Bayerischer Landesbeauftragter: Datenlöschung kann grundsätzlich von Verjährungs- oder Klagefristen abhängig gemacht werden

Der Bayerische Landesbeauftragte (BayLfD) hat im Juli eine schöne Orientierungshilfe zu dem Recht auf Löschung nach der DSGVO veröffentlicht (PDF). Hierbei geht die Behörde auch auf die praxisrelevante Frage ein, ob und wenn ja, wann personenbezogene Daten zu löschen sind, wenn diese Daten gegebenenfalls noch im Rahmen von rechtlichen Auseinandersetzungen und zur Verteilung gegen Ansprüche erforderlich sind.

Nach Art. 17 Abs. 1 lit. a) DSGVO sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Nach dem BayLfD sind die Daten für den Verarbeitungszweck unter anderem nicht mehr notwendig, wenn dieser Zweck schon erreicht wurde, indem die ursprünglich angedachte Maßnahme durchgeführt wurde, und dazu nur die temporäre Datennutzung erforderlich war. Ebenso ist es aber auch möglich, dass die Zwecke nicht erreicht wurden und auch nicht mehr erreichbar sind.

Nach Art. 17 Abs. 3 lit. e) DSGVO gilt Absatz 1 jedoch nicht (es besteht also keine Löschpflicht), soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Zweck dieser Vorschrift ist es laut dem BayLfD u.a., einem Beweismittelverlust durch Löschung entgegenwirken. Zudem gelte die Ausnahme sowohl für gerichtliche wie außergerichtliche Verfahren. Diese Klarstellung ist sehr praxisrelevant, da natürlich nicht jede Streitigkeit zu Verträgen oder etwa Ansprüchen von Kunden direkt gerichtlich ausgefochten wird.

Wann darf man sich auf die Ausnahme berufen?

Eine strenge Ansicht vertritt der BayLfD jedoch bei der Frage, wann davon auszugehen ist, dass die Daten für die Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich sind. Nach Ansicht der Behörde wäre es nicht mehr erforderlich,

wenn Daten nur zu dem Zweck dauerhaft gesammelt würden, weil diese theoretisch irgendwann Gegenstand eines Rechtsstreits sein könnten. Vielmehr muss die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bereits stattfinden oder mit einer hinreichend hohen Wahrscheinlichkeit bevorstehen“.

Diese Ansicht vertreten auch andere deutsche Aufsichtsbehörden. Meines Erachtens benachteiligt eine solche Auffassung aber datenverarbeitende Stellen unangemessen, bei denen es bisher nie zu Problemen kam. Ein Beispiel: der Schönheitschirurg, der sich bisher nie Klagen von Patienten ausgesetzt sah, dürfte Behandlungsdokumentation nicht mit dem Argument speichern, dass eine solche Klage in Zukunft aber theoretisch möglich ist. Andererseits dürfte der Arzt, bei dem es regelmäßig zu Klagen von Patienten wegen schlechter Behandlung kommt, die personenbezogenen Daten speichern, um sich verteidigen zu können. Denn bei ihm bestünde eine „hinreichende Wahrscheinlichkeit“. Dieses Ergebnis ist aus meiner Sicht unangemessen und so auch nicht aus Art. 17 Abs. 3 lit. e) DSGVO ableitbar.

Orientierung an Verjährungs- und Klagefristen

Begrüßenswert ist die Auffassung des LfD, dass sich die zeitliche Dimension der Erforderlichkeit im Grundsatz klar bemessen lässt,

wenn die Möglichkeit der Rechtsdurchsetzung an Fristen (etwa Verjährungs- oder Klagefristen) gebunden ist.“

Die Behörde hält es also für zulässig, wenn sich Verantwortliche bei der Frage der Löschung an laufenden Verjährungsfristen und Klagefristen von Ansprüchen orientieren. Ich würde hier auch entsprechende Fristen zur Verfolgungsverjährung, etwa aus dem OwiG zählen (§ 31 OwiG). Jedoch schränkt der LfD seine Ansicht dahingehend ein, dass insbesondere bei langen Verjährungsfristen eine Abwägung zwischen den Interessen der betroffenen Person auf Löschung der Daten einerseits und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen andererseits vorzunehmen sei. Diesbezüglich stellt sich meines Erachtens erneut das oben angesprochene Problem, dass bei einer solchen Auslegung datenverarbeitende Stellen begünstigt wären (Daten also speichern dürften), wenn sie in der Vergangenheit mit Ansprüchen und Klagen konfrontiert waren; Unternehmen, bei denen es jedoch bislang nie solche Streitigkeiten gab, müssten aber wohl vor Ablauf einer „langen“ Verjährungsfrist löschen. Unklar ist hier, was der LfD unter einer „langen“ Frist versteht.

Google wehrt sich gegen französische Behörde: gilt das „Recht auf Vergessenwerden“ weltweit?

Heute hat Google in einem Blogpost bekannt gegeben, dass sich das Unternehmen gegen eine durch die französische Datenschutzbehörde (CNIL) verhängte Geldstrafe in Höhe von 100.000 EUR juristisch zur Wehr setzen wird. Informationen zu dem Verfahren gibt es auf der Seite der CNIL. Dort ist auch eine inoffizielle Übersetzung des entsprechenden Beschlusses (PDF) ins Englische verfügbar.

Insbesondere vertritt die CNIL die Auffassung, dass es unter dem geltenden europäischen Datenschutzrecht und mit Blick auf das Urteil des Europäischen Gerichtshofs (EuGH) in seinem Google-Urteil (C-131/12) nicht ausreicht, wenn nach einer Beschwerde einer betroffenen Person Links aus Suchergebnislisten allein auf Webseiten mit europäischen Endungen (z.B. .de, .es oder .fr) und auch bei Suchanfragen aus dem jeweiligen Mitgliedstaat des Beschwerdeführers auf allen Webseiten der Suchmaschine (also auch auf Google.com) unterdrückt werden. Dieses Vorgehen hatte Google zuletzt gewählt. Die französische Behörde verlangt vielmehr, dass Links aus Ergebnislisten von allen Webseiten der Suchmaschine entfernt werden müssen und zudem unabhängig davon, in welchem Mitgliedstaat der Beschwerdeführer sitzt und von wo aus die Suchanfrage gestellt wird.

