Internet-Law

Onlinerecht und Bürgerrechte 2.0

30.5.14

Google stellt Formular für “Antrag auf Entfernung aus den Suchergebnissen gemäß Europäischem Datenschutzrecht” online

Google hat auf das umstrittene Urteil des EuGH, nach dem Google unter bestimmten Voraussetzungen verpflichtet sein kann, Suchergebnisse, die auf personenbezogene Daten verweisen zu löschen, reagiert und ein Formular für einen Löschantrag ins Netz gestellt.

Google gibt hierzu an, dass es jede Anfrage individuell prüfen und zwischen den Datenschutzrechten des Einzelnen und dem Recht der Öffentlichkeit auf Auskunft und Informationsweitergabe abwägen wird.

Google verlangt zur Authentifizierung die Übersendung einer Ausweiskopie des Betroffenen. Das ist bereits deshalb problematisch, weil nach dem Personalausweisgesetz Ausweiskopien nicht verlangt werden können. Insoweit hat das Verwaltungsgericht Hannover im letzten Jahr entschieden, dass eine Datenerhebung durch ein Einscannen und Speichern von Personalausweisen unzulässig ist, weil nach § 14 PAuswG die Erhebung und Verwendung personenbezogener Daten aus dem Ausweis oder mithilfe des Ausweises ausschließlich erfolgen darf durch zur Identitätsfeststellung berechtigte Personen nach Maßgabe der §§ 15 bis 17 oder  öffentliche Stellen und nicht-öffentliche Stellen nach Maßgabe der §§ 18 bis 20 des PAuswG. Der Ausweis darf nach § 20 Abs. 2 PAuswG zwar zum (elektronischen) Idetitätsnachweis verwendet werden, er darf aber bei Google nicht gespeichert werden. Letzteres passiert freilich nach Übersendung einer Datei zwangsläufig.

Dieses Verfahren soll offenbar auch gegenüber Anwälten praktiziert werden. Der Anwalt legitimiert sich allerdings durch Vorlage einer von seinem Mandanten unterschriebenen Vollmacht und nicht durch Vorlage einer Ausweiskopie.

Ergänzend muss auch noch erwähnt werden, dass Google natürlich nicht berechtigt ist, einen Formularzwang einzuführen. Es ist also niemand verpflichtet, dieses Formular zu benutzen. Man kann sich als Betroffener auch direkt an Google Deutschland wenden, das nach der Entscheidung des EuGH als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist.

posted by Stadler at 10:17  

27.5.14

Google: Schlichtungsstelle soll EuGH-Urteil umsetzen

Die Süddeutsche berichtet unter Berufung auf das Handelsblatt darüber, dass die Bundesregierung mit Google über die Einrichtung einer Schlichtungsstelle verhandelt, die das Urteil des EuGH umsetzen soll, nach dem Google unter gewissen Voraussetzungen zur Löschung datenschutzwidriger Suchtreffer verpflichtet werden kann.

Google kann sich im Rahmen einer Maßnahme der freiwilligen Selbstkontrolle natürlich dazu verpflichten, an der Einrichtung einer Schlichtungsstelle mitzuwirken und den Schiedsspruch der Stelle zu befolgen, sollte dort auf eine Löschpflicht erkannt werden. Andererseits kann der Betroffene aber nicht darauf verwiesen werden, diese Schlichtungsstelle auch anzurufen. Es steht ihm grundsätzlich frei, sich direkt an Google zu wenden und dort seine Ansprüche durchzusetzen. An die Entscheidung der Gütestelle wäre der Betroffene außerdem nicht gebunden. Der Rechtsweg kann nicht versperrt werden. Es bleibt also abzuwarten, wie dieses Modell konkret ausgestaltet werden soll.

Staatssekretär Ole Schröder hatte dem Handelsblatt gesagt, es müsse verhindert werden, dass Suchmaschinen beim Löschen von Meinungen und Informationen willkürlich vorgehen. Es scheint also nach der fragwürdigen Entscheidung des EuGH durchaus die Befürchtung zu bestehen, dass Anbieter wie Google den Weg des geringsten Widerstandes wählen und im Zweifel löschen werden. Das könnte dann allerdings dazu führen, dass u.U. sogar massenhaft legale Informationen aus dem Suchindex getilgt werden und damit für eine breite Öffentlichkeit nicht mehr oder nur noch sehr schwer auffindbar sind.

Wie diese Schlichtungsstelle personell besetzt wird, wie hoch ihre Akzeptanz sein wird und wieviele Löschaufforderungen von ihr tatsächlich zu prüfen sind, muss vorab eingeschätzt werden. Vor allen Dingen stellt sich aber die Frage, nach welchen Kriterien eine solche Schlichtungsstelle prüfen soll. Denn die Vorgaben des EuGH sind eher vage und auch nicht unbedingt deckungsgleich mit der Rechtsprechung des BVerfG und des EGMR zum Spannungsverhältnis von Persönlichkeitsrecht und Meinungsfreiheit.

posted by Stadler at 10:25  

23.5.14

Anhörung im Bundestag belegt: Praxis der deutschen Geheimdienste teilweise verfassungswidrig

Gestern hat der NSA-Untersuchungsausschuss den früheren Präsidenten des BVerfG Hans-Jürgen Papier, den ehemaligen Verfassungsrichter Wolfgang Hoffmann-Riem sowie Matthias Bäcker von der Universität Mannheim als Sachverständige angehört.

