Internet-Law

Onlinerecht und Bürgerrechte 2.0

20.10.14

Was löscht Google infolge des EuGH-Urteils tatsächlich?

Um ein vieldiskutiertes Urteil des EuGH umzusetzen, das von Suchmaschinen unter bestimmten Voraussetzungen die Entfernung von personenbezogenen Suchtreffern fordert, hat Google ein Formular für einen “Antrag auf Entfernen von Suchergebnissen nach europäischem Datenschutzrecht” ins Netz gestellt, das man als Betroffener nutzen kann, um von Google die Löschung bestimmter Suchtreffer zu verlangen.

Am Beispiel eines von mir vertretenen Falles möchte ich nachfolgend darlegen, wie dieses Löschverfahren von Google tatsächlich gehandhabt wird.

Im konkreten Fall wurde die Löschung von insgesamt 21 URL’s beantragt. Die von Google gelisteten Quellen enthielten den Namen des Antragstellers und stammten überwiegend aus dem Jahre 2007, waren also ca. sieben Jahre alt. Es handelte sich fast durchgehend um journalistische Texte, die weitestgehend von bekannten Medien (u.a. ZEIT, Spiegel, Stern, Bild, Welt, BZ, Tagesspiegel, Merkur-Online, RP-Online) stammten. Die personenidentifizierende Berichterstattung als solche ist – von einer Ausnahme abgesehen – nicht beanstandet worden und im Lichte der Rechtsprechung des BVerfG und des BGH wohl auch nicht beanstandungsfähig.

Die Antwort von Google auf den Löschantrag hat mehr als sieben Wochen gedauert, was für Antragsteller, die noch über einstweiligen Rechtsschutz nachdenken, deutlich zu lang ist.

Die Antwort von Google enthält folgenden einleitenden Satz:

Gemäß Ihrem Antrag ergreift Google Inc. entsprechende Maßnahmen, um die folgenden URLs in den europäischen Versionen der Google-Suchergebnisse für Suchanfragen zu blockieren, die sich auf Ihren Namen beziehen:

Google listet also nur in der europäischen Suche aus und auch nur für Suchanfragen, die sich auf den Namen des Antragstellers beziehen. Die Suchergebnisse bleiben also im Google-Index und werden nur dann nicht mehr angezeigt, wenn der Suchbegriff (auch) aus dem Namen des Betroffenen besteht.

Google hat von den beanstandeten Treffern 18 gelöscht und bei drei Suchergebnissen eine Entfernung verweigert. Dies wurde in zwei Fällen damit begründet, dass unter den beanstandeten URL’s keine Angaben zur Person des Antragstellers zu finden seien, sondern nur zu einer anderen Person mit gleichem Namen.

In einem Fall teilte Google mit:

Nach einer Abwägung der uns bekannten Umstände sind wir zu dem Schluss gekommen, dass die Anzeige des/der von Ihnen beanstandeten Nachrichtenartikel in den Suchergebnissen von Google derzeit relevant ist und daran nach wie vor ein überwiegendes öffentliches Interesse besteht.

Das ist deshalb interessant, weil ich in diesem Fall nach den Kriterien der Rechtsprechung des BVerfG und des BGH eine durchaus erhebliche Persönlichkeitsrechtsverletzung gesehen habe und dies deshalb auch der einzige Fall war, in dem (erfolgreich) Unterlassungsansprüche unmittelbar gegen den Autor/Inhaltsanbieter des Textes geltend gemacht worden sind.

Der nach meiner Einschätzung schwerwiegendste und eindeutigste Fall einer Persönlichkeitsrechtsverletzung war bemerkenswerterweise also der einzige, in dem Google ein überwiegendes Berichterstattungsinteresse bejaht hat.

Google weist in seiner Antwort außerdem darauf hin, dass man sich an die zuständige Datenschutzbehörde wenden kann, sollte man mit der Entscheidung von Google nicht einverstanden sein.

Zusammenfassend lässt sich also festhalten, dass Google jedenfalls bei schon älterer personenidentifiziernder Berichterstattung – die im konkreten Fall aus dem Jahre 2007 stammte – auch in großem Umfang journalistische Texte auslistet.

posted by Stadler at 11:09  

9.10.14

Muss Google den betroffenen Content-Anbieter von einer Löschung aus dem Index informieren?

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich u.a. mit dem Google-Urteil des EuGH beschäftigt und diesbezüglich die bemerkenswerte Auffassung vertreten, dass Google den Content-Anbieter, dessen Inhalte ausgelistet werden, hierüber nicht informieren darf. Wörtlich heißt es in der aktuellen Entschließung der Datenschützer:

Eine Befugnis der Anbieter von Suchmaschinen, Inhaltsanbieter routinemäßig über die Sperrung von Suchergebnissen zu informieren, besteht nicht. Dies gilt auch dann, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält.

Woraus ein solches gesetzliches Verbot, den Inhaltsanbieter zu informieren, allerdings resultieren sollte, verschweigt das Papier. Insoweit sollte man zunächst berücksichtigen, dass die Entfernung eines möglicherweisen legalen Inhalts aus dem Index von Google einen erheblichen Rechtseingriff gegenüber dem Inhaltsanbieter darstellen kann. In grundrechtlicher hinsicht können sowohl die Meinungsfreiheit als auch die wirtschaftliche Betätigungsfreiheit betroffen sein. Auch das Informationsinteresse der Allgemeinheit wird beenträchtigt. Vor diesem Hintergrund muss es dem betroffenen Inhaltsanbieter ebenso wie dem datenschutzrechtlich Betroffenen möglich sein, sich (effektiv) gerichtlich gegen eine solche Auslistung durch Google oder eine andere Suchmaschine zu wehren. Allein deshalb ist ein Verbot einer Benachrichtung, entgegen der Ansicht der Datenschutzbehörden, nicht begründbar.

