Category Archives: Datenschutzrecht

Google-Urteil: Europäische Datenschützer entwickeln Netzwerk für Beschwerden

Posted on by

Die europäischen Datenschutzbehörden, versammelt in der sog. Artikel 29 Gruppe, haben gestern bekannt gegeben (Pressemitteilung, PDF), dass als Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Google aus dem Mai diesen Jahres (C-131/12) , Maßnahmen ergriffen werden sollen, um Beschwerden koordiniert bearbeiten zu können.

Nachdem sich die Vertreter der europäischen Datenschutzbehörden im Juli mit den Anbietern der großen Internetsuchmaschinen in Brüssel trafen (Pressemitteilung, PDF), um über die Folgen und die Umsetzung des Google-Urteils in der Praxis zu beraten, entwickeln die Aufsichtsbehörden nun ein gemeinsames Verfahren, mit dem Beschwerden von Betroffenen bearbeitet werden sollen, deren Antrag auf Entfernung von Suchergebnissen abgelehnt wurde.

Nähere Details des europaweit geplanten Systems der Behörden sind noch nicht bekannt. Laut der Pressemitteilung werden wohl in jedem Land besondere Kontaktpersonen in den Behörden benannt, die den Informationsaustausch und Kontakt mit den Kollegen in ausländischen Datenschutzbehörden sicherstellen sollen. Der Artikel 29 Gruppe geht es vor allem darum, eine einheitliche Herangehensweise zu entwickeln, so dass gleich gelagerte Fälle auch gleich entschieden werden können. Die von den Aufsichtsbehörden anzulegenden Prüfkriterien sollen auf diese Weise vereinheitlicht werden. Innerhalb dieses Netzwerkes soll ein gemeinsames Archiv von Entscheidungen der Behörden in anderen Beschwerdeverfahren vorgehalten werden.

Das, wohl virtuell aufgesetzte System (im Prinzip dürfte es sich um eine gemeinsame Datenbank handeln), soll zudem Bedienelemente und Funktionen enthalten, damit bei einer Beschwerde europaweit nach vergleichbaren Verfahren gesucht werden kann oder neue bzw. besonders schwierige Sachverhalte identifiziert werden können.

Die Artikel 29 Gruppe versucht begrüßenswerter Weise, die Beschwerdeverfahren europaweit soweit als möglich zu vereinheitlichen. Abweichende Entscheidungen zu ähnlich gelagerten Fällen in verschiedenen europäischen Ländern würden bei Betroffenen wohl für Verwirrung sorgen. Auf der anderen Seite muss man auch anerkennen, dass es sich bei den Beschwerden im Rahmen des „Rechts auf Vergessenwerden“ häufig um schwierige und komplexe Abwägungsfragen handeln wird. Eine schablonenhafte Herangehensweise scheint mir insoweit nicht unbedingt durchweg als der richtige Weg. Die vorzunehmende Güterabwägung (Datenschutz einerseits, Meinungsfreiheit und Recht auf Informationszugang anderseits) sollte keinem vorher feststehenden Ergebnis zum Opfer fallen. Die Verständigung auf besonders zu beachtende Kriterien im Rahmen der Abwägung ist sicher nicht verkehrt. Doch sollte mit derartigen Methoden äußerst sorgsam umgegangen werden, wenn man das Grundprinzip einer auf den Einzelfall beschränkten Güterabwägung von kollidierenden Grundrechten nicht langsam abbauen möchte.

Eine kleine Randnotiz: die Artikel 29 Gruppe spricht nicht mehr von dem „Recht auf Vergessenwerden“ (right to be forgotten), sondern von einem Recht „entlistet zu werden“ (right to be de-listed).

Apple will Fitness-Daten der User schützen

Posted on by

Mit der ab morgen verfügbaren neuen Version des Betriebssystems iOS 8 führt Apple auch das sog. HealthKit ein. Dabei handelt es sich um eine für App-Entwickler zugängliche Plattform, auf der Gesundheitsdaten von Nutzern gespeichert werden, die zuvor durch eine App (etwa „Health“ von Apple selbst oder auch Apps von Drittanbietern) auf dem Smartphone erhoben wurden.

Nach einem Bericht der Washington Post wird Apple in Bezug auf die so erhobenen und gespeicherten Gesundheitsdaten besondere Schutzvorkehrungen treffen. Grundsätzlich sollen Gesundheitsdaten nur dann im HealthKit für Dritte abrufbar sein, wenn der Nutzer seine Einwilligung erteilt hat. Zudem sollen jegliche Informationen, die von Gesundheits-Apps erhoben werden, verschlüsselt auf dem iPhone abgespeichert werden. Sollte eine Übermittlung der Daten auf einen Server von Apple erforderlich sein, man denke etwa an ein Backup, das der Nutzer durchführen möchte, so soll auch diese Übertragung verschlüsselt erfolgen.

Zudem hat Apple App-Entwickler bereits darauf hingewiesen, dass eine Speicherung von Gesundheitsdaten nicht in der iCloud erfolgen solle. Möchten Entwickler auf die Daten in dem HealthKit zugreifen, so geben die Richtlinien für Entwickler vor, dass die jeweilige App eine Datenschutzerklärung besitzen muss. Eine Nutzung der Gesundheitsdaten für Zwecke der Werbung soll ebenfalls ausgeschlossen sein.

Nach dem deutschen Datenschutzrecht handelt es sich bei den hier in Rede stehenden Gesundheitsdaten um „besondere Arten personenbezogener Daten“ nach § 3 Abs. 9 BDSG. Diese Arten von Daten werden unter dem geltenden Datenschutzrecht als besonders schutzwürdig angesehen. Eine Einwilligung in die Verwendung solcher Daten (als ein möglicher Erlaubnistatbestand) muss sich nach § 4a Abs. 3 BDSG etwa ausdrücklich auf diese Daten beziehen. Der besondere Schutz dieser Datenkategorien rührt aus der europäischen Richtlinie 95/46/EG, nach deren Art. 8 Abs. 1 die Verarbeitung solch sensibler Daten grundsätzlich untersagt ist. Ausnahmen von diesem Verbot bestehen nach Art. 8 Abs. 2 der Richtlinie etwa für den Fall der ausdrücklichen Einwilligung oder wenn die betroffene Person die Daten offenkundig öffentlich zugänglich gemacht hat.

Weitere Informationen zur App „Helath“: https://www.apple.com/de/ios/whats-new/health/ und zum HealthKit: https://developer.apple.com/healthkit/

Hausaufgaben für den neuen Digitalkommisar – Datenschutz und Cookies

Posted on by

Der designierte Kommissionspräsident Jean Claude Juncker hat am 10. September die Verteilung der Zuständigkeiten in seinem Team und die Arbeitsorganisation der neuen Kommission bekanntgegeben. Eine Überraschung wär die Auswahl von Günther Oettinger als neuen Kommissar für digitale Wirtschaft und Gesellschaft. Über die Personalie an sich möchte ich hier nicht diskutieren, sondern auf eine Art Hausaufgabenheft hinweisen, welches Herrn Oettinger aufgegeben wurde (hier als PDF).

