Datenschutz

Kommentar zum EuGH-Urteil: „Das Gericht hat Recht, aber das Ergebnis ist falsch“

Das Urteil des Europäischen Gerichtshofs zu personenbezogenen Daten und Suchmaschinen sorgt noch immer für Aufregung. Wir haben verschiedene Spezialexperten™ angefragt, ihre Meinung zum Urteil und Erwiderungen auf gängige Argumente auszuführen. Diesmal Rigo Wenning, Justitiar des W3C und Mitbegründer des FITUG e.V.

Google: gut oder böse?

Das Urteil des Europäischen Gerichtshofs zu personenbezogenen Daten und Suchmaschinen sorgt noch immer für Aufregung. Wir haben verschiedene Spezialexperten™ angefragt, ihre Meinung zum Urteil und Erwiderungen auf gängige Argumente auszuführen. Diesmal Rigo Wenning, Justitiar des W3C und Mitbegründer des FITUG e.V.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Einleitung & Zusammenfassung

Inzwischen sind zur Entscheidung C-131/12 eine große Anzahl Meinungen geäußert worden. Thomas Stadler hat dazu in seinem Blog eine nützliche Liste erstellt. Anfänglich wurde Google’s Niederlage allseits begrüßt. Der Gigant hatte eine herbe Schlappe erlitten und Bürger können dort Löschung verlangen. Die erste Freude über die Eindämmung Google’scher Arroganz ist einer Katerstimmung gewichen. Denn schnell wurde klar, dass ein überbordender Anspruch auf Löschung unsere Informationsquellen austrocknet. Der Datenschutz als Totengräber der Meinungsvielfalt. Es ist ein Klassiker, denn was wir meinen ist das Spannungsverhältnis zwischen Daten- und Reputationsschutz auf der einen Seite und die Möglichkeit sich vor Lug und Betrug zu schützen andererseits. In der harten Variante wird das unter dem Motto diskutiert: „Datenschutz kann kein Täterschutz sein„. Es ist nämlich gerade nicht Googles Meinungsfreiheit, die uns interessiert. Wir wollen Informationen finden. Und Google hilft uns dabei. Ein zweifelhafter Zeitgenosse kann nun Google verpflichten, die Information zu unterdrücken. Das hindert Google nicht am Geld verdienen, dem Verbraucher aber entzieht es ein Mittel der Erkenntnis. Google selbst hat ein anderes Problem: Die Lösung des EuGH skaliert nicht.

Unter dem Thema Meinungsfreiheit wird das nun allgemein beklagt und der EuGH wird verantwortlich gemacht. Liest man aber die Ausführungen des Generalanwalts beim EuGH, der die Entscheidungen mit seinem Schlussantrag vorbereitet, vergleicht man sie mit den Ausführungen des Gerichts, dann muss man bei nüchterner Betrachtung zu dem Schluss kommen, dass der EuGH aufgrund der derzeitigen Rechtslage zwingend so zu entscheiden hatte. Der EuGH stand mit dem Rücken zur Wand, weil er sich auf geltendes Recht beziehen muss und dieses ihm keine Option offen ließ. Er konnte dem Schlussantrag des Generalanwalts nicht folgen. D.h. der EuGH hat richtig entschieden. Angesichts der Vorzeichen kann man das Urteil sogar als kleines Kunstwerk bezeichnen, mit dem sich der EuGH –gleich Münchhausen– an den eigenen Haaren aus dem Sumpf zieht. Eine andere Entscheidung hätte den EuGH nämlich gezwungen substantielle Teile der alten Datenschutzrichtlinie (95/46EC) als gegen die Charta der Grundrechte der EU —insbesondere deren Artikel 11— verstoßend zu annullieren Und das war keine Option.

Das Urteil zeigt, warum die Datenschutzrichtlinie der heutigen Situation nicht mehr gerecht wird. Es wird deutlich, wo der Vorschlag einer Datenschutzverordnung einer substantiellen Nachbesserung bedarf. In der geradezu kartesianischen Übertreibung der informationellen Selbstbestimmung halten sich die Juristen an einer informationellen Kommunikationsordnung fest die ihnen langsam aber sicher zwischen den Fingern zerrinnt. Denn die vernetzte Welt funktioniert nicht nach ihrem Modell. Gerade in der Übertreibung der informationellen Selbstbestimmung liegt aber die Gefahr ihres Untergangs. Dabei ist sie ein zentrales und wichtiges Konzept des Datenschutzes. Die Krone des Nonsens geht dabei an Ronellenfitsch, immerhin der Hessische Datenschutzbeauftragte. Der stellt in der FAZ (offline!) nach dem Urteil die Notwendigkeit einer Datenschutzverordnung in Frage: „Es sei doch alles bestens, das Recht auf Vergessen nunmehr durch den EuGH normiert„. Der Spalt zwischen juristischem Datenschutz und der Netz-Realität wird weiter vertieft.

Was aber ist der richtige Weg? Indem man versucht das Internet und das Web mit seinen technischen wie sozialen Gesetzmäßigkeiten zu verstehen und sich in diese Prinzipien einschmiegende Normen erstellt die dann den von der Charta der Grundrechte vorgegebenen Zielen dienen. Im folgenden werde ich das Urteil analysieren um meine Behauptungen o.g. zu untermauern und daraus einen Vorschlag für Konsequenzen aus dem Urteil des EuGH zu erarbeiten.