Speziell im Falle von Google kommt ein weiterer Aspekt hinzu. Google verfügt auf dem Suchmaschinenmarkt über eine marktbeherrschende Stellung. Das hat Auswirkungen auch im Bereich des Zivilrechts. Marktbeherrschende Unternehmen unterliegen gegenüber Unternehmen einem Abschlusszwang (Kontrahierungszwang), wenn die Ablehnung eines Vertragsschlusses gegen das kartellrechtliche Diskriminierungsverbot verstößt. Auch gegenüber Verbrauchern wird allgemein angenommen, dass ein Kontrahierungszwang besteht und ein Vertragsschluss nur aus sachlichen Gründen abgelehnt werden darf. Auch wenn es sich vorliegend nicht um einen klassischen Vertrag handelt, so liegt zumindest ein vertragsähnliches Nutzungsverhältnis vor.

Man muss also davon ausgehen, dass zumindest gegenüber dem marktberrschenden Unternehmen Google ein Anspruch auf Aufnahme in den Suchindex und auf Anzeige in der Trefferliste besteht. Ein sachlicher Grund für eine Auslistung oder Nichtaufnahme kann natürlich darin bestehen, dass das Persönlichkeitsrecht des datenschutzrechtlich Betroffenen verletzt wird. Ob das tatsächlich der Fall ist oder nicht, müssen aber letztlich die Gerichte entscheiden. Damit der betroffene Inhaltsanbieter seine Rechte aber überhaupt effektiv wahrnehmen kann, muss ihn Google von der Auslistung informieren.

Es wird ohnehin interessant sein zu sehen, ob sich auch betroffene Inhaltsanbieter gegen eine Entfernung aus dem Suchindex wehren werden. Google befindet sich letztlich in einer unangenehmen Sandwichposition. Es muss die Rechte beider Seiten gegeneinander abwägen und hat hierbei stets das Risiko zu tragen, dass eine Seite die Maßnahme von Google gerichtlich überprüfen lassen kann.

Die Haltung der Datenschutzbehörden erweist sich einmal mehr als äußerst einseitig auf den datenschutzrechtlich Betroffenen ausgerichtet. Die Datenschutzbehörden sind daher kaum als neutrale Sachwalter zu betrachten, denen man eine objektive und ausgewogene Abwägungsentscheidung zutrauen kann.

posted by Stadler at 15:24  

5.10.14

Das Spannungsverhältnis von Datenschutz und Meinungsfreiheit

Am 02.10.2014 habe ich an einer Expertenrunde mit Innenminister de Maizière zum Thema “Datenschutz im Spannungsverhältnis zu Informations- und Meinungsfreiheit” teilgenommen. Die sehr konstruktive Diskussion kann und möchte ich hier nicht zusammenfassend wiedergeben, sondern mich auf meine eigene Kernthese beschränken, die ich folgendermaßen formuliert habe:

Man sollte nicht nur darüber nachdenken, die sog. Haushaltsausnahme für Privatpersonen auszuweiten, sondern vielmehr darüber, veröffentlichte Informationen ganz generell vom Anwendungsbereich des Datenschutzrechts auszunehmen.

M.E. ist es nur so möglich, das Spannungsverhältnis zwischen Datenschutz und Meinungsfreiheit aufzulösen und zu vermeiden, dass der Datenschutz zu einem Instrument der Informationsunterdrückung wird.

Die Konsequenz einer solchen Ausnahme wäre es, dass man – im Rahmen von § 823 BGB – die klassische Grundrechtsabwägung zwischen Persönlichkeitsrecht und Meinungsfreiheit vornimmt. Mit dieser Abwägung kommt man jedenfalls bei veröffentlichten Informationen auch regelmäßig zu sachgerechten Ergebnissen.

Um zu verstehen, warum ich das fordere, muss man die Ausgangssituation und die aktuelle Entwicklung der Rechtsprechung des EuGH und die sich anschließenden rechtspolitischen Forderungen kennen.

Die Meinungsfreiheit umfasst insbesondere das Recht, sich kritisch zu bestimmten Personen und ihrem Verhalten und Wirken zu äußern. Das Datenschutzrecht beinhaltet demgegenüber zunächst das Verbot, konkrete Personen im Internet überhaupt namentlich zu nennen. Das ist jedenfalls die Auslegung des EuGH aus der Lindqvist-Entscheidung, die ich in der Dialogrunde beim Innenminister zusammenfassend erläutert habe.

Beide Rechte stehen damit nicht nur in einem natürlichen  Spannungsverhältnis, sondern stehen sich vielmehr diametral gegenüber.

Bei der Frage wie dieser Gegensatz aufzulösen ist, können wir auf europäischer Ebene derzeit eine Entwicklung beobachten, die auf einen Regelvorrang des Datenschutzrechts und damit zwangsläufig auf ein Zurücktreten der Meinungs- und Informationsfreiheit hinausläuft. Der EuGH hat in der vielkritisierten Google-Entscheidung postuliert, dass der Datenschutz im Allgemeinen Vorrang vor dem Interesse der Internetnutzer auf Informationszugang hat.  Das wurde nunmehr unter italienischer Ratspräsidentschaft dankbar aufgegriffen und soll in die geplante Datenschutzgrundverordnung aufgenommen werden. Nach dem Vorschlag eines neuen Erwägungsgrundes 53a – danke an Carlo Piltz für den Hinweis – soll das Recht des datenschutzrechtlich Betroffenen grundsätzlich Vorrang vor dem Interesse der Internetnutzer auf Informationszugang haben. Von dieser Regel soll nur in besonderen Ausnahmefällen abgewichen werden.