Dort legt Herr Juncker dar, was er von seinem Kommissar in den nächsten Jahren im Bereich digitalen Wirtschaft erwartet. Mit Blick auf das Datenschutzrecht von Interesse dürften folgende beide Anforderungen sein:

Die zuständigen Vize-presidentem der Kommission bei einer raschen Umsetzung der geplanten Datenschutz-Grundverordnung zu unterstützen. Die Verhandlungen sollen im Jahr 2015 abgeschlossen werden.

Nach dem Abschluss dieser Reform des Datenschutzrechts soll Herr Oettinger eine Reform der sog. e-Privacy Richtlinie (RL 2002/58/EG, in Deutschland auch bekannt als Cookie-Richtlinie) anstoßen und vorbereiten.

Die Regelungen der Cookie-Richtlinie (insbesondere zur Einwilligung) stellen seit Jahren den Gegenstand juristischer Diskussionen dar. Zuletzt überraschte die Meldung, dass Deutschland die Änderungen der e-Privacy Richtlinie (hin zu einem Opt-in bei der Datenverarbeitung über Cookies) bereits im TMG umgesetzt habe (hierzu der Beitrag von Adrian Schneider bei Telemedicus).

Man darf gespannt sein, welche Neuerungen Herr Oettinger vorschlagen wird, nicht nur bezogen auf die Thematik „Einwilligung und Cookies“.

Hausaufgaben für den neuen Digitalkommisar – Datenschutz und Cookies

Posted on by

Der designierte Kommissionspräsident Jean Claude Juncker hat am 10. September die Verteilung der Zuständigkeiten in seinem Team und die Arbeitsorganisation der neuen Kommission bekanntgegeben. Eine Überraschung wär die Auswahl von Günther Oettinger als neuen Kommissar für digitale Wirtschaft und Gesellschaft. Über die Personalie an sich möchte ich hier nicht diskutieren, sondern auf eine Art Hausaufgabenheft hinweisen, welches Herrn Oettinger aufgegeben wurde (hier als PDF).

Dort legt Herr Juncker dar, was er von seinem Kommissar in den nächsten Jahren im Bereich digitalen Wirtschaft erwartet. Mit Blick auf das Datenschutzrecht von Interesse dürften folgende beide Anforderungen sein:

Die zuständigen Vize-presidentem der Kommission bei einer raschen Umsetzung der geplanten Datenschutz-Grundverordnung zu unterstützen. Die Verhandlungen sollen im Jahr 2015 abgeschlossen werden.

Nach dem Abschluss dieser Reform des Datenschutzrechts soll Herr Oettinger eine Reform der sog. e-Privacy Richtlinie (RL 2002/58/EG, in Deutschland auch bekannt als Cookie-Richtlinie) anstoßen und vorbereiten.

Die Regelungen der Cookie-Richtlinie (insbesondere zur Einwilligung) stellen seit Jahren den Gegenstand juristischer Diskussionen dar. Zuletzt überraschte die Meldung, dass Deutschland die Änderungen der e-Privacy Richtlinie (hin zu einem Opt-in bei der Datenverarbeitung über Cookies) bereits im TMG umgesetzt habe (hierzu der Beitrag von Adrian Schneider bei Telemedicus).

Man darf gespannt sein, welche Neuerungen Herr Oettinger vorschlagen wird, nicht nur bezogen auf die Thematik „Einwilligung und Cookies“.

Digitale Agenda: IT-Sicherheit und das liebevoll gestrickte Datenschutzrecht

Posted on by

In der gestrigen Ausgabe der FAZ hat der deutsche Bundesinnenminister, Dr. de Maizière, in einem umfangreichen Beitrag (hier eine kurze Zusammenfassung) zu seiner persönlichen Vorstellung und auch der Aufgabe seines Ministeriums im Politikfeld „Digitale Agenda“ Stellung genommen. Egal wie man zu dem Beitrag und seinen Aussagen inhaltlich steht, lesen sollten ihn jeder, der sich privat oder beruflich mit der Digitalisierung auseinandersetzt.
Der Innenminister erkennt mit Blick auf das Internet und die Digitalisierung derzeit drei wichtige ordnungspolitische Vorhaben für sein Ministerium: Die Verabschiedung eines IT-Sicherheitsgesetzes, die Verabschiedung der Datenschutz-Grundverordnung und intensive Verhandlungen auf internationaler Ebene zur globalen Dimension der Digitalisierung. Die beiden ersten möchte hier etwas näher beleuchten.

Verabschiedung des ersten IT-Sicherheitsgesetzes
Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen, so der Minister, zu den sichersten der Welt werden. Das geplante IT-Sicherheitsgesetz geht diese Woche in die Ressortabstimmung. Inhaltlich sei das Gesetz von folgendem Grundprinzip beseelt: wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken. Diese Idee ist dem Recht nicht fremd. Sie liegt etwa den Verkehrssicherungspflichten zugrunde (wer auf öffentlicher Straße eine Grube gräbt, muss für effiziente Absperrung sorgen). Die Fragen, die sich im Zuge der Diskussionen um das Gesetz stellen könnten, sind diejenigen nach dem erforderlichen Grad des Risikos und wann man ein solches „schafft“? Ist es etwa ausreichend, dass ein Unternehmen einen unverschlüsselten E-Mail Dienst anbietet? Oder einen Internetdienst für hunderttausende Kunden unverschlüsselt betreibt? Reicht dies, um ein Risiko zu schaffen? Muss es sich bei dem Risiko bereits um eine konkrete Gefahr handeln oder ist doch die abstrakte Wahrscheinlichkeit ausreichend? Bestehen also quasi anlasslose Pflichten für Schutzvorkehrungen, weil ein gewisses Grundrisiko nie ganz auszuschließen ist? Zudem wird es wichtig sein zu klären, worauf sich die Risiken beziehen müssen. Allgemein auf die Interessen von Betroffenen oder zumindest doch auf (konkret festgelegte) geschützte Rechtspositionen? Der Innenminister nennt zudem eine Form der Eskalation der Schutzvorkehrungen: je höher das Risiko für die Gesellschaft, desto höhere Anforderungen an die Schutzmaßnahmen.

Gegliedert sind die Pflichten dem Beitrag zufolge nach verschiedenen Branchen der Wirtschaft. Adressaten der Pflichten sind die in diesen Branchen tätigen Unternehmen. Dazu gehören etwa der Bereich Energie, Informationstechnik, Verkehr, Gesundheit und auch das Finanzwesen. Es geht darum, einheitlich Standards innerhalb der Branchen entstehen zu lassen. Der Inhalt der jeweiligen Branchenstandards soll durch die Unternehmen zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgearbeitet und branchenspezifisch angepasst werden.

