Europäischer Gerichtshof zur Haftung eines Zeitungsverlages für Online-Artikel

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 11. September 2014 (C-291/13, derzeit nicht auf Deutsch verfügbar) entschieden, dass ein Zeitungsverlag, der eine Webseite betreibt, über die eine Online-Version der herausgegebenen Zeitung abrufbar ist, sich unter gewissen Voraussetzungen nicht auf die Haftungsprivilegierungen der Art. 12 bis 14 der Richtlinie 2000/31/EG (sog. eCommerce-Richtlinie) (in Deutschland umgesetzt in den §§ 7 – 10 TMG) berufen kann.

Der Entscheidung lagen mehrere Vorlagefragen eines zypriotischen Gerichts zugrunde. Der dortige Kläger wandte sich mit Schadenersatz- und Unterlassungsklagen gegen einen online abrufbaren Zeitungsartikel, in dem er seiner Ansicht nach diffamiert wurde.

Entgeltlichkeit bei Online-Werbung
In seiner Entscheidung legt der EuGH zunächst dar, dass der Anwendungsbereich der eCommerce-Richtlinie dann eröffnet ist, wenn es sich um Tätigkeiten eines „Dienstes der Informationsgesellschaft“ handelt. Nach Erwägungsgrund 18 umfassen diese Dienste der Informationsgesellschaft einen weiten Bereich von wirtschaftlichen Tätigkeiten, die online vonstattengehen. Art. 2 a) eCommerce-Richtlinie verweist für die Definition des Begriffs zudem auf Art. 1 Nr. 2 der Richtlinie 98/34/EG (PDF). Danach ist ein „Dienst“ eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Der EuGH stellt in seinem Urteil klar, dass das Entgelt nicht von dem Empfänger des Dienstes selbst stammen muss. Es reichen hierfür auch Einnahmen aus Werbeanzeigen aus, die auf einer Webseite vom Betreiber eingesetzt werden.

Keine Haftungsprivilegierung
Zudem befasste sich der EuGH mit der Frage, inwieweit sich der Zeitungsverlag auf die Haftungsprivilegierungen der Art. 12 bis 14 eCommerce-Richtlinie berufen kann, wenn er eine Webseite betreibt, auf der Zeitungsartikel erscheinen, die von angestellten oder freiberuflichen Journalisten verfasst wurden und der Verlag seine Vergütung auch aus den Einnahmen der Einbindung von Online-Werbeanzeigen auf der Webseite generiert.

Der EuGH verweist zunächst auf seine frühere Rechtsprechung (u.a. C-236/08), wonach sich aus Erwägungsgrund 42 der eCommerce-Richtlinie ergibt, dass die hinsichtlich der Verantwortlichkeit festgelegten Ausnahmen nur Fälle erfassen, in denen die Tätigkeit des Anbieters von Diensten der Informationsgesellschaft „rein technischer, automatischer und passiver Art“ ist. Dies bedeutet, dass der Anbieter „weder Kenntnis noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzt“. Erforderlich für eine Antwort auf die Frage, ob ein Diensteanbieter sich auf die Haftungsprivilegierung des Art. 14 eCommerce-Richtlinie, also die reine Speicherung von fremden Informationen (umgesetzt in § 10 TMG), berufen kann, ist nach dem EuGH die Feststellung, ob die Rolle dieses Anbieters insofern neutral ist, als sein Verhalten rein technischer, automatischer und passiver Art ist und er weder Kenntnis noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzt.

Für den hier vorliegenden Sachverhalt begründet der EuGH die mangelnde Haftungsprivilegierung wie folgt: Da der Zeitungsverlag grundsätzlich Kenntnis von denjenigen Informationen besitzt, die im Rahmen des Online-Angebotes in Form der Artikel bereitgestellt werden und über die Artikel und die in ihnen enthaltenen Informationen auch eine faktische Kontrolle ausübt, kann der Verlag hier nicht als „Vermittler“ im Sinne der eCommerce-Richtlinie angesehen werden. Dies unabhängig davon, ob der Zugang zu der Webseite kostenlos oder kostenpflichtig ausgestaltet ist.

Wie regelt man zukünftig Datenschutz und Meinungsfreiheit? EU-Rat verhandelt über mehrere Optionen

Auf welche Weise wird es zukünftig möglich sein, einen angemessenen Ausgleich zwischen zwei gleichwertig geltenden Grundrechten in einem europäischen Gesetz herzustellen? Oder ist dies auf gesetzlicher Ebene überhaupt nicht möglich und sollte der Rechtsprechung überlassen bleiben? Diesen Fragen widmet sich derzeit der Rat der Europäischen Union im Rahmen der Verhandlungen zur geplanten Datenschutz-Grundverordnung (PDF, DS-GVO). Die Thematik wird insbesondere seit dem Urteil des EuGH in Sachen „Google“ (C-131/12) diskutiert, in dem der Gerichtshof einen generellen Vorrang des Grundrechts auf Datenschutz postulierte.

In einem nun veröffentlichten Dokument (PDF) aus der zuständigen Ratsarbeitsgruppe (DAPIX) vom 16. Oktober 2014, stellt die derzeitige italienische Ratspräsidentschaft vier grundsätzlich mögliche Optionen vor, um einen Ausgleich zwischen den Grundrechten auf Datenschutz und Meinungsfreiheit im zukünftigen Datenschutzrecht herstellen zu können.

Alternative 1
Es ist nicht erforderlich, in der DS-GVO eine Pflicht der Mitgliedstaaten aufzunehmen, dass diese bei der Anwendung der Gesetze verschiedene Grundrechte gegeneinander abwägen und in Einklang bringen müssen. Denn die Charta der Grundrechte der Europäischen Union (PDF) gelte ohnehin direkt in jedem Mitgliedstaat und verlange bereits, einen solchen Ausgleich herbeizuführen.

Alternative 2
Ähnlich dem vorgeschlagenen Art. 80 der DS-GVO müsse eine Pflicht für Mitgliedstaaten geschaffen werden, nach der das jeweilige nationale Recht beide hier in Rede stehenden Grundrechte miteinander in Einklang bringen muss. Unter „nationalem Recht“ sei dabei auch die nationale Rechtsprechung zu verstehen.

Alternative 3
Die DS-GVO sollte, ähnlich wie derzeit Art. 9 der Datenschutz-Richtlinie (RL 95/46/EG), diejenigen Artikel bzw. Kapitel der DS-GVO benennen, von denen die Mitgliedstaaten in ihrem nationalen Recht Ausnahmen vorsehen können, wenn es für den Ausgleich zwischen dem Recht auf Datenschutz und Meinungsfreiheit erforderlich ist. Diese national ausgestalteten Ausnahmen müssten dabei optionaler Natur sein und dem Verhältnismäßigkeitsprinzip genügen.

Alternative 4
Zuletzt wäre es denkbar, eine allgemeine Regelung (etwa in Art. 1 der DS-GVO) zu schaffen, die es den Mitgliedstaaten erlaubt, in ihrem nationalen Recht Ausnahmen von jeglichen Vorgaben der DS-GVO vorzusehen, wann immer dies erforderlich ist, um einen angemessenen Ausgleich zwischen Datenschutz und der Meinungsfreiheit herzustellen.