Im Ergebnis stellt sich die Frage, ob das europäische Datenschutzrecht und insbesondere seine Durchsetzung durch die Datenschutzbehörden globale Geltung beanspruchen. Ob also etwa auf Anweisung einer französischen Behörde zum einen Nutzer der Suchmaschine in anderen Mitgliedstaaten (z.B. in Deutschland oder Spanien) und zum anderen in Staaten außerhalb des EWR wie z.B. den USA (Google.com) oder Japan (Google.co.jp) nur die veränderte Ergebnisliste angezeigt bekommen dürfen.

Dazu nachfolgend einige Gedanken, die sicherlich nicht abschließend sind, jedoch eventuell zur Diskussion anregen.

Grundsätzlich lässt sich die Feststellung treffen, dass der EuGH in seinem Google-Urteil keine konkreten Aussagen zur territorialen Reichweite des sog. „Recht auf Vergessenwerden“ getroffen hat. Was er in seinem Urteil jedoch stets betont, ist die Bedeutung, die der Durchsetzung und vollen Entfaltung der in der Datenschutzrichtlinie (DS-RL) aufgestellten Garantien für betroffene Personen zukommt.

Der EuGH führt in seinem Google Urteil aus, dass der für Verarbeitung Verantwortliche (also etwa der Suchmaschinenbetreiber)

in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Verarbeitung den Anforderungen der Richtlinie 95/46 genügt, so dass die von dieser vorgesehenen Garantien ihre volle Wirkung entfalten können (Rz. 83)

Eine wichtige Rolle bei der Erreichung dieses Ziels der Durchsetzung des europäischen Rechts spielen natürlich die Aufsichtsbehörden. Hierauf weist auch der EuGH in seinem Urteil hin:

In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann. (Rz. 78)

Hieraus lässt sich bereits der Schluss ziehen, dass die Frage, ob europäisches Datenschutzrecht weltweit gelten soll, stets auch im Zusammenhang mit seiner Durchsetzung durch die Aufsichtsbehörden zu sehen ist. Denn allein die Anwendbarkeit europäischen Datenschutzrechts hat noch nichts mit der Verwirklichung der vorgesehenen Garantien aus der DS-RL oder auch aus der Charta der Grundrechte der Europäischen Union für die betroffenen Personen zu tun.

Ich möchte, zur Untermauerung dieser Ansicht, auf das bekannte Urteil des EuGH zur Aufhebung der Vorratsdatenspeicherungsrichtlinie hinweisen (C?293/12 und C?594/12). Dort kritisiert das Gericht nämlich, dass die betreffende Richtlinie keine Pflicht vorsieht,

dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C 614/10, EU:C:2012:631, Rn. 37) (Rz. 68).

Der EuGH geht also selbst davon aus, dass überhaupt nur dann eine den Anforderungen der Charta der Grundrechte und auch der DS-RL entsprechende Garantie für den Schutz personenbezogener Daten möglich ist, wenn die Einhaltung der Vorschriften durch die jeweils zuständigen europäischen Datenschutzbehörden überwacht und gegebenenfalls auch durchgesetzt werden kann. Dies kann allein im Unionsgebiet möglich sein.

Geht man also, mit der vorstehenden Argumentation davon aus, dass neben der reinen Anwendbarkeit europäischen Datenschutzrechts auch immer die Möglichkeit seiner Einhaltung und insbesondere Durchsetzung als inhärente Garantie zu sehen ist, stellt sich unweigerlich die Frage, wie weit die Befugnisse europäischer Datenschutzbehörden, insbesondere territorial, reichen.

Hierzu möchte ich auf eine weitere Entscheidung des EuGH, die sog. Weltimmo-Entscheidung (C-230/14) hinweisen. In diesem Urteil befasst sich das Gericht mit der Frage, wie weit die Kompetenzen der europäischen Aufsichtsbehörden reichen.

So hat nach Art. 28 Abs. 1 DS-RL jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung der DS-RL erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden (Rz. 47; Hervorhebung durch mich). Zudem, so der EuGH, ergibt sich aus Art. 28 Abs. 1 und 3 DS-RL, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (Rz. 51; Hervorhebung durch mich). Auch stellt der EuGH klar, dass aus den Anforderungen, die sich aus der territorialen Souveränität des betreffenden Mitgliedstaats, der Gesetzmäßigkeit der Verwaltung und dem Begriff des Rechtsstaats ergeben, folgt, dass die Sanktionsgewalt grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56; Hervorhebung durch mich).

In dem Fall Weltimmo ging es um einen innereuropäischen Sachverhalt, also die Frage, inwieweit die Aufsichtsbehörde eines Mitgliedstaates im Territorium eines anderen Mitgliedstaates Sanktionsgewalt ausüben darf. Dies lehnt das Gericht mit obiger Begründung ab. Die Sanktionsgewalt darf nicht außerhalb der gesetzlichen Grenzen des eigenen Mitgliedstaates ausgeübt werden.

Übertragen auf die Auseinandersetzung zwischen Google und der französischen Behörde stellt sich nun die Frage, ob es mit der vorgenannten Rechtsprechung des EuGH konform wäre, einer europäischen Aufsichtsbehörde die Befugnis zuzugestehen, Datenverarbeitungen, die zum einen entweder von Personen in anderen europäischen Mitgliedstaaten (der jeweilige Nutzer der Suchmaschine, der nach einem Namen einer betroffenen Person sucht) oder die zum anderen von Personen auf einem Territorium eines Staates außerhalb der Europäischen Union durchgeführt werden, zu regulieren und am Ende mit einem entsprechenden verwaltungsrechtlichen Beschluss, der von seinem Anwendungsbereich her eigentlich nur auf das Territorium des jeweiligen Mitgliedstaates begrenzt ist, zu beeinflussen. Die Maßnahme einer europäischen Behörde hätte dann direkte Auswirkungen in anderen Staaten. Bereits für die erste Konstellation, dass sich ein entsprechender französischer Beschluss etwa auf deutsches oder spanisches Territorium bzw. die dortigen Personen auswirkt, hätte ich meine Zweifel. Dies gilt freilich erst recht in der zweiten Konstellation, also außerhalb der Europäischen Union und damit auch des Kompetenzbereichs der europäischen Datenschutzbehörden.

