Jusletter IT

Was online ist, bleibt online – das Internet vergisst nicht! In diesem oder ähnlichem Sinne wurde in der Vergangenheit häufig versucht, unerfahrene und selbst erfahrene Internetuser zu sensibilisieren und ihnen zu verdeutlichen, dass Inhalte, die einmal online gestellt werden, dort bleiben und der User daher selektieren sollte, was er von sich im Internet preisgibt.

Seit der mit großer Spannung erwarteten «Google-Entscheidung» des EuGH¹ scheinen derartige Hinweise an Bedeutung verloren zu haben, zumal der EuGH offenbar bekräftigt hat, dass Suchmaschinenbetreiber verpflichtet sind, personenbezogene Daten aus ihrer Suchergebnisliste zu löschen; es scheint, als habe der EuGH damit ein umfassendes Recht auf Löschung konstruiert; doch hat der EuGH dies tatsächlich in dieser Form festgestellt?

Der EuGH hatte im Zuge eines Rechtsstreites zwischen Google Spain SL und der spanischen Aufsichtsbehörde sowie dem Betroffenen Mario Costeja Gonzáles neun Fragen zur Auslegung der Datenschutzrichtlinie Nr. 95/46 EG des Europäischen Parlaments und des Rates («Datenschutz-RL») zu beantworten; die Fragen haben u.a. die Pflichten der Suchmaschinenbetreiber und das Recht auf Löschung personenbezogener Daten beinhaltet. Mit der Kernfrage des Vorlageantrages wollte das vorlegende spanische Gericht wissen, ob die betroffene Person von Suchmaschinenbetreibern veranlagen kann, Links zu von Dritten rechtmäßig veröffentlichten Internetseiten mit wahrheitsgemäßen Informationen über sie aus Ergebnislisten zu entfernen, weil diese Informationen ihr schaden können oder weil sie möchte, dass sie nach einer gewissen Zeit einfach «vergessen werden». Der Gerichtshof hat diese Frage bejaht und darauf abgestellt, dass die von der Suchmaschine ermöglichte vereinfachte Zusammenstellung von personenbezogenen Daten eine erhebliche Beeinträchtigung der Grundrechte der betroffenen Person hervorruft; eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten kann im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen, wenn die Daten für die Zwecke, für die sie erhoben und verarbeitet worden sind, nicht mehr erforderlich sind.

Bemerkenswert ist, dass der EuGH diesbezüglich eine umfassende Interessenabwägung der Suchmaschinenbetreiber verlangt. Da die betroffene Person in Anbetracht ihrer Grundrechte aus Art. 7 (Achtung des Privat- und Familienlebens) und Art. 8 (Schutz personenbezogener Daten) der Grundrechtecharta verlangen kann, dass die Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, überwiegen diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit bei einer anhand des Namens der betroffenen Person durchgeführten Suche; es besteht daher in dieser Hinsicht ein Recht des Betroffenen zu einem späteren Zeitpunkt nicht mehr mit einem Online-Eintrag in Verbindung gebracht zu werden.³ Im Rahmen dieser Interessensabwägung überwiegen die Interessen des Einzelnen allerdings dann nicht, wenn der Eingriff in die Grundrechte des Einzelnen durch ein überwiegendes öffentliches Interesse an den personenbezogenen Daten des Einzelnen gerechtfertigt ist.⁴

Allein aus dieser Abwägungspflicht ergibt sich, dass der EuGH kein absolutes Recht auf Vergessenwerden im Internet zugesichert hat.⁵

Das detaillierte und umfassend begründete Google-Urteil des EuGH ist zu begrüßen. Besonders hervorzuheben ist, dass der EuGH sämtliche Vorlagefragen ausschließlich auf Grundlage der EU-Datenschutz-RL aus dem Jahr 1995 gelöst hat, was wiederum zeigt, dass die Richtlinie, die zeitlich vor dem klassischen Internetzeitalter verlautbart wurde, durchaus geeignet ist, als Subsumptionsgrundlage für komplexe Internetsachverhalte zu dienen.

