I.
Einleitung ^
II.
Löschung im öffentlichen Bereich ^
Im öffentlichen Bereich hängt die Verarbeitung von Daten primär davon ab, ob eine gesetzliche Zuständigkeit für Auftraggeber des öffentlichen Bereichs zur Verarbeitung der Daten besteht. Daher muss sich die gesetzliche Zuständigkeit i.S.d. § 7 Abs. 1 des Datenschutzgesetz 2000 (DSG 2000) zunächst aus den Materiengesetzen des Bundes oder der Länder ableiten lassen, die einen gesetzlichen Auftrag zur Führung einer Datenanwendung geben müssen.2 Doch lassen sich auch bei solch einer relativ klaren Bestimmung über die Zulässigkeit und dem damit verbundenen positiven oder negativen Ausgang des Löschungsbegehrens Problemfelder finden, die einer Klärung bedürfen, wie es z.B. bei der Frage über die generelle Anwendbarkeit des DSG im Hinblick auf das Vorliegen einer manuellen Datei oder über die Rechtfertigung der weiteren Verarbeitung in der EKIS der Fall ist.
1.
Manuelle Datei/Papierakt ^
Der positive Ausgang eines Löschungsbegehrens eines Papierakts erfordert somit, dass der Papierakt neben einer nach Durchführung der Zulässigkeitsprüfung unzulässigen Verarbeitung auch als manuelle Datei i.S.d. § 58 DSG 2000 einzuordnen ist. Dies kann er nur sein, wenn er einen solchen äußeren Ordnungsgrad hat und so strukturiert ist, dass eine gezielte Suche nach bestimmten personenbezogenen Daten möglich ist. Wenn die Suche z.B. nach der Anschrift oder nach dem Namen durchgeführt werden kann, so fällt der Papierakt unter den Begriff der manuellen Datei und dem Löschungsbegehren ist von der Datenschutzbehörde (DSB) stattzugeben. Dabei kann die «Löschung» des Papierakts aber so erfolgen, dass nicht der komplette Papierakt vernichtet werden muss, sondern lediglich der Personenbezug durch Schwärzung der personenbezogenen Daten oder durch Vernichtung einzelner Seiten des Papierakts entfernt wird. Sollte dies jedoch nicht ausreichen, um den Personenbezug des Papierakts zu lösen, so muss der komplette Papierakt tatsächlich vernichtet werden.
2.
EKIS ^
2.1.
Ermittlungsdienstlich personenbezogene Daten ^
2.2.
Erkennungsdienstlich personenbezogene Daten ^
Demnach ist die Verarbeitung gem. § 75 SPG auf die den erkennungsdienstlichen Maßnahmen zugrundeliegenden Tatbestände eingeschränkt. Es dürfen ausschließlich Daten zentral und bundesweit verarbeitet werden, die aufgrund des Verdachts einer mit Strafe bedrohten Handlung […] und zur Vorbeugung weiterer gefährlicher Angriffe (§ 65 Abs. 1 SPG), der begründeten Befürchtung eines Selbstmords, einer Gewalttat sowie eines Unfalls (§ 65a SPG), der unbekannten Identität eines Toten (§ 66 Abs. 1 SPG) oder des Verdachts eines gefährlichen Angriffs (§ 67 Abs. 1 SPG) erhoben wurden.24 Diese entsprechen im Grunde den § 57 Abs. 1 Z. 1–12 SPG für die Speicherung ermittlungsdienstlicher Daten in der EKIS.
Wird also ein Mensch gem. § 65 Abs. 1 SPG einer mit Strafe bedrohten Handlung verdächtigt und scheint es notwendig, eine erkennungsdienstliche Behandlung durchzuführen, um weiteren gefährlichen Angriffen vorzubeugen, so dürfen diese Daten in der Zentralen Erkennungsdienstlichen Evidenz verarbeitet werden.
2.3.
Ermittlungsdienstlich und erkennungsdienstlich personenbezogene Daten der Ermittlungsmaßnahmen der StPO ^
Dies steht jedoch im Widerspruch mit den Vorschriften des SPG. Eine Übermittlung und Speicherung von personenbezogenen Daten in der EKIS ist nur zulässig, wenn ihre Ermittlung und Speicherung auch nach den Vorschriften in §§ 53 und 57 SPG sowie §§ 65–67 und 75 SPG zulässig wäre. Eine Speicherung erkennungsdienstlicher personenbezogener Daten in der EKIS nach § 118 Abs. 2 StPO ist nach der Systematik des SPG jedenfalls nur in der Zentralen Erkennungsdienstlichen Evidenz zulässig. Auch die ErläutRV29 zu § 57 Abs. 1 SPG unterstreicht dies, indem sie die Ermittlung und Verarbeitung von Fingerabdrücken im EKIS, der zentralen Informationssammlung nach § 57 SPG, nicht vorsieht. Lediglich ein Hinweis auf allenfalls bereits vorhandene erkennungsdienstliche nach § 75 SPG in der Zentralen Erkennungsdienstlichen Evidenz gespeicherte Daten soll möglich sein.
Aufgrund des § 57 SPG als lex specialis bzw. als lex posterior und der Systematik des SPG muss wohl davon ausgegangen werden, dass in der RV30 zu § 118 StPO die Verarbeitung von Fingerabdrücken und anderen erkennungsdienstlichen Daten in der EKIS nicht gesondert durchdacht wurde. Daher können nur ermittlungsdienstliche Daten, wie Namen, Geschlecht, Geburtsdatum, Geburtsort, Beruf und Wohnanschrift in dem KPA gem. § 57 SPG verarbeitet werden. Jedoch dürfen alle darüber hinausgehenden erkennungsdienstlichen Daten, wie Fingerabdrücke, Größe etc. nach den Vorschriften §§ 65 bis 67 und 75 SPG nur in der Zentralen Erkennungsdienstlichen Evidenz verarbeitet werden.
2.4.
