21.08.2014

Die EG-Datenschutzrichtlinie – aktueller denn je

Während die Fachwelt – vorläufig noch vergeblich – auf die neue EU-Datenschutz-Grundverordnung aus Brüssel wartet, führt der Europäische Gerichtshof (EuGH) vor, was sich alles bereits aus der geltenden EG Datenschutzrichtlinie 95/46/EG von 1995 ableiten lässt. Dafür, dass viele diese Richtlinie für völlig überholt halten, entwickelt ihre Anwendung in letzter Zeit beachtliche Brisanz. Die Entscheidung zum Thema „Löschungsansprüche gegen Google als Suchmaschinenbetreiber“ zeigt das besonders deutlich.

EG-Datenschutzrichtlinie

Die derzeitige Diskussion in Brüssel konzentriert sich ganz auf die geplante Verordnung zum Datenschutz (europäische Datenschutzgrundverordnung). Eine solche Verordnung hätte „unmittelbare Geltung“ in der gesamten Europäischen Union. Damit ist gemeint, dass sie eine Art EU-weites Gesetz darstellt, das jeder zu beachten hat.

Im EU-Recht liest sich das so: „Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat“ (Art. 288 Abs. 2 des Vertrages über die Arbeitsweise der Europäischen Union – AEUV).

Verordnung und Richtlinie – durchaus ein Unterschied

Für den Datenschutz gibt es eine solche Verordnung (noch) nicht. Hier ist nach wie vor die EG Datenschutzrichtlinie von 1995 maßgebend. Der Begriff „Richtlinie“ wirkt im deutschen Recht ziemlich unverbindlich. Dass dies im EU-Recht anders aussieht, legt schon die Regelung des Art. 288 Abs. 3 AEUV nahe. Dort heißt es: „Die Richtlinie ist für jeden Mitgliedstaat, an den sie gerichtet wird, hinsichtlich des zu erreichenden Ziels verbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und der Mittel.“

Europäische Datenschutzrichtlinien lassen mehr Spielräume

Grundsatz ist demnach die Verbindlichkeit des Ziels. Solange gewährleistet ist, dass es erreicht wird, bestehen aber noch erhebliche Spielräume für die nationalen Regelungen.

Der EuGH hat hierzu schon mehrfach betont, dass einerseits „die Mitgliedstaaten zur Umsetzung der Richtlinie in vielerlei Hinsicht über einen Handlungsspielraum verfügen“, nicht ohne jedoch dabei andererseits darauf hinzuweisen, dass dieser Spielraum „nicht unbegrenzt“ sei (Urteil Lindqvist, Rn. 84; Urteil Rijkeboer, Rn. 56). Vielmehr seien einerseits die Grundrechte der Betroffenen zu berücksichtigen, andererseits die Freiheit des Datenverkehrs zwischen den Mitgliedstaaten (Urteil Lindqvist, Rn. 79).

Dieser Freiheitsaspekt gerät in der Diskussion in Deutschland oft zugunsten der Grundrechte in den Hintergrund. Doch schon das „Sowohl-als-auch“ des EuGH lässt vermuten, dass seine Entscheidungen zu Fragen des Datenschutzes differenziert ausfallen.

Vorabentscheidungsersuchen als typischer Weg zum EuGH

Bevor darauf einzugehen ist, stellt sich jedoch die Frage, wie strittige Probleme des Datenschutzes überhaupt zur Entscheidung durch den Gerichtshof gelangen.

Der einzelne Bürger hat normalerweise keine Möglichkeit, einen Fall beim EuGH vorzutragen und dort entscheiden zu lassen. In der Regel ist es vielmehr so, dass die nationalen Gerichte inhaltliche Streitfragen über die Auslegung der EG-Datenschutzrichtlinie dem Gerichtshof im Rahmen eines „Vorabentscheidungsersuchens“ (geregelt in Art. 267 AEUV) vorlegen. Der EuGH gibt dann lediglich eine Antwort auf die vorgelegte Streitfrage, entscheidet jedoch den konkreten Sachverhalt nicht abschließend. Dies ist Aufgabe des jeweiligen nationalen Gerichts, das einen Fall vorgelegt hat.

Soweit jedenfalls die Theorie. Oft – so auch im vorliegenden Fall – macht der EuGH jedoch auch Aussagen zum konkreten Sachverhalt, die das Ergebnis letztlich vorwegnehmen.

Die Entscheidung zu Löschungsansprüchen gegen Google ist im Rahmen eines solchen Vorabentscheidungsersuchens ergangen, das ein spanisches Gericht veranlasst hatte. Diesem spanischen Gericht oblag es, die Rechtmäßigkeit einer Anordnung der spanischen Datenschutzaufsichtsbehörde gegen Google zu überprüfen.

