Internet-Law

Onlinerecht und Bürgerrechte 2.0

11.6.14

Verfassungsschutz liefert immer mehr Daten an US-Dienste

Nach einem Bericht der SZ hat das Bundesamt für Verfassungsschutz die Zusammenarbeit mit den amerikanischen Geheimdiensten ausgeweitet und übermittelt immer mehr Daten an NSA, CIA und Co. Bereits im letzten Jahr hatte ich hier die Frage gestellt, was der deutsche Verfassungsschutz an die NSA liefert. Anlass meiner damaligen Frage war die Aussage des Präsidenten des Berliner Verfassungsschutzes Bernd Palenda auf einer Podiumsdiskussion, seine Behörde würde selbst nichts an die NSA liefern, sondern nur an das Bundesamt. Was dort mit den Daten passiert, wisse er nicht.

Art. 19 Abs. 3 BVerfSchG erlaubt die Weitergabe personenbezogener Daten an ausländische öffentliche Stellen, wenn die Übermittlung zur Erfüllung der Aufgaben des Bundesamts oder zur Wahrung erheblicher Sicherheitsinteressen des Empfängers erforderlich ist. Die Übermittlung muss aber unterbleiben, wenn auswärtige Belange der Bundesrepublik Deutschland oder überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen. Die Vorschrift schränkt außerdem das Fernmeldegeheimnis des Art. 10 GG nicht ein, weshalb es sich nicht um Daten handeln darf, die aus einer TK-Überwachung stammen. Insoweit bietet die Vorschrift keine ausreichende Rechtsgrundlage.

Die Frage ist diesbezüglich dann weiterhin ob und inwieweit eine Datenübermittlung nach § 4 Abs. 4 G10-Gesetz stattfindet. Der BND und die Verfassungsschutzbehörden halten diese Vorschrift offenbar für eine ausreichende Rechtsgrundlage für eine Datenübermittlung an ausländische Stellen. Dem hat der Verfassungsrechtler Matthias Bäcker unlängst in einer Anhörung des NSA-Untersuchungsausschusses widersprochen und klargestellt, dass diese Vorschrift keine Datenübermittlung an ausländische Geheimdienste gestattet.

Es muss vor diesem Hintergrund davon ausgegangen werden, dass die Datenübermittlung durch das Bundesamt für Verfassungsschutz an ausländische Dienste in nennenswertem Umfang rechtswidrig ist. Auf Aufklärung seitens der Bundesregierung – die diese Praxis kennt und billigt – oder des Bundestages werden wir vermutlich aber erneut vergeblich warten.

posted by Stadler at 21:41  

4.6.14

Google ändert Löschformular

Vor einigen Tagen habe ich hier über das von Google bereitgestellte Formular für einen “Antrag auf Entfernung aus den Suchergebnissen gemäß Europäischem Datenschutzrecht berichtet und darüber, dass die Forderung von Google, der Antragsteller müsse eine Ausweiskopie in digitaler Form übermitteln, nicht mit dem geltenden Recht vereinbar ist.

Google hat mittlerweile auf die, nicht nur von mir geäußerte Kritik reagiert und das Löschformular insoweit abgeändert. Das Formular verlangt nunmehr keine Ausweiskopie mehr, sondern nur noch “eine lesbare Kopie eines Sie identifizierenden Dokuments“. Damit will man offenbar die explizite Forderung nach einer Ausweiskopie vermeiden. Welche indentifizierenden Dokumente Google meint und ausreichen lässt, ergibt sich daraus freilich nicht.

posted by Stadler at 17:18  

30.5.14

Google stellt Formular für “Antrag auf Entfernung aus den Suchergebnissen gemäß Europäischem Datenschutzrecht” online

Google hat auf das umstrittene Urteil des EuGH, nach dem Google unter bestimmten Voraussetzungen verpflichtet sein kann, Suchergebnisse, die auf personenbezogene Daten verweisen zu löschen, reagiert und ein Formular für einen Löschantrag ins Netz gestellt.

Google gibt hierzu an, dass es jede Anfrage individuell prüfen und zwischen den Datenschutzrechten des Einzelnen und dem Recht der Öffentlichkeit auf Auskunft und Informationsweitergabe abwägen wird.