Strafregister ^
Die Ermittlung der Daten obliegt im Falle des Strafregisters somit den ordentlichen Gerichten, die den Betroffenen verurteilt haben. Die Übermittlung der Daten muss gem. § 3 StRegG nach Eintritt der Rechtskraft durch die Übersendung von Strafkarten an die Landespolizeidirektion Wien erfolgen. In diesen Strafkarten sind u.a. die Angaben über die Bezeichnung und das Aktenzeichen des Strafgerichtes erster Instanz, Namen, Geburtstagsdatum und -ort, das Geschlecht, die Staatsangehörigkeit, Vornamen der Eltern des Verurteilten, Tag des Erkenntnisses erster Instanz und des Eintritts der Rechtskraft und alle vom Strafgericht ausgesprochenen Strafen enthalten. All diese personenbezogenen Daten sind dann von dem Strafregisteramt auf der rechtlichen Grundlage des StRegG zu verarbeiten.
3.
Löschung aus dem EKIS ^
3.1.
Löschung der Daten aus der Zentralen Erkennungsdienstlichen Evidenz ^
3.2.
Löschung der Daten der Ermittlungsmaßnahmen der StPO ^
Diese Höchstfristen gem. § 75 Abs. 2 und 3 StPO besagen nämlich, dass der Zugriff auf Namensverzeichnisse nach Ablauf von zehn Jahren ab den im Gesetz festgelegten Zeitpunkten zu unterbinden ist und nach 60 Jahren ab den genannten Zeitpunkten alle Daten im direkten Zugriff zu löschen sind. Diese Zeitpunkte sind im Fall der Verurteilung jener Zeitpunkt, ab dem die Strafe vollzogen wurde, die Verurteilung, falls eine Strafe nicht ausgesprochen oder bedingt nachgesehen wurde und die Entscheidung, mit der ein Freispruch, eine Einstellung des Verfahrens oder ein (endgültiger) Rücktritt erfolgte. Durch das Sperren des Zugriffs auf Namensverzeichnisse erreicht § 75 Abs. 2 StPO, dass ab diesen Zeitpunkten die Daten unbescholtener Personen nicht mehr über Namensabfrage im ADV (automationsunterstützte Datenverarbeitung-System der Justiz verfügbar sind und garantiert damit das Recht auf Geheimhaltung i.S.d. § 1 DSG 2000.58
3.3.
Löschung aus dem Strafregister ^
Ist die Tilgung der Verurteilung nach Ablauf der Tilgungsfristen des TilgG eingetreten, so sind die betreffenden Daten aus dem Strafregister nach Ablauf von zwei Jahren zu löschen. Diese Löschung ist von der Tilgung, also der rechtlichen Löschung, zu unterscheiden, die bereits jede Verwertung ausschließt und ermöglicht noch für zwei Jahre die Auswertung der Daten über die eingetretene Tilgung hinaus zu nicht personenbezogenen wissenschaftlichen Untersuchungen gem. § 13a StRegG.63
Der Betroffene selbst, dessen Daten hinsichtlich der Verurteilung, Verfügung, Entschließungen und dgl. in das Strafregister aufgenommen wurden, hat über § 8 StRegG die Möglichkeit eine Feststellung zu beantragen, ob die Aufnahme in das Strafregister unrichtig oder unzulässig war, die Aufnahme hätte erfolgen müssen oder die Verurteilung getilgt ist. Der Feststellungsantrag ist beim BMI einzubringen, der darüber entscheidet, ob dem Antrag Folge gegeben wird oder nicht. Gem. § 13c StRegG ist gegen diesen Feststellungsbescheid die Beschwerde an das Landesverwaltungsgericht möglich und in weiterer Folge die Revision an den VwGH gegen die Erkenntnisse des Landesverwaltungsgerichts (Art. 133 Abs. 1 Z. 1 B-VG).
4.
Zwischenergebnis ^
III.
Löschung im privaten Bereich ^
1.
Facebook ^
Nach einer Studie von BITKOM sind vier von fünf (78%) der deutschen Internetnutzer in einem sozialen Netzwerk aktiv, bei Facebook in Deutschland allein über 20 Millionen,66 in Österreich 3,4 Millionen.67 Dabei werden die Einnahmen von sozialen Netzwerken wie Facebook zum Großteil aus Werbung erzielt, die auf den Webseiten eingeblendet wird und von den Nutzern angeklickt werden kann. Die Werbung wird dabei gezielt auf die Interessen der Nutzer zugeschnitten («behavioral advertising»), wobei die Grundlage dafür den selbst eingestellten Profildaten, aber auch der Erfassung des Nutzerverhaltens («behavioral tracking») entstammt. Darüber hinaus werden Nutzungsprofile im Internet durch auf mobiler Dienstnutzung basierenden «location based services» ergänzt, die das geografische Auffinden von Personen ermöglichen («friend finder»). Das Sammeln von Daten über Lebensläufe von Einzelnen, dessen Vorlieben, Eigenschaften, Krankheiten und das Wissen über Gruppen hat sich zu einem lukrativen Geschäft entwickelt, sodass Daten seit geraumer Zeit als die Währung des Internets gelten.68
Dieses Geschäftsmodell, das als «Web 2.0» bezeichnet wird und die Verschiebung der Produktion von Inhalten vom Betreiber einer Internetseite zum Nutzer («nutzergenierte Inhalte») beschreibt, betreibt auch Facebook. Die Nutzung des Dienstes ist für den Nutzer «kostenlos» und Facebook entfallen die Produktions und Redaktionskosten von Inhalten, sodass der Nutzer heute nicht mehr nur passiver Informationsnutzer, sondern gleichzeitig aktiver Informationsanbieter ist und nicht nur Informationen über sich selbst, sondern auch intime Informationen über Dritte, Familie, Freunde etc einstellt.69
Bei der Registrierung auf facebook.com geht der Nutzer, wie bei anderen sozialen Netzwerken und Diensten auch, einen Vertrag ein, der vom Betreiber verfassten Nutzungsbedingungen und Datenschutzrichtlinien unterliegt. Der Vertragspartner ist hierbei Facebook Ireland Limited70 mit Niederlassung und Sitz im irischen Dublin und unterliegt dem irischen Datenschutzgesetz (Data Protection (Amendment) Act 2003 [DPA]). Facebooks Datenschutzrichtlinien71 müssen laut der Art. 29-Datenschutzgruppe den Vorgaben der DSRL entsprechen, auch wenn die Niederlassung der Muttergesellschaft Facebook Inc. in den USA liegt,72 die Nutzungsbedingungen als alleinigen Gerichtsstand das im nördlichen Bezirk von Kalifornien zuständige US-Bezirksgericht nennen und die Gesetze des Bundesstaats Kalifornien für anwendbar erklären.73 Nur für Nutzer mit Wohnsitz in Deutschland sind von Facebook jedoch interessanterweise eigene Sonderbedingungen74 vorgesehen, welche unter anderem an Stelle von kalifornischem Recht deutsches Recht für anwendbar erklären. Im Grunde ist aber auch ohne Sonderbedingungen für österreichische Nutzer das österreichische Datenschutzgesetz bzw. die DSRL anzuwenden.
