IT-Sicherheitsgesetz: Geplante Änderungen und Auswirkungen für Webseitenbetreiber

Am 17.12.2014 hat die Bundesregierung den Entwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, PDF) beschlossen. Nach der Pressemitteilung des federführend zuständigen Bundesinnenministeriums, werden in den Entwurf, zur Steigerung der IT-Sicherheit im Internet, die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich erhöht. Sie sollen künftig Sicherheit nach dem jeweiligen Stand der Technik bieten.

Geplant sind auch Änderungen des Telemediengesetzes (TMG), welches im Grundsatz für alle Webseiten oder andere Internetangebote, aber etwa auch Apps gilt. Die Begründung des Gesetzentwurfes führt einleitend zu den vorgeschlagenen Anpassungen des TMG aus, dass wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste, die bestehenden Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt werden.

Nach dem Entwurf des IT-Sicherheitsgesetzes wird in § 13 TMG ein neuer Absatz 7 eingefügt (nachfolgend § 13 Abs. 7 TMG-E), der folgenden Wortlaut hat:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

„Geschäftsmäßig“
Die neuen Verpflichtungen zur Implementierung technischer und organisatorischen Maßnahmen sollen nur für „geschäftsmäßig angebotene Telemedien“ gelten. Nach der Gesetzesbegründung ist ein Angebot dann geschäftsmäßig, „wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt“. Bei gegen Entgelt angebotenen Telemedien ist diese Voraussetzung regelmäßig erfüllt. Die Begründung führt beispielhaft „werbefinanzierte Webseiten“ an. Ausdrücklich ausgeschlossen von dem Anwendungsbereich des neuen § 13 Abs. 7 TMG-E soll jedoch das „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“ sein. Daher dürfte etwa ein privat betriebener Blog nicht der neuen Pflicht unterliegen, selbst wenn dieser mit gewisser Nachhaltigkeit und auch planmäßig betrieben wird. Denn nach der Gesetzesbegründung reicht es für die Nicht-Anwendbarkeit des neuen Abs. 7 aus, dass das Angebot nicht-kommerziell durch einen Privaten betrieben wird.

Zumutbarkeit von Schutzmaßnahmen
Nach dem geplanten Abs. 7 müssen Diensteanbieter (also etwa Webseitenbetreiber von Onlineshops) kumulativ (!) sicherstellen, dass 1) kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist, 2) diese gegen Verletzungen des Schutzes personenbezogener Daten und 3) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Die drei Schutzpflichten sind mit dem Wort „und“ verbunden, woraus sich eine notwendige Erfüllung aller drei Voraussetzungen ergibt. Ein Diensteanbieter wird sich also grundsätzlich nicht darauf berufen können, er habe seinen Dienst doch besonders gegen unerlaubte Zugriffe geschützt und dass dies ausreichen müsse.

Da der damit einhergehende tatsächliche Aufwand für Diensteanbieter, je nach den bereits implementierten Schutzmaßnahmen, nicht unerheblich sein dürfte, sieht Abs. 7 jedoch als Tatbestandsvoraussetzung ebenso das Kriterium der „Zumutbarkeit“ für den Diensteanbieter vor. Die entsprechenden Vorkehrungen müssen für den konkreten Diensteanbieter technisch möglich und wirtschaftlich zumutbar sind. Zu hohe Umsetzungskosten stellen daher etwa ein Kriterium dar, welcher der Webseitenbetreiber rechtmäßigerweise anführen darf, um nur diejenigen technischen und organisatorischen Maßnahmen umzusetzen, die er sich auch wirklich leisten kann. Der Betreiber einer Webseite oder eine anderen Internetdienstes ist also nicht dazu verpflichtet, sein Unternehmen mit finanziellen Verlusten zu belasten, die das Angebot selbst unrentabel machen würde oder gar seine Existenz gefährden. Laut der Begründung des Gesetzentwurfes müssen die „Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen“.

Pflicht zur Anpassung von Kooperationsverträgen?
Im Hinblick auf Webseiten führt die Begründung des Gesetzentwurfes aus, dass es ein wesentliches Ziel des neuen Abs. 7 ist, das unbemerkte Herunterladen von Schadsoftware beim Besuch einer präparierten Webseite zu unterbinden. Webseitenbetreiber sollten daher regelmäßig die für die Erstellung und den Betrieb der Webseite verwendete Software aktualisieren, da hierdurch die Sicherheit erhöht werde.

Häufig finanzieren Webseitenbetreiber ihr Angebot mit Werbeanzeigen. Der Inhalt der Werbebanner ist jedoch meist nicht ein originär eigener. Vielmehr wird dieser über Dritte, etwa die Betreiber von Werbenetzwerken, bezogen. Der Webseitenbetreiber hat also auf den Inhalt der Werbebanner meist keinen direkten, insbesondere technischen Einfluss (außer das Banner komplett zu entfernen). Es besteht jedoch technisch die Möglichkeit, dass über die Werbeanzeigen schädliche Inhalte geladen werden. Auch in dieser Konstellation sieht der Gesetzesentwurf den Webseitenbetreiber jedoch zumindest in einer Teilpflicht. Gegen das Laden und Einspeisen schädlicher Skripte oder von Software über Drittinhalte innerhalb des eigenen Angebotes, sind nach der Begründung des Gesetzesentwurfs „organisatorische Vorkehrungen zu treffen“. Nach Auffassung der Bundesregierung gehört hierzu beispielsweise, dass Werbedienstleister, denen Werbefläche eingeräumt wird, vertraglich zu notwendigen Schutzmaßnahmen verpflichtet werden.

Bußgeldbewährung
Ein fahrlässiger oder vorsätzlicher Verstoß gegen § 13 Abs. 7 S. 1 Nr. 1 und Nr. 2 a) TMG-E (nicht die Nr. 2 b)) soll zudem eine Ordnungswidrigkeit darstellen (§ 16 Abs. 2 Nr. 3 TMG) und nach § 16 Abs. 3 TMG die Möglichkeit eines Bußgeldes in Höhe von 50.000 EUR nach sich ziehen. Beachtlich ist insofern, dass damit nicht nur das komplette Fehlen von technischen und organisatorischen Maßnahmen eine Ordnungswidrigkeit darstellt. Die Begründung des Gesetzesentwurfs spricht ausdrücklich davon, dass „damit auch der Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter, die nicht den Stand der Technik berücksichtigen“ bußgeldbewährt sein soll.