Es ging hierbei um die Frage, welche rechtlichen Vorgaben sich aus dem Grundgesetz bezüglich der Überwachung von Kommunikation und Computern ableiten lassen und welche Grundrechte durch die Praxis der Geheimdienste verletzt werden.

Die schriftlichen Stellungnahmen der Sachverständigen sind mittlerweile online:

Stellungnahme Hoffmann-Riem
Stellungnahme Matthias Bäcker
Stellungnahme Hans-Jürgen Papier

In der mündlichen Anhörung haben die Verfassungsrechtler übereinstimmend geäußert, dass der Staat verpflichtet sei, seine Bürger vor Überwachung zu schützen und beispielsweise auch eine konkrete Pflicht besteht, gegen Abhöranlagen ausländischer Staaten auf deutschem Boden vorzugehen. Papier hat u.a. darauf hingewiesen, dass die Beschränkungen, die das BVerfG für eine Vorratsdatenspeicherung vorsieht, grundsätzlich auch für Geheimdienste gelten würde. Hoffmann-Riem hat bereits in seiner schriftlichen Stellungnahme ausführlich dargelegt, dass eine Pflicht zu staatlichen Schutzvorkehrungen besteht.

Bäcker hat schließlich deutlich gemacht, dass er die strategische Auslandsaufklärung des BND für rechtswidrig hält und, dass diese in ihrer jetzigen Form gestoppt werden müsse. Darüber hinaus artikulierte der Sachverständige erhebliche Zweifel an der Verfassungsgemäßheit verschiedener Vorschriften des G10-Gesetzes, u.a. an § 3 Abs. 1 und § 5 G10-Gesetz, das die sog. strategische Fernmeldekontrolle ermöglicht. Bäcker weist in seiner Stellungnahme zudem darauf hin, dass die Ermächtigung des Verfassungsschutzes in § 8a Abs. 2 Satz 1 Nr. 4 BVerfSchG nur dann verfassungskonform ist, wenn sie restriktiv am polizeirechtlichen Gefahrbegriff orientiert wird. Gerade das dürfte aber kaum der Praxis des Bundesamts für Verfassungsschutz entsprechen.

Auch die Datenübermittlung an ausländische Stellen haben die Sachverständigen als kritisch bewertet. Rohdaten dürfen nicht übermittelt werden und § 4 Abs. 4 G10-Gesetz bietet nach Ansicht Bäckers überhaupt keine rechtliche Grundlage für eine Datenübermittlung an ausländische Stellen. Bäcker weist insoweit darauf hin, dass sich einer Stellungnahme der Bundesregierung entnehmen lässt, dass die Nachrichtendienste des Bundes Datenübermittlungen ins Ausland auf der Grundlage von § 4 Abs. 4 G10-Gesetz für zulässig halten und diese auch praktizieren.

Diese Anhörung von drei der renommiertesten Verfassungsrechtlern macht deutlich, dass die aktuelle Praxis des BND und des Verfassungsschutzes in Teilen rechtswidrig ist und es dringend geboten ist, die tatsächliche Praxis der Dienste einer eingehenden Überprüfung zu unterziehen.

posted by Stadler at 15:33  

20.5.14

Kommentare und Anmerkungen zum Google-Urteil des EuGH

Für netzpolitik.org habe ich meine Kritik an der Entscheidung des EuGH zu Löschpflichten von Google gerade etwas ausführlicher ausformuliert.

Zahlreiche Juristenkollegen haben sich in den vergangenen Tagen kritisch mit dem Urteil des höchsten europäischen Gerichts auseinandergesetzt.

Hier ist eine Auswahl der Kommentare und Anmerkungen, die mir lesenswert erscheinen (Stand: 01.09.2014):

Vorläufige Einschätzung der „Google-Entscheidung“ des EuGH (Johannes Masing)

EuGH: Google muss doch vergessen – das Supergrundrecht auf Datenschutz und die Bowdlerisierung des Internets (Hans Peter Lehofer)

Einfach löschen ist auch bequem (Niko Härting)

EuGH: Suchmaschinen und Datenschutz (Adrian Schneider)

Das Google-Urteil des EuGH – übers Ziel hinaus geschossen? (Carlo Piltz)

Kommentar zum EuGH-Urteil: Zuviel des Guten – Privatisierte Rechtsdurchsetzung auf dem Vormarsch (Leonhard Dobusch)

Hat sich der EuGH mit seinem Google-Urteil selbst abgeschossen? (Oliver Garcia)

The ECJ is right, the result is wrong (Rigo Wenning)

Recht auf Vergessen bei Suchmaschinen: EuGH-Urteil billigt Zensur durch Datenschutzrecht (Viola Lachenmann)