Google verlangt zur Authentifizierung die Übersendung einer Ausweiskopie des Betroffenen. Das ist bereits deshalb problematisch, weil nach dem Personalausweisgesetz Ausweiskopien nicht verlangt werden können. Insoweit hat das Verwaltungsgericht Hannover im letzten Jahr entschieden, dass eine Datenerhebung durch ein Einscannen und Speichern von Personalausweisen unzulässig ist, weil nach § 14 PAuswG die Erhebung und Verwendung personenbezogener Daten aus dem Ausweis oder mithilfe des Ausweises ausschließlich erfolgen darf durch zur Identitätsfeststellung berechtigte Personen nach Maßgabe der §§ 15 bis 17 oder  öffentliche Stellen und nicht-öffentliche Stellen nach Maßgabe der §§ 18 bis 20 des PAuswG. Der Ausweis darf nach § 20 Abs. 2 PAuswG zwar zum (elektronischen) Idetitätsnachweis verwendet werden, er darf aber bei Google nicht gespeichert werden. Letzteres passiert freilich nach Übersendung einer Datei zwangsläufig.

Dieses Verfahren soll offenbar auch gegenüber Anwälten praktiziert werden. Der Anwalt legitimiert sich allerdings durch Vorlage einer von seinem Mandanten unterschriebenen Vollmacht und nicht durch Vorlage einer Ausweiskopie.

Ergänzend muss auch noch erwähnt werden, dass Google natürlich nicht berechtigt ist, einen Formularzwang einzuführen. Es ist also niemand verpflichtet, dieses Formular zu benutzen. Man kann sich als Betroffener auch direkt an Google Deutschland wenden, das nach der Entscheidung des EuGH als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist.

posted by Stadler at 10:17  

27.5.14

Google: Schlichtungsstelle soll EuGH-Urteil umsetzen

Die Süddeutsche berichtet unter Berufung auf das Handelsblatt darüber, dass die Bundesregierung mit Google über die Einrichtung einer Schlichtungsstelle verhandelt, die das Urteil des EuGH umsetzen soll, nach dem Google unter gewissen Voraussetzungen zur Löschung datenschutzwidriger Suchtreffer verpflichtet werden kann.

Google kann sich im Rahmen einer Maßnahme der freiwilligen Selbstkontrolle natürlich dazu verpflichten, an der Einrichtung einer Schlichtungsstelle mitzuwirken und den Schiedsspruch der Stelle zu befolgen, sollte dort auf eine Löschpflicht erkannt werden. Andererseits kann der Betroffene aber nicht darauf verwiesen werden, diese Schlichtungsstelle auch anzurufen. Es steht ihm grundsätzlich frei, sich direkt an Google zu wenden und dort seine Ansprüche durchzusetzen. An die Entscheidung der Gütestelle wäre der Betroffene außerdem nicht gebunden. Der Rechtsweg kann nicht versperrt werden. Es bleibt also abzuwarten, wie dieses Modell konkret ausgestaltet werden soll.

Staatssekretär Ole Schröder hatte dem Handelsblatt gesagt, es müsse verhindert werden, dass Suchmaschinen beim Löschen von Meinungen und Informationen willkürlich vorgehen. Es scheint also nach der fragwürdigen Entscheidung des EuGH durchaus die Befürchtung zu bestehen, dass Anbieter wie Google den Weg des geringsten Widerstandes wählen und im Zweifel löschen werden. Das könnte dann allerdings dazu führen, dass u.U. sogar massenhaft legale Informationen aus dem Suchindex getilgt werden und damit für eine breite Öffentlichkeit nicht mehr oder nur noch sehr schwer auffindbar sind.

Wie diese Schlichtungsstelle personell besetzt wird, wie hoch ihre Akzeptanz sein wird und wieviele Löschaufforderungen von ihr tatsächlich zu prüfen sind, muss vorab eingeschätzt werden. Vor allen Dingen stellt sich aber die Frage, nach welchen Kriterien eine solche Schlichtungsstelle prüfen soll. Denn die Vorgaben des EuGH sind eher vage und auch nicht unbedingt deckungsgleich mit der Rechtsprechung des BVerfG und des EGMR zum Spannungsverhältnis von Persönlichkeitsrecht und Meinungsfreiheit.

posted by Stadler at 10:25  

23.5.14

Anhörung im Bundestag belegt: Praxis der deutschen Geheimdienste teilweise verfassungswidrig

Gestern hat der NSA-Untersuchungsausschuss den früheren Präsidenten des BVerfG Hans-Jürgen Papier, den ehemaligen Verfassungsrichter Wolfgang Hoffmann-Riem sowie Matthias Bäcker von der Universität Mannheim als Sachverständige angehört.

