Die Verantwortung eines Suchmaschinenbetreibers für den Datenschutz

Veröffentlicht am von

In einem beim Gerichtshof der Europäischen Union anhängigen Vorabentscheidungsverfahren zwischen Google und der spanischen Datenschutzagentur hat jetzt der Generalanwalt des EuGH seine Schlussanträge vorgelegt. Nach Ansicht des Generalanwalts sind Suchmaschinen-Diensteanbieter für personenbezogene Daten auf den von ihnen verarbeiteten Webseiten nach der Datenschutzrichtlinie nicht verantwortlich.

Richten diese Anbieter in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen eine Niederlassung ein, die ihre Tätigkeit auf die Einwohner dieses Staats ausrichtet, unterliegen sie den nationalen Datenschutzbestimmungen, auch wenn die technische Datenverarbeitung in anderen Ländern erfolgt.

Anfang 1998 veröffentlichte eine Zeitung mit hohem Verbreitungsgrad in Spanien in ihrer Druckausgabe zwei Bekanntmachungen über eine Immobilienversteigerung wegen einer Pfändung, die infolge bei der Sozialversicherung bestehender Schulden betrieben wurde. Darin wurde eine Person als Eigentümer genannt. Später stellte der Verleger eine elektronische Ausgabe der Zeitung online.

Im November 2009 wandte sich der Betroffene an den Verleger der Zeitung und beanstandete, dass bei Eingabe seines Vornamens und seiner Nachnamen in die Suchmaschine von Google eine Verknüpfung zu den Seiten der Zeitung mit diesen Bekanntmachungen erscheine. Das Pfändungsverfahren sei seit Jahren erledigt und derzeit ohne Relevanz. Der Verleger antwortete, eine Löschung der Daten komme nicht in Betracht, da die Veröffentlichung auf Anordnung des spanischen Ministeriums für Arbeit und Sozialordnung erfolgt sei.

Im Februar 2010 wandte sich der Betroffene an Google Spain und verlangte, dass bei der Eingabe seines Vornamens und seiner Nachnamen in die Internetsuchmaschine von Google in den Suchergebnissen keine Verknüpfungen zu der Zeitung angezeigt werden. Google Spain leitete das Ersuchen an Google Inc. mit Sitz in Kalifornien (USA) weiter, da die Internet-Suchdienste von diesem Unternehmen erbracht würden.

Daraufhin legte der Betroffene bei der Agencia Española de Protección de Datos (Spanische Datenschutzagentur, AEPD) eine Beschwerde gegen den Verleger und Google ein. Mit Entscheidung vom 30. Juli 2010 gab der Leiter der AEPD der Beschwerde gegen Google Spain und Google Inc. statt und forderte diese auf, die Daten aus ihrem Index zu löschen und einen künftigen Zugriff auf sie unmöglich zu machen. Die Beschwerde gegen den Verleger wurde dagegen zurückgewiesen, da die Veröffentlichung der Daten in der Presse auf einer rechtlichen Grundlage erfolgt sei. Google Inc. und Google Spain erhoben jeweils Klage bei der Audiencia Nacional (Nationales Obergericht, Spanien), mit der sie Aufhebung der Entscheidung der AEPD beantragen. In diesem Zusammenhang hat das spanische Gericht dem Gerichtshof eine Reihe von Fragen vorgelegt.

Im Wege eines solchen Vorabentscheidungsersuchens können die Gerichte der Mitgliedstaaten in einem bei ihnen anhängigen Rechtsstreit dem Gerichtshof der Europäischen Union Fragen nach der Auslegung des Unionsrechts oder nach der Gültigkeit einer Handlung der Europäischen Union vorlegen. Der Unionsgerichtshof entscheidet dabei nur über die vorgelegten Rechtsfragen, nicht aber über den nationalen Rechtsstreit. Es ist und bleibt Sache des nationalen Gerichts, über die Rechtssache im Einklang mit der Entscheidung des Gerichtshofs der Europäischen Union zu entscheiden, dessen Entscheidung bindet in gleicher Weise auch andere nationale Gerichte bindet, die mit einem ähnlichen Problem befasst werden.