Vorverfahren

Einige Feststellungen

Die Fakten sind in den meisten Meinungsäußerungen zum Urteil nicht klar zusammen gefasst. Ich will mich gerade nicht damit begnügen nur das Urteil zu rezitieren. Es ist wohl bekannt, dass es um eine Anzeige zur Versteigerung wegen Schulden gegenüber der Sozialversicherung geht, unter Nennung des Namens.

Das auflagenstarke Lokalblatt, La Vanguardia veröffentlicht ein Archiv seiner alten Print-Ausgaben in PDF. Auf Seite 23 vom 19 Januar 1998 gibt es eine Spalte auf der rechten Seite mit Kleinanzeigen. Eine dieser Kleinanzeigen lautet:

Lesdues meitats indivises dun habitatge al carrer Montseny,8, propietat de MARIO COSTEJA GONZÁLEZ i ALICIA VARGAS COTS, respectivament. Superficie:90 m2.Cárregues: 8,5 milións de ptes. Tipas de sbhasta: 2 milions de ptes.cadascuna de lesmeitats.

Es geht also um eine Zwangsversteigerung für nicht gezahlte Sozialversicherung. Die PDFs des Archivs sind Text-PDFs, also keine Bilder oder Scans. Deren Text kann von Suchmaschinen indiziert werden. Im Quelltext dieses Artikels habe ich die Anzeige oben mit einem <div class="robots-nocontent"> Element versehen. Daran können Suchmaschinen erkennen, dass der Text nicht in den Index aufgenommen werden soll. Ich komme später noch einmal auf diese Technik zurück.

Wie man an der Fallnummer beim EuGH erkennen kann, hat das spanische Gericht die Sache vor zwei Jahren dem EuGH vorgelegt. Man könnte erwarten, dass die Suchmaschinen und Beteiligten sich auf ein Urteil vorbereitet hätten um die weitere Verletzung der Privatsphäre durch Löschung der Verweise zu stoppen. Dabei kann zum Zeitpunkt der Redaktion des Artikels festgehalten werden:

  • Bei La Vanguardia ist die Information immer noch abrufbar.
  • Bei La Vanguardia findet man die Information mit der Namenssuche
  • Bei BING findet man die Information mit der Namenssuche
  • Bei Google findet man die Information mit der Namenssuche
  • Bei EUR-LEX findet man die Information mit der Namenssuche
  • Bei Yandex findet man die Information mit der Namenssuche nicht

Und inzwischen findet man auch eine große Anzahl von Presse-Artikeln mit der Namenssuche „Mario Costeja González„. Diesen hier jetzt auch. Und der hat einen Link. Es lässt sich also festhalten, dass inzwischen alle Welt weiß, dass Herr Costeja González seine Schulden bei der Sozialversicherung nicht bezahlt hat und einer Zwangsversteigerung seiner Wohnung unterworfen wurde. Aber keiner weiß warum er nicht gezahlt hat. Vielleicht hatte er ja gute Gründe.

Wir können auch feststellen, dass das Ziel der Richtlinie und der Entscheidung nicht erreicht wurde. Herr Costeja González und die Zwangsversteigerung sollten vergessen werden. Die ganze Aktion hat nun genau das Gegenteil bewirkt. Herr Costeja González ist jetzt berühmt, weil er als David den Goliath geschlagen hat. Und wenn dies das Ziel der ganzen Aktion war? Und was hat das alles mit Datenschutz zu tun?

Ein Index der Nichtindexierten

Natürlich werden nicht alle berühmt, die sich jetzt bei Google löschen lassen. Aber nein, die können ja gar nicht bei Google gelöscht werden, denn Google muss ja verhindern, dass sie erneut in den Index aufgenommen werden. Also hat Google einen Index mit allen Quellen, die nicht indexiert werden sollen. Das ist die gleiche Form von Index wie die normale Suche. Bloß dürfen nicht wir darin suchen. Vielmehr sucht Google darin um sicher zu sein, dass Resultate nicht angezeigt werden, die nicht angezeigt werden dürfen. Und dann sucht natürlich die NSA darin, weil der Index eine vorzügliche Quelle für Informationen zur Erpressbarkeit liefert und sie Google zur Kooperation zwingen kann. Und auch die Staatsanwaltschaft kann darin suchen, denn die kann eine Übermittlung der Daten (Beschlagnahme) verlangen.

Was aber ist das Ziel des Datenschutzes? Soll Google vergessen oder sollen wir nicht mehr wissen? Durch die Anordnung an Google wurde eine Orwell’sche Datenbank geschaffen. Wollte das Gericht das so? Nein. Ist das technisch unvermeidlich? Nein. Ist es juristisch unvermeidlich? Ja. Und da liegt der Hund begraben: Der EuGH hat Recht, aber das Ergebnis konterkariert alle Ziele des Datenschutz. Aber es kommt noch schlimmer.

Die Entscheidung der spanischen Datenschützer ist (nicht) nachvollziehbar

Herr Costeja González hatte sich ursprünglich gegen La Vanguardia und gegen Google gleichzeitig gewandt. Die spanische Datenschutzbehörde „Agencia Española de Protección de Datos„, kurz AEPD, hatte daraufhin bekanntlich den Rekurs gegen La Vanguardia eingestellt und Google zur Löschung aufgefordert. Vor dem Hintergrund eines effektiven Datenschutzes ist das nicht nachvollziehbar. Vor dem Hintergrund des Generalkonflikts, den sich Google durch verschiedenste Aktionen mit allen Datenschützern in Europa eingehandelt hat, sehr wohl.