Behörden fordern App-Stores auf, Datenschutzerklärungen als Pflicht für App-Anbieter einzuführen

Insgesamt 23 Datenschutzbehörden auf der ganzen Welt haben einen offenen Brief an sieben Betreiber großer App-Stores unterzeichnet. Darin fordern die Datenschützer die Betreiber der App-Marktplätze auf, eine Verpflichtung für App-Anbieter vorzusehen, Links zu Datenschutzerklärungen ihrer Apps bereitzustellen, wenn sie über ihre Apps personenbezogenen Daten verarbeiten. Ansonsten sollen die Apps nicht zugelassen werden.

Die unterzeichnenden Datenschutzbehörden, aus Deutschland sind die Landesdatenschützer aus Baden-Württemberg und Bayern beteiligt, arbeiten im sog. „Global Privacy Enforcement Network (GPEN)“ zusammen. Innerhalb dieses Netzwerkes führen die Behörden jedes Jahr weltweit Prüfungen von Apps und deren Einhaltung der geltenden Datenschutzgesetze durch. Der bayerische Datenschützer hatte im Mai 2014 informiert, dass im Rahmen seiner Prüfung 60 Apps begutachtet und teilweise erheblich Mängel festgestellt worden sind. Die Datenschutzaufsichtsbehörden des Bundes und der Länder für den nichtöffentlichen Bereich (Düsseldorfer Kreis) haben in Deutschland im Juni 2014 eine „Orientierungshilfe Apps“ erstellt, um die aus ihrer Sicht notwendigen datenschutzrechtlichen Anforderungen an den Einsatz und den Vertrieb von Apps darzustellen (hierzu mein ausführlicher Blogbeitrag).

In ihrem am 9. Dezember 2014 veröffentlichten Brief, fordern die Datenschutzbehörden aus der ganzen Welt nun jedoch Unterstützung durch die großen Anbieter der App-Stores. Darunter Apple, Google, Samsung und Microsoft. Zwar würde auf den App-Marktplätzen die Möglichkeit für App-Anbieter bestehen, einen Link zu ihrer Datenschutzerklärung einzufügen. Die Marktplatz-Anbieter sollten jedoch dazu übergehen, die Bereitstellung von Informationen zur Datenverarbeitung als zwingende Voraussetzung eines Angebotes der App auf der Plattform vorzusehen.

Herausgabe von Daten an US-Behörden: Irische Regierung bittet EU-Kommission um Hilfe

Im April 2014 hatte ein US-Gericht entschieden (PDF), dass Microsoft dazu verpflichtet sei, Kundendaten die auf Servern in Irland gespeichert sind, an amerikanische Behörden herauszugeben. Gegen diesen Beschluss wehrte sich Microsoft, wurde jedoch auch durch ein Bundesgericht angewiesen, dem Durchsuchungsbefehl der US-Behörden nachzukommen. Für das Berufungsverfahren wurde der Vollzug ausgesetzt und Microsoft möchte die Daten auch nicht herausgeben. Andere Konzerne wie Apple und Cisco unterstützen die Position von Microsoft.

Zum einen besitzt das Verfahren eine mögliche wirtschaftliche Brisanz. Amerikanische Unternehmen müssten sich stets dem Risiko ausgesetzt sehen, dass Kundendaten, egal wo sie gespeichert sind, dem Zugriff von US-Behörden unterliegen.

Vor allem aber ist der Fall rechtlich interessant. Denn die amerikanischen Behörden haben nicht etwa die offiziellen Kanäle (Rechtshilfeabkommen zwischen der EU und den USA) genutzt, sondern sich direkt an das Unternehmen gewandt. Die ehemalige EU-Kommissarin für Justiz, Viviane Reding, hatte bereits im Juli 2014 die Befürchtung geäußert, „dass die extraterritoriale Anwendung ausländischer Gesetze (und darauf basierende gerichtliche Anweisungen gegen Unternehmen) gegen internationales Recht verstoßen“.

Nun hat der Irische Minister für Europaangelegenheiten und für den Datenschutz offiziell die EU-Kommission um ihre Unterstützung in diesem Gerichtsverfahren gebeten. Nach Aussage des Ministers könnte der Ausgang dieses Verfahrens möglicherweise schwerwiegende Folgen für den Datenschutz in der Europäischen Union besitzen. Durch den Versuch, die Herausgabe von Daten durch direkte Anordnungen gegenüber den Unternehmen zu erlangen, könnten die bestehenden Rechtshilfeabkommen praktisch umgangen werden.

Für international agierende Unternehmen besteht das sowohl schlichte als auch kaum zu lösende Problem, dass sie zwischen mehreren Rechtssystemen gefangen sind und nur zwischen den Rechtsverletzungen und den zu erwartenden Folgen wählen können. Dass sich eine solche Situation in einer digitalen Welt, in der immer mehr Wirtschaftszweige auf den ungehinderten Fluss von Daten angewiesen sind, als absolut unbefriedigend und revisionsbedürftig darstellt, dürfte wohl jedem einleuchten.

Europäischer Gerichtshof zur Haftung eines Zeitungsverlages für Online-Artikel

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 11. September 2014 (C-291/13, derzeit nicht auf Deutsch verfügbar) entschieden, dass ein Zeitungsverlag, der eine Webseite betreibt, über die eine Online-Version der herausgegebenen Zeitung abrufbar ist, sich unter gewissen Voraussetzungen nicht auf die Haftungsprivilegierungen der Art. 12 bis 14 der Richtlinie 2000/31/EG (sog. eCommerce-Richtlinie) (in Deutschland umgesetzt in den §§ 7 – 10 TMG) berufen kann.

Der Entscheidung lagen mehrere Vorlagefragen eines zypriotischen Gerichts zugrunde. Der dortige Kläger wandte sich mit Schadenersatz- und Unterlassungsklagen gegen einen online abrufbaren Zeitungsartikel, in dem er seiner Ansicht nach diffamiert wurde.

