Goog­le und der Daten­schutz

In einem beim Gerichts­hof der Euro­päi­schen Uni­on anhän­gi­gen Vor­ab­ent­schei­dungs­ver­fah­ren zwi­schen Goog­le und der spa­ni­schen Daten­schutz­agen­tur hat jetzt der Gene­ral­an­walt des EuGH sei­ne Schluss­an­trä­ge vor­ge­legt. Nach Ansicht des Gene­ral­an­walts sind Such­ma­schi­nen-Diens­te­an­bie­ter für per­so­nen­be­zo­ge­ne Daten auf den von ihnen ver­ar­bei­te­ten Web­sei­ten nach der Daten­schutz­richt­li­nie nicht ver­ant­wort­lich.

Goog­le und der Daten­schutz

Rich­ten die­se Anbie­ter in einem Mit­glied­staat für die Ver­mark­tung und den Ver­kauf von Wer­be­flä­chen eine Nie­der­las­sung ein, die ihre Tätig­keit auf die Ein­woh­ner die­ses Staats aus­rich­tet, unter­lie­gen sie den natio­na­len Daten­schutz­be­stim­mun­gen, auch wenn die tech­ni­sche Daten­ver­ar­bei­tung in ande­ren Län­dern erfolgt.

Anfang 1998 ver­öf­fent­lich­te eine Zei­tung mit hohem Ver­brei­tungs­grad in Spa­ni­en in ihrer Druck­aus­ga­be zwei Bekannt­ma­chun­gen über eine Immo­bi­li­en­ver­stei­ge­rung wegen einer Pfän­dung, die infol­ge bei der Sozi­al­ver­si­che­rung bestehen­der Schul­den betrie­ben wur­de. Dar­in wur­de eine Per­son als Eigen­tü­mer genannt. Spä­ter stell­te der Ver­le­ger eine elek­tro­ni­sche Aus­ga­be der Zei­tung online.

Im Novem­ber 2009 wand­te sich der Betrof­fe­ne an den Ver­le­ger der Zei­tung und bean­stan­de­te, dass bei Ein­ga­be sei­nes Vor­na­mens und sei­ner Nach­na­men in die Such­ma­schi­ne von Goog­le eine Ver­knüp­fung zu den Sei­ten der Zei­tung mit die­sen Bekannt­ma­chun­gen erschei­ne. Das Pfän­dungs­ver­fah­ren sei seit Jah­ren erle­digt und der­zeit ohne Rele­vanz. Der Ver­le­ger ant­wor­te­te, eine Löschung der Daten kom­me nicht in Betracht, da die Ver­öf­fent­li­chung auf Anord­nung des spa­ni­schen Minis­te­ri­ums für Arbeit und Sozi­al­ord­nung erfolgt sei.

Im Febru­ar 2010 wand­te sich der Betrof­fe­ne an Goog­le Spain und ver­lang­te, dass bei der Ein­ga­be sei­nes Vor­na­mens und sei­ner Nach­na­men in die Inter­net­such­ma­schi­ne von Goog­le in den Such­ergeb­nis­sen kei­ne Ver­knüp­fun­gen zu der Zei­tung ange­zeigt wer­den. Goog­le Spain lei­te­te das Ersu­chen an Goog­le Inc. mit Sitz in Kali­for­ni­en (USA) wei­ter, da die Inter­net-Such­diens­te von die­sem Unter­neh­men erbracht wür­den.

Dar­auf­hin leg­te der Betrof­fe­ne bei der Agen­cia Espa­ño­la de Pro­tección de Datos (Spa­ni­sche Daten­schutz­agen­tur, AEPD) eine Beschwer­de gegen den Ver­le­ger und Goog­le ein. Mit Ent­schei­dung vom 30. Juli 2010 gab der Lei­ter der AEPD der Beschwer­de gegen Goog­le Spain und Goog­le Inc. statt und for­der­te die­se auf, die Daten aus ihrem Index zu löschen und einen künf­ti­gen Zugriff auf sie unmög­lich zu machen. Die Beschwer­de gegen den Ver­le­ger wur­de dage­gen zurück­ge­wie­sen, da die Ver­öf­fent­li­chung der Daten in der Pres­se auf einer recht­li­chen Grund­la­ge erfolgt sei. Goog­le Inc. und Goog­le Spain erho­ben jeweils Kla­ge bei der Audi­en­cia Nacio­nal (Natio­na­les Ober­ge­richt, Spa­ni­en), mit der sie Auf­he­bung der Ent­schei­dung der AEPD bean­tra­gen. In die­sem Zusam­men­hang hat das spa­ni­sche Gericht dem Gerichts­hof eine Rei­he von Fra­gen vor­ge­legt.