Die Begründung der AEPD ist abenteuerlich. Sie hatte angeführt, das Archiv der La Vanguardia könne Online bleiben, weil die Anzeigen aufgrund einer gesetzlichen Bestimmung und auf Veranlassung des Sozialministerium veranlasst wurden. Der Grund für die Veröffentlichung sei dass man einen hohen Preis bei der Versteigerung erzielen und dazu viele Bieter erreichen müsse. Wie diese Begründung einer Versteigerung in 1998 allerdings in 2012 tragen soll bleibt im Dunkeln. Denn jeder Abruf im Web ist ja eine erneute Verarbeitung. Warum sollte die jetzt von einem Grund aus 1998 gedeckt sein, der sich schon lange erledigt hatte? Das Problem amtlicher Veröffentlichungen ist ein uraltes, bekanntes Problem. Alle Gesetzesdatenbanken, alle Dienste die Gesetzblätter veröffentlichen, gehen auf die ein- oder andere Weise mit dem Problem um. Es gibt Lösungen, indem Teile anonymisiert werden oder aus den Suchmaschinen herausgehalten werden, inklusive der eigenen Suchmaschine. Bei der AEPD vermisst man jeglichen Ansatz in diese Richtung. Die AEPD verweigert sich dem eigentlichen Problem, dem Problem der nominativen Information in Archiven. Und die bekannte Suchmaschine ist nicht das einzige Problem bei Archiven mit personenbezogenen Daten.

Dieser Kardinalfehler der AEPD führt dann zu einem Schneeball, der beim EuGH als Lawine ankommt. Festzustellen bleibt auch, dass nicht bekannt ist, ob Herr Costeja González weiter gegen die Weigerung der AEPD vorgegangen ist, das wirkliche Problem zu adressieren. Denn Google ist hier nur ein Verstärker.

Der Generalanwalt biegt es hin und überdehnt die Möglichkeiten

Der Generalanwalt beim EuGH Niilo Jääskinen versucht in seinem Schlussantrag die richtige Lösung darüber zu erreichen, dass er Google für die Verarbeitung nicht verantwortlich sein lässt. Er sagt nun, dass die AEPD sich doch gegen die Verantwortlichen richten sollten, nämlich die Zeitung La Vanguardia. Die Netz-Profis werden bei der Lektüre des Schlussantrags von Generalanwalt Jääskinen viele bekannte, gute und richtige Argumente finden. Allerdings geht es hier nicht um freie Argumentation, sondern um ein Gerichtsverfahren und nicht in eine politische Auseinandersetzung. Jääskinen findet die richtigen Argumente, findet aber keine Stütze für seine Argumente im Gesetz, also in der Richtlinie 95/46EC. Denn während es sich noch „von selbst versteht, dass die in den vorstehenden Nummern dargestellten Vorgänge als Verarbeitungen der personenbezogenen Daten gelten“ wird die Verantwortlichkeit über diese Verarbeitung verneint. Die entscheidende Frage ist laut Generalanwalt, ob die als verantwortlich angesehen Person „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet„. Das verneint der Generalanwalt Jääskinen mit folgenden Argumenten:

  1. Suchmaschine hat keine Kontrolle über die auf Webseiten Dritter vorhandenen personenbezogenen Daten
  2. Einer Suchmaschine ist die Existenz personenbezogener Daten lediglich in dem Sinne „bekannt„, als Webseiten mit statistischer Wahrscheinlichkeit personenbezogene Daten enthalten
  3. Suchmaschine wäre mit dem Unionsrecht unvereinbar, wäre sie „Verantwortlicher der Verarbeitung„.

Das Argument Nummer 1 ist für die Fragestellung zum EuGH leider nicht relevant. Denn es geht gerade nicht um die Kontrolle über die Website von La Vanguardia. Die AEPD hatte durch das Vorverfahren ja verhindert, dass es im Verfahren überhaupt um die Primär-Informationen auf der Website geht.

Das zweite Argument ist besser als die beiden anderen, findet aber weder eine Stütze im Gesetz noch in der Realität. Nun setzt das Gesetz nicht voraus, dass der Suchmaschine bekannt ist ob sie personenbezogene Daten verarbeitet. Erwägungsgrund 26 sagt ja gerade, „die Schutzprinzipien müssen für alle Informationen über eine bestimmte oder bestimmbare Person gelten„. Und dabei „sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.“ Wenn man in der Suchmaschine „Mario Costeja González“ eingibt, dann findet man alles. Das ist ja geradezu der Zweck einer Suchmaschine. Und die Suchmaschine selbst muss das gar nicht wissen. Damit ist auch dieses Argument nicht überzeugend.

Das Argument Nummer 3 ist bekannt unter dem Titel, dass nicht sein kann was nicht sein darf. Dem stimme ich zwar aus praktischen Erwägungen zu. Das ist aber rechtlich nicht relevant. Oder wir lassen zu, dass Gerichte nun entscheiden, ein neues Atomkraftwerk könne gebaut werden denn sonst sei die Stromversorgung der Bevölkerung nicht zu gewährleisten. Es ist evident, dass ein solch politisches Argument über die Entscheidungsgewalt des Gerichts hinaus geht. Man kann darüber hinaus anzweifeln, ob es sinnvoll ist, alle Suchmaschinen aus dem Anwendungsbereich des Datenschutzes heraus zu nehmen.