Entgeltlichkeit bei Online-Werbung
In seiner Entscheidung legt der EuGH zunächst dar, dass der Anwendungsbereich der eCommerce-Richtlinie dann eröffnet ist, wenn es sich um Tätigkeiten eines „Dienstes der Informationsgesellschaft“ handelt. Nach Erwägungsgrund 18 umfassen diese Dienste der Informationsgesellschaft einen weiten Bereich von wirtschaftlichen Tätigkeiten, die online vonstattengehen. Art. 2 a) eCommerce-Richtlinie verweist für die Definition des Begriffs zudem auf Art. 1 Nr. 2 der Richtlinie 98/34/EG (PDF). Danach ist ein „Dienst“ eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Der EuGH stellt in seinem Urteil klar, dass das Entgelt nicht von dem Empfänger des Dienstes selbst stammen muss. Es reichen hierfür auch Einnahmen aus Werbeanzeigen aus, die auf einer Webseite vom Betreiber eingesetzt werden.

Keine Haftungsprivilegierung
Zudem befasste sich der EuGH mit der Frage, inwieweit sich der Zeitungsverlag auf die Haftungsprivilegierungen der Art. 12 bis 14 eCommerce-Richtlinie berufen kann, wenn er eine Webseite betreibt, auf der Zeitungsartikel erscheinen, die von angestellten oder freiberuflichen Journalisten verfasst wurden und der Verlag seine Vergütung auch aus den Einnahmen der Einbindung von Online-Werbeanzeigen auf der Webseite generiert.

Der EuGH verweist zunächst auf seine frühere Rechtsprechung (u.a. C-236/08), wonach sich aus Erwägungsgrund 42 der eCommerce-Richtlinie ergibt, dass die hinsichtlich der Verantwortlichkeit festgelegten Ausnahmen nur Fälle erfassen, in denen die Tätigkeit des Anbieters von Diensten der Informationsgesellschaft „rein technischer, automatischer und passiver Art“ ist. Dies bedeutet, dass der Anbieter „weder Kenntnis noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzt“. Erforderlich für eine Antwort auf die Frage, ob ein Diensteanbieter sich auf die Haftungsprivilegierung des Art. 14 eCommerce-Richtlinie, also die reine Speicherung von fremden Informationen (umgesetzt in § 10 TMG), berufen kann, ist nach dem EuGH die Feststellung, ob die Rolle dieses Anbieters insofern neutral ist, als sein Verhalten rein technischer, automatischer und passiver Art ist und er weder Kenntnis noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzt.

Für den hier vorliegenden Sachverhalt begründet der EuGH die mangelnde Haftungsprivilegierung wie folgt: Da der Zeitungsverlag grundsätzlich Kenntnis von denjenigen Informationen besitzt, die im Rahmen des Online-Angebotes in Form der Artikel bereitgestellt werden und über die Artikel und die in ihnen enthaltenen Informationen auch eine faktische Kontrolle ausübt, kann der Verlag hier nicht als „Vermittler“ im Sinne der eCommerce-Richtlinie angesehen werden. Dies unabhängig davon, ob der Zugang zu der Webseite kostenlos oder kostenpflichtig ausgestaltet ist.

Recht auf Vergessen: Google veröffentlicht neue Zahlen – Facebook am meisten betroffen

Als Teil seiner online abrufbaren Transparenzberichte hat Google am 9. Oktober 2014 neue Zahlen und Statistiken zu Löschanfragen von Betroffenen präsentiert, die ihr sog. „Recht auf Vergessenwerden“ nach dem europäischen Datenschutzrecht wahrgenommen haben.

Die von Google bereitgestellten Statistiken geben Auskunft über die Gesamtzahl der Anfragen und der betroffenen Links. Auch kann man die Anfragen nach europäischen Ländern filtern. Zudem gibt Google auch Beispiele dafür, welche Arten von Anfragen gestellt wurden, worum es bei diesen inhaltlich ging und ob die betreffenden URLs aus der Ergebnisliste entfernt (bzw. unterdrückt) wurden oder nicht.
Seit dem Urteil des Europäischen Gerichtshofs (Rs C-131/12) vom 13. Mai 2014, hat Google nach eigenen Angaben 144.907 Ersuchen von Betroffenen erhalten. Diese bezogen sich auf insgesamt 497.507 URLs. Hieraus wird deutlich, dass die meisten Personen direkt nicht nur Suchergebnisse zu einer URL, sondern zu mehreren Quellen unterdrückt wissen wollen.

Die Zahlen für Deutschland: Insgesamt 24.979 Ersuchen, die sich auf 88.873 URLs bezogen.

Interessant ist zudem die Statistik, welche Webseiten (also Suchergebnisse mit URLs dieser Webseiten) im Schnitt am häufigsten von Löschanfragen betroffen waren. Spitzenreiter ist hier Facebook.com. Diesbezüglich wäre es natürlich besonders interessant, weitere Einzelheiten zu kennen. Denn wie die meisten wissen, kann man als Nutzer von Facebook Beiträge und Bilder völlig freiwillig der Öffentlichkeit (als dem gesamten Internet und damit auch der Suchmaschine von Google) zugänglich machen. In diesen Fällen wäre also wohl besonders zu untersuchen, ob eventuell die Person, die die Löschanfrage an Google gestellt hat, nicht vorher selbst in die Veröffentlichung eines Bildes oder Textes mit ihren personenbezogenen Daten eingewilligt hat. Freileich können sich die Löschgesuche aber vor allem auch auf diejenigen Fälle beziehen, in denen z.B. Bilder von einer Person ohne deren Zustimmung für die Öffentlichkeit sichtbar gemacht wurden, etwa weil sie aus ihrem Facebookprofil (dessen Inhalte nur für Freunde sichtbar sind) herauskopiert und erneut (öffentlich) gepostet/geteilt wurden.

Weitere beliebte „Löschziele“ der Antragsteller sind auch die Seiten von Youtube, das soziale Netzwerk Badoo und Personensuchmaschinen, wie etwa Yasni.

Die Initiative von Google, Informationen zu den Löschanfragen und ihrer Behandlung durch das Unternehmen zu veröffentlichen ist in jedem Fall zu begrüßen.