Eine solche Regelung würde allerdings nichts anderes als einen Bruch mit der jahrzehntelangen Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs für Menschenrechte darstellen und einen Paradigmenwechsel hin zu einem Supergrundrecht auf Datenschutz, was zwangsläufig mit einer politisch gewollten generellen Einschränkung der Meinungs- und Informationsfreiheit verbunden wäre.

Weil ich einen derart meinungsfeindlichen Ansatz in einer freiheitlichen Informationsgesellschaft für gänzlich inakzeptabel halte, kann aus meiner Sicht die einzige sachgerechte Lösung darin bestehen, in der Datenschutzgrundverordnung veröffentlichte Informationen vom Anwendungsbereich des Datenschutzrechts auszunehmen bzw. ein erweitertes Medienprivileg zu schaffen, das sämtliche veröffentlichte Informationen umfasst, unabhängig davon, ob sie von klassischen Medien stammen oder von Privatpersonen.

Man muss die aktuelle Entwicklung jedenfalls sehr aufmerksam beobachten, denn es gibt auf europäischer Ebene meinungsfeindliche Strömungen, die das Datenschutzrecht tatsächlich als Instrument zur Beschneidung der Meinungs- und Informationsfreiheit einsetzen wollen.

Update vom 06.10.2014:
Wie unsachlich die Diskussion auf EU-Ebene gerade läuft, zeigt eine Reaktion des Europaabgeordneten Jan Philipp Abrecht auf Twitter, der mir schreibt, mein Vorschlag sei immer zu Recht abgelehnt worden, weil es nicht mit der Menschenwürde vereinbar sei, das Recht auf Selbstbestimmung und Privatsphäre durch einen Öffentlichkeitsvorrang zu ersetzen.

Ich habe allerdings gar keinen Öffentlichkeitsvorrang gefordert, sondern nur eine ergebnisoffene Grundrechtsabwägung im Einzelfall, weil auf EU-Ebene gerade ein gegenläufiger Regelvorrang des Datenschutzrechts vor der Meinungsfreiheit propagiert wird, der übrigens kaum mit der Menschenrechtskonvention und der Grundrechtecharta vereinbar wäre.

Man kann meinen Vorschlag dogmatisch auch als weitreichendes Medienprivileg ausgestalten, das neben den klassischen Medien jegliche Veröffentlichung im Netz, auch durch Private umfasst.

posted by Stadler at 15:09  

23.9.14

Das Datenschutzrecht schützt nicht vor einer Leistungsbewertung im Internet

Ärzte können nicht verhindern, im Internet bewertet zu werden. Das Datenschutzrecht bietet keine Handhabe dafür, nicht in ein Bewertungsportal aufgenommen zu werden. Das hat der BGH heute entschieden (Urteil vom 23. September 2014, Az.: VI ZR 358/13).

In der Pressemitteilung des BGH ist folgender Satz besonders bemerkenswert:

Das Recht des Klägers auf informationelle Selbstbestimmung überwiegt das Recht der Beklagten auf Kommunikationsfreiheit nicht.

Der BGH sieht – anders als zuletzt der EuGH – keinen Vorrang datenschutzrechtlicher Vorschriften vor dem Recht auf Meinungs- und Informationsfreiheit. Auch andere zentrale Passagen der Pressemitteilung des BGH sind lesenswert:

Die Beklagte ist deshalb nach § 29 Abs. 1 Bundesdatenschutzgesetz (BDSG) zur Erhebung, Speicherung und Nutzung sowie nach § 29 Abs. 2 BDSG zur Übermittlung der Daten an die Portalnutzer berechtigt. Zwar wird ein Arzt durch seine Aufnahme in ein Bewertungsportal nicht unerheblich belastet. Abgegebene Bewertungen können – neben den Auswirkungen für den sozialen und beruflichen Geltungsanspruch des Arztes – die Arztwahl behandlungsbedürftiger Personen beeinflussen, so dass er im Falle negativer Bewertungen wirtschaftliche Nachteile zu gewärtigen hat. Auch besteht eine gewisse Gefahr des Missbrauchs des Portals.

Auf der anderen Seite war im Rahmen der Abwägung aber zu berücksichtigen, dass das Interesse der Öffentlichkeit an Informationen über ärztliche Leistungen vor dem Hintergrund der freien Arztwahl ganz erheblich ist und das von der Beklagten betriebene Portal dazu beitragen kann, einem Patienten die aus seiner Sicht erforderlichen Informationen zur Verfügung zu stellen. Zudem berühren die für den Betrieb des Portals erhobenen, gespeicherten und übermittelten Daten den Arzt nur in seiner sogenannten “Sozialsphäre”, also in einem Bereich, in dem sich die persönliche Entfaltung von vornherein im Kontakt mit anderen Personen vollzieht. Hier muss sich der Einzelne auf die Beobachtung seines Verhaltens durch eine breitere Öffentlichkeit sowie auf Kritik einstellen. Missbrauchsgefahren ist der betroffene Arzt nicht schutzlos ausgeliefert, da er von der Beklagten die Löschung unwahrer Tatsachenbehauptungen sowie beleidigender oder sonst unzulässiger Bewertungen verlangen kann. Dass Bewertungen anonym abgegeben werden können, führt zu keinem anderen Ergebnis. Denn die Möglichkeit zur anonymen Nutzung ist dem Internet immanent (vgl. § 13 Abs. 6 Satz 1 des Telemediengesetzes [TMG])