Die Alternativen 2 und 3 sind als ausformulierte Vorschläge in dem Dokument des Rates enthalten (Art. 80). Alternative 3 beruht dabei auf einem neuen Vorschlag von Deutschland.

Recht auf Vergessen: Google veröffentlicht neue Zahlen – Facebook am meisten betroffen

Als Teil seiner online abrufbaren Transparenzberichte hat Google am 9. Oktober 2014 neue Zahlen und Statistiken zu Löschanfragen von Betroffenen präsentiert, die ihr sog. “Recht auf Vergessenwerden” nach dem europäischen Datenschutzrecht wahrgenommen haben.

Die von Google bereitgestellten Statistiken geben Auskunft über die Gesamtzahl der Anfragen und der betroffenen Links. Auch kann man die Anfragen nach europäischen Ländern filtern. Zudem gibt Google auch Beispiele dafür, welche Arten von Anfragen gestellt wurden, worum es bei diesen inhaltlich ging und ob die betreffenden URLs aus der Ergebnisliste entfernt (bzw. unterdrückt) wurden oder nicht.
Seit dem Urteil des Europäischen Gerichtshofs (Rs C-131/12) vom 13. Mai 2014, hat Google nach eigenen Angaben 144.907 Ersuchen von Betroffenen erhalten. Diese bezogen sich auf insgesamt 497.507 URLs. Hieraus wird deutlich, dass die meisten Personen direkt nicht nur Suchergebnisse zu einer URL, sondern zu mehreren Quellen unterdrückt wissen wollen.

Die Zahlen für Deutschland: Insgesamt 24.979 Ersuchen, die sich auf 88.873 URLs bezogen.

Interessant ist zudem die Statistik, welche Webseiten (also Suchergebnisse mit URLs dieser Webseiten) im Schnitt am häufigsten von Löschanfragen betroffen waren. Spitzenreiter ist hier Facebook.com. Diesbezüglich wäre es natürlich besonders interessant, weitere Einzelheiten zu kennen. Denn wie die meisten wissen, kann man als Nutzer von Facebook Beiträge und Bilder völlig freiwillig der Öffentlichkeit (als dem gesamten Internet und damit auch der Suchmaschine von Google) zugänglich machen. In diesen Fällen wäre also wohl besonders zu untersuchen, ob eventuell die Person, die die Löschanfrage an Google gestellt hat, nicht vorher selbst in die Veröffentlichung eines Bildes oder Textes mit ihren personenbezogenen Daten eingewilligt hat. Freileich können sich die Löschgesuche aber vor allem auch auf diejenigen Fälle beziehen, in denen z.B. Bilder von einer Person ohne deren Zustimmung für die Öffentlichkeit sichtbar gemacht wurden, etwa weil sie aus ihrem Facebookprofil (dessen Inhalte nur für Freunde sichtbar sind) herauskopiert und erneut (öffentlich) gepostet/geteilt wurden.

Weitere beliebte „Löschziele“ der Antragsteller sind auch die Seiten von Youtube, das soziale Netzwerk Badoo und Personensuchmaschinen, wie etwa Yasni.

Die Initiative von Google, Informationen zu den Löschanfragen und ihrer Behandlung durch das Unternehmen zu veröffentlichen ist in jedem Fall zu begrüßen.

Konferenz der deutschen Datenschützer: „Recht, schwer gefunden zu werden“ soll weltweit gelten

Am 8. und 9. Oktober 2014 fand in Hamburg die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) statt. Auf der Tagesordnung standen unter anderem die Kontrolle von Geheimdiensten, das Google-Urteil des EuGH und der Datenschutz im KfZ. Die Entschließungen der DSK sind nun auf der Webseite des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit abrufbar.
Mit Blick auf die Tätigkeit der Nachrichtendienste (Effektive Kontrolle der Nachrichtendienste herstellen!, PDF) stellt die DSK fest, dass deren Befugnisse auch die Überwachung der Telekommunikation einschließe und damit im Bereich der strategischen Auslandsüberwachung des BND ein Kontrolldefizit einhergeht. Da für die Betroffenen die durch Nachrichtendienste vorgenommene Datenverarbeitung in weitem Maße intransparent erfolgt, ist nach Ansicht der DSK auch der Individualrechtsschutz faktisch eingeschränkt. Die DSK bemängelt, dass bestimmte Bereiche nachrichtendienstlicher Tätigkeiten per se Eigeninitiativkontrolle durch die Datenschutzbeauftragten des Bundes und der Länder entzogen seien. Es fehle an einem eigenen Kontrollmandat der Datenschutzbeauftragten für Beschränkungen des Fernmeldegeheimnisses. Die DSK hält daher eine Einbindung der Datenschutzbeauftragten neben den parlamentarischen Kontrollinstanzen (G10-Kommission) für erforderlich.

Auch das „Google-Urteil“ des EuGH (Rs. C-131/12) war ein Thema der DSK (Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen, PDF). Mit Blick auf die immer noch umstrittene Frage, ob nach einer erfolgreichen Beschwerde eines Betroffenen die Ergebnislisten auch bei einer Suche über „Google.com“ entsprecht angepasst (also bestimmte Ergebnisse unterdrückt) werden müssen, fordert die DSK, dass Anbieter von Suchmaschinen die Suchergebnisse bei einem begründeten Widerspruch weltweit unterbinden. Hinsichtlich der auch vom Bundesinnenministerium angestellten Überlegungen, unabhängige Schlichtungsstellen zu etablieren, die bei Beschwerden über zurückgewiesene Anträge von Betroffenen entscheiden sollen, scheint die DSK Zurückhaltung zu üben. Nach der Entschließung dürften alternative Streitbeilegungs-oder Streitschlichtungsverfahren das verfassungsmäßige Recht der Betroffenen auf eine unabhängige Kontrolle durch die dafür vorgesehenen staatlichen Institutionen (also Gerichte und/oder die Datenschutzbehörden) nicht beschneiden. Zuletzt streiten die Datenschützer eine Befugnis von Suchmaschinenbetreibern ab, dass diese bei einem positiven Antrag eines Betroffenen den jeweiligen Inhalteanbieter (also den Webseitenbetreiber) über die Sperrung von Suchergebnissen informieren dürften. Dies soll selbst dann gelt, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält. Meiner Ansicht nach ist dann aber, zumindest aus datenschutzrechtlicher Sicht fraglich, warum eine solche Information nicht erteilt werden dürfte? Denn personenbezogene Daten (wie der Name) werden ja dann nicht verarbeitet. Ironischerweise dürfte diese Sichtweise mit der geplanten Datenschutz-Grundverordnung ohnehin bald obsolet sein. Denn nach dem Entwurf der Kommission (Kom (2012) 11,  PDF) soll in Art. 17 Abs. 2 gerade eine solche Benachrichtigung verpflichtend eingeführt werden. Auf diese Pflicht weißt auch die italienische Ratspräsidentschaft in dem neuesten Dokument aus den Ratsverhandlungen zur Thematik des „Rechts auf Vergessenwerden“ hin (PDF).

