Datenschutzrechtliche Verantwortlichkeit von Suchmaschinenbetreibern – Generalanwalt beim EuGH stellt Schlussanträge zu Löschpflichten von Google
Mehr als 15 Jahre ist es her, dass eine spanische Zeitung über die Zwangsversteigerung des Hauses eines Spaniers berichtet hatte. Noch im Jahre 2009 waren die entsprechenden Artikel bei Google auffindbar. Vor wenigen Tagen, am 25.6.2013, hat der finnische Generalanwalt beim EuGH seinen Schlussantrag in dem daraus resultierenden Verfahren vor dem EuGH (C-131/12) eingereicht, das die spanische Datenschutzbehörde (AEPD) gegen Google anhängig gemacht hatte. Der Fall betrifft drei der derzeit wohl heißesten Eisen des Datenschutzrechts, nämlich:
- die Erstreckung des EU-Rechts auf Anbieter aus Drittstaaten,
- die Verantwortlichkeit von Suchmaschinenbetreibern für Drittinhalte sowie
- das „Recht auf Vergessenwerden“, den sog. „digitalen Radiergummi“.
Der Fall
Eine spanische Zeitung hatte im Jahre 1998 in ihrer Print-Ausgabe und später auch in ihrer Online-Ausgabe über einen spanischen Bürger, Herrn Costeja González, unter Verwendung seiner personenbezogenen Daten berichtet. Die entsprechenden Beiträge waren auch nach vielen Jahren noch über die Google-Suchmaschine auffindbar. Herr González möchte verhindern, dass bei Eingabe seines Namens bei Google die entsprechenden Suchergebnisse angezeigt werden.
Das Löschungsverlangen hatte Herr Gonzáles zunächst an die nationale Google Gesellschaft, die Google Spain SL, gerichtet. Diese hatte sich u.a. darauf berufen, nicht für den Betrieb der Suchmaschine verantwortlich zu sein, da diese von der kalifornischen Google Inc. betrieben werde.
Mit seinem Vorgehen gegen den Verleger der Zeitung war Herr Gonzáles erfolglos geblieben, da sich diese auf das Medienprivileg berufen konnte (siehe dazu im deutschen Recht § 41 BDSG, näher erläutert von Plath/Frey in: Plath, BDSG, § 41 Rz. 4 ff.). Indes entschied die von Herrn González um Hilfe gebetene spanische Datenschutzbehörde (AEPD), dass Google Spain SL sowie Google Inc. zur Löschung verpflichtet seien. Nachdem Google gegen diese behördliche Entscheidung gerichtlich vorgegangen war, hat das zuständige spanische Gericht (Audiencia Nacional) den Fall dem EuGH zur Vorabentscheidung nach Art. 267 AEUV vorgelegt.
Die Rechtsfragen
Im Zentrum des Falles stehen drei Fragen:
- Territorialität: Unter welchen Voraussetzungen unterliegen international agierende Submaschinenbetreiber dem EU Datenschutzrecht?
- Verantwortlichkeit: Ist ein Submaschinenbetreiber als „verantwortliche Stelle“ datenschutzrechtlich für die von ihm dargestellten Suchergebnisse verantwortlich?
- Löschungspflichten: „Besteht ein „Recht auf Vergessenwerden“ der Betroffenen?
Zu Frage 1: Empfehlung zur Territorialität
Die Frage des territorialen Anwendungsbereichs richtet sich nach Art. 4 Abs. 1 lit. a) der EU-Datenschutz-RL. Danach ist das jeweils nationale Datenschutzrecht der Mitgliedsstaaten anwendbar, wenn die verantwortliche Stelle eine Niederlassung in dem betreffenden Mitgliedsstaat der EU unterhält und diese dort eine „Verarbeitung“ personenbezogener Daten vornimmt. Das Thema ist für sämtliche der international agierenden Internet-Unternehmen von zentraler Bedeutung. Google hatte sich damit verteidigt, dass die Google Spain SL lediglich Werbeplätze vermarkten würde, jedoch nicht für die Datenverarbeitung verantwortlich sei.
- Technische Verantwortung offen gelassen:
Überraschenderweise hat der Generalanwalt ausdrücklich offen gelassen, welche Gesellschaft des Google-Konzerns konkret für die Datenverarbeitung im technischen Sinne verantwortlich ist (vgl. Rz. 63 des Schlussantrags) (vgl. in diesem Zusammenhang auch die Entscheidungen zur Verantwortlichkeit im Facebook-Konzern: OVG Schleswig, Beschl. v. 22.04.2013 - 4 MB 10/13 und 4 MB 11/13). Offenbar hat er vor dieser zugegebenermaßen sehr schwierigen Frage schlicht kapituliert (vgl. zu den Auslegungsfragen auch die Stellungsnahmen der Art. 29-Datenschutzgruppe "zu Datenschutzfragen im Zusammenhang mit Suchmaschinen", WP 148, Nr. 1/2008 v. 4.4.2008 und "zum anwendbaren Recht"", WP 179, Nr. 8/2010 v. 16.12.2010).