Quelle: PM des BGH vom 23.09.2014

posted by Stadler at 20:47  

19.9.14

Der mittlerweile unbedeutende Streit der Datenschützer über IP-Adressen

Ob IP-Adressen als personenbezogene Daten im Sinne des Datenschutzrechts anzusehen sind, ist ein alter Streit, der seit Jahren geführt wird und der nunmehr auf Betreiben des Piratenpolitikers Patrick Breyer vor dem BGH gelandet ist. Und so wie es aussieht, könnte er von dort aus auch noch zum EuGH wandern. Auch wenn man diese Diskussion als Jurist für spannend halten kann, sollte man doch erkennen, dass sie ihre praktische Bedeutung in den letzten Jahren eingebüßt hat. Warum, das erklärt Alvar Freude in seinem Blog.

Aktuelle Tracking-Konzepte wie das Browser-Fingerprinting kommen ohne IP-Adressen aus. Für die gerne als Datenkraken verschrienen Unternehmen wie Google, Facebook oder Amazon spielen IP-Adressen keine wesentliche Rolle mehr, wenn es um die Ermittlung des Nutzerverhaltens geht.

Ganz anders sieht es allerdings im Bereich der Strafverfolgung oder bei der Ermittlung von Filesharern aus. Dort bildet die IP-Adresse, die im Zusammenhang mit einem bestimmten Nutzerverhalten zu einem bestimmten Zeitpunkt geloggt wurde, den zentrale Anknüpfungspunkt um mithilfe des Providers den dahinterstehenden User zu ermitteln. Insoweit ist es aber unerheblich, ob man die IP-Adresse als Datum mit absolutem oder nur relativem Personenbezug betrachtet. Denn das Gesetz sieht für diese Ermittlungsmaßnahmen ohnehin ausdrückliche Gestattungstatbestände vor.

Das höchste deutsche Zivilgericht wird also einen Streit entscheiden, der kaum mehr praktische Bedeutung hat, auch wenn ihn Juristen weiterhin eifrig führen.

posted by Stadler at 17:18  

19.9.14

E-Mail-Werbung und Auskunft über die zu Werbezwecken gespeicherten Daten

Das Amtsgericht Leipzig hat mit Urteil vom 18.07.2014 (Az.: 107 C 2154/14) entschieden, dass die Zusendung von E-Mails mit werbendem Inhalt an einen Rechtsanwalt, der aus berufsrechtlichen Gründen seine E-Mails sorgfältig lesen muss, als Eingriff in dessen eingerichteten und ausgeübten Gewerbebetriebs zu bewerten und damit unzulässig sind. Das gilt auch dann, wenn für eine Fortbildungsbildungsveranstaltung geworben wird.

Das ist in der Sache wenig überraschend und bereits sehr häufig ähnlich entschieden worden.

Die Entscheidung ist darüber hinaus aber auch deshalb interessant, weil sie sich mit dem Umfang des datenschutzrechtlichen Auskunftsanspruchs nach § 34 BDSG auseinandersetzt.

Dem Amtsgericht genügt als Auskunft insoweit die Mitteilung, dass die Kontaktdaten (Name, E-Mail-Adresse) dem Internet entnommen wurden und zum Zwecke der Übermittlung von Informationen über Kongressveranstaltungen gespeichert wurden. Ob das in dieser Form wirklich ausreichend ist, kann man bezweifeln. Meines Erachtens muss hierzu jedenfalls die konkrete Quelle aus der die Daten stammen und entnommen wurden genannt werden. Auch die Ansicht des AG Leipzig, es sei dem Antwortschreiben konkludent zu entnehmen, dass die Daten nicht an Dritte übermittelt worden sind, halte ich für problematisch. Das würde nämlich dann bedeuten, dass immer dann, wenn auf das Auskunftsbegehren bzgl. einer Weitergabe personenbezogener Daten geschwiegen wird, dies den Erklärungsinhalt hätte, dass keine Weitergabe erfolgt ist. Man wird nach dem Sinn und Zweck des Gesetzes insoweit schon eine ausdrückliche Auskunft erwarten dürfen.

posted by Stadler at 11:43  

5.9.14

OVG Schleswig bestätigt: Betreiber von Facebook-Fansites haften nicht für Datenschutzverstöße von Facebook

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein hatte von den Betreibern von Facebook-Fanpages verlangt, diese Seiten wegen datenschutzrechtlicher Verstöße zu deaktivieren.

