaaten geben. Diese überwachen die Einhaltung von Vorgaben zur Datensicherheit und zum Datenschutz jedoch grundsätzlich nicht auf Grundlage des Unionsrechts. Vielmehr gilt für diese Behörden ihr jeweils nationales Recht. Ebenso muss für europäische Datenschutzbehörden festgestellt werden, dass diese ihre Überwachungsmaßnahmen nicht in Drittstaaten ausdehnen können. Sie sind hinsichtlich ihrer öffentlich-rechtlichen Befugnisse vielmehr territorial beschränkt. Man könnte sich nun fragen, wann denn überhaupt eine Behörde auf der Grundlage des Unionsrechts die Einhaltung von Datenschutz- und Datensicherheitsstandards in einem Drittstaat wirksam überwachen kann?

Lösungen und Konsequenzen
Als einziger Ansatzpunkt würde mir einfallen, dass man z. B. Angemessenheitsbeschlüsse (wie etwa Safe Harbor) oder auch Standardvertragsklauseln als eine solche Grundlage des Unionsrechts ansieht, nach deren Vorgaben der Verarbeiter im Drittstaat handeln muss. Freilich wird hierdurch nicht das Problem gelöst, dass eine europäische Datenschutzbehörde nicht im Drittstaat hoheitlich tätig werden kann, also dort nicht direkt auf „Grundlage des Unionrechts“ überwachen kann.

Denn die Safe Harbor-Entscheidung, ebenso wie die Standardvertragsklauseln der EU sehen für Kontrollstellen die Möglichkeit vor, Datenübermittlungen in ein Drittland auszusetzen. Also gegen den Verantwortlichen in der EU vorzugehen. Dies jedoch nicht etwa dann, wenn die Behörde den Auftragnehmer in dem Drittstaat selbst kontrolliert und etwa Mängel bei der Datensicherheit festgestellt hat. Die Befugnisse der europäischen Behörden greifen dann, wenn feststeht, dass der Verarbeiter in dem Drittstaat die an ihn gestellten Vorgaben (sei es aus Vertragsklauseln oder Angemessenheitsbeschlüssen) nicht einhalten kann. Für Informationen hierzu ist die jeweilige europäische Behörde aber freilich auf Angaben Dritter angewiesen, also etwa von Behörden in dem Drittstaat oder des für die Datenverarbeitung Verantwortlichen selbst. Gut möglich, dass diese „mittelbare“ Überwachung ausreicht, um den Vorgaben des EuGH gerecht zu werden. Hierfür spricht meines Erachtens auch, dass der europäische Gesetzgeber die Datenschutz-Richtlinie mit entsprechenden Mechanismen zur Übermittlung und Speicherung von Daten in Drittstaaten ausgestaltet hat. Wohl wissend, dass nationale Behörden dann nur begrenzte Prüfmöglichkeiten besitzen. Und auch der EuGH selbst hat etwa in seinem Lindqvist-Urteil (Az. C-101/01) darauf hingewiesen, dass für die Mitgliedstaaten und die Kommission gewisse Pflichten zur Kontrolle solcher Datenübermittlungen bestehen (Rz. 63 ff.). Jedoch hat er diese Übermittlung nicht kategorisch ausgeschlossen oder von einer direkten Einflussnahmemöglichkeit europäischer Behörden abhängig gemacht (auch wenn die Frage der Voraussetzungen der Datenübermittlung dort nicht direkt Gegenstand der gerichtlichen Prüfung war und daher nicht vertieft wurde). Dennoch verbleibt ein gewisses Unwohlsein, welches sich vor allem aus der Deutlichkeit der Aussage des EuGH ergibt.

Ausblick
Die Ausführungen des EuGH zur Datenspeicherung in Drittstaaten sind durchaus bemerkenswert. Dies gerade vor dem Hintergrund der anhaltenden Diskussion um ein „Schengen-Routing“ und dem sog. Datenprotektionismus in Folge der Enthüllungen um die Überwachungstätigkeiten von Geheimdiensten. Wie dargestellt liegt die Konstellation der Speicherung von Daten in Drittstaaten vor allem auch dem Cloud Computing zugrunde. Ist die Cloud deshalb tot? Ich denke nicht. Denn die Ausführungen des EuGH sind dafür wohl von zu allgemeiner Natur. Dennoch stellen sich Fragen: Sollte eine Speicherung von personenbezogenen Daten in Ländern außerhalb der EU nun (unabhängig von der rechtlichen Grundlage der Übermittlung) nicht mehr möglich sein? Oder etwa nur wenn sich der Datenverarbeiter behördlichen Maßnahmen europäischer Stellen freiwillig unterwirft? Reicht die beschriebene „mittelbare“ Überwachungsmöglichkeit und dem folgend etwa Maßnahmen gegen den Verantwortlichen in der EU aus? Sollte dem nicht so sein, dann wäre dies ein Schritt zurück, hinter die Intention der geltenden DS-RL und würde der digitalen Wirtschaft und damit auch unserem täglichen Umgang mit Internetdiensten einen Bärendienst erweisen.