Problematisch wird es erst, wenn der Nutzer personenbezogene Inhalte Dritter einstellt, etwa durch das Hochladen von Daten oder Bildern von Freunden und Bekannten auf seinen Account, da der Nutzer durch den Gestaltungsspielraum, «ob» und «wie» er die Daten verarbeitet, als Auftraggeber für die Datenverarbeitung anzusehen ist, wobei Facebook nur als Dienstleister tätig wird. In den meisten Fällen wird diese Verarbeitung jedoch von der Ausnahme der Verantwortlichkeit des § 45 DSG 2000, wenn eine Datenverarbeitung ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeit vorgenommen wird, gedeckt sein, auch wenn die Reichweite dieser Ausnahme unklar ist. Eine Nutzung der Plattform zur Förderung kommerzieller, politischer oder karitativer Zwecke wird die Grenzen der Ausnahmeklausel jedenfalls überschreiten.82 Als Indiz für eine entsprechende Nutzung nennt die Art. 29-Datenschutzgruppe83 eine hohe Zahl von Drittkontakten. Dies ist bei sozialen Netzwerken jedenfalls anzunehmen, wenn der Zugriff auf die hochgeladenen Daten über die vom Nutzer ausgewählten Kontakte hinausgeht und allen Mitgliedern des Netzwerks Zugang gewährt wird oder die Daten von externen Suchmaschinen indexiert werden können. Auch die Nutzung von Profilen zu beruflichen oder geschäftlichen Zwecken wird die Anwendung der Ausnahme ausschließen. Hierbei bräuchte der Nutzer somit zur Verarbeitung der Daten von Dritten die Einwilligung der betroffenen Person.
Es ergibt sich daraus also eine Zweiteilung der Rollenverteilung, je nachdem wer die Verarbeitung der Daten vornimmt. Für die Verarbeitung seitens Facebook wird jedenfalls sogar eine ausdrückliche Zustimmung des Betroffenen notwendig sein, wenn sensible Daten verarbeitet werden, was durch die Verknüpfung von nicht-sensiblen mit sensiblen Daten in der Mehrheit der Fälle zutreffen wird.86 Die Zustimmung, ob konkludent oder ausdrücklich, kann laut OGH «in Kenntnis der Sachlage» gem. § 4 Z. 14 DSG 2000 jedenfalls nur erfolgen, wenn die konkreten Daten, der konkrete Zweck und gegebenenfalls die konkreten Empfänger von Übermittlungen abschließend und transparent genannt werden. Eine demonstrative Aufzählung der Daten durch das Wort «etwa» und «z.B.» sowie «zum Zweck der Bereitstellung von Diensten» ist dabei keine Einschränkung, zu intransparent und als Zweck zu weit gefasst. Im Rahmen der Übermittlung von Daten an Dritte fehlt der Wendung «soweit notwendig» jedenfalls jede Bestimmtheit.87
Man kann davon ausgehen, dass Facebook durch die sehr vagen, generalisierten und pauschalisierten Nutzungsbedingungen und Datenverwendungsrichtlinien vom Nutzer nie eine nach der österreichischen Rechtsprechung und der DSRL gültige Zustimmung erhalten hat und jedwede von Facebook durchgeführte Datenanwendung daher unzulässig ist. Da bei einer Interessenabwägung andere Gründe sehr wenig Aussicht auf Erfolg versprechen, wären gem. § 8 Abs. 1 Z. 4 i.V.m. Abs. 3 Z. 4 DSG jedenfalls nur Datenverarbeitungen von nichtsensiblen Daten rechtfertigbar, die zur Vertragserfüllung notwendig wären, was sich schon in der Datenverarbeitung zur Erbringung der Dienstleistung erschöpft. Jedwede darüber hinausgehende Auswertung der Daten z.B. für Werbung, Zusatzdienste, nicht unbedingt notwendige Auslagerungen der Datenverarbeitung, Kooperation mit Dritten und die Weitergabe der Daten an Dritte sind jedenfalls auch dadurch nicht gerechtfertigt.92 Alle weiteren Verarbeitungen, insb. die Verarbeitung von sensiblen Daten, wären weiterhin nur mit der (ausdrücklichen) Zustimmung des Betroffenen zulässig.
Wie oben schon festgestellt, dürfte der Großteil der Daten, die von Facebook gesammelt werden, in Konformität mit den europäischen Datenschutzbestimmungen ohne gültige Zustimmung erst gar nicht existieren und wäre dadurch auch ohne Antrag des Nutzers von Facebook zu löschen. Nur solche Daten, die vom Nutzer selbst veröffentlicht wurden und selbst in seinem Profil gespeichert werden, sind für die Verarbeitung auf den Servern von Facebook bis auf Widerruf erlaubt. Doch selbst bei diesen unterscheidet sich die Praxis vom in den Datenverwendungsrichtlinien Vereinbarten und dem gesetzlich Erlaubten erheblich. So räumt sich Facebook schon von vornherein das Recht ein, dass die Löschung mancher Daten bis zu 90 Tage dauern kann, da diese in Sicherungskopien und Protokolldateien weiterhin vorhanden bleiben, wobei eine Löschung des Kontos normalerweise einen Monat beanspruchen soll.95 § 27 Abs. 4 DSG 2000 normiert für die Löschung aber eine gesetzliche Höchstfrist von acht Wochen. Demnach ist nach Stellen des Löschungsbegehrens in Form der Kontolöschung der Auftraggeber dazu verpflichtet, entweder dem Antrag auf Löschung innerhalb von acht Wochen nach Einlangen des Antrags zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder der Auftraggeber hat schriftlich zu begründen, warum die verlangte Löschung nicht vorgenommen wird.96
In den Datenverwendungsrichtlinien97 von Facebook findet sich auch ein Punkt über die Löschung der Daten, die von Facebook erfasst wurden. Neben der Unklarheit, welche und wie viele Daten von Facebook tatsächlich erfasst wurden sowie welche Daten von der Zustimmung des Nutzers erfasst sein sollen, gestaltet sich aber selbst die dem Nutzer von Facebook zugestandene Löschung seiner Daten denkbar schwierig, da Facebook nur die Kontolöschung erwähnt, eine Löschung sämtlicher von Facebook erfassten Daten zwar durch den Wortlaut impliziert, jedoch nicht expressis verbis anspricht.