Die Anordnung, die Google zur Löschung von Links in Ergebnislisten verpflichtet hat, war auf der Basis des spanischen Datenschutzrechts ergangen. Da dieses wiederum in Einklang mit der EG-Datenschutzrichtlinie ausgelegt werden muss, eröffnete sich für das spanische Gericht die Möglichkeit, Fragen zur Interpretation der Richtlinie dem EuGH vorzulegen.

Der Betreiber einer Suchmaschine verarbeitet personenbezogene Daten

Zunächst ging es darum, ob die EG Datenschutzrichtlinie die Tätigkeit eines Suchmaschinenbetreibers überhaupt erfasst. Das hat der Gerichtshof mit folgenden Argumenten bejaht:

  • Ein Vorgang, der darin besteht, personenbezogene Daten auf eine Internetseite zu stellen, sei als eine Verarbeitung personenbezogener Daten gemäß Artikel 2 Buchstabe b) der EG Datenschutzrichtlinie anzusehen (so Rn. 26 unter Bezug auf eine entsprechende Aussage im Urteil Lindqvist, dort Rn. 25).
  • Ein Suchmaschinenbetreiber erhebe bei der Durchforstung des Internets personenbezogene Daten, speichere sie auf seinen Servern und gebe sie an den Nutzer weiter. Alle diese Vorgänge seien als Beispiele für eine Verarbeitung personenbezogener Daten in Art. 2 Buchstabe b) der Richtlinie genannt (so Rn. 28).
  • Dass die personenbezogenen Daten bereits anderweitig im Internet vorhanden seien und von der Suchmaschine nicht verändert würden, sei ohne Belang. Die Richtlinie würde nämlich weitgehend ins Leere laufen, wenn man sie in solchen Fällen nicht anwende (so Rn. 30).
  • Damit sei der Betreiber einer Suchmaschine als Verantwortlicher für die Verarbeitung von personenbezogenen Daten durch die Suchmaschine anzusehen (so Rn. 33 unter Bezug auf Art. 2 Buchst. d EG Datenschutzrichtlinie).
  • Die Tätigkeit einer Suchmaschine könne die Grundrechte des Betroffenen in eigenständiger Weise erheblich beeinträchtigen (Rn. 38).

Die „alte“ Richtlinie lässt sich auch auf Fragen des Internets anwenden

Diese Argumentationskette ist schon deshalb bemerkenswert, weil oft behauptet wird, die nahezu 20 Jahre alte Richtlinie von 1995 enthalte zum Internet überhaupt keine Aussagen. Das ist allenfalls insoweit richtig, als man den Begriff an sich in der Richtlinie tatsächlich vergeblich sucht. Allerdings existierte das Internet damals bereits, und eine ganze Reihe von Bestimmungen der Richtlinie hatte es durchaus vor Augen. Die Argumentationskette des Gerichtshofs belegt dies sehr plastisch.

Räumlicher Anwendungsbereich der EG Datenschutzrichtlinie

Damit ist jedoch noch nicht entschieden, dass die Datenschutzrichtlinie auf alle Vorgänge anzuwenden ist, die sich irgendwo im Internet abspielen. Vielmehr stellt sich die Frage, welche dieser Vorgänge in räumlicher Hinsicht vom Anwendungsbereich der Richtlinie erfasst werden.

Die Suchmaschine Google Search wird von der Muttergesellschaft des Google-Konzerns mit Sitz in den USA betrieben. In Spanien, wo das vorlegende Gericht seinen Sitz hat, existiert lediglich die Tochtergesellschaft Google Spain (mit Sitz in Spanien). Sie macht Werbung für den Verkauf von Werbeflächen auf www.google.com.

Nach Auffassung des EuGH besteht damit in Spanien eine Niederlassung von Google im Sinne von Art. 4 Abs. 1  Buchst. a) der EG Datenschutzrichtlinie. Das genüge als Anknüpfungspunkt, um die Richtlinie in räumlicher Hinsicht anwenden zu können.

Eine Tochtergesellschaft von Google in Spanien reicht

Mit der Begründung dieser Auffassung tut sich der Gerichtshof nicht ganz leicht. Im Wesentlichen argumentiert er wie folgt:

  • Die Tätigkeit des Suchmaschinenbetreibers in den USA und die Tätigkeit der „Werbegesellschaft“ in Spanien (und damit in einem Mitgliedstaat der Europäischen Union) seien untrennbar miteinander verbunden. Denn ohne den Vertrieb von Werbeflächen sei eine Suchmaschine wirtschaftlich nicht rentabel zu gestalten (so Rn. 56).
  • Zusammen mit den personenbezogenen Daten, die im Rahmen von Suchergebnissen angezeigt werden, würden stets auch mit den Suchbegriffen verknüpfte Werbeanzeigen angezeigt (so Rn. 57).
  • Dann aber, so der EuGH wörtlich, „kann es nicht angehen, dass die Verarbeitung personenbezogener Daten, die zum Betrieb der Suchmaschine ausgeführt wird, den in der Richtlinie … vorgesehenen Verpflichtungen und Garantien entzogen wird.“ Denn sonst seien die Grundrechte und Grundfreiheiten der Betroffenen nicht wirksam und umfassend geschützt (so Rn. 58).