Im Wege eines sol­chen Vor­ab­ent­schei­dungs­er­su­chens kön­nen die Gerich­te der Mit­glied­staa­ten in einem bei ihnen anhän­gi­gen Rechts­streit dem Gerichts­hof der Euro­päi­schen Uni­on Fra­gen nach der Aus­le­gung des Uni­ons­rechts oder nach der Gül­tig­keit einer Hand­lung der Euro­päi­schen Uni­on vor­le­gen. Der Uni­ons­ge­richts­hof ent­schei­det dabei nur über die vor­ge­leg­ten Rechts­fra­gen, nicht aber über den natio­na­len Rechts­streit. Es ist und bleibt Sache des natio­na­len Gerichts, über die Rechts­sa­che im Ein­klang mit der Ent­schei­dung des Gerichts­hofs der Euro­päi­schen Uni­on zu ent­schei­den, des­sen Ent­schei­dung bin­det in glei­cher Wei­se auch ande­re natio­na­le Gerich­te bin­det, die mit einem ähn­li­chen Pro­blem befasst wer­den.

In sei­nen jetzt vor­ge­leg­ten Schluss­an­trä­gen prüft Gene­ral­an­walt Niilo Jääs­ki­nen zunächst die Fra­ge des räum­li­chen Anwen­dungs­be­reichs natio­na­ler Daten­schutz­vor­schrif­ten. Das Haupt­an­knüp­fungs­kri­te­ri­um für deren Anwen­dung sind Ver­ar­bei­tun­gen per­so­nen­be­zo­ge­ner Daten, die im Rah­men der Tätig­kei­ten einer Nie­der­las­sung aus­ge­führt wer­den, die der für die Ver­ar­bei­tung Ver­ant­wort­li­che – nach der Daten­schutz­richt­li­nie der "für die Ver­ar­bei­tung Ver­ant­wort­li­che" die Per­son oder Stel­le, die allein oder gemein­sam mit ande­ren über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det – im Hoheits­ge­biet des betref­fen­den Mit­glied­staats besitzt. Goog­le macht jedoch gel­tend, dass in Spa­ni­en kei­ne mit der Such­ma­schi­ne in Bezie­hung ste­hen­de Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten statt­fin­de. Goog­le Spain han­delt ledig­lich als Ver­tre­te­rin von Goog­le im Rah­men der Wer­be­funk­tio­nen. In die­ser Eigen­schaft hat Goog­le Spain die Auf­ga­be der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ihrer spa­ni­schen Wer­be­kun­den über­nom­men.

Der Gene­ral­an­walt ist der Ansicht, dass die­se Fra­ge unter Berück­sich­ti­gung des Geschäfts­mo­dells der Inter­net­such­ma­schi­nen­be­trei­ber geprüft wer­den soll­te. Die­ses Modell beruht in der Regel auf der Schlüs­sel­wör­ter­wer­bung, die die Finan­zie­rungs­quel­le dar­stellt und den Grund für die unent­gelt­li­che Bereit­stel­lung eines Instru­ments zur Loka­li­sie­rung von Infor­ma­tio­nen in Form einer Such­ma­schi­ne bil­det. Das die Schlüs­sel­wör­ter­wer­bung anbie­ten­de Unter­neh­men ist mit der Inter­net­such­ma­schi­ne ver­bun­den. Die­ses Unter­neh­men benö­tigt eine Prä­senz auf natio­na­len Wer­be­märk­ten, wes­halb Goog­le Toch­ter­ge­sell­schaf­ten in zahl­rei­chen Mit­glied­staa­ten gegrün­det hat. Nach Ansicht des Gene­ral­an­walts ist daher anzu­neh­men, dass eine Nie­der­las­sung per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, wenn sie in einem Zusam­men­hang mit einem Dienst steht, der auf den Ver­kauf ziel­grup­pen­spe­zi­fi­scher Wer­be­an­zei­gen an die Ein­woh­ner des Mit­glied­staats aus­ge­rich­tet ist, auch wenn der tech­ni­sche Vor­gang der Daten­ver­ar­bei­tung in ande­ren Mit­glied­staa­ten oder in Dritt­län­dern erfolgt. Herr Jääs­ki­nen schlägt dem Gerichts­hof daher vor, fest­zu­stel­len, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Rah­men einer Nie­der­las­sung des für die Ver­ar­bei­tung Ver­ant­wort­li­chen statt­fin­det und daher natio­na­le Daten­schutz­be­stim­mun­gen auf einen Such­ma­schi­nen­be­trei­ber anwend­bar sind, wenn die­ser in einem Mit­glied­staat für die Ver­mark­tung und den Ver­kauf von Wer­be­flä­chen der Such­ma­schi­ne eine Nie­der­las­sung ein­rich­tet, deren Tätig­keit sich an die Ein­woh­ner die­ses Staats rich­tet.

