Aufsatz : Aktuelle Rechtsprechung des EuGH zum Datenschutzrecht : aus der RDV 2/2014, Seite 61 bis 73
Datenschutz ist seit langem nicht mehr nur von nationalen Vorschriften geprägt. Das europäische Recht in der Auslegung des Europäischen Gerichtshofs hat längst auch den Wirkungskreis der betrieblichen Datenschutzbeauftragten erreicht. Der Beitrag stellt die wichtigsten aktuellen Entscheidungen vor.
I. Einleitung
Dass Daten als digitalisierte Privatheit ein kostbares Gut sind, hat längst die Grenzen des Wirkungsbereichs des betrieblichen Datenschutzbeauftragten überschritten. Daten sind gleicher maßen Objekt des Zugriffs von Geheimdiensten wie von Milliardengeschäften unter Kommunikationsdiensten. In allen Fällen geht es um die Speicherung, Auswertung und Löschung von Daten, die in Europa in der Regel eine Einwilligung des Nutzers oder eine gesetzliche Ermächtigung voraussetzen. Die Reichweiten dieser Vorgänge und deren rechtliche Bewertung beschäftigen zunehmend auch die nationalen und internationalen Gerichte. Im nationalen deutschen Recht ist Datenschutz seit dem Volkszählungsurteil des Bundesverfassungsgerichts von 1983 als „Recht auf informationelle Selbstbestimmung“ ausgestaltet[1]. Es beschreibt das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Im Zuge der Anpassung an die technologischen Gegebenheiten ist 2008 als spezielle Ausprägung des allgemeinen Persönlichkeitsrechts[2] das Recht auf „Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ hinzugetreten. Es dient dem Schutz personenbezogener Daten, die in informationstechnischen Systemen gespeichert oder verarbeitet werden. Ein explizites Datenschutzgrundrecht ist im Grundgesetz allerdings nicht normiert[3].
Im Zuge der Europäisierung wird das deutsche Datenschutzrecht durch europäisches Recht überformt. Dies gilt bereits jetzt, wobei die Harmonisierung des Datenschutzrechts in Europa durch die Verabschiedung der EU-Datenschutzgrundverordnung voranschreiten wird. Dieser Beitrag soll im Vorfeld der Verordnung einen Überblick über die Entscheidungen des Europäischen Gerichtshofs zum Datenschutzrecht geben.
Grundlegend für das Verständnis des Datenschutzes im Internet – und deshalb vorab zu benennen – ist die Entscheidung „Lindqvist“ aus dem Jahre 2003[4] . Hier hatte eine schwedische Katechetin persönliche Informationen aus ihrer Kirchengemeinde im Internet veröffentlicht, und es ging um die dortige Zulässigkeit der Verwendung von personenbezogenen Daten. Der EuGH setzte sich hier mit grundlegenden datenschutzrechtlichen Begriffen wie dem der personenbezogenen Daten, der automatisierten Datenverarbeitung sowie der Übermittlung personenbezogener Daten in ein Drittland auseinander. Die Nennung des Namens einer Person in Verbindung mit ihrer Telefonnummer oder mit Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen falle ebenso unter den Begriff der personenbezogenen Daten wie Informationen über den Gesundheitszustand einer Person[5]. Personenbezogene Daten auf einer Homepage zu veröffentlichen, sei als automatisierte Verarbeitung anzusehen[6]. Allerdings stelle die Aufnahme und Zugänglichmachung dieser Daten im Netz für jede Person, die eine Verbindung zum Internet herstellt, noch keine Übermittlung in ein Drittland dar[7]. Schließlich, so der EuGH, sei es Sache der Mitgliedsstaaten, ein angemessenes Gleichgewicht zwischen dem Schutz personenbezogener Daten und der Meinungsfreiheit sicherzustellen[8].
II. Datenschutz im europäischen Rechtssystem
Die Europäischen Gerichte, namentlich der Europäische Gerichtshof für Menschenrechte (EGMR) für den Bereich des Europarats[9] und – seit der Geltung des Vertrages von Lissabon – auch der EuGH für die Staaten im Geltungsbereich der Europäischen Union, können, anders als die deutsche Rechtsprechung, auf explizite Datenschutzgrundrechte zurückgreifen. Für die Mitgliedsstaaten des Europarats wird in Art. 8 EMRK das Recht auf Achtung des Privat- und Familienlebens gewährt, das auch den Datenschutz umfasst[10].
Im Recht der Europäischen Union enthält die Charta der Europäischen Grundrechte (GRC) ein ausdrückliches Datenschutzgrundrecht, das in Art. 8 Abs. 1 GRC unter der Überschrift „Schutz personenbezogener Daten“ einer jeden Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten gewährt. In Art. 8 Abs. 2 GRC sind die Grundsätze einer zulässigen Datenverarbeitung sowie das Auskunftsrecht jeder Person über die sie betreffenden erhobenen Daten und der Anspruch auf Berichtigung dieser normiert. Zudem ist der Schutz personenbezogener Daten in Art. 16 Abs. 1 AEUV in wortgleicher Übereinstimmung mit Art. 8 Abs. 1 GRC geregelt.
Auf sekundärrechtlicher Ebene finden sich konkrete datenschutzrechtliche Vorgaben in der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (RL 1995/46/EG) sowie in der Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (RL 2002/58/EG). Letztere wurde durch die sog. „Cookie-Richtlinie“[11] geändert. Die Änderungen betreffen insbesondere die Nutzung von Cookies, also Textdateien, die vom Webserver im Computer des Web-Clients platziert werden, auf Webseiten und sollen mehr Transparenz und Sicherheit für die Verbraucherschaffen. So enthält die „Cookie-Richtlinie“ Vorgaben zur benutzerfreundlichen Gestaltung der Verwendung von Cookies sowie zum Erfordernis einer Einwilligung beim Einsatzvon Cookies. Obwohl die Umsetzungsfrist ebenfalls abgelaufenist, ist diese Richtlinie in Deutschland mit Verweis auf bestehendenationale Regelungen sowie auf das Erfordernis der Klärung praktischer Fragen bislang nicht umgesetzt worden.
Weitere sekundärrechtliche Vorgaben speziell in Bezug auf die Vorratsspeicherung von Daten waren in der „Richtlinie über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden,“ (RL 2006/24/EG) enthalten. Der EuGH hat jüngst diese Richtlinie aufgrund einer Unvereinbarkeit mit der EU-Grundrechte-Charta für ungültig erklärt[12].
Ebenfalls auf sekundärrechtlicher Ebene sind datenschutzrechtliche Bestimmungen mit Verbindlichkeit für die Organe der EU in der Verordnung VO (EG) Nr. 45/2001 zum Schutz natürlicherPersonen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, die sog. Datenschutzverordnung, enthalten.
Die Luxemburger Richter werden bei der Auslegung sowie bei der Überprüfung der Einhaltung der europäischen datenschutzrechtlichen Vorgaben auf unterschiedliche Veranlassung aktiv. So hat der Europäische Gerichtshof im Rahmen von Vorabentscheidungsverfahren nach Art. 267 AEUV auf Ersuchen eines nationalen Gerichts über die Auslegung der sekundär rechtlichen datenschutzrechtlichen Vorgaben und deren Vereinbarkeit mit nationalen Bestimmungen zu entscheiden. Er wird auch dann eingeschaltet, wenn die Vorgaben der Datenschutzrichtlinien von den Mitgliedstaaten nach Ansicht der Kommission nicht, unvollständig oder verspätet in nationales Recht umgesetzt werden, so dass es zu einem Vertragsverletzungsverfahren nach Art. 258 AEUV kommt. Darüber hinaus kann der Gerichtshof im Rahmen einer Nichtigkeitsklage auch europäische Gesetzgebungsakte und Handlungen europäischer Organe auf deren Vereinbarkeit mit den europäischen Datenschutzregelungen nach Art. 263 AEUV überprüfen. Hierbei geht es um die Verletzung von Bestimmungen, welche die Organe bei der Ausübung ihrer Tätigkeiten binden.
Der EuGH hat im Datenschutzrecht einen umfassenden Regelungsanspruch. Wenn das Europäische Recht Datenschutzstandards setzt, so dürfen diese durch innerstaatliche Regeln weder unter noch überschritten werden[13]. Es geht nicht bloß darum, einen Mindeststandard für den Datenschutz der EU zu schaffen, sondern um eine Vollharmonisierung des Datenschutzrechts. Nationale Regelungen dürfen die Vorgaben der Datenschutzrichtlinie danach nur konkretisieren, nicht aber weitergehende Regelungen einführen. Die Mitgliedstaaten dürfen weder neue Grundsätze in Bezug auf die Zulässigkeit der Datenverarbeitung einführen noch zusätzliche Bedingungen aufstellen, die über die Vorgaben der Datenschutzrichtlinie hinausgehen.
III. Ausgewählte aktuelle Rechtsprechung des EuGH
Die hier referierte Rechtsprechung des EuGH zum Datenschutz beschränkt sich im Wesentlichen auf die Jahre 2012 bis 2014. Themen waren das Verhältnis von Datenschutz und Urheberrecht, die Unabhängigkeit der Datenschutzkontrolle, die datenschutzrechtliche Zulässigkeit der Erfassung und Verarbeitung von Arbeitszeiten, die Zulässigkeit biometrischer Fingerabdrücke in Pässen sowie die Vorratsdatenspeicherung. In einem weiteren Themenbereich, nämlich der Verantwortung von Internetsuchmaschinenanbietern, steht die richterliche Entscheidung kurz bevor, so dass hier der Standpunkt des Generalanwaltes vorgestellt wird.
1. Datenschutz und Geistiges Eigentum
Das Spannungsverhältnis zwischen Datenschutz und Urheber recht zeigt sich bei der Bekämpfung von Internetpiraterie deutlich, und es hat den EuGH in mehreren Entscheidungen beschäftigt.
1.1 Promusicae
Im Jahr 2008 befasste sich der EuGH in der Entscheidung „Promusicae/Telefónica”[14] mit dem Verhältnis von Datenschutz und dem Schutz des geistigen Eigentums im Internet. Er hielt fest, dass sich aus dem Gemeinschaftsrecht zwar kein Anspruch zur Mitteilung personenbezogener Daten durch den AccessPro vider ergebe, um Urheberrechtsverstöße im Zivilprozess verfolgen zu können. Das Gemeinschaftsrecht hindere die Mitgliedstaaten gleichwohl nicht daran, eine Verpflichtung der Access-Provider zur Weitergabe personenbezogener Daten an Privatpersonen zu schaffen, um die Verfolgung von Ur heberrechtsverstößen vor den Zivilgerichten zu ermöglichen. Es sei deren Sache, ein angemessenes Gleichgewicht zwischen dem Recht auf Schutz personenbezogener Daten und auf Achtung des Privatlebens zum einen und dem Recht auf Schutz des geistigen Eigentums, insbesondere des Urheberrechts, und dem Recht auf einen wirksamen Rechtsbehelf zum anderen sicherzustellen.