Öffentlichkeit kennt keine beschränkte Teilnehmerzahl (Lorena Jaume-Palasí)

„Recht auf Vergessen“: Technik und Recht müssen zusammenarbeiten (Jan Schallaböck)

Wer gegen Netzsperren ist, muss auch das EuGH-Urteil zu Löschpflichten von Google ablehnen (Thomas Stadler)

Ein gordischer Knoten aus Datenschutz und Meinungsfreiheit (Feldmann/Koreng/Piltz)

Löschansprüche: Das Problem zuerst dort angehen, wo es entsteht (Till Kreutzer)

Das Google-Urteil des EuGH und die Entfernungspflicht von Suchmaschinen nach schweizerischem Recht (Daniel Hürlimann)

posted by Stadler at 11:53  

20.5.14

Google hat doch auch bisher schon gelöscht

Google hat doch auch bislang schon persönlichkeitsrechtsverletzende Treffergebnisse und/oder unwahre Tatsachenbehauptungen gelöscht und auch Ergänzungsvorschläge im Rahmen der Autocomplete-Funktion. Argumente dieser Art höre ich immer wieder von Kollegen, mit denen ich über die Entscheidung des EuGH zu Löschpflichten von Google spreche. Der Kollege Lampmann betont dies beispielsweise in seinem Blog und sieht keine weitreichenden Auswirkungen des EuGH-Urteils.

Ja, Google hat auch bisher schon gelöscht. Ich habe in den letzten Monaten mehrfach für Mandanten eine Löschung von Suchergebnissen erreicht. Diesen Fällen lag aber immer ein Sachverhalt zugrunde, der eine aus meiner Sicht klare und schwerwiegende Persönlichkeitsrechtsverletzung bzw. unwahre Tatsachenbehauptung enthielt.

Das Urteil des EuGH verschiebt aber nunmehr den Maßstab und zwar ganz erheblich. Nach dem Urteil des EuGH muss Google u.U. auch solche Suchergebnisse löschen, die auf wahre Tatsachenbehauptungen verweisen, die zudem aus amtlichen Mitteilungen stammen. Denn der EuGH fordert keine (schwerwiegende) Rechtsverletzung als Voraussetzung dafür, dass Google löscht. Grundsätzlich führt nach der Logik des EuGH jede beliebige Nennung einer Person oder sogar nur die Ermittelbarkeit einer Person auf einer Website dazu, dass Google personenbezogene Daten verarbeitet, sobald es eine solche Website indiziert. Und diese Verarbeitung personenbezogener Daten verstößt nach der Entscheidung des EuGH im Regelfall gegen die Rechte der betroffenen Person. Nur in Ausnahmefällen ist diese Datenverarbeitung durch Google also erlaubt. Das geht weit über die bisherige Löschpraxis von Google hinaus.

Wenn Google diesen Blogbeitrag indiziert, dann verarbeitet es u.a. personenbezogene Daten des Kollegen Lampmann, dessen Namen ich genannnt habe. Und das ist im Regelfall bereits unzulässig. Nur in besonders gelagerten Fällen – so der EuGH ausdrücklich – kann eine solche Datenverarbeitung zulässig sein. Im konkreten Fall wird man das Interesse an einer öffentlichen Diskussion, an der der Kollege Lampmann selbst teilgenommen hat, als überwiegend betrachten. In den meisten Fällen wird man es aber bei der vom EuGH aufgestellten Regel belassen müssen, sonst wäre es keine Regel mehr. Das bedeutet dann aber auch, dass Google im Regelfall keine Websites mehr indizieren darf, die personenbezogene Daten enthalten. Und das dürfte die ganz überwiegende Mehrzahl der Sites sein. Es mag sein, dass der EuGH das so nicht postulieren wollte. Es bleibt dennoch die einzig konsequente Schlussfolgerung aus der Entscheidung des EuGH.

posted by Stadler at 09:48  

17.5.14

Gabriel heuchelt wieder: Gegen Google aber nicht gegen die NSA

Was hat Sigmar Gabriel im Wahlkampf zur NSA-Affäre nicht alles von sich gegeben. Er hat Merkel als Marionette amerikanischer Geheimdienste bezeichnet und u.a. auch eine Vernehmung Snowdens gefordert. Kaum an der Macht, versucht er das zu praktizieren, was die Politik in der Vor-Snowden-Ära stets getan hat. Man tut so, als ginge es ausschließlich um amerikanische Konzerne wie Google & Co. Von den Geheinmdiensten ist keine Rede mehr. Diese Camouflage hat mehrere Vorteile. Man kann vom eigenen politischen Versagen ablenken und muss der amerikanischen Politik, der sich ein Gabriel ganz offenbar nicht ansatzweise gewachsen sieht, nicht die Stirn bieten. Mit den mächtigen eigenen Geheimdiensten wie dem BND muss man sich ebenfalls nicht anlegen.