In seinen jetzt vorgelegten Schlussanträgen prüft Generalanwalt Niilo Jääskinen zunächst die Frage des räumlichen Anwendungsbereichs nationaler Datenschutzvorschriften. Das Hauptanknüpfungskriterium für deren Anwendung sind Verarbeitungen personenbezogener Daten, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche – nach der Datenschutzrichtlinie der „für die Verarbeitung Verantwortliche“ die Person oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet – im Hoheitsgebiet des betreffenden Mitgliedstaats besitzt. Google macht jedoch geltend, dass in Spanien keine mit der Suchmaschine in Beziehung stehende Verarbeitung personenbezogener Daten stattfinde. Google Spain handelt lediglich als Vertreterin von Google im Rahmen der Werbefunktionen. In dieser Eigenschaft hat Google Spain die Aufgabe der Verarbeitung personenbezogener Daten ihrer spanischen Werbekunden übernommen.

Der Generalanwalt ist der Ansicht, dass diese Frage unter Berücksichtigung des Geschäftsmodells der Internetsuchmaschinenbetreiber geprüft werden sollte. Dieses Modell beruht in der Regel auf der Schlüsselwörterwerbung, die die Finanzierungsquelle darstellt und den Grund für die unentgeltliche Bereitstellung eines Instruments zur Lokalisierung von Informationen in Form einer Suchmaschine bildet. Das die Schlüsselwörterwerbung anbietende Unternehmen ist mit der Internetsuchmaschine verbunden. Dieses Unternehmen benötigt eine Präsenz auf nationalen Werbemärkten, weshalb Google Tochtergesellschaften in zahlreichen Mitgliedstaaten gegründet hat. Nach Ansicht des Generalanwalts ist daher anzunehmen, dass eine Niederlassung personenbezogene Daten verarbeitet, wenn sie in einem Zusammenhang mit einem Dienst steht, der auf den Verkauf zielgruppenspezifischer Werbeanzeigen an die Einwohner des Mitgliedstaats ausgerichtet ist, auch wenn der technische Vorgang der Datenverarbeitung in anderen Mitgliedstaaten oder in Drittländern erfolgt. Herr Jääskinen schlägt dem Gerichtshof daher vor, festzustellen, dass die Verarbeitung personenbezogener Daten im Rahmen einer Niederlassung des für die Verarbeitung Verantwortlichen stattfindet und daher nationale Datenschutzbestimmungen auf einen Suchmaschinenbetreiber anwendbar sind, wenn dieser in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet.

Zweitens erinnert der Generalanwalt bezüglich der Rechtsstellung von Google als Internetsuchmaschinenbetreiber daran, dass das Internet und Suchmaschinen 1995, als die Richtlinie erlassen wurde, neue Phänomene waren und der Gemeinschaftsgesetzgeber ihre gegenwärtige Entwicklung nicht vorhergesehen hat. Seiner Ansicht nach ist Google nicht generell als der für die Verarbeitung von personenbezogenen Daten auf den von ihnen verarbeiteten Webseiten Verantwortliche anzusehen, der nach der Richtlinie für die Einhaltung der Datenschutzbestimmungen verantwortlich ist. Denn die Bereitstellung eines Instruments zur Lokalisierung von Informationen impliziert keine Kontrolle über die auf Webseiten Dritter vorhandenen Inhalte. Der Internetsuchmaschinenbetreiber ist noch nicht einmal in der Lage, zwischen personenbezogenen Daten im Sinne der Richtlinie, d. h. Informationen über eine bestimmbare lebende natürliche Person, und anderen Daten zu unterscheiden. Der Generalanwalt stellt fest, dass der Internetsuchmaschinenbetreiber hinsichtlich personenbezogener Daten auf Quellenwebseiten, die auf dem Server eines Dritten gehostet werden, weder rechtlich noch tatsächlich die in der Richtlinie vorgesehenen Pflichten eines für die Verarbeitung Verantwortlichen erfüllen kann.