Zwei­tens erin­nert der Gene­ral­an­walt bezüg­lich der Rechts­stel­lung von Goog­le als Inter­net­such­ma­schi­nen­be­trei­ber dar­an, dass das Inter­net und Such­ma­schi­nen 1995, als die Richt­li­nie erlas­sen wur­de, neue Phä­no­me­ne waren und der Gemein­schafts­ge­setz­ge­ber ihre gegen­wär­ti­ge Ent­wick­lung nicht vor­her­ge­se­hen hat. Sei­ner Ansicht nach ist Goog­le nicht gene­rell als der für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten auf den von ihnen ver­ar­bei­te­ten Web­sei­ten Ver­ant­wort­li­che anzu­se­hen, der nach der Richt­li­nie für die Ein­hal­tung der Daten­schutz­be­stim­mun­gen ver­ant­wort­lich ist. Denn die Bereit­stel­lung eines Instru­ments zur Loka­li­sie­rung von Infor­ma­tio­nen impli­ziert kei­ne Kon­trol­le über die auf Web­sei­ten Drit­ter vor­han­de­nen Inhal­te. Der Inter­net­such­ma­schi­nen­be­trei­ber ist noch nicht ein­mal in der Lage, zwi­schen per­so­nen­be­zo­ge­nen Daten im Sin­ne der Richt­li­nie, d. h. Infor­ma­tio­nen über eine bestimm­ba­re leben­de natür­li­che Per­son, und ande­ren Daten zu unter­schei­den. Der Gene­ral­an­walt stellt fest, dass der Inter­net­such­ma­schi­nen­be­trei­ber hin­sicht­lich per­so­nen­be­zo­ge­ner Daten auf Quel­len­web­sei­ten, die auf dem Ser­ver eines Drit­ten gehos­tet wer­den, weder recht­lich noch tat­säch­lich die in der Richt­li­nie vor­ge­se­he­nen Pflich­ten eines für die Ver­ar­bei­tung Ver­ant­wort­li­chen erfül­len kann.

Daher kann eine natio­na­le Daten­schutz­be­hör­de einen Inter­net­such­ma­schi­nen-Diens­te­an­bie­ter nicht zur Ent­fer­nung von Infor­ma­tio­nen aus sei­nem Index ver­pflich­ten, es sei denn, der Diens­te­an­bie­ter hat exclu­si­on codes nicht beach­tet oder ist einer Auf­for­de­rung sei­tens des Web­site­be­trei­bers zur Aktua­li­sie­rung des Cache nicht nach­ge­kom­men. Denn der Urhe­ber einer Quel­len­web­sei­te kann soge­nann­te „exclu­si­on codes“ fest­le­gen; damit wird den Such­ma­schi­nen der Befehl erteilt, eine Quel­len­web­sei­te nicht zu inde­xie­ren, zu spei­chern oder im Rah­men ihrer Such­ergeb­nis­se anzu­zei­gen. Die Ver­wen­dung sol­cher Codes besagt, dass der Urhe­ber bestimm­te auf der Quel­len­web­sei­te befind­li­che Infor­ma­tio­nen nicht von Such­ma­schi­nen aus­le­sen und ver­brei­ten las­sen will.

Ein sol­cher Fall scheint hier nicht vor­zu­lie­gen. Ob ein Ver­fah­ren zur Mel­dung und Ent­fer­nung von Ver­knüp­fun­gen zu Quel­len­web­sei­ten mit ille­ga­len oder anstö­ßi­gen Inhal­ten mög­lich ist, bestimmt sich nach der nach dem natio­na­len Recht bestehen­den zivil­recht­li­chen Haf­tung, die auf ande­ren Grün­den als dem Daten­schutz beruht.