In einem heuchlerischen Beitrag in der FAZ wettert Gabriel gegen amerikanische Unternehmen und erwähnt die NSA noch nicht einmal. Wie kann man es überhaupt wagen, sich expressis verbis auf Leute wie Juli Zeh oder Sascha Lobo zu berufen, wenn man gleichzeitig die flächendeckende Überwachung durch Geheimdienste weltweit gezielt ausblendet.

Dieses Land wird von Feiglingen und Heuchlern regiert, denen es niemals um die Interessen ihrer eigenen Bürger geht, sondern nur um die Erhaltung und Verfestigung ihrer eigenen Machtposition. Gabriel ist zumindest insoweit ein Protagonist.

posted by Stadler at 13:53  

17.5.14

Ex-Verfassungsrichter Hoffmann-Riem fordert staatlichen Systemschutz gegen NSA

Der NSA-Utnersuchungsausschuss wird am 22.05.2014 die früheren Verfassungsrichter Hans-Jürgen Papier und Wolfgang Hoffmann-Riem sowie den Wissenschaftler Matthias Bäcker als Sachverständige anhören. Die Sachverständigen reichen hierzu vorab üblicherweise eine schriftliche Stellungnahme ein. Diese sind bislang auf dem Server des Bundestages leider nicht veröffentlicht worden.

Wie die Süddeutsche heute in ihrer Printausgabe berichtet (SZ Nr. 113, Samstag/Sonntag, 17./18.Mai 2014, S. 7), hat der frühere Verfassungsrichter Wolfgang-Hoffmann in seiner 27-seitigen Stellungnahme gegenüber dem Ausschuss ein staatliches Schutzsystem gegen die Überwachungspraktiken der NSA gefordert. Hoffmann-Riem sieht insoweit eine staatliche Schutzpflicht als gegeben an, die er interessanterweise u.a. auch auf Art. 87f GG stützt. Nach Art. 87 f Abs. 1 GG gewährleistet der Bund im Bereich des Postwesens und der Telekommunikation flächendeckend angemessene und ausreichende Dienstleistungen. Und dies beinhaltet laut Hoffmann-Riem auch die Pflicht, eine ausreichend sichere Kommunikation zu gewährleisten.

Wolfgang Hoffmann-Riem galt in seiner Zeit am Bundesverfassungsgericht als Meinungsführer und war u.a. an den Urteilen zum großen Lauschangriff, zur Online-Durchsuchung, zur Rasterfahndung und den Eilentscheidungen zur Vorratsdatenspeicherung beteiligt. Manchen galt er gar als der einzig relevante Gegenspieler des damaligen Innenministers Schäuble.

Auf das vollständige Gutachten Hoffmann-Riems bin ich ebenso gespannt, wie auf die Stellungnahmen der anderen beiden Verfassungsrechtler.

posted by Stadler at 13:10  

16.5.14

The ECJ is right, the result is wrong

Guest Contribution By Rigo Wenning (Gastbeitrag von Rigo Wenning) Legal Counsel, W3C

The pending EU privacy regulation has to address search engines

Introduction & Summary

Yesterday, the European Court of Justice decided on Case C-131/12. This decision has some rather surprising characteristics. This counts for the procedure as well as for the content. The first welcoming remarks hailing better privacy protection have faded into a disillusioned critique about the expected collateral damages of the decision with respect to freedom of speech and the added bureaucratic effort. A more down to earth view would suggest that the decision is actually a reminder that search and publicity reserve a lot of challenges, especially concerning the weighing of human rights against each other. It is also a reminder that data protection authorities are often bureaucrats with a regrettable lack of technical understanding. But this also addresses the technical community. I don’t think we can let the courts alone figure it out. In the following, I will try to show that the court was forced to decide the way it decided. This in turn transforms the case into a mandate for the privacy regulation to take the challenge into account. The challenge is to overcome the habit in the legal system to target the central entities in the distributed system that is the web and replace this lazy practice by something that plays well with the system. And there, the IT industry has to get active. Data protection is for the IT industry like environmental protection for the car industry. It makes their technology socially viable and it needs investment, e.g. standardizing the control interfaces for search crawlers.

The case

But let us first look at the underlying case. A local journal in Cataluña, La Vanguardia, has a PDF archive of its printed pages. On page 23 of La Vanguardia from 19 January 1998, there is a right column with small print announcements. It is part of a a database with past events exposed on the Internet. The PDFs are text PDFs, so a search engine can actually index the content. The announcement in question says:

Lesdues meitats indivises dun habitatge al carrer Montseny,8, propietat de MARIO COSTEJA GONZÁLEZ i ALICIA VARGAS COTS, respectivament. Superficie:90 m2.Cárregues: 8,5 milións de ptes. Tipas de sbhasta: 2 milions de ptes.cadascuna de lesmeitats.

Note that I the above paragraph reproduces the content, but contains a <div class="robots-nocontent"> element that tells the search engine not to take up that content. I’ll come back later to this issue of tagging.