Der Haken …

Diese Argumentationskette ist schwächer, als sie auf den ersten Blick scheint. Sie würde nämlich völlig in sich zusammenbrechen, wenn Google die Entscheidung beispielsweise zum Anlass nähme, alle Tochtergesellschaft in der Europäischen Union zu schließen und seine Geschäfte stets direkt von den USA aus zu betreiben.

Wann besteht ein Löschungsanspruch gegen Suchmaschinenbetreiber?

Den Kernpunkt der Entscheidung bildet die Frage, ob ein Suchmaschinenbetreiber Anträge auf Löschung von Informationen zu personenbezogenen Daten in seinen Suchergebnissen prüfen muss, obwohl die betreffenden Informationen nach wie vor an anderer Stelle im Internet weiterhin rechtmäßig verfügbar sind.

So war die Situation im vorliegenden Fall. Ein Privatmann hatte sich nämlich dagegen gewehrt, dass Google in seiner Suchmaschine auch noch über 16 Jahre alte Daten nachweist, die sich auf die Versteigerung eines Grundstücks im Zusammenhang mit einer Pfändung beziehen.

Es ist eine Abwägung nötig

Nach Auffassung des Gerichtshofs kommt ein Löschungsanspruch in Betracht, wenn eine Abwägung ergibt, dass die Interessen des Betroffenen schwerer wiegen als die Interessen der Öffentlichkeit (Rn. 98 unter Bezug auf Art. 7 Buchst. f der Richtlinie). Dazu weist der EuGH auf Folgendes hin:

  • Die Auflistung von Daten in einer Suchmaschine könne einen stärkeren Eingriff in das Grundrecht auf Achtung des Privatlebens darstellen als die Veröffentlichung der Daten durch den Herausgeber einer Internetseite (so Rn. 87).
  • Wegen der potenziellen Schwere eines solchen Eingriffs lasse er sich nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers rechtfertigen (so Rn. 81).

Folgerungen des EuGH

Aus diesen allgemeinen Überlegungen leitet das Gericht sehr konkrete Folgerungen ab:

  • Sofern eine Abwägung der Interessen zugunsten des Betroffenen ausgeht, kann er die Entfernung der betreffenden Links aus der Ergebnisliste der Suchmaschine verlangen und so sicherstellen, dass sein Name als Suchbegriff nicht mehr mit diesen Ergebnissen verknüpft wird (so Rn. 98).
  • Um dies zu erreichen, muss der Betroffene nicht nachweisen, dass ihm durch diese Verknüpfung ein Schaden entsteht (so Rn. 99).
  • Der Betroffene hat aber keinen generellen Anspruch auf Löschung von bestimmten Links, nur weil er dies möchte. Insbesondere bei Personen, die im öffentlichen Leben stehen, können nämlich die Interessen der Öffentlichkeit einen solchen Eingriff in die Grundrechte rechtfertigen (so Rn. 97).

Die Zukunft wird zeigen, wie praktikabel die Abwägung ist

Die letztgenannte Einschränkung wird in der öffentlichen Diskussion oft übergangen. Sie führt gleichzeitig zu der vom Gerichtshof nicht beantworteten Frage, wie im Einzelfall eine Abwägung der Interessen konkret anzustellen ist. Hier wird sich erst in der Praxis zeigen müssen, ob es möglich ist, eine solche Abwägung mit vernünftigem Aufwand durchzuführen und ohne die Tätigkeit der Betreiber von Suchmaschinen letztlich lahmzulegen.

Entscheidung des konkreten Falls

Zum konkreten Fall hat der EuGH geäußert, es sei „davon auszugehen, dass die betroffene Person wegen der Sensibilität der … Informationen und weil die ursprüngliche Veröffentlichung … 16 Jahre zurückliegt, ein Recht darauf hat, dass diese Informationen nicht mehr durch eine … Ergebnisliste mit ihrem Namen verknüpft werden.“ Deshalb könne sie „die Entfernung der Links aus der Ergebnisliste verlangen“ (so Rn. 98).

Weiterführende Informationen

Autor*in: Dr. Eugen Ehmann (Dr. Ehmann ist Regierungsvizepräsident von Mittelfranken und ist seit Jahren im Datenschutz aktiv.)