Recht auf Vergessen – wie geht es weiter?

Nach dem Google-Urteil des EuGH vom 13.5.2014 (Az. C-131/12) und der anschließenden, in der Öffentlichkeit teilweise kritisierten Umsetzung durch Google, stellte sich für europäische Datenschutzbehörden die Frage, wie man mit der Entscheidung und Beschwerden von Betroffenen umgeht, die dieses Recht ausüben möchten. Doch auch der Rat der Europäischen Union hat sich, vor dem Hintergrund der möglichen Auswirkungen des Urteils auf die andauernden Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO), mit dem Thema befasst.

Treffen mit den Datenschutzbehörden
Am gestrigen Donnerstag trafen sich Vertreter von verschiedenen europäischen Datenschutzbehörden mit Anbietern von Internetsuchmaschinen in Brüssel. Wie die Artikel 29 Datenschutzgruppe (der Zusammenschluss der europäischen Aufsichtsbehörden) zuvor in einer Pressemitteilung bekannt gab (PDF), war dieses Treffen ein Teil der Initiative der Datenschützer, bis zum Herbst diesen Jahres gemeinsame Richtlinien für Datenschutzbehörden zu entwerfen, wie diese mit Beschwerden umgehen sollen, die im Anschluss an einen abgelehnten Löschantrag bei ihnen eingehen. Eine offizielle Mitteilung zu den Ergebnissen des Treffens liegt noch nicht vor. Jedoch berichtet Reuters, unter Berufung auf einen nicht genannten Teilnehmer, einige Details:

  • So haben die Datenschützer Google insbesondere dazu befragt, warum Einträge in Ergebnislisten nur auf den europäischen Angeboten gelöscht (bzw. gesperrt) werden, jedoch nicht unter der .com-Adresse. Aus Sicht der Datenschützer greife diese Umsetzung des Urteils zu kurz.
  • Bis zum Ende des Monats sollen die Suchmaschinenbetreiber weitere Informationen zur Umsetzung des Urteils bereitstellen. Diese würden in den Prozess der Entwicklung von Richtlinien für Datenschutzbehörden einfließen. Ein erster Entwurf solcher Richtlinien für Aufsichtsbehörden könnte bis Mitte September fertig gestellt sein.

Auch Bloomberg berichtet zu dem Treffen und einigen statistischen Informationen. Danach habe Google bisher mehr als 91.000 Löschanfragen erhalten, die sich auf 328.000 Internetadressen beziehen. Unter Berufung auf einen ebenfalls nicht genannten Teilnehmer des Treffens wird weiter berichtet, dass Google 30% der Anträge zurückweise und in 15% der Fälle zusätzliche Informationen zu dem Sachverhalt anfordere.

Auswirkungen auf die Datenschutz-Grundverordnung
Doch nicht nur die Datenschützer treibt die Umsetzung des Google-Urteils um. Auch in der Arbeitsgruppe Dapix des Rates der Europäischen Union, in der die DS-GVO verhandelt wird, hat man sich die Entscheidung des EuGH näher angesehen. In einem nun veröffentlichten Dokument (PDF) der Präsidentschaft an die Delegationen wird das Urteil näher erläutert und seine möglichen Folgen für die Verhandlungen analysiert. Nachfolgend einige der in dem Papier angesprochenen Themen:

Der EuGH hatte festgestellt, dass der Löschanspruch dann geltend gemacht werden kann, wenn die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich ist. Dies insbesondere dann, wenn die verarbeiteten Daten den ursprünglichen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Die Präsidentschaft ist sich jedoch nicht sicher, ob der derzeitige Wortlaut (es geht dabei um Art. 17 DS-GVO in der Fassung des Textes im Rat nach der griechischen Ratspräsidentschaft, abrufbar hier, PDF) deutlich genug zum Ausdruck bringt, dass bei der Frage, ob die Daten den ursprünglichen Zwecken nicht mehr entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, nicht auf den Betreiber der Originalwebseite, sondern auf den Betreiber der Suchmaschine abzustellen ist. Dies betrifft insbesondere auch die Frage des berechtigten Interessen bei einer vorzunehmenden Abwägung im Rahmen der Prüfung eines Erlaubnistatbestandes für die Verarbeitung.

Zudem stelle sich die Frage nach dem Verhältnis von Meinungsfreiheit und dem Recht auf Schutz personenbezogener Daten. Der EuGH hatte entschieden, dass sich allein der Betreiber der Originalwebseite auf die (sowohl in der derzeit geltenden Datenschutz-Richtlinie als auch in der DS-GVO vorgesehene) Ausnahme für die Verarbeitung von Daten zu ausschließlich journalistischen Zwecken berufen könne. Die Präsidentschaft stellt hierzu die Frage in den Raum, ob dies nicht auch für die nachfolgenden Datenverarbeiter (wie z.B. den Suchmaschinenbetreiber) gelten solle. Zu beachten ist hierbei, dass Fragen des Rechts auf freie Meinungsäußerung (aus kompetenzrechtlichen Gründen) nicht detailliert innerhalb der DS-GVO geregelt werden können.

Eine weiterer offener Punkt sei, ob es bei der Ausübung des Löschanspruchs eine gesetzlich festgelegte Reihenfolge geben soll, die der Betroffene zu beachten habe. Dass er sich also zunächst immer an den Betreiber der Originalwebseite wenden müsse und nur dann an den nachfolgenden Verarbeiter herantreten könne, wenn der Betreiber der Originalwebseite nicht mehr existiere oder nicht dem EU-Recht unterfalle. Dieser Vorschlag sei in der Vergangenheit von einigen Delegationen im Rat vorgebracht worden. Jedoch gibt die Präsidentschaft zu bedenken, dass ein solches System vom EuGH als nicht ausreichend erachtet wurde, um den Rechten des Betroffenen ausreichend Geltung zu verschaffen.

EuGH-Generalanwalt zur Rechtmäßigkeit öffentlicher Videoüberwachung durch Private

In einem Vorabentscheidungsersuchen (Rs. C-212/13) des obersten tschechischen Verwaltungsgerichtshofs an den Europäischen Gerichtshof (EuGH) hat am 10. Juli 2014 Generalanwalt (GA) Jääskinen seine Schlussanträge vorgestellt.

In dem Verfahren geht es im Wesentlichen um zwei Fragen zur Auslegung der geltenden Datenschutz-Richtlinie (DS-RL). Zum wann i. S. d. Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL eine Verarbeitung personenbezogener Daten vorliegt, „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“ und damit nicht in den Anwendungsbereich der DS-RL fällt (sog. household exemption). Zum anderen wie die Überwachung von öffentlichem Raum durch ein Kamerasystem möglicherweise datenschutzrechtlich rechtmäßig durchgeführt werden kann.

Sachverhalt
Herr Ryneš, der im Verfahren vor dem nationalen Gericht gegen eine Entscheidung der tschechischen Datenschutzbehörde vorgeht, setzte eine fest installierte Kamera an der Außenwand seines Hauses ein, die nicht schwenkbar war. Mit dieser zeichnete er den Eingang seines Hauses, den öffentlichen Straßenraum sowie den Eingang des gegenüberliegenden Hauses auf. Videoaufnahmen wurden auf einer Festplatte gespeichert. Sobald deren maximale Kapazität erreicht war, wurde die vorhandene Aufzeichnung mit einer neuen überschrieben. Die Aufzeichnungsvorrichtung hatte keinen Bildschirm, so dass das Bild nicht in Echtzeit betrachtet werden konnte. Allein Herr Ryneš hatte unmittelbaren Zugang zu der Anlage und den aufgezeichneten Daten. Grund für die Überwachung war der Schutz seines Eigentums, seiner Gesundheit und seines Lebens und seiner Familie. Sowohl er selbst als auch seine Familie waren nämlich während mehrerer Jahre Ziel von Angriffen eines Unbekannten gewesen, der nicht hatte entlarvt werden können. Zudem waren bereits in der Vergangenheit Fenster des Hauses mehrfach eingeschlagen worden. Nach Installation der Kamera wurde erneut eine Fensterscheibe seines des Hauses zerstört. Dank der Videoüberwachungsanlage konnten zwei Verdächtige identifiziert werden. Die Aufzeichnungen wurden der Polizei übergeben und anschließend im Rahmen des Strafverfahrens als Beweismittel vorgelegt. Einer der Verdächtigen beantragte die Überprüfung des Kamerasystems und die Datenschutzbehörde stellte Verstöße gegen das Datenschutzrechts fest.

Videoüberwachung als Vorratsdatenspeicherung?
Der GA betont einleitend zunächst, dass es sich vorliegend um einen speziell zu betrachtenden Einzelfall der Videoüberwachung handelt. Die Merkmale sind die folgenden: fest installiertes Überwachungssystem; auf den öffentlichen Raum sowie die Tür des gegenüberliegenden Hauses gerichtet; es wird ermöglicht, eine unbestimmte Zahl von Personen zu identifizieren; keine vorherige Unterrichtung hinsichtlich der Überwachung. Der GA stellt klar, dass die im Zusammenhang mit Aufzeichnungen durch Mobiltelefone, Camcorder oder Digitalkameras stehenden Rechtsfragen hingegen anderer Art sind und vorliegend nicht behandelt werden.