Google indexed the PDFs and La Vanguardia has a rather high pagerank. A search on the name would obtain links to two pages of La Vanguardia’s newspaper, of 19 January and 9 March 1998 respectively, on which an announcement mentioning Mr Costeja González’s name appeared for a real-estate auction connected with attachment proceedings for the recovery of social security debts.

Mr González turned to the Agencia Española de Protección de Datos (Spanish Data Protection Agency; ‘the AEPD’) and requested La Vanguardia to remove the pages or alter them to avoid their indexing. He also requested that Google would not show the results anymore. There is no mention of the cached pages feature that Google has. Google refused and the AEPD and Mr González went to court. The Spanish court submitted the questions to the ECJ.

Is it privacy or Google-control? AEPD decision hard to understand

AEPD decided that the content on La Vanguardia could remain as this was justified by the intention to give maximum publicity to the auction in order to secure as many bidders as possible. I see everybody jump on the contradiction. But it is not the ECJ’s contradiction, it is a contradiction introduced by AEPD. And this way, the question was thus excluded from the decision of the ECJ.

Apart from the question how the AEPD could take this as an argument for the publication of an announcement from 1998, this creates a very interesting situation. There is a page on the on the Web that is currently served by a Web server and that is publicly available. There are a number of search engines that still have La Vanguardia’s archive indexed. Even La Vanguardia itself is still offering a search for names on its archives. But all this remains outside of the question submitted to the ECJ. This means that the AEPD, by its very decision not to further pursue La Vanguardia and other search engines, put the core question out of scope for the ECJ, who could only respond to the questions asked. The core question of the case is the justification of the AEPD that named classified adds from governmental procedures in journals can remain online for archives over a long time. This is a question that already the French legal service had to address in Légifrance and that all official journals have to address. A known and common question where a response on the European level wouldn’t have been a bad thing. But this question was not on the table. But what question was on the table?

It may be human to only look at the annoyance of the moment. And the annoyance of the moment was certainly the prominent listing within Google. The focus on somebody’s image within the services of Google blurs the clear view on the real issue behind the case. By the decision to let La Vanguardia go, the AEPD turned the case from a case about governmentally sponsored official publications with personal information into a case about the say of a data protection authority over Google. This is not a good basis for sensible solutions.

The court responds to 3 questions

Now there are two questions left:

  1. Is a search engine processing personal data?
  2. Can persons request removal of their personal data?

Additionally, the court addressed the question of territorial competence of data protection law. If one factors out the Google hype around the question, those are reasonable questions to ask.

In response to the questions, the ECJ undertakes a very detailed review of the various conditions and requirements of the legal texts in question. The English text (translated from Spanish) does not only sound like a very detached lawyer-like geeking exercise. In fact, the court remains deep in the weeds of detailed questions. One hardly gets the feeling the ECJ is addressing the higher exercise of weighing freedom of expression against privacy. Art. 10 of the ECHR or Art. 11 of the Charter of Fundamental Rights of the European Union are not cited a single time. The ECJ has simply not addressed that question, because the questions to the ECJ where such that it did not have to address it. So what are the questions the court addressed?

Is a search engine processing personal data?

Of course it does. But lawyers can’t be that simple. Instead, there is a detailed analysis whether Google can be a data controller. Of course they control what they process and what they provide to the public. They even make money with knowing it by providing detailed advertisement matching the search users are executing. The question about whether Google is a data controller serves for the court’s argumentation to determine whether Google can actually accomplish the request brought to them.

And Google? Google responds with the argument that made me laugh hard already when it was used to excuse the reading of people’s emails for the gmail advertisement: We do not actually read your email, the engine is doing that. Referring to uncle Harry or the man on the moon for things that one has diligently programmed and that one fully controls is a joke and will always remain a non-argument when confronted with real courts. If I would be the NSA, I would use the same argument in the current debate. From a legal point of view it was impossible for the ECJ to give in to this argumentation. Google said: We are only a cache and the court responded no you aren’t. It was inevitable, given the argumentation.

But Google is not a European company. One can’t follow all the rules of the world simultaneously. This counts even for Google. The international dimension was scrutinised and the court found a reasonable set of conditions to apply European or Spanish law to Google. In fact, Google is targeting the European market, makes money here, has even a Spanish subsidiary and thus has to respond to those rules. Reading the comments on the decision, many people think Google will now close the subsidiaries and contract directly from the US. But this isn’t so obvious as economic activity in a market as large as the European one needs some management and organisation that responds to local questions. If all goes wrong, such a targeted market will address the money flows to enforce its rules. While it is nice to read some of the romantic visions about the Internet in the blogosphere, it is prudent to keep a realistic view on things.

The right to be forgotten

Remains the question about the merits of a request to erase an entry in a database and to add a URI to the blacklist for the crawler. The Spanish court submitting the questions to the ECJ anchored the scope of the right to be forgotten within Article 14.a of Directive 95/46EC. Can a citizen ask a search engine to remove an entry?

