EuGH-Generalanwalt: Keine datenschutzrechtliche Haftung von Google für Daten auf verlinkten Webseiten – EU-Datenschutz-Richtlinie kennt kein „Recht auf Vergessenwerden“

Was war passiert? 

Anfang 1998 veröffentlichte eine grosse spanische Zeitung in ihrer Printausgabe und später in ihrer Online-Version zwei Bekanntmachungen über eine Immobilienversteigerung im Rahmen einer Pfändung. Die Versteigerung fand statt, weil der Eigentümer seine Schulden bei der Sozialversicherung nicht bezahlt hatte. In den beiden Bekanntmachungen wurde der Eigentümer der zu versteigernden Immobilien namentlich genannt.

Im November 2009 wandte sich der damalige Eigentümer an den Verleger der Zeitung und beanstandete, dass bei einer Google-Suche nach seinem Namen eine Verknüpfung zu den Seiten der Zeitung mit diesen Bekanntmachungen erscheine. Das Pfändungsverfahren sei seit Jahren erledigt und derzeit ohne Relevanz. Der Verleger weigerte sich, eine Löschung der fraglichen Daten vorzunehmen, da die damalige Veröffentlichung auf Anordnung des spanischen Ministeriums für Arbeit und Sozialordnung erfolgt sei.

Nach dieser Weigerung wandte sich der Betroffene im Februar 2010 an die spanische Niederlassung von Google (Google Spain) und verlangte, dass bei der Eingabe seines Namens in die Suchmaschine von Google in den Suchergebnissen keine Verknüpfungen zu der Zeitung angezeigt werden sollen. Google Spain leitete das Ersuchen an den Google-Hauptsitz in den USA weiter, weil die Internetsuchdienste von diesem Unternehmen erbracht würden.

Daraufhin legte der Betroffene bei der spanischen Datenschutzagentur (AEPD) eine Beschwerde gegen den Zeitungsverleger, Google Spain und Google USA ein. Die AEPD hiess die Beschwerde gegen Google Spain und Google USA gut und forderte die beiden Unternehmen auf, die Daten aus ihrem Index zu löschen und einen künftigen Zugriff auf sie unmöglich zu machen. Die Beschwerde gegen den Verleger hingegen wurde abgewiesen, weil die Veröffentlichung der Daten in der Presse auf einer rechtlichen Grundlage erfolgt sei.

Google USA und Google Spain erhoben daraufhin Klage vor den spanischen Gerichten. In ihrer Klage beantragten Sie, die Entscheidung der AEPD sei aufzuheben. Das zuständige spanische Gericht legte die Rechtssache schliesslich dem EuGH vor (Rechtssache C-131/12).

Verfahren betrifft nur Datenbearbeitungen zur Indexierung von Inhalten Dritter

In seinen Schlussanträgen betont Generalanwalt Niilo Jääskinen in einem ersten Schritt, dass das vorliegende Verfahren nur die Tätigkeit von Google als reinem Suchmaschinenanbieter betrifft. Mit anderen Worten geht es dabei ausschliesslich um die Bearbeitung von Personendaten, welche auf den (Quell-)Webseiten Dritter veröffentlicht sind und von der Google-Suchmaschine verarbeitet und indexiert werden. Nicht (direkt) betroffen sind demgegenüber Bearbeitungen von Daten der Nutzer, d.h. der Personen, welche den Dienst zur Suche nach Begriffen verwenden, sowie Bearbeitungen von Daten der Werbekunden.

Welches Recht ist anwendbar?

In einem nächsten Schritt geht der Generalanwalt der Frage nach, ob vorliegend überhaupt europäisches bzw. spanisches Recht anwendbar ist. Google machte geltend, dass die relevante Datenbearbeitung in den USA durchgeführt werde und in Spanien keine mit der Suchmaschine in Verbindung stehende Bearbeitung von Personendaten stattfinde, weshalb das EU-Datenschutzrecht nicht anwendbar sei.

Der Generalanwalt räumt zwar ein, dass man bei einer strengen Interpretation der EU-Datenschutzrichtlinie aus dem Jahre 1995 zu diesem Ergebnis gelangen könnte. Da die Richtlinie jedoch erlassen wurde, bevor die Bereitstellung von Online-Diensten in grossem Stil begonnen hatte, prüft er weitere Anknüpfungskriterien. Ein Rückgriff auf das Kriterium der „Ausrichtung“, welches in vergleichbarer Form auch im Entwurf der EU-Datenschutzverordnung enthalten ist, erachtet er im vorliegenden Fall als unzulässig. Die Tatsache, dass der Ruf des Klägers wegen der Veröffentlichungen primär in der Wahrnehmung der spanischen Nutzer der Google-Suchmaschine, als „anvisiertem Publikum“, Schaden genommen haben könnte, ist demnach irrelevant.