Es ging hierbei um die Frage, welche rechtlichen Vorgaben sich aus dem Grundgesetz bezüglich der Überwachung von Kommunikation und Computern ableiten lassen und welche Grundrechte durch die Praxis der Geheimdienste verletzt werden.

Die schriftlichen Stellungnahmen der Sachverständigen sind mittlerweile online:

Stellungnahme Hoffmann-Riem
Stellungnahme Matthias Bäcker
Stellungnahme Hans-Jürgen Papier

In der mündlichen Anhörung haben die Verfassungsrechtler übereinstimmend geäußert, dass der Staat verpflichtet sei, seine Bürger vor Überwachung zu schützen und beispielsweise auch eine konkrete Pflicht besteht, gegen Abhöranlagen ausländischer Staaten auf deutschem Boden vorzugehen. Papier hat u.a. darauf hingewiesen, dass die Beschränkungen, die das BVerfG für eine Vorratsdatenspeicherung vorsieht, grundsätzlich auch für Geheimdienste gelten würde. Hoffmann-Riem hat bereits in seiner schriftlichen Stellungnahme ausführlich dargelegt, dass eine Pflicht zu staatlichen Schutzvorkehrungen besteht.

Bäcker hat schließlich deutlich gemacht, dass er die strategische Auslandsaufklärung des BND für rechtswidrig hält und, dass diese in ihrer jetzigen Form gestoppt werden müsse. Darüber hinaus artikulierte der Sachverständige erhebliche Zweifel an der Verfassungsgemäßheit verschiedener Vorschriften des G10-Gesetzes, u.a. an § 3 Abs. 1 und § 5 G10-Gesetz, das die sog. strategische Fernmeldekontrolle ermöglicht. Bäcker weist in seiner Stellungnahme zudem darauf hin, dass die Ermächtigung des Verfassungsschutzes in § 8a Abs. 2 Satz 1 Nr. 4 BVerfSchG nur dann verfassungskonform ist, wenn sie restriktiv am polizeirechtlichen Gefahrbegriff orientiert wird. Gerade das dürfte aber kaum der Praxis des Bundesamts für Verfassungsschutz entsprechen.

Auch die Datenübermittlung an ausländische Stellen haben die Sachverständigen als kritisch bewertet. Rohdaten dürfen nicht übermittelt werden und § 4 Abs. 4 G10-Gesetz bietet nach Ansicht Bäckers überhaupt keine rechtliche Grundlage für eine Datenübermittlung an ausländische Stellen. Bäcker weist insoweit darauf hin, dass sich einer Stellungnahme der Bundesregierung entnehmen lässt, dass die Nachrichtendienste des Bundes Datenübermittlungen ins Ausland auf der Grundlage von § 4 Abs. 4 G10-Gesetz für zulässig halten und diese auch praktizieren.

Diese Anhörung von drei der renommiertesten Verfassungsrechtlern macht deutlich, dass die aktuelle Praxis des BND und des Verfassungsschutzes in Teilen rechtswidrig ist und es dringend geboten ist, die tatsächliche Praxis der Dienste einer eingehenden Überprüfung zu unterziehen.

posted by Stadler at 15:33  

20.5.14

Kommentare und Anmerkungen zum Google-Urteil des EuGH

Für netzpolitik.org habe ich meine Kritik an der Entscheidung des EuGH zu Löschpflichten von Google gerade etwas ausführlicher ausformuliert.

Zahlreiche Juristenkollegen haben sich in den vergangenen Tagen kritisch mit dem Urteil des höchsten europäischen Gerichts auseinandergesetzt.

