Telemedicus

, von

Google Video: Die Hintergründe des Mailänder Strafurteils

Volltext der Mailänder Entscheidung liegt vor – Google-Mitarbeiter wg. Datenschutzverstoß verurteilt

Am 24. Februar 2010 hat ein Mailänder Strafgericht drei leitende Mitarbeiter von Google Italy und Google Inc. zu mehrmonatigen Haftstrafen auf Bewährung verurteilt (Telemedicus berichtete). Es wurde im Nachgang zu dieser Verurteilung viel über die genauen Umstände des Falles spekuliert. Nun liegt uns der 111-seitige Volltext des Tribunale Ordinario di Milano vor. Zusammen mit dem italienischen Rechtsanwalt Dr. Guido Marangoni haben wir die tragenden Gründe der Entscheidung untersucht, gegen die die Verurteilten bereits Rechtsmittel eingelegt haben.
Der Sachverhalt

Am 8. September 2006 hatten Jugendliche bei Google Video Italy einen Clip hochgeladen, in dem zu sehen war, wie sie einen am Down-Syndrom erkrankten Mitschüler tyrannisierten. Das Video wurde daraufhin auf Googles Video Plattform recht schnell zum „unterhaltsamsten Video” gewählt und wies vierstellige Abrufzahlen auf.

Am 06. November 2006 gingen aus Nutzerkreisen bei Google entsprechende Hinweise auf das Video ein. Eine Nutzerin verlangte die Löschung des Clips. Noch einen weiteren Tag später, am 07. November 2006, verlangte schließlich auch die Polizei von Rom die Löschung des Videos. Noch am selben Tage wurde es Google entfernt.

Die Anklagepunkte

Der Fall erregte die italienische Öffentlichkeit. Es wurde vielfach die Frage nach der Verantwortlichkeit von Google bei der Veröffentlichung eines Videos gestellt, das Persönlichkeitsrechte verletzt.

Schließlich erhob die Mailänder Staatsanwaltschaft Anklage gegen vier leitende Mitarbeiter von Google: Der damalige Chef von Google Italy David Drummond, der damalige Chef von Google Video Europa, Arvind Desikan, und der Datenschutzbeauftragte von Google Inc., Peter Fleischer, sowie George De Los Reyes, der damalige Finanzchef von Google Italy, wurden wegen Verleumdung angeklagt. Drummond, Fleischer und De Los Reyes sahen sich darüber hinaus noch mit dem Vorwurf der rechtswidrigen Datenverarbeitung konfrontiert.

Nach Ansicht der Staatsanwaltschaft hätte Google organisatorische Vorkehrungen treffen müssen, um sicherzustellen, dass solche Videos nicht veröffentlicht werden. Google verdiene jedoch an jedem Klick Geld, sodass das Unternehmen de facto kein Interesse daran habe, prominente, aber rechtsverletzende Videos zu verhindern oder zu entfernen. Dass Google letztendlich reagiert hat, sei auf den Druck der Presse, nicht auf die Kooperationsbereitschaft zurückzuführen gewesen.

Freispruch vom Vorwurf der Verleumdung

Der Mailänder Richter Oscar Magi sprach die vier Angeklagten im ersten Anklagepunkt wegen Verleumdung frei. In der Urteilsbegründung heißt es, dass das geltende italienischen Recht keine Pflicht zur inhaltlichen Vorabkontrolle von Videos hinsichtlich ehrverletzender Äußerungen vorsehe. Insoweit könne auch keine Zuwiderhandlung der Angeklagten gegen eine solche Pflicht angenommen werden. Die Staatsanwaltschaft war zuvor von einer solchen Verpflichtung zur präventiven inhaltlichen Vorabkontrolle ausgegangen. Nach Ansicht von Richter Magi könnten sich nach derzeitiger Rechtslage jedoch allein die Uploader des Videos der Verleumdung strafbar gemacht haben.

Datenschutzverletzung durch Google

Beim zweiten Vorwurf, der fahrlässigen rechtswidrigen Datenverarbeitung, sah das Mailänder Gericht die Sache jedoch anders. Nach dem italienischen Datenschutzrecht bedarf eine Veröffentlichung personenbezogener Daten einer Erlaubnis der Betroffenen. Vorliegend sah das Gericht in der konkreten Darstellung des am Down-Syndrom erkrankten und drangsalierten Mitschülers eine Veröffentlichung besonders sensibler personenbezogener Gesundheitsdaten. Hierfür hätte eine ausdrückliche Erlaubnis der Eltern vorliegen müssen, an der es aber natürlich fehlte.

