Google wehrt sich gegen französische Behörde: gilt das „Recht auf Vergessenwerden“ weltweit?

Heute hat Google in einem Blogpost bekannt gegeben, dass sich das Unternehmen gegen eine durch die französische Datenschutzbehörde (CNIL) verhängte Geldstrafe in Höhe von 100.000 EUR juristisch zur Wehr setzen wird. Informationen zu dem Verfahren gibt es auf der Seite der CNIL. Dort ist auch eine inoffizielle Übersetzung des entsprechenden Beschlusses (PDF) ins Englische verfügbar.

Insbesondere vertritt die CNIL die Auffassung, dass es unter dem geltenden europäischen Datenschutzrecht und mit Blick auf das Urteil des Europäischen Gerichtshofs (EuGH) in seinem Google-Urteil (C-131/12) nicht ausreicht, wenn nach einer Beschwerde einer betroffenen Person Links aus Suchergebnislisten allein auf Webseiten mit europäischen Endungen (z.B. .de, .es oder .fr) und auch bei Suchanfragen aus dem jeweiligen Mitgliedstaat des Beschwerdeführers auf allen Webseiten der Suchmaschine (also auch auf Google.com) unterdrückt werden. Dieses Vorgehen hatte Google zuletzt gewählt. Die französische Behörde verlangt vielmehr, dass Links aus Ergebnislisten von allen Webseiten der Suchmaschine entfernt werden müssen und zudem unabhängig davon, in welchem Mitgliedstaat der Beschwerdeführer sitzt und von wo aus die Suchanfrage gestellt wird.

Im Ergebnis stellt sich die Frage, ob das europäische Datenschutzrecht und insbesondere seine Durchsetzung durch die Datenschutzbehörden globale Geltung beanspruchen. Ob also etwa auf Anweisung einer französischen Behörde zum einen Nutzer der Suchmaschine in anderen Mitgliedstaaten (z.B. in Deutschland oder Spanien) und zum anderen in Staaten außerhalb des EWR wie z.B. den USA (Google.com) oder Japan (Google.co.jp) nur die veränderte Ergebnisliste angezeigt bekommen dürfen.

Dazu nachfolgend einige Gedanken, die sicherlich nicht abschließend sind, jedoch eventuell zur Diskussion anregen.

Grundsätzlich lässt sich die Feststellung treffen, dass der EuGH in seinem Google-Urteil keine konkreten Aussagen zur territorialen Reichweite des sog. „Recht auf Vergessenwerden“ getroffen hat. Was er in seinem Urteil jedoch stets betont, ist die Bedeutung, die der Durchsetzung und vollen Entfaltung der in der Datenschutzrichtlinie (DS-RL) aufgestellten Garantien für betroffene Personen zukommt.

Der EuGH führt in seinem Google Urteil aus, dass der für Verarbeitung Verantwortliche (also etwa der Suchmaschinenbetreiber)

in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Verarbeitung den Anforderungen der Richtlinie 95/46 genügt, so dass die von dieser vorgesehenen Garantien ihre volle Wirkung entfalten können (Rz. 83)

Eine wichtige Rolle bei der Erreichung dieses Ziels der Durchsetzung des europäischen Rechts spielen natürlich die Aufsichtsbehörden. Hierauf weist auch der EuGH in seinem Urteil hin:

In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann. (Rz. 78)

Hieraus lässt sich bereits der Schluss ziehen, dass die Frage, ob europäisches Datenschutzrecht weltweit gelten soll, stets auch im Zusammenhang mit seiner Durchsetzung durch die Aufsichtsbehörden zu sehen ist. Denn allein die Anwendbarkeit europäischen Datenschutzrechts hat noch nichts mit der Verwirklichung der vorgesehenen Garantien aus der DS-RL oder auch aus der Charta der Grundrechte der Europäischen Union für die betroffenen Personen zu tun.

Ich möchte, zur Untermauerung dieser Ansicht, auf das bekannte Urteil des EuGH zur Aufhebung der Vorratsdatenspeicherungsrichtlinie hinweisen (C?293/12 und C?594/12). Dort kritisiert das Gericht nämlich, dass die betreffende Richtlinie keine Pflicht vorsieht,

dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C 614/10, EU:C:2012:631, Rn. 37) (Rz. 68).

Der EuGH geht also selbst davon aus, dass überhaupt nur dann eine den Anforderungen der Charta der Grundrechte und auch der DS-RL entsprechende Garantie für den Schutz personenbezogener Daten möglich ist, wenn die Einhaltung der Vorschriften durch die jeweils zuständigen europäischen Datenschutzbehörden überwacht und gegebenenfalls auch durchgesetzt werden kann. Dies kann allein im Unionsgebiet möglich sein.

Geht man also, mit der vorstehenden Argumentation davon aus, dass neben der reinen Anwendbarkeit europäischen Datenschutzrechts auch immer die Möglichkeit seiner Einhaltung und insbesondere Durchsetzung als inhärente Garantie zu sehen ist, stellt sich unweigerlich die Frage, wie weit die Befugnisse europäischer Datenschutzbehörden, insbesondere territorial, reichen.

Hierzu möchte ich auf eine weitere Entscheidung des EuGH, die sog. Weltimmo-Entscheidung (C-230/14) hinweisen. In diesem Urteil befasst sich das Gericht mit der Frage, wie weit die Kompetenzen der europäischen Aufsichtsbehörden reichen.

So hat nach Art. 28 Abs. 1 DS-RL jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung der DS-RL erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden (Rz. 47; Hervorhebung durch mich). Zudem, so der EuGH, ergibt sich aus Art. 28 Abs. 1 und 3 DS-RL, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (Rz. 51; Hervorhebung durch mich). Auch stellt der EuGH klar, dass aus den Anforderungen, die sich aus der territorialen Souveränität des betreffenden Mitgliedstaats, der Gesetzmäßigkeit der Verwaltung und dem Begriff des Rechtsstaats ergeben, folgt, dass die Sanktionsgewalt grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56; Hervorhebung durch mich).

In dem Fall Weltimmo ging es um einen innereuropäischen Sachverhalt, also die Frage, inwieweit die Aufsichtsbehörde eines Mitgliedstaates im Territorium eines anderen Mitgliedstaates Sanktionsgewalt ausüben darf. Dies lehnt das Gericht mit obiger Begründung ab. Die Sanktionsgewalt darf nicht außerhalb der gesetzlichen Grenzen des eigenen Mitgliedstaates ausgeübt werden.

Übertragen auf die Auseinandersetzung zwischen Google und der französischen Behörde stellt sich nun die Frage, ob es mit der vorgenannten Rechtsprechung des EuGH konform wäre, einer europäischen Aufsichtsbehörde die Befugnis zuzugestehen, Datenverarbeitungen, die zum einen entweder von Personen in anderen europäischen Mitgliedstaaten (der jeweilige Nutzer der Suchmaschine, der nach einem Namen einer betroffenen Person sucht) oder die zum anderen von Personen auf einem Territorium eines Staates außerhalb der Europäischen Union durchgeführt werden, zu regulieren und am Ende mit einem entsprechenden verwaltungsrechtlichen Beschluss, der von seinem Anwendungsbereich her eigentlich nur auf das Territorium des jeweiligen Mitgliedstaates begrenzt ist, zu beeinflussen. Die Maßnahme einer europäischen Behörde hätte dann direkte Auswirkungen in anderen Staaten. Bereits für die erste Konstellation, dass sich ein entsprechender französischer Beschluss etwa auf deutsches oder spanisches Territorium bzw. die dortigen Personen auswirkt, hätte ich meine Zweifel. Dies gilt freilich erst recht in der zweiten Konstellation, also außerhalb der Europäischen Union und damit auch des Kompetenzbereichs der europäischen Datenschutzbehörden.