Ob dieses Urteil allerdings langfristig zur Stärkung des Persönlichkeitsschutzes führen wird, bleibt dahingestellt. Bereits kurz nach Vorliegen des EuGH-Urteils sind in der Literatur erste Zweifel aufgetaucht, die beispielsweise die Frage aufwarfen, ob der EuGH nicht die Realität des Mediums verkennt.⁶ Man kann aus dem EuGH-Urteil keinen allgemeinen Löschungsanspruch ableiten, da die Löschung weiterhin eine Einzelfallentscheidung bleibt.⁷ Es ist daher ein Irrglaube, davon auszugehen, dass seit dem EuGH-Urteil ein Recht auf Vergessen im Internet bestehen würde.⁸ Dem Gerichtshof geht es auch nicht um ein Vergessenwerden, da dies voraussetzt, dass bestimmte Informationen überhaupt nicht mehr im Internet auffindbar sind, was der Gerichtshof nicht fordert.⁹ Für die vom Gerichtshof geforderte Interessenabwägung wird allerdings besonders geschultes Personal erforderlich sein, dies auch um den so genannten «Streisand-Effekt» zu vermeiden, dem im Google-Urteil wohl auch der spanische Kläger zum Opfer geworden ist, da er «vergessen werden wollte und ihn plötzlich die ganze Welt kannte».¹⁰

Die geplante Datenschutzreform der Europäischen Union besteht aus einer allgemeinen Verordnung, die den Großteil der Verarbeitung personenbezogener Daten in der EU abgedeckt, d.i. die Datenschutz-Grundverordnung («DSGVO»).¹¹ Diese soll die Datenschutz-RL aus dem Jahr 1995 ersetzen. Hauptgrund für diese umfassende Novellierung ist im Allgemeinen die fortschreitende Globalisierung und Digitalisierung; nicht nur Geheimdienste bedienen sich an personenbezogenen Daten im Internet, sondern diese Daten bilden auch die Grundlage für erfolgreiche Unternehmen wie Facebook und Google.¹²

Primäres Ziel der Datenschutzreform ist es, eine Vollharmonisierung und Stärkung des Datenschutzes in der EU herbeizuführen. Rechtsgrundlage dafür bildet Art. 16 AEUV; danach kann die Union den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Mitgliedstaaten regeln, wenn die Verarbeitung im Rahmen der Ausübung von Tätigkeiten erfolgt, die in den Anwendungsbereich des Unionsrechts fallen. Aus der Sicht der Kommission wäre ohne gemeinsame EU-Vorschriften der Datenschutz in den Mitgliedstaaten nicht im gleichem Maße gewährleistet, was den grenzüberschreitenden Verkehr personenbezogener Daten zwischen Mitgliedstaaten mit unterschiedlichen Datenschutzanforderungen jedenfalls behindern würde; weiters ist die Kommission der Ansicht, dass die derzeitigen Probleme nicht allein von den Mitgliedstaaten überwunden werden können. Aus der Sicht der Kommission besteht daher ein besonderer Bedarf an einer harmonisierten, kohärenten Regelung, die einen reibungslosen Transfer personenbezogener Daten innerhalb der EU ermöglicht und gleichzeitig EU-weit allen Betroffenen einen wirksamen Datenschutz garantiert.¹³

Eine weitere Rechtsgrundlage für die EU-DSGVO ist das Subsidiaritätsprinzip nach Art. 5 Abs. 3 EUV; dieser Bestimmung zufolge wird die Union nur tätig, sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten nicht ausreichend verwirklicht werden können. Das Recht auf Schutz personenbezogener Daten, das in Art. 8 der Grundrechtecharta verankert ist, verlangt geradezu nach einem unionsweit einheitlichen Datenschutzniveau.

