Veröffentlicht am Kategorien News, Politik, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, Recht, Software, UrteileTags , , , , , , , , , , , , , , , , , , , , , , , , ,

Google-Urteil des EuGH: Datenschutz und Informationsfreiheit

IITR Information[IITR – 2.6.14] Der EuGH hat mit Urteil vom 13.5.2014 (Az.: C – 131/12) (Volltext der Entscheidung / Pressemitteilung zu der Entscheidung) festgestellt, dass „der Betreiber einer Internetsuchmaschine […] bei personenbezogenen Daten, die auf von Dritten veröffentlichten Internetseiten erscheinen, für die von ihm vorgenommene Verarbeitung verantwortlich ist“. Google hat inzwischen reagiert und ein Online-Antragsformular für die Löschung datenschutzwidriger Inhalte zur Verfügung gestellt. Ferner möchte das Unternehmen einen europäischen Datenschutz-Beirat einrichten.

Die kurz vor der Wahl des europäischen Parlaments verkündete Entscheidung hat bei vielen Datenschützern für Überraschung gesorgt, da die Entscheidung deutlich über die Empfehlungen des Generalanwalts hinausging.

Dem Urteil zu Grunde lag das Verfahren eines spanischen Bürgers, der sich gegen Google Spain und Google Inc. mit der Begründung wandte, ein bei Eingabe seines Namens erscheinender Bericht über finanzielle Schwierigkeiten aus dem Jahr 1998 stelle einen Verstoß gegen datenschutzrechtliche Vorgaben dar. Seiner Ansicht nach sei der Bericht inhaltlich zwar zutreffend, allerdings die Verlinkung des Jahre zurückliegenden Sachverhalts durch Google datenschutzwidrig.

Google indexiert Internet-Seiten. Aufgrund einer Sucheingabe reicht Google die gefundenen Seiten nach Relevanz sortiert an den Anfragenden zurück. Diesen Dienst stellt Google derzeit in allen größeren Ländern – außer China – zur Verfügung.

Konsequenz 1: Datenschutz vs. Informationszugang

Die bisherigen Reaktionen auf das Urteil waren gemischt. Kernpunkt der Kritik ist zumeist die mit dem Urteil einhergehende Ablösung eines auf technischen Kriterien beruhenden Verfahrens zur Anzeige von Suchergebnissen durch ein wertendes Verfahren, welches zwischen Informationsfreiheit und Datenschutz einen angemessenen Ausgleich finden soll.

Exemplarisch seien hierzu folgende Beiträge genannt:

Praktisch dürfte das Urteil damit dazu führen, dass Suchmaschinenbetreiber zur Vermeidung von Rechtsstreitigkeiten zur genauen Abwägung im Zweifel eher dem Sperrungsverlangen nachkommen und daher die Möglichkeiten des freien Informationszugangs nicht angemessen berücksichtigt werden. Als Alternative prüft die Bundesregierung derzeit die Einrichtung einer staatlichen Schlichtungsstelle für diese Fälle, was wiederum auf Kritik stoßen dürfte.

Es ist zudem fraglich, ob das gegen Google gerichtete Urteil nicht im Ergebnis so hohe Anforderungen an Suchmaschinenbetreiber stellt, dass nur bereits etablierte Unternehmen wie Google überhaupt in der Lage sein können, diese in der Praxis umzusetzen und damit die Markteintrittshürden für kleinere Suchmaschinenbetreiber letztlich zu erhöhen.

Ob das Urteil zudem das häufig geforderte „Recht auf Vergessenwerden“ eingeführt hat, bleibt mangels klarer Begrifflichkeit ebenso fraglich (vgl. vertiefend die Ausführungen hier). Einige Fallbeispiele zur Datensperrung nach dem Urteil können Sie hier nachlesen.

Konsequenz 2: Sitzlandprinzip vs. Marktortprinzip

Eine weitere Konsequenz aus dem Urteil stellt die faktische Abkehr vom bisher vorherrschenden Modell des Sitzlandprinzips (Art. 4 der EU-Datenschutzrichtlinie 95/46/EG) dar, wonach sich die Anwendbarkeit nationaler Datenschutzvorgaben im Grundsatz nach den „Verarbeitungen personenbezogener Daten (…) [bemisst,] die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden“.