Diese Anordnung des ULD hat das Verwaltungsgericht Schleswig aufgehoben. Das Oberverwaltungsgericht hat die Entscheidung des VG jetzt mit Urteil vom 05.09.2014 (Az.: 4 LB 20/13) bestätigt. Wegen der besonderen Bedeutung der Angelegenheit wurde die Revision zum Bundesverwaltungsgericht zugelassen. In der Pressemitteilung des OVG heißt es zur Begründung der Entscheidung u.a.:

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich, denn er hat keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Dass er von Facebook anonyme Statistikdaten über Nutzer erhält, begründet keine datenschutzrechtliche Mitverantwortung. Das ULD als Datenschutzaufsichtsbehörde darf den Fanpagebetreiber deshalb nicht zur Deaktivierung seiner Fanpage verpflichten. (…)

Nach Auffassung des Oberverwaltungsgerichts war diese Anordnung des ULD auch bereits deshalb rechtswidrig, weil vor einer Untersagungsverfügung an einen datenschutzrechtlich Verantwortlichen erst ein abgestuftes Verfahren einzuhalten ist, in dem zunächst eine Umgestaltung der Datenverarbeitung angeordnet und ein Zwangsgeld verhängt werden muss. Eine rechtlich grundsätzlich denkbare Ausnahmesituation hiervon lag nicht vor.

posted by Stadler at 15:41  

26.8.14

Verbesserte zivilrechtliche Ahndung von Datenschutzverstößen?

Das geplante “Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts” sieht die Schaffung einer Verbandsklagebefugnis vor.  Danach sollen alle datenschutzrechtlichen Vorschriften, die für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eines Verbrauchers durch einen Unternehmer gelten, als Verbraucherschutzgesetze im Sinne des § 2 Absatz 1 UKlaG gelten. Die Folge ist eine Klagebefugnis von Verbraucherschutzverbänden gegen Datenschutzverstöße von Unternehmen.

Die Deutsche Gesellschaft für Recht und Informatik (DGRI) kritisiert das Gesetzesvorhaben in einer Stellungnahme mit dem Argument, Datenschutz sei kein Verbraucherschutz, sondern vielmehr ein grundrechtsgleiches Recht, dessen Überwachung deshalb unabhängigen Kontrollstellen vorbehalten sein muss – also den bereits existenten Datenschutzaufsichtsbehörden – und  nicht Verbraucherschutzverbänden mit kommerziellen und/oder einseitig dem Verbraucherschutz untergeordneten Interessen überlassen werden darf.

Die Kritik erscheint mir zwar im Ansatz zutreffend, aber in ihrer Schlussfolgerung falsch zu sein. Datenschutz ist sicherlich kein Verbraucherschutz. Wenn man ihn allerdings wie die DGRI als grundrechtsgleiches Recht begreift, wofür nicht zuletzt die EU-Grundrechtecharta spricht, dann kann die Forderung eigentlich nur lauten, effektiven Individualrechtsschutz zugunsten der betroffenen Bürger zu schaffen. Vielleicht ist der Staat zum Schutz des Grundrechts geradezu gehalten, Individualrechtsschutz vorzusehen, der Unterlassungs- und Schadensersatzansprüche umfasst. Die Kontrolle durch unabhängige Aufsichtsbehörden – die es ja bereits gibt – stellt insoweit kein Surrogat dar.

Auch die weitere Aussage der DGRI, die vorhandenen Rechtsinstrumente zur Verfolgung datenschutzrechtlicher Verstöße seien ausreichend und einem behaupteten Vollzugsdefizit können allenfalls durch Verbesserung der Ausstattung der Aufsichtsbehörden begegnet werden, dürfte nicht nur wegen des fehlenden Individualrechtsschutzes diskutabel sein.

Denn die Aufsichtsbehörden haben derzeit (nur) die in § 38 BDSG festgelegten Befugnisse, die in der Praxis häufig keine effektiven Sanktionen ermöglichen. Speziell in diesem Punkt geht die geplante Datenschutzgrundverordnung deshalb zu recht über das bisherige Sanktionssystem hinaus.

Mein Fazit lautet daher, dass eine effektive zivilrechtliche Ahndung von Datenschutzverstößen voraussetzen würde, dass man konkrete Individualansprüche auf Unterlassung- und Schadensersatz schafft. Die Bundesregierung geht mit der Schaffung einer Verbandsklagebefugnis lediglich einen halbherzigen Mittelweg.

posted by Stadler at 21:32  

22.8.14

Bericht eines Teilnehmers über die Diskussionsrunde “Forum digitale Gesellschaft” bei Innenminister de Maizière

Rigo Wenning (Legal Counsel des W3C) hat am 21.08.2014 an einer Expertenrunde im Innenministerium zum Thema “Big Da­ta – ei­ne Her­aus­for­de­rung für den Datenschutz” teilgenommen. In diesem Gastbeitrag für internet-law berichtet er aus seiner Sicht über diese Gesprächsrunde.

Auf Einladung von Bundesinnenminister Thomas de Maizière traf sich am 21. August eine illustre Runde hochrangiger Vertreter aus Industrie und Forschung im Innenministerium, um über big data und Datenschutz zu reden. Ein Video der Veranstaltung ist verfügbar. Der offizielle Berichtstext wird der Veranstaltung aber nur teilweise gerecht.

Eröffnet wurde die vom Minister moderierte Runde mit der Frage, wie sich big data eigentlich definiere, wenn man es mit dem altbackenen Begriff der Statistik vergleicht. Der Rückgriff auf die Statistik war rechtlich intelligent. Alle kritisieren derzeit die Digitale Agenda Deutschland und die dafür zuständigen Minister. Entgegen der Kritik zu Sigmar Gabriel bei Netzpolitik.org muss zuerst gesagt werden, dass de Maizière inhaltlich beim rechtlichen Datenschutz kaum Schwächen gezeigt hat. Dass rechtlich die richtigen Themen angesprochen wurden, ist nicht zuletzt auch sein Verdienst.