Nach Ansicht des Vorsitzenden Richters Magi hätte sich Google Italy zumindest versichern lassen müssen, dass den Uploadern des Videos eine solche Erlaubnis der Eltern vorgelegen hat. Dies habe Google in fahrlässiger Weise verabsäumt bzw. nicht die gebotenen Vorkehrungen hierfür getroffen, so das Gericht weiter. In den Nutzungsbedingungen versichern die User zwar, dass sie nur legales Material auf die Plattform hochladen. Diese bloße Zustimmung zu den AGBs reiche aber vor dem Hintergrund des italienischen Datenschutzrechts nicht aus. Demnach bedürfe es nämlich zum einen einer ausdrücklichen datenschutzrechtlichen Belehrung. Zum anderen müsste eine ausdrückliche Erklärung darüber erfolgen, dass dem Nutzer beim Upload die Zustimmung aller im Video auftretenden Personen zur Veröffentlichung ihrer personenbezogenen Daten vorliegt. Die Zustimmung zu den Nutzungsbedingungen von Google Video könne einen solchen Erklärungsakt insbesondere deshalb nicht ersetzen, weil die Nutzungsbedingungen äußerst schwer verständlich formuliert seien.

Google müsse durch ein „effektives Verfahren” gewährleisten, dass es bei der Veröffentlichung von Videos zu keinen Datenschutzverletzungen komme. Jedoch stellt Richter Magi hierbei nochmals klar, dass er mit dem geforderten effektiven Verfahren keine pro-aktiven Vorabprüfungspflichten meint. Ob jedoch neben der Zustimmung zu den Nutzugsbedingungen die geforderte Abgabe einer zusätzlichen datenschutzrechtlichen Erklärung tatsächlich geeignet ist, Rechtsverletzungen effektiver entgegenzutreten, erscheint zumindest fragwürdig.

Gericht: Google handelt mit Gewinnerzielungsabsicht

Für eine strafrechtliche Verurteilung aufgrund einer Datenschutzverletzung ist es nach italienischem Recht tatbestandlich zudem notwendig, dass mit Gewinnerzielungsabsicht gehandelt worden ist. Hier wird relevant, dass Google – nach Ansicht des Gerichts – mit dem streitbefangenen Video letztlich indirekt über Werbeschaltungen Geld verdienen wollte.

Google bestreitet auf Nachfrage jedoch, dass im fraglichen Zeitraum der Videoveröffentlichung überhaupt Werbung auf Google Video Italy geschaltet gewesen sei. Allerdings soll es den Gerichtsakten zufolge im Laufe des Jahres 2006 mehrere Anzeigenkampagnen von großen Mode- und Kosmetikmarken auf Google Video Italy gegeben haben.

Zudem sei dem behinderten Jugendlichen mit den unrechtmäßig bei Google Video Italy verarbeiteten Daten ein Schaden zugefügt worden. Somit ist auch das letzte Tatbestandsmerkmal der im italienischen Datenschutzrecht einschlägigen Strafvorschrift erfüllt, so das Gericht.

Die Verurteilung

Doodle zum Jahrestag der Republik Italien 2003
© Google

Schließlich verurteilte Richter Magi die drei Angeklagten Drummond, Fleischer und De Los Reyes wegen fahrlässiger rechtswidriger Datenverarbeitung zu einer Haftstrafe von sechs Monaten, die er zur Bewährung aussetzte. Denn nach italienischem Recht haften die verantwortlichen Führungskräfte strafrechtlich für die Verfehlungen ihres Unternehmens.

Die drei Google-Mitarbeiter haben Rechtsmittel gegen die Entscheidung eingelegt. Wann das höchste italienische Strafgericht in nächster Instanz in der Sache entscheiden wird, ist noch nicht absehbar.

Kein Organisationsverschulden wegen verzögerten Löschens

Nach der Verkündung des Urteils im Februar gab es Hinweise darauf, dass Google womöglich frühe erste Beschwerden bezüglich des Videos nur mit starker Verspätung bearbeitet haben soll. Vielfach – auch bei Telemedicus – wurde zunächst vermutet, dass es hierbei zu einer schuldhaften Verzögerung gekommen sein könnte. Hierfür finden sich in den mehr als 100 Seiten der Urteilsbegründung allerdings keine Anhaltspunkte. Vielmehr ist es der Gerichtsentscheidung zufolge so, dass die Existenz einer vermeintlichen ersten Nachricht an Google durch einen Blogger am 05. November 2006 nicht bewiesen werden konnte und daher für die Entscheidung des Gerichts keine weitere Bedeutung hatte.