Nun wird man sicher als Gegenargument anführen können, dass der territoriale Anwendungsbereich europäischen Datenschutzrechts aber doch auch durch den EuGH sehr weit interpretiert wird und eben auch europäisches Datenschutzrecht für die Tätigkeiten einer Google Inc. mit Sitz in den USA gilt. Das ist korrekt. Doch meiner Ansicht nach ist, wie oben beschrieben, für die Verwirklichung der in der europäischen Datenschutzrichtlinie und auch in der Charta der Grundrechte der Europäischen Union festgelegten Rechte und Garantien unweigerlich erforderlich, dass diese durchgesetzt werden (ich verweise noch einmal auf das Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie). Eine solche Durchsetzung ist aber, aufgrund des Prinzips der territorialen Souveränität von Staaten, nicht immer möglich. Im Ergebnis scheint mir der aktuelle Ansatz von Google zumindest nicht außerhalb der Vorgaben europäischen Rechts zu liegen.

Dieser Problematik scheinen sich im Prinzip auch die europäischen Datenschutzbehörden bewusst zu sein. Wenn man sich die Leitlinien der europäischen Behörden zur Umsetzung des Google-Urteils anschaut (WP 225, PDF), so findet sich auf Seite 8 unter Ziffer 19 der Hinweis, dass die Behörden sich in der Praxis auf solche Fälle „fokussieren“ werden, die einen deutlichen Bezug zum Territorium eines europäischen Mitgliedstaates aufweisen, insbesondere, wenn es sich um ein EU-Bürger handelt.

Am Ende bleibt wohl nur festzustellen, dass die territoriale Durchsetzung europäischen Datenschutzrechts sicherlich kein einfaches und auch ein streitbares Thema darstellt. Man darf gespannt sein, wie dieses Verfahren in Frankreich weitergeht. Am Ende könnte erneut eine Entscheidung des Europäischen Gerichtshofs stehen.

Verhandlungen zur Datenschutzreform: Rechte der Betroffenen stehen im Mittelpunkt

Im September gehen die Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) zwischen Kommission, Parlament und Rat weiter.

Da an den Trilogverhandlungen für den Rat nicht Vertreter eines jeden EU-Mitgliedstaates teilnehmen, versucht die amtierende Ratspräsidentschaft zuvor die Stimmung der Mitgliedstaaten zu bestimmten Verhandlungsthemen abzufragen und zu sortieren.

Ein Verhandlungsdokument zur Darstellung der verschiedenen Positionen und mit Vorschlägen für die nächsten Verhandlungen zu Kapitel III DS-GVO, welches bei statewatch.org veröffentlicht wurde, hat die Ratspräsidentschaft den Vertretern der Mitgliedstaaten Ende Juli zukommen lassen (Dokument, PDF).

In Kapitel III DS-GVO geht es vor allem um die Rechte der Betroffenen (und damit natürlich auch spiegelbildlich um die Pflichten der für die Verarbeitung Verantwortlichen). Themen sind unter anderem das Auskunftsrecht, das „Recht auf Vergessenwerden“, das Recht auf Datenportabiliät und auch Informationspflichten.

Die Ratspräsidentschaft bittet die Mitgliedstaaten um Kommentare und Anregungen, wie in Bezug auf Abweichungen zwischen den Positionen von Parlament und Rat in den Trilogverhandlungen vorgegangen werden soll, wo also etwa die Position des Parlaments unterstützt oder wo eine abweichende Position des Rates weiterverfolgt werden kann.

Behandelt werden unter anderem folgende Änderungsvorschläge:

  • Einführung von Bildern/Zeichen zur Visualisierung der Datenverarbeitungszwecke.
  • Informationen dazu, wie lange Daten gespeichert werden.
  • Im Fall von Datenübermittlungen in Drittstaaten, Informationen dazu, auf welcher Grundlage (Angemessenheitsbeschluss, Standardvertragsklauseln etc.) dies erfolgt.
  • Wie oft ein Auskunftsanspruch (etwa pro Jahr) kostenlos geltend werden darf.
  • Welche Pflichten beim „Recht auf Vergessenwerden“ bestehen. Insbesondere, ob es einen Unterschied macht, dass Daten rechtmäßig veröffentlicht wurden oder nicht. Zudem, wie weit die Pflicht für verantwortliche Stelle reicht, ob diese also weitere Stellen nur informieren oder selbst für eine Löschung der Daten Dritten sorgen müssen.
  • Welche Rechte bei einer automatisierten Einzelfallentscheidung bzw. einem Profiling existieren.

Recht auf Vergessenwerden – Europäische Datenschützer veröffentlichen Richtlinien

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Google“ (C-131/12) aus dem Mai 2014, besitzen Betroffene einen Anspruch gegen Suchmaschinenbetreiber, mit dem sie unter gewissen Umständen Einträge aus Ergebnislisten entfernen lassen können.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der Art. 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun Richtlinien veröffentlicht (PDF), nach denen sie in Zukunft Beschwerden von Betroffenen bearbeiten möchten, die zuvor mit Ansprüchen gegenüber Suchmaschinenbetreibern gescheitert sind. Das Dokument enthält zudem interessante Informationen dazu, wie die Datenschützer das Urteil des EuGH auslegen. Nachfolgend möchte ich einige Aspekte der Richtlinien näher besprechen.