Datenschützer entwickeln ein Hausaufgabenheft für Google

Seit 2012 haben europäische Datenschutzbehörden in einer koordinierten Aktion, unter Führung der französischen Datenschutzbehörde, die Datenschutzerklärung von Google und deren Vereinbarkeit mit europäischem Datenschutzrecht überprüft (hierzu meine Blogbeiträge: Europa gegen Google? – Die “Task-Force” macht ernst und Französische Datenschutzbehörde eröffnet Verfahren gegen Google). Nachdem in den letzten Jahren jeweils nationale Verfahren aus diesem koordinierten Vorgehen erwachsen sind (etwa in Spanien oder in Frankreich), hat das Gremium der europäischen Datenschutzbehörden (die Art. 29 Gruppe) nun einen Maßnahmenkatalog (PDF) (man könnte auch von einem datenschutzrechtlichen Hausaufgabenheft sprechen) entwickelt, der Maßnahmen vorschlägt, wie aus der Datenschutzbehörden die Datenschutzerklärung von Google anzupassen ist, um eine Konformität mit europäischem Datenschutzrecht herzustellen. Begleitet wird dieser Katalog von einem Brief (PDF) an Larry Page.

Die Vorschläge der Datenschützer sind dabei als mögliche Lösungsvarianten anzusehen und sollen Google dabei helfen, die Vorgaben der Aufsichtsbehörden umzusetzen. Nachfolgend einige Highlights des immerhin 6-seitigen Dokuments.

  • Die Datenschutzerklärung soll stets sichtbar und direkt aufrufbar sein, ohne dass Nutzer etwa zum Ende einer Webseite scrollen müssten.
  • Es sollen abschließend alle Datenarten aufgelistet werden, die von Google im Rahmen seiner Dienste verarbeitet werden.
  • Auch sollen abschließend alle Zwecke angegeben werden, die der Datenverarbeitung zugrunde liegen.
  • Allein auf einer Seite soll Google den Nutzern die Möglichkeit bieten, sich ein umfassendes Bild über die Datenverarbeitung zu verschaffen.
  • Sollten sich die Zweck der Datenverarbeitung ändern oder neue hinzukommen, so soll Google dies nicht in den Nutzungsbedingungen darstellen, sondern vielmehr in der Datenschutzerklärung darüber informieren.
  • Werden Daten an Dritte weitergegeben, so dürfe Google nicht einfach von „Partnern“ sprechen, sondern müsse diese Partner konkret benennen.
  • Passive Webseitenbesuchern sollen besser informiert werden. Zudem müsste ihnen die Möglichkeit einer Einwilligung in die Verarbeitung ihrer Daten gegeben werden. Die Art. 29 Gruppe weißt hier auf Google Analytics hin. So könnte der Dienst etwa derart eingestellt werden, dass eine Analyse des Nutzerverhaltens erst beginnt, wenn der Betroffene seine Einwilligung erteilt hat. Auch wird hier auf die in der Praxis etablierte Verfahrensweise des Einsatzes von Google Analytics in Deutschland hingewiesen (Kürzung der IP-Adresse; Abschluss eines Vertrages zur Auftragsdatenverarbeitung; Möglichkeit des Opt-out). Diese Lösung könnte, so die Idee der Datenschützer, auf andere Länder übertragen werden.
  • Google sollte zudem die Formulierungen seiner Datenschutzerklärung ändern und keine Begriffe wie „wir können“ verwenden.
  • Nach Ansicht der Art. 29 Gruppe könnte Google seine Datenschutzerklärung mehrschichtig aufbauen. Auf der ersten Ebene allgemeine Informationen mit Verweisen zu speziellen und umfangreicheren Erläuterungen der einzelnen Dienste. Auf der zweiten Ebene dann spezielle Informationen zum Datenumgang bei den einzelnen Diensten.
  • Zudem soll Google Richtlinien zur Datenspeicherung und der Speicherdauer entwickeln. Diese sollten den Datenschutzbehörden vorgelegt werden.

Die Vorgaben bzw. Empfehlungen der Art. 29 Gruppe sind durchaus eine interessante Zusammenstellung an Interpretationen des europäischen Datenschutzrechts und wie sich ein Diensteanbieter wie Google insoweit konform verhalten kann. Dennoch scheinen einige der Vorgaben praktisch kaum umsetzbar bzw. mit dem geltenden Datenschutzrecht nicht begründbar zu sein. Ein Beispiel: die umfassende Aufklärung der Datenverarbeitung allein auf einer Seite. Was ist überhaupt eine „Seite“? DinA4? Gerade Unternehmen wie Google verarbeiten eine große Menge an Daten. Die Verarbeitungsvorgänge sind teilweise nicht in einem Satz darzustellen. Möchte der Anbieter also zumindest ansatzweise umfassend und dazu noch verständlich aufklären, dann benötigt er eben auch einmal mehr als eine „Seite“ an Informationen. Dieses Dilemma ist aber nicht unbedingt neu. Unternehmen möchten umfassend aufklären: dann wird ihnen vorgeworfen, die Datenschutzerklärung sei zu lang und kompliziert. Diensteanbieter straffen die Informationen und reduzieren sie auf die Kernthemen: dann wird ihnen vorgeworfen, dass sie nicht ausreichend aufklären und Nutzer in die Irre führen. Es zeigt sich, dass der Anspruch des Rechts und die Umsetzung in der Praxis doch häufig kaum (oder nur mit massiven Verrenkungen) vereinbar sind.

Google-Urteil: Europäische Datenschützer entwickeln Netzwerk für Beschwerden

Die europäischen Datenschutzbehörden, versammelt in der sog. Artikel 29 Gruppe, haben gestern bekannt gegeben (Pressemitteilung, PDF), dass als Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Google aus dem Mai diesen Jahres (C-131/12) , Maßnahmen ergriffen werden sollen, um Beschwerden koordiniert bearbeiten zu können.

Nachdem sich die Vertreter der europäischen Datenschutzbehörden im Juli mit den Anbietern der großen Internetsuchmaschinen in Brüssel trafen (Pressemitteilung, PDF), um über die Folgen und die Umsetzung des Google-Urteils in der Praxis zu beraten, entwickeln die Aufsichtsbehörden nun ein gemeinsames Verfahren, mit dem Beschwerden von Betroffenen bearbeitet werden sollen, deren Antrag auf Entfernung von Suchergebnissen abgelehnt wurde.

