Telemedicus Logo
Weiterempfehlen Drucken

Der EuGH hat heute ein wegweisendes Urteil zu den datenschutzrechtlichen Pflichten von Suchmaschinen verkündet. Danach sind Suchmaschinen grundsätzlich verpflichtet, personenbezogene Daten von Privatpersonen auf Anfrage aus ihrem Index zu löschen – eine Entscheidung, die weit über das Ziel hinaus schießt.

Der Hintergrund


Hintergrund der Entscheidung war ein Fall aus Spanien. Die Online-Ausgabe einer spanischen Tageszeitung hatte über die Zwangsversteigerung eines Hauses berichtet. Google hatte diesen Artikel in seinen Suchindex aufgenommen. Etwa 16 Jahre später wandte sich nun der Eigentümer des Hauses an die Tageszeitung und Google und verlangte, dass der Artikel gelöscht wird und bei Google aus dem Index entfernt wird. Als er damit keinen Erfolg hatte, erhob er bei der spanischen Datenschutzbehörde AEPD Beschwerde gegen die Tageszeitung und gegen Google: Die Zwangsversteigerung sei längst erledigt, es gebe kein öffentliches Interesse mehr an den Informationen. Bezüglich der Tageszeitung wies die Behörde die Beschwerde zurück, Google aber wies sie an, die entsprechenden Artikel aus dem Index zu nehmen. Google klagte und der Fall landete beim spanischen Gericht Audiencia Nacional. Dieses legte dem Europäischen Gerichtshof (vereinfacht) folgende Fragen vor:

  1. Gilt europäisches Datenschutzrecht für Google?
  2. Ist Google für die Inhalte in seinem Suchindex verantwortlich?
  3. Inwieweit haben Privatpersonen ein Recht auf Löschung ihrer Daten aus Googles Index?

Die Schlussanträge des Generalanwaltes


Im Juni letzten Jahres stellte der Generalanwalt beim EuGH Jääskinen in dem Fall seine überaus lesenswerten Schlussanträge. Darin vertrat Jääskinen die Ansicht, dass zwar europäisches Datenschutzrecht auf Google anwendbar sei, Google aber nicht als „Verantwortlicher” für die Datenverarbeitung anzusehen sei. Der Begriff dürfe nicht zu weit gefasst werden, was Jääskinen mit einem interessanten Beispiel illustrierte:
„Zu denken ist etwa an einen Professor für Europarecht, der von der Website des Gerichtshofs die wesentliche Rechtsprechung des Gerichtshofs auf seinen Laptop herunterlädt. Nach der Richtlinie lässt sich dieser Professor als ein „für die Verarbeitung Verantwortlicher“ im Hinblick auf personenbezogene Daten bezeichnen, die von einem Dritten stammen. Der Professor besitzt Dateien mit personenbezogenen Daten, die bei der Suche und Abfrage im Rahmen von nicht ausschließlich persönlichen oder familiären Tätigkeiten automatisiert verarbeitet werden. Tatsächlich dürfte heutzutage wohl jeder, der eine Zeitung auf einem Tablet liest oder soziale Medien auf einem Smartphone verfolgt, eine Verarbeitung personenbezogener Daten mit Hilfe automatisierter Verfahren vornehmen und könnte in den Anwendungsbereich der Richtlinie fallen, soweit dieser Vorgang in nicht ausschließlich privater Eigenschaft ausgeführt wird.”

Auch einem absoluten Recht auf Vergessenwerden erteilte Jääskinen eine klare Absage. Eine Suchmaschine könne die Rechtmäßigkeit der indexierten Informationen gar nicht überprüfen. Sie müsse sich in die Lage des Urhebers der eigentlichen Quelle für die Informationen versetzen und müsse „Funktion als Vermittler zwischen den Nutzern und dem Urheber aufgeben”.


Die Entscheidung des EuGH


Der EuGH schloss sich der Argumentation des Generalanwaltes in weiten Teilen nicht an.

Anwendbarkeit europäischen Datenschutzrechtes
Einigkeit besteht allerdings bei der Frage, ob europäisches Datenschutzrecht auf Google Anwendung findet. Problematisch ist dabei vor allem, dass die eigentliche Datenverarbeitung bei Google nicht von den europäischen Niederlassungen vorgenommen wird – diese sind ausschließlich für die Werbevermarktung zuständig. Sämtliche Datenverarbeitungsprozesse steuert hingegen die amerikanische Google Inc. als Mutterunternehmen.

Dennoch soll auf Rechtsstreitigkeiten über Googles Suchmaschine europäisches Datenschutzrecht anwendbar sein. Maßgebliches Argument dafür ist Art. 4 Abs. 1 a) der Datenschutzrichtlinie 95/46/EG. Danach gilt europäisches Recht auch für Unternehmen außerhalb der EU, wenn die Datenverarbeitung „im Rahmen der Tätigkeiten einer Niederlassung ausgeführt” wird.