Im Allgemeinen überwiegt der Datenschutz
Zunächst verweisen (man muss sagen, leider) die Datenschützer auf die Aussage des EuGH, dass im Rahmen der Abwägung zwischen dem Grundrecht auf Schutz personenbezogener Daten mit den Grundrechten der Unternehmen und der Internetnutzer, der Datenschutz im Allgemeinen überwiegen soll. Dass dieser generelle Vorrang eines Grundrechts vor anderen Grundrechten meines Erachtens mit der Charta der Grundrechte der Europäischen Union (EU-Charta) nicht begründbar ist, hatte ich bereits einmal geschrieben. An dieser Einschätzung ändert sich meines Erachtens auch nichts, wenn darauf verwiesen wird, dass ein fairer oder angemessener Ausgleich zwischen den kollidierenden Grundrechtspositionen gefunden werden muss. Denn wenn dieser faire Ausgleich bereits unter dem Vorzeichen des generellen Vorrangs des Datenschutzes steht, dann existiert von Anfang an ein Ungleichgewicht.

Positiv hervorzuheben ist, dass die Art. 29 Gruppe explizit auf das Grundrecht auf Informationsfreiheit nach Art. 11 EU-Charta verweist. Auf der anderen Seite gehen die Datenschützer jedoch davon aus, dass die Auswirkungen von Löschansprüchen auf dieses Grundrecht gar keine große Auswirkungen haben werden, da ja die Originalseiten gar nicht gelöscht werden.

Verantwortung der Niederlassungen
Die Art. 29 Gruppe schein ein Problem zu erkennen, welches bereits in letzter Zeit in Deutschland durch die juristische Nachrichtenlandschaft ging. Einige Landgerichte haben Ansprüche, die gegen die deutsche Niederlassung von Google geltend gemacht wurden, mit der Begründung abgelehnt, dass nach dem Urteil des EuGH allein die Google Inc. in den USA verantwortlich sei. Die nationalen Niederlassungen seien nicht der richtige Anspruchsgegner und damit nicht „passivlegitimiert“. In ihren Richtlinien verweisen die Datenschützer auf das Problem, dass die geltende Datenschutzrichtlinie keine Aussage zu der Verantwortlichkeit von Niederlassungen in der europäischen Union trifft, die eine verantwortliche Stelle, welche in einem Drittland (wie den USA), in der EU besitzt. Nichtsdestotrotz fordern die Datenschützer unter Verweis auf die effektive Durchsetzung der Rechte der Betroffenen, dass diese ihre Ansprüche auch gegenüber nationalen Niederlassungen geltend machen können müssen. Meines Erachtens war der EuGH in seinem Urteil klar: verantwortliche Stelle und damit alleiniger Anspruchsgegner eines datenschutzrechtlichen Anspruchs ist die Google Inc. in den USA. Zwar waren die europäischen Niederlassungen für den EuGH von Relevanz, um europäisches Datenschutzrecht für anwendbar zu erklären. Jedoch bleibt das amerikanische Unternehmen die verantwortliche Stelle. Lösch- oder Widerspruchsansprüche bestehen nur diesem gegenüber. Man kann sich auch fragen, was denn passiert, wenn es in einem europäischen Mitgliedstaat gar keine Niederlassung gibt? Sind dann die Bürger in diesen Staaten darauf angewiesen, allein gegen das in Amerika ansässige Unternehmen vorzugehen? Es existiert ja keine nationale Niederlassung. Damit wären sie im Rahmen der Durchsetzung ihrer Rechte natürlich benachteiligt.

Keine Informationen an Webmaster
Wenig überraschend gehen die Datenschützer auch davon aus, dass Suchmaschinenbetreiber den Webmaster einer Seite nicht darüber informieren dürfen, dass ein Link auf seine Seite aus der Ergebnisliste entfernt wurde. Die Art. 29 Gruppe erkennt keine gesetzliche Grundlage, nach der eine solche Mitteilung, die personenbezogene Daten enthält, erfolgen dürfte. Auch diese Sichtweise ist meines Erachtens, zumindest teilweise, zu kritisieren. Denn zum einen müsste man für jeden Einzelfall prüfen, ob die Information an den Webmaster personenbezogene Daten enthält. Denn wenn nicht (der Name des Antragstellers wird nie mitgeteilt), dann würde das Datenschutzrecht keine Anwendung finden. Selbst wenn eine Rechtsgrundlage erforderlich wäre, dann könnte man hier an Art. 7 (c) (Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt) oder an Art. 7 (f) (Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird) der Datenschutzrichtlinie (RL 95/46/EG) denken. Warum soll etwa ein Presseverlag kein berechtigtes Interesse geltend machen können, hierüber informiert zu werden?

Am Ende des Dokumentes befinden sich dann Fallgruppen und Kriterien, nach denen die europäischen Datenschutzbehörden bestimmte Sachverhalte beurteilen können. Interessant hierbei ist etwa, dass die Datenschützer in Zukunft auch Suchen nach Pseudonymen und Nicknames als taugliche Voraussetzung eines Anspruchs ansehen wollen, wenn diese der Identität einer Person zugeordnet werden können. Das Urteil des EuGH bezog sich jedoch allein auf den Namen einer Person.

Recht auf Vergessen: Google veröffentlicht neue Zahlen – Facebook am meisten betroffen

Als Teil seiner online abrufbaren Transparenzberichte hat Google am 9. Oktober 2014 neue Zahlen und Statistiken zu Löschanfragen von Betroffenen präsentiert, die ihr sog. „Recht auf Vergessenwerden“ nach dem europäischen Datenschutzrecht wahrgenommen haben.

Die von Google bereitgestellten Statistiken geben Auskunft über die Gesamtzahl der Anfragen und der betroffenen Links. Auch kann man die Anfragen nach europäischen Ländern filtern. Zudem gibt Google auch Beispiele dafür, welche Arten von Anfragen gestellt wurden, worum es bei diesen inhaltlich ging und ob die betreffenden URLs aus der Ergebnisliste entfernt (bzw. unterdrückt) wurden oder nicht.
Seit dem Urteil des Europäischen Gerichtshofs (Rs C-131/12) vom 13. Mai 2014, hat Google nach eigenen Angaben 144.907 Ersuchen von Betroffenen erhalten. Diese bezogen sich auf insgesamt 497.507 URLs. Hieraus wird deutlich, dass die meisten Personen direkt nicht nur Suchergebnisse zu einer URL, sondern zu mehreren Quellen unterdrückt wissen wollen.