1.2 LSG/Tele 2
Mit der datenschutzrechtlichen Beurteilung von urheberrechtlichen Auskunftsansprüchen gegen Access-Provider nach EURecht befasste sich der EuGH auch im Fall „LSG/Tele2”[15]. Hier stellte er in Übereinstimmung mit „Promusicae/Tele fónica” fest, dass eine Verpflichtung zur Weitergabe personenbezogener Verkehrsdaten an private Dritte zum Zweck der zivilgerichtlichen Verfolgung von Urheberrechtsverstößen mit dem Gemeinschaftsrecht vereinbar sei und dass nationale Regelung es erlauben müssten, die verschiedenen beteiligten Grundrechte miteinander in Ausgleich zu bringen.
1.3 Scarlet Extended
In „Scarlet Extended”[16] stellte der EuGH darüber hinaus präzisierend fest, dass der Schutz des Urheberrechts keinen Anspruch gegen Betreiber von Internet-Tauschbörsen begründe, ein Filtersystem zur Kontrolle aller Aktivitäten einzurichten. Die Verpflichtung eines Providers zur systematischen Prüfung aller Kommunikationsinhalte sowie zur Sammlung und Identifizierung von IP-Adressen bedeute die Auferlegung einer generellen Überwachungspflicht und verletze neben der unternehmerischen Freiheit des Unternehmens das Recht der Kunden auf den Schutz personenbezogener Daten und auf freien Empfang oder freie Sendung von Informationen.
1.4 Bonnier Audio
„Bonnier Audio u.a./Perfect Communication“[17] ist die jüngste Entscheidung zu diesem Bereich. Auch hier geht es um die Vereinbarkeit von Auskunftsansprüchen gegen Provider zur Verfolgung von Urheberrechtsverstößen in Zivilverfahren (sog. Filesharing-Verfahren) mit dem Gemeinschaftsrecht. In einem schwedischen Zivilrechtsstreit klagten verschiedene HörbuchVerlage gegen einen Internet-Provider auf Herausgabe der Daten eines Kunden des Providers, weil dieser Hörbücher der Verlage ohne deren Zustimmung über Tauschbörsen im Netz verbreitet hatte. Der Provider weigerte sich jedoch unter Berufung auf die Vorratsdatenspeicherungsrichtlinie, die von den Verlagen ermittelten IP-Adressen der Nutzer (Kunden) herauszugeben. Nachdem dem Auskunftsersuchen in erster Instanz stattgegeben wurde, legte das Berufungsgericht dem EuGH die Frage nach der Vereinbarkeit der nationalen Regelungen mit EU-Recht vor, die den Provider zur Herausgabe von Kundendaten potentieller Urheberrechtsverletzer verpflichteten.
a. Unanwendbarkeit der Vorratsdatenspeicherungsrichtlinie
Der EuGH stellte zunächst fest, dass hier kein Anwendungsfall der Vorratsdatenspeicherungsrichtlinie vorliegt, da die betreffenden nationalen Regelungen die Weitergabe von Daten in einem Zivilverfahren zur Feststellung einer Urheberrechtsverletzung betreffen[18]. Die Richtlinie 2006/24/EG betreffe hingegen ausschließlich die Verarbeitung und Vorratsspeicherung von Daten, die von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreibern eines öffentlichen Kommunikationsnetzes zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten erzeugt oder verarbeitet werden[19].
b. Konflikt Datenschutz und Urheberrecht
Er prüfte sodann die Vereinbarkeit der betroffenen schwedischen Regelungen anhand der Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (RL 2002/58/EG)sowie der Richtlinie zur Durchsetzung der Rechte des geistigen Eigentums (RL 2004/48/EG)[20]. Unter Berufung auf Promusicae[21] hielt er fest, dass die einschlägigen Richtlinien die EU-Mitgliedstaaten nicht daran hindern würden, eine Verpflichtung zur Weitergabe personenbezogener Daten an Privatpersonen zu schaffen, um die Verfolgung von Urheberrechtsverstößen vor den Zivilgerichten zu ermöglichen. Allerdings zwängen sie sie europarechtlich auch nicht dazu, eine derartige Verpflichtung vorzusehen[22]. Sähe ein Mitgliedstaat aber eine solche Verpflichtung vor, so müsse er dafür sorgen, dass die jeweilige Regelung eine Einzelfallabwägung[23] ermögliche, die ein angemessenes Gleichgewicht zwischen den verschiedenen durch die Unionsrechtsordnung geschützten Grundrechten aus den Bereichen Datenschutz und Schutz des geistigen Eigentums[24] sicherstelle [25]. Im konkreten Fall sah der EuGH diese Anforderungen als erfüllt an, zumal für die Anordnung der Weitergabe von personenbezogenen Daten im Rahmen eines Zivilverfahrens nach der betreffenden schwedischen Regelung klare Beweise für die Verletzung des Urheberrechts vorliegen müssten. Zudem müssten die begehrten Auskünfte dazu geeignet sein, die Untersuchung der Urheberrechtsverletzung oder -beeinträchtigung zu erleichtern, und verhältnismäßig sein[26].
c. Zwischenfazit
Die Entscheidung schließt an vorherige Entscheidungen des EuGH an, wonach eine Weitergabe personenbezogener Daten im Rahmen von Zivilverfahren zur Verfolgung von Urheberrechtsverstößen europarechtlich grundsätzlich zulässig ist. Deren Verhältnismäßigkeit verlangt, dass vor Herausgabe der Daten klare Beweise für eine Urheberrechtsverletzung vorliegen müssen, die zur Verfolgung der Urheberrechtsverletzung geeignet sein müssen. Ein besonderes Problem stellt hier die Einbindung der Access-Provider dar, die Kundendaten zwar zur Vertragspflege vorhalten, sich aber nicht für die Rechteverfolgung von Urheberrechtsinhabern in die Plicht nehmen lassen wollen[27]. Dennoch kann eine zielgerichtete Durchsetzung von verletzten Urheberrechten, jedenfalls wenn Tauschbörsen betroffen sind, in der Praxis regelmäßig nur über einen Auskunftsanspruch gegenüber einem Provider gewährleistet werden[28]. Die grundsätzliche Zulässigkeit der Identifizierung eines Rechtsverletzers durch einen Abgleich der beim Internetaccessprovider gespeicherten Verbindungsdaten (insbes. IP-Adresse) hatte der EuGH bereits im Fall LSG/Tele2 bejaht[29]. In Bonnier gibt der EuGH nun eine Prüfungsreihenfolge für eine Verhältnismäßigkeitsprüfung vor[30]. Danach müssen zunächst eindeutige Beweise für die Verletzung des Urheberrechts an einem Werk vorliegen. Zudem müssen die begehrten Auskünfte geeignet sein, die Untersuchung der Urheberrechtsverletzung oder -beeinträchtigung zu erleichtern, und die Gründe für die Anordnung müssen die Nachteile für Provider und Nutzer sowie sonstige betroffene Dritte aufwiegen. Erfüllt eine nationale Regelung diese Voraussetzungen, so ist sie europarechtskonform[31].
2. Unabhängigkeit der Datenschutzaufsicht
Die Unabhängigkeit ihrer Aufgabenwahrnehmung gegenüber dem Staat ist für die Datenschutzaufsicht zentral und war bislang Gegenstand von zwei Entscheidungen des EuGH.
2.1 Deutschland/Kommission
Zur Unabhängigkeit der Datenschutzaufsicht entschied der EuGH 2010 im Fall „Kommission/Deutschland“[32]. Hier befasste er sich mit dem Erfordernis der Unabhängigkeit der Datenschutzbehörden und verlangte zur Kontrolle des Datenschutzes institutionelle Unabhängigkeit, die garantiere, dass die Datenschutzbehörden ihre Aufgaben völlig frei von jeglicher Einflussnahme von außen effektiv wahrnehmen können. Die staatliche Aufsicht der deutschen Datenschutzbehörden wurde mit diesem Unabhängigkeitserfordernis für nicht vereinbar erklärt und nach der Entscheidung teilweise neu organisiert[33].
2.2 Kommission/Österreich In der Folge dieser Entscheidung erging 2012 ein Urteil in der Rechtssache „Kommission/Österreich“[34]. Auch dieses betrifft ein Vertragsverletzungsverfahren, in dem es um die Umsetzung der Verpflichtung der Datenschutzrichtlinie 95/46/EG zur Gewährleistung der völligen Unabhängigkeit der österreichischen Datenaufsichtsbehörde geht. Die EU-Kommission leitete nach der Beschwerde einer Bürgerrechtsorganisation ein Vertragsverletzungsverfahren gegen Österreich ein, das die dortige Datenschutzkommission (im Folgenden: DSK) betrifft.
a. Bedeutung der Unabhängigkeit
Der EuGH erklärt in seiner Entscheidung zunächst die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten zum wesentlichen Element des Datenschutzes[35] und betont das Erfordernis der völligen Unabhängigkeit[36]. Dabei reiche eine funktionelle Unabhängigkeit, wie im Falle der DSK, allein nicht aus, um äußere Einflussnahmen zu verhindern[37]. Drei Punkte seien dabei von Bedeutung. Erstens sei das geschäftsführende Mitglied der Datenschutzkommission in Österreich ein der Dienstaufsicht unterliegender Bundes bediensteter, dessen Überwachungsbefugnis mit der Unab hängigkeitsanforderung unvereinbar sei[38]. Zweitens sei die Geschäftsstelle der DSK in das österreichische Bundeskanzleramt eingegliedert, da dieses die Sach- und Personalausstattung für die Geschäftsstelle der DSK bereitstelle, so dass das Personal der Geschäftsstelle der DSK der Dienstaufsicht des Bundeskanzleramts unterstehe[39]. Durch diese Verzahnung sei die DSK nicht über jeden Verdacht der Parteilichkeit erhaben und könne ihre Aufgaben nicht frei von jedem Einfluss des Bundeskanzleramts wahrnehmen[40]. Drittens sei der Bundeskanzler befugt, sich über alle Gegenstände der Geschäfts führung der DSK zu unterrichten, wodurch die DSK einem mittelbaren und datenschutzrechtlich unzulässigen Einfluss des Bundeskanzlers ausgesetzt sein könne[41].