Google is of the opinion that a search engine should only react once the publisher has erased the content. The Austrian Government supports this and addresses exactly the point about freedom of speech that Thomas Stadler was making, namely that (quoting from paragraph 64 of the judgement):

a national supervisory authority may order such an operator to erase information published by third parties from its filing systems only if the data in question have been found previously to be unlawful or incorrect or if the data subject has made a successful objection to the publisher of the website on which that information was published.

To all of us professionals of the Internet, this immediately makes sense and it addresses the end-to-end principle and works well with the distributed nature of the Internet in general and the Web in particular. But the ECJ did not follow that argument and here we are confronted with the most controversial question of the case. In articles about this subject matter there is often an undertone about courts not understanding the Internet. The counter argument to the Austrian position is of a rather legalistic and systemic nature which may not be understood, this time, by the netizens. I can only try to translate.

Mr González, the Italian, the Spanish and the Polish government do not accept the hierarchy. They say a person can request the removal from the search engine without having to pursue the publisher first. The Commission says that the fact that the information has been published lawfully and that it still appears on the original web page has no effect on the obligations of the search engine. Here the Polish government joins Austria and removes the obligation to act.

The court, confronted with the two opposite positions, makes a very systemic argument out of the legal nature of Directive 95/46EC. Processing of personal data is prohibited in Europe unless it is allowed. The ECJ draws from this fact that everybody who processes personal data must have a legal ground or the permission by the data subject to process that data. The journal La Vanguardia was already out of the question as described above because the AEDP declared they had a legal ground to publish the personal information. The ECJ could not reverse that decision as this was not a question it had to answer. Now they were looking for a reason for Google to process that data. And they couldn’t find one. So the prohibition prevails. And if someone requests removal and there is no legitimate grounds for processing (whatever that means), the person can ask to remove the data from the index.

Of course, the court ornaments all that with a flood of words of caution that this only counts in this very case and that this may be overridden by a legitimate interest of the Internet users concerning that information and that even a journalist could potentially use that information and that the court eventually did not feel very well with a mere prohibition and opened every window it could while closing the door. They already prepared the escape line.

Opinion: Who is responsible for the wrong result? Not the ECJ!

The decision has merits. It states the obvious: Google can’t just claim to be a cache and escape responsibility while making business on top of the functionality it controls. The decision is a clear warning for Google not to continue the argumentation around it’s not us, it’s just the engine. Search engines are processing personal data and they control the processing of that personal data. That means they are part of the relevant actors and can’t just hide in the woods of being an innocent middlebox that does nothing.

The decision identifies an additional impact on the privacy of individuals by the search engine over the publishing of the information. A fair assessment will follow the court in this analysis. But for the non-lawyers reading this: Having said that something impacts my right to privacy doesn’t say anything about the consequences that impact triggers or is supposed to trigger. Those consequences are not implied by the Charter of Fundamental Rights of the European Union. It only means we have to address the issue somehow. Nobody really questions that.

The decision shows why the Directive 95/46EC is outdated and needs urgent replacement. A court is not a parliament. A court is supposed to apply law, not to replace it. The ECJ did strictly apply the law. It could have been less strict and follow the Austrian position, but that would have been at the very limits of a possible argumentation. The Austrian position had also two branches that remained unexplored: One could argue that the search engine will only be forced to remove the entry from the index once the publisher has removed the content or one could argue that the search engine is only responsible if all other publishers have already removed the content. The latter would be a factual denial of the protection as duplication is so easy and frequently used in scenarios that follow the Streisand effect. The court hinted at this and made it one reason to have an independent right against the search engine operator. As Thomas Stadler already indicated, the funny thing here is that the ECJ is by its prominence responsible for the Streisand effect on Mr González. So the entire procedure had the exact opposite effect on him. While some people in Catalyuña knew about his difficulties of 1998 in the past, now the entire European union knows about it. Should we remove the court decision from the index?

If there is a feeling that the result of the decision is wrong, it is due to two factors: On the one hand, the AEDP’s decision to have the PDFs of La Vanguardia kept online is putting all the burden on the search engine while keeping the initial harm. This is hard to understand but not the fault of the ECJ. On the other hand, the search engines are an important part of the Web infrastructure. Manipulating search engines or opening the way for private persons to manipulate search engines is very sensitive. There is a feeling that the Directive 95/46EC on Data Protection is just too simplistic and one-sided in this respect. This in turn contributes to the finding in this opinion that Directive 95/46EC is the wrong tool for the Internet as it does not take into account the infrastructural responsibility of search engines. It also shows that if the privacy regulation is not decided by this parliament and has to be brought back into the next EU parliament, there could be a window of opportunity to introduce a provision establishing the Austrian position that a search engine is not infringing if the original source is not protected against indexing with tags or other means.