- Wertende Betrachtung des Google-Konzerns:
Vielmehr hat der Generalanwalt eine wertende Betrachtung angelegt, wonach der Google-Konzern als „eine Einheit“ (single unit) zu betrachten sei (vgl. Rz. 66 des Schlussantrags). Vor dem Hintergrund dieser – sehr gewagten – Einschätzung hat der Generalanwalt dann die Empfehlung ausgesprochen, dass es für die Anwendbarkeit des EU-Datenschutzrechts bereits ausreichend sei, „wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Bewohner dieses Staats richtet“ (vgl. Rz. 68 des Schlussantrags). Wie der Generalanwalt klargestellt hat, soll dies selbst dann gelten, wenn die eigentliche „technische Datenverarbeitung“ in Drittstaaten wie z.B. den USA erfolgt.
Zu Frage 2: Empfehlung zur Verantwortlichkeit
Im zweiten Themenkomplex hat sich der Generalanwalt mit der Frage auseinandergesetzt, ob ein Suchmaschinenbetreiber überhaupt als datenschutzrechtlich „verantwortliche Stelle“ angesehen werden kann.
- Grundsatz:
Im Ergebnis, so der Generalanwalt, sei dies grundsätzlich nicht der Fall (vgl. Rz. 89f. des Schlussantrags).
Eine andere Bewertung sei zwar ausnahmsweise angezeigt, wenn es der Suchmaschinenbetreiber versäume, eine im Cache gespeicherte Verlinkung auf eine überholte Website zu aktualisieren oder gegen die Anweisungen des Betreibers der verlinkten Website (z.B. in Form von „exclusion codes“, also dem Befehl, eine Quellenwebseite nicht zu indexieren) verstoße (vgl. Rz. 91 des Schlussantrags). Ansonsten aber übe der Suchmaschinenbetreiber keine hinreichende „Kontrolle“ über die personenbezogenen Daten aus und sei daher datenschutzrechtlich auch nicht verantwortlich.
- Begründung:
Die Wertung des Generalanwalts beruht vor allem auf der Feststellung, dass Google technisch gar nicht in der Lage sei, zwischen personenbezogenen und sonstigen Daten zu unterscheiden (vgl. Rz. 86 des Schlussantrags). Dieses – hier fehlende – Wissen um die Natur personenbezogener Daten sei jedoch ein wesentliches Element, um die datenschutzrechtliche Verantwortlichkeit eines Unternehmens zu begründen.
- Ergebnis: Keine datenschutzrechtliche Verantwortlichkeit
Daher, so der Generalanwalt folgerichtig, seien die nationalen Datenschutzbehörden auch nicht berechtigt, die Löschung von Suchergebnissen anzuordnen. Der Generalanwalt hat jedoch und zu Recht darauf hingewiesen, dass die Geltendmachung zivilrechtlicher Unterlassungsansprüche selbstverständlich unberührt bleibt (vgl. Rz. 99 des Schlussantrags).
Zu Frage 3: Empfehlung zum „Recht auf Vergessenwerden“
Im dritten Themenkomplex hat sich der Generalwalt der Frage gewidmet, ob aus den Artikeln 12(b) und 14(a) der EU-Datenschutz-RL ein „Recht auf Vergessenwerden“ abgeleitet werden kann. Gemeint ist damit ein absolutes Recht der Betroffenen, unter dem sie stets und weitgehend frei von weiteren Anforderungen die Löschung ihrer personenbezogenen Daten verlangen dürften.
- Kein absolutes „Recht auf Vergessenwerden“ nach EU-Datenschutz-RL:
Art. 12(b) der EU-Datenschutz-RL regelt den Anspruch auf Löschung u.a. von unvollständigen bzw. unrichtigen Daten (zur Umsetzung in § 35 BDSG siehe Kamlah in: Plath, BDSG, § 35 Rz. 9 ff.). Art. 14(a) der EU-Datenschutz-RL regelt ein Widerspruchsrecht der Betroffenen, das allerdings an eine Interessenabwägung geknüpft ist. Aus dem Umkehrschluss dieser Regelungen, die eine Löschung an bestimmte Bedingungen knüpfen, hat der Generalanwalt das – zutreffende – Ergebnis abgeleitet, dass die EU-Datenschutzrichtlinie kein absolutes „Recht auf Vergessenwerden“ vorsieht (vgl. Rz. 111 des Schlussantrags). Darüber hinaus, so der Generalanwalt, folge ein „Recht auf Vergessenwerden“ auch nicht aus der EU-Grundrechtecharta.