Die Zahlen für Deutschland: Insgesamt 24.979 Ersuchen, die sich auf 88.873 URLs bezogen.

Interessant ist zudem die Statistik, welche Webseiten (also Suchergebnisse mit URLs dieser Webseiten) im Schnitt am häufigsten von Löschanfragen betroffen waren. Spitzenreiter ist hier Facebook.com. Diesbezüglich wäre es natürlich besonders interessant, weitere Einzelheiten zu kennen. Denn wie die meisten wissen, kann man als Nutzer von Facebook Beiträge und Bilder völlig freiwillig der Öffentlichkeit (als dem gesamten Internet und damit auch der Suchmaschine von Google) zugänglich machen. In diesen Fällen wäre also wohl besonders zu untersuchen, ob eventuell die Person, die die Löschanfrage an Google gestellt hat, nicht vorher selbst in die Veröffentlichung eines Bildes oder Textes mit ihren personenbezogenen Daten eingewilligt hat. Freileich können sich die Löschgesuche aber vor allem auch auf diejenigen Fälle beziehen, in denen z.B. Bilder von einer Person ohne deren Zustimmung für die Öffentlichkeit sichtbar gemacht wurden, etwa weil sie aus ihrem Facebookprofil (dessen Inhalte nur für Freunde sichtbar sind) herauskopiert und erneut (öffentlich) gepostet/geteilt wurden.

Weitere beliebte „Löschziele“ der Antragsteller sind auch die Seiten von Youtube, das soziale Netzwerk Badoo und Personensuchmaschinen, wie etwa Yasni.

Die Initiative von Google, Informationen zu den Löschanfragen und ihrer Behandlung durch das Unternehmen zu veröffentlichen ist in jedem Fall zu begrüßen.

Konferenz der deutschen Datenschützer: „Recht, schwer gefunden zu werden“ soll weltweit gelten

Am 8. und 9. Oktober 2014 fand in Hamburg die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) statt. Auf der Tagesordnung standen unter anderem die Kontrolle von Geheimdiensten, das Google-Urteil des EuGH und der Datenschutz im KfZ. Die Entschließungen der DSK sind nun auf der Webseite des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit abrufbar.
Mit Blick auf die Tätigkeit der Nachrichtendienste (Effektive Kontrolle der Nachrichtendienste herstellen!, PDF) stellt die DSK fest, dass deren Befugnisse auch die Überwachung der Telekommunikation einschließe und damit im Bereich der strategischen Auslandsüberwachung des BND ein Kontrolldefizit einhergeht. Da für die Betroffenen die durch Nachrichtendienste vorgenommene Datenverarbeitung in weitem Maße intransparent erfolgt, ist nach Ansicht der DSK auch der Individualrechtsschutz faktisch eingeschränkt. Die DSK bemängelt, dass bestimmte Bereiche nachrichtendienstlicher Tätigkeiten per se Eigeninitiativkontrolle durch die Datenschutzbeauftragten des Bundes und der Länder entzogen seien. Es fehle an einem eigenen Kontrollmandat der Datenschutzbeauftragten für Beschränkungen des Fernmeldegeheimnisses. Die DSK hält daher eine Einbindung der Datenschutzbeauftragten neben den parlamentarischen Kontrollinstanzen (G10-Kommission) für erforderlich.

Auch das „Google-Urteil“ des EuGH (Rs. C-131/12) war ein Thema der DSK (Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen, PDF). Mit Blick auf die immer noch umstrittene Frage, ob nach einer erfolgreichen Beschwerde eines Betroffenen die Ergebnislisten auch bei einer Suche über „Google.com“ entsprecht angepasst (also bestimmte Ergebnisse unterdrückt) werden müssen, fordert die DSK, dass Anbieter von Suchmaschinen die Suchergebnisse bei einem begründeten Widerspruch weltweit unterbinden. Hinsichtlich der auch vom Bundesinnenministerium angestellten Überlegungen, unabhängige Schlichtungsstellen zu etablieren, die bei Beschwerden über zurückgewiesene Anträge von Betroffenen entscheiden sollen, scheint die DSK Zurückhaltung zu üben. Nach der Entschließung dürften alternative Streitbeilegungs-oder Streitschlichtungsverfahren das verfassungsmäßige Recht der Betroffenen auf eine unabhängige Kontrolle durch die dafür vorgesehenen staatlichen Institutionen (also Gerichte und/oder die Datenschutzbehörden) nicht beschneiden. Zuletzt streiten die Datenschützer eine Befugnis von Suchmaschinenbetreibern ab, dass diese bei einem positiven Antrag eines Betroffenen den jeweiligen Inhalteanbieter (also den Webseitenbetreiber) über die Sperrung von Suchergebnissen informieren dürften. Dies soll selbst dann gelt, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält. Meiner Ansicht nach ist dann aber, zumindest aus datenschutzrechtlicher Sicht fraglich, warum eine solche Information nicht erteilt werden dürfte? Denn personenbezogene Daten (wie der Name) werden ja dann nicht verarbeitet. Ironischerweise dürfte diese Sichtweise mit der geplanten Datenschutz-Grundverordnung ohnehin bald obsolet sein. Denn nach dem Entwurf der Kommission (Kom (2012) 11,  PDF) soll in Art. 17 Abs. 2 gerade eine solche Benachrichtigung verpflichtend eingeführt werden. Auf diese Pflicht weißt auch die italienische Ratspräsidentschaft in dem neuesten Dokument aus den Ratsverhandlungen zur Thematik des „Rechts auf Vergessenwerden“ hin (PDF).

Weitere Entschließungen der DSK:
Marktmacht und informationelle Selbstbestimmung (PDF)

Unabhängige und effektive Datenschutzaufsicht ist für Grundrechtschutz unabdingbar (PDF)

Datenschutz im Kraftfahrzeug (PDF)

Datenschutz-Grundverordnung: Gefährlicher Einfluss des Google-Urteils

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) im Mai 2014 in Sachen Google (C-131/12), haben sich selbstverständlich auf die Mitgliedstaaten im Rat der Europäischen Union mit den möglichen Konsequenzen der Entscheidung für die in Planung befindliche Datenschutz-Grundverordnung (DS-GVO) befasst.