Nun wird man sicher als Gegenargument anführen können, dass der territoriale Anwendungsbereich europäischen Datenschutzrechts aber doch auch durch den EuGH sehr weit interpretiert wird und eben auch europäisches Datenschutzrecht für die Tätigkeiten einer Google Inc. mit Sitz in den USA gilt. Das ist korrekt. Doch meiner Ansicht nach ist, wie oben beschrieben, für die Verwirklichung der in der europäischen Datenschutzrichtlinie und auch in der Charta der Grundrechte der Europäischen Union festgelegten Rechte und Garantien unweigerlich erforderlich, dass diese durchgesetzt werden (ich verweise noch einmal auf das Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie). Eine solche Durchsetzung ist aber, aufgrund des Prinzips der territorialen Souveränität von Staaten, nicht immer möglich. Im Ergebnis scheint mir der aktuelle Ansatz von Google zumindest nicht außerhalb der Vorgaben europäischen Rechts zu liegen.

Dieser Problematik scheinen sich im Prinzip auch die europäischen Datenschutzbehörden bewusst zu sein. Wenn man sich die Leitlinien der europäischen Behörden zur Umsetzung des Google-Urteils anschaut (WP 225, PDF), so findet sich auf Seite 8 unter Ziffer 19 der Hinweis, dass die Behörden sich in der Praxis auf solche Fälle „fokussieren“ werden, die einen deutlichen Bezug zum Territorium eines europäischen Mitgliedstaates aufweisen, insbesondere, wenn es sich um ein EU-Bürger handelt.

Am Ende bleibt wohl nur festzustellen, dass die territoriale Durchsetzung europäischen Datenschutzrechts sicherlich kein einfaches und auch ein streitbares Thema darstellt. Man darf gespannt sein, wie dieses Verfahren in Frankreich weitergeht. Am Ende könnte erneut eine Entscheidung des Europäischen Gerichtshofs stehen.

Verhandlungen zur Datenschutzreform: Rechte der Betroffenen stehen im Mittelpunkt

Im September gehen die Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) zwischen Kommission, Parlament und Rat weiter.

Da an den Trilogverhandlungen für den Rat nicht Vertreter eines jeden EU-Mitgliedstaates teilnehmen, versucht die amtierende Ratspräsidentschaft zuvor die Stimmung der Mitgliedstaaten zu bestimmten Verhandlungsthemen abzufragen und zu sortieren.

Ein Verhandlungsdokument zur Darstellung der verschiedenen Positionen und mit Vorschlägen für die nächsten Verhandlungen zu Kapitel III DS-GVO, welches bei statewatch.org veröffentlicht wurde, hat die Ratspräsidentschaft den Vertretern der Mitgliedstaaten Ende Juli zukommen lassen (Dokument, PDF).

In Kapitel III DS-GVO geht es vor allem um die Rechte der Betroffenen (und damit natürlich auch spiegelbildlich um die Pflichten der für die Verarbeitung Verantwortlichen). Themen sind unter anderem das Auskunftsrecht, das „Recht auf Vergessenwerden“, das Recht auf Datenportabiliät und auch Informationspflichten.

Die Ratspräsidentschaft bittet die Mitgliedstaaten um Kommentare und Anregungen, wie in Bezug auf Abweichungen zwischen den Positionen von Parlament und Rat in den Trilogverhandlungen vorgegangen werden soll, wo also etwa die Position des Parlaments unterstützt oder wo eine abweichende Position des Rates weiterverfolgt werden kann.

Behandelt werden unter anderem folgende Änderungsvorschläge:

  • Einführung von Bildern/Zeichen zur Visualisierung der Datenverarbeitungszwecke.
  • Informationen dazu, wie lange Daten gespeichert werden.
  • Im Fall von Datenübermittlungen in Drittstaaten, Informationen dazu, auf welcher Grundlage (Angemessenheitsbeschluss, Standardvertragsklauseln etc.) dies erfolgt.
  • Wie oft ein Auskunftsanspruch (etwa pro Jahr) kostenlos geltend werden darf.
  • Welche Pflichten beim „Recht auf Vergessenwerden“ bestehen. Insbesondere, ob es einen Unterschied macht, dass Daten rechtmäßig veröffentlicht wurden oder nicht. Zudem, wie weit die Pflicht für verantwortliche Stelle reicht, ob diese also weitere Stellen nur informieren oder selbst für eine Löschung der Daten Dritten sorgen müssen.
  • Welche Rechte bei einer automatisierten Einzelfallentscheidung bzw. einem Profiling existieren.

Recht auf Vergessenwerden – Europäische Datenschützer veröffentlichen Richtlinien

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Google“ (C-131/12) aus dem Mai 2014, besitzen Betroffene einen Anspruch gegen Suchmaschinenbetreiber, mit dem sie unter gewissen Umständen Einträge aus Ergebnislisten entfernen lassen können.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der Art. 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun Richtlinien veröffentlicht (PDF), nach denen sie in Zukunft Beschwerden von Betroffenen bearbeiten möchten, die zuvor mit Ansprüchen gegenüber Suchmaschinenbetreibern gescheitert sind. Das Dokument enthält zudem interessante Informationen dazu, wie die Datenschützer das Urteil des EuGH auslegen. Nachfolgend möchte ich einige Aspekte der Richtlinien näher besprechen.

Im Allgemeinen überwiegt der Datenschutz
Zunächst verweisen (man muss sagen, leider) die Datenschützer auf die Aussage des EuGH, dass im Rahmen der Abwägung zwischen dem Grundrecht auf Schutz personenbezogener Daten mit den Grundrechten der Unternehmen und der Internetnutzer, der Datenschutz im Allgemeinen überwiegen soll. Dass dieser generelle Vorrang eines Grundrechts vor anderen Grundrechten meines Erachtens mit der Charta der Grundrechte der Europäischen Union (EU-Charta) nicht begründbar ist, hatte ich bereits einmal geschrieben. An dieser Einschätzung ändert sich meines Erachtens auch nichts, wenn darauf verwiesen wird, dass ein fairer oder angemessener Ausgleich zwischen den kollidierenden Grundrechtspositionen gefunden werden muss. Denn wenn dieser faire Ausgleich bereits unter dem Vorzeichen des generellen Vorrangs des Datenschutzes steht, dann existiert von Anfang an ein Ungleichgewicht.

Positiv hervorzuheben ist, dass die Art. 29 Gruppe explizit auf das Grundrecht auf Informationsfreiheit nach Art. 11 EU-Charta verweist. Auf der anderen Seite gehen die Datenschützer jedoch davon aus, dass die Auswirkungen von Löschansprüchen auf dieses Grundrecht gar keine große Auswirkungen haben werden, da ja die Originalseiten gar nicht gelöscht werden.