- Kein Anspruch gegenüber Suchmaschinenbetreibern:
Insbesondere bestehe ein solches Recht nicht generell gegenüber Suchmaschinenbetreibern, denn diese seien – anders als die datenschutzrechtlich verantwortlichen Betreiber der verlinkten Websites – faktisch gar nicht in der Lage, die datenschutzrechtlich erforderliche Interessenabwägung vorzunehmen (vgl. Rz. 109 des Schlussantrags).
Stellungnahme zu den Empfehlungen des Generalanwalts
- Territorialität bei „Konzernzurechnung“?
Ganz offenbar beruht die Empfehlung des Generalanwalts zur Frage der Territorialität auf einer ergebnisorientierten Bewertung. Ziel war es zunächst, die Betätigung von Google in Spanien dem EU Datenschutzrechtregime zu unterwerfen. Dies mag man begrüßen oder kritisieren. Der gewählte Ansatz überzeugt aber letztlich nicht. Denn entweder nimmt die spanische Gesellschaft eine eigene Datenverarbeitung i.S.d. der EU-Datenschutz-RL vor, oder dies ist gerade nicht der Fall. Ist eine solche Datenverarbeitung nicht konkret nachweisbar, so widerspricht es den Grundsätzen des EU-Datenschutzrechts, einem Unternehmen (hier der spanischen Gesellschaft) die Datenverarbeitung eines anderen Konzernunternehmens (hier der Google Inc.) schlicht zuzurechnen (zur Frage der gemeinsamen Verantwortlichkeit mehrerer Stellen siehe Plath/Schreiber in: Plath, BDSG, § 3 Rz. 69). Denn in die andere Richtung, wenn es also darum geht, eine Datenverwendung innerhalb eines Konzerns zu rechtfertigen, gilt schließlich der Grundsatz, dass das Datenschutzrecht gerade kein „Konzernprivileg“ kennt, welches den Unternehmen einen freien Datenaustausch ermöglichen würde.
- Verantwortlichkeit mit Ausnahmen:
Hinsichtlich des zweiten Themenkomplexes der „Verantwortlichkeit“ ist das Ergebnis insoweit überraschend, als der Generalanwalt in dem Betrieb einer Suchmaschine zwar eine „Verarbeitung“ personenbezogener Daten erkannt hat, jedoch die Rolle des Suchmaschinenbetreibers als „verantwortliche Stelle“ verneint hat. Zu Ende gedacht, führt dies zu dem Ergebnis, dass es durchaus – und zwar auch außerhalb der Auftragsdatenverarbeitung nach § 11 BDSG – Unternehmen geben kann, die zwar personenbezogene Daten verarbeiten, die dafür jedoch rechtlich nicht verantwortlich sind. Auf den ersten Blick widerspricht dies dem fundamentalen Grundsatz des EU-Datenschutzrechts, wonach Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig sind, soweit entweder das Gesetz dies erlaubt oder eine Einwilligung vorliegt (vgl. für das deutsche Recht § 4 Abs. 1 BDSG). Auf den zweiten Blick sind die Überlegungen des Generalanwalts aber doch nachvollziehbar, jedenfalls wenn man es vom Ergebnis her betrachtet, denn bei anderer Auslegung wäre – wie ein Beispiel des Generalanwalts zeigt – jeder Besitzer eines Computers oder Smartphones schon allein wegen dieses Umstandes als verantwortliche Stelle zu betrachten (vgl. Rz. 81 des Schlussantrags).
- Kein pauschales „Recht auf Vergessenwerden“:
Mit Blick auf das „Recht auf Vergessenwerden“ ist den Empfehlungen des Generalanwalts zuzustimmen. Die EU-Datenschutz-RL sieht konkrete Regelungen vor, nach denen der Betroffene eine Löschung seiner personenbezogenen Daten verlangen kann. Im Umkehrschluss besteht damit aber gerade kein Recht der Betroffenen, jederzeit und ohne weitere Anforderungen eine Löschung ihrer Daten verlangen zu können. Anzumerken ist, dass nach dem Vorschlag der EU-Kommission zum „Recht auf Vergessenwerden“, wie es in Art. 17 EU-Datenschutz-GVO vorgesehen ist, dieses Recht nicht uneingeschränkt gewährt werden würde. Denn auch dort werden bestimmte – wenn auch relativ weit gefasste – Anforderungen an den entsprechenden Löschungsanspruch gestellt. Die weitere Entwicklung bleibt insofern abzuwarten.