Zwar soll für Unternehmen auch grundsätzlich eine Meldepflicht bei Cyber-Angriffen eingeführt werden. Diese kann jedoch, solange es noch nicht zu einem gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur gekommen ist, auch anonym an das BSI erfolgen. Diese Initiative scheint aus meiner Sicht durchaus einen positiven Anreiz bereit zu halten. Unternehmen könnten so dazu animiert werden, frühzeitig zu melden und das BSI mit Informationen zu versorgen. Die Frage wird freilich sein, welche Kriterien für die Bestimmung eines „gefährlichen Ausfalls“ oder „einer Beeinträchtigung der kritischen Infrastruktur“ aufgestellt werden und wie einfach diese praxisgerecht von Unternehmen im konkreten Fall als Maßstab anzuwenden sind. Der Anreiz würde wohl verpuffen, wenn es heißt: im Zweifel identifizierende Meldung.

Verabschiedung der Datenschutz-Grundverordnung
Auch befasst sich der Beitrag mit der geplanten Datenschutz-Grundverordnung. Diese besitze „überragende Bedeutung“. Und Herr de Maizière stellt zutreffend fest: „Sie wird unser liebevoll gestricktes deutsches Datenschutzrecht komplett“ ersetzen. Die Verhandlungen hierzu sollten nach dem Innenminister als Chance genutzt werden, um in dem geplanten Gesetz auch Antworten auf Fragen zu geben, die sich mit Blick auf neue Technologien und Phänomene wie Big Data, Cloud-Computing und das Internet der Dinge stellen. Dieser Ansatz ist meines Erachtens zu begrüßen, denn wie der Minister richtig erkennt, sind die derzeit geltenden Regelungen natürlich nicht mehr zeitgemäß. Sie müssen angepasst werden. Dies sollte daher im Rahmen der derzeitigen Verhandlungen erfolgen. Wenn sich die Beratungen aufgrund der Berücksichtigung des technologischen Fortschritts und dem Umgang hiermit im Datenschutzrecht dann „verzögern“ (dieser Vorwurf wird sicherlich erhoben werden), so ist dies nicht negativ zu bewerten und sollte nicht zu gesetzgeberischen Kurzschlussreaktionen führen.

Inhaltlich möchte der Minister neben den bekannten Schutzmechanismen für die Betroffenen (wie Einwilligung und Informationspflichten) weitere Maßnahmen vorsehen, die dann greifen sollen, wenn die bisherigen Konzepte an ihre Grenze stoßen. Er nennt etwa das Beispiel, dass eine Information des Betroffenen verlangt wird, diese jedoch erst erfolgen kann, wenn der Betroffene vorher identifiziert wird. Also eine Datenerhebung um Daten zu schützen. Man wird abwarten müssen, wie die Vorschläge zur Ausgestaltung der Datenschutz-Grundverordnung hier konkret aussehen werden. Der Minister spricht von zusätzlichen Schutzmechanismen, die dann greifen sollen, wenn etwa das Instrument der Einwilligung praktisch nicht mehr umsetzbar ist.

Vorlagefragen an den EuGH: Wie weit reicht der Arm nationaler Datenschutzbehörden?

Posted on by

Der Europäische Gerichtshof (EuGH) ist im Rahmen eines Vorabentscheidungsersuchens (C-230/14) aus Ungarn mit mehreren Fragen befasst, inwieweit die Datenschutzbehörde eines EU-Mitgliedstaates ihre Kontrollbefugnisse auch gegen Webseitenanbieter, die in einem anderen Mitgliedstaat niedergelassen sind, ausüben und durchsetzen kann.

Sachverhalt
Das Unternehmen Weltimmo, mit Sitz in der Slowakei, bietet auf seiner Webseite die Möglichkeit zur Vermittlung von Immobilien an. Auf der Webseite konnten auch ungarische Staatsbürger Anzeigen für Immobilien schalten, die sich in Ungarn befinden. Die für den Dienst verwendeten Server befinden sich wiederum in einem dritten EU-Mitgliedstaat. Dieser Service wurde zunächst kostenlos angeboten, nach einer gewissen Zeit jedoch automatisch in ein kostenpflichtiges Angebot umgewandelt und die Betroffenen wurden zur Kasse gebeten. Zudem konnten Anzeigen mit personenbezogenen Daten nicht gelöscht werden (hier mehr zu dem ursprünglichen Verfahren, Englisch). Gegen diese Praxis wandten sich einige ungarische Staatsbürger und beschwerten sich bei ihrer nationalen Datenschutzbehörde. Diese untersuchte den Vorfall. Sie hielt sich für zuständig und erließ gegen das slowakische Unternehmen einen Bußgeldbescheid wegen der Verletzung ungarischen Datenschutzrechts. Hiergegen wandte sich Weltimmo, in erster Instanz erfolgreich. In der zweiten Instanz wandte sich das ungarische Gericht nun an den EuGH, da einige Fragen zum anwendbaren Recht als auch der aufsichtsbehördlichen Kompetenz bestanden.

Vorlagefragen
Zunächst möchte das Gericht wissen, ob Art. 28 Abs. 1 der Datenschutz-Richtlinie (DS-RL) in dem Sinn auszulegen, dass die nationale Regelung eines Mitgliedstaats (in diesem Fall Ungarn) in dessen Staatsgebiet auf einen für die Datenverarbeitung Verantwortlichen (Weltimmo) anwendbar ist, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist und der eine Webseite zur Vermittlung von Immobilien betreibt und dort unter anderem Immobilien inseriert, die sich im Staatsgebiet des ersten Mitgliedstaats befinden, nachdem deren Eigentümer ihre personenbezogenen Daten an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Art. 28 Abs. 1 DS-RL lautet: „Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Es geht also darum, ob die ungarische Datenschutzbehörde grundsätzlich die Befugnis besitzt, Verstöße gegen ungarisches Datenschutzrecht gegen einen in einem anderen Mitgliedstaat ansässigen für die Verarbeitung Verantwortlichen durchzusetzen. Hintergrund dieser Frage dürfte auch die Regelung des Art. 4 Abs. 1 Buchst. a DS-RL sein, wonach jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der DS-RL erlässt, auf alle Verarbeitungen personenbezogener Daten anwendet, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Hierauf bezieht sich dann auch die zweite Frage des vorlegenden Gerichts. Ist Art. 4 Abs. 1 Buchst. a DS-RL im Lichte ihrer Erwägungsgründe 18 bis 20 und ihres Art. 1 Abs. 2 sowie Art. 28 Abs. 1 dahingehend auszulegen, dass die ungarische Datenschutzbehörde das ungarische Datenschutzgesetz als nationales Recht nicht auf den Betreiber einer Webseite zur Vermittlung von Immobilien (Weltimmo) anwenden darf, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist, selbst dann nicht, wenn dieser unter anderem ungarische Immobilien inseriert, deren Eigentümer die Daten ihrer Immobilien wahrscheinlich vom ungarischen Staatsgebiet aus an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Beide Fragen beziehen sich also vornehmlich auf das anwendbare Datenschutzrecht und wie dieses unter der DS-RL zu bestimmen ist, wenn es um die Beurteilung eines grenzüberschreitenden Sachverhalts (innerhalb der EU) geht. Grundsätzlich bestimmt sich das anwendbare Datenschutzrecht nach den Vorgaben des Art. 4 DS-RL. Art 28 Abs. 1 DS-RL stellt meines Erachtens keine hiervon abweichende Regelungen auf. Diese Vorschrift regelt vielmehr die Kompetenzen der Datenschutzbehörden, nämlich dass sie dazu berufen sind, die Einhaltung der Datenschutzgesetze in ihrem Mitgliedstaat zu überwachen. Welche nationalen Regelungen Anwendung finden, richtet sich jedoch nach Art. 4 DS-RL.

