In dem Verfahren des Vorabentscheidungsersuchens des Audiencia Nacional (Spanien) zwischen der spanischen Datenschutzbehörde (AEPD) und Google vor dem Europäischen Gerichtshof (EuGH) (Aktenzeichen C-131/12), hat der zuständige Generalanwalt Jääskinen heute seine Schlussanträge gestellt. Die Ausführungen zur Anwendbarkeit europäischen bzw. national-staatlich umgesetzten Datenschutzrechts, scheinen jedoch diskussionswürdig. Die Schlussanträge sollen dem EuGH als Leitlinien für seine Entscheidungen dienen. Gebunden ist er hieran freilich nicht.
Der Sachverhalt
Dem Vorabentscheidungsersuchen lag der Fall zugrunde, dass ein Betroffener sich zunächst gegen die Nennung seines Namens in einem online verfügbaren Zeitungsartikel im Rahmen von Zwangsvollstreckungsmaßnahmen wegen Sozialversicherungsschulden wehrte. Als der Verlag sich weigerte, den Beitrag zu löschen, wandte er sich an Google und forderte es auf dafür zu sorgen, dass in den Suchergebnissen (bei einer Suche nach seinem Namen) keine Links auf die entsprechenden Berichte auftauchen. Die spanische Datenschutzbehörde folgte dem Vorbringen des Betroffenen und forderte Google dazu auf, die erforderlichen Maßnahmen zu ergreifen, um die entsprechenden Daten aus ihrem Suchindex zu löschen. Hiergegen ging Google gerichtlich vor.
Die Vorlagefragen
In dem Verfahren geht es um verschiedene wichtige Fragen des europäischen Datenschutzrechts und der Auslegung der geltenden Datenschutzrichtlinie (RL 95/46/EG, DS-RL). Eine sehr wichtige, nämlich diejneige nach der Frage des anwendbaren Datenschutzrechts, soll hier, mit den Einschätzungen des Generalanwaltes, näher betrachtet werden:
Gilt europäisches Datenschutzrecht?
Die Antwort auf diese Frage bestimmt sich nach Art. 4 Abs. 1 DS-RL. Grundsätzlich gibt es zwei Anknüpfungspunkte, wann europäisches Datenschutzrecht anwendbar ist.
- Zum einen, wenn der für die Datenverarbeitung Verantwortliche eine Niederlassung in einem Mitgliedstaat besitzt und im Rahmen der Tätigkeiten dieser Niederlassung die entsprechenden Datenverarbeitungen vorgenommen werden (Art. 4 Abs. 1 a) DS-RL). Die Art. 29 Datenschutzgruppe spricht in ihrer Stellungnahme zu der Frage des anwendbaren Rechts (Stellungnahme 8/2010, WP 179) davon, dass es sich um eine „relevante Niederlassung“ handeln muss (S. 23 f.). Ihre Tätigkeiten müssen in einem Zusammenhang mit der Verarbeitung personenbezogener Daten stehen.
- Zum anderen, wenn der für die Datenverarbeitung Verantwortliche keine (solche relevante) Niederlassung in einem Mitgliedstaat der EU oder des EWR besitzt, aber aus seinem Drittstaat zum Zweck der Datenverarbeitung auf in einem Mitgliedstaat belegene Mittel zurückgreift (Art. 4 Abs. 1 c) DS-RL). Äußerst umstritten ist die Auslegung der Begriffe „Mittel“ und des „Zurückgreifens“. Typische Beispiele hierfür sind jedoch etwa die Datenerhebung durch Cookies.
Die Google berief sich in dem Verfahren vor dem spanischen Gericht darauf, dass europäisches Datenschutzrecht keine Anwendung fände. Denn der Hauptfirmensitz liege in den USA und es bestehe keine für die Verarbeitung der personenbezogenen Daten des Betroffenen verantwortliche Niederlassung in Spanien. Zudem greife sie nicht auf Mittel in Spanien zurück.
Parallele zum deutschen Facebook-Verfahren
Ähnlich wie bereits Facebook in dem Verfahren gegen das unabhängige Landeszentrum für Datenschutz (ULD) vor dem Verwaltungsgericht Schleswig argumentierte, und hiermit sowohl vor dem Verwaltungsgericht als auch dem Oberverwaltungsgericht Schleswig Erfolg hatte (hierzu mein Beitrag bei Telemedicus ), beruft sich auch Google darauf, dass es zwar eine spanische Niederlassung besitze, diese jedoch allein für den Verkauf der Werbeanzeigen und Marketingzwecke in Spanien zuständig sei. Die hier interessierenden Daten des Betroffenen und ihre Verarbeitung durch die Indexierung in der Suchmaschine, fallen nicht in den Verantwortungsbereich der spanischen Tochtergesellschaft.