In Österreich wurde die DSK in April 2013 gesetzlich[42] als unabhängige Behörde eingerichtet und ihre völlige Unabhängigkeit im Sinne der Datenschutz-Richtlinie verankert[43]. Sie unterstand nicht mehr der Dienstaufsicht des Bundeskanzleramts, sondern der des Vorsitzenden der DSK, und das Unterrichtungsrecht des Bundeskanzlers wurde eingeschränkt[44]. Anfang 2014 wurde die Datenschutzkommission durch die österreichische Datenschutzbehörde ersetzt[45], deren Zuständigkeiten und Befugnisse denen der ehemaligen Datenschutzkommission entsprechen[46].
b. Organisatorische oder institutionelle Unabhängigkeit
Der EuGH betont auch in dieser Entscheidung die besondere Bedeutung der völligen Unabhängigkeit der nationalen Datenschutzbehörden in Übereinstimmung mit Art. 28 Abs. 1 der Datenschutzrichtlinie. Sie ist für eine effektive Aufgabenwahrnehmung der Datenschutzbehörden essenziell. Datenschutzbehörden müssen bereits wegen ihres Status als grundrechtlich gebotene Kontrollinstanzen dem Erfordernis der Unabhängigkeit entsprechen[47], das auf europäischer Ebene mehrfach ausdrücklich fixiert ist. So legt Art. 8 Abs. 3 EGRC fest, dass die Einhaltung von Datenverarbeitungsregeln durch eine unabhängige Stelle überwacht wird. Gemäß Art. 44 Abs. 1 VO 45/2001/ EG übt auch der Europäische Datenschutzbeauftragte sein Amt in völliger Unabhängigkeit aus. Eine entsprechende Regelung findet sich in der Datenschutzrichtlinie. Dieses Gebot enthält allerdings keine Vorgaben zum genauen Umfang der geforderten Unabhängigkeit der Datenschutzbehörden. Das Adjektiv „völlig“ war nicht im Richtlinienvorschlag der Kommission enthalten und wurde im Gesetzgebungsprozess eingefügt, so dass es an den entsprechenden Erwägungsgründen zu dem Kriterium der „völligen Unabhängigkeit“ fehlt. Damit liefert die Rechtsprechung des EuGH den einzigen Anhaltspunkt für dessen Auslegung[48]. Dabei dürfte das Erfordernis der Freiheit der Kontrollstelle von der Einflussnahme durch kontrollierte Stellen unstreitig sein[49]. Im Gegensatz zur Auffassung der Bundesregierung, die eine funktionelle Unabhängigkeit für ausreichend hält[50], hält der EuGH eine lediglich funktionelle Unabhängigkeit für unzureichend und verlangt institutionelle Unabhängigkeit, um eine Kontrollstelle vor jeder äußeren Einflussnahme bewahren zu können[51]. Schließlich müssten auch solche Einflussmöglichkeiten, die aus organisatorischen Zusammenhängen resultieren, ausgeschlossen werden[52]. Weder die österreichische noch die deutsche Datenschutzbehörde wiesen für den EuGH die erforderliche institutionelle Unabhängigkeit auf.
c. Problem der innerstaatlichen Umsetzung
Es ist indes nicht von der Hand zu weisen, dass sich mit Blick auf die Anbindung der Datenschutzaufsicht Spannungen aus dem Recht der Mitgliedstaaten zum Unionsrecht ergeben. Das Demokratieprinzip verlangt nämlich, dass auch unabhängige Behörden durch Aufsichts- und Informationsrechte der obersten Organe eine Rückbindung an die unmittelbar demokratisch legitimierten Organe erfahren[53]. Im Fall Kommission/Deutschland sollte das staatliche Aufsichtsrecht über Datenschutzbehörden und im Fall Kommission/Österreich das Unterrichtungsrecht des Bundeskanzlers gegenüber der DSK für eine solche demokratische Rückbindung sorgen. Der EuGH hat diese Einwände in beiden Verfahren zurückgewiesen. Die Einrichtung von völlig unabhängigen Behörden sei mit dem Demo kratieprinzip vereinbar, zumal diese an das Gesetz gebunden blieben und der gerichtlichen Kontrolle unterworfen seien. Schließlich müssten Datenschutzbehörden ihre Aufgaben so ausüben können, dass sie der politischen Einflussnahme entzogen seien[54].
3. Aufzeichnungen über Arbeitszeiten
Eine weitere aktuelle Entscheidung befasst sich mit einer arbeitsrechtlichen Problematik. In der Entscheidung „Worten“[55] geht es um die datenschutzrechtlich veranlasste Verpflichtung eines Unternehmens zur unmittelbaren Vorlage von Aufzeichnungen über Arbeitszeiten. Die portugiesische Behörde für die Überwachung der Arbeitsbedingungen (ACT) bemängelte in einem Betrieb das Fehlen unmittelbar einsehbarer Aufzeichnungen über Arbeits- und Ruhezeiten sowie deren Be rechnung. Dies verstieß gegen eine Regelung des portugiesischen Arbeitsgesetzbuchs über die Vorlagepflicht derartiger Aufzeichnungen. Ein Unternehmer klagte gegen die Herausgabepflicht, und das zuständige Arbeitsgericht legte dem EuGH die Frage nach der Gemeinschaftsrechtskonformität der entsprechenden portugiesischen Regelungen vor.
3.1 Datenschutzrechtliche Einordnung von Arbeitszeiten
Der EuGH klassifizierte die entsprechenden Aufzeichnungen über Arbeits- und Ruhezeiten der einzelnen Arbeitnehmer als personenbezogene Daten[56]. Deren Erhebung, Speicherung, Aufbewahrung, Nutzung und Übermittlung an die Behörden sei dementsprechend eine „Verarbeitung personenbezogener Daten“. Diese sei nach den Vorgaben der Datenschutzrichtlinie entweder dann zulässig, wenn sie für die Erfüllung einer rechtlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt (Art. 7 c RL 95/46/EG), oder wenn sie für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde (Art. 7 e RL 95/46/EG), erforderlich ist. Der EuGH sah die entsprechenden Vorgaben im konkreten Fall als erfüllt an[57]. Das Erfordernis der unverzüglichen Einsicht sei gerechtfertigt, weil so jegliche Möglichkeit der Manipulation der Daten zwischen Kontrollbesuch und tatsächlicher Überprüfung ausgeschlossen werden könne[58].
3.2 Interessenabwägung
Die Legitimation der Arbeitszeiterfassung zur Kontrolle der Arbeitnehmer steht grundsätzlich, insbesondere auch im deutschen Datenschutzrecht (vgl. § 32 Abs. 1 S. 1 BDSG) außer Frage. Die geleistete Arbeitszeit bildet – jedenfalls bei den Zeitlohnsystemen – die Grundlage für die Bemessung des Arbeitsentgelts, so dass deren Erfassung für die Durchführung des Arbeitsverhältnisses erforderlich ist[59]. Im Fall „Worten“ kommt der Aufzeichnung der Arbeitszeiten aber eine besondere Funktion zu, nämlich die der Kontrolle der Einhaltung der gesetzlich vorgegebenen Anforderungen an die Arbeitszeiten. Der Eingriff in die datenschutzrechtliche Sphäre dient also der Sicherheit und dem Gesundheitsschutz der Arbeitnehmer. In der bei jedem Eingriff in die Persönlichkeitsrechte bzw. in die Privatsphäre vorzunehmenden Abwägung der betroffenen Rechtsgüter steht hier der Schutz der personenbezogenen Daten auf der einen Seite und der Schutz der Gesundheit und der Sicherheit der betroffenen Personen auf der anderen Seite. Dabei ist zu berücksichtigen, dass der Eingriff in der unverzüglichen Zurverfügungstellung der ohnehin schon erfassten personenbezogenen Daten besteht. Lediglich die Schutzrichtung der Arbeitszeiterfassung wird geändert. Es wird dabei den nationalen Gerichten überlassen festzustellen, ob im Einzelfall die unverzügliche Übermittlung notwendig ist, damit die zuständige Behörde ihre Überwachungsaufgaben hinsichtlich der Anwendung der Regelungen über die Arbeitsbedingungen, insbesondere in Bezug auf die Arbeitszeit, wahrnehmen kann. Ist das der Fall, so dürfte im Hinblick auf die geringe Intensität des „erneuten“ Eingriffes, der in der unverzüglichen Zurverfügungstellung bzw. Über mittlung der betroffenen Daten besteht, und den mit dieser Übermittlung verfolgten legitimen Zweck, nämlich den Gesundheitsschutz der Arbeitnehmer, also ein dem Persönlichkeitsrecht ähnlich wichtiges Schutzobjekt[60], dieser erneute Eingriff als verhältnismäßig anzusehen sein.
4. Digitaler Fingerabdruck im Reisepass
Ein anderes Spezialproblem war Gegenstand des Vorabentscheidungsverfahrens Schwarz gegen die Stadt Bochum[61]. Hier ging es um die Vereinbarkeit der Erfassung und Speicherung von biometrischen Fingerabdrücken in Reisepässen und Reisedokumenten mit europäischen Grundrechten. Konkret ging es um das Recht auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten aus Art. 7 und 8 der Europäischen Grundrechtecharta (im Folgenden: GRC).
Der Kläger beantragte bei der Stadt Bochum einen Reisepass, verweigerte jedoch die Erfassung seiner Fingerabdrücke. Nachdem sein Antrag abgelehnt wurde, erhob er eine verwaltungsgerichtliche Klage auf Erstellung eines Reisepasses ohne Fingerabdrücke. Er stellte dabei die Verordnung Nr. 2252/2004[62], durch die die entsprechende Verpflichtung eingeführt worden war, wegen der Verletzung von Verfahrensvorschriften sowie des Rechts auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, in Frage. Die Regelung[63] sieht vor, dass Pässe und Reisedokumente mit einem Speichermedium versehen sind, das ein Gesichtsbild und Fingerabdrücke enthält. Das Speichermedium muss hohen Sicherheitsstandards entsprechen und geeignet sein, die Integrität, die Authentizität und die Vertraulichkeit der Daten sicherzustellen. Die gespeicherten biometrischen Daten dürfen nur zu dem Zweck verwendet werden, die Authentizität des Passes und die Identität seines Inhabers zu überprüfen. Das Verwaltungsgericht legte dem EuGH die Frage vor, ob die Verordnung Nr. 2252/2004 ungültig sei, weil sie die Speicherung von Fingerabrücken in Pässen und Reisedokumenten vorsehe und hierdurch das Grundrecht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten verletze.
4.1 Eingriff
Der EuGH begreift die Erfassung und Speicherung von Fingerabdrücken durch die nationalen Behörden zunächst als gerechtfertigten Eingriff in die Rechte des Betroffenen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten[64]. Er diene dem Gemeinwohlbelang des Schutzes vor betrügerischer Verwendung von Reisepässen[65].
4.2 Verhältnismäßigkeit
Die Rechte aus Art. 7 und 8 GRC unterlägen gesetzlich vorzusehenden Einschränkungen. Der Schutz vor Fälschung sowie die Verhinderung einer betrügerischen Verwendung von Pässen rechtfertigen die Eingriffe[66], da hierdurch die illegale Einreise von Personen in das Unionsgebiet verhindert werden könne[67]. Die Erfassung von Fingerabdrücken sei erforderlich. Andere geeignete Vornehmungen als die obligatorische Erfassung von Fingerabdrücken[68] seien ebenso wenig ersichtlich wie mildere Maßnahmen[69]. Insbesondere sei das Verfahren der Iris-Erkennung technisch nicht derart ausgereift wie die Erfassung von Fingerabdrücken und sei wegen der höheren Kosten für eine allgemeine Anwendung weniger geeignet[70], um illegale Einreisen in das Unionsgebiet zu verhindern[71]. Auch insgesamt sei das Verfahren geeignet[72]. Fingerabdrücke enthielten objektiv unverwechselbare Informationen und ermöglichten eine genaue Identifizierung von Personen[73], ferner sei ihre Erfassung und Speicherung in Reisepässen zur Bekämpfung illegaler Einreisen erforderlich und nach Art. 8 Abs. 2 der GRC zulässig, wenn sie mit Einwilligung oder auf Basis gesetzlicher Ermächtigung erhoben würden. Da es vorliegend an einer freiwilligen Einwilligung fehle, könne der Eingriff nur durch eine „sonstige gesetzlich geregelte legitime Grundlage“ gerechtfertigt werden (52 Abs. 1 GRC).