Daher kann eine nationale Datenschutzbehörde einen Internetsuchmaschinen-Diensteanbieter nicht zur Entfernung von Informationen aus seinem Index verpflichten, es sei denn, der Diensteanbieter hat exclusion codes nicht beachtet oder ist einer Aufforderung seitens des Websitebetreibers zur Aktualisierung des Cache nicht nachgekommen. Denn der Urheber einer Quellenwebseite kann sogenannte „exclusion codes“ festlegen; damit wird den Suchmaschinen der Befehl erteilt, eine Quellenwebseite nicht zu indexieren, zu speichern oder im Rahmen ihrer Suchergebnisse anzuzeigen. Die Verwendung solcher Codes besagt, dass der Urheber bestimmte auf der Quellenwebseite befindliche Informationen nicht von Suchmaschinen auslesen und verbreiten lassen will.

Ein solcher Fall scheint hier nicht vorzuliegen. Ob ein Verfahren zur Meldung und Entfernung von Verknüpfungen zu Quellenwebseiten mit illegalen oder anstößigen Inhalten möglich ist, bestimmt sich nach der nach dem nationalen Recht bestehenden zivilrechtlichen Haftung, die auf anderen Gründen als dem Datenschutz beruht.

Drittens enthält die Richtlinie kein allgemeines „Recht auf Vergessenwerden“. Daher kann den Suchmaschinen-Diensteanbietern aufgrund der Richtlinie – auch in ihrer Auslegung im Einklang mit der Charta der Grundrechte der Europäischen Union, insbesondere das Recht auf Achtung des Privat- und Familienlebens (Art. 7 GrCh) und auf Schutz personenbezogener Daten (Art. 8 GrCh) gegen die Freiheit der Meinungsäußerung und die Informationsfreiheit (Art. 11 GrCh) sowie die unternehmerische Freiheit (Art. 16 GrCh) – kein solches Recht entgegengehalten werden.

Das in der Richtlinie vorgesehene Recht auf Berichtigung, Löschung oder Sperrung bezieht sich auf Daten, deren Verarbeitung nicht den Bestimmungen der Richtlinie entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Ein solcher Fall scheint hier nicht vorzuliegen.

Die Richtlinie gewährt jedem auch das Recht, jederzeit aus überwiegenden, schutzwürdigen, sich aus seiner besonderen Situation ergebenden Gründen der Verarbeitung von ihn betreffenden Daten zu widersprechen, sofern im nationalen Recht nichts anderes bestimmt ist. Der Generalanwalt ist jedoch der Ansicht, dass eine subjektive Präferenz noch keinen überwiegenden, schutzwürdigen Grund darstellt und dass die Richtlinie daher eine Person nicht berechtigt, die Verbreitung personenbezogener Daten zu beschränken oder zu unterbinden, die sie für abträglich oder ihren Interessen zuwiderlaufend hält.

Eine daneben bestehende Verantwortlichkeit der Suchmaschinen-Diensteanbieter nach nationalem Recht kann zu Verpflichtungen führen, die auf eine Sperrung des Zugangs zu Websites Dritter hinauslaufen, auf denen sich illegale Inhalte befinden, etwa Webseiten, die Rechte des geistigen Eigentums verletzen oder verleumderische oder kriminelle Informationen enthalten. Würde dagegen von den Suchmaschinen-Diensteanbietern verlangt, in die öffentliche Sphäre gelangte legitime und rechtmäßige Informationen zu unterdrücken, käme es zu einem Eingriff in die Freiheit der Meinungsäußerung desjenigen, der die Webseite herausgibt, was im Ergebnis eine Zensur der von diesem veröffentlichten Inhalte durch einen Privaten bedeuten würde.

Diese Schlussanträge ihres Generalanwalts sind für den Gerichtshof der Europäischen Union nicht bindend. Aufgabe des Generalanwalts ist es, dem Unionsgerichtshof in völliger Unabhängigkeit einen Entscheidungsvorschlag für die betreffende Rechtssache zu unterbreiten. Die Richter des Gerichtshofs treten nunmehr in die Beratung ein. Das Urteil wird zu einem späteren Zeitpunkt verkündet.

Gerichtshof der Europäischen Union, Schlussanträge des Generalanwalts vom 25. Juni 2013 – C-131/12
[Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González]