Bereits der Erstentwurf der EU-Verordnung gestaltete sich zu einem der umfassendsten Rechtssetzungsprojekten in der EU-Geschichte; der Widerstand und der Lobbyismus in- und ausländischer Regierungen war enorm; dies zeigt allein schon die Vielzahl der eingebrachten Änderungsanträge.¹⁴ Der Verordnungsentwurf musste daher grundlegend überarbeitet werden und wurde letztlich am 12. März 2014 mit 621 Stimmen vom Europäischen Parlament unterstützt; eine EU-weite Einigkeit besteht bislang allerdings noch nicht; eine endgültige Entscheidung wird für das Jahr 2015 erwartet, wobei es derzeit nicht nach einer zeitnahen Umsetzung aussieht. Im Dezember 2014 hat der Ministerrat zum Verordnungsentwurf Stellung genommen und seinen Textvorschlag veröffentlicht; dieser weicht zum Teil weit vom vorliegenden Entwurf ab (z.B. im Zusammenhang mit der Meldepflicht an Aufsichtsbehörden im Falle von Sicherheitsvorfällen, zur Frage der verpflichtenden Bestellung eines Datenschutzbeauftragten etc.).

Räumlich soll die DSGVO auf jede Verarbeitung personenbezogener Daten von in der EU ansässigen Personen Anwendung finden, die dem Anbieten von Waren oder Dienstleistungen oder der Verhaltensbeobachtung («profiling») dient.¹⁵ Mit dieser neuen Regelung ist das EU-Datenschutzrecht künftig auch auf Unternehmen aus Drittstaaten anwendbar, wenn diese ihre Dienste innerhalb der EU z.B. online anbieten. Bislang wurde etwa in § 3 DSG auf den Sitz des Auftraggebers abgestellt.

Der Schutz personenbezogener Daten wird generell erweitert werden, indem einige Daten (z.B. genetische Daten) neu mitaufgenommen werden; voraussichtlich wird nur noch ein Schutz für natürliche Personen bestehen und der Schutz nicht mehr auch auf juristische Personen ausgedehnt werden. Der z.B. im DSG verankerte Begriff des «Auftraggebers» wird – was besonders begrüßenswert ist – ersetzt durch den Terminus des «Verantwortlichen». Verantwortliche trifft künftig eine Reihe von Informations- und Auskunftspflichten. Art. 11 des Verordnungsentwurfes führt etwa eine Verpflichtung zur Bereitstellung transparenter, leicht zugänglicher und verständlicher Informationen an; es sind künftig Unternehmer angehalten, in Bezug auf die Verarbeitung personenbezogener Daten nachvollziehbare und klare Konzepte zu erarbeiten («Transparenzgebot»).

Gemäß Art. 14 des Verordnungsentwurfes haben Verantwortliche die Identität und Kontaktdaten des für die Datenverarbeitung Verantwortlichen, den Zweck der Datenverarbeitung und die Dauer der Datenspeicherung auch ohne Nachfragen des Betroffenen zu erteilen, soweit dies die Rechte des Betroffenen und zwar das Recht auf Auskunft, Löschung, Widerspruch sowie das Beschwerderecht an die Aufsichtsbehörde betrifft. Verantwortliche haben daher künftig konkrete Vorkehrungen zu treffen, was wohl zu einem erheblichen technischen wie personellen Mehraufwand datenverarbeitender Unternehmer führen wird.¹⁶

Der Verordnungsentwurf sieht explizit ein Recht auf Löschung vor. Dieses Recht wird von der Europäischen Kommission als eines der Kernrechte interpretiert und in den Diskussionen um die Datenschutzreform regelmäßig in den Vordergrund gestellt. Gemäß Art. 17 DSGVO hat der Betroffene das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von ihn betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten sowie von Dritten die Löschung aller Querverweise auf diese personenbezogenen Daten bzw. aller Kopien und Replikationen davon zu verlangen, wenn einer der in Art. 17 genannten Gründe zutrifft; an Gründen wird angeführt, dass die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, die betroffene Person ihre Einwilligung widerruft oder Widerspruch gegen die Verarbeitung eingelegt hat, ein Gericht oder eine Regulierungsbehörde rechtskräftig entschieden hat, dass die betreffenden Daten gelöscht werden müssen oder die Daten unrechtmäßig verarbeitet wurden.