4.3 Abwägung
In der Abwägung verneint der EuGH eine besondere Sensibilität der Fingerabdrücke mit der Begründung, dass diese auch normalerweise den Blicken Dritter ausgesetzt seien, so dass deren Erfassung nichts Intimes zeige. Er setzt sie mit der Aufnahme eines Gesichtsbilds gleich, das ebenfalls öffentlichen Blicken ausgesetzt ist und dessen Aufnahme dem Betroffenen nicht über Gebühr körperlich oder psychisch Unannehmlichkeiten bereite[74]. Das überzeugt insofern nicht, als zwar die Finger, nicht aber die in der Fingerkuppenhaut codierten biometrischen Merkmale den Blicken anderer Personen ausgesetzt sind[75]. Das Iris-Erkennungsverfahren, das der EuGH zur allgemeinen Anwendung mit Verweis auf dessen Kostspieligkeit und die fehlende technische Reife für ungeeignet hält, dürfte tatsächlich nicht weniger in die Persönlichkeitsrechte der Betroffenen eingreifen als eine Erfassung von Fingerabrücken. Die Gefahr der zentralen Speicherung der Fingerabdrücke und das Risiko, sie zu anderen Zwecken als den in der Verordnung vorgesehenen verwenden zu können, sieht der EuGH nicht. Nicht von der Hand zu weisen ist aber, dass die Verordnung ein erster Schritt in Richtung einer künftigen Zentralisierung sein kann, und dass eine digitale Speicherung von Fingerabdrücken in Reisepässen künftigen Missbrauch ermöglichen kann. Mit Blick auf die mit einer zentralen Speicherung in Datenbanken verbundenen Gefahren spricht vieles dafür, die konkrete Maßnahme als unverhältnismäßig einzustufen[76].
5. Verantwortung von Internetsuchmaschinen
Eines der vergleichsweise neuen Probleme betrifft die Verantwortung von Internetsuchmaschinenbetreibern. Der EuGH ist hier mit einer Reihe von Rechtsproblemen konfrontiert, die in einem Rechtsstreit gegen Google zur Entscheidung anstehen. Derzeit liegt der Standpunkt des Generalanwalts vor, der hier vorgestellt werden soll[77].
5.1 Der Ausgangsfall
Im Rahmen eines spanischen Vorabentscheidungsverfahrens geht es um die Verantwortlichkeit des Suchmaschinenbetreibers Google für personenbezogene Daten, die auf den von diesem Unternehmen verarbeiteten Webseiten aufgefunden werden können. Ausgangspunkt des Verfahrens[78] war eine Veröffentlichung von zwei Bekanntmachungen Anfang 1998 in der Druckausgabe einer spanischen Zeitung, in denen es um eine Immobilienversteigerung nach einer Pfändung ging. In der auch in der Folgezeit noch in der Onlineausgabe verfügbaren Bekanntmachung war der Eigentümer der Immobilie namentlich genannt. Dieser wandte sich Ende 2009 an den Zeitungsverlag und beanstandete, dass bei Eingabe seines Namens in die Suchmaschine von Google eine Verlinkung zu den Seiten der Zeitung mit diesen Bekanntmachungen erscheine. Das Pfändungsverfahren sei seit Jahren erledigt und zwischenzeitlich ohne aktuelle Relevanz. Der Verlag lehnte die Löschung der Daten ab, da die Veröffentlichung auf Basis einer staatlichen Anordnung erfolgt war. Im Februar 2010 forderte der Betroffene von Google Spain, die Verbindung der Eingabe seines Namens in die Internetsuchmaschine mit dem Inhalt aus dem Jahre 1998 aufzulösen. Die spanische Google-Niederlassung leitete das Ersuchen an die Mutter Google Inc. in die USA weiter. Die Beschwerde des Betroffenen gegen den Verlag und Google bei der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD) wurde mit Blick auf den Verlag zurückgewiesen, weil dieser auf Basis einer gesetzlichen Verpflichtung handelte. Allerdings gab sie der Beschwerde gegen Google statt und forderte Google Spain und Google Inc. auf, die Daten aus dem Jahr 1998 zu löschen und einen künftigen Zugriff darauf unmöglich zu machen. Daraufhin klagten sowohl Google Inc. also auch Google Spain auf Aufhebung der Entscheidung.
5.2 Anwendbarkeit nationalen Datenschutzrechts für internationale Anbieter
Seit Juni 2013 liegen die Schlussanträge des Generalanwaltes Jääskinen vor. Er beschäftigte sich zunächst mit der räumlichen Anwendbarkeit der nationalen Datenschutzvorschriften. Als maßgeblichen Anknüpfungspunkt für die Datenverarbeitung eines Internetsuchmaschinenbetreiber stellt er nicht auf den Ort des technischen Vorganges der Datenverarbeitung ab. Diese erfolge jedenfalls dann in der Niederlassung des Internetsuchmaschinenbetreibers im jeweiligen Gaststaat, wenn dieser für die Vermarktung der Suchmaschine zuständig sei und die Werbung sich an die Einwohner des Mitgliedstaats richte. Dann seien die Datenschutzbestimmungen des Staates, in dem sich die Niederlassung befindet, anwendbar; vorliegend gelte also spanisches Recht[79]. Der Generalanwalt stellt nicht auf den physischen Ort der Datenverar beitung ab, sondern auf den werblichen Wirkungskreis des Internetsuchmaschinenbetreibers, und er stimmt insoweit mit der Art. 29 Datenschutzgruppe zu Datenschutzfragen zu Suchmaschinen überein[80]. Auch das Gremium stellt für die Anwendung nationalen Datenschutzrechts auf eine bestimmte Suchmaschine, deren Hauptsitz sich außerhalb des EWR befindet, darauf ab, ob Niederlassungen im Hoheitsgebiet eines Mitgliedstaats an der Verarbeitung von Benutzerdaten beteiligt sind. Sie bejaht eine Anwendung nationalen Datenschutzrechts nach Art. 4 Abs. 1 lit a der Datenschutz-RL konkret dann, wenn ein Suchmaschinenbetreiber ein Büro in einem Mitgliedstaat (EWR) einrichtet, das am Verkauf zielgruppenspezifischer Werbeanzeigen an die Einwohner dieses Staates beteiligt ist[81]. Teilweise wird die Anwendung nationaler Datenschutzbestimmungen auch mit Art. 4 Abs. 1 lit c der Datenschutz-RL und der Nutzung spanischer Googlebots in Spanien begründet. Googlebots ist ein Computerprogramm, das automatisiert Dokumente im Web durchsucht und sie über die Suchfunktion von Google auffindbar macht. Sein Sinn ist es, Infor mationen von – in diesem Fall – spanischsprachigen Webseiten zu sammeln und das Angebot für spanische Werbeanwender zu optimieren, worin eine „Nutzung von Mitteln“ im Sinne von Art. 4 Abs. 1 lit c der Datenschutz-RL gesehen wird[82].
5.3 Keine generelle Verantwortlichkeit des Suchmaschinenbetreibers
Google sei indes nicht generell für personenbezogene Daten verantwortlich, die auf Webseiten Dritter veröffentlicht werden und durch die Suchmaschinen zugänglich würden. Als für die Verarbeitung Verantwortlicher im Hinblick auf die über die Suchmaschine lokalisierten Daten sei der Anbieter der Quellenwebseite anzusehen. Er habe in dieser Eigenschaft für die auf seiner Website veröffentlichten personenbezogenen Daten einzustehen. Google stelle lediglich ein Instrument zur Lokalisierung der Informa tionen bereit. Eine Kontrolle über die auf Webseiten Dritter vorhandenen Inhalte habe das Unternehmen nicht. Daher könne der Internetsuchmaschinenbetreiber grundsätzlich nicht zur Entfernung von Informationen aus seinem Index verpflichtet werden. Hier nicht einschlägige Ausnahmen würden gelten, wenn der Suchmaschinenbetreiber sog. exclusion codes nicht beachtet hätte[83], die ihn verpflichten, bestimmte Inhalte aus der Suchfunktion auszuschließen, oder er einer Aufforderung des Webseitenbetreibers zur Aktualisierung des Cache nicht nachgekommen wäre.
5.4 Das Recht auf Vergessenwerden
Der Generalanwalt nimmt in seinen Schlussanträgen auch zu einem möglichen „Recht auf Vergessenwerden“ Stellung, das in Art. 17 des Entwurfs der DS-GVO beschrieben ist. Dieses würde zwar jedermann das Recht gewähren, aus überwiegenden schutzwür digen, sich aus seiner besonderen Situation ergebenden Gründen der Verarbeitung von ihn betreffenden Daten zu widersprechen. Ein bloßes subjektives Verlangen stellt aber für den GA noch keinen derartigen Schutzgrund dar. Die Richtlinie berechtige also nicht dazu, die Verbreitung personenbezogener Daten zu beschränken oder unterbinden zu lassen, weil die betroffene Person sie für abträglich oder ihren Interessen zuwiderlaufend halte. Würde man von Suchmaschinenbetreibern verlangen können, Informationen zu unterdrücken, die rechtmäßig öffentlich geworden sind, so stelle dies eine nicht gerechtfertigte Einschränkung der Meinungsäußerungsfreiheit des Betreibers der Webseite dar.
Das in Art. 7 des Entwurfs der DS-GVO vorgesehene „Recht auf Vergessenwerden“ gewährt insbesondere kein Recht des Betroffenen, selbst darüber entscheiden zu können, welche Informationen über ihn aus dem Internet gelöscht werden sollen[84]. Vorgesehen ist vielmehr ein Löschungsanspruch, der nur eine geringfügige Erweiterung des im deutschen Datenschutzrecht bereits bestehenden Löschungsanspruchs (§ 35 Abs. 2 BDSG) darstellt. Er verpflichtet den zur Löschung Verantwortlichen, datenverarbeitende Dritte über das Löschungsverlangen des Betroffenen durch Querverweise auf die betroffenen Daten oder Vervielfäl tigungen dieser Daten, zu informieren[85].
Im Fall Google geht es um das Recht auf Löschung von Daten, die rechtmäßig und korrekt an die Öffentlichkeit gelangt sind und durch die Suchmaschine indexiert wurden[86]. Sofern es um unrichtige oder unvollständige Daten geht, ergibt sich bereits aus der Datenschutzrichtlinie das Recht der Betroffenen auf Berichtigung, Löschung oder Sperrung dieser Daten[87]. Fraglich ist aber, ob ein Betroffener unter Berufung auf sein Persönlichkeitsrecht die Löschung von Daten verlangen kann, die legal in das Netz gelangt sind. Konkret geht es darum, ob allein die dauerhafte digitale Verfügbarkeit der Informationen sowie ihre einfache Zugänglichkeit und Auffindbarkeit dieses Recht gewähren[88]. Würde man bei Abwägung von Persönlichkeitsrecht und Informationsfreiheit das „Recht auf Vergessenwerden“ anerkennen, so würde die Entscheidung, welche persönlichen Informationen im Internet verbreitet werden dürfen, in den Händen des Betroffenen liegen. Das Recht, Inhalte zu entfernen, würde deutlichen Einfluss auf die Zuverlässigkeit und Objektivität der Informationen im Internet nehmen[89].