Das Oberverwaltungsgericht Schleswig (hier die Beschlüsse und die Pressemitteilung des ULD) kam, nach meiner Meinung richtigen Auffassung, zu dem Ergebnis, dass man nicht alle Verarbeitungstätigkeiten eines Unternehmens und auch einer Niederlassung zusammen betrachten kann. Vielmehr müsse differenziert werden, welche Niederlassung im Rahmen ihrer Tätigkeiten welche Datenverarbeitungsvorgänge ausführt. Man muss also unter Umständen auch nach den Daten, welche verarbeitet werden und wer über diese Verarbeitung entscheidet, differenzieren (siehe Beschluss des Oberverwaltungsgerichts, S. 8 und 10).
ABER
Dennoch ist meines Erachtens ein sehr wichtiger tatsächlicher Unterschied festzuhalten: Google beruft sich im Unterschied zu Facebook darauf, dass allein die amerikanische Inc. die verantwortliche Stelle für durch seine Suchmaschine verarbeitete personenbezogene Daten sei. Facebook hingegen sieht allein seine europäische Zentrale in Dublin als verantwortlich an.
Aus der Sicht von Facebook würde also zumindest irisches Datenschutzrecht sicher eingreifen. Google beruft sich jedoch darauf, dass überhaupt kein europäisches Datenschutzrecht gelte, da in Europa keine relevante Niederlassung oder verantwortliche Stelle bestehe.
Die europäischen Datenschützer
Die Art. 29 Datenschutzgruppe befasste sich mit der Frage des anwendbaren Rechts ausführlich in der oben bereits zitierten Stellungnahme WP 179. Nach ihrer Ansicht gelangt das Recht des Mitgliedstaats zur Anwendung, in dem eine Niederlassung des für die Verarbeitung Verantwortlichen an Tätigkeiten beteiligt ist, die mit der Datenverarbeitung im Zusammenhang steht (S. 16). Dabei kommt es entscheidend darauf an, in welchem Maß die Niederlassung(en) an den Tätigkeiten, in deren Rahmen personenbezogenen Daten verarbeitet werden, beteiligt ist bzw. sind (S. 17). Es ist auch darauf zu achten, in welchem Umfang die einzelne Niederlassung an den Tätigkeiten, in deren Rahmen personenbezogene Daten verarbeitet werden, beteiligt ist (S. 18). Um es kurz zu machen: „Welche Rolle haben die einzelnen Niederlassungen konkret, und welche Tätigkeit erfolgt in welcher Niederlassung?“
Speziell für Suchmaschinen hat die Art. 29 Datenschutzgruppe im Jahre 2008 eine Stellungnahme (WP 148 ) abgegeben. Auch dort geht sie auf die Frage ein, wann eine „relevante Niederlassung“ vorliegt und wann europäisches Datenschutzrecht anwendbar ist. Hierzu führt sie aus „dass die Niederlassung ebenfalls eine bedeutende Rolle bei dem betreffenden Verarbeitungsvorgang spielen sollte“, wenn sie als „relevante Niederlassung“ i. S. d. Art 4 Abs. 1 a) DS-RL anerkannt werden soll (S. 11). Wichtig ist meines Erachtens darauf hinzuweisen, dass es um den „betreffenden Verarbeitungsvorgang“ geht. Nicht also generell alle Datenverarbeitungsvorgänge. Auch in ihrer (zeitlich danach abgegebenen) Stellungnahme zum anwendbaren Recht (WP 179) machen die Datenschützer im Rahmen der Abgrenzung zwischen Art. 4 Abs. 1 a) und c) DS-RL deutlich, dass Art. 4 Abs. 1 a) DS-RL nur dann nicht anwendbar ist „wenn der für die Verarbeitung Verantwortliche in der EU bzw. im EWR keine Niederlassung hat, die für die fraglichen Tätigkeiten relevant ist“ (Hervorhebung so im Original, S. 23 f.).
Wie also auch das Oberverwaltungsgericht Schleswig etwa explizit nur in Bezug auf die Kontodaten deutscher Nutzer seine Entscheidung traf, muss bei der Bestimmung einer Niederlassung und dem Rahmen ihrer Tätigkeiten und den Verarbeitungsvorgängen, die darunter fallen, soweit wie möglich bzw. tatsächlich eben geboten, differenziert werden.