Der EuGH führt dazu aus: „Das Argument, die von Google Search vorgenommene Verarbeitung personenbezogener Daten werde nicht im Rahmen der Tätigkeiten dieser Niederlassung in Spanien ausgeführt, (…) [wird] mit folgender Begründung (…) [zurückgewiesen]: Bei der Verarbeitung personenbezogener Daten zum Betrieb einer Suchmaschine durch ein Unternehmen mit Sitz in einem Drittstaat, das aber in einem Mitgliedstaat eine Niederlassung besitzt, wird die Verarbeitung im Sinne der Richtlinie „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt, wenn diese die Aufgabe hat, in dem betreffenden Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine, mit denen deren Dienstleistung rentabel gemacht werden soll, und diesen Verkauf selbst zu sorgen.“

Damit gilt für Suchmaschinen im Ergebnis das „Marktortprinzip“. Betreiber von Suchmaschinen müssen sich in Europa daher nach Ansicht des EuGH in diesen Fällen hinsichtlich der Datenverarbeitung auch durch die Konzernmutter nach dem jeweils nationalen Datenschutzgesetz richten.

Dies wirft – neben Fragen der Unternehmenswirklichkeit, der Rechtssicherheit, der Transparenz und der Durchsetzbarkeit – auch den Aspekt auf, was genau unter einer „Suchmaschine“ zu verstehen ist und ob die dargelegten Grundsätze nicht letztlich auch auf andere Unternehmen Anwendung finden können. Nationale Tochtergesellschaften/Niederlassungen ausländischer Konzerne liefen so Gefahr, für sämtliche Datenverarbeitungsvorgänge auch am Sitz der Muttergesellschaft datenschutzrechtlich zur Verantwortung gezogen zu werden.

Ferner ist damit offen, ob sich der datenschutzrechtliche Anspruch nur auf Europa beschränkt oder letztlich jede einen europäischen Bürger betreffende Datenverarbeitung erfasst werden soll.

Auch könnte das zuletzt gefällte Urteil in Sachen Facebook-Fanpages nach dem EuGH-Urteil überholt sein und deutsches Datenschutzrecht Anwendung finden (vgl. vertiefend „Datenschützer als Zensurbehörde?„).

Konsequenz 3: Datenschutz-Intention führt zu paralleler Sperr-Datenbank

Eine weitere (bislang noch nicht breit diskutierte) Konsequenz des Urteils ist zudem der notwendige Aufbau einer parallelen „Sperr-Datenbank“. Da die Suchmaschinenbetreiber verpflichtet sind, die beanstandeten Inhalte nicht mehr zur Anzeige zu bringen, muss diese Information in einer separaten Datenbank gespeichert werden. Dieser Effekt („Datenschutz führt zu umfangreicher Datenspeicherung“) dürfte gerade in dem vorliegenden Zusammenhang zum Tragen kommen. Daher wird im Ergebnis zukünftig nicht nur eine Plattform zur Verfügung stehen, welche Informationen für die Allgemeinheit bereit hält, sondern zusätzlich eine Datenbank angelegt, welche dieser Angaben aus Datenschutzgründen nicht mehr angezeigt werden dürfen.

Konsequenz 4: Europäische Datenschutzgrundverordnung erforderlich oder entbehrlich?

Unterdessen ist auch eine Diskussion entstanden, ob eine europäische Datenschutzgrundverordnung zur Schaffung eines einheitlichen Datenschutzrechts angesichts der durch das Urteil entstandenen Rechtsfragen nun zeitnah angezeigt oder im Gegenteil entbehrlich sei, wie der Hessische Datenschutzbeauftragte Herr Professor Dr. Michael Ronellenfitsch in einem Interview ausführt.

Fazit

Das Urteil des EuGH führt zu einem Konflikt zwischen datenschutzrechtlichen Vorgaben und dem Anspruch auf freien und globalen Zugang zu Informationen, der nicht nur von Juristen geführt sondern gesamtgesellschaftlich diskutiert werden sollte. Durch das Urteil verschärft sich auf Kosten der Unternehmen der politisch bislang ungelöste Konflikt, welchem Datenschutzrecht außereuropäische Unternehmen verpflichtet sind und wie diese Vorgaben durchgesetzt werden können. Unternehmen sind derzeit gut beraten, sich im Rahmen ihrer jeweiligen Möglichkeiten um die Einhaltung lokaler Datenschutzvorgaben zu bemühen.

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.