Hier ist eine Auswahl der Kommentare und Anmerkungen, die mir lesenswert erscheinen (Stand: 01.09.2014):

Vorläufige Einschätzung der „Google-Entscheidung“ des EuGH (Johannes Masing)

EuGH: Google muss doch vergessen – das Supergrundrecht auf Datenschutz und die Bowdlerisierung des Internets (Hans Peter Lehofer)

Einfach löschen ist auch bequem (Niko Härting)

EuGH: Suchmaschinen und Datenschutz (Adrian Schneider)

Das Google-Urteil des EuGH – übers Ziel hinaus geschossen? (Carlo Piltz)

Kommentar zum EuGH-Urteil: Zuviel des Guten – Privatisierte Rechtsdurchsetzung auf dem Vormarsch (Leonhard Dobusch)

Hat sich der EuGH mit seinem Google-Urteil selbst abgeschossen? (Oliver Garcia)

The ECJ is right, the result is wrong (Rigo Wenning)

Recht auf Vergessen bei Suchmaschinen: EuGH-Urteil billigt Zensur durch Datenschutzrecht (Viola Lachenmann)

Öffentlichkeit kennt keine beschränkte Teilnehmerzahl (Lorena Jaume-Palasí)

„Recht auf Vergessen“: Technik und Recht müssen zusammenarbeiten (Jan Schallaböck)

Wer gegen Netzsperren ist, muss auch das EuGH-Urteil zu Löschpflichten von Google ablehnen (Thomas Stadler)

Ein gordischer Knoten aus Datenschutz und Meinungsfreiheit (Feldmann/Koreng/Piltz)

Löschansprüche: Das Problem zuerst dort angehen, wo es entsteht (Till Kreutzer)

Das Google-Urteil des EuGH und die Entfernungspflicht von Suchmaschinen nach schweizerischem Recht (Daniel Hürlimann)

posted by Stadler at 11:53  

20.5.14

Google hat doch auch bisher schon gelöscht

Google hat doch auch bislang schon persönlichkeitsrechtsverletzende Treffergebnisse und/oder unwahre Tatsachenbehauptungen gelöscht und auch Ergänzungsvorschläge im Rahmen der Autocomplete-Funktion. Argumente dieser Art höre ich immer wieder von Kollegen, mit denen ich über die Entscheidung des EuGH zu Löschpflichten von Google spreche. Der Kollege Lampmann betont dies beispielsweise in seinem Blog und sieht keine weitreichenden Auswirkungen des EuGH-Urteils.

Ja, Google hat auch bisher schon gelöscht. Ich habe in den letzten Monaten mehrfach für Mandanten eine Löschung von Suchergebnissen erreicht. Diesen Fällen lag aber immer ein Sachverhalt zugrunde, der eine aus meiner Sicht klare und schwerwiegende Persönlichkeitsrechtsverletzung bzw. unwahre Tatsachenbehauptung enthielt.

Das Urteil des EuGH verschiebt aber nunmehr den Maßstab und zwar ganz erheblich. Nach dem Urteil des EuGH muss Google u.U. auch solche Suchergebnisse löschen, die auf wahre Tatsachenbehauptungen verweisen, die zudem aus amtlichen Mitteilungen stammen. Denn der EuGH fordert keine (schwerwiegende) Rechtsverletzung als Voraussetzung dafür, dass Google löscht. Grundsätzlich führt nach der Logik des EuGH jede beliebige Nennung einer Person oder sogar nur die Ermittelbarkeit einer Person auf einer Website dazu, dass Google personenbezogene Daten verarbeitet, sobald es eine solche Website indiziert. Und diese Verarbeitung personenbezogener Daten verstößt nach der Entscheidung des EuGH im Regelfall gegen die Rechte der betroffenen Person. Nur in Ausnahmefällen ist diese Datenverarbeitung durch Google also erlaubt. Das geht weit über die bisherige Löschpraxis von Google hinaus.