Der Generlanwalt
Der Generalanwalt am EuGH sieht dies etwas anders. Er möchte als Grundlage jeglicher Betrachtung der Tätigkeiten einer Niederlassung i. S. d. Art. 4 Abs. 1 a) DS-RL zunächst das Geschäftsmodell des (Mutter-)Unternehmens heranziehen (Rn. 64 der Schlussanträge). Google verdiene sein Geld vor allem mit dem Verkauf von Werbeanzeigen. Die spanische Tochtergesellschaft verarbeite personenbezogene Daten in Bezug auf den Verkauf von Werbeanzeigen und spanische Werbekunden (Rn. 63). Der Generalanwalt geht davon aus, dass diejenigen Niederlassungen, welche Werbeanzeigen verkaufen, wesentlich zum Umsatz des Unternehmens beitragen und daher entsprechend den Vorgaben der Art. 29 Datenschutzgruppe in ihrer Stellungnahme zu Suchmaschinen (WP 148) als „relevante Niederlassung“ anzusehen sind. Er verweist hierzu richtigerweise auf ein entsprechendes Beispiel in der Stellungnahme, wonach eine relevante Niederlassung i. S. d. Art. 4 Abs. 1 a) DS-RL vorliegt, wenn „ein Suchmaschinenbetreiber ein Büro in einem Mitgliedstaat (EWR) einrichtet, das am Verkauf zielgruppenspezifischer Werbeanzeigen an die Einwohner dieses Staates beteiligt ist“ (S. 11).
Jedoch erwähnt der Generalanwalt nicht, dass dieses Beispiel explizit unter der von mir bereits zitierten Voraussetzung gemacht wird, dass es um den „betreffenden Verarbeitungsvorgang“ gehen muss.
Vorliegend stellt dieser betreffende Verarbeitungsvorgang jedoch die Indexierung der Internetseite mit dem Nachrichtenartikel der Zeitung und eventuell noch die Speicherung in einem Zwischenspeicher dar. Welcher relevante Zusammenhang bei dem Verkauf von AdWord-Anzeigen durch die spanische Gesellschaft hierbei entsteht, hätte zumindest einer Klärung bedurft. Offensichtlich scheint er sicher nicht. Sollte die Ansicht des Generalanwaltes zutreffen und damit allein eine Rolle einer Niederlassung bei der Generierung von Umsätzen ausreichend sein, würde dies doch eine bedeutende Abkehr von den durch die Art. 29 Datenschutzgruppe aufgestellten Leitlinien zur Bestimmung der Niederlassung und dem Rahmen ihrer Tätigkeiten i. S. d. Art. 4 Abs. 1 a) DS-RL darstellen.
Noch deutlicher werden die Ausführungen in Rn. 66, wenn der Generalanwalt davon ausgeht, dass ein wirtschaftlicher Anbieter als Einheit verstanden werden muss und nicht nach den einzelnen Verarbeitungstätigkeiten und verschiedenen Gruppen von Datensubjekten unterschieden werden sollte. Auch diese Ansicht scheint den Aussagen der Art. 29 Datenschützer jedoch konträr gegenüber zu stehen. Denn es ist seit langem anerkannt, dass im Anwendungsbereich des europäischen Datenschutzrechts mehrere Niederlassungen in verschiedenen Mitgliedstaaten bestehen können, die verschiedene Verantwortungsbereiche besitzen und daher auch, je nach der Datenverarbeitungstätigkeit, verschiedenen nationalen Datenschutzgesetzen unterliegen, ja sogar auf verschiedene Tätigkeiten einer einzigen Niederlassungen verschiedene nationale Datenschutzgesetze Anwendung finden können (vgl. etwa WP 179, S. 19).
Der Generalanwalt ist jedoch auch nicht zu beneiden und musste anscheinend mit nicht ausreichenden Tatsacheninformationen arbeiten. Wie aus Rn. 63 ersichtlich wird, war bei Erstellung der Schlussanträge nicht klar, in welchem Umfang und wo überhaupt personenbezogene Daten von EU-Bürgern durch europäische Niederlassungen von Google verarbeitetet werden. Derartige Informationen sind jedoch elementar wichtig für die Frage, welche Niederlassung in der EU im Rahmen ihrer Tätigkeiten welche Funktionen wahrnimmt und welche Daten dabei verarbeitet werden. Man kann nur hoffen, dass dem EuGH vor seinem Urteil hier noch weitere Informationen von Google zur Verfügung gestellt werden. Dass Internetunternehmen sich vor Gericht jedoch in dieser Hinsicht nicht gerade kooperativ (häufig mit dem Hinweis auf Geschäftsgeheimnisse) zeigen, hatte auch schon Thilo Weichert, der Leiter des ULD in dem Verfahren gegen Facebook bemängelt.
Ausblick
Die Ausführungen des Generalanwaltes zur Frage der Anwendbarkeit des europäischen Datenschutzrechts überzeugen nicht und man sollte erwarten, dass der EuGH sich in dieser Hinsicht vertiefter mit den rechtlichen Problemen auseinandersetzt. Dies wird freilich vor allem davon abhängigen, welche Informationen die Richter zu den tatsächlichen Abläufen und Verantwortungsbereichen innerhalb von Google erhalten.
Pingback: Das Google-Urteil des EuGH – übers Ziel hinaus geschossen? - Netzpiloten.de
Pingback: Das Google-Urteil des EuGH – übers Ziel hinaus geschossen? - PinG Privacy in Germany