Verantwortung der Niederlassungen
Die Art. 29 Gruppe schein ein Problem zu erkennen, welches bereits in letzter Zeit in Deutschland durch die juristische Nachrichtenlandschaft ging. Einige Landgerichte haben Ansprüche, die gegen die deutsche Niederlassung von Google geltend gemacht wurden, mit der Begründung abgelehnt, dass nach dem Urteil des EuGH allein die Google Inc. in den USA verantwortlich sei. Die nationalen Niederlassungen seien nicht der richtige Anspruchsgegner und damit nicht „passivlegitimiert“. In ihren Richtlinien verweisen die Datenschützer auf das Problem, dass die geltende Datenschutzrichtlinie keine Aussage zu der Verantwortlichkeit von Niederlassungen in der europäischen Union trifft, die eine verantwortliche Stelle, welche in einem Drittland (wie den USA), in der EU besitzt. Nichtsdestotrotz fordern die Datenschützer unter Verweis auf die effektive Durchsetzung der Rechte der Betroffenen, dass diese ihre Ansprüche auch gegenüber nationalen Niederlassungen geltend machen können müssen. Meines Erachtens war der EuGH in seinem Urteil klar: verantwortliche Stelle und damit alleiniger Anspruchsgegner eines datenschutzrechtlichen Anspruchs ist die Google Inc. in den USA. Zwar waren die europäischen Niederlassungen für den EuGH von Relevanz, um europäisches Datenschutzrecht für anwendbar zu erklären. Jedoch bleibt das amerikanische Unternehmen die verantwortliche Stelle. Lösch- oder Widerspruchsansprüche bestehen nur diesem gegenüber. Man kann sich auch fragen, was denn passiert, wenn es in einem europäischen Mitgliedstaat gar keine Niederlassung gibt? Sind dann die Bürger in diesen Staaten darauf angewiesen, allein gegen das in Amerika ansässige Unternehmen vorzugehen? Es existiert ja keine nationale Niederlassung. Damit wären sie im Rahmen der Durchsetzung ihrer Rechte natürlich benachteiligt.

Keine Informationen an Webmaster
Wenig überraschend gehen die Datenschützer auch davon aus, dass Suchmaschinenbetreiber den Webmaster einer Seite nicht darüber informieren dürfen, dass ein Link auf seine Seite aus der Ergebnisliste entfernt wurde. Die Art. 29 Gruppe erkennt keine gesetzliche Grundlage, nach der eine solche Mitteilung, die personenbezogene Daten enthält, erfolgen dürfte. Auch diese Sichtweise ist meines Erachtens, zumindest teilweise, zu kritisieren. Denn zum einen müsste man für jeden Einzelfall prüfen, ob die Information an den Webmaster personenbezogene Daten enthält. Denn wenn nicht (der Name des Antragstellers wird nie mitgeteilt), dann würde das Datenschutzrecht keine Anwendung finden. Selbst wenn eine Rechtsgrundlage erforderlich wäre, dann könnte man hier an Art. 7 (c) (Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt) oder an Art. 7 (f) (Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird) der Datenschutzrichtlinie (RL 95/46/EG) denken. Warum soll etwa ein Presseverlag kein berechtigtes Interesse geltend machen können, hierüber informiert zu werden?

Am Ende des Dokumentes befinden sich dann Fallgruppen und Kriterien, nach denen die europäischen Datenschutzbehörden bestimmte Sachverhalte beurteilen können. Interessant hierbei ist etwa, dass die Datenschützer in Zukunft auch Suchen nach Pseudonymen und Nicknames als taugliche Voraussetzung eines Anspruchs ansehen wollen, wenn diese der Identität einer Person zugeordnet werden können. Das Urteil des EuGH bezog sich jedoch allein auf den Namen einer Person.

Recht auf Vergessen: Google veröffentlicht neue Zahlen – Facebook am meisten betroffen

Als Teil seiner online abrufbaren Transparenzberichte hat Google am 9. Oktober 2014 neue Zahlen und Statistiken zu Löschanfragen von Betroffenen präsentiert, die ihr sog. “Recht auf Vergessenwerden” nach dem europäischen Datenschutzrecht wahrgenommen haben.

Die von Google bereitgestellten Statistiken geben Auskunft über die Gesamtzahl der Anfragen und der betroffenen Links. Auch kann man die Anfragen nach europäischen Ländern filtern. Zudem gibt Google auch Beispiele dafür, welche Arten von Anfragen gestellt wurden, worum es bei diesen inhaltlich ging und ob die betreffenden URLs aus der Ergebnisliste entfernt (bzw. unterdrückt) wurden oder nicht.
Seit dem Urteil des Europäischen Gerichtshofs (Rs C-131/12) vom 13. Mai 2014, hat Google nach eigenen Angaben 144.907 Ersuchen von Betroffenen erhalten. Diese bezogen sich auf insgesamt 497.507 URLs. Hieraus wird deutlich, dass die meisten Personen direkt nicht nur Suchergebnisse zu einer URL, sondern zu mehreren Quellen unterdrückt wissen wollen.

Die Zahlen für Deutschland: Insgesamt 24.979 Ersuchen, die sich auf 88.873 URLs bezogen.

Interessant ist zudem die Statistik, welche Webseiten (also Suchergebnisse mit URLs dieser Webseiten) im Schnitt am häufigsten von Löschanfragen betroffen waren. Spitzenreiter ist hier Facebook.com. Diesbezüglich wäre es natürlich besonders interessant, weitere Einzelheiten zu kennen. Denn wie die meisten wissen, kann man als Nutzer von Facebook Beiträge und Bilder völlig freiwillig der Öffentlichkeit (als dem gesamten Internet und damit auch der Suchmaschine von Google) zugänglich machen. In diesen Fällen wäre also wohl besonders zu untersuchen, ob eventuell die Person, die die Löschanfrage an Google gestellt hat, nicht vorher selbst in die Veröffentlichung eines Bildes oder Textes mit ihren personenbezogenen Daten eingewilligt hat. Freileich können sich die Löschgesuche aber vor allem auch auf diejenigen Fälle beziehen, in denen z.B. Bilder von einer Person ohne deren Zustimmung für die Öffentlichkeit sichtbar gemacht wurden, etwa weil sie aus ihrem Facebookprofil (dessen Inhalte nur für Freunde sichtbar sind) herauskopiert und erneut (öffentlich) gepostet/geteilt wurden.

Weitere beliebte „Löschziele“ der Antragsteller sind auch die Seiten von Youtube, das soziale Netzwerk Badoo und Personensuchmaschinen, wie etwa Yasni.

Die Initiative von Google, Informationen zu den Löschanfragen und ihrer Behandlung durch das Unternehmen zu veröffentlichen ist in jedem Fall zu begrüßen.