Google sieht die freie Meinungsäußerung im Netz in Gefahr

Google wiederholte gegenüber Telemedicus die Einschätzung, wonach das Urteil eine massive Gefahr für die Meinungsfreiheit im Internet darstelle. Durch solche Haftungsverschärfungen, wie nun mit dem Mailänder Urteil, sei das gesamte Modell des „user generated content” und damit eine wesentliche Errungenschaft des Internets in Gefahr.

Unsicherheit unter Web 2.0-Anbietern

Die Mailänder Entscheidung stellt – soweit ersichtlich – die erste strafrechtliche Verurteilung von Mitarbeitern einer Web 2.0-Plattform wegen dort durch Nutzer veröffentlichte Inhalte dar. Und zwar für solche Inhalte, mit deren Veröffentlichung und Rechtswidrigkeit die Verurteilten persönlich in keiner direkten Verbindung stehen. Dies könnte europaweit zu einer Vergrößerung der Rechtsunsicherheit bei Haftungsfragen für Netzinhalte führen.

Wäre die vom Gericht geforderte datenschutzrechtliche Belehrung und Erklärung beim Upload des Videos platziert gewesen, hätte es tatbestandlich wohl keine strafbewehrte Datenschutzverletzung gegeben. An den tragischen Konsequenzen für den behinderten Jugendlichen hätte das nichts geändert. Wahrscheinlich aber am Schicksal jener drei verurteilten Google Mitarbeiter. Ein Umstand, der nicht unbedingt auf Anhieb überzeugen mag.

Vielfach war spekuliert worden, dass das Mailänder Gericht womöglich entgegen der europäischen E-Commerce-Richtlinie pro-aktive Vorabkontrollpflichten von Google eingefordert hätte. Dies ist allem Anschein nach jedoch nicht der Fall.

Keine Haftungsprivilegien beim Datenschutz?

Die E-Commerce-Richtlinie (2000/31/EG) legt in Artt. 14 und 15 Haftungsprivilegierungen für das Hosting von nutzergenerierten Inhalten fest. Demnach haften Hosting-Anbieter für solche Inhalte erst ab Kenntnis ihrer Rechtswidrigkeit. Wobei die Hoster auch nicht dazu verpflichtet werden dürfen, aktiv selbst nach Rechtsverstößen Ausschau halten zu müssen.

Jedoch findet die E-Commerce-Richtlinie auf den Bereich des Datenschutzes keine Anwendung. Denn hier trifft die europäische Datenschutz-Richtlinie (95/46/EG) abschließende Regelungen. Dies geht zugegebenermaßen etwas kryptisch aus Art. 1 Nr. 5 lit. b E-Commerce-RL hervor:

Artikel 1
Zielsetzung und Anwendungsbereich

[…]

(5) Diese Richtlinie findet keine Anwendung auf
[…]
b) Fragen betreffend die Dienste der Informationsgesellschaft, die von den Richtlinien 95/46/EG und 97/66/EG erfaßt werden,

[…]

Eine Stellungnahme der europäischen Art. 29-Datenschutzgruppe aus 2009 sieht zudem vor, dass Social Network-Angebote vollumfänglich der Datenschutz-Richtlinie unterfallen. Allerdings bietet diese EU-Richtlinie keine ausdrücklichen Privilegierungen bei der Haftung für nutzergenerierte Inhalte. Vielmehr ist dort zunächst immer die datenverarbeitende Stelle in der Verantwortung. Gemäß Art. 2 lit. d der Datenschutz-Richtlinie ist diese verarbeitende Stelle grundsätzlich die Person, die die Entscheidung über die Datenverarbeitung trifft.

Artikel 2
Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

[…]

d) „für die Verarbeitung Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;

[…]

Wer ist verarbeitende Stelle von personenbezogenen Daten Dritter im Web 2.0?

Wer bei der Veröffentlichung personenbezogener Daten Dritter durch Nutzer auf einer Web 2.0-Plattform verarbeitende Stelle ist, ist strittig. Zum einen kann diese Rolle der Plattformbetreiber übernehmen, zum anderen der jeweilige Nutzer, der die Daten hochläd, oder auch letztlich beide gemeinsam.