Nähere Details des europaweit geplanten Systems der Behörden sind noch nicht bekannt. Laut der Pressemitteilung werden wohl in jedem Land besondere Kontaktpersonen in den Behörden benannt, die den Informationsaustausch und Kontakt mit den Kollegen in ausländischen Datenschutzbehörden sicherstellen sollen. Der Artikel 29 Gruppe geht es vor allem darum, eine einheitliche Herangehensweise zu entwickeln, so dass gleich gelagerte Fälle auch gleich entschieden werden können. Die von den Aufsichtsbehörden anzulegenden Prüfkriterien sollen auf diese Weise vereinheitlicht werden. Innerhalb dieses Netzwerkes soll ein gemeinsames Archiv von Entscheidungen der Behörden in anderen Beschwerdeverfahren vorgehalten werden.

Das, wohl virtuell aufgesetzte System (im Prinzip dürfte es sich um eine gemeinsame Datenbank handeln), soll zudem Bedienelemente und Funktionen enthalten, damit bei einer Beschwerde europaweit nach vergleichbaren Verfahren gesucht werden kann oder neue bzw. besonders schwierige Sachverhalte identifiziert werden können.

Die Artikel 29 Gruppe versucht begrüßenswerter Weise, die Beschwerdeverfahren europaweit soweit als möglich zu vereinheitlichen. Abweichende Entscheidungen zu ähnlich gelagerten Fällen in verschiedenen europäischen Ländern würden bei Betroffenen wohl für Verwirrung sorgen. Auf der anderen Seite muss man auch anerkennen, dass es sich bei den Beschwerden im Rahmen des „Rechts auf Vergessenwerden“ häufig um schwierige und komplexe Abwägungsfragen handeln wird. Eine schablonenhafte Herangehensweise scheint mir insoweit nicht unbedingt durchweg als der richtige Weg. Die vorzunehmende Güterabwägung (Datenschutz einerseits, Meinungsfreiheit und Recht auf Informationszugang anderseits) sollte keinem vorher feststehenden Ergebnis zum Opfer fallen. Die Verständigung auf besonders zu beachtende Kriterien im Rahmen der Abwägung ist sicher nicht verkehrt. Doch sollte mit derartigen Methoden äußerst sorgsam umgegangen werden, wenn man das Grundprinzip einer auf den Einzelfall beschränkten Güterabwägung von kollidierenden Grundrechten nicht langsam abbauen möchte.

Eine kleine Randnotiz: die Artikel 29 Gruppe spricht nicht mehr von dem „Recht auf Vergessenwerden“ (right to be forgotten), sondern von einem Recht „entlistet zu werden“ (right to be de-listed).

Vorlagefragen an den EuGH: Wie weit reicht der Arm nationaler Datenschutzbehörden?

Der Europäische Gerichtshof (EuGH) ist im Rahmen eines Vorabentscheidungsersuchens (C-230/14) aus Ungarn mit mehreren Fragen befasst, inwieweit die Datenschutzbehörde eines EU-Mitgliedstaates ihre Kontrollbefugnisse auch gegen Webseitenanbieter, die in einem anderen Mitgliedstaat niedergelassen sind, ausüben und durchsetzen kann.

Sachverhalt
Das Unternehmen Weltimmo, mit Sitz in der Slowakei, bietet auf seiner Webseite die Möglichkeit zur Vermittlung von Immobilien an. Auf der Webseite konnten auch ungarische Staatsbürger Anzeigen für Immobilien schalten, die sich in Ungarn befinden. Die für den Dienst verwendeten Server befinden sich wiederum in einem dritten EU-Mitgliedstaat. Dieser Service wurde zunächst kostenlos angeboten, nach einer gewissen Zeit jedoch automatisch in ein kostenpflichtiges Angebot umgewandelt und die Betroffenen wurden zur Kasse gebeten. Zudem konnten Anzeigen mit personenbezogenen Daten nicht gelöscht werden (hier mehr zu dem ursprünglichen Verfahren, Englisch). Gegen diese Praxis wandten sich einige ungarische Staatsbürger und beschwerten sich bei ihrer nationalen Datenschutzbehörde. Diese untersuchte den Vorfall. Sie hielt sich für zuständig und erließ gegen das slowakische Unternehmen einen Bußgeldbescheid wegen der Verletzung ungarischen Datenschutzrechts. Hiergegen wandte sich Weltimmo, in erster Instanz erfolgreich. In der zweiten Instanz wandte sich das ungarische Gericht nun an den EuGH, da einige Fragen zum anwendbaren Recht als auch der aufsichtsbehördlichen Kompetenz bestanden.

Vorlagefragen
Zunächst möchte das Gericht wissen, ob Art. 28 Abs. 1 der Datenschutz-Richtlinie (DS-RL) in dem Sinn auszulegen, dass die nationale Regelung eines Mitgliedstaats (in diesem Fall Ungarn) in dessen Staatsgebiet auf einen für die Datenverarbeitung Verantwortlichen (Weltimmo) anwendbar ist, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist und der eine Webseite zur Vermittlung von Immobilien betreibt und dort unter anderem Immobilien inseriert, die sich im Staatsgebiet des ersten Mitgliedstaats befinden, nachdem deren Eigentümer ihre personenbezogenen Daten an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Art. 28 Abs. 1 DS-RL lautet: „Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Es geht also darum, ob die ungarische Datenschutzbehörde grundsätzlich die Befugnis besitzt, Verstöße gegen ungarisches Datenschutzrecht gegen einen in einem anderen Mitgliedstaat ansässigen für die Verarbeitung Verantwortlichen durchzusetzen. Hintergrund dieser Frage dürfte auch die Regelung des Art. 4 Abs. 1 Buchst. a DS-RL sein, wonach jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der DS-RL erlässt, auf alle Verarbeitungen personenbezogener Daten anwendet, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Hierauf bezieht sich dann auch die zweite Frage des vorlegenden Gerichts. Ist Art. 4 Abs. 1 Buchst. a DS-RL im Lichte ihrer Erwägungsgründe 18 bis 20 und ihres Art. 1 Abs. 2 sowie Art. 28 Abs. 1 dahingehend auszulegen, dass die ungarische Datenschutzbehörde das ungarische Datenschutzgesetz als nationales Recht nicht auf den Betreiber einer Webseite zur Vermittlung von Immobilien (Weltimmo) anwenden darf, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist, selbst dann nicht, wenn dieser unter anderem ungarische Immobilien inseriert, deren Eigentümer die Daten ihrer Immobilien wahrscheinlich vom ungarischen Staatsgebiet aus an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Beide Fragen beziehen sich also vornehmlich auf das anwendbare Datenschutzrecht und wie dieses unter der DS-RL zu bestimmen ist, wenn es um die Beurteilung eines grenzüberschreitenden Sachverhalts (innerhalb der EU) geht. Grundsätzlich bestimmt sich das anwendbare Datenschutzrecht nach den Vorgaben des Art. 4 DS-RL. Art 28 Abs. 1 DS-RL stellt meines Erachtens keine hiervon abweichende Regelungen auf. Diese Vorschrift regelt vielmehr die Kompetenzen der Datenschutzbehörden, nämlich dass sie dazu berufen sind, die Einhaltung der Datenschutzgesetze in ihrem Mitgliedstaat zu überwachen. Welche nationalen Regelungen Anwendung finden, richtet sich jedoch nach Art. 4 DS-RL.