Sodann zieht der GA zwei interessante Parallelen zum Urteil des EuGH in Sachen Vorratsdatenspeicherung (C-293/12). Zum einen geht der GA davon aus, dass bei Aufzeichnungen dieser Art

[a]us der Gesamtheit dieser Daten … sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden [können]

Hier zitiert er also wörtlich den EuGH in seinem Vorratsdaten-Urteil und vergleicht die potentielle Gefahrenlase der vorliegenden Videoüberwachung mit derjenigen bei der Vorratsdatenspeicherung. Zum anderen zitiert er den EuGH in seinem Urteil zur Vorratsdatenspeicherung vor dem Hintergrund, dass die

Vorratsspeicherung der Daten zu dem Zweck, sie gegebenenfalls den zuständigen nationalen Behörden zugänglich zu machen, unmittelbar und speziell das Privatleben und damit die durch Art. 7 der Charta garantierten Rechte

betrifft, was auch vorliegend der Fall war.

ausschließlich persönlicher oder familiärer Tätigkeiten
Sodann gelangt der GA zur Hauptfrage des Verfahrens, nämlich der Auslegung des Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL. Der GA weist darauf hin, dass diese Bestimmung grundsätzlich nicht auf den Zweck der Verarbeitung personenbezogener Daten abstellt. In der mündlichen Verhandlung war offensichtlich zwischen den verschiedenen Beteiligten strittig, inwieweit die household exemption von der subjektiven Zielrichtung, die einer Datenverarbeitung zugrunde liegt (also die verfolgte Absicht), abhängt. Diese Ansicht lehnt der GA ab, verweist jedoch darauf, dass die subjektive Zielrichtung im Rahmen der Prüfung der Rechtmäßigkeit der Datenverarbeitung (genauer bei der Abwägung i. R. d. Art. 7 lit. f DS-RL eine Rolle spielen kann). Einzig möglich wäre nach dem GA noch, diese Zielrichtung der Tätigkeit als für den ausschließlich persönlichen oder familiären Charakter der betreffenden Datenverarbeitung maßgeblich anzusehen, um die household exemption eingreifen zu lassen. Auch dies lehnt der GA jedoch ab. Der Anwendungsbereich der DS-RL könne nicht von der subjektiven Zweckbestimmung des für die Verarbeitung Verantwortlichen abhängig sein,

weil eine solche Zweckbestimmung weder anhand äußerer Umstände objektiv nachprüfbar noch den Personen gegenüber relevant ist, deren Rechte und Interessen durch die betreffende Tätigkeit berührt werden.

Der Anwendungsbereich der DS-RL müsse daher allein anhand objektiver Kriterien bestimmt werden.

Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL ist als Ausnahmebestimmung eng auszulegen. Nach Ansicht des GA handelt es sich bei den „persönlichen Tätigkeiten“ i. S. d. Vorschrift um Tätigkeiten, die in enger und objektiver Verbindung mit dem Privatleben einer Person stehen und die Privatsphäre anderer nicht spürbar berühren. Der GA weist jedoch darauf hin, dass diese Tätigkeiten auch außerhalb der eigenen Wohnung stattfinden können.

Der zweite Begriff, die „familiären Tätigkeiten“, steht nach dem GA mit dem Familienleben in Verbindung und findet normalerweise innerhalb der Wohnung oder anderer von den Mitgliedern der Familie gemeinsam genutzter Orte statt.

Wichtig hierbei ist jedoch, dass es für die Anwendung dieser Ausnahme nicht ausreicht, dass die Tätigkeiten mit persönlichen oder familiären Tätigkeiten nur verbunden sind. Der Wortlaut ist eindeutig. Die Verbindung muss ausschließlich sein. Hier zieht der GA nun sein erstes Fazit:

Ich stelle daher fest, dass die Videoüberwachung anderer, d. h. die systematische Überwachung von Orten mittels einer Vorrichtung, die ein Videosignal zwecks Identifizierung von Personen aufzeichnet, selbst innerhalb eines Hauses nicht als ausschließlich persönlich angesehen werden kann, was aber nicht ausschließt, dass sie unter den Begriff der familiären Tätigkeit fallen kann.

Gerade Maßnahmen zum Schutz der Unverletzlichkeit eines Privathauses und zu dessen Schutz vor Diebstahl und jedem widerrechtlichem Zugang können nach dem GA aber Tätigkeiten darstellen, die für jeden Haushalt wesentlich sind und daher zu den familiären Tätigkeiten gerechnet werden können. Im vorliegenden Fall war diese Voraussetzung jedoch nicht erfüllt. Denn eine Videoüberwachung, die sich wie hier auf den öffentlichen Raum erstreckt, könne nicht als eine ausschließlich familiäre Tätigkeit angesehen werden, weil sie auch Personen erfasst, die eben keine Verbindung zu der betreffenden Familie.

Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL sei daher vorliegend nicht einschlägig. Die Videoüberwachung falle damit in den Anwendungsbereich der DS-RL

Rechtmäßigkeit der Videoüberwachung
In einer ergänzenden Bemerkung führt der GA jedoch aus, dass sich die Rechtmäßigkeit der Datenverarbeitung vorliegend aus Art. 7 lit. f DS-RL ergeben kann. In dessen Rahmen ist eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen erforderlich, die grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Und hier stellt der GA fest, dass die Tätigkeit von Herrn Ryneš dem Schutz seiner Wahrnehmung anderer Grundrechte wie des Eigentumsrechts und des Rechts auf Familienleben diente. Diese berechtigten Interessen müssen daher bei der Abwägung berücksichtigt werden.

Interessanterweise verwendet der GA im Rahmen des Art. 7 lit. f DS-RL und der dort vorgesehenen Abwägung der Rechte und Interessen nicht die Formulierung des EuGH im Google-Urteil (C-131/12), dass „im Allgemeinen” die durch Art. 7 und 8 der Grundrechtecharta der EU geschützten Rechte der betroffenen Person gegenüber dem Interesse der Internetnutzer überwiegen. Im vorliegenden Fall also, dass etwa im Allgemeinen die Rechte der mit der Kamera aufgezeichneten Personen gegenüber dem Betreiber der Kamera überwiegen.

Fazit
Die Schlussanträge des GA überzeugen. Es war abzusehen, dass die household exemption als Ausnahmeregelung eng auszulegen ist. Zudem ist der geltende Wortlaut („ausschließlich“) ziemlich eindeutig. Begrüßenswert ist die Auffassung des GA, dass die Videoüberwachung nicht per se rechtswidrig sein muss, selbst wenn der öffentliche Raum überwacht wird und eine unbestimmte Anzahl von Personen von den Aufnahmen betroffen ist. Die Interessenabwägung ist vielmehr in jedem Einzelfall durchzuführen und bietet durchaus die Möglichkeit, auch solche Datenverarbeitungen zu rechtfertigen, die einen unbestimmten Personenkreis betreffen, ohne dass die Betroffenen hiervon Kenntnis haben.

Recht auf Vergessen – Warum Google nicht überreagiert

Gestern wurde berichtet, dass verschiedene Medienunternehmen (u. a. der Guardian und die BBC) nicht mit der Art und Weise einverstanden sind, wie Google im Zuge der Umsetzung des Urteils des EuGH vom 13. Mai 2014 (Az. C-131/12) begonnen habe, Links aus Suchergebnislisten zu Beiträgen auf ihren Webseiten zu entfernen. Diese Löschungen wurden unter anderem mit der Begründung kritisiert, dass Google hier überreagiere, dass die betroffenen Presseunternehmen nicht die Gründe der Löschung und auch allgemein nicht die Kriterien kennen würden, nach denen Google die Anfragen bearbeite. Zudem könnten sie sich daher auch nicht gegen eine Löschung aus den Ergebnislisten wehren.

Dass sich nun Erstaunen und Verwunderung über diese Praxis breit macht, mag verständlich sein. Wenn man sich jedoch das EuGH-Urteil betrachtet, ist es einfach nur die logische Konsequenz der Vorgaben der europäischen Richter und keine Überraktion oder dergleichen.

Zum einen verlangt weder das EuGH-Urteil noch das geltende Datenschutzrecht, dass Google Dritten, die Urheber der Originalseite sind (in diesem Fall den Presseunternehmen), die Gründe darlegen muss, warum es einen Eintrag aus der Ergebnisliste entfernt. Klar ist vielmehr, dass derartige Löschantrage direkt an den für die Verarbeitung Verantwortlichen gerichtet werden können und von diesem zu prüfen sind. Selbst wenn Google die Kriterien veröffentlichen würde, nach denen es die Anträge beurteilt, so würde dies den Presseunternehmen wohl wenig helfen. Nach dem Urteil des EuGH sind die generell anzulegenden Maßstäbe nämlich vorgegeben: der Ausgleich der sich gegenüberstehenden Interessen kann in “besonders gelagerten Fällen von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information” abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren kann. Damit sind die Prüfkriterien öffentlich vorgegeben.

Hier wird jedoch bereits eine negative Konsequenz des EuGH-Urteils deutlich: das Interesse der Öffentlichkeit und auch des Dritten, dass Informationen weiterhin in Ergebnislisten angezeigt werden, hat in dem von Google einzurichtenden Verfahren der Prüfung von Löschanträgen, keinen Vertreter. Beteiligt sind grundsätzlich nur der Betroffene und Google. Der Suchmaschinenbetreiber befindet sich jedoch zudem in der unangenehmen Lage, dass bei einer Nichterfüllung des Löschwunsches, der Betroffene immer noch einen Antrag bei der Datenschutzbehörde oder bei einem Gericht stellen kann. Wollte man verlangen, dass Google sich bei der Prüfung auch in die Lage der Webseitenbetreiber und der Öffentlichkeit versetzt, so würde man dem Suchmaschinenbetreiber eine unabhängige Rolle zusprechen wollen, die er aber nicht besitzt.