Volker Markl vom DFKI erklärte uns, was big data ausmacht: Die lernfähigen Systeme, die Dynamik und Masse der Daten und die neuartigen Abfragetechniken. Björn Bergh ergänzte mit einer Erklärung, wie medizinische Datenanalysen innerhalb eines Klinikums datenschutzrechtlich realisiert werden. Schwierig wird es insbesondere, wenn Daten aus verschiedenen Institutionen für die Medizinforschung europaweit zusammengeführt werden sollen. Wrobel und Eckert, beide von Fraunhofer, komplettierten das Bild. Alle hatten eine enge Brille auf, die von ihrem Fachgebiet und ihren Interessen bestimmt war. Mir fehlte besonders die Erwähnung des Internet of Things und der notwendigen Interoperabilität der Daten, um überhaupt solche Datenmengen zu einer kritischen Masse zusammenzufassen. Man hatte das Gefühl, es gehe um data warehouse und data mining, also alten Wein in neuen Schläuchen. Das blieb auch in der gesamten Debatte so, mit Ausnahme der Beiträge von crowdflow.com. Insofern kam beim Minister an, dass die Datenbanken jetzt größer sind. Man könne nun neue Dinge aus den größeren Datenbanken abfragen. Es gehe bei big data letztlich darum, dass man alte Daten neu befragt. In einem Satz, big data und die Zweckbindung personenbezogener Datensammlung sind Feinde. Ausnahme war nur, dass ein Startup ein Problem mit der Datengewinnung hat und damit gegen-UBER einen Nachteil habe.

Die Frage nach dem wirtschaftlichen Nutzen von big data war eine berechtigte. Die Forscher konnten sehr interessante Dinge berichten und hoffen weiter auf bahnbrechende Erkenntnisse durch big data-Analysen. Die Frage an die Wirtschaft wurde aus meiner Sicht weniger überzeugend beantwortet und verlor sich teilweise im Klein-Klein der konkreten Datenschutz-Petita. Es gab das übliche Argument zur Optimierung der Geschäftsprozesse. Was bei big data neu ist, kam nicht wirklich heraus. Das kann auch daran liegen, dass sich alle in der Runde sehr schnell über die Bedeutung von big data für Dinge wie Industrie 4.0 einig waren.

Dann ging es um Lösungen und ich kam nun ein einziges Mal in 3 Stunden zu Wort. Ich habe dann versucht das Boot ein wenig zum Schaukeln zu bringen. In technischer Hinsicht bestand keine Hoffnung, denn die Runde war nicht „Restful“. Aber zu rechtlichen Themen ist mir ein Aufrütteln in zweierlei Punkten gelungen: Zuerst habe ich meine Fundamentalkritik am Datenschutz angebracht, und das generelle Verbot mit Erlaubnisvorbehalt im Datenschutz als ein grundsätzliches Problem entlarvt.

Dann habe ich angeboten, dass die Datenschutzverordnung mittelfristig durch eine Öffnungsklausel für akzeptierte technische Standards eine gewisse Rechtssicherheit für innovative Unternehmen und Investoren schaffen kann. So funktioniert letztlich auch Web-Standardisierung. Es entsteht ein level-playing-field, in dem alle sich an gewisse Regeln halten müssen, und die eine sichere Basis für weitere Innovation liefert. Nehmen wir nochmal crowdflow.com. Deren datenschutzrechtliche Sorge ist vor allem das Sammeln von Positions- oder Geodaten. Diese kommen personenbezogen an und werden dann auf die notwendige Information kondensiert. Der Rest wird – inklusive des Personenbezuges – gelöscht. Das machen fast alle Dienste, die englisch unter dem Stichwort „location based services“ zusammengefasst werden. Ein technischer Standard zur Frage, was wann gelöscht werden muss, würde hier enorm helfen. Die technische Beschreibung hat keinen Platz in der Datenschutzverordnung selbst, und sollte in einem Standard geregelt werden. Deswegen braucht man eine Ermächtigung und einen Prozess, die es der Europäischen Kommission erlauben, eine von allen akzeptierte, technische Lösung, nach Durchsicht durch die Datenschützer, rechtlich verbindlich zu machen.

Der Minister nannte das dann „Schneisen schlagen“, was ein innovatives Potential zu Begrifflichkeiten seinerseits zeigte. Das wurde von der Runde aufgenommen und weiter entwickelt. In der IETF hätte man von „rough consensus“ gesprochen. Es sollte nun versucht werden, das Albrecht-Amendment 108 zu retten, oder den Ratsentwurf um eine vergleichbare Lösung zu ergänzen. Das Innenministerium hat hierzu durchaus eigene Vorstellungen. Die Hoffnung besteht darin, dass ein erster Ansatz geschafft ist. Denn die Aufmerksamkeit für das Problem wurde erzielt. Also hat sich der 18-Stunden-Trip nach Berlin, trotz einer 6-Minuten-Intervention, am Ende gelohnt.