Wenn Google diesen Blogbeitrag indiziert, dann verarbeitet es u.a. personenbezogene Daten des Kollegen Lampmann, dessen Namen ich genannnt habe. Und das ist im Regelfall bereits unzulässig. Nur in besonders gelagerten Fällen – so der EuGH ausdrücklich – kann eine solche Datenverarbeitung zulässig sein. Im konkreten Fall wird man das Interesse an einer öffentlichen Diskussion, an der der Kollege Lampmann selbst teilgenommen hat, als überwiegend betrachten. In den meisten Fällen wird man es aber bei der vom EuGH aufgestellten Regel belassen müssen, sonst wäre es keine Regel mehr. Das bedeutet dann aber auch, dass Google im Regelfall keine Websites mehr indizieren darf, die personenbezogene Daten enthalten. Und das dürfte die ganz überwiegende Mehrzahl der Sites sein. Es mag sein, dass der EuGH das so nicht postulieren wollte. Es bleibt dennoch die einzig konsequente Schlussfolgerung aus der Entscheidung des EuGH.

posted by Stadler at 09:48  

17.5.14

Gabriel heuchelt wieder: Gegen Google aber nicht gegen die NSA

Was hat Sigmar Gabriel im Wahlkampf zur NSA-Affäre nicht alles von sich gegeben. Er hat Merkel als Marionette amerikanischer Geheimdienste bezeichnet und u.a. auch eine Vernehmung Snowdens gefordert. Kaum an der Macht, versucht er das zu praktizieren, was die Politik in der Vor-Snowden-Ära stets getan hat. Man tut so, als ginge es ausschließlich um amerikanische Konzerne wie Google & Co. Von den Geheinmdiensten ist keine Rede mehr. Diese Camouflage hat mehrere Vorteile. Man kann vom eigenen politischen Versagen ablenken und muss der amerikanischen Politik, der sich ein Gabriel ganz offenbar nicht ansatzweise gewachsen sieht, nicht die Stirn bieten. Mit den mächtigen eigenen Geheimdiensten wie dem BND muss man sich ebenfalls nicht anlegen.

In einem heuchlerischen Beitrag in der FAZ wettert Gabriel gegen amerikanische Unternehmen und erwähnt die NSA noch nicht einmal. Wie kann man es überhaupt wagen, sich expressis verbis auf Leute wie Juli Zeh oder Sascha Lobo zu berufen, wenn man gleichzeitig die flächendeckende Überwachung durch Geheimdienste weltweit gezielt ausblendet.

Dieses Land wird von Feiglingen und Heuchlern regiert, denen es niemals um die Interessen ihrer eigenen Bürger geht, sondern nur um die Erhaltung und Verfestigung ihrer eigenen Machtposition. Gabriel ist zumindest insoweit ein Protagonist.

posted by Stadler at 13:53  

17.5.14

Ex-Verfassungsrichter Hoffmann-Riem fordert staatlichen Systemschutz gegen NSA

Der NSA-Utnersuchungsausschuss wird am 22.05.2014 die früheren Verfassungsrichter Hans-Jürgen Papier und Wolfgang Hoffmann-Riem sowie den Wissenschaftler Matthias Bäcker als Sachverständige anhören. Die Sachverständigen reichen hierzu vorab üblicherweise eine schriftliche Stellungnahme ein. Diese sind bislang auf dem Server des Bundestages leider nicht veröffentlicht worden.

Wie die Süddeutsche heute in ihrer Printausgabe berichtet (SZ Nr. 113, Samstag/Sonntag, 17./18.Mai 2014, S. 7), hat der frühere Verfassungsrichter Wolfgang-Hoffmann in seiner 27-seitigen Stellungnahme gegenüber dem Ausschuss ein staatliches Schutzsystem gegen die Überwachungspraktiken der NSA gefordert. Hoffmann-Riem sieht insoweit eine staatliche Schutzpflicht als gegeben an, die er interessanterweise u.a. auch auf Art. 87f GG stützt. Nach Art. 87 f Abs. 1 GG gewährleistet der Bund im Bereich des Postwesens und der Telekommunikation flächendeckend angemessene und ausreichende Dienstleistungen. Und dies beinhaltet laut Hoffmann-Riem auch die Pflicht, eine ausreichend sichere Kommunikation zu gewährleisten.

Wolfgang Hoffmann-Riem galt in seiner Zeit am Bundesverfassungsgericht als Meinungsführer und war u.a. an den Urteilen zum großen Lauschangriff, zur Online-Durchsuchung, zur Rasterfahndung und den Eilentscheidungen zur Vorratsdatenspeicherung beteiligt. Manchen galt er gar als der einzig relevante Gegenspieler des damaligen Innenministers Schäuble.