Neben der 90-tägigen Löschungsfrist weist Facebook in den Datenverwendungsrichtlinien auch darauf hin, dass bestimmte Informationen darüber hinaus erforderlich sind, um dem Nutzer Dienste anbieten zu können, und diese Informationen daher erst nach der Kontolöschung gelöscht werden können und dass einige Dinge, die der Nutzer auf Facebook hochlädt, außerhalb des Kontos gespeichert werden und somit nicht bei der Kontolöschung gelöscht werden, sondern weiterhin erhalten bleiben. Dies wird wiederum verharmlost durch die beispielhafte Aufzählung «von in einer Gruppe geposteten Beiträgen» und «dem Senden einer Nachricht an einen Freund.»98 De facto scheinen durch die Kontolöschung wohl nur Daten gelöscht zu werden, die auch in dem Konto gespeichert sind und Daten, die außerhalb des Kontos gespeichert werden, bleiben erhalten.
Nicht nur die Speicherung der Daten bis zu 90 Tage nach der Löschung widerspricht der achtwöchigen Höchstfrist des § 27 Abs. 4 DSG 2000, sondern dem Nutzer ist auch völlig unklar, welche Daten in den Sicherungskopien und Protokolldateien länger bestehen können und welche Daten tatsächlich außerhalb des Kontos des Nutzers gespeichert werden und dadurch nicht der in den Datenverwendungsrichtlinien vereinbarten Löschungspflicht unterliegen.
Europe versus facebook richtete mehrere Auskunftsersuchen an Facebook und erstellte aufgrund dieser eine Liste von Datengruppen, die nachweislich von Facebook gespeichert werden. Unter diesen Gruppen finden sich z.B. Namen, Passwörter, Telefonnummern, Freunde, Geburtsdaten, Beziehungsstatus, Status-Mitteilungen und politische oder religiöse Einstellungen. Der Datenbestand ist vermeintlich noch viel höher als Facebook zugibt und sich den Auskunftsersuchen entnehmen lässt. Auch das von Facebook angebotene «Download Tool», was der Durchsetzung des dem Nutzer zustehenden Auskunftsrechts gerecht werden soll, liefert nur unvollständige Datensätze. Mit diesem erhält der Nutzer nämlich nur Auskunft über einen Bruchteil der Daten (z.B. frühere Namen, Nachrichten, selbst hochgeladene Fotos), die von Facebook verarbeitet wurden, da man, wenn überhaupt, nur eine Kopie seines Kontos erhält. Facebook speichert aber darüber hinaus auch Daten, die für die Gesichtserkennung notwendig sind, Daten aus der «Gefällt mir»-Funktion, Trackingdaten von Webseiten, sowie Indikatoren, welche die Intensität von Beziehungen anzeigen.99 Nur ein Bruchteil der Daten wird vermutlich auch von der vereinbarten Löschung des Kontos betroffen sein, wobei selbst entfernte und geänderte Daten, wie geänderte Namen und E-Mail-Adressen, gelöschte Chat-Nachrichten und Statusnachrichten, nachweislich auch nach der Löschung von Facebook auf ihren Servern verarbeitet werden.100 So sammelt Facebook beispielsweise explizit das Datum und die Uhrzeit, wann und wo man einen Freund aus seiner Freundesliste löscht, obwohl Facebook die Daten über die Freundschaft löschen sollte. Facebook schafft daher sogar neue Daten, anstatt schon vorhandene Daten aus ihren Datensätzen zu löschen.
Die Löschung vorhandener Daten auf Facebook scheint also praktisch nicht durchsetzbar. Facebook hält sich sehr bedeckt mit Informationen über auf ihren Servern gespeicherte Daten und kommt durch seine Praktiken weder der in den Datenverwendungsbestimmungen vereinbarten Löschung der Daten nach, da durch diese ein bloßes «unsichtbar machen» geschieht, noch irgendeiner anderen Vernichtung von Daten. Die Daten der Nutzer sind schließlich das Kapital von Facebook. Vielmehr geschieht das Gegenteil, da Facebook die Daten noch zu größeren Datensätzen weiterverarbeitet («Big Data»). Nicht umsonst wird Facebook von den Medien gerne als die «Datenkrake Facebook»101 bezeichnet. Die Löschung der Daten auf Facebook ist de facto nur auf dem Papier möglich, was den Vorschriften und Grundsätzen des DSG sowie der DSRL widerspricht. Die gesammelten Daten bleiben, denn das Internet vergisst nicht, und niemand weiß, welche technischen Möglichkeiten es in fünf, zehn oder fünfzehn Jahren gibt.102
2.