Der erste Punkt, die Fundamentalkritik, wurde von Matthias Cornils erneut in die Diskussion eingeführt. Leute, die Popcorn mögen, sollten sich im Video seine fulminante Intervention ansehen. Denn auf „Verbot mit Erlaubnisvorbehalt“ reagierte er mit Masings Fundamental-Kritik am Datenschutz nach der Entscheidung des EuGH. Zur Google-Entscheidung des EuGH hatte der Blogherr eine Sammlung angelegt. Aus meinen Beiträgen zum Thema hatte ich eine eigene Fundamentalkritik abgeleitet, die aber der von Masing sehr ähnlich ist. Erstaunlich, dass ich ohne von seinem Vermerk zu wissen, so nahe am Ergebnis von Masing bin.

posted by Stadler at 19:45  

12.8.14

Eine Replik auf den Beitrag “Die 5 Irrtümer zum Recht auf Vergessenwerden” bei netzpolitik.org

Gastbeitrag von Rigo Wenning (Legal Counsel, W3C)

Auch Irrtümer können irrtümlich also solche bezeichnet werden

KirstenF reicht es. Sie findet die Berichterstattung der Medien zum Google-Urteil des EuGH mehr als kurios. Für alle, denen die Entscheidung (C-131/12) noch kein Begriff war, sei hier auf die Sammlung der bisherigen Beiträge verwiesen werden, aber auch auf die Meinung des Blogherren und meinen eigenen Beitrag.

Nun mögen wir alle KirstenF, weil sie als Direktor von EDRi in Brüssel für unser aller Freiheit kämpft. Und natürlich ist der Datenschutz in Europa ein Menschenrecht, das es zu verteidigen gilt. Und es ist klar, dass gerade Europa berufen ist, uns vor der Arroganz multinationaler Unternehmen zu schützen. Doch Thomas und ich hatten uns in Twitter zu weit aus dem Fenster gelehnt und ihren Beitrag kritisiert. Das ließ sich nicht mittels 140 Zeichen auflösen und wir bekamen mehrere Aufforderungen, unsere Kritik doch besser zu substanziieren. Das versuche ich jetzt, weil Thomas gerade keine Zeit hat.

Vorab: Löschen und Entfernen

Der ganze Blog-Eintrag bei Netzpolitik basiert zunächst auf der Unterscheidung zwischen Löschen und Links entfernen. Der EuGH hätte doch gar nicht gesagt, Google müsse den Link löschen, sondern nur entfernen. Bei einer so feinen Unterscheidung verläßt mich mein Sprachgefühl und ich schaue in den Duden. Dort werden dem Verb löschen die Funktion Brandbekämpfung und die Funktion beseitigen/tilgen zugesprochen. Nun schauen wir auf entfernen im Duden und es gibt die Bedeutung weggehen/verschwinden und beseitigen/dafür sorgen, dass etwas nicht mehr da ist. Da in beiden Wörtern die Funktion beseitigen vom Duden angeführt wird, könnte man durchaus vertreten, dass löschen und entfernen synonym gebraucht werden können.

1. Die Seiten bleiben online

Aber Kirsten will uns etwas anderes sagen. Nur weil etwas nicht mehr im Google ist, ist es doch nicht nicht mehr da. Der EuGH hatte ja entschieden, dass die Suchmaschine eine eigene Verletzung des Schutzgutes Privatsphäre bewirkt. Die Seite hatte ja ein aus der Versteigerungsanordnung abgeleitetes Recht auf Veröffentlichung, das der EuGH gar nicht überprüfen konnte, weil es nicht Teil der Vorlage war. Insofern ist Kirsten hier nicht ganz sauber, wenn sie sagt, die Seite bleibe doch online. Sie ist online, weil die AEPD bei ihrer Aktion nur Google im Auge hatte und eine echte Lösung weder angestrebt noch gewollt war.

Mit Kirsten finde ich kurios, wie die Berichterstattung unkritisch den Lautsprechern aus dem Google-Eco-System folgt. Aber der Lärm war absehbar. Jimmy Wales halte ich allerdings eher für unverdächtig. Dennoch erhebt sie im Punkt 1 einen Unfall des Prozesses C-131/12 zum Prinzip. Die Seite blieb ja deswegen online weil die AEPD die Grundlage für die Veröffentlichung eines Archivs nach 12 Jahren immer noch in der Versteigerung sah. Das war grober Unfug. Daraus kann man kein Prinzip machen.

2. Die Suchergebnisse werden nicht gelöscht

In Aussage Nummer 2 kulminiert dann die ganze Sinnlosigkeit der Entscheidung C-131/12 und es zeigt sich, warum die Entscheidung darüber hinaus gefährlich ist. Der Link sei ja nicht gelöscht, denn Google habe das noch im Index. Er sei nur entfernt. Das wiederum kommt auf das Auge desjenigen Betrachters an, für den beseitigt wurde. Für uns, nicht für Google oder andere Datenbanken. Das hat Anja Seeliger im Perlentaucher als Recht für die herrschende (und zahlungskräftige) Klasse interpretiert. Wenn der EuGH weniger Google und mehr Suchmaschine gedacht hätte, hätte er bemerkt, dass alle anderen Suchmaschinen den Link noch haben. Der satirische Gipfel des Urteils liegt gerade darin, dass die Dynamik der so entstandenen Regeln völlig verkannt wird. Nun macht Kirsten den Deckel zu. Denn das Gericht hatte selbst die Existenz des Links bei Google als Verletzung des Schutzguts bezeichnet. Das System Google kann aber den Link nur unterdrücken, wenn das System noch weiß, was es unterdrücken muss. Das heißt Google braucht den Link um ihn nicht zu zeigen. Wo ist dann aber das Recht auf Vergessen? Im Urteil ging es doch darum, dass Google Daten nicht verarbeiten darf, wenn es keinen Grund für die Verarbeitung gibt. Der Datenschutz ist bekanntermaßen ein generelles Verbot mit Erlaubnisvorbehalt. Wenn Google kein Recht hat den Link auszuwerfen, wo kommt dann das Recht her, den Link weiter vorzuhalten und zum Zwecke der Unterdrückung der Anzeige in den Suchergebnissen weiter zu verarbeiten? Das hat weder der EuGH noch sonst jemand thematisiert. Das macht Google einfach so, weil es nicht anders geht. Aus dem Faktischen wird auf die Rechtmäßigkeit geschlossen. Die Aussage Nummer 2 ist also ein Ausdruck der völlig untauglichen Datenschutzgesetze, aber sicher kein Irrtum der Medien.