Des Weiteren fragt das vorlegende Gericht danach, ob es für die Auslegung von Bedeutung ist, ob die von dem für die Datenverarbeitung Verantwortlichen und Betreiber der Webseite erbrachte Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet ist? Diese Bezugnahme auf das Merkmal des „Ausrichtens“ mag einige Leser an das Google-Urteil des EuGH (C-131/12) vom 13. Mai 2014 erinnern. Der Unterschied dazu ist hier jedoch, dass der für die Verarbeitung Verantwortliche sich innerhalb der EU befindet. Zudem möchte das vorlegende Gericht hier wissen, ob bereits das Ausrichten der Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats von Bedeutung ist. Im Google-Urteil hat der EuGH (anders als dies häufig berichtet wurde) zudem nicht festgestellt, dass allein das Ausrichten einer Webseite oder eines Dienstes entscheidend ist, für die Antwort auf die Frage nach dem anwendbaren Datenschutzrecht. Dort ging es um die Ausrichtung der Tätigkeit der Niederlassung (!) des verantwortlichen.

Meines Erachtens findet sich für das Abstellen allein auf das Ausrichten der angebotenen Dienstleitung in der DS-RL keine Grundlage. Art. 4 Abs. 1 DS-RL bezieht sich entweder auf die Niederlassung des Verantwortlichen (Buchst. a) oder darauf, ob auf in einem Mitgliedstaat belegene Mittel zurückgegriffen wird (Buchst. c).

Das vorlegende Gericht differenziert dann och weiter und möchte wissen, ob es von Bedeutung ist, ob die Daten der in diesem anderen Mitgliedstaat belegenen Immobilien und die personenbezogenen Daten der Eigentümer tatsächlich vom Staatsgebiet dieses anderen Mitgliedstaats (hier Ungarn) aus eingegeben wurden? Auch fragt das Gericht danach, ob es von Bedeutung ist, ob die Eigentümer der in der Slowakei niedergelassenen Gesellschaft einen Wohnsitz in Ungarn haben?

Zuletzt kommt das vorlegende Gericht auf den Aspekt der aufsichtsbehördlichen Kompetenzen zu sprechen. Für den Fall, dass die ungarische Datenschutzbehörde handeln darf, jedoch nur auf der Grundlage des slowakischen Datenschutzrechts (weil nur dieses für den Verantwortlichen gilt), möchte das ungarische Gericht wissen, ob Art. 28 Abs. 6 DS-RL in dem Sinne auszulegen ist, dass die ungarische Datenschutzbehörde ausschließlich – und zwar nach der Regelung des Mitgliedstaats der Niederlassung – diejenigen Befugnisse ausüben kann, die in Art. 28 Abs. 3 DS-RL genannt sind, und dass sie folglich keine Befugnis besitzt, ein Bußgeld zu verhängen?

Art. 28 Abs. 6 DS-RL bestimmt: „Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.“ (Hervorhebung durch mich)

In Art. 28 Abs. 3 DS-RL sind Maßnahmen aufgezählt, die den Datenschutzbehörden zustehen (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagerecht). Nicht ausdrücklich erwähnt ist dort jedoch die Möglichkeit, Bußgelder zu verhängen. Bedeutet der Verweis in Art. 28 Abs. 6 DS-RL auf Abs. 3 nun, dass die ungarische Datenschutzbehörde in diesem Fall allein auf die dort benannten Maßnahmen beschränkt ist, obwohl nach nationalen Recht (sei es dem ungarischen oder dem slowakischen) ein Bußgeld verhängt werden könnte? Dies würde im Endeffekt bedeuten, dass der ungarischen Behörde nur ein Grundgerüst an, aus der DS-RL abgeleiteten und durch sie beschränkte, aufsichtsbehördlichen Maßnahmen zusteht. Nämlich allein diejenigen, die in Art. 28 Abs. 3 DS-RL benannt sind. Soll ein Bußgeld verhängt werden, so dürfte dies allein durch die slowakische Datenschutzbehörde nach slowakischem Recht erfolgen.

Recht auf Vergessen – wie geht es weiter?

Posted on by

Nach dem Google-Urteil des EuGH vom 13.5.2014 (Az. C-131/12) und der anschließenden, in der Öffentlichkeit teilweise kritisierten Umsetzung durch Google, stellte sich für europäische Datenschutzbehörden die Frage, wie man mit der Entscheidung und Beschwerden von Betroffenen umgeht, die dieses Recht ausüben möchten. Doch auch der Rat der Europäischen Union hat sich, vor dem Hintergrund der möglichen Auswirkungen des Urteils auf die andauernden Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO), mit dem Thema befasst.

Treffen mit den Datenschutzbehörden
Am gestrigen Donnerstag trafen sich Vertreter von verschiedenen europäischen Datenschutzbehörden mit Anbietern von Internetsuchmaschinen in Brüssel. Wie die Artikel 29 Datenschutzgruppe (der Zusammenschluss der europäischen Aufsichtsbehörden) zuvor in einer Pressemitteilung bekannt gab (PDF), war dieses Treffen ein Teil der Initiative der Datenschützer, bis zum Herbst diesen Jahres gemeinsame Richtlinien für Datenschutzbehörden zu entwerfen, wie diese mit Beschwerden umgehen sollen, die im Anschluss an einen abgelehnten Löschantrag bei ihnen eingehen. Eine offizielle Mitteilung zu den Ergebnissen des Treffens liegt noch nicht vor. Jedoch berichtet Reuters, unter Berufung auf einen nicht genannten Teilnehmer, einige Details:

  • So haben die Datenschützer Google insbesondere dazu befragt, warum Einträge in Ergebnislisten nur auf den europäischen Angeboten gelöscht (bzw. gesperrt) werden, jedoch nicht unter der .com-Adresse. Aus Sicht der Datenschützer greife diese Umsetzung des Urteils zu kurz.
  • Bis zum Ende des Monats sollen die Suchmaschinenbetreiber weitere Informationen zur Umsetzung des Urteils bereitstellen. Diese würden in den Prozess der Entwicklung von Richtlinien für Datenschutzbehörden einfließen. Ein erster Entwurf solcher Richtlinien für Aufsichtsbehörden könnte bis Mitte September fertig gestellt sein.

Auch Bloomberg berichtet zu dem Treffen und einigen statistischen Informationen. Danach habe Google bisher mehr als 91.000 Löschanfragen erhalten, die sich auf 328.000 Internetadressen beziehen. Unter Berufung auf einen ebenfalls nicht genannten Teilnehmer des Treffens wird weiter berichtet, dass Google 30% der Anträge zurückweise und in 15% der Fälle zusätzliche Informationen zu dem Sachverhalt anfordere.