In der letzten Woche wurden mehrere Dokumente aus der zuständigen Ratsarbeitsgruppe (Dapix) zu dem Thema veröffentlicht (diese und viele andere Dokumente finden sich auf einer Übersichtsseite hier im Blog). Aus den Papieren geht zum Teil hervor, wie die verschiedenen Mitgliedstaat den Einfluss der Entscheidung des EuGH auf die DS-GVO bewerten und welche Änderungen die derzeitige italienische Ratspräsidentschaft an dem Gesetzesentwurf vorschlägt.

Gesetzliche Festschreibung des Vorrangs des Datenschutzes
In einem Arbeitsdokument (11289/1/14 REV 1, PDF) vom 3. September 2014, welches sich direkt mit dem Urteil des EuGH befasst, geht es vor allem um mögliche Änderungen des geplanten Art. 17 DS-GVO (dem sog. Recht auf Vergessenwerden). Die Ratspräsidentschaft schlägt in diesem Dokument neue Änderungen am Gesetzestext vor. Aus meiner Sicht völlig unverständlich ist die Idee, einen neuen Erwägungsgrund 53a) in die DS-GVO einzufügen. Inhalt dieses Erwägungsgrundes (Seite 6 des PDF) soll die Klarstellung sein, dass es, im Fall der Ausübung des „Rechts auf Vergessenwerden“, eines angemessenen Ausgleichs bedarf, zwischen den Grundrechten aus Art. 7 und 8 der Grundrechtecharta der Betroffenen und den Interesse der Internetnutzer an einem freiem Informationszugang. Soweit so gut. Jedoch möchte die Ratspräsidentschaft, unter wörtlicher Übernahme der Ausführungen des EuGH in seinem Urteil, in Erwägungsgrund 53a) festschreiben, dass „im Allgemeinen“ die Grundrechte der Betroffenen den Interessen der Internetnutzer an einem freien Informationszugang vorgehen. Im Zweifel also pro Datenschutz. Im Zweifel müssen Suchmaschinenbetreiber also Löschen.

Dass ich diese Aussage des EuGH für falsch, ja mit den Vorgaben der Grundrechtecharta nicht für vereinbar, halte, habe ich bereits in meinem Beitrag zu dem Urteil dargelegt. Allein bin ich mit dieser Ansicht auch nicht (eine Übersicht von Beiträgen gibt es bei Thomas Stadler im Blog). Sollte dieser generelle Vorrang des Datenschutzes nun auch noch gesetzlich festgeschrieben werden und eine Abwägung der Rechte und Interessen nur in Ausnahmefällen zu Gunsten der Internet- und Suchmaschinennutzer ausfallen, so würde man meines Erachtens eine gefährliche Tendenz in der Rechtsprechung, nämlich dem Datenschutz als eine Art „Supergrundrecht“ den Vorrang einzuräumen, für die Zukunft zementieren. Hier besteht sicherlich die Gefahr, dass bei einer zukünftigen Gesetzesanwendung und –auslegung Gerichte nicht nur bei der Abwägung von Datenschutz und Informationsfreiheit, sondern auch bei der Kollision anderer Grundrechte mit dem Datenschutz auf den neuen Erwägungsgrund 53a) mit dem Argument referenzieren würden „Da steht es doch. Der Datenschutz überwiegt im Allgemeinen“.

Stellungnahmen der Mitgliedstaaten
In einem weiteren Dokument (12274/2/14 REV 2, PDF) vom 3. September 2014, sind die Stellungnahmen von verschiedenen Mitgliedstaaten in der Ratsarbeitsgruppe zu den möglichen Auswirkungen des Google-Urteils und zu konkreten Fragen der Ratspräsidentschaft zusammengefasst. Die Lektüre des Arbeitspapiers und der Kommentare der einzelnen Delegationen ist durchaus lesenswert, da man hier erkennt, dass die gezogenen Schlüsse teilweise doch stark voneinander abweichen. So stellt etwa die Delegation des Vereinigten Königreichs grundsätzlich klar, dass ihrer Ansicht nach die Entscheidung des EuGH nicht den Inhalt und die Arbeit an der DS-GVO bestimmen dürfe. Das Urteil biete hilfreiche Anhaltspunkte für die gemeinsame Arbeit. Jedoch befürchtet die Delegation, dass der Richterspruch (der zur derzeit geltenden Datenschutz-Richtlinie 95/46/EG ergangen ist), als eine Art Leitlinie für die Arbeit an der DS-GVO genutzt werden könnte. Dies sollte nicht der Fall sein.

Relativ einig sind sich die Mitgliedstaaten darin, dass es grundsätzlich den nationalen Gesetzgebern überlassen sein muss, die Leitlinien für erforderliche Abwägung des Rechts auf den Schutz personenbezogener Daten mit dem Recht auf Meinungs- und Pressefreiheit vorzugeben. Dies kann nicht in der DS-GVO erfolgen. Ebenfalls weitgehend einig ist man sich darin, dass es in Zukunft nicht eine Art „Zweit-Verantwortlichen“ geben soll, wenn öffentlich zugängliche Informationen weiterverbreitet werden, etwa durch einen Suchmaschinenbetreiber. Aus älteren Ratsdokumenten geht hervor, dass über eine Art abgestufte Verantwortlichkeit nachgedacht wurde und der Betroffene sich zunächst immer an den Erst-Verantwortlichen mit seinen Löschansprüchen wenden müsse. Dieser Gedanke scheint nach den Kommentaren der Delegationen nicht weiter verfolgt werden zu sollen.

Man wird abwarten müssen, welche Folgen das Google-Urteil tatsächlich für den Entwurf der DS-GVO des Rates haben wird. Es zeigt sich, dass die Diskussionen hier im vollen Gange sind und wenig überraschend nicht immer einheitlich sind. Die Stellungnahme der deutschen Delegation ist in dem zuletzt erwähnten Dokument leider nicht enthalten.