Nun könnte man argumentieren, dass Google dann eben in Zweifelsfällen den Eintrag nicht löschen darf, sondern es auf ein Verfahren bei der Datenschutzbehörde oder einem Gericht ankommen lassen muss. Hier kommen wir zu der nächsten, sich in der Praxis negativ auswirkenden Vorgabe des EuGH-Urteils. Denn der Gerichtshof hat klargestellt, dass „im Allgemeinen“ die Rechte der Betroffenen auf Privatsphäre und Datenschutz gegenüber dem Interesse der Internetnutzer am Zugang zu den Informationen überwiegen. Nur „in besonders gelagerten Fällen“ könne ein Ausgleich der verschiedenen Interessen etwa von der Art der Informationen oder deren Sensibilität für das Privatleben der betroffenen Person abhängen. Dies bedeutet freilich nichts anderes, als dass im Zweifel die Löschung der Links in der Ergebnisliste vorgenommen werden muss. Dies ergibt sich bereits aus dem Grundprinzip des hier in Rede stehenden Löschanspruchs. Diese stützt sich unter anderem auf die Erfüllung der Voraussetzung des Art. 7 f) der Datenschutz-Richtlinie (DS-RL), wonach die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Es ist also im Rahmen der Prüfung der Rechtmäßigkeit stets eine Abwägung der Interessen und Grundrechte vorzunehmen. Das ist der gesetzlich vorgesehene Standardfall. Die vom EuGH angesprochenen „besonders gelagerten Fälle“ können daher nicht die Abwägung und damit verbundene Schwierigkeiten an sich betreffen. Denn ansonsten würde der gesetzlich vorgesehene Standardfall zu dem vom EuGH erwähnten besonders gelagerten Fall. Google muss, wenn es dem Urteil des Gerichtshofs folgen will, also gerade auch bei Zweifelsfällen im Rahmen der Abwägung, die nicht besonders gelagert sind, die Einträge in Ergebnislisten löschen. Über diese vorgegebene Wertung zugunsten der Rechte der Betroffenen, mag man sich, meines Erachtens zu Recht, aufregen. Diese Vorgabe besteht aber nun und Google scheint sie umzusetzen. Was sich nun in der Praxis zeigt, sind die Ergebnisse des Anlegens dieser Pro-Datenschutz-Schablone.

Noch ein Gedanke zu der Forderung, dass dann eben die Datenschutzbehörde über derartige Löschanträge und damit auch die Abwägung von dem Recht auf Schutz personenbezogener Daten und dem Recht auf Informationsfreiheit entscheiden solle. Mir ist immer noch nicht klar, wie ein solches Vorgehen und eine damit verbundene Anordnung der Löschung von Links aus Ergebnislisten mit Art. 11 Abs. 1 der Grundrechtecharta der Europäischen Union vereinbar ist. Dort heißt es: „Jede Person hat das Recht…Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben“. Die Löschanordnung durch eine Aufsichtsbehörde würde jedoch genau einen solchen Eingriff in das Recht auf den Empfang von Informationen im Internet darstellen.

Zum Teil wird auch kritisiert, dass Google keine Volljuristen einstelle, um die eingehenden Anträge zu prüfen und die Abwägung vorzunehmen. Eine solche Anforderung ergibt sich weder aus dem EuGH-Urteil, noch aus dem geltenden Datenschutzrecht. Natürlich wäre es wünschenswert, wenn die Abwägung von im Presse- oder Datenschutzrecht versierten Juristen vorgenommen wird. Eine Pflicht hierzu, besteht aber nicht.

Die sich nun ausbreitende Diskussion zeigt, dass der EuGH mit seinem Urteil (wie von mir bereits beschrieben), eventuell doch über das Ziel des erforderlichen Ausgleichs der Grundrechte zwischen Privatsphäre und Datenschutz einerseits, wirtschaftlicher Betätigung und Informationszugang anderseits, hinausgeschossen sein könnte. Wenn man sich als Suchmaschinenbetreiber nun strikt an diese Vorgaben hält, dann wird in der Praxis dieses bisher nur erahnte und sich abstrakt abzeichnende Defizit der Anerkennung einer Gleichwertigkeit von Grundrechten und –freiheiten der beteiligten Parteien im Internet deutlich.

Referentenentwurf des BMJV: Klagemöglichkeiten für Verbände bei Datenschutzrechtsverstößen

Nach den Ankündigungen von Bundesjustizminister Heiko Maas Anfang diesen Jahres, Verbraucherschutzverbänden eine Klagemöglichkeit bei Datenschutzrechtsverletzungen durch Unternehmen zur Verfügung stellen zu wollen, liegt nun der Referentenentwurf aus dem BMJV vor.

Durch den Entwurf soll jedoch nicht nur das Unterlassungsklagegesetz (UKlaG) angepasst werden. Auch Änderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) und des Bürgerlichen Gesetzbuches (BGB) sind in dem Entwurf vorgesehen. Im Folgenden möchte ich eine erste grobe Einschätzung der geplanten Änderungen vornehmen.

Ziel des Gesetzes
Nach der Entwurfsbegründung soll insbesondere der Schutz von Verbrauchern gegen die unzulässige Erhebung, Verarbeitung und Nutzung ihrer Daten verbessert werden. Dabei nutzen laut dem Entwurf die besten datenschutzrechtlichen Regelungen wenig, wenn sie nicht wirksam durchgesetzt werden können. Zwar existieren die (Landes-)Datenschutzbehörden, die auch über entsprechende Kontroll- und Durchsetzungsbefugnisse verfügen. Nach dem Entwurf scheide eine flächendeckende Kontrolle aber schon aufgrund der Zahl der Unternehmer und des stetig zunehmenden Umfangs ihrer Datenerhebung, -verarbeitung und -nutzung aus. Dass man hier eventuell die Mittel und Kapazitäten der Datenschutzbehörden stärken könnte, wird anscheinend im BMJV nicht in Erwägung gezogen. Vielleicht auch deshalb, weil man hierfür nicht zuständig ist und die Länder diese Aufstockung vornehmen müssten. Zum besseren Schutz der Rechte der Verbraucher sollen deswegen laut dem Entwurf künftig neben den betroffenen Verbrauchern und den Datenschutzaufsichtsbehörden auch Verbände und (Berufs-)Kammern gegen die unzulässige Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten durch Unternehmer vorgehen können.

Derzeit können Verbraucherschutzverbände gegen, aus ihrer Sicht rechtswidrige Datenverarbeitungen durch Unternehmen nur über den Umweg des § 1 UKlaG vorgehen, wenn nämlich etwa Datenschutzerklärungen als Allgemeine Geschäftsbedingungen (AGB) qualifiziert werden. Dies soll sich nach dem Entwurf nun ändern. Die Entwurfsbegründung stellt hierzu fest, dass Rechte von Verbrauchern nicht nur beeinträchtigt werden, wenn ein Unternehmer durch das Verwenden von AGB datenschutzrechtlichen Vorschriften zuwiderhandelt,

sondern auch wenn der Unternehmer auf andere Weise gegen datenschutzrechtliche Vorschriften verstößt, wenn er Daten von Verbrauchern erhebt, verarbeitet oder nutzt.

Änderungen des UKlaG
§ 2 Abs. 1 S. 1 UKlaG
Der geltende § 2 Abs. 1 S. 1 UKlaG bestimmt, dass derjenige, der in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), im Interesse des Verbraucherschutzes auf Unterlassung in Anspruch genommen werden.

Die erste bedeutende Änderung des Entwurfs soll dadurch vorgenommen werden, dass in Zukunft auch im UKlaG Beseitigungsansprüche geltend gemacht werden können. Der Entwurf begründet dies damit, dass es auch möglich sein müsse, einen Unternehmer auch (neben einer Unterlassung für die Zukunft) dazu zu verpflichten, unzulässig gespeicherte Daten von Verbrauchern zu löschen oder zu sperren. § 2 Abs. 1 S. 1 UKlaG würde danach wie folgt lauten:

Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. (Hervorhebung durch den Autor)

§ 2 Abs. 2 Nr. 11 UKlaG
In der Aufzählung des § 2 Abs. 2 UKlaG, der festlegt, welche gesetzlichen Regelungen Verbraucherschutzgesetze darstellen, soll eine neue Nr. 11 aufgenommen werden. Zu beachten ist, dass die Aufzählung in Abs. 2 nicht abschließend ist. Dies folgt aus dem Wort „insbesondere“ am Anfang der Aufzählung. Die neue Nr. 11 soll wie folgt lauten:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Nach dem Gesetzesentwurf ist derzeit in Literatur und Rechtsprechung umstritten, ob datenschutzrechtliche Vorschriften Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 S. 1 UKlaG darstellen. Diese Streitfrage soll nun „verbindlich beantwortet“ werden und zwar indem „datenschutzrechtliche Vorschriften, die für Unternehmer gelten, wenn sie Daten von Verbrauchern erheben, verarbeiten oder nutzen, ausdrücklich in den Katalog der Verbraucherschutzgesetze aufgenommen werden“. Die Begründung des Entwurfs führt hierzu aus, dass dies solche Vorschriften sind, welche auf

die Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten anwendbar sein. Dies sind sowohl Vorschriften, die ausdrücklich den Umgang mit Verbraucherdaten regeln, als auch Vorschriften, die – wie z. B. die Vorschriften im Bundesdatenschutzgesetz, den Landesdatenschutzgesetzen, dem Telekommunikationsgesetz oder dem Telemediengesetz – nicht nur für den Umgang mit personenbezogenen Daten von Verbrauchern gelten, sondern auch für den Umgang mit anderen personenbezogenen Daten.