Auswirkungen auf die Datenschutz-Grundverordnung
Doch nicht nur die Datenschützer treibt die Umsetzung des Google-Urteils um. Auch in der Arbeitsgruppe Dapix des Rates der Europäischen Union, in der die DS-GVO verhandelt wird, hat man sich die Entscheidung des EuGH näher angesehen. In einem nun veröffentlichten Dokument (PDF) der Präsidentschaft an die Delegationen wird das Urteil näher erläutert und seine möglichen Folgen für die Verhandlungen analysiert. Nachfolgend einige der in dem Papier angesprochenen Themen:

Der EuGH hatte festgestellt, dass der Löschanspruch dann geltend gemacht werden kann, wenn die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich ist. Dies insbesondere dann, wenn die verarbeiteten Daten den ursprünglichen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Die Präsidentschaft ist sich jedoch nicht sicher, ob der derzeitige Wortlaut (es geht dabei um Art. 17 DS-GVO in der Fassung des Textes im Rat nach der griechischen Ratspräsidentschaft, abrufbar hier, PDF) deutlich genug zum Ausdruck bringt, dass bei der Frage, ob die Daten den ursprünglichen Zwecken nicht mehr entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, nicht auf den Betreiber der Originalwebseite, sondern auf den Betreiber der Suchmaschine abzustellen ist. Dies betrifft insbesondere auch die Frage des berechtigten Interessen bei einer vorzunehmenden Abwägung im Rahmen der Prüfung eines Erlaubnistatbestandes für die Verarbeitung.

Zudem stelle sich die Frage nach dem Verhältnis von Meinungsfreiheit und dem Recht auf Schutz personenbezogener Daten. Der EuGH hatte entschieden, dass sich allein der Betreiber der Originalwebseite auf die (sowohl in der derzeit geltenden Datenschutz-Richtlinie als auch in der DS-GVO vorgesehene) Ausnahme für die Verarbeitung von Daten zu ausschließlich journalistischen Zwecken berufen könne. Die Präsidentschaft stellt hierzu die Frage in den Raum, ob dies nicht auch für die nachfolgenden Datenverarbeiter (wie z.B. den Suchmaschinenbetreiber) gelten solle. Zu beachten ist hierbei, dass Fragen des Rechts auf freie Meinungsäußerung (aus kompetenzrechtlichen Gründen) nicht detailliert innerhalb der DS-GVO geregelt werden können.

Eine weiterer offener Punkt sei, ob es bei der Ausübung des Löschanspruchs eine gesetzlich festgelegte Reihenfolge geben soll, die der Betroffene zu beachten habe. Dass er sich also zunächst immer an den Betreiber der Originalwebseite wenden müsse und nur dann an den nachfolgenden Verarbeiter herantreten könne, wenn der Betreiber der Originalwebseite nicht mehr existiere oder nicht dem EU-Recht unterfalle. Dieser Vorschlag sei in der Vergangenheit von einigen Delegationen im Rat vorgebracht worden. Jedoch gibt die Präsidentschaft zu bedenken, dass ein solches System vom EuGH als nicht ausreichend erachtet wurde, um den Rechten des Betroffenen ausreichend Geltung zu verschaffen.

EuGH-Generalanwalt zur Rechtmäßigkeit öffentlicher Videoüberwachung durch Private

Posted on by

In einem Vorabentscheidungsersuchen (Rs. C-212/13) des obersten tschechischen Verwaltungsgerichtshofs an den Europäischen Gerichtshof (EuGH) hat am 10. Juli 2014 Generalanwalt (GA) Jääskinen seine Schlussanträge vorgestellt.

In dem Verfahren geht es im Wesentlichen um zwei Fragen zur Auslegung der geltenden Datenschutz-Richtlinie (DS-RL). Zum wann i. S. d. Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL eine Verarbeitung personenbezogener Daten vorliegt, „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“ und damit nicht in den Anwendungsbereich der DS-RL fällt (sog. household exemption). Zum anderen wie die Überwachung von öffentlichem Raum durch ein Kamerasystem möglicherweise datenschutzrechtlich rechtmäßig durchgeführt werden kann.

Sachverhalt
Herr Ryneš, der im Verfahren vor dem nationalen Gericht gegen eine Entscheidung der tschechischen Datenschutzbehörde vorgeht, setzte eine fest installierte Kamera an der Außenwand seines Hauses ein, die nicht schwenkbar war. Mit dieser zeichnete er den Eingang seines Hauses, den öffentlichen Straßenraum sowie den Eingang des gegenüberliegenden Hauses auf. Videoaufnahmen wurden auf einer Festplatte gespeichert. Sobald deren maximale Kapazität erreicht war, wurde die vorhandene Aufzeichnung mit einer neuen überschrieben. Die Aufzeichnungsvorrichtung hatte keinen Bildschirm, so dass das Bild nicht in Echtzeit betrachtet werden konnte. Allein Herr Ryneš hatte unmittelbaren Zugang zu der Anlage und den aufgezeichneten Daten. Grund für die Überwachung war der Schutz seines Eigentums, seiner Gesundheit und seines Lebens und seiner Familie. Sowohl er selbst als auch seine Familie waren nämlich während mehrerer Jahre Ziel von Angriffen eines Unbekannten gewesen, der nicht hatte entlarvt werden können. Zudem waren bereits in der Vergangenheit Fenster des Hauses mehrfach eingeschlagen worden. Nach Installation der Kamera wurde erneut eine Fensterscheibe seines des Hauses zerstört. Dank der Videoüberwachungsanlage konnten zwei Verdächtige identifiziert werden. Die Aufzeichnungen wurden der Polizei übergeben und anschließend im Rahmen des Strafverfahrens als Beweismittel vorgelegt. Einer der Verdächtigen beantragte die Überprüfung des Kamerasystems und die Datenschutzbehörde stellte Verstöße gegen das Datenschutzrechts fest.

Videoüberwachung als Vorratsdatenspeicherung?
Der GA betont einleitend zunächst, dass es sich vorliegend um einen speziell zu betrachtenden Einzelfall der Videoüberwachung handelt. Die Merkmale sind die folgenden: fest installiertes Überwachungssystem; auf den öffentlichen Raum sowie die Tür des gegenüberliegenden Hauses gerichtet; es wird ermöglicht, eine unbestimmte Zahl von Personen zu identifizieren; keine vorherige Unterrichtung hinsichtlich der Überwachung. Der GA stellt klar, dass die im Zusammenhang mit Aufzeichnungen durch Mobiltelefone, Camcorder oder Digitalkameras stehenden Rechtsfragen hingegen anderer Art sind und vorliegend nicht behandelt werden.