Weitere Entschließungen der DSK:
Marktmacht und informationelle Selbstbestimmung (PDF)

Unabhängige und effektive Datenschutzaufsicht ist für Grundrechtschutz unabdingbar (PDF)

Datenschutz im Kraftfahrzeug (PDF)

Datenschutz und “Internet der Dinge” – Position der Europäischen Datenschützer

Die Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), das Gremium der Vertreter der europäischen Aufsichtsbehörden für den Datenschutz, hat in einer neuen Stellungnahme (WP 223, PDF) zum „Internet der Dinge“ (IoT) ihre Positionen zu verschiedenen datenschutzrechtlichen Fragen im Zusammenhang mit der Datenverarbeitung rund um Smartwatches, Fitnesstracker oder intelligente Thermostate dargelegt. Im Folgenden möchte ich einige der in der Stellungnahme angesprochenen Themenbereiche näher beleuchten.

Räumlicher Anwendungsbereich
Nach Ansicht der Art. 29 Gruppe ist das europäischen Datenschutzrecht (bzw. die jeweilige nationale Umsetzung der Vorgaben der geltenden Datenschutzrichtlinie (DS-RL) 95/46/EG) zum einen dann anwendbar, wenn Datenverarbeitungen „im Rahmen der Tätigkeiten“ einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche (hierzu sogleich) in der Europäischen Union besitzt (Art. 4 Abs. 1 lit. a DS-RL). Was genau unter der Umschreibung „im Rahmen der Tätigkeiten“ zu verstehen ist, wird in dieser Stellungnahme nicht näher erläutert. Jedoch verweisen die Datenschützer auf das Google-Urteil des Europäischen Gerichtshofs (C-131/12) und die dort vorgenommene sehr weite (meines Erachtens mit dem Wortlaut der Datenschutzrichtlinie kaum zu vereinbarende) Auslegung dieses Begriffs. Sollte der für die Datenverarbeitung Verantwortliche nicht in der EU niedergelassen sein, ist das europäische Datenschutzrecht dennoch anwendbar, wenn er nach Art. 4 Abs. 1 lit. c DS-RL auf Mittel zurückgreift, welche in einem Mitgliedstaat belegen sind. Nach Ansicht der Datenschützer stellen alle Geräte, die zur Erhebung oder weiteren Verarbeitung von personenbezogenen Daten im Rahmen eines IoT-Dienstes eingesetzt werden, solche „Mittel“ im Sinne der DS-RL dar. Hierzu gehören aber auch die Smartphones oder Tablets der Nutzer, auf denen entsprechende Software oder Apps zum Analysieren oder Übermitteln der erhobenen Daten installiert sind.

Personenbezogene Daten
Für die Datenschützer sind die Informationen, die von den IoT-Geräten erhoben werden, in den meisten Fällen als personenbezogen im Sinne des Art. 2 DS-RL anzusehen. Entweder kann eine bestimmte Person direkt hierüber identifiziert oder es können Lebensmuster und –gewohnheiten einer Person oder Familie erkannt werden. Jedoch gehen die Datenschützer in ihrer Stellungnahme noch weiter. Selbst wenn Daten pseudonymisiert oder gar anonymsiert werden, so bestünde doch aufgrund der Schieren Menge an Informationen stets ein latentes Risiko einer Re-Identifizierung. Dies reiche aus, um von personenbezogenen Daten auszugehen.

Für die Datenverarbeitung Verantwortlicher
Bei der Frage des für die Verarbeitung Verantwortlichen geht es um die Bestimmung derjenigen Stelle, welche die gesetzlichen Pflichten des Datenschutzrechts treffen. Die Art. 29 Gruppe verweist darauf, dass im Bereich des Internet der Dinge viele verschiedene Spieler beteiligt sind und daher eine genaue Analyse Ihrer Beteiligungen an den jeweiligen Datenverarbeitungsprozessen vorzunehmen ist. Der Gerätehersteller ist nach Ansicht der Datenschützer vor allem dann für die Datenverarbeitung verantwortlich, wenn er nicht nur das physische Gerät verkauft, sondern auch die Software programmiert und damit vorgibt, wie und welche Daten erhoben und zu welchen Zwecken verarbeitet werden. Auch Internetplattformen, auf denen Nutzer die über das Gerät erhoben Daten teilen und veröffentlichen können, besitzen unter gewissen Umständen datenschutzrechtliche Pflichten. So ist etwa der Anbieter eines sozialen Netzwerkes nach Ansicht der Datenschützer dann als Verantwortlicher anzusehen, wenn er Daten aus dem IoT-Gerät eines Nutzers für eigene Zwecke verwendet, z.B. um personalisierte Werbung für passionierte Jogger auszuspielen. Und auch Anbieter von Drittdiensten, etwa speziellen Apps, die auf IoT-Daten zugreifen, sind als für die Verarbeitung Verantwortlichen anzusehen, wenn sie über eine vorhandene API auf Informationen auf dem jeweiligen Gerät zugreifen. Nach Ansicht der Art. 29 Gruppe bedarf es hierfür zumeist der Einwilligung des Betroffenen, welche im Rahmen des Installationsprozesses der App einzuholen ist.

Einwilligung nach der ePrivacy-Richtlinie
Die Art. 29 Gruppe weist in ihrer Stellungnahme darauf hin, dass neben den Regelungen der DS-RL auch einzelne Bestimmungen anderer Gesetze zur Anwendung kommen können. Insbesondere im Blick haben die Datenschützer hierbei Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie (2002/58/EG). Danach ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Dieses Einwilligungserfordernis betrifft nach Ansicht der Datenschützer vor allem den Gerätehersteller. Zu beachten ist, dass die Einwilligung sich nicht nur auf personenbezogene Daten bezieht, sondern ganz allgemein auf Informationen, die in einem IoT-Gerät gespeichert sind.

Erlaubnistatbestände der Datenverarbeitung
Die Verarbeitung personenbezogener Daten, die über ein IoT-Gerät erhoben werden, bedarf nach dem geltenden Prinzip des Verbots mit Erlaubnisvorbehalt eines Erlaubnistatbestandes. Art. 7 DS-RL listet die möglichen gesetzlichen Grundlagen einer Verarbeitung personenbezogener Daten auf. Die Voraussetzungen einer der Alternativen des Art. 7 DS-RL sind neben den Voraussetzungen des Art. 5 Abs. 3 ePrivacy-Richtlinie zu erfüllen (der ja bereits bei einem Zugriff auf Informationen einschlägig ist). Nach Ansicht der Art. 29 Gruppe kommen im Rahmen des Einsatzes von IoT-Geräten vor allem drei Varianten des Art. 7 DS-RL in Betracht. Zum einen Art. 7 lit. a DS-RL, wenn der Betroffene seine Einwilligung in die Datenverarbeitung erteilt hat. Zum anderen Art. 7 lit. b DS-RL, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Die Art. 29 Gruppe weist darauf hin, dass der Anwendungsbereich dieses Erlaubnistatbestandes durch das Merkmal der „Erforderlichkeit“ begrenzt ist. Zum Dritten stellt auch Art. 7 lit. f DS-RL einen tauglichen Erlaubnistatbestand dar, wenn die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird erforderlich ist. Dies jedoch nur, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. In diesem Zusammenhang verweisen die Datenschützer erneut auf das Google-Urteil des EuGH und nehmen die Aussagen des Gerichts zum Anlass darauf einzugehen, dass eine Datenverarbeitung über IoT-Geräte sehr wahrscheinlich die Grundrechte auf Privatleben und den Schutz personenbezogener Daten in besonderer Weise berührt. Die Daten beziehen sich etwa auf die Gesundheit der Betroffenen oder ihre private Umgebung. Nach Ansicht der Art. 29 Gruppe ist eine Datenverarbeitung unter diesen Gegebenheiten kaum allein durch die wirtschaftlichen Interessen des jeweils Verantwortlichen zu rechtfertigen.