Google-Urteil: Europäische Datenschützer entwickeln Netzwerk für Beschwerden

Die europäischen Datenschutzbehörden, versammelt in der sog. Artikel 29 Gruppe, haben gestern bekannt gegeben (Pressemitteilung, PDF), dass als Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Google aus dem Mai diesen Jahres (C-131/12) , Maßnahmen ergriffen werden sollen, um Beschwerden koordiniert bearbeiten zu können.

Nachdem sich die Vertreter der europäischen Datenschutzbehörden im Juli mit den Anbietern der großen Internetsuchmaschinen in Brüssel trafen (Pressemitteilung, PDF), um über die Folgen und die Umsetzung des Google-Urteils in der Praxis zu beraten, entwickeln die Aufsichtsbehörden nun ein gemeinsames Verfahren, mit dem Beschwerden von Betroffenen bearbeitet werden sollen, deren Antrag auf Entfernung von Suchergebnissen abgelehnt wurde.

Nähere Details des europaweit geplanten Systems der Behörden sind noch nicht bekannt. Laut der Pressemitteilung werden wohl in jedem Land besondere Kontaktpersonen in den Behörden benannt, die den Informationsaustausch und Kontakt mit den Kollegen in ausländischen Datenschutzbehörden sicherstellen sollen. Der Artikel 29 Gruppe geht es vor allem darum, eine einheitliche Herangehensweise zu entwickeln, so dass gleich gelagerte Fälle auch gleich entschieden werden können. Die von den Aufsichtsbehörden anzulegenden Prüfkriterien sollen auf diese Weise vereinheitlicht werden. Innerhalb dieses Netzwerkes soll ein gemeinsames Archiv von Entscheidungen der Behörden in anderen Beschwerdeverfahren vorgehalten werden.

Das, wohl virtuell aufgesetzte System (im Prinzip dürfte es sich um eine gemeinsame Datenbank handeln), soll zudem Bedienelemente und Funktionen enthalten, damit bei einer Beschwerde europaweit nach vergleichbaren Verfahren gesucht werden kann oder neue bzw. besonders schwierige Sachverhalte identifiziert werden können.

Die Artikel 29 Gruppe versucht begrüßenswerter Weise, die Beschwerdeverfahren europaweit soweit als möglich zu vereinheitlichen. Abweichende Entscheidungen zu ähnlich gelagerten Fällen in verschiedenen europäischen Ländern würden bei Betroffenen wohl für Verwirrung sorgen. Auf der anderen Seite muss man auch anerkennen, dass es sich bei den Beschwerden im Rahmen des „Rechts auf Vergessenwerden“ häufig um schwierige und komplexe Abwägungsfragen handeln wird. Eine schablonenhafte Herangehensweise scheint mir insoweit nicht unbedingt durchweg als der richtige Weg. Die vorzunehmende Güterabwägung (Datenschutz einerseits, Meinungsfreiheit und Recht auf Informationszugang anderseits) sollte keinem vorher feststehenden Ergebnis zum Opfer fallen. Die Verständigung auf besonders zu beachtende Kriterien im Rahmen der Abwägung ist sicher nicht verkehrt. Doch sollte mit derartigen Methoden äußerst sorgsam umgegangen werden, wenn man das Grundprinzip einer auf den Einzelfall beschränkten Güterabwägung von kollidierenden Grundrechten nicht langsam abbauen möchte.

Eine kleine Randnotiz: die Artikel 29 Gruppe spricht nicht mehr von dem „Recht auf Vergessenwerden“ (right to be forgotten), sondern von einem Recht „entlistet zu werden“ (right to be de-listed).

Recht auf Vergessen – wie geht es weiter?

Nach dem Google-Urteil des EuGH vom 13.5.2014 (Az. C-131/12) und der anschließenden, in der Öffentlichkeit teilweise kritisierten Umsetzung durch Google, stellte sich für europäische Datenschutzbehörden die Frage, wie man mit der Entscheidung und Beschwerden von Betroffenen umgeht, die dieses Recht ausüben möchten. Doch auch der Rat der Europäischen Union hat sich, vor dem Hintergrund der möglichen Auswirkungen des Urteils auf die andauernden Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO), mit dem Thema befasst.

Treffen mit den Datenschutzbehörden
Am gestrigen Donnerstag trafen sich Vertreter von verschiedenen europäischen Datenschutzbehörden mit Anbietern von Internetsuchmaschinen in Brüssel. Wie die Artikel 29 Datenschutzgruppe (der Zusammenschluss der europäischen Aufsichtsbehörden) zuvor in einer Pressemitteilung bekannt gab (PDF), war dieses Treffen ein Teil der Initiative der Datenschützer, bis zum Herbst diesen Jahres gemeinsame Richtlinien für Datenschutzbehörden zu entwerfen, wie diese mit Beschwerden umgehen sollen, die im Anschluss an einen abgelehnten Löschantrag bei ihnen eingehen. Eine offizielle Mitteilung zu den Ergebnissen des Treffens liegt noch nicht vor. Jedoch berichtet Reuters, unter Berufung auf einen nicht genannten Teilnehmer, einige Details:

  • So haben die Datenschützer Google insbesondere dazu befragt, warum Einträge in Ergebnislisten nur auf den europäischen Angeboten gelöscht (bzw. gesperrt) werden, jedoch nicht unter der .com-Adresse. Aus Sicht der Datenschützer greife diese Umsetzung des Urteils zu kurz.
  • Bis zum Ende des Monats sollen die Suchmaschinenbetreiber weitere Informationen zur Umsetzung des Urteils bereitstellen. Diese würden in den Prozess der Entwicklung von Richtlinien für Datenschutzbehörden einfließen. Ein erster Entwurf solcher Richtlinien für Aufsichtsbehörden könnte bis Mitte September fertig gestellt sein.

Auch Bloomberg berichtet zu dem Treffen und einigen statistischen Informationen. Danach habe Google bisher mehr als 91.000 Löschanfragen erhalten, die sich auf 328.000 Internetadressen beziehen. Unter Berufung auf einen ebenfalls nicht genannten Teilnehmer des Treffens wird weiter berichtet, dass Google 30% der Anträge zurückweise und in 15% der Fälle zusätzliche Informationen zu dem Sachverhalt anfordere.