Dem Generalanwalt zufolge muss bei dieser Frage vielmehr das Geschäftsmodell der Suchmaschinenbetreiber berücksichtigt werden. Dieses Modell beruht in der Regel auf der Schlüsselwörterwerbung (z.B. Google AdWords). Diese Werbung stelle eine Finanzierungsquelle dar und sei der eigentliche Grund dafür, warum die Betreiber ihre Suchmaschinen unentgeltlich zur Verfügung stellen. Daher sei dasjenige Unternehmen, das die Schlüsselwörterwerbung anbietet, mit der Suchmaschine verbunden. Google gründe nationale Tochtergesellschaften deshalb, weil ein Unternehmen, das Schlüsselwörterwerbung (Keyword-Advertising) anbietet, eine Präsenz auf nationalen Werbemärkten brauche. Eine Differenzierung nach den einzelnen Tätigkeiten von Google (Bereitstellung des Suchdiensts bzw. der Werbeanzeigen) lehnt der Generalanwalt in diesem Zusammenhang folglich ab und betrachtet den Google-Konzern als Einheit.

Die jeweilige nationale Tochtergesellschaft bearbeite somit dann Personendaten, wenn sie eine Dienstleistung anbiete, die gezielt auf den Verkauf von Werbeanzeigen an die Einwohner eines EU-Mitgliedstaats ausgerichtet ist. Dass der technische Vorgang der Datenverarbeitung in anderen Mitgliedstaaten oder gar in einem Drittland erfolge, sei dabei nicht relevant. Der Generalanwalt umgeht damit auch die, wie er selber festhält, unklare Frage, inwieweit welche Google-Tochtergesellschaft Daten von in der EU ansässigen Personen bearbeitet.

Aus diesem Grund ist nach Ansicht des Generalanwalts vom EuGH festzustellen, dass nationale Datenschutzbestimmungen auf Suchmaschinenbetreiber anwendbar sind, sofern diese in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeanzeigen eine Niederlassung eingerichtet haben, deren Geschäftstätigkeit sich auf gezielt auf die Einwohner dieses Mitgliedstaates ausrichtet. Somit ist vorliegend europäisches bzw. spanisches Recht anwendbar.

Überträgt man die Argumentation des Generalanwalts bspw. auf Anbieter von sozialen Netzwerken wie Facebook, welche ihre Dienste ebenfalls unentgeltlich anbieten und deren Geschäftsmodell ebenfalls auf der Schaltung von Werbeanzeigen beruht, könnte man zum Ergebnis gelangen, dass Facebook sämtliche nationalen Vorschriften von EU-Staaten beachten muss, in welchen das Unternehmen über eine Niederlassung zur Akquise von Werbe-Kunden verfügt. Da bspw. die Facebook Germany GmbH offenbar in diesem Bereich tätig ist, könnte – anders als gewisse deutsche Gerichte – nach dieser Interpretation daher unter Umständen von der Anwendbarkeit von deutschem Datenschutzrecht ausgegangen werden.

Ist der Suchmaschinenbetreiber die für die Datenbearbeitung verantwortliche Person?

Zumal somit EU-Datenschutzrecht bzw. nationale Umsetzungsvorschriften zur Anwendung gelangen und Google klar (auch) Personendaten bearbeite, untersuchte der Generalanwalt in der Folge die Rechtsstellung Googles, insbesondere die Frage, ob Google als die im Sinne der Datenschutzrichtlinie für den Datenschutz verantwortliche Person zu gelten hat. Als verantwortliche Person gilt danach diejenige Person, welche über die Zwecke und Mittel der Datenbearbeitung entscheidet (vgl. Art. 2 lit. d). Dieser Begriff, den das Schweizer Datenschutzrecht nicht kennt, dient in erster Linie der Festlegung, wer für die Einhaltung der Datenschutzbestimmungen wie z.B. der Informationspflichten verantwortlich ist.

Der Generalanwalt betont in diesem Zusammenhang einleitend, dass eine nicht hinterfragte wortwörtliche Interpretation der Richtlinie im Online-Kontext zu völlig unsinnigen Ergebnissen führen würde. Bei einer strengen Interpretation würde der Begriff der verantwortlichen Person sogar auch die Nutzer einer Suchmaschine bzw. jeden Besitzer eines Computers erfassen. Es seien daher das Gebot der Verhältnismässigkeit sowie die Interessen der Informationsgesellschaft zu berücksichtigen. Ein Datenbearbeiter kann deshalb seines Erachtens nur dann als verantwortliche Person gelten, wenn ihr bekannt ist, welche Arten von Personendaten sie verarbeitet und weshalb sie dies tut. Die Datenverarbeitung müsse sich dem Anbieter als Bearbeitung von Personendaten in einer „semantisch bedeutsamen Weise“ und nicht nur als Computercode darstellen.

Ausgehend davon ist Google dem Generalanwalt zufolge nicht generell die für die Bearbeitung von Personendaten auf den verarbeiteten Webseiten verantwortliche Person. Die Suchmaschine stelle lediglich ein Instrument zum Suchen von Informationen dar und impliziere keine Kontrolle über die auf Webseiten Dritter vorhandenen Inhalte. Darüber hinaus sei der Internetsuchmaschinenbetreiber gar nicht in der Lage, zwischen Personendaten und anderen Daten zu unterscheiden. Google könne aus diesem Grund weder rechtlich noch tatsächlich die in der Richtlinie vorgesehenen Pflichten der verantwortlichen Person erfüllen. Würde man Google als verantwortliche Person qualifizieren, wäre der Betrieb einer Suchmaschine kaum mehr mit dem EU-Datenschutzrecht in Einklang zu bringen. Ein solches Ergebnis erachtet der Generalanwalt als abwegig.