Der Anwendungsbereich umfasst damit im Prinzip jegliche Datenschutzvorschrift. Voraussetzung für ein Vorgehen nach den geplanten Regelungen ist allein, dass personenbezogene Daten von Verbrauchern betroffen sind und ein Unternehmer beteiligt ist. Dass unter anderem sogar der BGH (Urt. v. 16.07.2008 – VIII ZR 348/06, Rz. 17) der Meinung war, dass z. B. § 4 Abs. 1 BDSG nicht als Verbraucherschutzgesetz im Sinne von § 2 UKlaG angesehen wird, weil die Vorschrift alle natürlichen Personen, aber nicht speziell Verbraucher schütze, wird in dem Gesetzesentwurf nicht thematisiert (ebenfalls ablehnend, etwa für § 28 Abs. 4 BDSG: OLG Düsseldorf, Az. I-7 U 149/03; für §§ 3a, 4 BDSG: OLG Frankfurt a. M., Az. 6 U 168/04). Schutzgegenstand des Datenschutzrechts sind „personenbezogene Daten“. Diese können in bestimmten Situationen Verbraucher betreffen (so auch die Art. 29 Datenschutzgruppe, Stellungnahme WP 136, PDF, S. 7), jedoch nicht generell.

Kritik
Meines Erachtens ist jedoch fraglich, ob der deutsche Gesetzgeber einfach bestimmen kann, was „Verbraucherschutzgesetze“ im deutschen Recht sind, zumindest wenn diese nationalen Gesetze auf europäischen Grundlagen beruhen und eventuell durch den europäischen Gesetzgeber entsprechend eingeordnet wurden.

DS-RL verbraucherschützend?
Ein Großteil der derzeit geltenden Datenschutzvorschriften, etwa im BDSG (beruht auf Bestimmungen der RL 1995/46/EG, DS-RL) oder im TMG (beruht auf Bestimmungen der RL 2000/31/EG und RL 2002/58/EG in der geänderter Fassung durch RL 2009/136/EG, PDF), beruht auf europäischen Richtlinien.

RL 2009/22/EG (PDF) über Unterlassungsklagen zum Schutz der Verbraucherinteressen, gibt einen ersten Anhaltspunkt, warum sich der durch den Gesetzentwurf geplante pauschale Verweis auf „Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten“ möglicherweise nicht als europarechtskonform darstellen könnte. Ziel der benannten Richtlinie ist laut ihrem Art. 1 Abs. 1, die Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über Unterlassungsklagen im Sinne des Art. 2 der Richtlinie zum Schutz der Kollektivinteressen der Verbraucher, die unter die in Anhang I der Richtlinie aufgeführten europäischen Richtlinien fallen, um so das reibungslose Funktionieren des Binnenmarkts zu gewährleisten. Und in diesem Anhang I findet sich eine Auflistung von vielen verschiedenen Richtlinien, die sich dann auch in der Aufzählung des § 2 Abs. 2 UKlaG wiederfinden (z. B. RL 2000/31/EG).

Das Problem: die DS-RL wird hier nicht benannt. Man könnte meinen, dass dies eigentlich unverständlich ist, da nach Erwägungsgrund 8 DS-RL zur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich ist, welches durch die DS-RL geschaffen werden soll. Es geht also bei den Regelungen der DS-RL gerade auch um das Funktionieren des Binnenmarktes.

Doch anscheinend erkannte der europäische Gesetzgeber die DS-RL eben gerade nicht als eine solche Richtlinie an, die dem Schutz der Kollektivinteressen der Verbraucher dient. Eine Aufnahme in die Liste des Anhangs I hätte im Übrigen auch in der Vergangenheit erfolgen können, da die RL 2009/22/EG auf einer alten Richtlinie (RL 98/27/EG) beruht, die mehrfach angepasst wurde.

Ein weiteres Argument dafür, dass die DS-RL (und damit auch deren nationale Umsetzung im BDSG) grundsätzlich nicht verbraucherschützend wirkt, könnte sich aus der Verordnung 2006/2004/EG, der Verordnung über die Zusammenarbeit im Verbraucherschutz, ergeben. In der Verordnung geht es um die Zusammenarbeit der zuständigen Durchsetzungsbehörden in den Mitgliedstaaten bei innergemeinschaftlichen Verstößen gegen Gesetze zum Schutz der Verbraucherinteressen. In Art. 3 a) definiert die Verordnung die „Gesetze zum Schutz der Verbraucherinteressen“ als „die im Anhang aufgeführten Richtlinien in der in die innerstaatliche Rechtsordnung der Mitgliedstaaten umgesetzten Form und die dort aufgeführten Verordnungen“. Und auch hier stellt man fest: die DS-RL wird nicht in der Aufzählung im Anhang erwähnt, sehr wohl aber etwa wieder RL 2000/31/EG.

Diese fehlende Berücksichtigung der DS-RL in beiden europäischen Rechtsakten stellt zumindest ein starkes Indiz dafür dar, dass der europäische Gesetzgeber die DS-RL nicht (zumindest nicht generell) als verbraucherschützend qualifizieren wollte. Anhaltspunkte für einen intendierten Verbraucherschutz finden sich auch nicht in der DS-RL oder ihren Erwägungsgründen selbst.

Schutzgegenstand der DS-RL ist ausweislich ihres Art. 1 Abs. 1 die Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten, nicht der Schutz von Verbrauchern oder ähnlichen besonderen Personengruppen. Anknüpfungspunkt des Datenschutzrechts ist allein die natürliche Person. Natürlich mag diese in gewissen Situationen als Verbraucher handeln. Für diese Situationen ist das Datenschutzrecht aber nicht generell konzipiert worden.

Neue Datenschutzbehörden?
Zudem wird sich nach dem Studium des Referentenentwurfs unweigerlich die Frage nach dem Verhältnis von Verbraucherschutzverbänden zu den staatlichen Datenschutzbehörden stellen. Denn Verbraucherschutzverbände sollen nun rechtliche Möglichkeiten erlangen, die bisher allein dem Betroffenen selbst und den Datenschutzbehörden zustehen. Denn nun können Verbraucherschutzverbände auch gerichtlich gegen Unternehmen vorgehen, wenn es sich nicht um die Überprüfung von Allgemeinen Geschäftsbedingungen, sondern tatsächlich allein um die Rechtmäßigkeit der Datenverarbeitung an sich handelt. Der Entwurf führt hierzu aus: „Die Verbraucherschutzverbände und die anderen anspruchsberechtigten Stellen sollen künftig nicht nur Ansprüche auf Unterlassung und Widerruf nach § 1 UKlaG haben, wenn durch das Verwenden und Empfehlen von Allgemeinen Geschäftsbedingungen gegen datenschutzrechtliche Vorschriften verstoßen wird.

Auch hier stellen sich für mich Fragen der Vereinbarkeit des Entwurfs mit dem Europarecht.

Art. 28 DS-RL bestimmt, dass die Mitgliedstaaten vorsehen müssen, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Zudem müssen diese Stellen ihre Aufgaben in völliger Unabhängigkeit wahrnehmen.
Dabei darf man wohl davon ausgehen, dass der Gesetzesentwurf prinzipiell keine neuen Kontrollstellen schaffen möchte. Oder doch? Der EuGH hat zumindest festgestellt (Az. C-288/12, Rz. 47), dass ein Erfordernis dafür besteht, „die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch eine unabhängige Stelle zu überwachen“. Dies ergibt sich unter anderem aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF). Die entscheidende Frage ist nun, ob allein(!) diese unabhängigen und öffentlichen Stellen zur Überwachung der Einhaltung der jeweiligen nationalen Vorschriften zum Schutz personenbezogener Daten berechtigt sind? In einem anderen Urteil hat der EuGH (Az. C-518/07, Rz. 23) festgestellt, dass die in Art. 28 DS-RL vorgesehenen Kontrollstellen „die Hüter“ der Grundrechte und Grundfreiheiten aus Art. 7 und 8 EU-Charta darstellen. Ob daneben noch Platz für andere Stellen ist, die ebenfalls die Einhaltung der datenschutzrechtlichen Vorschriften überwachen dürfen?

Für mich jedoch besonders relevant in Bezug auf die Frage der Europarechtskonformität der geplanten Übertragung von Klagemöglichkeiten auf Verbände ist Art. 28 Abs. 4 DS-RL. Danach kann sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden (Hervorhebung durch den Autor). Verbände, die betroffene Personen vertreten, können sich also an die Datenschutzbehörden wenden. Dieses Recht steht auch den Betroffenen selbst zu.
Doch haben Betroffene nach Art. 22 DS-RL auch das Recht, bei der Verletzung der Rechte, die ihnen durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einzulegen. Der Verband oder eine Vertretung der Betroffenen ist in diesem Zusammenhang in der DS-RL aber gerade nicht aufgeführt, anders als in Art. 28 Abs. 4 DS-RL. Jedoch würde der vorliegende Referentenentwurf gerade eine solche Möglichkeit, bei einem Gericht einen Rechtsbehelf einzulegen, für Verbände vorsehen.