Finally, the decision has merits as it forces all search engine operators to think about their social responsibility and how they can contribute to the infrastructure they are living from. Search engines are the only actors of the Web that do not participate in standardisation in any way. Elements to control the crawlers are scattered all over the place. Every search engine has their own tags. In such a situation it is very hard for a new legislative effort to provide the right framework to put control into the hand of end users. The decision encourages all search engine operators to convene and discuss about controls and how to use them. The timing is right: The IETF talks about the next generation HTTP and W3C is still working on the HTML5 web platform. There is a decision to make whether to use the RDFa framework or something else. But at the end of the day, if the search engine operators remain inactive in this field, I predict that the courts will inflict things upon them on a case by case basis. This makes lawyers happy as it is very expensive. I don’t know whether it will make the search engine operators happy

posted by Stadler at 17:53  

13.5.14

Wer gegen Netzsperren ist, muss auch das EuGH-Urteil zu Löschpflichten von Google ablehnen

Nach dem heutigen Urteil des EuGH zu Löschpflichten eines Suchmaschinenbetreibers, das nicht nur von mir kritisch besprochen wurde, fand ich die Zustimmung der Politik, von Teilen der netzpolitischen Szene und Teilen der Berichterstattung doch bemerkenswert.

Bei netzpolitik.org sucht man vergeblich nach einer kritischen Anmerkung, vielmehr findet man es dort gut, dass ein “Zusammenhang zwischen Verantwortung und Werbeanzeigen-Verkaufsniederlassung” hergestellt wird. Justizminister Heiko Maas meint, das Urteil würde die Datenschutzrechte von Verbraucherinnen und Verbrauchern im Internet stärken, der grüne Europaabgeordnete Jan Philipp Albrecht begrüßt das Urteil ebenfalls. Peter Schaar spricht von einem Etappensieg für den Datenschutz. Im Deutschlandfunk ist gar von einer “schallenden Ohrfeige für Google” die Rede und davon, dass das Gericht das digitale Selbstbestimmungsrecht der Bürger gestärkt habe.

Man mag es begrüßen, dass der EuGH eine weitgehende Anwendbarkeit des europäischen Datenschutzrechts auf Google und seine Suchmaschine bejaht. Das sollte aber nicht den Blick auf die materielle Entscheidung des Gerichtshofs versperren.

Die offensichtliche Parallele zu den Netzsperren, die die Sachentscheidung des EuGH aufweist, wird kaum gezogen. Dabei geht es bei den Access-Sperren und den Löschpflichten von Google im Kern um dasselbe, nämlich darum, durch staatlichen Zwang den Zugang zu Inhalten im Internet zu erschweren. In beiden Fällen geschieht dies durch die Inpflichtnahme eines Netzdienstleisters, der dafür sorgen soll, dass die Mehrheit der Nutzer nicht mehr auf Inhalte zugreift, die als rechtlich problematisch angesehen werden. Bei Lichte betrachtet besteht zwischen beiden Phänomenen also kein relevanter Unterschied. Sowohl Suchmaschinenbetreiber als auch Access-Provider sind im Grunde Zugangsanbieter. Man wird an dieser Stelle sicher einwenden, dass sich Google bereits jetzt nicht neutral verhält und aus unterschiedlichen Gründen selbst immer wieder die Suchmaschinenergebnisse beeinflusst und Suchtreffer entfernt. Das erscheint mir aber kein tragfähiges Argument für die Forderung nach einer noch weiterreichenderen Manipulation von Suchergebnissen zu sein.

Der EuGH etabliert mit dieser Entscheidung nichts anderes als eine weitere Spielart der Netzsperren, durch die die Meinungs- und Informationsfreiheit im Netz beeinträchtigt wird. Das ist für die europäischen Bürger mit Sicherheit keine gute Nachricht. Wer gegen Netzsperren aufgestanden ist, muss diese Entscheidung des EuGH ebenfalls ablehnen. Woher kommt also die Zustimmung? Vermutlich daher, dass es gegen Google geht und vermeintlich dem Datenschutz gedient wird. Für diese Art des Datenschutzes werden wir Bürger vermutlich aber früher oder später einen sehr hohen Preis zu zahlen haben.

Der EuGH unternimmt auch erst gar nicht den Versuch einer ergebnisoffenen Abwägung zwischen dem Persönlichkeitsrecht einerseits und der Meinungs- und Informationsfreiheit andererseits, sondern postuliert einen regelmäßigen Vorrang des Datenschutzes. An dieser Stelle zeigt sich nebenbei auch eine dogmatisch fragwürdige Gleichsetzung von Datenschutz und Persönlichkeitsrecht.Die Entscheidung des EuGH  deutet insgesamt auf einen gefährlichen Paradigmenwechsel hin, der sich in dieser Form bisher weder in der Rechtsprechung des BVerfG noch der des EGMR findet.

Dass Google im Grunde ein Medienanbieter ist, dem man auch ein Medienprivileg zubilligen kann und muss, wird vom EuGH völlig ausgeblendet.

Wer wie ich die Meinungs- und Informationsfreiheit für das vielleicht höchste Gut einer freiheitlich-demokratischen Gesellschaft hält, kann gar nicht anders, als dieses Urteil entschieden abzulehnen.

posted by Stadler at 21:31  

13.5.14

Die Haftung von Google und das Recht auf Vergessenwerden im Internet

Der EuGH hat mit Urteil vom heutigen Tage (Az.: C – 131/12) entschieden, dass Google als Verantwortlicher personenbezogene Daten im Sinne der Datenschutzrichtlinie verarbeitet. Das stellt nach Ansicht des EuGH einen Eingriff in die Rechte der betroffenen Personen dar, der einer Rechtfertigung bedarf.