Der EuGH führt dazu in den Rz. 55 ff. aus:
„[55] Im Hinblick auf dieses Ziel der Richtlinie [...] ist davon auszugehen, dass die Verarbeitung personenbezogener Daten [...] „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt wird, wenn diese die Aufgabe hat, in dem Mitgliedstaat für die Förderung des Verkaufs der angebotenen Werbeflächen der Suchmaschine, mit denen die Dienstleistung der Suchmaschine rentabel gemacht werden soll, und diesen Verkauf selbst zu sorgen.

[56] Unter solchen Umständen sind nämlich die Tätigkeiten des Suchmaschinenbetreibers und die seiner Niederlassung in dem betreffenden Mitgliedstaat untrennbar miteinander verbunden, da die die Werbeflächen betreffenden Tätigkeiten das Mittel darstellen, um die in Rede stehende Suchmaschine wirtschaftlich rentabel zu machen, und die Suchmaschine gleichzeitig das Mittel ist, das die Durchführung dieser Tätigkeiten ermöglicht.”

Der Umstand, dass die Niederlassung die Datenverarbeitung wirtschaftlich fördert, soll nach Ansicht des EuGH also ausreichen. Schon an dieser Stelle kann man die Argumentation des EuGH kritisch hinterfragen. Denn sie führt zu einer ausufernden Anwendbarkeit europäischen Rechts, die die Richtlinie nicht unbedingt hergibt. Die Richtlinie stellt gerade nicht auf einen beliebigen wirtschaftlichen Zusammenhang zwischen Mutter- und Tochtergesellschaft ab, sondern darauf, dass die Datenverarbeitung „im Rahmen der Tätigkeiten” der Niederlassung vorgenommen wird. Google Spanien selbst verarbeitet aber „im Rahmen seiner Tätigkeit” überhaupt keine Daten.

Verantwortlichkeit von Google
Im nächsten Schritt entfernt sich der EuGH schließlich von der Argumentation des Generalanwaltes. Entgegen dessen Ansicht soll Google sehr wohl „Verantwortlicher” für die Daten im Suchindex sein. In Rz. 28 heißt es dazu:
„[28] Indem er das Internet automatisch, kontinuierlich und systematisch auf die dort veröffentlichten Informationen durchforstet, „erhebt“ der Suchmaschinenbetreiber mithin personenbezogene Daten, die er dann mit seinen Indexierprogrammen „ausliest“, „speichert“ und „organisiert“, auf seinen Servern „aufbewahrt“ und gegebenenfalls in Form von Ergebnislisten an seine Nutzer „weitergibt“ und diesen „bereitstellt“. Diese Vorgänge sind in Art. 2 Buchst. b der Richtlinie 95/46 ausdrücklich und ohne Einschränkung genannt, so dass sie als „Verarbeitung“ im Sinne dieser Bestimmung einzustufen sind, ohne dass es darauf ankommt, ob der Suchmaschinenbetreiber dieselben Vorgänge auch bei anderen Arten von Informationen ausführt und ob er zwischen diesen Informationen und personenbezogenen Daten unterscheidet.”

Dass Google also möglicherweise gar nicht bewusst personenbezogenen Daten crawlt spielt nach Ansicht des EuGH keine Rolle. Maßgeblich ist allein, dass Google zumindest auch personenbezogene Daten erfasst. Argument: Die Datenschutzrichtlinie soll einen umfassenden Schutz bieten.

Diese Argumentation hat etwas für sich, macht es sich aber auch sehr einfach. Denn auch Generalanwalt Jääskinen hat durchaus recht: Die Datenschutzrichtlinie definiert den Begriff des „Verantwortlichen” derart weit, dass überhaupt keine Abgrenzung mehr möglich ist. Letztlich ist danach jeder, der irgendwie mit personenbezogenen Daten in Kontakt kommt, verantwortlich für die Datenverarbeitung – ob er will oder nicht. Eine deutlichere Eingrenzung dieser Definition durch den EuGH wäre hier wünschenswert gewesen.

Die Pflichten zur Löschung der Daten und das Recht auf Vergessenwerden
Schließlich musste der EuGH beantworten, ob Google auch verpflichtet ist, die Daten auf Anfrage aus dem Suchindex zu löschen. Auch hier weicht der EuGH von den Schlussanträgen des Generalanwaltes diametral ab.

Der Hintergrund dieser Frage ist ausgesprochen heikel: Denn Suchmaschinen haben eine Gatekeeper-Funktion. Wer Informationen im Internet sucht, ist auf Suchmaschinen angewiesen. Und auch umgekehrt bieten Suchmaschinen den Betreibern von Webseiten den Zugang zu einem gigantischen Publikum. Die Löschung von Informationen betrifft also gleich drei verschiedene Personengruppen: Die Betroffenen der Datenverarbeitung, die Anbieter von Webseiten und die Nutzer von Suchmaschinen, also die Allgemeinheit.