Des Weiteren fragt das vorlegende Gericht danach, ob es für die Auslegung von Bedeutung ist, ob die von dem für die Datenverarbeitung Verantwortlichen und Betreiber der Webseite erbrachte Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet ist? Diese Bezugnahme auf das Merkmal des „Ausrichtens“ mag einige Leser an das Google-Urteil des EuGH (C-131/12) vom 13. Mai 2014 erinnern. Der Unterschied dazu ist hier jedoch, dass der für die Verarbeitung Verantwortliche sich innerhalb der EU befindet. Zudem möchte das vorlegende Gericht hier wissen, ob bereits das Ausrichten der Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats von Bedeutung ist. Im Google-Urteil hat der EuGH (anders als dies häufig berichtet wurde) zudem nicht festgestellt, dass allein das Ausrichten einer Webseite oder eines Dienstes entscheidend ist, für die Antwort auf die Frage nach dem anwendbaren Datenschutzrecht. Dort ging es um die Ausrichtung der Tätigkeit der Niederlassung (!) des verantwortlichen.

Meines Erachtens findet sich für das Abstellen allein auf das Ausrichten der angebotenen Dienstleitung in der DS-RL keine Grundlage. Art. 4 Abs. 1 DS-RL bezieht sich entweder auf die Niederlassung des Verantwortlichen (Buchst. a) oder darauf, ob auf in einem Mitgliedstaat belegene Mittel zurückgegriffen wird (Buchst. c).

Das vorlegende Gericht differenziert dann och weiter und möchte wissen, ob es von Bedeutung ist, ob die Daten der in diesem anderen Mitgliedstaat belegenen Immobilien und die personenbezogenen Daten der Eigentümer tatsächlich vom Staatsgebiet dieses anderen Mitgliedstaats (hier Ungarn) aus eingegeben wurden? Auch fragt das Gericht danach, ob es von Bedeutung ist, ob die Eigentümer der in der Slowakei niedergelassenen Gesellschaft einen Wohnsitz in Ungarn haben?

Zuletzt kommt das vorlegende Gericht auf den Aspekt der aufsichtsbehördlichen Kompetenzen zu sprechen. Für den Fall, dass die ungarische Datenschutzbehörde handeln darf, jedoch nur auf der Grundlage des slowakischen Datenschutzrechts (weil nur dieses für den Verantwortlichen gilt), möchte das ungarische Gericht wissen, ob Art. 28 Abs. 6 DS-RL in dem Sinne auszulegen ist, dass die ungarische Datenschutzbehörde ausschließlich – und zwar nach der Regelung des Mitgliedstaats der Niederlassung – diejenigen Befugnisse ausüben kann, die in Art. 28 Abs. 3 DS-RL genannt sind, und dass sie folglich keine Befugnis besitzt, ein Bußgeld zu verhängen?

Art. 28 Abs. 6 DS-RL bestimmt: „Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.“ (Hervorhebung durch mich)

In Art. 28 Abs. 3 DS-RL sind Maßnahmen aufgezählt, die den Datenschutzbehörden zustehen (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagerecht). Nicht ausdrücklich erwähnt ist dort jedoch die Möglichkeit, Bußgelder zu verhängen. Bedeutet der Verweis in Art. 28 Abs. 6 DS-RL auf Abs. 3 nun, dass die ungarische Datenschutzbehörde in diesem Fall allein auf die dort benannten Maßnahmen beschränkt ist, obwohl nach nationalen Recht (sei es dem ungarischen oder dem slowakischen) ein Bußgeld verhängt werden könnte? Dies würde im Endeffekt bedeuten, dass der ungarischen Behörde nur ein Grundgerüst an, aus der DS-RL abgeleiteten und durch sie beschränkte, aufsichtsbehördlichen Maßnahmen zusteht. Nämlich allein diejenigen, die in Art. 28 Abs. 3 DS-RL benannt sind. Soll ein Bußgeld verhängt werden, so dürfte dies allein durch die slowakische Datenschutzbehörde nach slowakischem Recht erfolgen.

Recht auf Vergessen – wie geht es weiter?

Nach dem Google-Urteil des EuGH vom 13.5.2014 (Az. C-131/12) und der anschließenden, in der Öffentlichkeit teilweise kritisierten Umsetzung durch Google, stellte sich für europäische Datenschutzbehörden die Frage, wie man mit der Entscheidung und Beschwerden von Betroffenen umgeht, die dieses Recht ausüben möchten. Doch auch der Rat der Europäischen Union hat sich, vor dem Hintergrund der möglichen Auswirkungen des Urteils auf die andauernden Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO), mit dem Thema befasst.