§ 3 Abs. 1 UWG
Beseitigungs- und Unterlassungsansprüche sollen entsprechend § 8 Abs. 1 UWG zudem möglich sein, wenn durch eine rechtswidrige Datenverarbeitung eine unlautere geschäftliche Handlungen i. S. d. § 3 Abs. 1 UWG begangen wird. Nach § 4 Nr. 11 UWG handelt unlauter wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Nach dem Gesetzesentwurf können auch datenschutzrechtliche Vorschriften nämlich gesetzliche Vorschriften sein, die dazu bestimmt sind, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Hier verweist der Entwurf auf einzelne Gerichtsentscheidungen, wonach insbesondere in Bezug auf § 28 BDSG in Verbindung mit §§ 4 Abs. 1, 4a Abs. 1 BDSG festgestellt wurde, dass diese Regelungen als eine solche Marktverhaltensvorschrift angesehen werden können.

Eine generelle Festschreibung, dass es sich bei datenschutzrechtlichen Vorschriften um solche handelt, welche im Interesse der Marktteilnehmer das Marktverhalten regeln, trifft der Entwurf jedoch nicht. Dies erscheint auch richtig. Derzeit wird wohl überwiegend davon ausgegangen, dass datenschutzrechtliche Vorschriften nicht generell eine marktregelnde Funktion besitzen. Ausnahmen werden vor allem dann (in konkreten Einzelfällen!) gemacht, wenn es sich um Situationen der kommerziellen Nutzung von personenbezogenen Daten handelt, vor allem für Werbung (siehe etwa OLG Köln, Az. 6 U 73/10; OLG Stuttgart, Az. 2 U 132/06; OLG Karlsruhe, Az. 6 U 38/11).

In dem Referentenentwurf wird ausdrücklich klargestellt, dass in Zukunft Ansprüche nach dem UKlaG anders als die Ansprüche nach dem UWG, auch dann gegeben sind, wenn gegen eine datenschutzrechtliche Vorschrift verstoßen wird, die keine Marktverhaltensvorschrift ist. Diese Voraussetzung muss i. R. d. UKlaG nicht gegeben sein.

Weitere Änderungen
Um einem Missbrauch der Unterlassungs- und Beseitigungsansprüche des UKlaG besser vorbeugen zu können, soll die bisher in § 2 Abs. 3 UKlaG befindliche Regelung erneuert und in einen § 2b UKlaG transformiert werden. Zum einen soll die Missbrauchsregelung auch für Ansprüche nach § 1 UKlaG (also bei der Verwendung von unwirksamen AGB) gelten. Inhaltlich soll sich die Missbrauchsregelung soll an jener des § 8 Abs. 4 UWG orientieren. Es wird daher (wie in § 8 Abs. 4 S. 2 UWG) in § 2b S. 2 UKlaG ein Anspruch auf Ersatz von Rechtsverfolgungskosten vorgesehen.

Der Referentenentwurf enthält noch andere Änderungen, unter anderem soll die Vorschrift des § 309 Nr. 13 BGB angepasst werden. Es geht hierbei um Formanforderungen, die Verwender durch Bestimmungen in AGB, insbesondere in Verbraucherverträgen, vereinbaren können. Für Erklärungen von Verbrauchern gegenüber dem Verwender von AGB soll nur noch die Textform (und nicht mehr Schriftform) vereinbart werden können.

Fazit
Hier nochmal die aus meiner Sicht wichtigsten geplanten Änderungen:

    • Ergänzung des UKlaG um einen Beseitigungsanspruch
    • Datenschutzrechtliche Vorschriften werden verbindlich als Verbraucherschutzgesetze festgelegt
    • Klagerechte für Verbraucherschutzverbände, Wirtschaftsverbände und Kammern nach dem UKlaG und dem UWG
    • Neuer § 2b UKlaG zur Vermeidung missbräuchlicher Geltendmachung
    • Änderung der Voraussetzungen für Verbände zur Eintragung in die Liste qualifizierter Einrichtungen i. S. d. § 4 UKlaG
    • Änderung des § 309 Nr. 13 BGB (nur noch Textform statt Schriftform vereinbar)
    • Änderung des § 675a BGB (Erleichterte Erfüllung der Informationspflichten im Internet durch Textform)

Für mich stellen sich nach einer ersten Sichtung des Entwurfs teilweise elementare Fragen, sowohl in Bezug auf die Vereinbarkeit mit geltendem europäischem Recht, als auch hinsichtlich der inhaltlichen Reichweite der geplanten Regelungen, gerade von § 2 Abs. 2 Nr. 11 UKlaG. Der Entwurf befindet sich nun in der Ressortabstimmung. Insbesondere könnte ich mir vorstellen, dass das für den Datenschutz federführend zuständige Bundesinnenministerium noch einige Ergänzungsvorschläge vorbringen könnte.

Das Google-Urteil des EuGH – übers Ziel hinaus geschossen?

Mit Urteil vom heutigen Tage hat der EuGH (Az. C-131/12) verschiedene wichtige Entscheidungen in Bezug auf die zukünftige Anwendung und Durchsetzung des europäischen Datenschutzrechts getroffen. Zur Entscheidung lag ihm dabei ein Verfahren zwischen Google und der spanischen Datenschutzbehörde (AEPD) vor. Die von einem spanischen Gericht vorgelegten Fragen betreffen grob folgende Themenkomplexe: 1. den räumlichen Anwendungsbereich der geltenden Datenschutzrichtlinie (DS-RL, RL 95/46/EG, PDF); 2. die Verantwortlichkeit von Suchmaschinenbetreibern für durch sie indexierte Webseiten und darauf befindliche Daten; 3. die Reichweite des Rechts auf Löschung von personenbezogenen Daten.

Sachverhalt
Der dem Urteil zugrunde liegender Sachverhalt stellt sich grob wie folgt dar: gegen einen Betroffenen wurden, aufgrund von Schulden bei der Sozialversicherung, Immobilienversteigerungen betrieben. Diese wurden in einer Zeitung zunächst offline und später auch online veröffentlicht. Die Bekanntmachung erfolgte dabei auf einer gesetzlichen Grundlage. Die AEPD lehnte daher Löschungsansprüche des Betroffenen gegen die online abrufbaren Bekanntmachungen gegen das Presseunternehmen ab. Jedoch wandte sich der Betroffene auch an Google und verlangte, dass die betreffenden Seiten aus dem Index der Suchmaschine zu nehmen seien. Dieser Beschwerde gab die AEPD statt und forderte Google auf, die Seiten aus dem Index zu entfernen. Hiergegen wendete sich Google.

Schlussanträge des Generalanwalts
Am 25.6.2013 präsentierte der zuständige Generalanwalt (GA) am EuGH, Jääskinen, seine Schlussanträge zu dem Verfahren. Hierzu hatte ich bereits einmal gebloggt. Die Ergebnisse der rechtlichen Analyse des GA waren die folgenden:

  • Verarbeitungen personenbezogener Daten werden im Rahmen der Tätigkeiten einer „Niederlassung“ des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Abs. 1 Buchst. a der DS-RL ausgeführt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet.

(Diese Auslegung stieß vielfach auf Kritik, da sie über den Wortlaut der Richtlinie hinausgehe und allein das Vorhandensein einer Niederlassung in einem europäischen Land ausreichen lassen würde, um das dortige Datenschutzrecht zur Anwendung zu bringen, auch wenn diese Niederlassung überhaupt nicht in der entscheidungserheblichen Datenverarbeitung beteiligt ist. Der Anwendungsbereich der DS-RL würde damit massiv ausgeweitet.)

  • Ein Internetsuchmaschinen-Diensteanbieter, dessen Suchmaschine nach Informationen sucht, die Dritte im Internet veröffentlicht oder gespeichert haben, diese Informationen automatisch indexiert, vorübergehend speichert und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung stellt, „verarbeitet“ personenbezogene Daten im Sinne von Art. 2 Buchst. b der DS-RL, wenn die Informationen personenbezogene Daten enthalten.
  • Der Internetsuchmaschinen-Diensteanbieter kann jedoch hinsichtlich dieser personenbezogenen Daten außer in Bezug auf den Inhalt des Indexes seiner Suchmaschine nicht als der „für die Verarbeitung Verantwortliche“ angesehen werden, es sei denn, er indexiert oder archiviert personenbezogene Daten entgegen den Weisungen oder Aufforderungen des Webseitenurhebers.
  • Das in Art. 12 Buchst. b der DS-RL geregelte Recht auf Löschung und Sperrung von Daten sowie das in Art. 14 Buchst. a der DS-RL vorgesehene Widerspruchsrecht verleihen der betroffenen Person nicht das Recht, sich an den Suchmaschinenbetreiber zu wenden, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten rechtmäßig veröffentlicht sind, und sich hierzu auf ihren Willen zu berufen, dass diese Informationen den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass die Informationen ihr schaden könnten, oder sie sich wünscht, dass die Informationen vergessen werden.

Das Urteil des EuGH
Der EuGH geht in seinem Urteil über die vom GA vorgeschlagene rechtliche Lösung hinaus. Man wird wohl bereits jetzt sagen können, dass dieses Urteil in Zukunft teils erhebliche Auswirkungen auf das Geschäftsmodell jeglichen Suchdienstes im Internet haben wird. Thomas Stadler spricht in einem Blogbeitrag davon, dass Urteil habe das Potential, die Funktionsfähigkeit von Suchwerkzeugen erheblich einzuschränken.