Aber auch der Vergleich zwischen Ausführungen des Generalanwalts und Stand der Technik lässt Zweifel aufkommen. Aus der NSA-Affäre wissen wir, dass Suchmaschinen inzwischen semantisch aufgeladen sind. D.h. beim Download der Seiten durch den Robot oder in der späteren Nachbearbeitung des Index kann eine Suchmaschine mit einer Ontologie aller existierenden Namen alle Seiten mit Namen herausfinden und in einen neuen Index schreiben. Ein neuer Index mit personenbezogenen Daten entsteht. D.h. Suchmaschinen können sehr wohl „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide(n)„.

Der Generalanwalt war sich also der richtigen Lösung bewusst, hat aber keine ausreichende Begründung in den veralteten und teilweise realitätsfernen Gesetzen gefunden. Nur mit Hilfe von Goethe ist er zum richtigen Schluss gekommen: „und legt ihr nicht aus, so legt was unter„.

Der EuGH kann nur auf die Fragen antworten, die ihm gestellt werden

Weil das Basisproblem um die personenbezogenen Daten im Archiv von La Vanguardia nicht Gegenstand des Verfahrens ist, bleibt einzig die Frage nach dem Verstärker des Datenschutzproblems. Google ermöglicht als allumfassendes Informationsportal eine generalisierte Suche. Dabei tauchen oft unerwartete Ergebnisse auf, weil der Suchende selbst gar nicht daran gedacht hätte, in gerade dieser Quelle zu suchen. Das drückt sich im Wort „googeln“ sehr konkret aus. Inzwischen erwarten wir sogar eine umfassende Antwort oder glauben eine Antwort von Google sei umfassend. Google erfasst aber höchstens 40% des Web.

Die AEPD ordnete also an, dass Google die Information zu löschen habe. Google lässt so schnell keinen an seinen Index heran, um eine zu starke Manipulation der Ergebnisse zu verhindern und den Aufwand gering zu halten. Anstatt also das Problem der nicht skalierenden, aberwitzigen Menge an Löschanfragen einfach auf die AEPD abzuwälzen, indem man deren Zustimmung voraussetzt, hat Google die AEPD-Anfrage verweigert. Aus einer falschen Reaktion auf ein falsch gelöstes Basisproblem um Archive ist nun eine Machtfrage geworden. Google hat sich offen mit dem europäischen Regierungsapparat angelegt. Das hat Google sicherlich unterschätzt. Die AEPD klagt und das Gericht legt dem EuGH die Fragen vor:

  1. Wann ist das europäische Datenschutzrecht territorial anzuwenden?
  2. Verarbeiten Suchmaschinen personenbezogene Daten im Sinne der Richtlinie?
  3. Kann ein Bürger aufgrund Art. 14 der Datenschutz-Richtlinie 95/46/EC die Löschung des Links auf eine Seite mit seinen personenbezogenen Daten von einer Suchmaschine verlangen?

Diese Fragen maskieren die offene Machtfrage an den EuGH. Kann Google die Anordnung einer Datenschutzbehörde ignorieren oder nicht? Kann der Bürger sich gegen Google wehren oder nicht? Eine Falle für ein Gericht. Dem Nichtjuristen sei die limitierte Handlungsfreiheit des EuGH näher gebracht. Er ist keine politische Instanz, die eine veraltete Regelung einfach verwerfen und eine neue Regelung erstellen kann. Der EuGH kann nicht einfach noch zusätzliche Fragen erfinden und dann beantworten, um seinen Kopf aus der Schlinge zu ziehen. Die Fragen an den EuGH enthalten das Basisproblem um das Archiv nicht: Soll die Information zur Versteigerung vergessen werden? Diese Frage ist schon beantwortet: Die Anzeige zur Versteigerung bleibt öffentlich!

Wann ist das europäische Datenschutzrecht territorial anzuwenden?

Zur Frage der Anwendung von Normen bei transnationalen Medien gibt es eine breite und gut etablierte Rechtsprechung im Bereich des Satellitenfernsehens. Daraus kann man einige Punkte für die gleichen Fragen aufnehmen, die sich durch das Internet stellen. Lobenswerterweise durchbricht der EuGH die falsche und faule Argumentation so mancher Gerichte und sagt gerade nicht: „ich kann es auf meinem Rechner in Luxemburg sehen, also ist EU-Recht anwendbar„. Der EuGH findet einen guten Anknüpfungspunkt. Google hat Niederlassungen in ganz Europa. In der Entscheidung reicht dem EuGH schon die Anknüpfung an die spanische Niederlassung und so vermeidet er die Frage, ob eine Niederlassung in Hamburg zur Anwendung spanischen Rechts führen kann. Google sammelt mit seiner Niederlassung Anzeigengeld in Spanien ein. Google begibt sich damit aktiv in den spanischen Markt, die transponierten Regeln der Datenschutzrichtlinie sind anwendbar. Das ist eine nachvollziehbare und vernünftige Regel. Die vielfach vertretene Ansicht, Anbieter würden sich nun zurückziehen, teile ich nicht. Denn der Vorteil der lokalen, verteilten Marktteilnahme ist ungleich höher als die Nachteile durch Konformitätsdruck, der außerdem gar nicht so hoch ist. Immerhin ist das hier ein erster Fall und er resultiert in einer europäisch einheitlichen Auslegung. Wenn Google die Regelung nicht will, dann müssten sie sich aus Europa zurück ziehen. Google kann sich gar nicht leisten vom europäischen Markt zu verschwinden. Genau hier sieht man die Stärke Europas.