Google ^
Auch die Frage über die Reichweite der Rechte auf Löschung und Widerspruch hatte der EuGH zu beantworten. Dazu musste festgestellt werden, ob der Suchmaschinenbetreiber zur Wahrung der in der DSRL vorgesehenen Rechte verpflichtet ist, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt wird, Links von Dritten veröffentlichten Internetseiten mit Informationen zu dieser Person zu entfernen, auch wenn der Name oder die Informationen auf diesen Internetseiten nicht vorher oder gleichzeitig gelöscht werden und gegebenenfalls auch dann, wenn ihre Veröffentlichung auf den Internetseiten als solche rechtmäßig ist. Indem der EuGH annahm, dass sensible Daten von dem Suchmaschinenbetreiber nicht verarbeitet werden, was ziemlich unwahrscheinlich ist, vermied der EuGH – gewollt oder ungewollt – das Problem, vor dem man bei einer datenschutzrechtlichen Beurteilung der Zulässigkeit der Verarbeitung von auch sensiblen Daten steht. Nämlich, dass mangels der Möglichkeit eine Interessenabwägung vorzunehmen, gar keiner der Zulässigkeitsgründe des Art. 8 Abs. 2 DSRL (§ 9 DSG 2000) zur Anwendung kommen kann. Demnach ist nach der Erkenntnis vom EuGH die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte des Betroffenen überwiegen.108
Aufgrund der potenziellen Schwere des Grundrechtseingriffs durch InternetSuchmaschinen kann ein solcher Eingriff nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers an der Verarbeitung der Daten gerechtfertigt werden. Jedoch steht auf dieser Seite auch das berechtigte Interesse von potenziell am Zugang zu der Information interessierten Internetnutzern, sodass ein angemessener Ausgleich zwischen diesem Interesse und den Grundrechten des Betroffenen gefunden werden muss. Somit kann das nationale Gericht nach der Beurteilung dieser Anwendungsvoraussetzung den Suchmaschinenbetreiber anweisen, aus der Liste mit den Ergebnissen, einer anhand des Namens einer Person durchgeführten Suche, Links zu von Dritten veröffentlichten Seiten mit Informationen über diese Person zu entfernen, ohne dass eine solche Anordnung voraussetzt, dass der Name und die Informationen vorher oder gleichzeitig vom Herausgeber der Internetseite, auf der sie veröffentlicht worden sind, freiwillig oder auf Anordnung der Kontrollstelle oder des Gerichts von dieser Seite entfernt werden. Dazu stellt der EuGH weiter fest, dass auf solchen Webseiten veröffentlichte Informationen nicht immer dem Unionsrecht bzw. der DSRL unterliegen müssen, aufgrund der Ausnahme der Art. 9 DSRL «allein zu journalistischen Zwecken» erfolgen und die Interessenabwägung zwischen dem Suchmaschinenbetreiber oder dem Herausgeber der Internetseite verschieden ausfallen kann.109
Schließlich hatte der EuGH noch zu beurteilen, ob die Rechte auf Löschung und Widerspruch dahingehend auszulegen sind, dass die betroffene Person Links löschen lassen kann, weil diese Informationen ihr schaden können oder weil sie möchte, dass sie nach einer gewissen Zeit «vergessen» werden. Dahingehend stellte der EuGH fest, dass bei einem Antrag auf Löschung zu prüfen ist, ob die Einbeziehung von Links zu von Dritten rechtmäßig veröffentlichten Internetseiten, die wahrheitsgemäße Informationen zu einer Person enthalten, in die Ergebnisliste, die im Anschluss an eine Namenssuche angezeigt wird, zum gegenwärtigen Zeitpunkt mit Art. 6 Abs. 1 DSRL vereinbar ist. Sollte sich dabei herausstellen, dass die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der Verarbeitung durch den Suchmaschinenbetreiber nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, müssen die betreffenden Informationen und Links von der Ergebnisliste gelöscht werden.110
Zusammengefasst lässt sich festhalten, dass die Löschung von Links aus der Suchergebnisliste von Google maßgeblich davon abhängt, ob noch ein berechtigtes Interesse des Suchmaschinenbetreibers oder vielmehr der Internetnutzer besteht, die die Interessen des Betroffenen überwiegen. Liegt also eine im Internet befindliche Information eine lange Zeit zurück, so ist von einem Überwiegen des Betroffenen auszugehen; ist sie noch aktuell, so ist ein Löschungsantrag abzuweisen. Von einem automatischen «Recht auf Vergessenwerden» kann jedenfalls nicht gesprochen werden, da zur Löschung von Links eine Interessenabwägung im Einzelfall durchzuführen ist und diese Löschung der Verlinkung auch nur für den Suchmaschinenbetreiber gilt, bei dem die Löschung beantragt wurde. Für die Webseite auf der die Information veröffentlicht wurde sowie weitere Suchmaschinenbetreiber muss ein eigener Löschungsantrag eingebracht werden, sodass eine faktische Löschung einer Information aus dem Internet nahezu unmöglich wird.
3.
Zwischenergebnis ^
IV.
Löschungsart ^
Wie man Daten zu löschen hat, entschied der OGH.111 Um das datenschutzrechtliche Löschungsgebot zu erfüllen, genügt es demnach nicht die Datenorganisation so zu verändern, dass bloß ein gezielter Zugriff auf die betreffenden Daten ausgeschlossen wäre. Es bedarf einer physischen Beseitigung. Damit klärte der OGH die nicht nur in der Lehre z.T. umstrittene Anforderung an die «Datenlöschung», sondern klärte auch eine in der Praxis häufig gestellte Herausforderung zumindest aus juristischer Sicht ab. Das DSG unterscheidet in § 4 Z. 9 DSG 2000 selbst praxisnah zwischen dem «Löschen und Vernichten von Daten» einerseits und dem «Sperren von Daten» andererseits. In der modernen elektronischgestützten Datenverarbeitung kann es nämlich durchaus den Anwenderwunsch geben, gelöschte Daten so lange wie möglich zu erhalten, da sie (möglicherweise) irrtümlich gelöscht sein können und dies erst nach einiger Zeit auffällt. Hierbei spricht die Praxis von aufwandslos rekonstruierbaren Daten und einem sogenannten logischen Löschen.112
V.