Auf das vollständige Gutachten Hoffmann-Riems bin ich ebenso gespannt, wie auf die Stellungnahmen der anderen beiden Verfassungsrechtler.

posted by Stadler at 13:10  

16.5.14

The ECJ is right, the result is wrong

Guest Contribution By Rigo Wenning (Gastbeitrag von Rigo Wenning) Legal Counsel, W3C

The pending EU privacy regulation has to address search engines

Introduction & Summary

Yesterday, the European Court of Justice decided on Case C-131/12. This decision has some rather surprising characteristics. This counts for the procedure as well as for the content. The first welcoming remarks hailing better privacy protection have faded into a disillusioned critique about the expected collateral damages of the decision with respect to freedom of speech and the added bureaucratic effort. A more down to earth view would suggest that the decision is actually a reminder that search and publicity reserve a lot of challenges, especially concerning the weighing of human rights against each other. It is also a reminder that data protection authorities are often bureaucrats with a regrettable lack of technical understanding. But this also addresses the technical community. I don’t think we can let the courts alone figure it out. In the following, I will try to show that the court was forced to decide the way it decided. This in turn transforms the case into a mandate for the privacy regulation to take the challenge into account. The challenge is to overcome the habit in the legal system to target the central entities in the distributed system that is the web and replace this lazy practice by something that plays well with the system. And there, the IT industry has to get active. Data protection is for the IT industry like environmental protection for the car industry. It makes their technology socially viable and it needs investment, e.g. standardizing the control interfaces for search crawlers.

The case

But let us first look at the underlying case. A local journal in Cataluña, La Vanguardia, has a PDF archive of its printed pages. On page 23 of La Vanguardia from 19 January 1998, there is a right column with small print announcements. It is part of a a database with past events exposed on the Internet. The PDFs are text PDFs, so a search engine can actually index the content. The announcement in question says:

Lesdues meitats indivises dun habitatge al carrer Montseny,8, propietat de MARIO COSTEJA GONZÁLEZ i ALICIA VARGAS COTS, respectivament. Superficie:90 m2.Cárregues: 8,5 milións de ptes. Tipas de sbhasta: 2 milions de ptes.cadascuna de lesmeitats.

Note that I the above paragraph reproduces the content, but contains a <div class="robots-nocontent"> element that tells the search engine not to take up that content. I’ll come back later to this issue of tagging.

Google indexed the PDFs and La Vanguardia has a rather high pagerank. A search on the name would obtain links to two pages of La Vanguardia’s newspaper, of 19 January and 9 March 1998 respectively, on which an announcement mentioning Mr Costeja González’s name appeared for a real-estate auction connected with attachment proceedings for the recovery of social security debts.

Mr González turned to the Agencia Española de Protección de Datos (Spanish Data Protection Agency; ‘the AEPD’) and requested La Vanguardia to remove the pages or alter them to avoid their indexing. He also requested that Google would not show the results anymore. There is no mention of the cached pages feature that Google has. Google refused and the AEPD and Mr González went to court. The Spanish court submitted the questions to the ECJ.

Is it privacy or Google-control? AEPD decision hard to understand

AEPD decided that the content on La Vanguardia could remain as this was justified by the intention to give maximum publicity to the auction in order to secure as many bidders as possible. I see everybody jump on the contradiction. But it is not the ECJ’s contradiction, it is a contradiction introduced by AEPD. And this way, the question was thus excluded from the decision of the ECJ.

Apart from the question how the AEPD could take this as an argument for the publication of an announcement from 1998, this creates a very interesting situation. There is a page on the on the Web that is currently served by a Web server and that is publicly available. There are a number of search engines that still have La Vanguardia’s archive indexed. Even La Vanguardia itself is still offering a search for names on its archives. But all this remains outside of the question submitted to the ECJ. This means that the AEPD, by its very decision not to further pursue La Vanguardia and other search engines, put the core question out of scope for the ECJ, who could only respond to the questions asked. The core question of the case is the justification of the AEPD that named classified adds from governmental procedures in journals can remain online for archives over a long time. This is a question that already the French legal service had to address in Légifrance and that all official journals have to address. A known and common question where a response on the European level wouldn’t have been a bad thing. But this question was not on the table. But what question was on the table?

It may be human to only look at the annoyance of the moment. And the annoyance of the moment was certainly the prominent listing within Google. The focus on somebody’s image within the services of Google blurs the clear view on the real issue behind the case. By the decision to let La Vanguardia go, the AEPD turned the case from a case about governmentally sponsored official publications with personal information into a case about the say of a data protection authority over Google. This is not a good basis for sensible solutions.