Zum Teil sind diese Ausführungen bereits bekannt, da etwa auch das DSG – basierend auf der Datenschutz-RL – vorsieht, dass Daten, sobald sie für die Zwecke der Datenanwendung nicht mehr benötigt werden, zu löschen sind, zumal sie ansonsten als unzulässig verarbeitete Daten gelten können. Bemerkenswert ist jedoch, dass das Recht auf Löschung jede Person berechtigt, ihre Einwilligung zur Datenverarbeitung zurückzuziehen und von den Verantwortlichen die aktive Löschung der Daten zu verlangen.¹⁷ Mit der DSGVO werden daher Unternehmen auf Wunsch ihrer Kunden Daten löschen müssen; sie müssen allerdings nicht dafür Sorge tragen, dass die Daten nirgendwo im Internet mehr auffindbar sind; d.h. das primär angedachte und im ersten Verordnungsentwurf verankerte «Recht auf Vergessen» findet sich nicht mehr im aktuellen Verordnungstext. Ursprünglich war geplant, den Betroffenen eine Löschung aller digitaler Spuren im Internet zu ermöglichen, sofern keine wichtigen Gründe für eine weitere Speicherung vorliegen. Verantwortliche wären damit verpflichtet gewesen, bei der Löschung von Daten auch beteiligte Dritte zu informieren, sodass allfällige Kopien der gelöschten Daten entfernt werden können.¹⁸ Da es sich im Sinne einer lebendigen Internetwirtschaft auch nicht als praktikabel erweist, wurde das ursprüngliche Recht auf Vergessenwerden aus dem Verordnungsentwurf entfernt.

Verantwortliche haben allerdings nicht auf jeden Antrag mit umgehender Löschung zu reagieren. Eine Löschung ist dann nicht vorzunehmen, wenn deren Speicherung zur Ausübung des Rechts auf freie Meinungsäußerung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für historische und statistische Zwecke, oder zum Zweck der wissenschaftlichen Forschung oder zur Erfüllung einer sonstigen gesetzlichen Pflicht erforderlich ist. Sie haben daher zunächst eine Interessenabwägung vorzunehmen. Eine derartige Interessenabwägung hat der Gerichtshof bereits in der Google-Entscheidung gefordert. Das Recht auf Löschung wird daher durch das europäische Gemeinwohl und durch die Grundrechte (Dritter) beschränkt. Der Gerichtshof hat zwar in der Google-Entscheidung ausgeführt, dass grundsätzlich das Recht des Einzelnen nicht mehr in Ergebnislisten von Suchmaschinenbetreibern aufscheinen zu wollen, gegenüber anderen Interessen überwiegt, allerdings nicht lückenlos.¹⁹ Es werden daher Unternehmen als datenschutzrechtlich Verantwortliche verantwortungsvolle Interessenabwägungen vorzunehmen haben.

Das Recht auf Löschung soll dem Verordnungsentwurf zufolge jedoch nicht unbeschränkt gelten. Es gilt nicht, wenn der für die Löschung Verantwortliche nicht überprüfen kann, ob die Person, die den Löschungsantrag stellt, tatsächlich die betroffene Person ist (Art. 17 Z 1a DSGVO). Die Betroffenen werden daher ihre Identität entsprechend nachzuweisen haben und dem Löschungsantrag beispielsweise eine Kopie des Ausweises beizulegen haben. Eine sofortige Löschung ist auch dann nicht vorzunehmen, wenn der Betroffene die Richtigkeit der personenbezogenen Daten bestreitet; in diesem Fall kann der Verantwortliche deren Verarbeitung in einer Art und Weise, die nicht den gewöhnlichen Datenzugangs- und Verarbeitungsoperationen unterliegt und die nicht mehr geändert werden kann, beschränken und zwar für die Dauer der Überprüfung der Richtigkeit der Daten oder wenn der Verantwortliche die Daten noch für Beweiszwecke benötigt und er die Daten daher aufbewahren muss (Art. 17 Z 4 DSGVO). Auch diese Regelung ist kein Novum; das DSG kennt aktuell eine derartige Zugriffssperre.