1. anwendbares Recht
Hier folgt der EuGH (leider) im Prinzip der Lösung des GA. Der Begriff „im Rahmen der Tätigkeit“ einer Niederlassung i. S. d. Art. 4 Abs. 1 Buchst. a DS-RL sei weit auszulegen. Der durch die DS-RL gewährleistete Schutz dürfe nicht umgangen werden, nur weil ein Diensteanbieter in einem Drittstaat ansässig sei. Daher werden auch Verarbeitungsvorgänge eines Anbieters in einem Drittstaat (hier von Google Search in den USA) „im Rahmen der Tätigkeit“ einer in einem EU Staat befindlichen Niederlassung ausgeführt, wenn diese Niederlassung die Aufgabe hat, in dem Mitgliedstaat für den Verkauf von Werbeanzeigen auf der Internetseite des Anbieters und damit die allgemeine Rentabilität des Unternehmens zu sorgen. Die Tätigkeiten des ausländischen Unternehmens und der europäischen Niederlassung seien dann untrennbar miteinander verbunden.
Diese weite Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL ist aus meiner Sicht kritikwürdig. Denn zum einen besitzt die DS-RL in Art. 4 Abs. 1 Buchst. c einen Tatbestand, der einen Anbieter aus einem Drittstaat europäischen Recht unterwerfen würde, wenn er auf Mittel in der EU zurückgreift. Diese Mittel könnten zB Computer oder aber auch Niederlassungen selbst sein. Mit der weiten Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL durch den EuGH wird diese Tatbestandsalternative praktisch kaum noch relevant werden, obwohl sie aus meiner Sicht gerade diese Konstellationen (Anbieter aus Drittland erhebt Daten im Inland) im Blick hatte. Zum anderen scheint die weite Auslegung des EuGH einfach etwas zu weit zu gehen. Denn die hier relevanten Verarbeitungsprozess (Indexierung und Crawlen) werden eben nicht im „Rahmen der Tätigkeit“ der spanischen Niederlassung durchgeführt. Im Prinzip liest der EuGH den Art. 4 Abs. 1 Buchst. a DS-RL wie „die im wirtschaftlichen Zusammenhang mit den Tätigkeiten der Niederlassung stehe“.

2. Verantwortlichkeit von Google
Der EuGH erkennt, wie der GA, in der Suche, Speicherung und Indexierung von Informationen und eben auch personenbezogenen Daten im Internet durch Google eine „Verarbeitung personenbezogener Daten“ i. S. d. Art. 2 Buchst. b DS-RL. Jedoch geht das Gericht nicht mit der Auslegung des GA konform, dass Google nur dann für die Verarbeitung verantwortlich sei, wenn es um die Daten im Index selbst gehe oder entgegen von technischen Sperren personenbezogene Daten gecrawled habe. Google sei vielmehr für alle selbst ausgeführten Tätigkeiten in Bezug auf personenbezogene Daten auf Webseiten von Dritten verantwortlich. Denn die Tätigkeit der Suchmaschine unterscheide sich von derjenigen der ursprünglichen Herausgeber. Begründet wird diese weite Auslegung des Begriffes der Verantwortlichkeit jedoch auch mit Motiven, die nicht direkt etwas mit dem Verarbeitungsvorgang zu tun haben. Die Tätigkeit von Suchmaschinen habe Anteil an der weltweiten Verbreitung personenbezogener Daten. Sie machen Daten auch solchen Nutzern zugänglich, die die Originalwebseite eventuell gar nicht gefunden hätten. Zudem bestehe die Gefahr, dass bei einer Auflistung von Informationen zu einer Person (die, wohl gemerkt, frei im Netz verfügbar sind) und einer Suche anhand ihres Namens, die Suchenden einen strukturierten Überblick über die betreffende Person erhalten, anhand dessen sie ein Profil dieser Person erstellen können.

3. Löschpflichten
Ist danach klar, dass Google grundsätzlich verantwortlich ist, sobald es mit eigenen Mechanismen Informationen aus dem Netz zusammensucht und als Ergebnislisten darstellt, stellte sich die Frage, ob Google zu einer Löschung von Links in Ergebnislisten auf Webseiten Dritter verpflichtet ist, selbst wenn die Veröffentlichung rechtmäßig erfolgte. Diese Löschpflicht kann sich aus Art. 12 Buchst. b DS-RL ergeben. Dazu müsste ihre Verarbeitung nicht den Bestimmungen der DS-RL entsprechen.

Der EuGH prüft zunächst die Rechtsgrundlage der Datenverarbeitungsvorgänge von Google. Hierbei bezieht er sich auf Art. 7 Buchst. f DS-RL. Diese Grundlage stellt auf die „berechtigten Interessen“ des für die Verarbeitung Verantwortlichen oder Dritten ab. Jedoch dürfen das Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Erforderlich ist also eine Abwägung der sich gegenüberstehenden Rechte und Interessen. Nach dem EuGH

kann eine von einem Suchmaschinenbetreiber ausgeführte Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten erheblich beeinträchtigen, wenn die Suche mit dieser Suchmaschine anhand des Namens einer natürlichen Person durchgeführt wird, da diese Verarbeitung es jedem Internetnutzer ermöglicht, mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person im Internet zu findenden Informationen zu erhalten, die potenziell zahlreiche Aspekte von deren Privatleben betreffen und ohne die betreffende Suchmaschine nicht oder nur sehr schwer hätten miteinander verknüpft werden können, und somit ein mehr oder weniger detailliertes Profil der Person zu erstellen.

Zudem steigere die Rolle des Internets und damit der weltweite Abruf der Informationen noch die Eingriffsintensität. Nun kommt das Gericht zu den berechtigten Interessen von Google. Hier führt es aus, dass wegen seiner potenziellen Schwere, ein solcher Eingriff nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers an der Verarbeitung der Daten gerechtfertigt werden könne. Die Interessen von Google bügelt der EuGH damit in einem Satz ab.

Jedoch stellt der EuGH dann fest, dass eine Löschung aus den Ergebnislisten die berechtigten Interessen von Dritten, nämlich der Internetnutzer, beeinträchtigen könnte. Nun muss also eine Interessenabwägung in diesem Verhältnis vorgenommen werden. Hierbei stellt der EuGH jedoch als Ausgangspunkt klar:

Zwar überwiegen die durch diese Artikel geschützten Rechte der betroffenen Person im Allgemeinen gegenüber dem Interesse der Internetnutzer;

Jedoch könne der nötige Ausgleich in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren. Im Prinzip lässt der EuGH hier eine (meines Erachtens bedenkliche) Tendenz erkennen. Nämlich dass Informationen dann zu löschen sind bzw. das Interesse der betroffenen Person zunächst einmal grundsätzlich überwiege und eben nur in besonderen Fällen, etwa bei Prominenten oder tagesaktuellen oder historischen Geschehnissen, hinter dem Informationsinteresse der Internetnutzer zurückzutreten habe. Damit besteht also im Ausgangspunkt eine Löschpflicht, selbst bei rechtmäßiger Weise veröffentlichten Informationen, wenn die Interessen des Betroffenen überwiegen. Dies ist nach dem EuGH grundsätzlich der Fall, außer in besonderen Situationen. Wohlgemerkt beziehen sich die Ausführungen des Gerichts auf Suchmaschinenbetreiber und die von ihnen generierten Ergebnislisten, vor allem wenn nach Namen von Personen gesucht werden.

4. Recht auf Vergessen werden
Zum Schluss befasst sich der EuGH mit der Frage, ob ein Betroffener ein Recht darauf hat, das Informationen zu ihm, die im Internet veröffentlicht wurden, irgendwann vergessen werden müssen.

Hierzu stellt der EuGH fest, dass Daten nach Art. 12 Buchst. b DS-RL auch dann zu löschen sind, wenn sie nicht den Zwecken der Verarbeitung entsprechen, dafür nicht erheblich sind oder darüber hinausgehen, nicht auf den neuesten Stand gebracht sind oder länger als erforderlich aufbewahrt werden, es sei denn ihre Aufbewahrung ist für historische, statistische oder wissenschaftliche Zwecke erforderlich. Hieraus ergebe sich, dass auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen kann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind.

Im Rahmen der Prüfung des Löschungsrechts nach Art. 12 Buchst. b DS-RL gelte es auch die Voraussetzungen des Art. 6 Abs. 1 DS-RL zu beachten, insbesondere, dass Daten nicht mehr den ursprünglichen Zwecken entsprechen. Wenn sich herausstelle, dass die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der in Rede stehenden Verarbeitung durch den Suchmaschinenbetreiber nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, müssen die betreffenden Informationen und Links der Ergebnisliste gelöscht werden, so das Gericht. Daher müsse auch geprüft werden, ob die betroffene Person ein Recht darauf habe, dass die betreffenden Information über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird. Hierbei weist der EuGH darauf hin, dass die Feststellung eines solchen Rechts nicht voraus setze, dass der betroffenen Person durch die Einbeziehung der betreffenden Information in die Ergebnisliste ein Schaden entstehe.

Und auch hier rückt der EuGH nicht von seiner eingeschlagenen Linie (des grundsätzlichen Vorrangs des Schutzes der Privatsphäre vor Informationsinteressen) ab. Er stellt vielmehr ausdrücklich klar, dass wenn die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, ist davon auszugehen, dass diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit daran, die Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche zu finden, überwiegen.