The court responds to 3 questions

Now there are two questions left:

  1. Is a search engine processing personal data?
  2. Can persons request removal of their personal data?

Additionally, the court addressed the question of territorial competence of data protection law. If one factors out the Google hype around the question, those are reasonable questions to ask.

In response to the questions, the ECJ undertakes a very detailed review of the various conditions and requirements of the legal texts in question. The English text (translated from Spanish) does not only sound like a very detached lawyer-like geeking exercise. In fact, the court remains deep in the weeds of detailed questions. One hardly gets the feeling the ECJ is addressing the higher exercise of weighing freedom of expression against privacy. Art. 10 of the ECHR or Art. 11 of the Charter of Fundamental Rights of the European Union are not cited a single time. The ECJ has simply not addressed that question, because the questions to the ECJ where such that it did not have to address it. So what are the questions the court addressed?

Is a search engine processing personal data?

Of course it does. But lawyers can’t be that simple. Instead, there is a detailed analysis whether Google can be a data controller. Of course they control what they process and what they provide to the public. They even make money with knowing it by providing detailed advertisement matching the search users are executing. The question about whether Google is a data controller serves for the court’s argumentation to determine whether Google can actually accomplish the request brought to them.

And Google? Google responds with the argument that made me laugh hard already when it was used to excuse the reading of people’s emails for the gmail advertisement: We do not actually read your email, the engine is doing that. Referring to uncle Harry or the man on the moon for things that one has diligently programmed and that one fully controls is a joke and will always remain a non-argument when confronted with real courts. If I would be the NSA, I would use the same argument in the current debate. From a legal point of view it was impossible for the ECJ to give in to this argumentation. Google said: We are only a cache and the court responded no you aren’t. It was inevitable, given the argumentation.

But Google is not a European company. One can’t follow all the rules of the world simultaneously. This counts even for Google. The international dimension was scrutinised and the court found a reasonable set of conditions to apply European or Spanish law to Google. In fact, Google is targeting the European market, makes money here, has even a Spanish subsidiary and thus has to respond to those rules. Reading the comments on the decision, many people think Google will now close the subsidiaries and contract directly from the US. But this isn’t so obvious as economic activity in a market as large as the European one needs some management and organisation that responds to local questions. If all goes wrong, such a targeted market will address the money flows to enforce its rules. While it is nice to read some of the romantic visions about the Internet in the blogosphere, it is prudent to keep a realistic view on things.

The right to be forgotten

Remains the question about the merits of a request to erase an entry in a database and to add a URI to the blacklist for the crawler. The Spanish court submitting the questions to the ECJ anchored the scope of the right to be forgotten within Article 14.a of Directive 95/46EC. Can a citizen ask a search engine to remove an entry?

Google is of the opinion that a search engine should only react once the publisher has erased the content. The Austrian Government supports this and addresses exactly the point about freedom of speech that Thomas Stadler was making, namely that (quoting from paragraph 64 of the judgement):

a national supervisory authority may order such an operator to erase information published by third parties from its filing systems only if the data in question have been found previously to be unlawful or incorrect or if the data subject has made a successful objection to the publisher of the website on which that information was published.

To all of us professionals of the Internet, this immediately makes sense and it addresses the end-to-end principle and works well with the distributed nature of the Internet in general and the Web in particular. But the ECJ did not follow that argument and here we are confronted with the most controversial question of the case. In articles about this subject matter there is often an undertone about courts not understanding the Internet. The counter argument to the Austrian position is of a rather legalistic and systemic nature which may not be understood, this time, by the netizens. I can only try to translate.

Mr González, the Italian, the Spanish and the Polish government do not accept the hierarchy. They say a person can request the removal from the search engine without having to pursue the publisher first. The Commission says that the fact that the information has been published lawfully and that it still appears on the original web page has no effect on the obligations of the search engine. Here the Polish government joins Austria and removes the obligation to act.