Zusammenfassung
Die Stellungnahme der Art. 29 Gruppe geht noch auf weitere Aspekte ein, etwa Anforderungen an die Datenqualität, die Verarbeitung besonderer Arten von personenbezogenen Daten (z. B. Gesundheitsdaten) oder auch zu ergreifende technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Insgesamt dient die Stellungnahme der Datenschützer sicherlich als informative Lektüre, um eine grobe Einschätzung des immer bedeutender werdenden Bereichs des Internets der Dinge aus Sicht der Aufsichtsbehörden zu erhalten. Meines Erachtens sind die Positionen der Art. 29 Gruppe freilich nicht in jedem Punkt las eine Art „obiter dictum“ hinzunehmen. So stellt sich etwa für Geräte- oder Softwarehersteller die Frage des Sinns (bzw. Unsinns) von Anonymisierungsverfahren, wenn nach Ansicht der Datenschützer selbst dann die datenschutzrechtlichen Pflichten eingreifen. Als ob also eine Anonymisierung von Daten gar nicht stattgefunden hätte. Warum sollten Unternehmen dann noch eine Anonymisierung (die mit tatsächlichen und finanziellen Aufwandverbunden ist) vornehmen? Auch in Zukunft werden das vernetzte Haus, das smarte Auto oder die intelligenten Uhren den Datenschutz vor Herausforderungen stellen. Es sollte daher auch genau auf eine mögliche Berücksichtigung dieser Technologien in der geplanten Datenschutz-Grundverordnung geachtet werden und wie das künftige Datenschutzrecht mit technologischen Entwicklungen umgehen wird.
Vg Wort

Datenschutz-Grundverordnung: Gefährlicher Einfluss des Google-Urteils

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) im Mai 2014 in Sachen Google (C-131/12), haben sich selbstverständlich auf die Mitgliedstaaten im Rat der Europäischen Union mit den möglichen Konsequenzen der Entscheidung für die in Planung befindliche Datenschutz-Grundverordnung (DS-GVO) befasst.

In der letzten Woche wurden mehrere Dokumente aus der zuständigen Ratsarbeitsgruppe (Dapix) zu dem Thema veröffentlicht (diese und viele andere Dokumente finden sich auf einer Übersichtsseite hier im Blog). Aus den Papieren geht zum Teil hervor, wie die verschiedenen Mitgliedstaat den Einfluss der Entscheidung des EuGH auf die DS-GVO bewerten und welche Änderungen die derzeitige italienische Ratspräsidentschaft an dem Gesetzesentwurf vorschlägt.

Gesetzliche Festschreibung des Vorrangs des Datenschutzes
In einem Arbeitsdokument (11289/1/14 REV 1, PDF) vom 3. September 2014, welches sich direkt mit dem Urteil des EuGH befasst, geht es vor allem um mögliche Änderungen des geplanten Art. 17 DS-GVO (dem sog. Recht auf Vergessenwerden). Die Ratspräsidentschaft schlägt in diesem Dokument neue Änderungen am Gesetzestext vor. Aus meiner Sicht völlig unverständlich ist die Idee, einen neuen Erwägungsgrund 53a) in die DS-GVO einzufügen. Inhalt dieses Erwägungsgrundes (Seite 6 des PDF) soll die Klarstellung sein, dass es, im Fall der Ausübung des „Rechts auf Vergessenwerden“, eines angemessenen Ausgleichs bedarf, zwischen den Grundrechten aus Art. 7 und 8 der Grundrechtecharta der Betroffenen und den Interesse der Internetnutzer an einem freiem Informationszugang. Soweit so gut. Jedoch möchte die Ratspräsidentschaft, unter wörtlicher Übernahme der Ausführungen des EuGH in seinem Urteil, in Erwägungsgrund 53a) festschreiben, dass „im Allgemeinen“ die Grundrechte der Betroffenen den Interessen der Internetnutzer an einem freien Informationszugang vorgehen. Im Zweifel also pro Datenschutz. Im Zweifel müssen Suchmaschinenbetreiber also Löschen.

Dass ich diese Aussage des EuGH für falsch, ja mit den Vorgaben der Grundrechtecharta nicht für vereinbar, halte, habe ich bereits in meinem Beitrag zu dem Urteil dargelegt. Allein bin ich mit dieser Ansicht auch nicht (eine Übersicht von Beiträgen gibt es bei Thomas Stadler im Blog). Sollte dieser generelle Vorrang des Datenschutzes nun auch noch gesetzlich festgeschrieben werden und eine Abwägung der Rechte und Interessen nur in Ausnahmefällen zu Gunsten der Internet- und Suchmaschinennutzer ausfallen, so würde man meines Erachtens eine gefährliche Tendenz in der Rechtsprechung, nämlich dem Datenschutz als eine Art „Supergrundrecht“ den Vorrang einzuräumen, für die Zukunft zementieren. Hier besteht sicherlich die Gefahr, dass bei einer zukünftigen Gesetzesanwendung und –auslegung Gerichte nicht nur bei der Abwägung von Datenschutz und Informationsfreiheit, sondern auch bei der Kollision anderer Grundrechte mit dem Datenschutz auf den neuen Erwägungsgrund 53a) mit dem Argument referenzieren würden „Da steht es doch. Der Datenschutz überwiegt im Allgemeinen“.

Stellungnahmen der Mitgliedstaaten
In einem weiteren Dokument (12274/2/14 REV 2, PDF) vom 3. September 2014, sind die Stellungnahmen von verschiedenen Mitgliedstaaten in der Ratsarbeitsgruppe zu den möglichen Auswirkungen des Google-Urteils und zu konkreten Fragen der Ratspräsidentschaft zusammengefasst. Die Lektüre des Arbeitspapiers und der Kommentare der einzelnen Delegationen ist durchaus lesenswert, da man hier erkennt, dass die gezogenen Schlüsse teilweise doch stark voneinander abweichen. So stellt etwa die Delegation des Vereinigten Königreichs grundsätzlich klar, dass ihrer Ansicht nach die Entscheidung des EuGH nicht den Inhalt und die Arbeit an der DS-GVO bestimmen dürfe. Das Urteil biete hilfreiche Anhaltspunkte für die gemeinsame Arbeit. Jedoch befürchtet die Delegation, dass der Richterspruch (der zur derzeit geltenden Datenschutz-Richtlinie 95/46/EG ergangen ist), als eine Art Leitlinie für die Arbeit an der DS-GVO genutzt werden könnte. Dies sollte nicht der Fall sein.

Relativ einig sind sich die Mitgliedstaaten darin, dass es grundsätzlich den nationalen Gesetzgebern überlassen sein muss, die Leitlinien für erforderliche Abwägung des Rechts auf den Schutz personenbezogener Daten mit dem Recht auf Meinungs- und Pressefreiheit vorzugeben. Dies kann nicht in der DS-GVO erfolgen. Ebenfalls weitgehend einig ist man sich darin, dass es in Zukunft nicht eine Art „Zweit-Verantwortlichen“ geben soll, wenn öffentlich zugängliche Informationen weiterverbreitet werden, etwa durch einen Suchmaschinenbetreiber. Aus älteren Ratsdokumenten geht hervor, dass über eine Art abgestufte Verantwortlichkeit nachgedacht wurde und der Betroffene sich zunächst immer an den Erst-Verantwortlichen mit seinen Löschansprüchen wenden müsse. Dieser Gedanke scheint nach den Kommentaren der Delegationen nicht weiter verfolgt werden zu sollen.