Dieses Dreiecksverhältnis kommt bei den Ausführungen des EuGH deutlich zu kurz. Ausgangspunkt für die Argumentation des EuGH sind die weitreichenden Pflichten, die eine Verantwortlichkeit für die Verarbeitung von Daten mit sich bringt. Danach hat der Verantwortliche für die Datenverarbeitung „alle angemessenen Maßnahmen” zu treffen, dass alle nicht rechtmäßig verarbeiteten Daten umgehend gelöscht werden (Rz. 72). Nur in Ausnahmefällen soll daher ein berechtigtes Interesse an der Datenverarbeitung einen Löschungsanspruch entfallen lassen (Rz. 81):
„Da sich die Entfernung von Links aus der Ergebnisliste aber je nach der Information, um die es sich handelt, auf das berechtigte Interesse von potenziell am Zugang zu der Information interessierten Internetnutzern auswirken kann, ist in Situationen wie der des Ausgangsverfahrens ein angemessener Ausgleich u. a. zwischen diesem Interesse und den Grundrechten der betroffenen Person aus den Art. 7 und 8 der Charta zu finden. Zwar überwiegen die durch diese Artikel geschützten Rechte der betroffenen Person im Allgemeinen gegenüber dem Interesse der Internetnutzer; der Ausgleich kann in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren kann.”

Und weiter in Rz. 97:
„[97] Da die betroffene Person [...] verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr [...] zur Verfügung gestellt wird, ist [...] davon auszugehen, dass diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit daran, die Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche zu finden, überwiegen. Dies wäre jedoch nicht der Fall, wenn sich aus besonderen Gründen – wie der Rolle der betreffenden Person im öffentlichen Leben – ergeben sollte, dass der Eingriff in die Grundrechte dieser Person durch das überwiegende Interesse der breiten Öffentlichkeit daran, über die Einbeziehung in eine derartige Ergebnisliste Zugang zu der betreffenden Information zu haben, gerechtfertigt ist.”

Die überragende Rolle von Suchmaschinen für den Zugang zu Informationen lässt der EuGH dabei keineswegs außer Betracht: Weil Suchmaschinen Informationen einem großen Publikum zugänglich machen, soll der Eingriff in die Rechte des Betroffenen umso schwerer wiegen (Rz. 80 und 87).

Den dritten Beteiligten, nämlich die Betreiber von Webseiten, lässt der EuGH vollends außen vor. Im Gegenteil: Ob die Veröffentlichung der Daten äußerungs- und presserechtlich zulässig ist, spielt für den Löschungsanspruch gegen Google offenbar keine Rolle. Damit steht der EuGH nicht nur systematisch in fundamentalem Widerspruch zu deutschem Recht (vgl. etwa BGH, Urteil v. 01. Feb. 2011, Az. VI ZR 345/09), auch die Rechtsprechung des EGMR zur „substantiellen” Bedeutung vom Zugang zu archivierten Daten bleibt vollkommen unberücksichtigt. Gerade bei zutreffender kritischer Berichterstattung ist das öffentliche Interesse an Zugang und Verbreitung der Informationen keine untergeordnete Ausnahme, sondern die Regel.


Ein Risiko für kritische Berichterstattung


Die Entscheidung des EuGH in Sachen Google Spain ./. AEPD wird sicher noch Gegenstand vieler ausführlicher Analysen werden. Das Urteil strotzt vor grundlegender Rechtsfragen, die weitreichende Folgen sowohl für Anbieter von Webservices, als auch für ihre Nutzer haben können. Bisweilen fragt man sich, warum einige dieser Fragen dem EuGH nicht schon längst von anderen Gerichten vorgelegt wurden.

Bei der Anwendbarkeit europäischen Datenschutzrechtes und der Verantwortlichkeit der europäischen Google-Niederlassung versucht der EuGH einen Spagat zwischen Recht und Realität. Dabei muss er an die Grenzen des Wortlautes der Datenschutzrichtlinie gehen, um den europäischen Einfluss auf außereuropäische Internetdienste nicht vollständig aufzugeben. Das Ergebnis wirkt etwas bizarr: Eine kleine Niederlassung von Google in Spanien ohne irgendeinen Einfluss auf die Datenverarbeitung in den USA soll „Verantwortlicher” im Sinne der Richtlinie sein. Wo hier die Grenze in vergleichbaren Fällen zu ziehen sein soll bleibt völlig im Dunkeln.

Die Ausführungen des EuGH zu den Löschungspflichten gegen Suchmaschinen lassen wesentliche Argumente außen vor und konzentrieren sich einseitig auf die Interessen des Betroffenen. Die Interessen der Allgemeinheit lässt der EuGH zu pauschal und weitreichend demgegenüber zurückstehen. Und dass auch Betreiber von Webseiten in ihrer Meinungs- und Pressefreiheit beeinträchtigt sein können, unterschlägt der EuGH komplett. „Im Zweifel löschen” ist die Vorgabe des EuGH und damit schafft er ein erhebliches Risiko, dass der Zugang zu kritischer Berichterstattung durch zu weitgehende Löschungsansprüche massiv erschwert wird.

Das Urteil Rs. C-131/12 im Volltext.
Eine lesenswerte Analyse von Dr. Carlo Piltz.
Hans-Peter Lehofer zu der Entscheidung.
Eine Zusammenfassung von Prof. Niko Härting.
Eine weitere Einschätzung von RA Thomas Stadler.
Anzeige:

Kommentare

Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.