Verarbeiten Suchmaschinen personenbezogene Daten im Sinne der Richtlinie?

Natürlich. Denn Suchmaschinen kontrollieren sehr genau, welche Informationen sie verarbeiten und uns zeigen. Man kann auch in einem riesigen Rechenzentrum den Strom ausschalten. Suchmaschinen machen sogar Gewinn mit dieser Kontrolle, indem sie uns maßgeschneiderte Werbung zu unserer Suche liefern. Wenn sie das können, wieso sollen sie dann keine Namenssuche erkennen? Aber Juristen können diese Einfachheit nicht offen zugeben. Wir haben schon gesehen, dass der Generalanwalt Jääskinen versucht hatte, über diesen schmalen Steg zu entkommen. Das Gericht ist ihm nicht gefolgt. Zu groß wären die Schäden für das Gesamtsystem des Datenschutzes gewesen. Zu groß wäre der Abstand zwischen dem Gesetz und seiner Interpretation geworden und damit der Schaden für das Gericht selbst. Aufgrund der Tatsache, dass sich der Schlussantrag von Generalanwalt Jääskinen so eingehend mit der Verarbeitung auseinander setzt, beschäftigt sich auch das Gericht eingehend mit der Frage. Notwendig war das nicht wirklich.

Ins Auge sticht dabei allerdings die seltsam verdrehte Argumentation von Datenschützern und Google. Google glänzt mit bekannter Arroganz die ihnen auch bei GMail noch um die Ohren fliegen wird: „Wir lesen ihre email gar nicht, das tut die Maschine und zeigt ihnen dann Werbung„. Dieser Verweis auf den Onkel vom Mars oder den Geist in der Maschine, um von der eigenen Kontrolle über hoch professionell programmierte Algorithmen und Maschinen abzulenken, hat vor Gericht noch nie verfangen. Die NSA versucht eine ähnliche Argumentation: „Wir haben alles, wir können alles aber ihr könnt euch darauf verlassen, dass wir das alles nicht tun„. Und so hat Google gesagt: „wir sind nur ein Zwischenspeicher und als solcher nicht verantwortlich“ und das Gericht hat vorhersehbar anders entschieden.

Dabei ist allerdings der § 9 TMG von großem Interesse. Denn er hebt die Verantwortlichkeit für Zwischenspeicher nur auf, wenn „die erlaubte Anwendung von Technologien zur Sammlung von Daten über die Nutzung der Informationen, die in weithin anerkannten und verwendeten Industriestandards festgelegt sind, nicht beeinträchtigen„. Wenn es also einen Standard für Suchmaschinen gäbe und Google sich daran hielte, dann könnte man aus Artikel 13 der eCommerce-Richtlinie 2000/31EC Honig saugen. Eine entsprechende Regelung fehlt jedoch im Datenschutz. Und allgemein anerkannte Industriestandards gibt es auch nicht für Suchmaschinen, aber dazu später.

Die Datenschützer um die AEPD andererseits haben das Basisproblem der Archivierung nicht gelöst und alles auf die Frage der Suchmaschine zugespitzt. Die Suchmaschine ist aber im vorliegenden Fall nur ein Randproblem. Deswegen bleibt bei der Betrachtung der Behandlung des Falles von Seiten der Datenschützer ein schlechter Nachgeschmack. Man hat den Eindruck, die mangelnde Fähigkeit zur Problemlösung wird auf den bekannten Giganten geschoben. Man macht es sich zu einfach.

Löschung von Links auf eine Seite mit personenbezogenen Daten — Recht auf Vergessen

Der Ausweg des Generalanwalts war versperrt. Also musste der EuGH die entscheidende Frage beantworten, ob die Löschung des Links nach Art. 14a der Richtlinie 95/46EG verlangt werden kann. Dabei war anzunehmen, dass die personenbezogenen Daten von Herrn Costeja González weiterhin öffentlich verfügbar sind.

Google vertrat die Meinung, eine Suchmaschine könne nur reagieren, wenn die Primär-Information auf der Website nicht mehr vorhanden ist, wenn also die Website die Information gelöscht hat. Die Regierung Österreichs stimmt dem zu, eruiert die Punkte zur Meinungsfreiheit, die auch Thomas Stadler schon angeführt hat, und schließt daraus (RN.64):

eine nationale Kontrollstelle könne nur dann anordnen, dass der Suchmaschinenbetreiber von Dritten veröffentlichte Informationen aus seinen Dateien lösche, wenn vorher festgestellt worden sei, dass die betreffenden Daten rechtswidrig oder unzutreffend seien, oder die betroffene Person beim Herausgeber der Website, auf der die Informationen veröffentlicht worden seien, mit Erfolg Widerspruch eingelegt habe.

Die Internet-Gemeinde würde liebend gerne auf diesen Zug springen, folgt er doch dem im Internet so wichtigen Ende-zu-Ende Prinzip. Das fördert die Annahme, eine solche Regel funktioniere gut in verteilten Systemen, also dem Internet im allgemeinen und dem Web im besonderen. Der Kernpunkt der Entscheidung liegt hier und der EuGH ist dieser offensichtlichen und einfachen Regel nicht gefolgt. Viele Kommentare erklären sich dies mit dem Unverständnis des Gerichts für Natur und Dynamik des Web. Aber es gibt ein zwingendes Gegenargument gegen die Position Österreichs, doch es ist ein schwieriges Argument. Denn es ist ein sehr tief juristisches, systemisch-teleologisches Argument, dass für die Netzgemeinde nur schwer nachvollziehbar ist. Ich kann eine Übersetzung versuchen, allerdings ohne Garantie, tatsächlich verstanden zu werden.