Man wird abwarten müssen, welche Folgen das Google-Urteil tatsächlich für den Entwurf der DS-GVO des Rates haben wird. Es zeigt sich, dass die Diskussionen hier im vollen Gange sind und wenig überraschend nicht immer einheitlich sind. Die Stellungnahme der deutschen Delegation ist in dem zuletzt erwähnten Dokument leider nicht enthalten.

Google-Urteil: Europäische Datenschützer entwickeln Netzwerk für Beschwerden

Die europäischen Datenschutzbehörden, versammelt in der sog. Artikel 29 Gruppe, haben gestern bekannt gegeben (Pressemitteilung, PDF), dass als Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Google aus dem Mai diesen Jahres (C-131/12) , Maßnahmen ergriffen werden sollen, um Beschwerden koordiniert bearbeiten zu können.

Nachdem sich die Vertreter der europäischen Datenschutzbehörden im Juli mit den Anbietern der großen Internetsuchmaschinen in Brüssel trafen (Pressemitteilung, PDF), um über die Folgen und die Umsetzung des Google-Urteils in der Praxis zu beraten, entwickeln die Aufsichtsbehörden nun ein gemeinsames Verfahren, mit dem Beschwerden von Betroffenen bearbeitet werden sollen, deren Antrag auf Entfernung von Suchergebnissen abgelehnt wurde.

Nähere Details des europaweit geplanten Systems der Behörden sind noch nicht bekannt. Laut der Pressemitteilung werden wohl in jedem Land besondere Kontaktpersonen in den Behörden benannt, die den Informationsaustausch und Kontakt mit den Kollegen in ausländischen Datenschutzbehörden sicherstellen sollen. Der Artikel 29 Gruppe geht es vor allem darum, eine einheitliche Herangehensweise zu entwickeln, so dass gleich gelagerte Fälle auch gleich entschieden werden können. Die von den Aufsichtsbehörden anzulegenden Prüfkriterien sollen auf diese Weise vereinheitlicht werden. Innerhalb dieses Netzwerkes soll ein gemeinsames Archiv von Entscheidungen der Behörden in anderen Beschwerdeverfahren vorgehalten werden.

Das, wohl virtuell aufgesetzte System (im Prinzip dürfte es sich um eine gemeinsame Datenbank handeln), soll zudem Bedienelemente und Funktionen enthalten, damit bei einer Beschwerde europaweit nach vergleichbaren Verfahren gesucht werden kann oder neue bzw. besonders schwierige Sachverhalte identifiziert werden können.

Die Artikel 29 Gruppe versucht begrüßenswerter Weise, die Beschwerdeverfahren europaweit soweit als möglich zu vereinheitlichen. Abweichende Entscheidungen zu ähnlich gelagerten Fällen in verschiedenen europäischen Ländern würden bei Betroffenen wohl für Verwirrung sorgen. Auf der anderen Seite muss man auch anerkennen, dass es sich bei den Beschwerden im Rahmen des „Rechts auf Vergessenwerden“ häufig um schwierige und komplexe Abwägungsfragen handeln wird. Eine schablonenhafte Herangehensweise scheint mir insoweit nicht unbedingt durchweg als der richtige Weg. Die vorzunehmende Güterabwägung (Datenschutz einerseits, Meinungsfreiheit und Recht auf Informationszugang anderseits) sollte keinem vorher feststehenden Ergebnis zum Opfer fallen. Die Verständigung auf besonders zu beachtende Kriterien im Rahmen der Abwägung ist sicher nicht verkehrt. Doch sollte mit derartigen Methoden äußerst sorgsam umgegangen werden, wenn man das Grundprinzip einer auf den Einzelfall beschränkten Güterabwägung von kollidierenden Grundrechten nicht langsam abbauen möchte.

Eine kleine Randnotiz: die Artikel 29 Gruppe spricht nicht mehr von dem „Recht auf Vergessenwerden“ (right to be forgotten), sondern von einem Recht „entlistet zu werden“ (right to be de-listed).

Vorlagefragen an den EuGH: Wie weit reicht der Arm nationaler Datenschutzbehörden?

Der Europäische Gerichtshof (EuGH) ist im Rahmen eines Vorabentscheidungsersuchens (C-230/14) aus Ungarn mit mehreren Fragen befasst, inwieweit die Datenschutzbehörde eines EU-Mitgliedstaates ihre Kontrollbefugnisse auch gegen Webseitenanbieter, die in einem anderen Mitgliedstaat niedergelassen sind, ausüben und durchsetzen kann.

Sachverhalt
Das Unternehmen Weltimmo, mit Sitz in der Slowakei, bietet auf seiner Webseite die Möglichkeit zur Vermittlung von Immobilien an. Auf der Webseite konnten auch ungarische Staatsbürger Anzeigen für Immobilien schalten, die sich in Ungarn befinden. Die für den Dienst verwendeten Server befinden sich wiederum in einem dritten EU-Mitgliedstaat. Dieser Service wurde zunächst kostenlos angeboten, nach einer gewissen Zeit jedoch automatisch in ein kostenpflichtiges Angebot umgewandelt und die Betroffenen wurden zur Kasse gebeten. Zudem konnten Anzeigen mit personenbezogenen Daten nicht gelöscht werden (hier mehr zu dem ursprünglichen Verfahren, Englisch). Gegen diese Praxis wandten sich einige ungarische Staatsbürger und beschwerten sich bei ihrer nationalen Datenschutzbehörde. Diese untersuchte den Vorfall. Sie hielt sich für zuständig und erließ gegen das slowakische Unternehmen einen Bußgeldbescheid wegen der Verletzung ungarischen Datenschutzrechts. Hiergegen wandte sich Weltimmo, in erster Instanz erfolgreich. In der zweiten Instanz wandte sich das ungarische Gericht nun an den EuGH, da einige Fragen zum anwendbaren Recht als auch der aufsichtsbehördlichen Kompetenz bestanden.