Konferenz der deutschen Datenschützer: „Recht, schwer gefunden zu werden“ soll weltweit gelten

Am 8. und 9. Oktober 2014 fand in Hamburg die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) statt. Auf der Tagesordnung standen unter anderem die Kontrolle von Geheimdiensten, das Google-Urteil des EuGH und der Datenschutz im KfZ. Die Entschließungen der DSK sind nun auf der Webseite des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit abrufbar.
Mit Blick auf die Tätigkeit der Nachrichtendienste (Effektive Kontrolle der Nachrichtendienste herstellen!, PDF) stellt die DSK fest, dass deren Befugnisse auch die Überwachung der Telekommunikation einschließe und damit im Bereich der strategischen Auslandsüberwachung des BND ein Kontrolldefizit einhergeht. Da für die Betroffenen die durch Nachrichtendienste vorgenommene Datenverarbeitung in weitem Maße intransparent erfolgt, ist nach Ansicht der DSK auch der Individualrechtsschutz faktisch eingeschränkt. Die DSK bemängelt, dass bestimmte Bereiche nachrichtendienstlicher Tätigkeiten per se Eigeninitiativkontrolle durch die Datenschutzbeauftragten des Bundes und der Länder entzogen seien. Es fehle an einem eigenen Kontrollmandat der Datenschutzbeauftragten für Beschränkungen des Fernmeldegeheimnisses. Die DSK hält daher eine Einbindung der Datenschutzbeauftragten neben den parlamentarischen Kontrollinstanzen (G10-Kommission) für erforderlich.

Auch das „Google-Urteil“ des EuGH (Rs. C-131/12) war ein Thema der DSK (Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen, PDF). Mit Blick auf die immer noch umstrittene Frage, ob nach einer erfolgreichen Beschwerde eines Betroffenen die Ergebnislisten auch bei einer Suche über „Google.com“ entsprecht angepasst (also bestimmte Ergebnisse unterdrückt) werden müssen, fordert die DSK, dass Anbieter von Suchmaschinen die Suchergebnisse bei einem begründeten Widerspruch weltweit unterbinden. Hinsichtlich der auch vom Bundesinnenministerium angestellten Überlegungen, unabhängige Schlichtungsstellen zu etablieren, die bei Beschwerden über zurückgewiesene Anträge von Betroffenen entscheiden sollen, scheint die DSK Zurückhaltung zu üben. Nach der Entschließung dürften alternative Streitbeilegungs-oder Streitschlichtungsverfahren das verfassungsmäßige Recht der Betroffenen auf eine unabhängige Kontrolle durch die dafür vorgesehenen staatlichen Institutionen (also Gerichte und/oder die Datenschutzbehörden) nicht beschneiden. Zuletzt streiten die Datenschützer eine Befugnis von Suchmaschinenbetreibern ab, dass diese bei einem positiven Antrag eines Betroffenen den jeweiligen Inhalteanbieter (also den Webseitenbetreiber) über die Sperrung von Suchergebnissen informieren dürften. Dies soll selbst dann gelt, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält. Meiner Ansicht nach ist dann aber, zumindest aus datenschutzrechtlicher Sicht fraglich, warum eine solche Information nicht erteilt werden dürfte? Denn personenbezogene Daten (wie der Name) werden ja dann nicht verarbeitet. Ironischerweise dürfte diese Sichtweise mit der geplanten Datenschutz-Grundverordnung ohnehin bald obsolet sein. Denn nach dem Entwurf der Kommission (Kom (2012) 11,  PDF) soll in Art. 17 Abs. 2 gerade eine solche Benachrichtigung verpflichtend eingeführt werden. Auf diese Pflicht weißt auch die italienische Ratspräsidentschaft in dem neuesten Dokument aus den Ratsverhandlungen zur Thematik des „Rechts auf Vergessenwerden“ hin (PDF).

Weitere Entschließungen der DSK:
Marktmacht und informationelle Selbstbestimmung (PDF)

Unabhängige und effektive Datenschutzaufsicht ist für Grundrechtschutz unabdingbar (PDF)

Datenschutz im Kraftfahrzeug (PDF)

Datenschutz-Grundverordnung: Gefährlicher Einfluss des Google-Urteils

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) im Mai 2014 in Sachen Google (C-131/12), haben sich selbstverständlich auf die Mitgliedstaaten im Rat der Europäischen Union mit den möglichen Konsequenzen der Entscheidung für die in Planung befindliche Datenschutz-Grundverordnung (DS-GVO) befasst.

In der letzten Woche wurden mehrere Dokumente aus der zuständigen Ratsarbeitsgruppe (Dapix) zu dem Thema veröffentlicht (diese und viele andere Dokumente finden sich auf einer Übersichtsseite hier im Blog). Aus den Papieren geht zum Teil hervor, wie die verschiedenen Mitgliedstaat den Einfluss der Entscheidung des EuGH auf die DS-GVO bewerten und welche Änderungen die derzeitige italienische Ratspräsidentschaft an dem Gesetzesentwurf vorschlägt.

Gesetzliche Festschreibung des Vorrangs des Datenschutzes
In einem Arbeitsdokument (11289/1/14 REV 1, PDF) vom 3. September 2014, welches sich direkt mit dem Urteil des EuGH befasst, geht es vor allem um mögliche Änderungen des geplanten Art. 17 DS-GVO (dem sog. Recht auf Vergessenwerden). Die Ratspräsidentschaft schlägt in diesem Dokument neue Änderungen am Gesetzestext vor. Aus meiner Sicht völlig unverständlich ist die Idee, einen neuen Erwägungsgrund 53a) in die DS-GVO einzufügen. Inhalt dieses Erwägungsgrundes (Seite 6 des PDF) soll die Klarstellung sein, dass es, im Fall der Ausübung des „Rechts auf Vergessenwerden“, eines angemessenen Ausgleichs bedarf, zwischen den Grundrechten aus Art. 7 und 8 der Grundrechtecharta der Betroffenen und den Interesse der Internetnutzer an einem freiem Informationszugang. Soweit so gut. Jedoch möchte die Ratspräsidentschaft, unter wörtlicher Übernahme der Ausführungen des EuGH in seinem Urteil, in Erwägungsgrund 53a) festschreiben, dass „im Allgemeinen“ die Grundrechte der Betroffenen den Interessen der Internetnutzer an einem freien Informationszugang vorgehen. Im Zweifel also pro Datenschutz. Im Zweifel müssen Suchmaschinenbetreiber also Löschen.

Dass ich diese Aussage des EuGH für falsch, ja mit den Vorgaben der Grundrechtecharta nicht für vereinbar, halte, habe ich bereits in meinem Beitrag zu dem Urteil dargelegt. Allein bin ich mit dieser Ansicht auch nicht (eine Übersicht von Beiträgen gibt es bei Thomas Stadler im Blog). Sollte dieser generelle Vorrang des Datenschutzes nun auch noch gesetzlich festgeschrieben werden und eine Abwägung der Rechte und Interessen nur in Ausnahmefällen zu Gunsten der Internet- und Suchmaschinennutzer ausfallen, so würde man meines Erachtens eine gefährliche Tendenz in der Rechtsprechung, nämlich dem Datenschutz als eine Art „Supergrundrecht“ den Vorrang einzuräumen, für die Zukunft zementieren. Hier besteht sicherlich die Gefahr, dass bei einer zukünftigen Gesetzesanwendung und –auslegung Gerichte nicht nur bei der Abwägung von Datenschutz und Informationsfreiheit, sondern auch bei der Kollision anderer Grundrechte mit dem Datenschutz auf den neuen Erwägungsgrund 53a) mit dem Argument referenzieren würden „Da steht es doch. Der Datenschutz überwiegt im Allgemeinen“.