The court, confronted with the two opposite positions, makes a very systemic argument out of the legal nature of Directive 95/46EC. Processing of personal data is prohibited in Europe unless it is allowed. The ECJ draws from this fact that everybody who processes personal data must have a legal ground or the permission by the data subject to process that data. The journal La Vanguardia was already out of the question as described above because the AEDP declared they had a legal ground to publish the personal information. The ECJ could not reverse that decision as this was not a question it had to answer. Now they were looking for a reason for Google to process that data. And they couldn’t find one. So the prohibition prevails. And if someone requests removal and there is no legitimate grounds for processing (whatever that means), the person can ask to remove the data from the index.

Of course, the court ornaments all that with a flood of words of caution that this only counts in this very case and that this may be overridden by a legitimate interest of the Internet users concerning that information and that even a journalist could potentially use that information and that the court eventually did not feel very well with a mere prohibition and opened every window it could while closing the door. They already prepared the escape line.

Opinion: Who is responsible for the wrong result? Not the ECJ!

The decision has merits. It states the obvious: Google can’t just claim to be a cache and escape responsibility while making business on top of the functionality it controls. The decision is a clear warning for Google not to continue the argumentation around it’s not us, it’s just the engine. Search engines are processing personal data and they control the processing of that personal data. That means they are part of the relevant actors and can’t just hide in the woods of being an innocent middlebox that does nothing.

The decision identifies an additional impact on the privacy of individuals by the search engine over the publishing of the information. A fair assessment will follow the court in this analysis. But for the non-lawyers reading this: Having said that something impacts my right to privacy doesn’t say anything about the consequences that impact triggers or is supposed to trigger. Those consequences are not implied by the Charter of Fundamental Rights of the European Union. It only means we have to address the issue somehow. Nobody really questions that.

The decision shows why the Directive 95/46EC is outdated and needs urgent replacement. A court is not a parliament. A court is supposed to apply law, not to replace it. The ECJ did strictly apply the law. It could have been less strict and follow the Austrian position, but that would have been at the very limits of a possible argumentation. The Austrian position had also two branches that remained unexplored: One could argue that the search engine will only be forced to remove the entry from the index once the publisher has removed the content or one could argue that the search engine is only responsible if all other publishers have already removed the content. The latter would be a factual denial of the protection as duplication is so easy and frequently used in scenarios that follow the Streisand effect. The court hinted at this and made it one reason to have an independent right against the search engine operator. As Thomas Stadler already indicated, the funny thing here is that the ECJ is by its prominence responsible for the Streisand effect on Mr González. So the entire procedure had the exact opposite effect on him. While some people in Catalyuña knew about his difficulties of 1998 in the past, now the entire European union knows about it. Should we remove the court decision from the index?

If there is a feeling that the result of the decision is wrong, it is due to two factors: On the one hand, the AEDP’s decision to have the PDFs of La Vanguardia kept online is putting all the burden on the search engine while keeping the initial harm. This is hard to understand but not the fault of the ECJ. On the other hand, the search engines are an important part of the Web infrastructure. Manipulating search engines or opening the way for private persons to manipulate search engines is very sensitive. There is a feeling that the Directive 95/46EC on Data Protection is just too simplistic and one-sided in this respect. This in turn contributes to the finding in this opinion that Directive 95/46EC is the wrong tool for the Internet as it does not take into account the infrastructural responsibility of search engines. It also shows that if the privacy regulation is not decided by this parliament and has to be brought back into the next EU parliament, there could be a window of opportunity to introduce a provision establishing the Austrian position that a search engine is not infringing if the original source is not protected against indexing with tags or other means.

Finally, the decision has merits as it forces all search engine operators to think about their social responsibility and how they can contribute to the infrastructure they are living from. Search engines are the only actors of the Web that do not participate in standardisation in any way. Elements to control the crawlers are scattered all over the place. Every search engine has their own tags. In such a situation it is very hard for a new legislative effort to provide the right framework to put control into the hand of end users. The decision encourages all search engine operators to convene and discuss about controls and how to use them. The timing is right: The IETF talks about the next generation HTTP and W3C is still working on the HTML5 web platform. There is a decision to make whether to use the RDFa framework or something else. But at the end of the day, if the search engine operators remain inactive in this field, I predict that the courts will inflict things upon them on a case by case basis. This makes lawyers happy as it is very expensive. I don’t know whether it will make the search engine operators happy

posted by Stadler at 17:53  
« Vorherige SeiteNächste Seite »