Vorlagefragen
Zunächst möchte das Gericht wissen, ob Art. 28 Abs. 1 der Datenschutz-Richtlinie (DS-RL) in dem Sinn auszulegen, dass die nationale Regelung eines Mitgliedstaats (in diesem Fall Ungarn) in dessen Staatsgebiet auf einen für die Datenverarbeitung Verantwortlichen (Weltimmo) anwendbar ist, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist und der eine Webseite zur Vermittlung von Immobilien betreibt und dort unter anderem Immobilien inseriert, die sich im Staatsgebiet des ersten Mitgliedstaats befinden, nachdem deren Eigentümer ihre personenbezogenen Daten an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Art. 28 Abs. 1 DS-RL lautet: „Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Es geht also darum, ob die ungarische Datenschutzbehörde grundsätzlich die Befugnis besitzt, Verstöße gegen ungarisches Datenschutzrecht gegen einen in einem anderen Mitgliedstaat ansässigen für die Verarbeitung Verantwortlichen durchzusetzen. Hintergrund dieser Frage dürfte auch die Regelung des Art. 4 Abs. 1 Buchst. a DS-RL sein, wonach jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der DS-RL erlässt, auf alle Verarbeitungen personenbezogener Daten anwendet, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Hierauf bezieht sich dann auch die zweite Frage des vorlegenden Gerichts. Ist Art. 4 Abs. 1 Buchst. a DS-RL im Lichte ihrer Erwägungsgründe 18 bis 20 und ihres Art. 1 Abs. 2 sowie Art. 28 Abs. 1 dahingehend auszulegen, dass die ungarische Datenschutzbehörde das ungarische Datenschutzgesetz als nationales Recht nicht auf den Betreiber einer Webseite zur Vermittlung von Immobilien (Weltimmo) anwenden darf, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist, selbst dann nicht, wenn dieser unter anderem ungarische Immobilien inseriert, deren Eigentümer die Daten ihrer Immobilien wahrscheinlich vom ungarischen Staatsgebiet aus an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Beide Fragen beziehen sich also vornehmlich auf das anwendbare Datenschutzrecht und wie dieses unter der DS-RL zu bestimmen ist, wenn es um die Beurteilung eines grenzüberschreitenden Sachverhalts (innerhalb der EU) geht. Grundsätzlich bestimmt sich das anwendbare Datenschutzrecht nach den Vorgaben des Art. 4 DS-RL. Art 28 Abs. 1 DS-RL stellt meines Erachtens keine hiervon abweichende Regelungen auf. Diese Vorschrift regelt vielmehr die Kompetenzen der Datenschutzbehörden, nämlich dass sie dazu berufen sind, die Einhaltung der Datenschutzgesetze in ihrem Mitgliedstaat zu überwachen. Welche nationalen Regelungen Anwendung finden, richtet sich jedoch nach Art. 4 DS-RL.

Des Weiteren fragt das vorlegende Gericht danach, ob es für die Auslegung von Bedeutung ist, ob die von dem für die Datenverarbeitung Verantwortlichen und Betreiber der Webseite erbrachte Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet ist? Diese Bezugnahme auf das Merkmal des „Ausrichtens“ mag einige Leser an das Google-Urteil des EuGH (C-131/12) vom 13. Mai 2014 erinnern. Der Unterschied dazu ist hier jedoch, dass der für die Verarbeitung Verantwortliche sich innerhalb der EU befindet. Zudem möchte das vorlegende Gericht hier wissen, ob bereits das Ausrichten der Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats von Bedeutung ist. Im Google-Urteil hat der EuGH (anders als dies häufig berichtet wurde) zudem nicht festgestellt, dass allein das Ausrichten einer Webseite oder eines Dienstes entscheidend ist, für die Antwort auf die Frage nach dem anwendbaren Datenschutzrecht. Dort ging es um die Ausrichtung der Tätigkeit der Niederlassung (!) des verantwortlichen.

Meines Erachtens findet sich für das Abstellen allein auf das Ausrichten der angebotenen Dienstleitung in der DS-RL keine Grundlage. Art. 4 Abs. 1 DS-RL bezieht sich entweder auf die Niederlassung des Verantwortlichen (Buchst. a) oder darauf, ob auf in einem Mitgliedstaat belegene Mittel zurückgegriffen wird (Buchst. c).

Das vorlegende Gericht differenziert dann och weiter und möchte wissen, ob es von Bedeutung ist, ob die Daten der in diesem anderen Mitgliedstaat belegenen Immobilien und die personenbezogenen Daten der Eigentümer tatsächlich vom Staatsgebiet dieses anderen Mitgliedstaats (hier Ungarn) aus eingegeben wurden? Auch fragt das Gericht danach, ob es von Bedeutung ist, ob die Eigentümer der in der Slowakei niedergelassenen Gesellschaft einen Wohnsitz in Ungarn haben?

Zuletzt kommt das vorlegende Gericht auf den Aspekt der aufsichtsbehördlichen Kompetenzen zu sprechen. Für den Fall, dass die ungarische Datenschutzbehörde handeln darf, jedoch nur auf der Grundlage des slowakischen Datenschutzrechts (weil nur dieses für den Verantwortlichen gilt), möchte das ungarische Gericht wissen, ob Art. 28 Abs. 6 DS-RL in dem Sinne auszulegen ist, dass die ungarische Datenschutzbehörde ausschließlich – und zwar nach der Regelung des Mitgliedstaats der Niederlassung – diejenigen Befugnisse ausüben kann, die in Art. 28 Abs. 3 DS-RL genannt sind, und dass sie folglich keine Befugnis besitzt, ein Bußgeld zu verhängen?

Art. 28 Abs. 6 DS-RL bestimmt: „Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.“ (Hervorhebung durch mich)

In Art. 28 Abs. 3 DS-RL sind Maßnahmen aufgezählt, die den Datenschutzbehörden zustehen (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagerecht). Nicht ausdrücklich erwähnt ist dort jedoch die Möglichkeit, Bußgelder zu verhängen. Bedeutet der Verweis in Art. 28 Abs. 6 DS-RL auf Abs. 3 nun, dass die ungarische Datenschutzbehörde in diesem Fall allein auf die dort benannten Maßnahmen beschränkt ist, obwohl nach nationalen Recht (sei es dem ungarischen oder dem slowakischen) ein Bußgeld verhängt werden könnte? Dies würde im Endeffekt bedeuten, dass der ungarischen Behörde nur ein Grundgerüst an, aus der DS-RL abgeleiteten und durch sie beschränkte, aufsichtsbehördlichen Maßnahmen zusteht. Nämlich allein diejenigen, die in Art. 28 Abs. 3 DS-RL benannt sind. Soll ein Bußgeld verhängt werden, so dürfte dies allein durch die slowakische Datenschutzbehörde nach slowakischem Recht erfolgen.

Recht auf Vergessen – wie geht es weiter?

Nach dem Google-Urteil des EuGH vom 13.5.2014 (Az. C-131/12) und der anschließenden, in der Öffentlichkeit teilweise kritisierten Umsetzung durch Google, stellte sich für europäische Datenschutzbehörden die Frage, wie man mit der Entscheidung und Beschwerden von Betroffenen umgeht, die dieses Recht ausüben möchten. Doch auch der Rat der Europäischen Union hat sich, vor dem Hintergrund der möglichen Auswirkungen des Urteils auf die andauernden Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO), mit dem Thema befasst.

Treffen mit den Datenschutzbehörden
Am gestrigen Donnerstag trafen sich Vertreter von verschiedenen europäischen Datenschutzbehörden mit Anbietern von Internetsuchmaschinen in Brüssel. Wie die Artikel 29 Datenschutzgruppe (der Zusammenschluss der europäischen Aufsichtsbehörden) zuvor in einer Pressemitteilung bekannt gab (PDF), war dieses Treffen ein Teil der Initiative der Datenschützer, bis zum Herbst diesen Jahres gemeinsame Richtlinien für Datenschutzbehörden zu entwerfen, wie diese mit Beschwerden umgehen sollen, die im Anschluss an einen abgelehnten Löschantrag bei ihnen eingehen. Eine offizielle Mitteilung zu den Ergebnissen des Treffens liegt noch nicht vor. Jedoch berichtet Reuters, unter Berufung auf einen nicht genannten Teilnehmer, einige Details:

  • So haben die Datenschützer Google insbesondere dazu befragt, warum Einträge in Ergebnislisten nur auf den europäischen Angeboten gelöscht (bzw. gesperrt) werden, jedoch nicht unter der .com-Adresse. Aus Sicht der Datenschützer greife diese Umsetzung des Urteils zu kurz.
  • Bis zum Ende des Monats sollen die Suchmaschinenbetreiber weitere Informationen zur Umsetzung des Urteils bereitstellen. Diese würden in den Prozess der Entwicklung von Richtlinien für Datenschutzbehörden einfließen. Ein erster Entwurf solcher Richtlinien für Aufsichtsbehörden könnte bis Mitte September fertig gestellt sein.