Durchsetzung des Rechts auf Löschung ^
Ist dem Betroffenen durch die schuldhafte entgegen den Bestimmungen des DSG durchgeführte Verwendung seiner Daten durch einen Auftraggeber im privaten Bereich ein Schaden entstanden, hat der Auftraggeber diesen gem. § 33 Abs. 1 DSG 2000 nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Nach der h.L. und Rechtsprechung ist immaterieller Schaden grundsätzlich nicht Gegenstand des Ersatzes, sondern nur dort wo das Gesetz dies ausdrücklich vorsieht, wie etwa in § 1325 des Allgemeinen Bürgerlichen Gesetzbuches (ABGB) (Schmerzensgeld) oder § 33 Abs. 1 zweiter Satz DSG 2000. Ideeller Schadenersatz gebührt nunmehr, wenn durch die öffentlich zugängliche Verwendung von sensiblen oder strafrechtlich relevanten Daten oder solche zur Kreditwürdigkeit, die schutzwürdigen Geheimhaltungsinteressen des Betroffenen in einer Weise verletzt werden, die einer Bloßstellung i.S.d. § 7 Abs. 1 des Mediengesetzes (MedienG) gleichkommt, und zwar auch ohne Veröffentlichung in einem Medium. Für eine solch erlittene Kränkung ist vom Auftraggeber der Datenanwendung eine Entschädigung bis EUR 20‘000 zu leisten.124
VI.
Conclusio ^
Mag. Martin C. Walther, Rechtsanwaltsanwärter in Salzburg.
Dieser Beitrag stellt eine Kurzfassung der Magisterarbeit des Autors vor. Diese wurde 2017 in Editions Weblaw publiziert: Martin C. Walther, Die Zulässigkeit der Datenverwendung als Voraussetzung des Rechts auf Löschung, in: Magister, Editions Weblaw, Bern 2017.
- 1 Vgl. zu diesem Beitrag näher Martin C. Walther, Die Zulässigkeit der Datenverwendung als Voraussetzung des Rechts auf Löschung, in: Magister, Editions Weblaw, Bern 2017.
- 2 Dietmar Jahnel, Handbuch Datenschutzrecht, Jan Sramek Verlag, Wien 2010, Rz. 4/11.
- 3 Richtlinie 95/46/EG, ErwGr. 27.
- 4 Natalie Fercher, Manuelle Dateien im Datenschutzgesetz 2000, in: Dietmar Jahnel/Stefan Siegwart/Natalie Fercher (Hrsg.), Aktuelle Fragen des Datenschutzrechts, Facultas, Wien 2007, 33 (45 f.); Jahnel, Datenschutzrecht (Fn. 2), Rz. 3/100.
- 5 OGH 28. Juni 2000, 6 Ob 148/00h = SZ 73/105.
- 6 Ulrich Dammann/Spiros Simitis, EG-Datenschutzrichtlinie – Kommentar, Nomos Verlag, Baden-Baden 1997, Art. 2 Anm. 8.
- 7 Jahnel, Datenschutzrecht (Fn. 2), Rz. 3/101.
- 8 DSK 10. November 2000, 120/707/7-DSK/00.
- 9 DSK 11. März 2005, K120.969/0002-DSK/2005.
- 10 DSK 11. Oktober 2005, K121.043/0008-DSK/2005.
- 11 DSK 20. Juni 2008, K210.583/0009-DSK/2008.
- 12 VfGH 15. Dezember 2005, B 1590/03 = VfSlg 17745/2005.
- 13 VwGH 21. Oktober 2004, 2004/06/0086 = VwSlg 16477 A/2004.
- 14 DSK 6. September 2013, K121.979/0014-DSK/2013; DSK 6. September 2013, K121.978/0010-DSK/2013; DSK 20. Januar 2010, K121.553/0003-DSK/2010.
- 15 Jahnel, Datenschutzrecht (Fn. 2), Rz. 3/102 f; Walter Dohr/Hans J. Pollierer/Ernst M. Weiss/Rainer Knyrim, DSG Datenschutzrecht – Kommentar, 2. Auflage, Band I, Manz Verlag, Wien 2002, § 4 Anm. 7 (17. ErgLfg 2014); Viktor Mayer-Schönberger/Hans Kristoferitsch, Datenschutz und Papierakten, ecolex 2006, 615 (618).
- 16 Vgl. Mayer-Schönberger/Kristoferitsch, ecolex (Fn. 15), 615 (618 f).
- 17 Richtlinie 95/46/EG, ErwGr. 15.
- 18 Vgl. Mayer-Schönberger/Kristoferitsch, ecolex (Fn. 15), 615 (619); Fercher, in: Jahnel/Siegwart/Fercher (Fn. 4), 33 (50 ff.).
- 19 Jahnel, Datenschutzrecht (Fn. 2), Rz. 3/104.
- 20 Bundesministerium für Inneres, Information zum EKIS (bmi.gv.at/cms/BMI_Datenschutz/ekis/start.aspx/ [alle Websites zuletzt abgerufen am 9. August 2017]); Walter Grosinger, in: Theodor Thanner/Matthias Vogl (Hrsg.), SPG Sicherheitspolizeigesetz, 2. Auflage, NWV Verlag, Wien 2013, § 57 Anm. 2.
- 21 Grosinger, in: Thanner/Vogl (Fn. 20), § 57 Anm. 1; Klaus Wallnöfer, in: Thanner/Vogl (Fn. 20), § 75 Anm. 5.
- 22 Grosinger, in: Thanner/Vogl (Fn. 20), § 57 Anm. 4 f.
- 23 Ewald Wiederin, Einführung in das Sicherheitspolizeirecht, Verlag Österreich, Wien 1998, Rz. 645.
- 24 Wallnöfer, in: Thanner/Vogl (Fn. 20), § 75 Anm. 3.
- 25 Martina Schlögl, in: Thanner/Vogl (Fn. 20), § 65 Anm. 8.
- 26 Wallnöfer, in: Thanner/Vogl (Fn. 20), § 75 Anm. 6.
- 27 Bundesgesetz, mit dem die Strafprozessordnung 1975 neu gestaltet wird (Strafprozessreformgesetz), BGBl. I Nr. 19/2004.
- 28 RV 25 BlgNR XXII. GP 164.
- 29 ErläutRV 1520 XXIV. GP 9.
- 30 RV 25 BlgNR XXII. GP 164.
- 31 § 1 StRegG; Maria Eder-Rieder, Strafregister- und Tilgungsgesetz, NWV Verlag, Wien 2008, Teil 1: II, § 1 Anm. zu § 1.
- 32 Grosinger, in: Thanner/Vogl (Fn. 20), § 58 Anm. 1.
- 33 EBRV 148 XVIII. GP 45.