Fazit
Die Entscheidung des EuGH übertrifft wohl sämtliche Erwartungen an das Verfahren. Nicht nur weil das Gericht über die Linie des GA hinausgegangen ist, sondern vor allem mit welcher Deutlichkeit dies geschieht. Die Tendenz, dem Recht auf Schutz personenbezogener Daten grundsätzlich einen Vorrang einzuräumen und nur in besonderen Situationen eine Veröffentlichung zuzulassen, sollte man kritisch betrachten. Zudem scheint sich das Urteil vielerorts weniger durch juristische oder an Datenverarbeitungsprozessen ausgerichteten faktischen Feststellungen, sondern oft auch die allgemeine, aus Sicht der EuGH, negative Wirkung und das Geschäftsmodell von Google und dessen Suche in den Blick zu nehmen.

EU: Rat sieht hohe Hürden für neue Vorratsdatenspeicherung

Wie geht es weiter mit der Vorratsdatenspeicherung? Wird es nach dem EuGH-Urteil (Az. C-293/12, C-594/12) eine neue EU-Richtlinie oder nationale Ansätze geben?

Sowohl auf nationaler als auch internationaler Ebene stellen sich Beteiligte diese Frage und diskutieren, ob und wenn ja, unter welchen Voraussetzungen, eine Neuregelung möglich sein könnte.

Ein internes Dokument des Rates der Europäischen Union (PDF, Stand: 05.05.2014), welches durch das Generalsekretariat für den Ausschuss der ständigen Vertreter vorbereitet wurde, zeigt, dass die Hürden für eine Neuregelung als sehr hoch angesehen werden. Mehr noch: nach der Analyse wird sich das Urteil allgemein auf laufende und zukünftige Gesetzgebungsprozesse auf europäischer Ebene auswirken.

Das Papier analysiert zunächst die jeweils wichtigsten Aussagen des Urteils des EuGH. Danach werden unter Rz. 15 diejenigen Voraussetzungen aufgezählt, welche die Richtlinie zur Vorratsdatenspeicherung vermissen ließ und daher für nichtig erklärt wurde. Nach Ansicht der Verfasser des Berichts spiegeln dieses fehlenden Voraussetzungen gleichzeitig diejenigen Kriterien wieder, die für eine Rechtmäßigkeit einer möglichen neuen Richtlinie erforderlich wären. 

Interessant sind dann vor allem die Rz. 19-21 des Berichts, in denen eigene Schlussfolgerungen gezogen werden. So zeige das Urteil deutlich, dass der EuGH strenge Voraussetzungen an Gesetze anlege die, mögen sie auch noch so sinnvoll und geeignet sein, einen bestimmten Zweck zu erreichen, intensive Grundrechtseingriffe implizieren und dem Verhältnismäßigkeitstest nicht genügen. Das Gericht werde hierbei sein Augenmerk vor allem auch auf das Vorhandensein von angemessenen Schutzvorkehrungen richten, die Grundrechtseingriffe auf ein Mindestmaß beschränken müssen. Diese Schutzvorkehrungen dürften zudem nicht dem nationalen Gesetzgeber zur Ausgestaltung überlassen werden, sondern müssen bereits in der EU-rechtlichen Vorgabe enthalten sein.

Diese strengen Voraussetzungen gelten insbesondere bei solchen Rechtsakten, welche die massenhafte Sammlung und Speicherung von personenbezogenen Daten zuließen und den Strafverfolgungsbehörden zur Verfügung stehen sollen. Hier verweist der Bericht dann in einer Fußnote etwa auf die geplante Richtlinie zur Speicherung von Fluggastdaten in der EU, in der ebenfalls eine mehrjährige Datenspeicherung vorgesehen werden soll.

Fazit
Der Bericht zeigt, dass die durch den EuGH aufgestellten Hürden für eine anlasslose Speicherung von Daten und deren Nutzung durch Strafverfolgungsbehörden streng sind. Insbesondere die Vorgabe nach bereits im EU-Rechtsakt aufzustellenden Sicherheiten, um den Grundrechtseingriff so gering wie möglich ausfallen zu lassen, wird man eventuell nur mit einer Rechtsverordnung beikommen können. Denn eine Richtlinie würde stets einen gewissen Umsetzungsspielraum für die Mitgliedstaaten mit sich bringen.

Hat der EuGH die Cloud für tot erklärt?

In seinem gestrigen Urteil (Az. C?293/12 und C?594/12) zur Vereinbarkeit der Vorgaben der Richtlinie 2006/24 (VDS-RL, PDF) zur Vorratsdatenspeicherung, hat sich der EuGH naturgemäß mit den einzelnen Vorschriften zur Umsetzung der Richtlinie in nationalstaatliches Recht befasst. Die Richtlinie wurde, in ihrer jetzigen Ausformung, für nichtig erklärt (siehe hierzu die Urteilsbesprechung bei Hans Peter Lehofer), da die derzeit geltenden Vorgaben unverhältnismäßige Eingriffe in die europäischen Grundrechte auf Privatsphäre (Art. 7 Charta der Grundrechte der EU, Charta) und auf den Schutz personenbezogener Daten (Art. 8 Charta) zur Folge hätten. Bisher kaum Beachtung scheinen jedoch einige, meines Erachtens für das allgegenwärtige Cloud Computing wichtige, Ausführungen des Gerichts gefunden zu haben.

In seinem Urteil prüft der EuGH ab Rz. 56 die Verhältnismäßigkeit der Vorgaben der VDS-RL im engeren Sinne. Die dort erlaubten Eingriffe in Grundrechte müssen auf das absolut notwendige Maß beschränkt sein. In Rz. 65 kommt das Gericht zu dem Schluss:

Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Maßnahmen zur Datensicherheit
„Gut“, möchte man denken. Damit ist die Prüfung abgeschlossen. Doch das Gericht fügt seiner Begründung noch drei weitere Randziffern (66-68) an. In diesen befasst es sich, freilich zunächst auch mit Blick auf die VDS-RL, mit der Sicherheit und dem Schutz von gespeicherten Daten. Der EuGH stellt fest, die VDS-RL keine ausreichenden Bestimmungen enthalte, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind (Rz. 66).

Solche Vorgaben zum Schutz personenbezogener Daten und gerade auch in Bezug auf Maßnahmen zur Gewährung der Datensicherheit kennen wir aus der Datenschutz-Richtlinie, 95/46/EG (DS-RL, PDF). Dort bestimmt Art. 17 DS-RL entsprechende Pflichten für die verantwortliche Stelle. Im Falle einer Auftragsdatenverarbeitung, wenn also die tatsächlichen Verarbeitungsprozesse von einem Dritten wahrgenommen werden, bestimmt Art. 17 Abs. 2 DS-RL, dass die verantwortliche Stelle nur solche Auftragnehmer auswählen darf, die technische Sicherheitsmaßnahmen bereithalten. Zudem muss sich der Verantwortliche hiervon auch selbst überzeugen. Art. 17 Abs. 3 DS-RL bestimmt zudem, dass auch den Auftragsdatenverarbeiter selbst Pflichten zur Datensicherheit nach dem für ihn geltenden nationalen Datenschutzrecht treffen.

Cloud Computing
Diese Konstellation, die Datenverarbeitung durch einen Auftragnehmer, ist das typische Beispiel, welches den meisten Cloud Computing-Lösungen zugrunde liegt. Man nehme etwa den Anbieter eines Internet-Speicherdienstes: Der Anbieter der Cloud ist der Auftragsdatenverarbeiter (er selbst sitzt z. B. in den USA, seine Server stehen auf der ganzen Welt), der Kunde ist die verantwortliche Stelle (ob diese rechtliche Einschätzung in der heutigen Zeit noch angemessen erscheint, soll hier nicht diskutiert werden; sie ist nicht unumstritten, wird so aber etwa von der Art. 29 Datenschutzgruppe vertreten, siehe Stellungnahme WP 196, PDF).

Zurück zum Urteil des EuGH. Auch das Gericht verweist für erforderliche Sicherheitsmaßnahmen auf die Vorgaben des Art. 17 DS-RL (Rz. 67), deren Einhaltung, wir erinnern uns an das Beispiel, der Kunde des Speicherdienstes zu prüfen hätte und der Speicherdienst als Auftragnehmer auch selbst einsetzen müsste. Doch nun wird es interessant und relevant.

Datenspeicherung in Drittstaaten
Der EuGH kritisiert in Rz. 68, dass die VDS-RL im Rahmen der erforderlichen Sicherheitsmaßnahmen keine Vorgaben dazu macht, dass die Daten nur innerhalb des Unionsgebietes gespeichert werden dürfen. Hieraus folgert das Gericht, dass

es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird.

Der in dem Zitat angesprochene Art. 8 Abs. 3 Charta bestimmt, dass die Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch eine unabhängige Stelle überwacht werden müssen. In der Praxis sind dies in Europa die Datenschutzbehörden.

Was bedeutet diese Aussage nun? Der EuGH scheint der Auffassung zu sein, dass Daten, welche auf Servern in Drittstaaten gespeichert werden, nicht dem Schutzniveau des Art. 8 Charta entsprechend geschützt werden können. Dies deshalb, weil in dem jeweiligen Drittstaat möglicherweise keine unabhängige Stelle existiert, welche die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit überwacht. Nun mag man einwenden, dass es ja gerade für Fälle der Übermittlung von Daten in Drittstaaten etwa Standardvertragsklauseln gibt oder auch Angemessenheitsbeschlüsse der Kommission, die einem Drittstaat (oder einem gewissen Wirtschaftsbereich) ein angemessenes Schutzniveau bescheinigen. Auf diese Instrumente scheint das Gericht aber überhaupt nicht abzustellen. Sein Verweis bezieht sich vielmehr auf das Vorhandensein einer unabhängigen Stelle im Sinne des Art. 8 Abs. 3 Charta. Diese Überwachung durch unabhängige Datenschutzbehörden ist für den EuGH entscheidend.