Auch Bloomberg berichtet zu dem Treffen und einigen statistischen Informationen. Danach habe Google bisher mehr als 91.000 Löschanfragen erhalten, die sich auf 328.000 Internetadressen beziehen. Unter Berufung auf einen ebenfalls nicht genannten Teilnehmer des Treffens wird weiter berichtet, dass Google 30% der Anträge zurückweise und in 15% der Fälle zusätzliche Informationen zu dem Sachverhalt anfordere.

Auswirkungen auf die Datenschutz-Grundverordnung
Doch nicht nur die Datenschützer treibt die Umsetzung des Google-Urteils um. Auch in der Arbeitsgruppe Dapix des Rates der Europäischen Union, in der die DS-GVO verhandelt wird, hat man sich die Entscheidung des EuGH näher angesehen. In einem nun veröffentlichten Dokument (PDF) der Präsidentschaft an die Delegationen wird das Urteil näher erläutert und seine möglichen Folgen für die Verhandlungen analysiert. Nachfolgend einige der in dem Papier angesprochenen Themen:

Der EuGH hatte festgestellt, dass der Löschanspruch dann geltend gemacht werden kann, wenn die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich ist. Dies insbesondere dann, wenn die verarbeiteten Daten den ursprünglichen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Die Präsidentschaft ist sich jedoch nicht sicher, ob der derzeitige Wortlaut (es geht dabei um Art. 17 DS-GVO in der Fassung des Textes im Rat nach der griechischen Ratspräsidentschaft, abrufbar hier, PDF) deutlich genug zum Ausdruck bringt, dass bei der Frage, ob die Daten den ursprünglichen Zwecken nicht mehr entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, nicht auf den Betreiber der Originalwebseite, sondern auf den Betreiber der Suchmaschine abzustellen ist. Dies betrifft insbesondere auch die Frage des berechtigten Interessen bei einer vorzunehmenden Abwägung im Rahmen der Prüfung eines Erlaubnistatbestandes für die Verarbeitung.

Zudem stelle sich die Frage nach dem Verhältnis von Meinungsfreiheit und dem Recht auf Schutz personenbezogener Daten. Der EuGH hatte entschieden, dass sich allein der Betreiber der Originalwebseite auf die (sowohl in der derzeit geltenden Datenschutz-Richtlinie als auch in der DS-GVO vorgesehene) Ausnahme für die Verarbeitung von Daten zu ausschließlich journalistischen Zwecken berufen könne. Die Präsidentschaft stellt hierzu die Frage in den Raum, ob dies nicht auch für die nachfolgenden Datenverarbeiter (wie z.B. den Suchmaschinenbetreiber) gelten solle. Zu beachten ist hierbei, dass Fragen des Rechts auf freie Meinungsäußerung (aus kompetenzrechtlichen Gründen) nicht detailliert innerhalb der DS-GVO geregelt werden können.

Eine weiterer offener Punkt sei, ob es bei der Ausübung des Löschanspruchs eine gesetzlich festgelegte Reihenfolge geben soll, die der Betroffene zu beachten habe. Dass er sich also zunächst immer an den Betreiber der Originalwebseite wenden müsse und nur dann an den nachfolgenden Verarbeiter herantreten könne, wenn der Betreiber der Originalwebseite nicht mehr existiere oder nicht dem EU-Recht unterfalle. Dieser Vorschlag sei in der Vergangenheit von einigen Delegationen im Rat vorgebracht worden. Jedoch gibt die Präsidentschaft zu bedenken, dass ein solches System vom EuGH als nicht ausreichend erachtet wurde, um den Rechten des Betroffenen ausreichend Geltung zu verschaffen.

EuGH-Generalanwalt zur Rechtmäßigkeit öffentlicher Videoüberwachung durch Private

In einem Vorabentscheidungsersuchen (Rs. C-212/13) des obersten tschechischen Verwaltungsgerichtshofs an den Europäischen Gerichtshof (EuGH) hat am 10. Juli 2014 Generalanwalt (GA) Jääskinen seine Schlussanträge vorgestellt.

In dem Verfahren geht es im Wesentlichen um zwei Fragen zur Auslegung der geltenden Datenschutz-Richtlinie (DS-RL). Zum wann i. S. d. Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL eine Verarbeitung personenbezogener Daten vorliegt, „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“ und damit nicht in den Anwendungsbereich der DS-RL fällt (sog. household exemption). Zum anderen wie die Überwachung von öffentlichem Raum durch ein Kamerasystem möglicherweise datenschutzrechtlich rechtmäßig durchgeführt werden kann.

Sachverhalt
Herr Ryneš, der im Verfahren vor dem nationalen Gericht gegen eine Entscheidung der tschechischen Datenschutzbehörde vorgeht, setzte eine fest installierte Kamera an der Außenwand seines Hauses ein, die nicht schwenkbar war. Mit dieser zeichnete er den Eingang seines Hauses, den öffentlichen Straßenraum sowie den Eingang des gegenüberliegenden Hauses auf. Videoaufnahmen wurden auf einer Festplatte gespeichert. Sobald deren maximale Kapazität erreicht war, wurde die vorhandene Aufzeichnung mit einer neuen überschrieben. Die Aufzeichnungsvorrichtung hatte keinen Bildschirm, so dass das Bild nicht in Echtzeit betrachtet werden konnte. Allein Herr Ryneš hatte unmittelbaren Zugang zu der Anlage und den aufgezeichneten Daten. Grund für die Überwachung war der Schutz seines Eigentums, seiner Gesundheit und seines Lebens und seiner Familie. Sowohl er selbst als auch seine Familie waren nämlich während mehrerer Jahre Ziel von Angriffen eines Unbekannten gewesen, der nicht hatte entlarvt werden können. Zudem waren bereits in der Vergangenheit Fenster des Hauses mehrfach eingeschlagen worden. Nach Installation der Kamera wurde erneut eine Fensterscheibe seines des Hauses zerstört. Dank der Videoüberwachungsanlage konnten zwei Verdächtige identifiziert werden. Die Aufzeichnungen wurden der Polizei übergeben und anschließend im Rahmen des Strafverfahrens als Beweismittel vorgelegt. Einer der Verdächtigen beantragte die Überprüfung des Kamerasystems und die Datenschutzbehörde stellte Verstöße gegen das Datenschutzrechts fest.

Videoüberwachung als Vorratsdatenspeicherung?
Der GA betont einleitend zunächst, dass es sich vorliegend um einen speziell zu betrachtenden Einzelfall der Videoüberwachung handelt. Die Merkmale sind die folgenden: fest installiertes Überwachungssystem; auf den öffentlichen Raum sowie die Tür des gegenüberliegenden Hauses gerichtet; es wird ermöglicht, eine unbestimmte Zahl von Personen zu identifizieren; keine vorherige Unterrichtung hinsichtlich der Überwachung. Der GA stellt klar, dass die im Zusammenhang mit Aufzeichnungen durch Mobiltelefone, Camcorder oder Digitalkameras stehenden Rechtsfragen hingegen anderer Art sind und vorliegend nicht behandelt werden.