- 34 VfGH 16.03.2001, G 94/00 = VfSlg 16150/2001.
- 35 EBRV 1138 XXI. GP 32.
- 36 DSK 14.12.2012, K121.885/0011-DSK/2012.
- 37 EBRV 148 XVIII. GP 47.
- 38 Grosinger, in: Thanner/Vogl (Fn. 20), § 63 Anm. 1.
- 39 VwGH 25. November 2008, 2005/06/0301; VwGH 21. Oktober 2004, 2004/06/0086 = VwSlg 16477 A/2004.
- 40 VwGH 21. Oktober 2004, 2004/06/0086 = VwSlg 16477 A/2004.
- 41 ErläutRV 1520 XXIV. GP 9.
- 42 Grosinger, in: Thanner/Vogl (Fn. 20), § 57 Anm. 6; Wallnöfer, in: Thanner/Vogl (Fn. 20), § 73 Anm. 1.
- 43 Wallnöfer, in: Thanner/Vogl (Fn. 20), § 73 Anm. 4.
- 44 EBRV 148 XVII. GP 50.
- 45 VwGH 2. Oktober 2001, 2000/01/0233 = VwSlg 15692 A/2001.
- 46 EBRV 148 XVII. GP 50.
- 47 Wallnöfer, in: Thanner/Vogl (Fn. 20), § 73 Anm. 6.
- 48 VwGH 28. Juni 2005, 2002/01/0235.
- 49 VwGH 24. Juni 1998, 97/01/0261.
- 50 VwGH 2. Oktober 2001, 2000/01/0229; VwGH 28. Juni 2005, 2002/01/0082.
- 51 VwGH 28. Februar 2008, 2007/21/0508 = VwSlg 17389 A/2008.
- 52 Gerhard Pürstl/Manfred Zirnsack, SPG Sicherheitspolizeigesetz, 2. Auflage, Manz Verlag, Wien 2011, § 73 Anm. 12.
- 53 VwGH 30. Januar 2001, 2000/01/0061; VwGH 2. Oktober 2001, 2000/01/0229.
- 54 VfGH 12. März 2013, G 76/12 = jusIT 2013/50, 105 (Jahnel).
- 55 VfGH 12. März 2013, G 76/12 = jusIT 2013/50, 105 (Jahnel).
- 56 Bundesgesetz, mit dem das Sicherheitspolizeigesetz geändert wird (SPG-Novelle 2014), BGBl. I 43/2014.
- 57 Susanne Reindl-Krauskopf, Das Grundrecht auf Datenschutz im Spannungsfeld zwischen Freiheit und Sicherheit – Bemerkungen zum vorliegenden Gutachten aus strafrechtlicher Sicht, in 18. ÖJT Band I/2 (2013) 146 (150 f).
- 58 Reindl-Krauskopf, ÖJT (Fn. 57), 146 (151).
- 59 Reindl-Krauskopf, ÖJT (Fn. 57), 146 (153)
- 60 VfGH 29. Juni 2012, G 7/12 = VfSlg 19659/2012 = jusIT 2012/87, 187 (Jahnel).
- 61 Eder-Rieder (Fn. 31), § 3 A 1.
- 62 Eder-Rieder (Fn. 31), § 3 B 1 b.
- 63 Eder-Rieder (Fn. 31), § 12 Anm. zu § 12.
- 64 VfGH 4. Oktober 2006, B 742/06 = VfSlg 17948/2006; VwGH 19. April 2012, 2011/01/0186; VwGH 21. März 2007, 2006/05/0076.
- 65 Art. 29-Datenschutzgruppe, Stellungnahme 5/2009 zur Nutzung sozialer Online Netzwerke, WP 163, 01189/09/DE, 5 (ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_de.pdf).
- 66 BITKOM, Soziale Netzwerke – dritte, erweiterte Studie, 29. August 2011 (bitkom.org/de/publikationen/38338_77778.aspx [abgerufen am 8. Oktober 2014]).
- 67 socialmediaradar.at/facebook (abgerufen am 8. Oktober 2014).
- 68 Andreas Wiebe, Datenschutz in Zeit von Web 2.0 und BIG DATA – dem Untergang geweiht oder auf dem Weg zum Immaterialgüterrecht?, ZIR 2014, 35 (35 f).
- 69 Vgl. Maximilian Schrems, Klageschrift gegen Facebook Ireland Limited (31. Juli 2014), Rz. 10 ff. und 18 ff. (europe-v-facebook.org/sk/sk.pdf); Wiebe, ZIR (Fn. 68), 35 (36).
- 70 Facebook Ireland Limited, Nutzungsbedingungen von Facebook in der Fassung 15. November 2013 (Erklärung der Rechte und Pflichten), 19.1. (facebook.com/terms.php?locale=DE [abgerufen am 8. Oktober 2014]) für die Nutzer außerhalb der USA und Kanada, ansonsten ist der Vertragspartner Facebook Inc.
- 71 Facebook Ireland Limited, Datenverwendungsrichtlinien von Facebook in der Fassung 15. November 2013 (facebook.com/full_data_use_policy [abgerufen am 8. Oktober 2014]) außerhalb der USA und Kanada.
- 72 Art. 29-Datenschutzgruppe, Arbeitspapier über die Frage der internationalen Anwendbarkeit des EUDatenschutzrechts bei der Verarbeitung personenbezogener Daten im Internet durch Websites außerhalb der EU, WP 56, 5035/01/DE/endg. (ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp56_de.pdf).
- 73 Facebook Ireland Limited, Nutzungsbedingungen (Fn. 70), 16.1.
- 74 Facebook Ireland Limited, Für Nutzer mit Wohnsitz in Deutschland: (facebook.com/terms/provisions/german/index.php [abgerufen am 10. Dezember 2014]).
- 75 Arzu Sedef, The Social Network – (k)ein Recht auf Datenlöschung?, Zak 2011/351, 183; Jahnel, Datenschutzrecht (Fn. 2), Rz. 3/71 f.
- 76 Jahnel, Datenschutzrecht (Fn. 2), Rz. 2/18.
- 77 DSK 25. Februar 2009, K121.419/0007-DSK/2009.
- 78 Jahnel, Datenschutzrecht (Fn. 2), Rz. 2/18; § 9 Z. 1 DSG 2000.