Der Generalanwalt sieht in einem solchen Löschungsanspruch eine unzulässige Beschneidung der im Netz veröffentlichten Inhalte durch Private und damit einen Eingriff in die Meinungsäußerungsfreiheit des Betreibers der Seite[90].
Schließt sich der EuGH ihm etwa auch unter Berufung auf die Informationsfreiheit an, so wird es nicht zulässig sein, dass Betroffene sich an Suchmaschinenbetreiber mit dem Anliegen der Indexierung sie betreffender Informationen wenden dürfen. Dies erscheint gerade bei einem Vergleich digitaler und körperlicher Archive plausibel, denn es wäre nicht vertretbar, körperliche Zeitungsarchive nach Ablauf einer bestimmten Frist zu bereinigen. Da auch das Recht auf Veröffentlichung von Daten im Internet auch bei Online-Pressearchiven anerkannt ist, reduziert sich die Frage auf das Recht von Betroffenen, Suchmaschinenbetreibern das Verlinken auf personenbezogene Informationen zu untersagen. Dabei sind die möglichen Gefahren des nicht vergessenden Internets evident. Die dauerhafte Speicherung von Informationen über eine Vielzahl von Vorgängen kann nicht zuletzt dazu führen, dass Menschen ihr Verhalten vor dem Hintergrund der Verfestigung von Informationen langfristig selbst zensieren[91]. Jedenfalls käme es neben der technischen Machbarkeit bei einer Umsetzung des Rechts auf Vergessenwerden darauf an, inwieweit Suchmaschinen vom Schutzbereich der Pressefreiheit erfasst sind, und ob das Haftungsrisiko des Suchmaschinenbetreibers nach einer Verlinkung zu hoch werden kann[92]. Der Nutzer ist für Generalanwalt Jääskinen jedenfalls nicht in der Verantwortung. Der EuGH dürfe keiner Auslegung folgen, „die praktisch jede Person, die ein Smartphone, ein Tablet oder einen Laptop besitzt, zu einem für die Verarbeitung von im Internet ver öffentlichten personenbezogenen Daten Verantwortlichen macht.“[93] Bei natürlicher Betrachtung ist es aber durchaus auch der Nutzer, der Daten verarbeitet und verbreitet.
5.5 Wer trägt die Verantwortung?
Der EuGH wird sich auch mit der Frage befassen müssen, ob der Suchmaschinenbetreiber als „für die Verarbeitung Verantwortlicher“ hinsichtlich personenbezogener Daten Dritter auf fremden Webseiten ist. Der Generalanwalt lehnt diese unter Verweis auf die fehlende Kontrolle des Suchmaschinenbetreibers über die personenbezogenen Daten auf fremden Seiten ab. Er liegt auch in dieser Frage auf der Linie der Art. 29-Datenschutzgruppe. Nach deren Auffassung handeln Suchmaschinenbetreiber ausschließlich als Vermittler und können aus Gründen der Verhältnismäßigkeit nicht als Hauptverantwortliche für Persönlichkeitsrechtsverletzungen bei Datenverarbeitungen angesehen werden[94]. Die Hauptverantwortung liege beim Informationsanbieter[95].
Die anstehende Entscheidung des EuGH dürfte eine Weiche für die Einordnung der Verantwortung von Suchmaschinenbetreibern sein. Die mangelnde Verantwortlichkeit der Suchmaschinenbetreiber wird mit der Passivität der Vermittlungsfunktion und der rein technischen Leistung zurückgeführt[96]. Kann ein Suchmaschinenbetreiber in den Fällen, in denen seine Funktion über die Erbringung von rein technischen Leistungen hinausgeht, zur Verantwortung gezogen werden, weil nur er die Funktionsweise seiner Suchfunktion kennt und sie verändern kann? Steuert er damit auch den Meinungsbildungsprozess, wenn er eingreift, oder muss er Verantwortung für den Schutz von Persönlichkeitsrechten übernehmen? Das dahinter stehende Rechtsproblem besteht in der Beantwortung der Frage, wie die Haftung für das nachhaltige Auffinden von Inhalten im Netz mit Zurechnungsmodellen und dem Ausbau der deliktsrechtlichen Störerhaftung gelöst werden kann. Kann man Betreibern von Diensten das Wirken der von ihnen betriebenen Technik zurechnen? Wer Youtube darauf hinweist, dass sein geistiges Eigentum dort ohne Lizenz verfügbar ist, hat einen Anspruch darauf, dass es beseitigt und dauerhaft vom Dienst ferngehalten wird. Das führt in der Praxis zu billigen Ergebnissen, wenn sich eine Rechtsverletzung wie im Falle eines ille galen Videos mit der Beseitigung beheben lässt. Bei dem Zusammenwirken von Suchanfragen und Algorithmus ist das aber anders. Kann oder muss einem Suchdienst ein Verursachungsbeitrag für die gesuchten Inhalte oder das Wirken der Autosuchfunktion zugerechnet werden? Obwohl sowohl das Betreiben des Suchdienstes durch Google als auch das Stellen von Suchanfragen durch die Nutzer sowie deren Ordnung nach Prioritäten weit davon entfernt sind, rechtswidrig zu sein, entstehen in der Praxis Schäden. Dies zeigen Fälle, die derzeit auch deutsche Gerichte mit Blick auf die Haftung von Google für die Suchfunktion be fassen. Das LG Hamburg hatte die Entscheidung über die Unterlassungsklage von Bettina Wulff gegen die Ergänzungsvorschläge „Escort“ und „Rotlicht“ zu ihrem Namen in der Autovervollständigungsfunktion mit Blick auf eine anstehende Entscheidung des BGH ausgesetzt. Dieser hat im Mai 2013 Google als Diensteanbieter im Sinne des TMG (§ 2 S. 1 Nr. 1 TMG) angesehen und eine Haftung (§ 7 Abs. 1 TMG) bejaht[97]. Im entschiedenen Fall wurde ein Unternehmer von der Autocompletefunktion mit den Begriffen „Scientology“ und „Betrug“ in Verbindung gebracht. Der BGH nahm eine Haftung von Google an, da eigene Informationen (Suchwortergänzungsvorschlage als Ergebnis der Autocomplete-Funktion) zur Nutzung bereitgehalten wurden. Demnach erkannte der BGH einen Unterlassungsanspruch (§§ 1004 Abs. 1 analog i.V.m. 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs 1 GG, allg. Gesetze)[98]. Eine Verletzung des Persönlichkeitsrechts liege, so der BGH, wegen des unwahren Aussagegehalts der Ergänzungsvorschläge vor, denn es bestehe keine Verbindung des Klägers zu Betrug oder Scientology. Der BGH geht also von einer Störerhaftung bei Google aus, die eine Verletzung von – im Einzelfall zumutbaren – Prüfpflichten voraussetzt. Es soll also keine präventive Prüfungspflicht für Suchergänzungsvorschläge geben, es sei denn, bei Vorliegen besonders schutzwürdiger Belange, z.B. bei Kinderpornographie. Die Prüfungspflicht für Google entsteht erst ab Kenntnis von Persönlichkeitsrechtsverletzungen[99]. Der BGH wird wegen dieser Rechtsprechung kritisiert, weil er die Suchvorschläge als eigenen Inhalt von Google begreift und den Suchmaschinenbetreiber als Täter behandelt, im Ergebnis aber nur eine Störerhaftung annimmt[100]. Das mag pragmatische Gründe haben, denn anderenfalls käme es zu einer untragbaren Einschränkung der Informationsfreiheit.
Das LG Köln hatte die Klage gegen Google zuvor etwa mit der Begründung abgewiesen, dass von dem Dienst keine eigenen Informationen zur Nutzung bereitgehalten würden und deshalb eine Haftung (§ 7 Abs. 1 TMG) ausscheide. Mit der automatisierten Ergänzungsfunktion würden weder eigene Aussagen von Google wiedergegeben, die nach bestimmten sinnhaften Kriterien geordnet worden wären, noch Aussagen Dritter, die Google innerhalb der Suchergänzungsfunktion wiedergebe. Die Berufungsinstanz beim OLG Köln hatte die Verantwortlichkeit (§ 7 Abs. 1 TMG) zwar grds. bejaht, da Google mit den Suchvorschlägen eigene Inhalte bereithalte. Die Suchvorschläge hätten aber keinen persönlichkeitsverletzenden Aussagegehalt[101]. Aus Sicht eines Durchschnittsrezipienten lasse sich der Anzeige der Ergänzungssuchbegriffe lediglich die eigene Aussage der Suchmaschine entnehmen, dass andere vorherige Nutzer die gewählten Begriffskombinationen zur Recherche als womöglich wahre Tatsachenbehauptung ohne verletzenden Aussagegehalt eingegeben hätten.
Das OLG München verneinte in einem anderen Fall die Haftung von Google auch mit der Begründung, dass die Autocomplete-Funktion als Ergebnis fremden Suchverhaltens und Resultat eines vollständig automatisierten Vorgangs Google nicht zugerechnet werden könne. Durch die Autocomplete-Funktion würden nicht eigene Inhalte des Suchmaschinenbetreibers, sondern fremde Inhalte, nämlich Suchanfragen zeitlich vorangehender Nutzer der Suchmaschine, angezeigt. Für den verständigen und angemessen aufmerksamen Durchschnittsnutzer der Such maschine sei bereits aufgrund des maschinellen Charakters des in Anspruch genommenen Dienstes klar, dass der Suchmaschinenbetreiber lediglich das Ergebnis fremden Suchver haltens als Resultat eines vollständig automatisierten Vorgangs wiedergebe[102].
6. Vorratsdatenspeicherung
In zwei Vorabentscheidungsersuchen ging es schließlich um die Richtlinie zur Vorratsdatenspeicherung (RL 2006/24/EG). Der EuGH folgte im Wesentlichen einem zuvor veröffentlichten Gutachten des Generalanwalts Cruz Villalón[103] und erklärte die Richtlinie in ihrer bisherigen Form für unvereinbar mit dem Gemeinschaftsrecht.
6.1 Ausgangsverfahren aus Irland und Österreich
Im Ausgangsverfahren hatte eine Nichtregierungsorganisation gegen zwei Minister der irischen Regierung geklagt und geltend gemacht, dass irische Behörden Daten rechtswidrig verarbeitet sowie auf Vorrat gespeichert und kontrolliert hätten. Sie beantragte zum einen die Nichtigerklärung der innerstaatlichen Rechtsakte, die die Anbieter von Telekommunikationsdiensten zur Vorratsspeicherung von Telekommunikationsdaten verpflichten, da diese mit der irischen Verfassung und dem Unionsrecht unvereinbar wären. Zum anderen stellte sie die Gültigkeit der Richtlinie 2006/24/EG im Hinblick auf die Charta und/oder die Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten in Frage. In einem zweiten Verfahren klagten neben der Kärntner Landesregierung Privatpersonen beim österreichischen Verfassungsgerichtshof auf Nichtigerklärung der österreichischen Vorschriften zur Umsetzung der Vorratsdatenspeicherungsrichtlinie. Sie sahen in der Verpflichtung von Kommunikationsnetzbetreibern zur anlasslosen Datenspeicherung gegen den Willen der Betroffenen einen Verstoß gegen Art. 8 GRC.