Stellungnahmen der Mitgliedstaaten
In einem weiteren Dokument (12274/2/14 REV 2, PDF) vom 3. September 2014, sind die Stellungnahmen von verschiedenen Mitgliedstaaten in der Ratsarbeitsgruppe zu den möglichen Auswirkungen des Google-Urteils und zu konkreten Fragen der Ratspräsidentschaft zusammengefasst. Die Lektüre des Arbeitspapiers und der Kommentare der einzelnen Delegationen ist durchaus lesenswert, da man hier erkennt, dass die gezogenen Schlüsse teilweise doch stark voneinander abweichen. So stellt etwa die Delegation des Vereinigten Königreichs grundsätzlich klar, dass ihrer Ansicht nach die Entscheidung des EuGH nicht den Inhalt und die Arbeit an der DS-GVO bestimmen dürfe. Das Urteil biete hilfreiche Anhaltspunkte für die gemeinsame Arbeit. Jedoch befürchtet die Delegation, dass der Richterspruch (der zur derzeit geltenden Datenschutz-Richtlinie 95/46/EG ergangen ist), als eine Art Leitlinie für die Arbeit an der DS-GVO genutzt werden könnte. Dies sollte nicht der Fall sein.

Relativ einig sind sich die Mitgliedstaaten darin, dass es grundsätzlich den nationalen Gesetzgebern überlassen sein muss, die Leitlinien für erforderliche Abwägung des Rechts auf den Schutz personenbezogener Daten mit dem Recht auf Meinungs- und Pressefreiheit vorzugeben. Dies kann nicht in der DS-GVO erfolgen. Ebenfalls weitgehend einig ist man sich darin, dass es in Zukunft nicht eine Art „Zweit-Verantwortlichen“ geben soll, wenn öffentlich zugängliche Informationen weiterverbreitet werden, etwa durch einen Suchmaschinenbetreiber. Aus älteren Ratsdokumenten geht hervor, dass über eine Art abgestufte Verantwortlichkeit nachgedacht wurde und der Betroffene sich zunächst immer an den Erst-Verantwortlichen mit seinen Löschansprüchen wenden müsse. Dieser Gedanke scheint nach den Kommentaren der Delegationen nicht weiter verfolgt werden zu sollen.

Man wird abwarten müssen, welche Folgen das Google-Urteil tatsächlich für den Entwurf der DS-GVO des Rates haben wird. Es zeigt sich, dass die Diskussionen hier im vollen Gange sind und wenig überraschend nicht immer einheitlich sind. Die Stellungnahme der deutschen Delegation ist in dem zuletzt erwähnten Dokument leider nicht enthalten.

Google-Urteil: Europäische Datenschützer entwickeln Netzwerk für Beschwerden

Die europäischen Datenschutzbehörden, versammelt in der sog. Artikel 29 Gruppe, haben gestern bekannt gegeben (Pressemitteilung, PDF), dass als Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Google aus dem Mai diesen Jahres (C-131/12) , Maßnahmen ergriffen werden sollen, um Beschwerden koordiniert bearbeiten zu können.

Nachdem sich die Vertreter der europäischen Datenschutzbehörden im Juli mit den Anbietern der großen Internetsuchmaschinen in Brüssel trafen (Pressemitteilung, PDF), um über die Folgen und die Umsetzung des Google-Urteils in der Praxis zu beraten, entwickeln die Aufsichtsbehörden nun ein gemeinsames Verfahren, mit dem Beschwerden von Betroffenen bearbeitet werden sollen, deren Antrag auf Entfernung von Suchergebnissen abgelehnt wurde.

Nähere Details des europaweit geplanten Systems der Behörden sind noch nicht bekannt. Laut der Pressemitteilung werden wohl in jedem Land besondere Kontaktpersonen in den Behörden benannt, die den Informationsaustausch und Kontakt mit den Kollegen in ausländischen Datenschutzbehörden sicherstellen sollen. Der Artikel 29 Gruppe geht es vor allem darum, eine einheitliche Herangehensweise zu entwickeln, so dass gleich gelagerte Fälle auch gleich entschieden werden können. Die von den Aufsichtsbehörden anzulegenden Prüfkriterien sollen auf diese Weise vereinheitlicht werden. Innerhalb dieses Netzwerkes soll ein gemeinsames Archiv von Entscheidungen der Behörden in anderen Beschwerdeverfahren vorgehalten werden.

Das, wohl virtuell aufgesetzte System (im Prinzip dürfte es sich um eine gemeinsame Datenbank handeln), soll zudem Bedienelemente und Funktionen enthalten, damit bei einer Beschwerde europaweit nach vergleichbaren Verfahren gesucht werden kann oder neue bzw. besonders schwierige Sachverhalte identifiziert werden können.

Die Artikel 29 Gruppe versucht begrüßenswerter Weise, die Beschwerdeverfahren europaweit soweit als möglich zu vereinheitlichen. Abweichende Entscheidungen zu ähnlich gelagerten Fällen in verschiedenen europäischen Ländern würden bei Betroffenen wohl für Verwirrung sorgen. Auf der anderen Seite muss man auch anerkennen, dass es sich bei den Beschwerden im Rahmen des „Rechts auf Vergessenwerden“ häufig um schwierige und komplexe Abwägungsfragen handeln wird. Eine schablonenhafte Herangehensweise scheint mir insoweit nicht unbedingt durchweg als der richtige Weg. Die vorzunehmende Güterabwägung (Datenschutz einerseits, Meinungsfreiheit und Recht auf Informationszugang anderseits) sollte keinem vorher feststehenden Ergebnis zum Opfer fallen. Die Verständigung auf besonders zu beachtende Kriterien im Rahmen der Abwägung ist sicher nicht verkehrt. Doch sollte mit derartigen Methoden äußerst sorgsam umgegangen werden, wenn man das Grundprinzip einer auf den Einzelfall beschränkten Güterabwägung von kollidierenden Grundrechten nicht langsam abbauen möchte.

Eine kleine Randnotiz: die Artikel 29 Gruppe spricht nicht mehr von dem „Recht auf Vergessenwerden“ (right to be forgotten), sondern von einem Recht „entlistet zu werden“ (right to be de-listed).

Recht auf Vergessen – wie geht es weiter?

Nach dem Google-Urteil des EuGH vom 13.5.2014 (Az. C-131/12) und der anschließenden, in der Öffentlichkeit teilweise kritisierten Umsetzung durch Google, stellte sich für europäische Datenschutzbehörden die Frage, wie man mit der Entscheidung und Beschwerden von Betroffenen umgeht, die dieses Recht ausüben möchten. Doch auch der Rat der Europäischen Union hat sich, vor dem Hintergrund der möglichen Auswirkungen des Urteils auf die andauernden Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO), mit dem Thema befasst.

Treffen mit den Datenschutzbehörden
Am gestrigen Donnerstag trafen sich Vertreter von verschiedenen europäischen Datenschutzbehörden mit Anbietern von Internetsuchmaschinen in Brüssel. Wie die Artikel 29 Datenschutzgruppe (der Zusammenschluss der europäischen Aufsichtsbehörden) zuvor in einer Pressemitteilung bekannt gab (PDF), war dieses Treffen ein Teil der Initiative der Datenschützer, bis zum Herbst diesen Jahres gemeinsame Richtlinien für Datenschutzbehörden zu entwerfen, wie diese mit Beschwerden umgehen sollen, die im Anschluss an einen abgelehnten Löschantrag bei ihnen eingehen. Eine offizielle Mitteilung zu den Ergebnissen des Treffens liegt noch nicht vor. Jedoch berichtet Reuters, unter Berufung auf einen nicht genannten Teilnehmer, einige Details:

  • So haben die Datenschützer Google insbesondere dazu befragt, warum Einträge in Ergebnislisten nur auf den europäischen Angeboten gelöscht (bzw. gesperrt) werden, jedoch nicht unter der .com-Adresse. Aus Sicht der Datenschützer greife diese Umsetzung des Urteils zu kurz.
  • Bis zum Ende des Monats sollen die Suchmaschinenbetreiber weitere Informationen zur Umsetzung des Urteils bereitstellen. Diese würden in den Prozess der Entwicklung von Richtlinien für Datenschutzbehörden einfließen. Ein erster Entwurf solcher Richtlinien für Aufsichtsbehörden könnte bis Mitte September fertig gestellt sein.