Deshalb kann der Suchmaschinenbetreiber unter bestimmten Voraussetzungen verpflichtet sein, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt wird, Links zu von Dritten veröffentlichten Internetseiten mit Informationen über diese Person zu entfernen. Eine solche Verpflichtung kann nach Ansicht des EuGH sogar dann bestehen, wenn die Veröffentlichung an der Quelle rechtmäßig ist.

Anschließend betont der EuGH allerdings, dass eine Abwägung mit der Informationsfreiheit der Internetnutzer vorzunehmen ist.

Der EuGH führt dann weiter aus, dass aufgrund von Zeitablauf auch ein “Recht auf Vergessenwerden” besteht. In der Pressemitteilung des EuGH heißt es hierzu:

Zu der Frage, ob die betroffene Person nach der Richtlinie verlangen kann, dass Links zu Internetseiten aus einer solchen Ergebnisliste gelöscht werden, weil sie wünscht, dass die darin über sie enthaltenen Informationen nach einer gewissen Zeit „vergessen“ werden, stellt der Gerichtshof fest, dass die in der Ergebnisliste enthaltenen Informationen und Links gelöscht werden müssen, wenn auf Antrag der betroffenen Person festgestellt wird, dass zum gegenwärtigen Zeitpunkt die Einbeziehung der Links in die Ergebnisliste nicht mit der Richtlinie vereinbar ist. Auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten kann im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen, wenn die Daten in Anbetracht aller Umstände des Einzelfalls, insbesondere der verstrichenen Zeit, den Zwecken, für die sie verarbeitet worden sind, nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Wendet sich die betroffene Person gegen die vom Suchmaschinenbetreiber vorgenommene Datenverarbeitung, ist u.a. zu prüfen, ob sie ein Recht darauf hat, dass die betreffenden Informationen über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird. Wenn dies der Fall ist, sind die Links zu Internetseiten, die diese Informationen enthalten, aus der Ergebnisliste zu löschen, es sei denn, es liegen besondere Gründe vor, z.B. die Rolle der betreffenden Person im öffentlichen Leben, die ein überwiegendes Interesse der breiten Öffentlichkeit am Zugang zu diesen Informationen über eine solche Suche rechtfertigen.

Der EuGH begründet die von ihm postulierten Löschpflichten von Google unmittelbar mit der Datenschutzrichtlinie. Diese Entscheidung bestätigt das, was von Datenschützern gerne in Abrede gestellt wird, nämlich dass das Datenschutzrecht in einem erheblichen Spannungsverhältnis zur Meinungs- und Informationsfreiheit steht. Die Entscheidung ist deshalb problematisch, weil sie zu weitreichenden Löschpflichten von Google führen wird und damit auch dazu, dass Google künftig mit einer Flut von entsprechenden Löschungsaufforderungen zu rechnen hat. Das Urteil hat das Potential, die Funktionsfähigkeit von Suchwerkzeugen erheblich einzuschränken und damit auch die Auffindbarkeit von Inhalten im Netz zu beeinträchtigen.

Update:
Das Urteil des EuGH liegt mittlerweile auch im Volltext vor. Der Volltext enthält noch einen bemerkenswerten Aspekt. Der EuGH spricht davon, dass Informationen erst durch Google einer allgemeinen Öffentlichkeit (“general public”) zugänglich gemacht werden, was bedeutet, dass sie ohne Google nur einer eingeschränkten Öffentlichkeit zugänglich sind. Google kann danach selbst bei Inhalten, die im Netz rechtmäßig veröffentlicht wurden, nicht länger davon ausgehen, dass auch die Indizierung für die Googlesuche stets rechtmäßig ist.

So manche Berichterstattung zu dem Urteil, erscheint mir nicht ganz zutreffend. Anders als SPON schreibt, geht es nicht nur um die Löschung sensibler persönlicher Daten, sondern um personenbezogene Daten ganz allgemein. Der EuGH postuliert einen grundsätzlichen Vorrang des Datenschutzrechts bzw. des Schutzes der Privatssphäre, worauf Carlo Piltz zu recht hinweist.

Auch der österreichische Medienrechtler Hans Peter Lehofer kritisiert das Urteil deutlich, ebenso wie der Berliner Kollege Niko Härting. Lehofer bringt das vom EuGH ausgelöste Dilemma mit einem Bonmot auf den Punkt:

Eine ketzerische Frage dazwischen: dürfte der Betroffene von Google auch verlangen, dass bei der Suche nach seiner Person ein Link auf dieses Urteil des EuGH aus den Ergebnlisten genommen wird (der Name des Betroffenen wurde vom EuGH nicht anonymisiert)?

Fürwahr, eine berechtigte Frage.

posted by Stadler at 10:48  
« Vorherige SeiteNächste Seite »