6.2 Inhalte der Vorratsdatenspeicherungsrichtlinie
Die streitgegenständliche Richtlinie 2006/24/EG legte den Mitgliedstaaten die Verpflichtung auf, bestimmte Daten, die im Rahmen der elektronischen Kommunikation der Unionsbürger erzeugt und/oder verarbeitet werden, zu erheben und für einen bestimmten Zeitraum anlasslos auf Vorrat zu speichern. Dadurch sollte ihre Verfügbarkeit zum Zweck der Ermittlung und Verfolgung schwerer Straftaten gewährleistet und das reibungslose Funktionieren des Binnenmarkts sichergestellt werden. Ziel der Richtlinie war in erster Linie die Harmonisierung der teilweise bereits vorhandenen mitgliedstaatlichen Regelungen, die Telekommunikationsdiensteanbieter zur Vorratsdatenspeicherung verpflichten[104], die bereits auf Basis der Richtlinie 2002/58/EG erlassen wurden. Art. 15 Abs. 1 dieser Richtlinie ermächtigt die Mitgliedstaaten, durch Rechtsvorschriften vorzusehen, dass Daten für eine begrenzte Dauer zu Sicherheitszwecken und zu Strafverfolgung und Verbrechensprävention gespeichert werden. Auf diese Weise sollte die Richtlinie 2006/24/EG teilweise auf Grundlage von Art. 15 Abs. 1 der Richtlinie 2002/58 erlassene Vorschriften harmonisieren. Mit dem Ziel der Harmonisierung wurden aber auch Mitgliedstaaten, die nicht über eine entsprechende Regelung verfügen, zur Erhebung und Vorratsspeicherung der genannten Daten verpflichtet. Konkret verlangte die Richtlinie von den Mitgliedstaaten, die Vorratsspeicherung von Daten sicherzustellen, die die Identifizierung einer Person sowie die räumliche und zeitliche Situation dieser Person ermöglichen oder ermöglichen können[105]. Die genannten Daten sollten dabei für einen Zeitraum von mindestens sechs Monaten und höchstens zwei Jahren ab dem Zeitpunkt der Kommunikation auf Vorrat gespeichert werden[106].
6.3 Entscheidung des EuGH
Für den EuGH ist die Vorratsdatenspeicherung nicht generell unzulässig. Er moniert aber deren Umsetzung in der Richtlinie und erklärt diese daher für ungültig.
a. Schaffung von Überwachungsvoraussetzungen
So greife die Richtlinie 2006/24/EG auf unzulässige Weise in das Recht auf Achtung des Privatlebens der Unionsbürger aus Art. 7 und 8 GRC ein[107]. Die Erhebung von Kommunikationsdaten schaffe Voraussetzungen für eine Überwachung, die die Wahrung des Privatlebens während der gesamten Dauer der Vorratsspeicherung permanent bedrohe[108]. Verstärkt würden die Wirkungen des Eingriffs durch die Bedeutung elektronischer Kommunikationsmittel in Zeiten der Digitalisierung bei massiver und intensiver Nutzung durch die Unionsbürger in allen Bereichen ihrer privaten oder beruflichen Tätigkeiten[109]. Die in der Richtlinie vorgesehene Vorratsspeicherung von Daten stelle zwar einen besonders schwerwiegenden Eingriff dar, gleichwohl werde der Wesensgehalt von Art. 7 GRC nicht angetastet, da die Kenntnisnahme des Inhalts elektronischer Kommunikation gerade nicht gestattet werde[110]. Die Möglichkeit zum Missbrauch der auf Vorrat gespeicherten Daten zu rechtswidrigen, potenziell die Privatsphäre verletzenden und betrügerischen oder heimtückischen Zwecken verstärke die Eingriffsintensität[111]. Verschärfend komme hinzu, dass Diensteanbieter nicht verpflichtet seien, die Daten auf dem Gebiet der EU zu speichern, so dass missbräuchliche Erhebung und Verbreitung im EU-Ausland zu befürchten seien[112].
b. Fehlende Voraussetzungen einer Rechtfertigung
Ein verhältnismäßiger Eingriff ergebe sich nicht allein aus seiner gesetzlichen Fixierung. Dazu müssten der Zugang zu den betroffenen Daten und die Möglichkeit ihrer Auswertung – zumindest in Grundsätzen – durch hinreichende Garantien eingeschränkt sein[113]. So müsse der Unionsgesetzgeber Grundprinzipien für den Datenzugang definieren[114]. Die Voraussetzungen zum Zugriff auf die im Rahmen der Vorratsdatenspeicherung erhobenen Daten seien im Hinblick auf den zeitlichen und räumlichen Zusammenhang des Personenkreises und der Straftat zu fassen[115] und die Zugriffsberechtigung sei auf unabhängige Stellen zu begrenzen[116]. In der bisherigen Form stehe die Sicherstellung der Verfügbarkeit der auf Vorrat gespeicherten Daten zum Zweck der Verfolgung schwerer Straftaten außer Verhältnis zum Recht auf Achtung des Privatlebens[117]. Dabei handele es sich bei der Sicherstellung der Verfügbarkeit der erhobenen und auf Vorrat gespeicherten Daten zum Zweck der Ermittlung, Feststellung und Verfolgung schwerer Straftaten durchaus um ein legitimes Anliegen[118]. Eine Mindestspeicherdauer von sechs Monaten lasse sich ohne Unterscheidung von konkreten Datenkategorien und deren Nutzen für das verfolgte Ziel nicht rechtfertigen[119]. Nach Art. 52 Abs. GRC müsse jede Einschränkung anerkannter Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Nur unter Beachtung des Verhältnismäßigkeitsgrundsatzes dürften Einschränkungen vorgenommen werden[120].
c. Ausblick
Nachdem das Bundesverfassungsgericht die Vorschriften zur Vorratsdatenspeicherung im „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der RL 2006/24/EG“, das zur Umsetzung der Richtlinie zur Vorratsdatenspeicherung am 1. Januar 2008 in Kraft getreten war, im Jahr 2010 wegen der Verletzung des Fernmeldegeheimnisses sowie wegen Verstoßes gegen den Grundsatz der Verhältnismäßigkeit bei der Speicherung der Daten für verfassungswidrig und nichtig erklärt hatte[121], hat nun auch der EuGH enge Vorgaben für die Einführung einer Vorratsdatenspeicherung formuliert.
Nach dem Karlsruher Votum zu den damaligen Regelungen[122] erlaubten diese einen „besonders schweren Eingriff in das Fernmeldegeheimnis mit einer Streubreite, wie sie die Rechtsordnung bisher nicht kennt“[123]. Sie eröffneten den Behörden Einblicke „bis in die Intimsphäre“ der Bürger[124]. Zudem sei das Gesetz nicht hinreichend transparent und enthalte keine Angaben über den Umfang der Nutzung der gesammelten Daten[125].
Wie das Bundesverfassungsgericht lehnt allerdings auch der EuGH eine anlasslose Vorratsdatenspeicherung nicht schlechthin ab. Eine verfassungsrechtlich haltbare Regelung muss konkrete Maßgaben zur Datensicherheit, zur Begrenzung der Datenverwendung, zur Begrenzung des Datenzugriffs, zur Speicherdauer, zur Transparenz und zum Rechtsschutz enthalten. Der Koalitionsvertrag von 2013 sieht noch die Umsetzung der Richtlinie vor. Der Zugriff auf die gespeicherten Daten soll danach nur bei schweren Straftaten und nach richterlicher Genehmigung sowie zur Abwehr akuter Gefahren für Leib und Leben zulässig sein. Zudem soll die Speicherung der deutschen Telekommunikationsverbindungsdaten auf Servern in Deutschland vorgenommen werden, und die Speicherfrist soll auf EU-Ebene auf drei Monate verkürzt werden[126]. Während das Innenministerium nach der Entscheidung des EuGH weiterhin auf eine rasche Einführung drängt, sieht man im Justizministerium mit dem Wegfall der Umsetzungsverpflichtung keinen Grund mehr zur Eile[127].
IV. Fazit
Dieser Überblick über die aktuelle Rechtsprechung des EuGH zum Datenschutz stellt einen Ausschnitt der bereits jetzt vorhandenen Bandbreite der Entscheidungen dar. Sie erfassen grundsätzliche Fragen des Umgangs mit sensiblen Daten ebenso wie Details wie die Behandlung von Arbeitszeiten oder digitale Fingerabdrücke in Reisepässen. Auch vor dem Inkrafttreten der Datenschutzgrundverordnung ist klar, dass der EuGH eine immer wichtiger werdende Rolle im Datenschutzrecht spielt, und man wird sehen, wie er seiner Verantwortung für ein ausgewogenes Verhältnis zwischen Privatheit des Unionsbürgers auf der einen Seite und den Sicherheitsinteressen der Mitgliedsstaaten sowie der Verwendung von Daten zu privaten Wirtschaftszwecken auf der anderen Seite gerecht wird. Dabei kommt es insbesondere darauf an, die nationalen Bedürfnisse der Mitgliedstaaten zu erkennen und auf einen gemeinsamen Nenner zu bringen, der einerseits ein akzeptiertes Privatheitskonzept für Europa enthält und auf der anderen Seite eine hinreichende Abgrenzung zu den teilweise deutlich gegenläufigen Privatheitskonzepten, insbesondere in den USA und dem asiatischen Raum, beinhaltet[128]. Das stellt die Luxemburger Richter in einer Welt, in der Daten längst als neue Währung angekommen sind, vor eine beträchtliche Herausforderung. Sie müssen sich ihr mit Blick für den Welthandel ebenso stellen wie mit Bedacht auf die Eigenheiten der Mitgliedstaaten[129].
Rolf Schwartmann
Rolf Schwartmann lehrt Medienrecht an der Fachhochschule Köln und ist Leiter der Kölner Forschungsstelle für Medienrecht (www. medienrecht.fh-koeln.de). Er ist Mitherausgeber der RDV und Vorsitzender der GDD.
Elissavet Theodorou
Ass. iur. Elissavet Theodorou ist wissenschaftliche Mitarbeiterin an der Forschungsstelle.
[1] BVerfGE 65, 1; dazu Hoffmann-Riem, Freiheitsschutz in den globalen Kommunikationsinfrastrukturen, JZ 2014, S. 53-63.
[2] BVerfG, 27.02.2008 – Az. 1 BvR 370/07, 1 BvR 595/07; dazu HoffmannRiem, Freiheitsschutz in den globalen Kommunikationsinfrastrukturen, JZ 2014, S. 53-63.