Der Auffassung von Herrn Costeja-González, der italienischen, spanischen und polnischen Regierung folgend, verneint das Gericht eine zwingende Löschung der Primär-Information, bevor die Suchmaschine belangt werden kann. Man kann also in Zukunft parallel gegen Primär-Information und Verlinkung vorgehen.

Zuerst einmal stellt das Gericht fest, dass die Suchmaschine selbst eine Vertiefung der Verletzung des Rechts auf Privatsphäre aus der Charta der Grundrechte bewirkt. Bei ehrlicher Betrachtung ist es klar, dass ein Inhalt durch Google auffindbarer und damit einer breiteren Öffentlichkeit zugänglich wird. Ist ein Recht berührt, bedeutet das in der Juristerei nicht automatisch, dass es unbedingt eine Gegenmaßnahme des Gesetzes geben muss. Vielmehr folgert das Gericht aus diesem zusätzlichen Schaden für die Privatheit von Herrn Costeja-González, dass er nicht allein darauf verwiesen werden kann, sich nur an die ursprüngliche Website zu wenden. Hinzu kommt das Hase-Igel Problem, welches auch beim Streisand-Effekt zum Tragen kommt. Denn konfrontiert mit einer Vielzahl von Quellen, müsste der Geschädigte unter Umständen hunderte Verfahren führen bevor die sichtbarste Verletzung beseitigt werden kann. Und die Suchmaschine verdient gleichzeitig Geld mit der Misere, ist aber nicht erreichbar. Also macht es Sinn, einen Anspruch gegen die Suchmaschine jedenfalls nicht generell auszuschließen. Auch hier kommt die Diskussion zu § 9 TMG und den Standards wieder zum Vorschein.

Im konkreten Fall war jedoch die Information gar nicht zu löschen. Denn die AEPD hatte die perpetuierte Veröffentlichung der personenbezogenen Daten für legal erklärt. Der EuGH hat sich in bewundernswerter Weise aus dieser Schlinge befreit indem er aus der Systematik des Datenschutzes argumentiert hat.

Beim Datenschutz gilt ein generelles Verarbeitungsverbot mit Erlaubnisvorbehalt. Das ist ein bekanntes Mittel aus dem deutschen Verwaltungsrecht. Und das funktioniert, so lange sich der Datenschutz an Verwaltungen richtet. Der Datenschutz wird aber gerade zur Magna Charta unserer Online-Rechte. Und da hat das generelle Verarbeitungsverbot wunderliche Auswirkungen. Rekapitulation: Das Gericht hatte festgestellt, dass eine Suchmaschine personenbezogene Daten verarbeitet, dass europäisches Recht anwendbar ist und dass Google seine Computer kontrolliert, also verantwortlich bei Verarbeitung personenbezogener Daten ist. Die personenbezogenen Daten wurden verarbeitet. Damit folgt zwingend aus dem generellen Verarbeitungsverbot, dass die Suchmaschine einen legitimierenden Grund zur Verarbeitung braucht: einen Erlaubnistatbestand.

Den Erlaubnistatbestand sucht der EuGH dann auch für die Information zur Zwangsversteigerung einer Wohnung wegen Schulden gegenüber der Sozialversicherung – und findet keinen. Aber die Information ist noch da, weil die AEPD sie für rechtmäßig erklärt hatte und der EuGH gerade nicht gefragt wurde, ob die Entscheidung zur Primär-Information richtig war. D.h. der EuGH musste zwingend die Unrechtmäßigkeit der Verarbeitung durch die Suchmaschine folgern. Er hätte gar nicht anders entscheiden können. Es sei denn der EuGH hätte weite Teile der Datenschutzrichtlinie als gegen Artikel 11 der Charta der Grundrechte der EU verstoßend annulliert und damit die Notwendigkeit eines Erlaubnistatbestandes verneint.

Der Widerspruch zwischen perpetuierter Verfügbarkeit der Daten von Herrn Costeja-González und dem Verbot an Google sind also rein der AEPD geschuldet und waren gar nicht Gegenstand des Verfahrens. Denn wenn der EuGH zur Primär-Information hätte entscheiden können, hätte er mit hoher Wahrscheinlichkeit eine Perpetuierung der Veröffentlichung aufgrund des inzwischen längst vergangenen ursprünglichen Erlaubnistatbestandes ebenfalls untersagt (RN.93).

Den Richtern muss dies klar gewesen sein, denn in RN. 98 wird in tatsächlicher Hinsicht die Abwägung zwischen öffentlichem Informationsinteresse und Privatheit sehr detailliert vorgenommen. D.h. die Folgerung, der Datenschutz stehe in jedem Fall über den Rechten der Allgemeinheit aus Artikel 11 der Charta, findet im Urteil keine Stütze.

Ausblick & Meinung

Die Entscheidung bringt uns in zweierlei Hinsicht voran:

  • Es wird klar, warum die Datenschutzrichtlinie veraltet ist.
  • Suchmaschinenbetreiber müssen ihre soziale Verantwortung wahrnehmen.