Sodann zieht der GA zwei interessante Parallelen zum Urteil des EuGH in Sachen Vorratsdatenspeicherung (C-293/12). Zum einen geht der GA davon aus, dass bei Aufzeichnungen dieser Art

[a]us der Gesamtheit dieser Daten … sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden [können]

Hier zitiert er also wörtlich den EuGH in seinem Vorratsdaten-Urteil und vergleicht die potentielle Gefahrenlase der vorliegenden Videoüberwachung mit derjenigen bei der Vorratsdatenspeicherung. Zum anderen zitiert er den EuGH in seinem Urteil zur Vorratsdatenspeicherung vor dem Hintergrund, dass die

Vorratsspeicherung der Daten zu dem Zweck, sie gegebenenfalls den zuständigen nationalen Behörden zugänglich zu machen, unmittelbar und speziell das Privatleben und damit die durch Art. 7 der Charta garantierten Rechte

betrifft, was auch vorliegend der Fall war.

ausschließlich persönlicher oder familiärer Tätigkeiten
Sodann gelangt der GA zur Hauptfrage des Verfahrens, nämlich der Auslegung des Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL. Der GA weist darauf hin, dass diese Bestimmung grundsätzlich nicht auf den Zweck der Verarbeitung personenbezogener Daten abstellt. In der mündlichen Verhandlung war offensichtlich zwischen den verschiedenen Beteiligten strittig, inwieweit die household exemption von der subjektiven Zielrichtung, die einer Datenverarbeitung zugrunde liegt (also die verfolgte Absicht), abhängt. Diese Ansicht lehnt der GA ab, verweist jedoch darauf, dass die subjektive Zielrichtung im Rahmen der Prüfung der Rechtmäßigkeit der Datenverarbeitung (genauer bei der Abwägung i. R. d. Art. 7 lit. f DS-RL eine Rolle spielen kann). Einzig möglich wäre nach dem GA noch, diese Zielrichtung der Tätigkeit als für den ausschließlich persönlichen oder familiären Charakter der betreffenden Datenverarbeitung maßgeblich anzusehen, um die household exemption eingreifen zu lassen. Auch dies lehnt der GA jedoch ab. Der Anwendungsbereich der DS-RL könne nicht von der subjektiven Zweckbestimmung des für die Verarbeitung Verantwortlichen abhängig sein,

weil eine solche Zweckbestimmung weder anhand äußerer Umstände objektiv nachprüfbar noch den Personen gegenüber relevant ist, deren Rechte und Interessen durch die betreffende Tätigkeit berührt werden.

Der Anwendungsbereich der DS-RL müsse daher allein anhand objektiver Kriterien bestimmt werden.

Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL ist als Ausnahmebestimmung eng auszulegen. Nach Ansicht des GA handelt es sich bei den „persönlichen Tätigkeiten“ i. S. d. Vorschrift um Tätigkeiten, die in enger und objektiver Verbindung mit dem Privatleben einer Person stehen und die Privatsphäre anderer nicht spürbar berühren. Der GA weist jedoch darauf hin, dass diese Tätigkeiten auch außerhalb der eigenen Wohnung stattfinden können.

Der zweite Begriff, die „familiären Tätigkeiten“, steht nach dem GA mit dem Familienleben in Verbindung und findet normalerweise innerhalb der Wohnung oder anderer von den Mitgliedern der Familie gemeinsam genutzter Orte statt.

Wichtig hierbei ist jedoch, dass es für die Anwendung dieser Ausnahme nicht ausreicht, dass die Tätigkeiten mit persönlichen oder familiären Tätigkeiten nur verbunden sind. Der Wortlaut ist eindeutig. Die Verbindung muss ausschließlich sein. Hier zieht der GA nun sein erstes Fazit:

Ich stelle daher fest, dass die Videoüberwachung anderer, d. h. die systematische Überwachung von Orten mittels einer Vorrichtung, die ein Videosignal zwecks Identifizierung von Personen aufzeichnet, selbst innerhalb eines Hauses nicht als ausschließlich persönlich angesehen werden kann, was aber nicht ausschließt, dass sie unter den Begriff der familiären Tätigkeit fallen kann.

Gerade Maßnahmen zum Schutz der Unverletzlichkeit eines Privathauses und zu dessen Schutz vor Diebstahl und jedem widerrechtlichem Zugang können nach dem GA aber Tätigkeiten darstellen, die für jeden Haushalt wesentlich sind und daher zu den familiären Tätigkeiten gerechnet werden können. Im vorliegenden Fall war diese Voraussetzung jedoch nicht erfüllt. Denn eine Videoüberwachung, die sich wie hier auf den öffentlichen Raum erstreckt, könne nicht als eine ausschließlich familiäre Tätigkeit angesehen werden, weil sie auch Personen erfasst, die eben keine Verbindung zu der betreffenden Familie.

Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL sei daher vorliegend nicht einschlägig. Die Videoüberwachung falle damit in den Anwendungsbereich der DS-RL

Rechtmäßigkeit der Videoüberwachung
In einer ergänzenden Bemerkung führt der GA jedoch aus, dass sich die Rechtmäßigkeit der Datenverarbeitung vorliegend aus Art. 7 lit. f DS-RL ergeben kann. In dessen Rahmen ist eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen erforderlich, die grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Und hier stellt der GA fest, dass die Tätigkeit von Herrn Ryneš dem Schutz seiner Wahrnehmung anderer Grundrechte wie des Eigentumsrechts und des Rechts auf Familienleben diente. Diese berechtigten Interessen müssen daher bei der Abwägung berücksichtigt werden.

Interessanterweise verwendet der GA im Rahmen des Art. 7 lit. f DS-RL und der dort vorgesehenen Abwägung der Rechte und Interessen nicht die Formulierung des EuGH im Google-Urteil (C-131/12), dass „im Allgemeinen” die durch Art. 7 und 8 der Grundrechtecharta der EU geschützten Rechte der betroffenen Person gegenüber dem Interesse der Internetnutzer überwiegen. Im vorliegenden Fall also, dass etwa im Allgemeinen die Rechte der mit der Kamera aufgezeichneten Personen gegenüber dem Betreiber der Kamera überwiegen.

Fazit
Die Schlussanträge des GA überzeugen. Es war abzusehen, dass die household exemption als Ausnahmeregelung eng auszulegen ist. Zudem ist der geltende Wortlaut („ausschließlich“) ziemlich eindeutig. Begrüßenswert ist die Auffassung des GA, dass die Videoüberwachung nicht per se rechtswidrig sein muss, selbst wenn der öffentliche Raum überwacht wird und eine unbestimmte Anzahl von Personen von den Aufnahmen betroffen ist. Die Interessenabwägung ist vielmehr in jedem Einzelfall durchzuführen und bietet durchaus die Möglichkeit, auch solche Datenverarbeitungen zu rechtfertigen, die einen unbestimmten Personenkreis betreffen, ohne dass die Betroffenen hiervon Kenntnis haben.