Sodann zieht der GA zwei interessante Parallelen zum Urteil des EuGH in Sachen Vorratsdatenspeicherung (C-293/12). Zum einen geht der GA davon aus, dass bei Aufzeichnungen dieser Art

[a]us der Gesamtheit dieser Daten … sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden [können]

Hier zitiert er also wörtlich den EuGH in seinem Vorratsdaten-Urteil und vergleicht die potentielle Gefahrenlase der vorliegenden Videoüberwachung mit derjenigen bei der Vorratsdatenspeicherung. Zum anderen zitiert er den EuGH in seinem Urteil zur Vorratsdatenspeicherung vor dem Hintergrund, dass die

Vorratsspeicherung der Daten zu dem Zweck, sie gegebenenfalls den zuständigen nationalen Behörden zugänglich zu machen, unmittelbar und speziell das Privatleben und damit die durch Art. 7 der Charta garantierten Rechte

betrifft, was auch vorliegend der Fall war.

ausschließlich persönlicher oder familiärer Tätigkeiten
Sodann gelangt der GA zur Hauptfrage des Verfahrens, nämlich der Auslegung des Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL. Der GA weist darauf hin, dass diese Bestimmung grundsätzlich nicht auf den Zweck der Verarbeitung personenbezogener Daten abstellt. In der mündlichen Verhandlung war offensichtlich zwischen den verschiedenen Beteiligten strittig, inwieweit die household exemption von der subjektiven Zielrichtung, die einer Datenverarbeitung zugrunde liegt (also die verfolgte Absicht), abhängt. Diese Ansicht lehnt der GA ab, verweist jedoch darauf, dass die subjektive Zielrichtung im Rahmen der Prüfung der Rechtmäßigkeit der Datenverarbeitung (genauer bei der Abwägung i. R. d. Art. 7 lit. f DS-RL eine Rolle spielen kann). Einzig möglich wäre nach dem GA noch, diese Zielrichtung der Tätigkeit als für den ausschließlich persönlichen oder familiären Charakter der betreffenden Datenverarbeitung maßgeblich anzusehen, um die household exemption eingreifen zu lassen. Auch dies lehnt der GA jedoch ab. Der Anwendungsbereich der DS-RL könne nicht von der subjektiven Zweckbestimmung des für die Verarbeitung Verantwortlichen abhängig sein,

weil eine solche Zweckbestimmung weder anhand äußerer Umstände objektiv nachprüfbar noch den Personen gegenüber relevant ist, deren Rechte und Interessen durch die betreffende Tätigkeit berührt werden.

Der Anwendungsbereich der DS-RL müsse daher allein anhand objektiver Kriterien bestimmt werden.

Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL ist als Ausnahmebestimmung eng auszulegen. Nach Ansicht des GA handelt es sich bei den „persönlichen Tätigkeiten“ i. S. d. Vorschrift um Tätigkeiten, die in enger und objektiver Verbindung mit dem Privatleben einer Person stehen und die Privatsphäre anderer nicht spürbar berühren. Der GA weist jedoch darauf hin, dass diese Tätigkeiten auch außerhalb der eigenen Wohnung stattfinden können.

Der zweite Begriff, die „familiären Tätigkeiten“, steht nach dem GA mit dem Familienleben in Verbindung und findet normalerweise innerhalb der Wohnung oder anderer von den Mitgliedern der Familie gemeinsam genutzter Orte statt.

Wichtig hierbei ist jedoch, dass es für die Anwendung dieser Ausnahme nicht ausreicht, dass die Tätigkeiten mit persönlichen oder familiären Tätigkeiten nur verbunden sind. Der Wortlaut ist eindeutig. Die Verbindung muss ausschließlich sein. Hier zieht der GA nun sein erstes Fazit:

Ich stelle daher fest, dass die Videoüberwachung anderer, d. h. die systematische Überwachung von Orten mittels einer Vorrichtung, die ein Videosignal zwecks Identifizierung von Personen aufzeichnet, selbst innerhalb eines Hauses nicht als ausschließlich persönlich angesehen werden kann, was aber nicht ausschließt, dass sie unter den Begriff der familiären Tätigkeit fallen kann.

Gerade Maßnahmen zum Schutz der Unverletzlichkeit eines Privathauses und zu dessen Schutz vor Diebstahl und jedem widerrechtlichem Zugang können nach dem GA aber Tätigkeiten darstellen, die für jeden Haushalt wesentlich sind und daher zu den familiären Tätigkeiten gerechnet werden können. Im vorliegenden Fall war diese Voraussetzung jedoch nicht erfüllt. Denn eine Videoüberwachung, die sich wie hier auf den öffentlichen Raum erstreckt, könne nicht als eine ausschließlich familiäre Tätigkeit angesehen werden, weil sie auch Personen erfasst, die eben keine Verbindung zu der betreffenden Familie.

Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL sei daher vorliegend nicht einschlägig. Die Videoüberwachung falle damit in den Anwendungsbereich der DS-RL

Rechtmäßigkeit der Videoüberwachung
In einer ergänzenden Bemerkung führt der GA jedoch aus, dass sich die Rechtmäßigkeit der Datenverarbeitung vorliegend aus Art. 7 lit. f DS-RL ergeben kann. In dessen Rahmen ist eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen erforderlich, die grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Und hier stellt der GA fest, dass die Tätigkeit von Herrn Ryneš dem Schutz seiner Wahrnehmung anderer Grundrechte wie des Eigentumsrechts und des Rechts auf Familienleben diente. Diese berechtigten Interessen müssen daher bei der Abwägung berücksichtigt werden.

Interessanterweise verwendet der GA im Rahmen des Art. 7 lit. f DS-RL und der dort vorgesehenen Abwägung der Rechte und Interessen nicht die Formulierung des EuGH im Google-Urteil (C-131/12), dass „im Allgemeinen” die durch Art. 7 und 8 der Grundrechtecharta der EU geschützten Rechte der betroffenen Person gegenüber dem Interesse der Internetnutzer überwiegen. Im vorliegenden Fall also, dass etwa im Allgemeinen die Rechte der mit der Kamera aufgezeichneten Personen gegenüber dem Betreiber der Kamera überwiegen.

Fazit
Die Schlussanträge des GA überzeugen. Es war abzusehen, dass die household exemption als Ausnahmeregelung eng auszulegen ist. Zudem ist der geltende Wortlaut („ausschließlich“) ziemlich eindeutig. Begrüßenswert ist die Auffassung des GA, dass die Videoüberwachung nicht per se rechtswidrig sein muss, selbst wenn der öffentliche Raum überwacht wird und eine unbestimmte Anzahl von Personen von den Aufnahmen betroffen ist. Die Interessenabwägung ist vielmehr in jedem Einzelfall durchzuführen und bietet durchaus die Möglichkeit, auch solche Datenverarbeitungen zu rechtfertigen, die einen unbestimmten Personenkreis betreffen, ohne dass die Betroffenen hiervon Kenntnis haben.

Monopolkommission: Suchmaschinen sind keine „wesentlichen Einrichtungen“

Posted on by

Die Monopolkommission, ein unabhängiges Beratungsgremium der Bundesregierung auf dem, Gebiet des Wettbewerbsrechts und der Regulierung, hat am 9. Juli 2014 ihr neuestes Hauptgutachten vorgelegt. Das Gutachten mit dem Titel „Eine Wettbewerbsordnung für die Finanzmärkte“ (PDF) befasst sich unter anderem auch mit der Marktmacht von Internetunternehmen und Fragen zu datenbasierten Geschäftsmodellen und deren Umgang mit personenbezogenen Daten. Dies ist gerade vor dem Hintergrund der aktuell geführten Diskussion um die Stellung von Google und die Überlegungen deutscher Politiker, den Konzern möglicherweise zu entflechten, besonders interessant.