Die Artikel 29-Datenschutzgruppe weist in der bereits genannten Stellungnahme daraufhin, dass auch Nutzer von Social Networks datenschutzrechtlich haftbar gemacht werden können, wenn sie personenbezogene Daten Dritter rechtswidrig veröffentlichen. Denn bei der Veröffentlichung von personenbezogenen Daten Dritter würden die entsprechenden Nutzer demnach als verarbeitende Stelle im Sinne der Richtlinie gelten. Allerdings ist diese Einschätzung der Artikel 29-Datenschutzgruppe nicht bindend und trifft auch keine abschließende Aussage darüber, ob die Nutzer dann jeweils alleinig zur verarbeitenden Stelle werden.

Ferner wird für die Option „Nutzer als verarbeitende Stelle” ein Argument direkt aus Art. 2 lit. d Datenschutz-Richtlinie angeführt. So könne ein Plattformbetreiber nur dann haftungsrechtlich Entscheidungen treffen, wenn er die Umstände der Datenverarbeitung kennt. Aber genau daran mangelt es überwiegend bei nutzergenerierten Inhalten. Insofern könne nur der Nutzer datenverarbeitende Stelle sein. Andererseits speichert der Plattformbetreiber aber gewiss die Daten und verarbeitet sie somit jedenfalls faktisch. Ebenso hat er über das Bereithalten der Uploadmöglichkeit sicherlich auf gewisse Parameter der Datenverarbeitung Einfluss.

Als vermittelnde Lösung wäre denkbar, dass zwar der Plattformbetreiber verarbeitende Stelle ist, aber bei haftungsrechtlichen Ansprüchen in den Genuss der Privilegierungen der E-Commerce-Richtlinie kommen soll. Dann würde er lediglich für datenschutzspezifische Ansprüche wie solche auf Löschung oder Auskunft in der Verantwortung bleiben. Dies ist allerdings nirgends auf europäischer Ebene gesetzlich geregelt. Und auch nach deutschem Recht ist die Einordnung derzeit ebenso wenig klar vorzunehmen.

Man kann also zumindest Zweifel daran hegen, ob Google Video Italy im vorliegenden Fall überhaupt die verarbeitende Stelle gewesen ist.

Klarstellung der europäischen Haftungsregeln notwendig

Diese in weiten Teilen unklare Rechtslage bringt ein immenses Haftungsrisiko mit sich. Dies kann sich anscheinend sogar in Form von strafrechtlichen Sanktionen gegen Mitarbeiter eines Plattformbetreibers realisieren. Letztlich kann also der ursprünglich über die E-Commerce-Richtlinie ausdrücklich privilegierte Hoster unter Umständen doch auch ohne Kenntnis für (datenschutzrechtlich) unzulässige Nutzerinhalte haftbar gemacht werden. Eine für Web 2.0-Angebote in der Tat schädliche Entwicklung.

Auf Googles Videoplattformen laden Nutzer nach Angaben von Google weltweit jede Minute im Durchschnitt 24 Stunden Videomaterial hoch. Hierbei eine lückenlose inhaltliche Kontrolle vorzunehmen, erscheint schon aufgrund der Menge an Content aussichtslos. Und letztlich kann der Hoster ja auch gar nicht prüfen, ob stets eine wirksame datenschutzrechtliche Einwilligung zur Verarbeitung der Daten vorliegt.

Ein solches Haftungsrisiko kann in der Tat deutliche Auswirkungen auf die Angebotsstruktur von Web 2.0-Diensten haben. Deswegen sollte die Mailänder Entscheidung nicht zuletzt in ganz Europa den Fokus auf die (datenschutzrechtlichen) Haftungsprobleme bei Web 2.0-Anwendungen lenken. Denn dort wird dringend eine verlässlichere gesetzliche Lösung benötigt.

Berichterstattung der NYT über die Urteilsbegründung (Englisch).

Eine sehr treffsichere erste Einschätzung der italienischen Juristin Elvira Berlingieri (Englisch).

Zum europarechtlichen Hintergrund des Mailänder Verfahrens bei out-law.com (Englisch).

Telemedicus zu ersten Reaktionen nach der Verurteilung.

, Telemedicus v. 27.04.2010, https://tlmd.in/a/1716

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

In Kooperation mit

Kommunikation & Recht

Hosting

Domainfactory