[3] Masing, Datenschutz – ein unterentwickeltes Grundrecht? In Schwartmann/Jaspers, Big Data – Big Responsibility, Sonderveröffentlichung zur RDV 02/2014, S. 3-9 (3).
[4] EuGH, Urteil vom 06.11.2003, C-101/01 – „Lindqvist”; s. hierzu Anm. Roßnagel, EuGH: Personenbezogene Daten im Internet, MMR 2004, 95; Dammann, Der EuGH im Internet – Ende des internationalen Datenschut zes?, RDV 2004, 19-21.
[5] EuGH, Urt. v. 06. 11.2003, C–101/01, Lindquist, Rn 24, 50, 51.
[6] EuGH, Urt. v. 06. 11.2003, C–101/01, Lindquist, Rn 25, 26.
[7] EuGH, Urt. v. 06. 11.2003, C–101/01, Lindquist, Rn 68-71.
[8] EuGH, Urt. v. 06. 11.2003, C–101/01, Lindquist, Rn 90.
[9] Im Rahmen dieses Beitrages bleibt die Rechtsprechung des EGMR unberücksichtigt . Vgl. dazu z.B. EGMR, Urt. v. 04.12.2008 – 30562/04, 30566/04; Urt. v. 03.04.2007 – 62617/00; Urt. v. 03.04.2012 – 41723/06; Entsch. v. 05.10.2010 – 420/07; Urt. v. 14.04.2009 – 37374/05; Entsch. v. 29.06.2006 – 54934/00.
[10] S. dazu das Beschwerdeverfahren vor dem EGMR der britischen Bürger rechtsgruppen Big Brother Watch, Open Rights Group, des britischen Schriftstellerverbandes PEN und der Sprecherin des Chaos Computer Clubs Constanze Kurz gegen den britischen Geheimdienst Government Communications Headquarters (GCHQ) wegen Verstoßes durch unkontrollierte Überwachung gegen Artikel 8 EMRK und das dort allen EU-Bürgern eingeräumte Menschenrecht auf Privatsphäre, s. dazu http://www.ccc.de/de/updates/2014/gchq-egmr.
[11] Richtlinie 2009/136/EG zur Änderung der RL 2002/22/EG über den Universaldienstund Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der RL 2002/58/EG über die Verarbeitung perso nenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der VO (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz.
[12] EuGH, Urteil vom 08.04.2014, C-293/12 und C-594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”.
[13] EuGH, Urteil vom 24.11.2011, C-468/10, C-469/10 – „ASNEF/FECEMD”, s. hierzu Bongers, Verbot der Datenverarbeitung muss durch Interessenabwägung abwendbar sein, GWR 2012, 45.
[14] EuGH, Urteil vom 29.01.2008, C-275/06 – „Promusicae/Telefónica”.; s. hierzu Anm. Schoene, in: FD-GewRS 2008, 252938; Kahlert, Urheberrecht kontra Datenschutz: EuGH bremst Forderungen nach einem zivilrechtlichen Auskunftsanspruch gegen Internet-Provider über die Identität von Tauschbörsen-Benutzern, ELR 2008, 78-82
[15] EuGH, Urteil vom 19.02.2009, C-557/07 – „LSG/Tele2”, s. hierzu Anm. Nordemann/Schaefer, EuGH: Vermittlereigenschaft eines Access-Providers, GRUR 2009, 579
[16] EuGH, Urteil vom 24.11.2011, C-70/10 – „Scarlet Extended”; s. hierzu Maaßen, Pflicht zur präventiven Filterung des gesamten Datenverkehrs zur Bekämpfung von Urheberrechtsverletzungen nicht mit europäischem Recht vereinbar – „Scarlet Extended“ in: GRUR-Prax 2011, 535.
[17] EuGH, Urteil vom 19.04.2012, C-461/10 – „Bonnier Audio u.a/Perfect Communication”, s. hierzu Ohst, Urheberrechtlicher Auskunftsanspruch mit EU-Recht vereinbar, in: GRUR-Prax 2012, 235.
[18] EuGH, Urteil vom 19.04.2012, C-461/10 – Bonnier Audio u.a./Perfect Communication, Rn. 45.
[19] EuGH, Urteil vom 19.04.2012, C-461/10 – Bonnier Audio u.a./Perfect Communication, Rn 40.
[20] EuGH, Urteil vom 19.04.2012, C-461/10 – Bonnier Audio u.a/Perfect Communication, Rn. 52, 54.
[21] EuGH, Urteil vom 29.01.2008, C-275/06 – Promusicae, Rn. 54, 55.
[22] EuGH, Urteil vom 19.04.2012, C-461/10 – Bonnier Audio u.a/Perfect Communication, Rn. 55.
[23] EuGH, Urteil vom 19.04.2012, C-461/10 – Bonnier Audio u.a/Perfect Communication, Rn. 59.
[24] EuGH, Urteil vom 19.04.2012, C-461/10 – Bonnier Audio u.a/Perfect Communication, Rn. 60.
[25] EuGH, Urteil vom 19.04.2012, C-461/10 – Bonnier Audio u.a/Perfect Communication, Rn. 56.
[26] EuGH, Urteil vom 19.04.2012, C-461/10 – Bonnier Audio u.a/Perfect Communication, Rn. 58.
[27] Siehe dazu Anm. von Nordemann/Schaefer zum EuGH, Beschluss vom 19.02.2009 – C-557/07 – LSG/Tele2, in: GRUR 2009, 579.
[28] Möller, Urheber-/Datenschutzrecht: Herausgabe gespeicherter Verkehrsdaten zur zivilrechtlichen Verfolgung von Urheberrechtsverletzungen, EuZW 2012, 517-520(520).
[29] EuGH, C- 557/07, LSG/Tele2, Urteil vom 19.02.2009, Rn. 29.
[30] EuGH, Urteil vom 19.04.2012, C-461/10 – Bonnier Audio u.a/Perfect Communication, Rn. 58.
[31] EuGH, Urteil vom 19.04.2012, C-461/10 – Bonnier Audio u.a/Perfect Communication, Rn. 59. Nach deutschem Recht ist der Auskunftsanspruch gegen den Access-Provider in § 101 UrhG normiert, der diesen Anforderungen genügen dürfte, weil er eine offensichtliche Rechtsverletzung voraussetzt und Maßnahmen von einer Verhältnismäßigkeitsprüfung abhängig macht. Dazu Ohst, Urheberrechtlicher Auskunftsanspruch mit EU-Recht vereinbar, GRUR-Prax 2012, 235. Es muss aber durch Richtervorbehalt für eine grundrechtliche Absicherung der Rechte der Betroffenen gesorgt sein. Dazu Baum, Anmerkung zu einer Entscheidung des EuGH, Urteil vom 19.04.2012 (C-461/10; MR-Int 2012, 29) – Zur Frage der Abwägung der widerstreitenden Interessen der Rechteinhaber zur Verfolgung von Urheberrechtsverstößen im Internet gegenüber den datenschutzrechtlichen Belangen der Nutzer.
[32] EuGH, Urteil vom 09.03.2010, C-518/07 – “Kommission/Deutschland”; s. hierzu Anm. Roßnagel, EuGH: Verurteilung Deutschlands zur Neuorganisation seiner Datenschützer EuZW 2010, 296.
[33] Seit dem Urteil des EuGH haben alle Bundesländer neue Gesetze verabschiedet, um die geforderte Unabhängigkeit der Datenschutzbehörden zu gewährleisten, siehe Übersicht unter: http://www.daten-speicherung.de/data/BMI_Unabhaengigkeit_20-05-2011.pdf. Allerdings sollen nach Ansicht der EU-Kommission auch die neuen Gesetze keine vollständige Unabhängigkeit der Datenschutz-Aufsichtsbehörden gewährleisten, weil die Datenschutzbehörden weiterhin einer Dienstaufsicht der Landesregierung oder des Landtags unterworfen werden, s. dazu unter: http://www.daten-speicherung.de/index.php/eu-kommission-deutschedatenschutzaufsicht-ist-weiterhin-nicht-unabhaengig/.
[34] EuGH, Urteil vom 16.10.2012, C-614/10 – „Kommission/Österreich“. Siehe dazu unten unter II.3.3.
[35] EuGH, Urteil vom 16.10.2012, C-614/10 – Kommission/Österreich, Rn. 7.
[36] EuGH, Urteil vom 16.10.2012, C-614/10 – Kommission/Österreich, Rn. 41; Verweis auf EuGH, Urteil vom 09.03.2010, C-518/07 – Kommission/Deutschland, Rn. 19, 25, 30 und 50.
[37] EuGH, Urteil vom 16.10.2012 C-614/10, Kommission/Österreich, Rn. 42.
[38] EuGH, Urteil vom 16.10.2012 C-614/10, Kommission/Österreich, Rn. 50.
[39] EuGH, Urteil vom 16.10.2012 C-614/10, Kommission/Österreich, Rn. 56.
[40] EuGH, Urteil vom 16.10.2012C-614/10, Kommission/Österreich, Rn. 57, 61.
[41] EuGH, Urteil vom 16.10.2012, C-614/10 – Kommission/Österreich, Rn. 63.
[42] (Österreich) Bundesgesetzblatt I Nr. 57/2013, 17.04.2013, abrufbar unter: http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2013_I_57/BGBLA_2013_I_57.html (letzter Abruf: 06.01.2014).
[43] S. hierzu Vorblatt und Erläuterungen zur Regierungsvorlage, abrufbar unter: http://www.parlament.gv.at/PAKT/VHG/XXIV/I/I_02131/fname_281037.pdf (letzter Abruf: 06.01.2014); Pabel, Ungenügende Unabhängigkeit der Datenschutzkommission, Österreichische Zeitschrift für Wirtschaftsrecht 2013, S. 25-28 (27).
[44] S. hierzu Fieseler/Ritter, „Nach EuGH-Urteil: Datenschutzkommission wird unabhängig“, 26.04. 2013 im BehördenSpiegel.at, abrufbar unter: http://www.behoerdenspiegel.at/?p=1400 (letzter Abruf: 06.01.2014).
[45]http://www.dsb.gv.at/ (letzter Abruf: 06.01.2014).
[46]http://www.dsb.gv.at/DocView.axd?CobId=53385 (letzter Abruf: 06.01.2014).
[47] S. dazu Petri/Tinnefeld, Völlige Unabhängigkeit der Datenschutzkontrolle. Demokratische Legitimation und unabhängige parlamentarische Kontrolle als moderne Konzeption der Gewaltenteilung, MMR 2010, S. 157 (158).
[48] Siehe dazu: Schmidl, Die österreichische Datenschutzkommission erfüllt nach Ansicht des Gerichtshofes der Europäischen Union nicht das Kriterium der «völligen» Unabhängigkeit, European Law Reporter 2012 p. 292-294, ELR 2012, 291-293.
[49] Petri/Tinnefeld (s. Fn. 47), S. 157(159).
[50] EuGH, Urteil vom 09.03.2010, C-518/07, Rn. 16, 19.
[51] EuGH, Urteil vom 09.03.2010, C-518/07, Rn. 18, 19, 30; s. dazu Petri in Simitis, BDSG, § 38, Rn. 11.
