19.05.14

Google gegen Datenschutzbehörde – Das Urteil des EuGH in der Rechtssache C-131/12 vom 13. Mai 2014

Sachverhalt

Die spanische Tageszeitung La Vanguardia hatte 1998 eine Anzeige veröffentlicht, in der auf die Zwangsversteigerung eines Grundstücks von Herrn Costeja González wegen Forderungen der Sozialversicherung hingewiesen wurde.

2010 erhob Herr Costeja González bei der spanischen Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) Beschwerde.

Er beantragte

1. die Herausgeberin der La Vanguardia anzuweisen, die ihn betreffenden Seiten im Online-Archiv zu löschen, seine personenbezogenen Daten dort nicht mehr anzuzeigen oder diese besonders zu schützen, und

2. Google anzuweisen, diese Daten zu löschen oder zu verbergen, so dass sie nicht mehr in den Suchergebnissen oder den Links zur La Vanguardia erschienen.

Herr Costeja González begründete seine Beschwerde damit, dass die Angelegenheit „seit Jahren vollständig erledigt sei und keine Erwähnung mehr verdiene“.

Die AEPD lehnte die Beschwerde gegen die Herausgeberin der La Vanguardia ab. Die Veröffentlichung sei gerechtfertigt gewesen, da sie auf Anordnung des Arbeits- und Sozialministeriums erfolgt sei.

Dagegen gab die AEPD der Beschwerde gegen Google statt. Gegen diese Entscheidung erhob Google Klage bei der Audiencia Nacional, die diese Frage dem EuGH vorlegte.

Urteil

Das Urteil des EuGH behandelt drei Themenbereiche:

1. Sachlicher Geltungsbereich – Ist Google verantwortlich für den Inhalt fremder Internetseiten?

In seinem Urteil stellt der EuGH zunächst fest, dass Google als Suchmaschinenbetreiber personenbezogene Daten verarbeite, „indem er das Internet automatisch, kontinuierlich und systematisch auf die dort veröffentlichten Informationen durchforstet, […] die er dann mit seinen Indexierprogrammen „ausliest“, „speichert“ und „organisiert“, auf seinen Servern „aufbewahrt“ und gegebenenfalls in Form von Ergebnislisten an seine Nutzer „weitergibt“ und diesen „bereitstellt“. Dass die personenbezogenen Daten bereits im Internet veröffentlicht worden seien und von Google nicht verändert würden, sei unerheblich. Sonst würde die Datenschutzrichtlinie 95/46/EG „weitgehend leerlaufen“.

Außerdem sei Google auch für die Verarbeitung personenbezogener Daten verantwortlich. Verantwortlich ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Diese Entscheidung treffe der Suchmaschinenbetreiber. Wortlaut und Ziel der Datenschutzrichtlinie 95/46/EG sprächen für eine weite Auslegung des Begriffes „Verantwortlicher“, um „einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten“. Deshalb könnten Suchmaschinen auch nicht mit der Begründung vom Anwendungsbereich der Richtlinie ausgenommen werden, dass sie die auf Internetseiten Dritter veröffentlichten personenbezogenen Daten nicht kontrollieren könnten. Außerdem hätten die Suchmaschinen „maßgeblichen Anteil an der weltweiten Verbreitung personenbezogener Daten. Sie ermöglichten ihren Nutzern, sich mit Hilfe der Ergebnislisten einen „strukturierten Überblick“ über im Internet über eine bestimmte Person verfügbaren Informationen zu verschaffen und so ein „mehr oder weniger detailliertes Profil der Person“ erstellen zu können.

In Bezug auf die Verantwortlichkeit folgte der EuGH den Ausführungen des Generalanwalts Jääskinen nicht, der in seinen Schlussanträgen eine Verantwortlichkeit von Suchmaschinenbetreibern abgesehen von Ausnahmefällen ablehnte. Nach Ansicht des Generalanwalts muss berücksichtigt werden, dass Suchmaschinen hinsichtlich personenbezogener Daten auf Internetseiten Dritter eine „völlig passive[…] Vermittlungsfunktion“ ausführen und „keine Kontrolle über die auf Webseiten Dritter vorhandenen personenbezogenen Daten aus[üben]“.

2. Räumlicher Anwendungsbereich – Gilt EU-Datenschutzrecht auch für Google Inc.?

Nach dem Urteil des EuGH gilt die Datenschutzrichtlinie 95/46/EG der EU auch für die Suchmaschine von Google Inc.. Voraussetzung ist, dass die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer EU-Niederlassung des Unternehmens vorgenommen wird. Laut EuGH ist erstens die Google Inc.-Tochtergesellschaft Google Spain mit eigener Rechtspersönlichkeit und Sitz in Madrid als eine Niederlassung Googles innerhalb der EU anzusehen. Zweitens werde die Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt. Google argumentierte, dass die Suchmaschinentätigkeit ausschließlich vom Mutterunternehmen Google Inc. mit Sitz in den USA ausgeführt werde und Aufgabe von Google Spain nur unterstützende Werbetätigkeiten seien. Laut EuGH sind beide Tätigkeiten jedoch „untrennbar miteinander verbunden, da der Verkauf von Werbeflächen die Tätigkeit der Suchmaschine erst rentabel mache und umgekehrt die Werbeflächen nur aufgrund der Suchmaschinentätigkeit zu verkaufen seien.

Mit seinem Urteil stellt der EuGH klar, dass bereits die jetzige Datenschutzrichtlinie 95/46/EG unter Umständen auch von US-amerikanischen Unternehmen zu beachten ist. Der weite räumliche Anwendungsbereich des Datenschutzrechts der EU ist auch ein wichtiges Ziel der geplanten neuen Datenschutz-Grundverordnung.

3. Anspruch auf Löschung

Die Datenschutzrichtlinie 95/46/EG gibt jeder betroffenen Person gegenüber dem für die Verarbeitung Verantwortlichen das Recht auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen der Richtlinie entspricht. Der EuGH legt dazu zwei Kriterien fest:

a. Die betroffene Person braucht keinen Schaden erlitten zu haben.

b. Die in der EU-Grundrechtecharta verankerten Rechte auf Achtung des Privat- und Familienlebens sowie auf Schutz von personenbezogenen Daten der betroffenen Person überwiegen „grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse breiten Öffentlichkeit am Zugang zu dieser Information“. Aus besonderen Gründen wie der Rolle der betreffenden Person im öffentlichen Leben könne es aber im Einzelfall ein überwiegendes Interesse der Öffentlichkeit an einer Information geben.

Auch in diesem Punkt ist der EuGH anderer Ansicht als der Generalanwalt Jääskinen. Dieser lehnte in seinen Schlussanträgen ein „allgemeines Recht auf Vergessenwerden“ ab. Dieses Ergebnis sei mit der Grundrechtecharta vereinbar, da die „besonders komplexe[…] und schwierige[…] Grundrechtskonstellation“ keine über die Datenschutzrichtlinie 95/46/EG hinausgehende Besserstellung betroffener Personen durch die Anerkennung eines Rechts auf Vergessenwerden erlaube. Ansonsten „würden entscheidende Rechte wie die Freiheit der Meinungsäußerung und die Informationsfreiheit geopfert“.

Fazit

Der EuGH stärkt mit seinem Urteil die Grundrechte auf Privatsphäre und Datenschutz deutlich. In welchen Einzelfällen tatsächlich ein Recht auf Vergessenwerden anerkannt werden wird, bleibt jedoch abzuwarten.

Autor: Anne-Kathrin Baran, Fachbereich Telekommunikation