Die DSGVO wird daher kein grundlegend neues Recht schaffen, sondern wird primär datenschutzrelevante Rechtsbereiche, die größtenteils bereits in der Datenschutz-RL geregelt wurden, auf EU-Ebene vereinheitlichen. Verantwortliche werden im Umgang mit personenbezogenen Daten noch mehr sensibilisiert werden.

Wie diese Ausführungen verdeutlichen, existiert kein allgemeiner umfassender Löschungsanspruch personenbezogener Daten des Betroffenen; dies auch nicht mit Umsetzung der DSGVO. Ein so viel zitiertes umfassendes «Recht auf Vergessenwerden» gibt es nicht und wird es auch künftig nicht geben. Es wird voraussichtlich einfacher werden, auf Grundlage der EU-Verordnung einen Löschungsanspruch zu begründen und letztlich durchzusetzen; dies schon aufgrund der EU-weiten Vereinheitlichung der Rechtsgrundlagen. Ein «neues Grundrecht» zur Begründung eines Löschungsanspruches wird es EU-weit nicht geben. Vielmehr lässt der nunmehrige Verordnungsentwurf des Ministerrates durchblicken, dass «zur Gewährung eines funktionierenden Binnenmarktes der freie Fluss persönlicher Daten aus Gründen des Datenschutzes weder beschränkt, noch verboten werden darf» – d.h. auch der Ministerrat plädiert stark für eine einzelfallbezogene Abwägung und bringt dabei auch den wirtschaftlichen Aspekt ins Spiel. Fest steht derzeit (lediglich), dass es durch die DSGVO zu einer umfassenden Verpflichtung datenschutzrechtlich verantwortlicher Unternehmen kommen wird. Wie es derartige Unternehmen in der Praxis bewerkstelligen sollen, umfassende Überprüfungen und letztlich auch Löschungen vorzunehmen, ist derzeit nicht ersichtlich und lässt auch der aktuelle Verordnungsentwurf offen;²⁰ ganz abgesehen davon, wie Unternehmen mit der Auslegungsfrage zurechtkommen werden, ob Daten zu löschen sind oder ob deren Speicherung etwa durch ein öffentliches Interesse gerechtfertigt ist. Im Hinblick auf eine Rechtsvereinheitlichung und damit einhergehender Rechtssicherheit bleibt es zu hoffen, dass möglichst zeitnah auf EU-Ebene ein Konsens gefunden wird.

Boehme-Neßler, Volker, Das Recht auf Vergessenwerden – Ein neues Internet-Grundrecht im Europäischen Recht, NVwZ 2014, 825 f.

Engel, Christoph, Die EU-Datenschutz-Grundverordnung: Was sich ändert, was bleibt – Teil I jusIT 4/2013, 139.

Engel, Christoph, Die EU-Datenschutz-Grundverordnung: Was sich ändert, was bleibt – Teil II jusIT 5/2013, 178.

Jahnel, Dietmar, Löschungspflicht von Suchmaschinenbetreibern – die «Google Spain und Google»-Entscheidung des EuGH, jusIT 4/2014, 149.

Knyrim, Rainer, Entwurf der neuen EU-Datenschutz-Grundverordnung in Scholz/Funk, DGRI Jahrbuch 2012, 25.

Leupold, Andreas, Google und der Streisand-Effekt: das Internet vergisst nicht, MR-Int. 2014, 3.

Nolte, Norbert, Das Recht auf Vergessenwerden – mehr als nur ein Hype?, NJW 2014, 2238 f.

Saupe, Benedict, Vorstoß für mehr Datenschutz in der EU – das Datenschutzpaket der Kommission, AnwBl 2012, 372.

Schmidt-Kessel, Martin, Langhanke, Carmen, Gläser, Isabell, Herden, Hannah Kathrin, Recht auf Vergessen und Piercing the corporate veil, DPR 2014, 192 f.

Zankl, Wolfgang, EuGH: «Recht auf Vergessenwerden», ecolex 2014, 676.

---

 

Verena Stolz, Rechtsanwältin, PEHB Rechtsanwälte GmbH, Erzabt-Klotz-Straße 21a, 5020 Salzburg, E-Mail: office@pehb.at