Auch Bloomberg berichtet zu dem Treffen und einigen statistischen Informationen. Danach habe Google bisher mehr als 91.000 Löschanfragen erhalten, die sich auf 328.000 Internetadressen beziehen. Unter Berufung auf einen ebenfalls nicht genannten Teilnehmer des Treffens wird weiter berichtet, dass Google 30% der Anträge zurückweise und in 15% der Fälle zusätzliche Informationen zu dem Sachverhalt anfordere.

Auswirkungen auf die Datenschutz-Grundverordnung
Doch nicht nur die Datenschützer treibt die Umsetzung des Google-Urteils um. Auch in der Arbeitsgruppe Dapix des Rates der Europäischen Union, in der die DS-GVO verhandelt wird, hat man sich die Entscheidung des EuGH näher angesehen. In einem nun veröffentlichten Dokument (PDF) der Präsidentschaft an die Delegationen wird das Urteil näher erläutert und seine möglichen Folgen für die Verhandlungen analysiert. Nachfolgend einige der in dem Papier angesprochenen Themen:

Der EuGH hatte festgestellt, dass der Löschanspruch dann geltend gemacht werden kann, wenn die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich ist. Dies insbesondere dann, wenn die verarbeiteten Daten den ursprünglichen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Die Präsidentschaft ist sich jedoch nicht sicher, ob der derzeitige Wortlaut (es geht dabei um Art. 17 DS-GVO in der Fassung des Textes im Rat nach der griechischen Ratspräsidentschaft, abrufbar hier, PDF) deutlich genug zum Ausdruck bringt, dass bei der Frage, ob die Daten den ursprünglichen Zwecken nicht mehr entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, nicht auf den Betreiber der Originalwebseite, sondern auf den Betreiber der Suchmaschine abzustellen ist. Dies betrifft insbesondere auch die Frage des berechtigten Interessen bei einer vorzunehmenden Abwägung im Rahmen der Prüfung eines Erlaubnistatbestandes für die Verarbeitung.

Zudem stelle sich die Frage nach dem Verhältnis von Meinungsfreiheit und dem Recht auf Schutz personenbezogener Daten. Der EuGH hatte entschieden, dass sich allein der Betreiber der Originalwebseite auf die (sowohl in der derzeit geltenden Datenschutz-Richtlinie als auch in der DS-GVO vorgesehene) Ausnahme für die Verarbeitung von Daten zu ausschließlich journalistischen Zwecken berufen könne. Die Präsidentschaft stellt hierzu die Frage in den Raum, ob dies nicht auch für die nachfolgenden Datenverarbeiter (wie z.B. den Suchmaschinenbetreiber) gelten solle. Zu beachten ist hierbei, dass Fragen des Rechts auf freie Meinungsäußerung (aus kompetenzrechtlichen Gründen) nicht detailliert innerhalb der DS-GVO geregelt werden können.

Eine weiterer offener Punkt sei, ob es bei der Ausübung des Löschanspruchs eine gesetzlich festgelegte Reihenfolge geben soll, die der Betroffene zu beachten habe. Dass er sich also zunächst immer an den Betreiber der Originalwebseite wenden müsse und nur dann an den nachfolgenden Verarbeiter herantreten könne, wenn der Betreiber der Originalwebseite nicht mehr existiere oder nicht dem EU-Recht unterfalle. Dieser Vorschlag sei in der Vergangenheit von einigen Delegationen im Rat vorgebracht worden. Jedoch gibt die Präsidentschaft zu bedenken, dass ein solches System vom EuGH als nicht ausreichend erachtet wurde, um den Rechten des Betroffenen ausreichend Geltung zu verschaffen.

Recht auf Vergessen – Google setzt EuGH-Entscheidung um und möchte europäischer werden

Nach der EuGH-Entscheidung im Streit zwischen der spanischen Datenschutzbehörde und Google um ein sog. „Recht auf Vergessen werden“ im Internet, hat das Unternehmen am Freitag ein Webformular bereitgestellt, durch welches Nutzer nun Löschantrage für Suchergebnisse einreichen können.

Auf der Hilfeseite des Unternehmens gibt Google weitere Informationen zu dem Verfahren. Danach müsse jede Anfrage individuell geprüft und zwischen dem Recht des Einzelnen auf Schutz seiner personenbezogenen Daten und dem Recht der Öffentlichkeit auf Auskunft und Informationsweitergabe abgewogen werden. Zu den Prüfkriterien gibt Google an, dass man bei der Bearbeitung eines Antrags prüfe,

ob die Ergebnisse veraltete Informationen über Ihr Privatleben enthalten. Wir untersuchen außerdem, ob ein öffentliches Interesse an den in unseren Suchergebnissen verbleibenden Informationen besteht, zum Beispiel, ob es um finanzielle Betrugsfälle, Berufsvergehen oder Amtsmissbrauch, strafrechtliche Verurteilungen oder Ihr öffentliches Verhalten als (gewählter oder nicht gewählter) Regierungsbeamter geht.

Das Unternehmen stellt klar, dass dies schwierige Entscheidungen seien, die man als privater Konzern nicht in jedem Fall zweifelsfrei treffen könne. Unter Umständen könne dies durch die lokale Datenschutzbehörde besser beurteilt werden. Obwohl Google den Auswirkungen des Urteils kritisch gegenüberstehe, respektiere man die Entscheidung des EuGH. Man arbeite zudem intensiv an der Entwicklung eines gesetzeskonformen Prozesses, unter anderem mit Datenschutzbehörden und anderen Stellen. Gemeint sein könnten hiermit auch die bekanntgewordenen Pläne des Bundesinnenministeriums, für Löschanfragen eine Schlichtungsstelle zu schaffen (hierzu Thomas Stadler in seinem Blog).

In einem Interview mit der Financial Times hat Google Mitgründer Larry Page zudem angekündigt, dass man ein neues Expertengremium schaffen werde, welches das Unternehmen in Fragen des Datenschutzes in Europa beraten soll. Page versprach zudem eine neue Art des Engagements von Google in Europa. Er bedauere, dass man in der Vergangenheit nicht stärker in einer wirklichen Debatte um den Datenschutz involviert war. Dies wolle man nun ändern. Google wird versuchen „europäischer“ zu werden und bestimmte Themen aus dem europäischen Blickwinkel betrachten.

Das Google-Urteil des EuGH – übers Ziel hinaus geschossen?