Drit­tens ent­hält die Richt­li­nie kein all­ge­mei­nes „Recht auf Ver­ges­sen­wer­den“. Daher kann den Such­ma­schi­nen-Diens­te­an­bie­tern auf­grund der Richt­li­nie – auch in ihrer Aus­le­gung im Ein­klang mit der Char­ta der Grund­rech­te der Euro­päi­schen Uni­on, ins­be­son­de­re das Recht auf Ach­tung des Pri­vat- und Fami­li­en­le­bens (Art. 7 GrCh) und auf Schutz per­so­nen­be­zo­ge­ner Daten (Art. 8 GrCh) gegen die Frei­heit der Mei­nungs­äu­ße­rung und die Infor­ma­ti­ons­frei­heit (Art. 11 GrCh) sowie die unter­neh­me­ri­sche Frei­heit (Art. 16 GrCh) – kein sol­ches Recht ent­ge­gen­ge­hal­ten wer­den.

Das in der Richt­li­nie vor­ge­se­he­ne Recht auf Berich­ti­gung, Löschung oder Sper­rung bezieht sich auf Daten, deren Ver­ar­bei­tung nicht den Bestim­mun­gen der Richt­li­nie ent­spricht, ins­be­son­de­re wenn die­se Daten unvoll­stän­dig oder unrich­tig sind. Ein sol­cher Fall scheint hier nicht vor­zu­lie­gen.

Die Richt­li­nie gewährt jedem auch das Recht, jeder­zeit aus über­wie­gen­den, schutz­wür­di­gen, sich aus sei­ner beson­de­ren Situa­ti­on erge­ben­den Grün­den der Ver­ar­bei­tung von ihn betref­fen­den Daten zu wider­spre­chen, sofern im natio­na­len Recht nichts ande­res bestimmt ist. Der Gene­ral­an­walt ist jedoch der Ansicht, dass eine sub­jek­ti­ve Prä­fe­renz noch kei­nen über­wie­gen­den, schutz­wür­di­gen Grund dar­stellt und dass die Richt­li­nie daher eine Per­son nicht berech­tigt, die Ver­brei­tung per­so­nen­be­zo­ge­ner Daten zu beschrän­ken oder zu unter­bin­den, die sie für abträg­lich oder ihren Inter­es­sen zuwi­der­lau­fend hält.

Eine dane­ben bestehen­de Ver­ant­wort­lich­keit der Such­ma­schi­nen-Diens­te­an­bie­ter nach natio­na­lem Recht kann zu Ver­pflich­tun­gen füh­ren, die auf eine Sper­rung des Zugangs zu Web­sites Drit­ter hin­aus­lau­fen, auf denen sich ille­ga­le Inhal­te befin­den, etwa Web­sei­ten, die Rech­te des geis­ti­gen Eigen­tums ver­let­zen oder ver­leum­de­ri­sche oder kri­mi­nel­le Infor­ma­tio­nen ent­hal­ten. Wür­de dage­gen von den Such­ma­schi­nen-Diens­te­an­bie­tern ver­langt, in die öffent­li­che Sphä­re gelang­te legi­ti­me und recht­mä­ßi­ge Infor­ma­tio­nen zu unter­drü­cken, käme es zu einem Ein­griff in die Frei­heit der Mei­nungs­äu­ße­rung des­je­ni­gen, der die Web­sei­te her­aus­gibt, was im Ergeb­nis eine Zen­sur der von die­sem ver­öf­fent­lich­ten Inhal­te durch einen Pri­va­ten bedeu­ten wür­de.

Die­se Schluss­an­trä­ge ihres Gene­ral­an­walts sind für den Gerichts­hof der Euro­päi­schen Uni­on nicht bin­dend. Auf­ga­be des Gene­ral­an­walts ist es, dem Uni­ons­ge­richts­hof in völ­li­ger Unab­hän­gig­keit einen Ent­schei­dungs­vor­schlag für die betref­fen­de Rechts­sa­che zu unter­brei­ten. Die Rich­ter des Gerichts­hofs tre­ten nun­mehr in die Bera­tung ein. Das Urteil wird zu einem spä­te­ren Zeit­punkt ver­kün­det.

Gerichts­hof der Euro­päi­schen Uni­on, Schluss­an­trä­ge des Gene­ral­an­walts vom 25. Juni 2013 – C‑131/​12
[Goog­le Spain SL, Goog­le Inc. /​Agen­cia Espa­ño­la de Pro­tección de Datos, Mario Cos­te­ja Gon­zá­lez]