Die Datenschutzrichtlinie 95/46EG ist veraltet — und der neue Verordnungsentwurf auch

Die Entscheidung zeigt ein aus deutschem Verwaltungsrecht gewachsenes Recht, das nunmehr auf Jedermann angewendet wird. Im Kopf der Juristen ist alles schlüssig, denn das System des Datenschutzes ist juristisch in sich sehr rund. Wenn da nur nicht die Konfrontation mit der Realität wäre. Die Kollision mit der Realität betrifft allerdings nicht die Datenschützer selbst. Diese legen vielmehr ohne tiefe und sachverständige Rechtsfolgenabschätzung Regeln fest, die andere befolgen und umsetzen müssen. Weder der EuGH, noch der die AEPD hat nur entfernt eine Idee, wie ihre Forderungen umgesetzt werden können und was sie skaliert auf das Web an Auswirkungen mit sich bringen. Nur Generalanwalt Jääskinen lässt anklingen, dass er Befürchtungen hinsichtlich der Regelungen hat, wenn er davon spricht, dass Suchmaschinen mit dem Gesetz nicht mehr in Einklang gebracht werden könnten. Google muss sich jetzt mit den ganzen Anfragen wegen Löschung auseinandersetzen und abwägen, ob das Interesse der Öffentlichkeit überwiegt. Google ist aber ein Wirtschaftsunternehmen und hat im Zweifel kein Investitionsinteresse an der Öffentlichkeit der Information. Google und Suchmaschinen generell werden also einfach auf Anfrage löschen. Es wird eine Lösch-Orgie unter unseren Augen stattfinden. Als Allgemeinheit werden wir nicht einmal am Verfahren beteiligt.

Aber auch das ist eine zwingende Folge: wenn Datenschutzrecht zum Allgemeinrecht wird, wenn dort geregelt wird, wie wir uns im Netz austauschen, dann stimmen die unterliegenden Prinzipien aus der Entscheidung des BVerfG aus dem Jahre 1984 nicht mehr.

Wenn also unsere Unterhaltungen im Netz zur Verarbeitung personenbezogener Daten werden, weil wir —via IP-Adressen und auf Web-Seiten— übereinander und miteinander reden, dann wird die Verarbeitung personenbezogener Daten zur allgemeinen Kommunikation. Und das führt zu einer absolut fundamentalen Frage:

Wenn der Datenschutz ein Verbot der Verarbeitung mit Erlaubnisvorbehalt ist, und wenn unsere Netzkommunikation nunmehr fast immer Verarbeitung von personenbezogenen Daten ist, dann steht unsere generelle nicht fernmündliche aber computervermittelte Kommunikation unter einem Erlaubnisvorbehalt. Das war in Zeiten von Fernsehen, Print und Telefon nicht schlimm. Aber heute werden 90% unserer Kommunikation damit erfasst. Daher ist die Aussage in ihrer Tragweite enorm und fundamental. Denn letztlich bestimmt dann der Datenschützer, was ich sagen darf. Es ist alles verboten, was nicht erlaubt ist. Diesen Widerspruch aber löst auch der neue Verordnungsentwurf nicht auf.

Das generelle Verbot mit Erlaubnisvorbehalt ist aber ein notwendiger Bestandteil der informationellen Selbstbestimmung. Wir müssen also nun entscheiden, ob wir eine freiheitliche Verfassung wollen, in der alles erlaubt ist, was nicht verboten ist. Oder umgekehrt eine Verfassung in der jede neue Möglichkeit vorheriger Abwägung und Genehmigung bedarf, jedenfalls für unsere Netzkommunikation.

Wenn wir eine freiheitliche Netzverfassung wollen, dann muss die Datenschutz-Diskussion eine andere werden. Dann müssen wir genauer diskutieren, was wir nicht wollen und das generelle Verbot auflösen. Denn dem generellen Verbot mit einem generellen Erlaubnistatbestand zu begegnen, würde zu einer verdrehten, abstrusen Diskussion und Argumentation führen. Einen Ansatz dieser abstrusen Diskussion sieht man nun, wenn man anfängt, Pressefreiheit auf jedermann anwenden zu müssen. Das wertet entweder die Journalisten ab oder führt zu einer Überprivilegierung der allgemeinen Kommunikation. Man kann sehr wohl Anwendungsfelder für die Unterwerfung unter die informationelle Selbstbestimmung bestimmen. Ein „weiter so“ wird weitere EuGH-Entscheidungen gleicher Art und Güte nach sich ziehen. Das sollten wir uns nicht leisten.

Zu Beginn dieser Diskussion kann man fragen, welche Dienste tatsächlich als Teil der privaten Netz-Infrastruktur systemrelevant sind, und welche Privilegien aber auch besondere Verpflichtungen sich daraus ergeben. Eine manipulierte Suchmaschine wird derzeit nur durch das Kartellrecht belangt. Ist das wirklich ausreichend? Diese Fragen reihen sich nahtlos ein in die große Diskussion um die Verantwortlichkeit der Mittler im Netz. Diese sind leichte Beute für Staaten und haben dennoch eine wichtige Rolle beim Betrieb des Netzes. So kann die Verantwortlichkeit dramatische Folgen für die Netzneutralität haben.