[52] Siehe dazu: Pabel, Ungenügende Unabhängigkeit der Datenschutzkommission, Österreichische Zeitschrift für Wirtschaftsrecht 2013, S. 25-28 (27).
[53] Pabel, Ungenügende Unabhängigkeit der Datenschutzkommission, Österreichische Zeitschrift für Wirtschaftsrecht 2013, S. 25-28 (27); siehe dazu auch Ziebarth, Demokratische Legitimation und Unabhängigkeit der deutschen Datenschutzbehörden, Computer und Recht 201, S. 60-68.
[54] EuGH, Urteil vom 09.03.2010, C-518/07 – Kommission/Deutschland, Rn. 42.
[55] EuGH, C-342/12 – Worten (30.05.2013).
[56] EuGH, Urteil vom 30.05.2013 C-342/12, Worten, Rn. 19.
[57] EuGH, Urteil vom 30.05.2013C-342/12, Worten, Rn. 35.
[58] EuGH, Urteil vom 30.05.2013 C-342/12, Worten, Rn. 41.
[59] S. dazu Seifert in Simitis, BDSG Kommentar, 7. Aufl., § 32, Rn. 72.
[60] Riesenhuber, Die Einwilligung des Arbeitnehmers im Datenschutzrecht, RdA 2011, 257(265).
[61] EuGH, C-291/12 – Michael Schwarz/Stadt Bochum (17.10.2013).
[62] ABl. L 385, S. 1, geändert durch die Verordnung (EG) Nr. 444/2009 des Europäischen Parlaments und des Rates vom 6. Mai 2009, ABl. L 142, S. 1, Berichtigung in ABl. L 188, S. 127.
[63] Art. 1 Abs. 2 VO 2252/2004.
[64] EuGH, Urteil vom 17.10.2013, C-291/12, Schwarz/Stadt Bochum, Rn. 30.
[65] EuGH, Urteil vom 17.10.2013, C-291/12, Schwarz/Stadt Bochum, Rn. 64.
[66] EuGH, Urteil vom 17.10.2013, C-291/12, Schwarz/Stadt Bochum, Rn. 36
[67] EuGH, Urteil vom 17.10.2013, C-291/12, Schwarz/Stadt Bochum, Rn. 37
[68] EuGH, Urteil vom 17.10.2013, C-291/12, Schwarz/Stadt Bochum, Rn. 47.
[69] EuGH, Urteil vom 17.10.2013, C-291/12, Schwarz/Stadt Bochum, Rn. 53.
[70] EuGH, Urteil vom 17.10.2013, C-291/12, Schwarz/Stadt Bochum, Rn. 52.
[71] EuGH, Urteil vom 17.10.2013, C-291/12, Schwarz/Stadt Bochum, Rn. 61.
[72] EuGH, Urteil vom 17.10.2013, C-291/12, Schwarz/Stadt Bochum, Rn. 64.
[73] EGMR, Urteil vom 04.12.2008, S. and Marper/the United Kingdom, Applications nos. 30562/04 and 30566/04, Rn. 84.
[74] EuGH, Urteil vom 17.10.2013, C-291/12, Schwarz/Stadt Bochum, Rn. 48.
[75] Siehe dazu: Steinbeis, Der maschinenlesbare Mensch: EuGH kann kein Problem erkennen, unter: http://www.verfassungsblog.de/de/dermaschinenlesbare-mensch-eugh-kann-kein-problem-erkennen/.
[76] Bamberger, in: Beck‘scher Online-Kommentar BGB, Hrsg: Bamberger/ Roth, § 12 BGB Rn. 161.
[77] Schlussanträge des Generalanwaltes Jääskinen, Fall Google (C-131/12- 25.06.2013).
[78] Pressemitteilung Nr. 77/13 vom 25.06.2013.
[79] Eingehend zur Frage des anwendbaren Rechts Kremer, in diesem Heft.
[80] Stellungnahme 1/2008 der Artikel 29-Datenschutzgruppe zu Datenschutzfragen im Zusammenhang mit Suchmaschinen, 04.04.2008, WP 148, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_de.pdf.
[81] Stellungnahme 1/2008 der Artikel 29-Datenschutzgruppe, WP 148 (s.o.), S.11.
[82] Arenas Ramiro/Yankova, Spanische Datenschutzbehörde (AEPD) vs. Google: „Das Recht auf Vergessen“ in ZD-Aktuell 2012, 02845.
[83] Der Urheber von Quellenwebseiten kann „exclusion codes“ für die Operation der Internetsuchmaschinen verwenden. Damit wird den Suchmaschinen der Befehl erteilt, eine Quellenwebseite nicht zu indexieren, zu speichern oder im Rahmen ihrer Suchergebnisse anzuzeigen, und auf diese Weise der Schutz personenbezogener Daten verstärkt, Schussanträge des Generalanwalts, Rn. 41, 42.
[84] Hornung/Hofmann, Ein „Recht auf Vergessenwerden“?, JZ 2013, 163 (170).
[85] Tscherwinka, Gibt es ein (Datenschutz-) Recht auf Vergessenwerden? unter: http://www.marktforschung.de/information/marktforschungrecht/gibt-es-ein-datenschutz-recht-auf-vergessenwerden/.
[86] Arenas Ramiro, Yankova (s.o.) ZD-Aktuell 2012, 02845.
[87] Art. 12 Richtlinie 95/46/EG (des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr).
[88] Arenas Ramiro/Yankova, (s.o.) ZD-Aktuell 2012, 02845.
[89] Arenas Ramiro/Yankova, (s.o.) ZD-Aktuell 2012, 02845.
[90] Schussanträge – 25.06.2013, Rs. C-131/12, Generalanwalt, Jääskinen, Rn. 134.
[91] Hornung/Hofmann, Ein „Recht auf Vergessenwerden“?, JZ 2013, 163 (164).
[92] Hornung/Hofmann, Ein „Recht auf Vergessenwerden“?, JZ 2013, 163 (165).
[93] Schussanträge – 25.06.2013, Rs. C-131/12, Generalanwalt, Jääskinen, Rn. 81.
[94] Auf das Merkmal der Kontrolle über die Verarbeitung personenbezogener Daten stellt auch das VG Schleswig-Holstein allerdings betreffend die datenschutzrechtliche Verantwortlichkeit des Betreibers einer Facebookfanpage ab und lehnt diese im Hinblick auf den fehlenden tatsächlichen und/oder rechtlichen Einfluss des Fanpage-Betreibers in Bezug auf die mit der Nutzung einer Fanpage ausgelöste Verarbeitung personenbezogener Daten ab. Dazu VG Schleswig-Holstein, Urteil vom 09.10.2013, – 8 A 218/11 –, Rn. 87; s. dazu auch Anm. 6 v. Albrecht, jurisPR-ITR 24/2013. Der Nutzer einer Fanpage rufe unmittelbar eine Seite des Dienstes auf, so dass personenbezogene Daten ausschließlich vom Nutzer direkt zu Facebook gelangen würden. So komme der Betreiber der Fanpage mit seinem operativen Instrumentarium nicht in direkten Kontakt zu deren Nutzer und dessen personenbezogenen Daten. Seine datenschutzrechtliche Verantwortlichkeit sei dadurch ausgeschlossen. VG Schleswig-Holstein, Urteil vom 09.10.2013, – 8 A 218/11 –, Rn. 72,73.
[95] Stellungnahme 1/2008 der Artikel 29-Datenschutzgruppe, WP 148 (s.o,), S.15.
[96] Nolte/Wimmers (s.o.) GRUR 2014, 16 (25).
[97] BGH, Urteil vom 14.05.2013 – VI ZR 269/12 –, BGHZ 197, 213-224.
[98] BGH, Urteil vom 14.05.2013 – VI ZR 269/12 –, BGHZ 197, 213-224, Rn. 16-17.
[99] BGH, Urteil vom 14.05.2013 – VI ZR 269/12 –, BGHZ 197, 213-224, Rn. 30.
[100] Hoeren, ZD 2013, 407-408 (Anmerkung zum BGH Urteil VI ZR 269/12).
[101] OLG Köln, Urteil vom 10.5.2012 – I-15 U 199/11.
[102] OLG München, Urteil vom 29.09.2011 – 29 U 1747/11, Rn. 67
[103] Generalanwalt beim EuGH Cruz Villalón – C- 293/12, C- 594/12, Digital Rights Ireland u.a. (12.12.2013).
[104] Siehe Art. 1 RL 2006/24/EG.
[105] Art. 5 RL 2006/24/EG.
[106] Art. 6 RL 2006/24/EG.
[107] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 37.
[108] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 37.
[109] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 56
[110] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 39.
[111] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 54, 66.
[112] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 68.
[113] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 60, 66.
[114] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 61, 65.
[115] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 59
[116] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 62.
[117] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 63 ff.
[118] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 49.
[119] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 63.
[120] EuGH, Urt. v. 08.04.2014, Rs. C-293/12, C594/12 – „Digital Rights Ireland Ltd/Irland und Kärntner Landesregierung”, Rn. 38.
[121] BVerfG, 02.03.2010 – 1 BvR 256/08; 1 BvR 263/08 und 1 BvR 586/08.
[122] § 113a TKG verpflichtete alle öffentlich zugänglichen Telekommunikationsdiensteanbieter dazu, von ihnen bei der Nutzung ihrer Dienste (Telefon-, E-Mail- und Internetdienste) erzeugte oder verarbeitete Verkehrsdaten vorsorglich und anlasslos zu speichern. Nach sechs Monaten sollten die Daten innerhalb eines Monats gelöscht werden. § 113b TKG regelte die möglichen Zwecke, für die diese Daten verwendet werden dürfen (nämlich die Verfolgung von Straftaten, die Abwehr von erheblichen Gefahren für die öffentliche Sicherheit und die Erfüllung von nachrichtendienstlichen Aufgaben). § 113 a und § 113 b TKG wurden für nichtig erklärt
[123] BVerfG, 02.03.2010 – 1 BvR 256/08; 1BvR 263/08 und 1 BvR 586/08, Rn. 210
[124] BVerfG, 02.03.2010 – 1 BVR 256/08; 1 BvR 263/08 und 1 BvR 586/08, Rn 211.
[125] Siehe dazu Beukelmann, Vorratsdatenspeicherung so nicht verfassungsgemäß, NJW-Spezial 2010, 184.
[126] Siehe „Koalitionsvertrag zwischen CDU, CSU und SPD, 18. Legislatur- periode, S. 103, abrufbar unter https://www.cdu.de/sites/default/files/media/dokumente/koalitionsvertrag.pdf (letzter Abruf: 08.04.2014).
[127] http://www.tagesschau.de/inland/vorratsdaten-inland100.html (letzter Abruf 08.04.2014).
[128] Dazu Schwartmann, Freies Surfen, F.A.Z. vom 12.07.2013, http://www.faz.net/aktuell/politik/datenschutz-freies-surfen-12279103.html.
[129] Dazu Schwartmann, in: Schwartmann/Jaspers, Big Data – Big Responsibility, Sonderveröffentlichung zur RDV 02/2014, S. 20.