Mit Urteil vom heutigen Tage hat der EuGH (Az. C-131/12) verschiedene wichtige Entscheidungen in Bezug auf die zukünftige Anwendung und Durchsetzung des europäischen Datenschutzrechts getroffen. Zur Entscheidung lag ihm dabei ein Verfahren zwischen Google und der spanischen Datenschutzbehörde (AEPD) vor. Die von einem spanischen Gericht vorgelegten Fragen betreffen grob folgende Themenkomplexe: 1. den räumlichen Anwendungsbereich der geltenden Datenschutzrichtlinie (DS-RL, RL 95/46/EG, PDF); 2. die Verantwortlichkeit von Suchmaschinenbetreibern für durch sie indexierte Webseiten und darauf befindliche Daten; 3. die Reichweite des Rechts auf Löschung von personenbezogenen Daten.

Sachverhalt
Der dem Urteil zugrunde liegender Sachverhalt stellt sich grob wie folgt dar: gegen einen Betroffenen wurden, aufgrund von Schulden bei der Sozialversicherung, Immobilienversteigerungen betrieben. Diese wurden in einer Zeitung zunächst offline und später auch online veröffentlicht. Die Bekanntmachung erfolgte dabei auf einer gesetzlichen Grundlage. Die AEPD lehnte daher Löschungsansprüche des Betroffenen gegen die online abrufbaren Bekanntmachungen gegen das Presseunternehmen ab. Jedoch wandte sich der Betroffene auch an Google und verlangte, dass die betreffenden Seiten aus dem Index der Suchmaschine zu nehmen seien. Dieser Beschwerde gab die AEPD statt und forderte Google auf, die Seiten aus dem Index zu entfernen. Hiergegen wendete sich Google.

Schlussanträge des Generalanwalts
Am 25.6.2013 präsentierte der zuständige Generalanwalt (GA) am EuGH, Jääskinen, seine Schlussanträge zu dem Verfahren. Hierzu hatte ich bereits einmal gebloggt. Die Ergebnisse der rechtlichen Analyse des GA waren die folgenden:

  • Verarbeitungen personenbezogener Daten werden im Rahmen der Tätigkeiten einer „Niederlassung“ des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Abs. 1 Buchst. a der DS-RL ausgeführt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet.

(Diese Auslegung stieß vielfach auf Kritik, da sie über den Wortlaut der Richtlinie hinausgehe und allein das Vorhandensein einer Niederlassung in einem europäischen Land ausreichen lassen würde, um das dortige Datenschutzrecht zur Anwendung zu bringen, auch wenn diese Niederlassung überhaupt nicht in der entscheidungserheblichen Datenverarbeitung beteiligt ist. Der Anwendungsbereich der DS-RL würde damit massiv ausgeweitet.)

  • Ein Internetsuchmaschinen-Diensteanbieter, dessen Suchmaschine nach Informationen sucht, die Dritte im Internet veröffentlicht oder gespeichert haben, diese Informationen automatisch indexiert, vorübergehend speichert und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung stellt, „verarbeitet“ personenbezogene Daten im Sinne von Art. 2 Buchst. b der DS-RL, wenn die Informationen personenbezogene Daten enthalten.
  • Der Internetsuchmaschinen-Diensteanbieter kann jedoch hinsichtlich dieser personenbezogenen Daten außer in Bezug auf den Inhalt des Indexes seiner Suchmaschine nicht als der „für die Verarbeitung Verantwortliche“ angesehen werden, es sei denn, er indexiert oder archiviert personenbezogene Daten entgegen den Weisungen oder Aufforderungen des Webseitenurhebers.
  • Das in Art. 12 Buchst. b der DS-RL geregelte Recht auf Löschung und Sperrung von Daten sowie das in Art. 14 Buchst. a der DS-RL vorgesehene Widerspruchsrecht verleihen der betroffenen Person nicht das Recht, sich an den Suchmaschinenbetreiber zu wenden, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten rechtmäßig veröffentlicht sind, und sich hierzu auf ihren Willen zu berufen, dass diese Informationen den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass die Informationen ihr schaden könnten, oder sie sich wünscht, dass die Informationen vergessen werden.

Das Urteil des EuGH
Der EuGH geht in seinem Urteil über die vom GA vorgeschlagene rechtliche Lösung hinaus. Man wird wohl bereits jetzt sagen können, dass dieses Urteil in Zukunft teils erhebliche Auswirkungen auf das Geschäftsmodell jeglichen Suchdienstes im Internet haben wird. Thomas Stadler spricht in einem Blogbeitrag davon, dass Urteil habe das Potential, die Funktionsfähigkeit von Suchwerkzeugen erheblich einzuschränken.

1. anwendbares Recht
Hier folgt der EuGH (leider) im Prinzip der Lösung des GA. Der Begriff „im Rahmen der Tätigkeit“ einer Niederlassung i. S. d. Art. 4 Abs. 1 Buchst. a DS-RL sei weit auszulegen. Der durch die DS-RL gewährleistete Schutz dürfe nicht umgangen werden, nur weil ein Diensteanbieter in einem Drittstaat ansässig sei. Daher werden auch Verarbeitungsvorgänge eines Anbieters in einem Drittstaat (hier von Google Search in den USA) „im Rahmen der Tätigkeit“ einer in einem EU Staat befindlichen Niederlassung ausgeführt, wenn diese Niederlassung die Aufgabe hat, in dem Mitgliedstaat für den Verkauf von Werbeanzeigen auf der Internetseite des Anbieters und damit die allgemeine Rentabilität des Unternehmens zu sorgen. Die Tätigkeiten des ausländischen Unternehmens und der europäischen Niederlassung seien dann untrennbar miteinander verbunden.
Diese weite Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL ist aus meiner Sicht kritikwürdig. Denn zum einen besitzt die DS-RL in Art. 4 Abs. 1 Buchst. c einen Tatbestand, der einen Anbieter aus einem Drittstaat europäischen Recht unterwerfen würde, wenn er auf Mittel in der EU zurückgreift. Diese Mittel könnten zB Computer oder aber auch Niederlassungen selbst sein. Mit der weiten Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL durch den EuGH wird diese Tatbestandsalternative praktisch kaum noch relevant werden, obwohl sie aus meiner Sicht gerade diese Konstellationen (Anbieter aus Drittland erhebt Daten im Inland) im Blick hatte. Zum anderen scheint die weite Auslegung des EuGH einfach etwas zu weit zu gehen. Denn die hier relevanten Verarbeitungsprozess (Indexierung und Crawlen) werden eben nicht im „Rahmen der Tätigkeit“ der spanischen Niederlassung durchgeführt. Im Prinzip liest der EuGH den Art. 4 Abs. 1 Buchst. a DS-RL wie „die im wirtschaftlichen Zusammenhang mit den Tätigkeiten der Niederlassung stehe“.