Nachfolgend einige aus meiner Sicht einige interessante Aussagen des 824 Seiten starken Gutachtens:

Mit Blick auf die derzeitige Debatte um den Schutz der Bürger vor einem angeblich zu starken Zugriff der großen Unternehmen auf ihrer personenbezogenen Daten stellt die Kommission fest, dass in der Öffentlichkeit teilweise drastische Maßnahmen diskutiert, die jedoch mitunter über das hinausgehen, was auf Grundlage der aktuellen Erkenntnisbasis angezeigt oder gerechtfertigt erscheinen kann. Die Gutachter sprechen sich daher dafür aus, die Diskussion zu versachlichen und – ausgehend von einer Abgrenzung und Analyse der Problembereiche – genauer zu ermitteln, in welcher Hinsicht ein konkreter Handlungsbedarf besteht und mit welchen Mitteln feststellbare Probleme behoben werden können (S. 59).

Die Gutachter gehen auch kurz auf das Google-Urteil des EuGH und die dort festgestellte Anwendbarkeit europäischen Datenschutzrechts ein. Sie sind der Ansicht, dass die Geltung unterschiedlicher Datenschutzniveaus (durch die Geltung verschiedener Gesetze) für vergleichbare Dienste auch weiterhin substanzielle wettbewerbliche Auswirkungen haben kann. Aus ihrer Sicht sei es daher nicht fernliegend, dass Anbieter mit Sitz in Deutschland wettbewerbliche Nachteile gegenüber etwa in den USA ansässigen Unternehmen haben könnten. Die Monopolkommission möchte das Thema des weitreichenden Datenzugriffs durch Unternehmen in drei Problembereiche gliedern, die aus wettbewerbspolitischer Sicht zu analysieren sind.

  • Die (rechtswidrige) Erhebung, Speicherung und Nutzung von personenbezogenen Daten (Datenschutzproblem).
  • Die missbräuchliche Ausnutzung einer (datenbasierten) wirtschaftlichen Machtstellung (Wettbewerbsproblem).
  • Die Ausbeutung der Stellung gegenüber dem Verbraucher (Verbraucherschutzproblem).

Die Gutachter weisen darauf hin, dass bei einer Suche nach Lösungen versucht werden sollte, diese drei Bereiche nicht miteinander zu vermengen (S. 60).

Zu dem Thema „Daten als Wettbewerbsfaktor“ führt die Kommission aus, dass die Verwendung personenbezogener Daten die Bereitstellung einer qualitativ hochwertigen Dienstleistung für die nicht zahlenden Nutzer ermöglicht. Die Qualität der Dienste steigt dabei nicht nur mit der Zahl der Nutzer, sondern auch gerade mit der Menge der Informationen, die über andere Nutzer verfügbar sind. Mit Blick auf Suchmaschinen ist gerade erst aufgrund der Berücksichtigung und Analyse verfügbarer Nutzerdaten die Anzeige relevanter und damit auch nützlicher Suchergebnisse möglich. Da diese Dienste oft unentgeltlich angeboten werden und damit eine Preisdifferenzierung nicht möglich ist, kommt der Qualität der Suchergebnisse und damit der Nutzung persönlicher Daten für die Orientierung an den Präferenzen des Suchenden eine besondere Rolle zu (S. 62). Daher können sich Internetplattformen durch die Nutzung von Netzwerkeffekten und von personenbezogenen Daten durchaus Vorteile im Wettbewerb mit konkurrierenden Anbietern verschaffen.

Die Gutachter gehen auch auf die in der öffentlichen Diskussion vorgebrachten Vorwürfe ein, einzelne Online-Diensteanbieter seien „marktmächtig“ oder gar „übermächtig“. Hier bemängelt die Kommission, dass dabei überwiegend nicht deutlich werde, auf welche Märkte genau sich die Marktanteile oder genannte Diagnose beziehen sollen. Der Begriff der Markmacht ist jedoch ein zentraler Anknüpfungspunkt von kartell- und regulierungsrechtlichen Pflichten. In der Praxis können hierfür etwa Marktanteile eines Unternehmens ein Indikator sein. Die Feststellung von Marktanteilen setzt jedoch notwendigerweise eine Abgrenzung des relevanten Marktes voraus. Bei Plattformmärkten liegen eigenständige Teilmärkte typischerweise für jeden einzelnen Kundenkreis vor. Als Beispiel führt das Gutachten Internet-Suchmaschinen an. Hier lassen sich etwa Märkte für die Internetsuche, für die Listung in Suchmaschinen und für (dort platzierte) Werbung unterscheiden (S. 64). Allerdings bereitet eine klare Marktabgrenzung und damit eine verlässliche Bestimmung von Marktanteilen hier nicht unerhebliche Schwierigkeiten, da etwa nicht nur direkte Konkurrenten (Yahoo!, Bing, etc.) diese Funktionen anbieten, sondern auch andere Plattformen, wie Reiseportale oder Onlinehändler. Die Kommission befürwortet daher eine Unterscheidung nach „horizontalen“ Suchmaschinen (Google, Bing, etc.), die Ergebnisse listen, ohne nach Themengebieten zu differenzieren und „vertikalen“ Suchmaschinen (Amazon, eBay, etc.) die eine spezialisierte Suche innerhalb eines festgelegten Bereiches ermöglichen.

Die Kommission geht auch auf die in der Debatte um große Betreiber von Suchportalen und sozialen Netzwerken aufgestellten Behauptungen ein, diese seien „systemrelevant“ oder „Gatekeeper“ für die Datennutzung und den Datenaustausch im Internet. Damit soll ausgedrückt werden, dass solche Unternehmen eine Infrastruktur bereitstellen, die für die Gesellschaft von grundlegender Bedeutung ist (S. 65). Die Kommission hinterfragt jedoch, ob es sich bei Suchportalen oder sozialen Netzwerken um sogenannte „wesentliche Einrichtungen“ im wettbewerbsrechtlichen Sinne handelt. Die Gutachter führen aus, dass das Konzept der „wesentlichen Einrichtungen“ sich auf Unternehmen, die marktbeherrschend sind, weil sie eine wesentliche Einrichtung kontrollieren, d. h. ein Eingangsprodukt, das für einen Marktzutritt auf einem vor- oder nachgelagerten Markt unerlässlich ist.

Das Ergebnis im Gutachten:

Es gibt jedenfalls zurzeit keine Anhaltspunkte, dass etwa die großen Suchportale unerlässlich wären, um das Internet zu nutzen oder darin zu suchen. Auch hinsichtlich der bestehenden sozialen Netzwerke erscheint die Annahme einer wesentlichen Einrichtung eher fernliegend, jedenfalls mit Blick auf die Nutzung solcher Netzwerke im sozialen Kontext.(S.66)

Insgesamt ist das Gutachten wirklich lesenswert und gibt einen guten Überblick über die Fragen, die sich hier derzeit und in Zukunft im Bereich der Schnittmenge von Wettbewerbsrecht und dem Datenschutz stellen könnten.