Treffen mit den Datenschutzbehörden
Am gestrigen Donnerstag trafen sich Vertreter von verschiedenen europäischen Datenschutzbehörden mit Anbietern von Internetsuchmaschinen in Brüssel. Wie die Artikel 29 Datenschutzgruppe (der Zusammenschluss der europäischen Aufsichtsbehörden) zuvor in einer Pressemitteilung bekannt gab (PDF), war dieses Treffen ein Teil der Initiative der Datenschützer, bis zum Herbst diesen Jahres gemeinsame Richtlinien für Datenschutzbehörden zu entwerfen, wie diese mit Beschwerden umgehen sollen, die im Anschluss an einen abgelehnten Löschantrag bei ihnen eingehen. Eine offizielle Mitteilung zu den Ergebnissen des Treffens liegt noch nicht vor. Jedoch berichtet Reuters, unter Berufung auf einen nicht genannten Teilnehmer, einige Details:

  • So haben die Datenschützer Google insbesondere dazu befragt, warum Einträge in Ergebnislisten nur auf den europäischen Angeboten gelöscht (bzw. gesperrt) werden, jedoch nicht unter der .com-Adresse. Aus Sicht der Datenschützer greife diese Umsetzung des Urteils zu kurz.
  • Bis zum Ende des Monats sollen die Suchmaschinenbetreiber weitere Informationen zur Umsetzung des Urteils bereitstellen. Diese würden in den Prozess der Entwicklung von Richtlinien für Datenschutzbehörden einfließen. Ein erster Entwurf solcher Richtlinien für Aufsichtsbehörden könnte bis Mitte September fertig gestellt sein.

Auch Bloomberg berichtet zu dem Treffen und einigen statistischen Informationen. Danach habe Google bisher mehr als 91.000 Löschanfragen erhalten, die sich auf 328.000 Internetadressen beziehen. Unter Berufung auf einen ebenfalls nicht genannten Teilnehmer des Treffens wird weiter berichtet, dass Google 30% der Anträge zurückweise und in 15% der Fälle zusätzliche Informationen zu dem Sachverhalt anfordere.

Auswirkungen auf die Datenschutz-Grundverordnung
Doch nicht nur die Datenschützer treibt die Umsetzung des Google-Urteils um. Auch in der Arbeitsgruppe Dapix des Rates der Europäischen Union, in der die DS-GVO verhandelt wird, hat man sich die Entscheidung des EuGH näher angesehen. In einem nun veröffentlichten Dokument (PDF) der Präsidentschaft an die Delegationen wird das Urteil näher erläutert und seine möglichen Folgen für die Verhandlungen analysiert. Nachfolgend einige der in dem Papier angesprochenen Themen:

Der EuGH hatte festgestellt, dass der Löschanspruch dann geltend gemacht werden kann, wenn die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich ist. Dies insbesondere dann, wenn die verarbeiteten Daten den ursprünglichen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Die Präsidentschaft ist sich jedoch nicht sicher, ob der derzeitige Wortlaut (es geht dabei um Art. 17 DS-GVO in der Fassung des Textes im Rat nach der griechischen Ratspräsidentschaft, abrufbar hier, PDF) deutlich genug zum Ausdruck bringt, dass bei der Frage, ob die Daten den ursprünglichen Zwecken nicht mehr entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, nicht auf den Betreiber der Originalwebseite, sondern auf den Betreiber der Suchmaschine abzustellen ist. Dies betrifft insbesondere auch die Frage des berechtigten Interessen bei einer vorzunehmenden Abwägung im Rahmen der Prüfung eines Erlaubnistatbestandes für die Verarbeitung.

Zudem stelle sich die Frage nach dem Verhältnis von Meinungsfreiheit und dem Recht auf Schutz personenbezogener Daten. Der EuGH hatte entschieden, dass sich allein der Betreiber der Originalwebseite auf die (sowohl in der derzeit geltenden Datenschutz-Richtlinie als auch in der DS-GVO vorgesehene) Ausnahme für die Verarbeitung von Daten zu ausschließlich journalistischen Zwecken berufen könne. Die Präsidentschaft stellt hierzu die Frage in den Raum, ob dies nicht auch für die nachfolgenden Datenverarbeiter (wie z.B. den Suchmaschinenbetreiber) gelten solle. Zu beachten ist hierbei, dass Fragen des Rechts auf freie Meinungsäußerung (aus kompetenzrechtlichen Gründen) nicht detailliert innerhalb der DS-GVO geregelt werden können.

Eine weiterer offener Punkt sei, ob es bei der Ausübung des Löschanspruchs eine gesetzlich festgelegte Reihenfolge geben soll, die der Betroffene zu beachten habe. Dass er sich also zunächst immer an den Betreiber der Originalwebseite wenden müsse und nur dann an den nachfolgenden Verarbeiter herantreten könne, wenn der Betreiber der Originalwebseite nicht mehr existiere oder nicht dem EU-Recht unterfalle. Dieser Vorschlag sei in der Vergangenheit von einigen Delegationen im Rat vorgebracht worden. Jedoch gibt die Präsidentschaft zu bedenken, dass ein solches System vom EuGH als nicht ausreichend erachtet wurde, um den Rechten des Betroffenen ausreichend Geltung zu verschaffen.

Monopolkommission: Suchmaschinen sind keine „wesentlichen Einrichtungen“

Die Monopolkommission, ein unabhängiges Beratungsgremium der Bundesregierung auf dem, Gebiet des Wettbewerbsrechts und der Regulierung, hat am 9. Juli 2014 ihr neuestes Hauptgutachten vorgelegt. Das Gutachten mit dem Titel „Eine Wettbewerbsordnung für die Finanzmärkte“ (PDF) befasst sich unter anderem auch mit der Marktmacht von Internetunternehmen und Fragen zu datenbasierten Geschäftsmodellen und deren Umgang mit personenbezogenen Daten. Dies ist gerade vor dem Hintergrund der aktuell geführten Diskussion um die Stellung von Google und die Überlegungen deutscher Politiker, den Konzern möglicherweise zu entflechten, besonders interessant.

Nachfolgend einige aus meiner Sicht einige interessante Aussagen des 824 Seiten starken Gutachtens:

Mit Blick auf die derzeitige Debatte um den Schutz der Bürger vor einem angeblich zu starken Zugriff der großen Unternehmen auf ihrer personenbezogenen Daten stellt die Kommission fest, dass in der Öffentlichkeit teilweise drastische Maßnahmen diskutiert, die jedoch mitunter über das hinausgehen, was auf Grundlage der aktuellen Erkenntnisbasis angezeigt oder gerechtfertigt erscheinen kann. Die Gutachter sprechen sich daher dafür aus, die Diskussion zu versachlichen und – ausgehend von einer Abgrenzung und Analyse der Problembereiche – genauer zu ermitteln, in welcher Hinsicht ein konkreter Handlungsbedarf besteht und mit welchen Mitteln feststellbare Probleme behoben werden können (S. 59).