2. Verantwortlichkeit von Google
Der EuGH erkennt, wie der GA, in der Suche, Speicherung und Indexierung von Informationen und eben auch personenbezogenen Daten im Internet durch Google eine „Verarbeitung personenbezogener Daten“ i. S. d. Art. 2 Buchst. b DS-RL. Jedoch geht das Gericht nicht mit der Auslegung des GA konform, dass Google nur dann für die Verarbeitung verantwortlich sei, wenn es um die Daten im Index selbst gehe oder entgegen von technischen Sperren personenbezogene Daten gecrawled habe. Google sei vielmehr für alle selbst ausgeführten Tätigkeiten in Bezug auf personenbezogene Daten auf Webseiten von Dritten verantwortlich. Denn die Tätigkeit der Suchmaschine unterscheide sich von derjenigen der ursprünglichen Herausgeber. Begründet wird diese weite Auslegung des Begriffes der Verantwortlichkeit jedoch auch mit Motiven, die nicht direkt etwas mit dem Verarbeitungsvorgang zu tun haben. Die Tätigkeit von Suchmaschinen habe Anteil an der weltweiten Verbreitung personenbezogener Daten. Sie machen Daten auch solchen Nutzern zugänglich, die die Originalwebseite eventuell gar nicht gefunden hätten. Zudem bestehe die Gefahr, dass bei einer Auflistung von Informationen zu einer Person (die, wohl gemerkt, frei im Netz verfügbar sind) und einer Suche anhand ihres Namens, die Suchenden einen strukturierten Überblick über die betreffende Person erhalten, anhand dessen sie ein Profil dieser Person erstellen können.

3. Löschpflichten
Ist danach klar, dass Google grundsätzlich verantwortlich ist, sobald es mit eigenen Mechanismen Informationen aus dem Netz zusammensucht und als Ergebnislisten darstellt, stellte sich die Frage, ob Google zu einer Löschung von Links in Ergebnislisten auf Webseiten Dritter verpflichtet ist, selbst wenn die Veröffentlichung rechtmäßig erfolgte. Diese Löschpflicht kann sich aus Art. 12 Buchst. b DS-RL ergeben. Dazu müsste ihre Verarbeitung nicht den Bestimmungen der DS-RL entsprechen.

Der EuGH prüft zunächst die Rechtsgrundlage der Datenverarbeitungsvorgänge von Google. Hierbei bezieht er sich auf Art. 7 Buchst. f DS-RL. Diese Grundlage stellt auf die „berechtigten Interessen“ des für die Verarbeitung Verantwortlichen oder Dritten ab. Jedoch dürfen das Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Erforderlich ist also eine Abwägung der sich gegenüberstehenden Rechte und Interessen. Nach dem EuGH

kann eine von einem Suchmaschinenbetreiber ausgeführte Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten erheblich beeinträchtigen, wenn die Suche mit dieser Suchmaschine anhand des Namens einer natürlichen Person durchgeführt wird, da diese Verarbeitung es jedem Internetnutzer ermöglicht, mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person im Internet zu findenden Informationen zu erhalten, die potenziell zahlreiche Aspekte von deren Privatleben betreffen und ohne die betreffende Suchmaschine nicht oder nur sehr schwer hätten miteinander verknüpft werden können, und somit ein mehr oder weniger detailliertes Profil der Person zu erstellen.

Zudem steigere die Rolle des Internets und damit der weltweite Abruf der Informationen noch die Eingriffsintensität. Nun kommt das Gericht zu den berechtigten Interessen von Google. Hier führt es aus, dass wegen seiner potenziellen Schwere, ein solcher Eingriff nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers an der Verarbeitung der Daten gerechtfertigt werden könne. Die Interessen von Google bügelt der EuGH damit in einem Satz ab.

Jedoch stellt der EuGH dann fest, dass eine Löschung aus den Ergebnislisten die berechtigten Interessen von Dritten, nämlich der Internetnutzer, beeinträchtigen könnte. Nun muss also eine Interessenabwägung in diesem Verhältnis vorgenommen werden. Hierbei stellt der EuGH jedoch als Ausgangspunkt klar:

Zwar überwiegen die durch diese Artikel geschützten Rechte der betroffenen Person im Allgemeinen gegenüber dem Interesse der Internetnutzer;

Jedoch könne der nötige Ausgleich in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren. Im Prinzip lässt der EuGH hier eine (meines Erachtens bedenkliche) Tendenz erkennen. Nämlich dass Informationen dann zu löschen sind bzw. das Interesse der betroffenen Person zunächst einmal grundsätzlich überwiege und eben nur in besonderen Fällen, etwa bei Prominenten oder tagesaktuellen oder historischen Geschehnissen, hinter dem Informationsinteresse der Internetnutzer zurückzutreten habe. Damit besteht also im Ausgangspunkt eine Löschpflicht, selbst bei rechtmäßiger Weise veröffentlichten Informationen, wenn die Interessen des Betroffenen überwiegen. Dies ist nach dem EuGH grundsätzlich der Fall, außer in besonderen Situationen. Wohlgemerkt beziehen sich die Ausführungen des Gerichts auf Suchmaschinenbetreiber und die von ihnen generierten Ergebnislisten, vor allem wenn nach Namen von Personen gesucht werden.

4. Recht auf Vergessen werden
Zum Schluss befasst sich der EuGH mit der Frage, ob ein Betroffener ein Recht darauf hat, das Informationen zu ihm, die im Internet veröffentlicht wurden, irgendwann vergessen werden müssen.

Hierzu stellt der EuGH fest, dass Daten nach Art. 12 Buchst. b DS-RL auch dann zu löschen sind, wenn sie nicht den Zwecken der Verarbeitung entsprechen, dafür nicht erheblich sind oder darüber hinausgehen, nicht auf den neuesten Stand gebracht sind oder länger als erforderlich aufbewahrt werden, es sei denn ihre Aufbewahrung ist für historische, statistische oder wissenschaftliche Zwecke erforderlich. Hieraus ergebe sich, dass auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen kann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind.

Im Rahmen der Prüfung des Löschungsrechts nach Art. 12 Buchst. b DS-RL gelte es auch die Voraussetzungen des Art. 6 Abs. 1 DS-RL zu beachten, insbesondere, dass Daten nicht mehr den ursprünglichen Zwecken entsprechen. Wenn sich herausstelle, dass die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der in Rede stehenden Verarbeitung durch den Suchmaschinenbetreiber nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, müssen die betreffenden Informationen und Links der Ergebnisliste gelöscht werden, so das Gericht. Daher müsse auch geprüft werden, ob die betroffene Person ein Recht darauf habe, dass die betreffenden Information über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird. Hierbei weist der EuGH darauf hin, dass die Feststellung eines solchen Rechts nicht voraus setze, dass der betroffenen Person durch die Einbeziehung der betreffenden Information in die Ergebnisliste ein Schaden entstehe.

Und auch hier rückt der EuGH nicht von seiner eingeschlagenen Linie (des grundsätzlichen Vorrangs des Schutzes der Privatsphäre vor Informationsinteressen) ab. Er stellt vielmehr ausdrücklich klar, dass wenn die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, ist davon auszugehen, dass diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit daran, die Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche zu finden, überwiegen.

Fazit
Die Entscheidung des EuGH übertrifft wohl sämtliche Erwartungen an das Verfahren. Nicht nur weil das Gericht über die Linie des GA hinausgegangen ist, sondern vor allem mit welcher Deutlichkeit dies geschieht. Die Tendenz, dem Recht auf Schutz personenbezogener Daten grundsätzlich einen Vorrang einzuräumen und nur in besonderen Situationen eine Veröffentlichung zuzulassen, sollte man kritisch betrachten. Zudem scheint sich das Urteil vielerorts weniger durch juristische oder an Datenverarbeitungsprozessen ausgerichteten faktischen Feststellungen, sondern oft auch die allgemeine, aus Sicht der EuGH, negative Wirkung und das Geschäftsmodell von Google und dessen Suche in den Blick zu nehmen.