Recht auf Vergessen – Warum Google nicht überreagiert

Posted on by

Gestern wurde berichtet, dass verschiedene Medienunternehmen (u. a. der Guardian und die BBC) nicht mit der Art und Weise einverstanden sind, wie Google im Zuge der Umsetzung des Urteils des EuGH vom 13. Mai 2014 (Az. C-131/12) begonnen habe, Links aus Suchergebnislisten zu Beiträgen auf ihren Webseiten zu entfernen. Diese Löschungen wurden unter anderem mit der Begründung kritisiert, dass Google hier überreagiere, dass die betroffenen Presseunternehmen nicht die Gründe der Löschung und auch allgemein nicht die Kriterien kennen würden, nach denen Google die Anfragen bearbeite. Zudem könnten sie sich daher auch nicht gegen eine Löschung aus den Ergebnislisten wehren.

Dass sich nun Erstaunen und Verwunderung über diese Praxis breit macht, mag verständlich sein. Wenn man sich jedoch das EuGH-Urteil betrachtet, ist es einfach nur die logische Konsequenz der Vorgaben der europäischen Richter und keine Überraktion oder dergleichen.

Zum einen verlangt weder das EuGH-Urteil noch das geltende Datenschutzrecht, dass Google Dritten, die Urheber der Originalseite sind (in diesem Fall den Presseunternehmen), die Gründe darlegen muss, warum es einen Eintrag aus der Ergebnisliste entfernt. Klar ist vielmehr, dass derartige Löschantrage direkt an den für die Verarbeitung Verantwortlichen gerichtet werden können und von diesem zu prüfen sind. Selbst wenn Google die Kriterien veröffentlichen würde, nach denen es die Anträge beurteilt, so würde dies den Presseunternehmen wohl wenig helfen. Nach dem Urteil des EuGH sind die generell anzulegenden Maßstäbe nämlich vorgegeben: der Ausgleich der sich gegenüberstehenden Interessen kann in „besonders gelagerten Fällen von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information“ abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren kann. Damit sind die Prüfkriterien öffentlich vorgegeben.

Hier wird jedoch bereits eine negative Konsequenz des EuGH-Urteils deutlich: das Interesse der Öffentlichkeit und auch des Dritten, dass Informationen weiterhin in Ergebnislisten angezeigt werden, hat in dem von Google einzurichtenden Verfahren der Prüfung von Löschanträgen, keinen Vertreter. Beteiligt sind grundsätzlich nur der Betroffene und Google. Der Suchmaschinenbetreiber befindet sich jedoch zudem in der unangenehmen Lage, dass bei einer Nichterfüllung des Löschwunsches, der Betroffene immer noch einen Antrag bei der Datenschutzbehörde oder bei einem Gericht stellen kann. Wollte man verlangen, dass Google sich bei der Prüfung auch in die Lage der Webseitenbetreiber und der Öffentlichkeit versetzt, so würde man dem Suchmaschinenbetreiber eine unabhängige Rolle zusprechen wollen, die er aber nicht besitzt.

Nun könnte man argumentieren, dass Google dann eben in Zweifelsfällen den Eintrag nicht löschen darf, sondern es auf ein Verfahren bei der Datenschutzbehörde oder einem Gericht ankommen lassen muss. Hier kommen wir zu der nächsten, sich in der Praxis negativ auswirkenden Vorgabe des EuGH-Urteils. Denn der Gerichtshof hat klargestellt, dass „im Allgemeinen“ die Rechte der Betroffenen auf Privatsphäre und Datenschutz gegenüber dem Interesse der Internetnutzer am Zugang zu den Informationen überwiegen. Nur „in besonders gelagerten Fällen“ könne ein Ausgleich der verschiedenen Interessen etwa von der Art der Informationen oder deren Sensibilität für das Privatleben der betroffenen Person abhängen. Dies bedeutet freilich nichts anderes, als dass im Zweifel die Löschung der Links in der Ergebnisliste vorgenommen werden muss. Dies ergibt sich bereits aus dem Grundprinzip des hier in Rede stehenden Löschanspruchs. Diese stützt sich unter anderem auf die Erfüllung der Voraussetzung des Art. 7 f) der Datenschutz-Richtlinie (DS-RL), wonach die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Es ist also im Rahmen der Prüfung der Rechtmäßigkeit stets eine Abwägung der Interessen und Grundrechte vorzunehmen. Das ist der gesetzlich vorgesehene Standardfall. Die vom EuGH angesprochenen „besonders gelagerten Fälle“ können daher nicht die Abwägung und damit verbundene Schwierigkeiten an sich betreffen. Denn ansonsten würde der gesetzlich vorgesehene Standardfall zu dem vom EuGH erwähnten besonders gelagerten Fall. Google muss, wenn es dem Urteil des Gerichtshofs folgen will, also gerade auch bei Zweifelsfällen im Rahmen der Abwägung, die nicht besonders gelagert sind, die Einträge in Ergebnislisten löschen. Über diese vorgegebene Wertung zugunsten der Rechte der Betroffenen, mag man sich, meines Erachtens zu Recht, aufregen. Diese Vorgabe besteht aber nun und Google scheint sie umzusetzen. Was sich nun in der Praxis zeigt, sind die Ergebnisse des Anlegens dieser Pro-Datenschutz-Schablone.

Noch ein Gedanke zu der Forderung, dass dann eben die Datenschutzbehörde über derartige Löschanträge und damit auch die Abwägung von dem Recht auf Schutz personenbezogener Daten und dem Recht auf Informationsfreiheit entscheiden solle. Mir ist immer noch nicht klar, wie ein solches Vorgehen und eine damit verbundene Anordnung der Löschung von Links aus Ergebnislisten mit Art. 11 Abs. 1 der Grundrechtecharta der Europäischen Union vereinbar ist. Dort heißt es: „Jede Person hat das Recht…Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben“. Die Löschanordnung durch eine Aufsichtsbehörde würde jedoch genau einen solchen Eingriff in das Recht auf den Empfang von Informationen im Internet darstellen.

Zum Teil wird auch kritisiert, dass Google keine Volljuristen einstelle, um die eingehenden Anträge zu prüfen und die Abwägung vorzunehmen. Eine solche Anforderung ergibt sich weder aus dem EuGH-Urteil, noch aus dem geltenden Datenschutzrecht. Natürlich wäre es wünschenswert, wenn die Abwägung von im Presse- oder Datenschutzrecht versierten Juristen vorgenommen wird. Eine Pflicht hierzu, besteht aber nicht.

Die sich nun ausbreitende Diskussion zeigt, dass der EuGH mit seinem Urteil (wie von mir bereits beschrieben), eventuell doch über das Ziel des erforderlichen Ausgleichs der Grundrechte zwischen Privatsphäre und Datenschutz einerseits, wirtschaftlicher Betätigung und Informationszugang anderseits, hinausgeschossen sein könnte. Wenn man sich als Suchmaschinenbetreiber nun strikt an diese Vorgaben hält, dann wird in der Praxis dieses bisher nur erahnte und sich abstrakt abzeichnende Defizit der Anerkennung einer Gleichwertigkeit von Grundrechten und –freiheiten der beteiligten Parteien im Internet deutlich.