Auswirkungen auf die Datenschutz-Grundverordnung
Doch nicht nur die Datenschützer treibt die Umsetzung des Google-Urteils um. Auch in der Arbeitsgruppe Dapix des Rates der Europäischen Union, in der die DS-GVO verhandelt wird, hat man sich die Entscheidung des EuGH näher angesehen. In einem nun veröffentlichten Dokument (PDF) der Präsidentschaft an die Delegationen wird das Urteil näher erläutert und seine möglichen Folgen für die Verhandlungen analysiert. Nachfolgend einige der in dem Papier angesprochenen Themen:

Der EuGH hatte festgestellt, dass der Löschanspruch dann geltend gemacht werden kann, wenn die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich ist. Dies insbesondere dann, wenn die verarbeiteten Daten den ursprünglichen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Die Präsidentschaft ist sich jedoch nicht sicher, ob der derzeitige Wortlaut (es geht dabei um Art. 17 DS-GVO in der Fassung des Textes im Rat nach der griechischen Ratspräsidentschaft, abrufbar hier, PDF) deutlich genug zum Ausdruck bringt, dass bei der Frage, ob die Daten den ursprünglichen Zwecken nicht mehr entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, nicht auf den Betreiber der Originalwebseite, sondern auf den Betreiber der Suchmaschine abzustellen ist. Dies betrifft insbesondere auch die Frage des berechtigten Interessen bei einer vorzunehmenden Abwägung im Rahmen der Prüfung eines Erlaubnistatbestandes für die Verarbeitung.

Zudem stelle sich die Frage nach dem Verhältnis von Meinungsfreiheit und dem Recht auf Schutz personenbezogener Daten. Der EuGH hatte entschieden, dass sich allein der Betreiber der Originalwebseite auf die (sowohl in der derzeit geltenden Datenschutz-Richtlinie als auch in der DS-GVO vorgesehene) Ausnahme für die Verarbeitung von Daten zu ausschließlich journalistischen Zwecken berufen könne. Die Präsidentschaft stellt hierzu die Frage in den Raum, ob dies nicht auch für die nachfolgenden Datenverarbeiter (wie z.B. den Suchmaschinenbetreiber) gelten solle. Zu beachten ist hierbei, dass Fragen des Rechts auf freie Meinungsäußerung (aus kompetenzrechtlichen Gründen) nicht detailliert innerhalb der DS-GVO geregelt werden können.

Eine weiterer offener Punkt sei, ob es bei der Ausübung des Löschanspruchs eine gesetzlich festgelegte Reihenfolge geben soll, die der Betroffene zu beachten habe. Dass er sich also zunächst immer an den Betreiber der Originalwebseite wenden müsse und nur dann an den nachfolgenden Verarbeiter herantreten könne, wenn der Betreiber der Originalwebseite nicht mehr existiere oder nicht dem EU-Recht unterfalle. Dieser Vorschlag sei in der Vergangenheit von einigen Delegationen im Rat vorgebracht worden. Jedoch gibt die Präsidentschaft zu bedenken, dass ein solches System vom EuGH als nicht ausreichend erachtet wurde, um den Rechten des Betroffenen ausreichend Geltung zu verschaffen.

Recht auf Vergessen – Google setzt EuGH-Entscheidung um und möchte europäischer werden

Nach der EuGH-Entscheidung im Streit zwischen der spanischen Datenschutzbehörde und Google um ein sog. „Recht auf Vergessen werden“ im Internet, hat das Unternehmen am Freitag ein Webformular bereitgestellt, durch welches Nutzer nun Löschantrage für Suchergebnisse einreichen können.

Auf der Hilfeseite des Unternehmens gibt Google weitere Informationen zu dem Verfahren. Danach müsse jede Anfrage individuell geprüft und zwischen dem Recht des Einzelnen auf Schutz seiner personenbezogenen Daten und dem Recht der Öffentlichkeit auf Auskunft und Informationsweitergabe abgewogen werden. Zu den Prüfkriterien gibt Google an, dass man bei der Bearbeitung eines Antrags prüfe,

ob die Ergebnisse veraltete Informationen über Ihr Privatleben enthalten. Wir untersuchen außerdem, ob ein öffentliches Interesse an den in unseren Suchergebnissen verbleibenden Informationen besteht, zum Beispiel, ob es um finanzielle Betrugsfälle, Berufsvergehen oder Amtsmissbrauch, strafrechtliche Verurteilungen oder Ihr öffentliches Verhalten als (gewählter oder nicht gewählter) Regierungsbeamter geht.

Das Unternehmen stellt klar, dass dies schwierige Entscheidungen seien, die man als privater Konzern nicht in jedem Fall zweifelsfrei treffen könne. Unter Umständen könne dies durch die lokale Datenschutzbehörde besser beurteilt werden. Obwohl Google den Auswirkungen des Urteils kritisch gegenüberstehe, respektiere man die Entscheidung des EuGH. Man arbeite zudem intensiv an der Entwicklung eines gesetzeskonformen Prozesses, unter anderem mit Datenschutzbehörden und anderen Stellen. Gemeint sein könnten hiermit auch die bekanntgewordenen Pläne des Bundesinnenministeriums, für Löschanfragen eine Schlichtungsstelle zu schaffen (hierzu Thomas Stadler in seinem Blog).

In einem Interview mit der Financial Times hat Google Mitgründer Larry Page zudem angekündigt, dass man ein neues Expertengremium schaffen werde, welches das Unternehmen in Fragen des Datenschutzes in Europa beraten soll. Page versprach zudem eine neue Art des Engagements von Google in Europa. Er bedauere, dass man in der Vergangenheit nicht stärker in einer wirklichen Debatte um den Datenschutz involviert war. Dies wolle man nun ändern. Google wird versuchen „europäischer“ zu werden und bestimmte Themen aus dem europäischen Blickwinkel betrachten.