Die soziale Verantwortung der Suchmaschinen-Betreiber

Das Urteil macht allerdings deutlich, dass die Suchmaschinenbetreiber in der sozialen Verantwortung stehen. Sie müssen der rein juristischen Aufarbeitung des „Phänomens Suchmaschine“ etwas entgegen stellen, indem technische Funktionalität die sozialen Regeln skalierbar macht und ergänzt. Das Internet und das Web sind deswegen so erfolgreich, weil sie jedem ein Maximum an Freiheit und Individualität ermöglichen, dabei aber kommunikative Funktionalität bereit stellen. Diese Charakteristik wird erreicht, indem man Komplexität und Verantwortung möglichst in die Peripherie schiebt. Das Netz ist also eine komplexe und gigantische Form des Föderalismus, der sich mittels Standardisierung und Implementierung im Netz seine Regeln gibt. Wenn man dann die Autobahn für die Autos verantwortlich macht, also Verantwortung ins Zentrum des Netzes und in die Infrastruktur schiebt, dann führt das immer zu schlechten Ergebnissen. Und die Suchmaschine ist Infrastruktur.

Das erste Problem, das durch das Urteil entstanden ist, betrifft die Skalierung. Es gibt Milliarden Menschen und Milliarden Web-Seiten. In Europa sind es 500 Millionen Menschen und Milliarden Seiten im Web. Wenn jetzt also jeder 100ste eine Anfrage an Google stellt wegen fünf ihn betreffenden Seiten, dann sind das 15 Millionen Anfragen an Google. Eine individuelle Bearbeitung ist angesichts der Zahlen nicht möglich, eine Abwägung von öffentlichem Interesse und Schutz der Privatheit wird zur Illusion. Also muss automatisiert werden. Die Spannung zwischen Informations- und Meinungsfreiheit einerseits und Schutz der Privatheit andererseits wird am besten zwischen Website-Betreiber und betroffenem Datenschutzsubjekt ausgetragen. Vielfach (wie auch hier) ist das personenbezogene Datum nur Beiwerk einer größeren Publikation.

Wenn wir also Teile der Publikation aus der Suchmaschine automatisiert herausnehmen können, dann würde das skalieren. D.h. wir müssen einen Weg suchen, die Funktionalität im Netz so zu gestalten, dass sie den Zielen der Charta der Grundrechte der EU entspricht. Oder wir müssen zumindest den Akteuren im Internet die richtigen Werkzeuge an die Hand geben. Werkzeuge für das Internet zu bauen kostet viel Geld (für Experten, Meetings etc), erfordert einen langen Atem und eine pädagogische Phase der Implementierung des Werkzeugs.

Es gibt robots.txt für Suchmaschinen. Das ist aber einfach eine Datei, die irgendwo im Netz liegt. Die Betreiber der großen Suchmaschinen haben es bisher nicht für notwendig erachtet, dies weiter zu dokumentieren. Robots.txt ist auch in kein formeller Standard, den ein Gesetz adressieren könnte. Jede Suchmaschine hat darüber hinaus eigene Funktionalität. Ich habe eingangs erwähnt, dass ich in diesem Artikel <div class="robots-nocontent"> verwendet habe. Das wird allerdings nur von Yahoo beachtet. Andere verwenden andere Tags, um Teile des Inhalts von der Indizierung auszunehmen. Das Urteil sollte als Weckruf für Suchmaschinenbetreiber dienen, endlich einen vernünftigen Standard in der IETF oder im W3C zu formalisieren.

Das nächste Problem ist die flächendeckende Implementierung. Eine Integration der Kontrollfunktionalität kann noch wesentlich tiefer gehen und auch sogenannte Webapplications erfassen, wenn es eine Integration in Netz-Protokolle und Anwendungssprachen gibt. Und die Zeit hierfür ist ideal. Nach Snowden betreibt die IETF die Neuausrichtung des Webprotokolls HTTP mit Hochdruck. Es wird eine Implementierungsphase in Blogsoftware und Web-Server geben. Die Implementierungsphase kann genutzt werden, um Suchmaschinenfunktionalität in neue Roll-outs zu integrieren und so die Dinge kontrollierbar zu machen. Das W3C arbeitet immer noch an der HTML5 web Plattform. Eine Integration von Funktionalität wäre noch möglich.

Die Suchmaschinen-Betreiber haben es jetzt in der Hand. Entweder sie investieren das Geld, das sie verdienen, in eine bessere Funktionalität, mit der sie dann vor Gericht argumentieren können. Oder sie bleiben inaktiv und werden als zentraler Ansprechpartner von den Gerichten mit jedem Fall ein Stück weiter in Anspruch genommen. Meiner Auffassung nach werden die monetären und gesellschaftlichen Kosten der rein juristischen Aufarbeitung ohne Technik höher.

Weitere Beiträge

Weitere Kommentare zum EuGH-Urteil:

Weitersagen und Unterstützen. Danke!
5 Kommentare
  1. Der EuGH hätte die Datenschutzrichtlinie in den entsprechenden Teilen für unvereinbar mit den Grundfreiheiten der Charta auf Informations- und Meinungsfreiheit erklären können. Und müssen.

    Die Datenschutzrichtlinie mit ihrem angeblichen absoluten Vorrang des Datenschutzes mit Genehmigungsvorbehalt war immer als „Rechtslyrik“ gedacht, niemand ging je davon aus, dass sie wörtlich anzuwenden sein würde.

  2. Hallo,
    Sie brauchen einen Kredit? Wir bieten persönliche Darlehen, Business-Darlehen, Autokredit und Hauskredit, Mario Lucas verbindliches Angebot Darlehen Darlehen als mit Geschwindigkeit, so wenn Sie interessiert sind kontaktieren Sie uns per E-Mail: Meine mariolucas164@gmail.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.