- 79 Peter Burgstaller, Soziale Netzwerke. Eine rechtliche Einführung, lex:itec 2012 H 2-3, 16 (17).
- 80 Günther Leissler, Social Networks – Datenschutz in der vernetzten Welt, ecolex 2010, 834.
- 81 Burgstaller, lex:itec (Fn. 79), 16 (17); § 4 Z. 1, 3 und 4 DSG 2000.
- 82 Wiebe, ZIR (Fn. 68), 35 (43).
- 83 Art. 29-Datenschutzgruppe, WP 163 (Fn. 65), 6.
- 84 Facebook Ireland Limited, Nutzungsbedingungen (Fn. 70), 2.
- 85 Wiebe, ZIR (Fn. 68), 35 (44).
- 86 Burgstaller, lex:itec (Fn. 79), 16 (17).
- 87 OGH 14. November 2012, 7 Ob 84/12x = SZ 2012/115 = jusIT 2013/13, 26 (Thiele) = jusIT 2013/42, 87 (Thiele); OGH 22. Juni 2011, 2 Ob 198/10x = jusIT 2011/87, 181 (Thiele) = ZVR 2012/92, 166 (Kathrein).
- 88 Facebook Ireland Limited, Datenverwendungsrichtlinien (Fn. 61), Wir erhalten eine Vielzahl an verschiedenen Informationen über dich.
- 89 Schrems, Klageschrift (Fn. 69), Rz. 67 ff.
- 90 Facebook Ireland Limited, Datenverwendungsrichtlinien (Fn. 61), Wie wir die uns bereitgestellten Informationen verwenden.
- 91 Schrems, Klageschrift (Fn. 69), Rz. 72 ff.
- 92 Schrems, Klageschrift (Fn. 69), Rz. 84.
- 93 Schrems, Klageschrift (Fn. 69), Rz. 85.
- 94 europe-v-facebook.org, Facebooks Datenbestand (www.europe-v-facebook.org/DE/Datenbestand/datenbestand.html).
- 95 Facebook Ireland Limited, Datenverwendungsrichtlinien (Fn. 61), Löschung und Deaktivierung deines Kontos.
- 96 Jahnel, Datenschutzrecht (Fn. 2), Rz. 7/72.
- 97 Facebook Ireland Limited, Datenverwendungsrichtlinien (Fn. 61), Löschung und Deaktivierung deines Kontos.
- 98 Facebook Ireland Limited, Datenverwendungsrichtlinien (Fn. 61), Löschung und Deaktivierung deines Kontos.
- 99 europe-v-facebook.org, Facebooks Datenbestand (Fn. 94); europe-v-facebook.org, data categories Facebook likely gathers, 3. April 2012 (europevfacebook.org/fb_cat1.pdf).
- 100 europe-v-facebook.org, «Entfernte» Daten (europe-v-facebook.org/removed_content.pdf).
- 101 Geoffrey A. Fowler, Wie Sie der Facebook-Datenkrake entwischen, The Wall Street Journal, 6. August 2014 (wsj.de/nachrichten/SB10001424052702303800604580075814104496460); Martin Grabmair, Datenkrake Facebook: Die Nutzer sind Ware – ihre Daten bares Geld, Tech.de, 25. April 2014 (tech.de/news/datenkrake-facebook-nutzer-sind-ware-ihre-daten-bares-geld-10031040.html).
- 102 Wiebe, ZIR (Fn. 68), 35 (36).
- 103 EuGH 13. Mai 2014, C-131/12 (Google Spain und Google).
- 104 Dietmar Jahnel, Löschungspflicht von Suchmaschinenbetreibern – Die «Google Spain und Google»-Entscheidung des EuGH, jusIT 2014/72, 149 (149).
- 105 Jahnel, jusIT (Fn. 104), 149 (150).
- 106 Jahnel, jusIT (Fn. 104), 149 (150).
- 107 Jahnel, jusIT (Fn. 104), 149 (150).
- 108 Jahnel, jusIT (Fn. 104), 149 (151).
- 109 Jahnel, jusIT (Fn. 104), 149 (152).
- 110 Jahnel, jusIT (Fn. 104), 149 (152).
- 111 OGH 15. April 2010, 6 Ob 41/10p = SZ 2010/36 = jusIT 2010/69, 146 (Kastelitz).
- 112 Clemens Thiele, Löschen heißt Vernichten, lex:itec 2010 H 4, 20 (20 f).
- 113 Jahnel, Datenschutzrecht (Fn. 2), Rz. 3/112.
- 114 Thiele, lex:itec (Fn. 112), 20 (21).
- 115 Dohr/Pollierer/Weiss/Knyrim, DSG (Fn. 15), § 27 Anm. 6.
- 116 Dohr/Pollierer/Weiss/Knyrim, DSG (Fn. 15), § 27 Anm. 13.
- 117 DSK 25. Juni 2004, K120.877/0017-DSK/2004.
- 118 Viktor Mayer-Schönberger/Ernst Brandl/Hans Kristoferitsch, Datenschutzgesetz, 3. Auflage, Linde Verlag, Wien 2014, 44.
- 119 VfGH 23. Juni 2010, B 1048/09 = VfSlg 19112/2010 = jusIT 2010/68, 144 (Jahnel).
- 120 OGH 25. April 2007, 3 Ob 37/07y; OGH 25. April 2007, 3 Ob 31/07s; OGH 16. Juli 2013, 5 Ob 40/13p = jusIT 2013/107, 225 (Thiele) = wobl 2014/32, 88 (Kodek); DSK 16. Mai 2012, K121.785/0003-DSK/2012.
- 121 Mayer-Schönberger/Brandl/Kristoferitschm, DSG (Fn. 118), 45.
- 122 ErläutRV 1613 BlgNR XX. GP 49.
- 123 Jahnel, Datenschutzrecht (Fn. 2), Rz. 9/59.
- 124 Dohr/Pollierer/Weiss/Knyrim, DSG (Fn. 15), § 33 Anm. 2 ff.
- 125 Dohr/Pollierer/Weiss/Knyrim, DSG (Fn. 15), § 33 Anm. 9.