Hiergegen mag man ins Feld führen, dass es ja auch in Drittstaaten unabhängige Behörden gibt, welche die Einhaltung des dortigen Datenschutzrechts überwachen. Doch auch diesbezüglich scheint der EuGH den Grundrechtsschutz des Art. 8 Charta äußerst streng zu nehmen, denn er führt aus:

Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Das Gericht knüpft das Erfordernis der Überwachung durch eine unabhängige Stelle an die „Grundlage des Unionsrechts“. Es mag also durchaus unabhängige Datenschutzbehörden in Drittstaaten geben. Diese überwachen die Einhaltung von Vorgaben zur Datensicherheit und zum Datenschutz jedoch grundsätzlich nicht auf Grundlage des Unionsrechts. Vielmehr gilt für diese Behörden ihr jeweils nationales Recht. Ebenso muss für europäische Datenschutzbehörden festgestellt werden, dass diese ihre Überwachungsmaßnahmen nicht in Drittstaaten ausdehnen können. Sie sind hinsichtlich ihrer öffentlich-rechtlichen Befugnisse vielmehr territorial beschränkt. Man könnte sich nun fragen, wann denn überhaupt eine Behörde auf der Grundlage des Unionsrechts die Einhaltung von Datenschutz- und Datensicherheitsstandards in einem Drittstaat wirksam überwachen kann?

Lösungen und Konsequenzen
Als einziger Ansatzpunkt würde mir einfallen, dass man z. B. Angemessenheitsbeschlüsse (wie etwa Safe Harbor) oder auch Standardvertragsklauseln als eine solche Grundlage des Unionsrechts ansieht, nach deren Vorgaben der Verarbeiter im Drittstaat handeln muss. Freilich wird hierdurch nicht das Problem gelöst, dass eine europäische Datenschutzbehörde nicht im Drittstaat hoheitlich tätig werden kann, also dort nicht direkt auf „Grundlage des Unionrechts“ überwachen kann.

Denn die Safe Harbor-Entscheidung, ebenso wie die Standardvertragsklauseln der EU sehen für Kontrollstellen die Möglichkeit vor, Datenübermittlungen in ein Drittland auszusetzen. Also gegen den Verantwortlichen in der EU vorzugehen. Dies jedoch nicht etwa dann, wenn die Behörde den Auftragnehmer in dem Drittstaat selbst kontrolliert und etwa Mängel bei der Datensicherheit festgestellt hat. Die Befugnisse der europäischen Behörden greifen dann, wenn feststeht, dass der Verarbeiter in dem Drittstaat die an ihn gestellten Vorgaben (sei es aus Vertragsklauseln oder Angemessenheitsbeschlüssen) nicht einhalten kann. Für Informationen hierzu ist die jeweilige europäische Behörde aber freilich auf Angaben Dritter angewiesen, also etwa von Behörden in dem Drittstaat oder des für die Datenverarbeitung Verantwortlichen selbst. Gut möglich, dass diese „mittelbare“ Überwachung ausreicht, um den Vorgaben des EuGH gerecht zu werden. Hierfür spricht meines Erachtens auch, dass der europäische Gesetzgeber die Datenschutz-Richtlinie mit entsprechenden Mechanismen zur Übermittlung und Speicherung von Daten in Drittstaaten ausgestaltet hat. Wohl wissend, dass nationale Behörden dann nur begrenzte Prüfmöglichkeiten besitzen. Und auch der EuGH selbst hat etwa in seinem Lindqvist-Urteil (Az. C-101/01) darauf hingewiesen, dass für die Mitgliedstaaten und die Kommission gewisse Pflichten zur Kontrolle solcher Datenübermittlungen bestehen (Rz. 63 ff.). Jedoch hat er diese Übermittlung nicht kategorisch ausgeschlossen oder von einer direkten Einflussnahmemöglichkeit europäischer Behörden abhängig gemacht (auch wenn die Frage der Voraussetzungen der Datenübermittlung dort nicht direkt Gegenstand der gerichtlichen Prüfung war und daher nicht vertieft wurde). Dennoch verbleibt ein gewisses Unwohlsein, welches sich vor allem aus der Deutlichkeit der Aussage des EuGH ergibt.

Ausblick
Die Ausführungen des EuGH zur Datenspeicherung in Drittstaaten sind durchaus bemerkenswert. Dies gerade vor dem Hintergrund der anhaltenden Diskussion um ein „Schengen-Routing“ und dem sog. Datenprotektionismus in Folge der Enthüllungen um die Überwachungstätigkeiten von Geheimdiensten. Wie dargestellt liegt die Konstellation der Speicherung von Daten in Drittstaaten vor allem auch dem Cloud Computing zugrunde. Ist die Cloud deshalb tot? Ich denke nicht. Denn die Ausführungen des EuGH sind dafür wohl von zu allgemeiner Natur. Dennoch stellen sich Fragen: Sollte eine Speicherung von personenbezogenen Daten in Ländern außerhalb der EU nun (unabhängig von der rechtlichen Grundlage der Übermittlung) nicht mehr möglich sein? Oder etwa nur wenn sich der Datenverarbeiter behördlichen Maßnahmen europäischer Stellen freiwillig unterwirft? Reicht die beschriebene „mittelbare“ Überwachungsmöglichkeit und dem folgend etwa Maßnahmen gegen den Verantwortlichen in der EU aus? Sollte dem nicht so sein, dann wäre dies ein Schritt zurück, hinter die Intention der geltenden DS-RL und würde der digitalen Wirtschaft und damit auch unserem täglichen Umgang mit Internetdiensten einen Bärendienst erweisen.

Das Grundrecht auf Datenschutz in Europa

Im Zuge der Enthüllungen in der NSA-Affäre und den andauernden Verhandlungen für eine Reform des europäischen Datenschutzrechts wird häufig darauf verwiesen, dass der Schutz personenbezogener Daten in Europa ein Grundrecht darstellt (so etwa die EU Justizkommissarin Viviane Reding in einem Interview). Nachfolgend möchte ich darauf eingehen, wo dieses Grundrecht auf Datenschutz gesetzlich festgeschrieben und wie es tatsächlich ausgestaltet ist. Dazu beschränke ich mich jedoch auf die Ebene der EU und des Europarates (zu weiteren internationalen Datenschutzabkommen hatte ich bereits einmal etwas geschrieben).

A. Europäische Menschenrechtskonvention

Auf der supranationalen Ebene des Europarats, dem sowohl alle europäischen Mitgliedstaaten, aber auch andere Nationen wie die Türkei oder Russland angehören, garantiert die Europäische Menschenrechtskonvention (EMRK) Personen, welche der Hoheitsgewalt der einzelnen Mitgliedstaaten unterliegen, gewisse Grundrechte und –freiheiten.
Continue reading

Französische Datenschutzbehörde eröffnet Verfahren gegen Google

In einer Pressemitteilung gab die französische Datenschutzbehörde (CNIL) heute bekannt, dass sie ein Verfahren gegen Google wegen Verletzungen des französischen Datenschutzrechts einleitet. An dessen Ende könnten Sanktionen gegen das Internetunternehmen stehen.

Gemeinsame Aktion in Europa
Dieses Vorgehen beruht auf den Ergebnissen einer im Jahre 2012 eingerichteten „Task-Force“ mehrerer europäischer Datenschutzbehörden, die unter Leitung der französischen Behörde die Datenschutzkonformität der Angebote von Google in Europa untersuchte. Nachdem der Abschlussbericht der CNIL mehrere mögliche Rechtsverstöße feststellte, entschlossen sich europäische Datenschutzbehörden in einer koordinierten Aktion gegen diese vorzugehen (hierzu mein Blogbeitrag). Jede nationale Datenschutzbehörde sollte danach für sich prüfen, inwieweit sie ein Verfahren gegen Google wegen der Verletzung nationalen Datenschutzrechts eröffnet.

Neben der spanischen Datenschutzbehörde (AEPD), die bereits im Juni 2013 ein Prüfverfahren eröffnete, leiten nun auch die französischen Datenschützer ein offizielles Verfahren gegen Google ein.
Continue reading

Kammergericht: “Adresse der elektronischen Post” meint die Angabe der E-Mail-Anschrift – und nichts anderes

In einem Urteil vom 07.05.2013 (Az 5 U 32/12) hat das Kammergericht in einem Verfahren gegen die irische Fluggesellschaft Ryanair klare Worte zu der aus § 5 Abs. 1 Nr. 2 TMG folgenden (Impressums-)Pflicht für Telemediendiensteanbieter, zur Bereitstellung eine Möglichkeit zur direkten Kontaktaufnahme für Nutzer, gefunden.

Nach § 5 TMG haben die Anbieter geschäftsmäßig betriebener Telemedien gewisse Informationen für ihre Nutzer bereit zu halten, das sog. Impressum. Hierzu gehören auch „Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post“. Die Fluggesellschaft hatte auf ihrer deutschsprachigen Webseite zwar Kontaktinformationen bereitgehalten, jedoch nur eine Fax- und Telefonnummer, sowie ein Onlineformular, also eine Eingabemaske, mit fest definierten Vorgaben hinsichtlich eines bestimmten Themas und einer begrenzten Anzahl an einzugebenden Wörtern.
Continue reading