Die Gutachter gehen auch kurz auf das Google-Urteil des EuGH und die dort festgestellte Anwendbarkeit europäischen Datenschutzrechts ein. Sie sind der Ansicht, dass die Geltung unterschiedlicher Datenschutzniveaus (durch die Geltung verschiedener Gesetze) für vergleichbare Dienste auch weiterhin substanzielle wettbewerbliche Auswirkungen haben kann. Aus ihrer Sicht sei es daher nicht fernliegend, dass Anbieter mit Sitz in Deutschland wettbewerbliche Nachteile gegenüber etwa in den USA ansässigen Unternehmen haben könnten. Die Monopolkommission möchte das Thema des weitreichenden Datenzugriffs durch Unternehmen in drei Problembereiche gliedern, die aus wettbewerbspolitischer Sicht zu analysieren sind.

  • Die (rechtswidrige) Erhebung, Speicherung und Nutzung von personenbezogenen Daten (Datenschutzproblem).
  • Die missbräuchliche Ausnutzung einer (datenbasierten) wirtschaftlichen Machtstellung (Wettbewerbsproblem).
  • Die Ausbeutung der Stellung gegenüber dem Verbraucher (Verbraucherschutzproblem).

Die Gutachter weisen darauf hin, dass bei einer Suche nach Lösungen versucht werden sollte, diese drei Bereiche nicht miteinander zu vermengen (S. 60).

Zu dem Thema „Daten als Wettbewerbsfaktor“ führt die Kommission aus, dass die Verwendung personenbezogener Daten die Bereitstellung einer qualitativ hochwertigen Dienstleistung für die nicht zahlenden Nutzer ermöglicht. Die Qualität der Dienste steigt dabei nicht nur mit der Zahl der Nutzer, sondern auch gerade mit der Menge der Informationen, die über andere Nutzer verfügbar sind. Mit Blick auf Suchmaschinen ist gerade erst aufgrund der Berücksichtigung und Analyse verfügbarer Nutzerdaten die Anzeige relevanter und damit auch nützlicher Suchergebnisse möglich. Da diese Dienste oft unentgeltlich angeboten werden und damit eine Preisdifferenzierung nicht möglich ist, kommt der Qualität der Suchergebnisse und damit der Nutzung persönlicher Daten für die Orientierung an den Präferenzen des Suchenden eine besondere Rolle zu (S. 62). Daher können sich Internetplattformen durch die Nutzung von Netzwerkeffekten und von personenbezogenen Daten durchaus Vorteile im Wettbewerb mit konkurrierenden Anbietern verschaffen.

Die Gutachter gehen auch auf die in der öffentlichen Diskussion vorgebrachten Vorwürfe ein, einzelne Online-Diensteanbieter seien „marktmächtig“ oder gar „übermächtig“. Hier bemängelt die Kommission, dass dabei überwiegend nicht deutlich werde, auf welche Märkte genau sich die Marktanteile oder genannte Diagnose beziehen sollen. Der Begriff der Markmacht ist jedoch ein zentraler Anknüpfungspunkt von kartell- und regulierungsrechtlichen Pflichten. In der Praxis können hierfür etwa Marktanteile eines Unternehmens ein Indikator sein. Die Feststellung von Marktanteilen setzt jedoch notwendigerweise eine Abgrenzung des relevanten Marktes voraus. Bei Plattformmärkten liegen eigenständige Teilmärkte typischerweise für jeden einzelnen Kundenkreis vor. Als Beispiel führt das Gutachten Internet-Suchmaschinen an. Hier lassen sich etwa Märkte für die Internetsuche, für die Listung in Suchmaschinen und für (dort platzierte) Werbung unterscheiden (S. 64). Allerdings bereitet eine klare Marktabgrenzung und damit eine verlässliche Bestimmung von Marktanteilen hier nicht unerhebliche Schwierigkeiten, da etwa nicht nur direkte Konkurrenten (Yahoo!, Bing, etc.) diese Funktionen anbieten, sondern auch andere Plattformen, wie Reiseportale oder Onlinehändler. Die Kommission befürwortet daher eine Unterscheidung nach „horizontalen“ Suchmaschinen (Google, Bing, etc.), die Ergebnisse listen, ohne nach Themengebieten zu differenzieren und „vertikalen“ Suchmaschinen (Amazon, eBay, etc.) die eine spezialisierte Suche innerhalb eines festgelegten Bereiches ermöglichen.

Die Kommission geht auch auf die in der Debatte um große Betreiber von Suchportalen und sozialen Netzwerken aufgestellten Behauptungen ein, diese seien „systemrelevant“ oder „Gatekeeper“ für die Datennutzung und den Datenaustausch im Internet. Damit soll ausgedrückt werden, dass solche Unternehmen eine Infrastruktur bereitstellen, die für die Gesellschaft von grundlegender Bedeutung ist (S. 65). Die Kommission hinterfragt jedoch, ob es sich bei Suchportalen oder sozialen Netzwerken um sogenannte „wesentliche Einrichtungen“ im wettbewerbsrechtlichen Sinne handelt. Die Gutachter führen aus, dass das Konzept der „wesentlichen Einrichtungen“ sich auf Unternehmen, die marktbeherrschend sind, weil sie eine wesentliche Einrichtung kontrollieren, d. h. ein Eingangsprodukt, das für einen Marktzutritt auf einem vor- oder nachgelagerten Markt unerlässlich ist.

Das Ergebnis im Gutachten:

Es gibt jedenfalls zurzeit keine Anhaltspunkte, dass etwa die großen Suchportale unerlässlich wären, um das Internet zu nutzen oder darin zu suchen. Auch hinsichtlich der bestehenden sozialen Netzwerke erscheint die Annahme einer wesentlichen Einrichtung eher fernliegend, jedenfalls mit Blick auf die Nutzung solcher Netzwerke im sozialen Kontext.(S.66)

Insgesamt ist das Gutachten wirklich lesenswert und gibt einen guten Überblick über die Fragen, die sich hier derzeit und in Zukunft im Bereich der Schnittmenge von Wettbewerbsrecht und dem Datenschutz stellen könnten.