3. Die Seite bleibt auffindbar

Die Suche sei nur nach dem Namen nicht mehr möglich, wohl aber könne die Seite anhand anderer Kriterien gefunden werden. Das ist ein netter Vorschlag. Wenn Google hier mitliest, sollten die sich den Vorschlag genau ansehen. Mit dem Urteil und dem Recht ist er kaum vereinbar. Das Gericht sagt, die betreffenden Informationen und Links der Ergebnisliste müssen gelöscht werden. Das ist auch konsequent. Wie oben schon ausgeführt, hat Google ja gar kein Recht mehr, die Daten überhaupt zu verarbeiten. Denn selbst wenn nur mit Irish bank robberies gesucht wird, muss doch Gerry Hutch verarbeitet werden. Herr Costeja González sowie die spanische und die italienische Regierung vertreten die Auffassung, die betroffene Person könne der Indexierung der sie betreffenden personenbezogenen Daten durch eine Suchmaschine widersprechen. Das ist die Frage, die das Gericht mit Ja beantwortet hat. Herr Costeja González kann also nicht der Suche mit seinem Namen widersprechen, sondern nur der Indexierung bestimmter Informationen. Kirsten beschreibt schön, wie wir uns den Datenschutz in der Umsetzung schön reden. Wir wollen alle guten Datenschutz und Kirstens Vorschläge sind teilweise zielführend. Allerdings finden sie keine Stütze im Recht. Das Argument aus dem irrtümlichen Irrtum 3 kann auch nicht richtig sein, wenn man mit Lorena Jaume-Palasí der Meinung ist, es gäbe keine teilweise Öffentlichkeit. Die Grenzen der Öffentlichkeit ließen sich zwar gegenüber der Privatsphäre und dem Individuum definieren. Umgekehrt aber sei ihre Reichweite nicht bestimmbar. Man könne ihr keine maximale Grenze vorschreiben. Das ist mit der irrtümlichen Lösung aus Aussage 3 nicht vereinbar.

4. Die Ergebnisse werden nur in den europäischen Versionen entfernt

Was Kirsten hier als Errungenschaft feiert, ist in Wirklichkeit eine Verhöhnung des Gerichts durch Google. Der EuGH hatte festgestellt, dass die Verarbeitung personenbezogener Daten durch die Suchmaschine ein datenschutzrechtlich relevanter Vorgang ist. Der EuGH hat festgestellt, dass Google Inc. in Kalifornien verantwortlich ist, weil es eine Filiale zum Einsammeln von Werbegeld in Spanien und anderswo in der EU unterhält. Wo bitte kommt dann die Chuzpe her zu glauben, nur die Seite google.de oder google.fr seien betroffen? Der EuGH hat eine Verpflichtung gegenüber einer juristischen Person festgestellt, nicht gegenüber irgendwelchen Instantiierungen der Software die diese juristische Person unterhält. Und diese juristische Person darf in Europa erhobene Daten künftig nicht mehr verabreiten. Nirgendwo. Man darf auf die Vollstreckungsmaßnahmen des spanischen Gerichts gespannt sein. Normalerweise würde in einem solchen Fall ein Zwangsgeld im Tagessatz-Verfahren angewendet. Stay tuned.

5. Das Recht auf Vergessenwerden ist keine neue Erfindung

Natürlich. Jeder der einmal mit Strafrecht zu tun hatte, jeder der schon Punkte in Flensburg (oder in Paris, wo sie heruntergezählt werden) hatte, weiß, dass das Recht multiple Regeln des Vergessens kennt. Was aber soll die Apologetik hinsichtlich einer Entscheidung, die zutiefst datenschutz-feindlich ist, weil sie den Datenschutz in eine tiefe Krise stürzen wird? Es haben ja alle hurra gerufen als Google eins drauf bekam. Dieser Ausdruck kollektiver Genugtuung zeigt ja schon, wie unser Verhältnis zum Don’t be evil – Konzern ist. Das Gericht hat den kranken Datenschutz in einem von der AEPD bewusst krank gemachten Fall einfach 1 zu 1 angewendet. Und jetzt regnet es. Wen wundert das?

Natürlich wollen wir guten Datenschutz. Ich bin froh, dass es den Datenschutz gibt. Aber der Datenschutz wandelt sich gerade von der gütigen Fee zum Kafka-Monster. Das Urteil hat ein Hinterfragen dieser Entwicklung ausgelöst. Und das ist gut so. Wir sollten also positiv eine Suchmaschinen-Neutralität fordern. Und ein Prinzip, das gerade keine teilweise Öffentlichkeit kennt. Wir sollten uns mit den Auswirkungen von elektronischen Archiven beschäftigen, die ja verfügbar sind. Wie verfügbar sollen sie sein? Wir sollten Google schon sagen, dass sie sich an die Regeln des Marktes halten müssen, in dem sie agieren. Aber der spanische Versuch ein Exempel zu statuieren, war wohl eher ein Rohrkrepierer. Und Rohrkrepierer sind laut und schreien Zensur, aber das ist auch falsch. Insofern hat Kirsten wieder recht.

posted by Stadler at 18:19  
Nächste Seite »