Vor diesem Hintergrund kann eine nationale Datenschutzbehörde Google grundsätzlich nicht zur Entfernung von Informationen aus seinem Index verpflichten. Dies wäre nach Ansicht des Generalanwalts nur dann möglich, wenn der Anbieter sog. Exclusion Codes nicht beachtet hat oder einer Aufforderung seitens des Websitebetreibers zur Aktualisierung des Cache nicht nachgekommen ist. Denn in diesem Fall, wie auch im Zusammenhang mit der Bearbeitung von Daten der Suchmaschinen-Nutzer und Werbekunden, wäre Google als verantwortliche Person zu betrachten. Ein solcher Fall liege im zu beurteilenden Rechtsstreit aber nicht vor.

Enthält die Datenschutzrichtlinie ein allgemeines „Recht auf Vergessenwerden“?

Zum Schluss befasst sich der Generalanwalt mit der Frage, ob sich aus der Datenschutzrichtlinie ein allgemeines „Recht auf Vergessenwerden“ herleiten lässt. Diese Frage ist jedoch nur für diejenigen Fälle von Bedeutung, in welchen Google als verantwortliche Person betrachtet wird.

In den Schlussanträgen wird dazu festgehalten, dass die Richtlinie zwar ein Recht auf Berichtigung, Löschung oder Sperrung der Daten vorsehe. Dieses beziehe sich aber auf Daten, die in einer Weise bearbeitet werden, die den Vorgaben der Richtlinie widerspricht, z.B. in denjenigen Fällen, in denen Daten unvollständig oder unrichtig sind. Ein solcher Fall liege im Google -Rechtsstreit nicht vor.

Neben dem Berichtigungs- und Löschungsrecht verleiht die Richtlinie betroffenen Personen das Recht, einer Datenbearbeitung jederzeit aus überwiegenden, schutzwürdigen und sich aus der besonderen Situation ergebenden Gründen zu widersprechen, sofern das nationale Recht nichts anderes vorsieht. Nach Ansicht des Generalanwalts stellt allerdings die subjektive Bewertung der betroffenen Person allein keinen solchen überwiegenden, schutzwürdigen Grund dar. Die Richtlinie berechtige eine betroffene Person deshalb nicht, die Verbreitung von Personendaten zu beschränken oder zu unterbinden, nur weil sie diese für nachteilig oder ihren Interessen zuwiderlaufend hält.

Ausserdem könne von Suchmaschinenanbietern nicht verlangt werden, in die Öffentlichkeit gelangte legitime und rechtmässige Informationen zu unterdrücken, denn dies wäre ein Eingriff in die Meinungsäusserungsfreiheit derjenigen Person, welche die Informationen auf ihrer Webseite bereitstellt. Im Ergebnis würde dies zu einer Zensur der veröffentlichten Inhalte durch eine Privatperson führen.

Der Generalanwalt verneinte deshalb die Frage und ist der Auffassung, dass die Richtlinie kein allgemeines „Recht auf Vergessenwerden“ enthalte und Suchmaschinenanbieter deshalb auch nicht gestützt auf ein solches Recht zur Löschung gewisser Inhalte verpflichtet werden können. Anzumerken ist, dass der Entwurf für eine EU-Datenschutzverordnung ein entsprechendes Recht enthält. Die Vorschrift ist jedoch höchst umstritten und es ist folglich nicht abschätzbar, ob ein explizites „Recht auf Vergessenwerden“ tatsächlich je auf EU-Ebene eingeführt wird.

Warten auf Urteil des EuGH

Zusammengefasst kommt der Generalanwalt also zum Schluss,

• dass im vorliegenden Fall europäisches bzw. spanisches Recht anwendbar ist,
• dass ein Suchmaschinenbetreiber in der Regel nicht die für die Datenbearbeitung verantwortliche Person im Sinne der Datenschutzrichtlinie ist, und
• dass die EU-Datenschutzrechtlinie kein allgemeines Recht auf Vergessenwerden beinhaltet.

Die Schlussanträge des Generalanwalts sind für den Gerichtshof selbstverständlich nicht bindend, vielfach folgt er diesen aber. Ob dies auch vorliegend so sein wird, bleibt abzuwarten. Wann der Gerichtshof den Fall entscheiden wird, ist noch nicht bekannt.

Weitere Informationen:

• Pressemitteilung des EuGH vom 25. Juni 2013
• Schlussanträge des Generalanwalts (C-131/12) vom 25. Juni 2013
• EU-Datenschutzrichtlinie (Richtlinie 95/46/EG)
• BR-News: „Medien und Datenschutz: Aktualisierungs- und Berichtigungspflicht bei Medienarchiven“
• Weitere BR-Newsbeiträge zum Datenschutzrecht

Ansprechpartner: Lukas Bühlmann & Michael Schüepp