Internet-Law

Onlinerecht und Bürgerrechte 2.0

12.8.14

Eine Replik auf den Beitrag “Die 5 Irrtümer zum Recht auf Vergessenwerden” bei netzpolitik.org

Gastbeitrag von Rigo Wenning (Legal Counsel, W3C)

Auch Irrtümer können irrtümlich also solche bezeichnet werden

KirstenF reicht es. Sie findet die Berichterstattung der Medien zum Google-Urteil des EuGH mehr als kurios. Für alle, denen die Entscheidung (C-131/12) noch kein Begriff war, sei hier auf die Sammlung der bisherigen Beiträge verwiesen werden, aber auch auf die Meinung des Blogherren und meinen eigenen Beitrag.

Nun mögen wir alle KirstenF, weil sie als Direktor von EDRi in Brüssel für unser aller Freiheit kämpft. Und natürlich ist der Datenschutz in Europa ein Menschenrecht, das es zu verteidigen gilt. Und es ist klar, dass gerade Europa berufen ist, uns vor der Arroganz multinationaler Unternehmen zu schützen. Doch Thomas und ich hatten uns in Twitter zu weit aus dem Fenster gelehnt und ihren Beitrag kritisiert. Das ließ sich nicht mittels 140 Zeichen auflösen und wir bekamen mehrere Aufforderungen, unsere Kritik doch besser zu substanziieren. Das versuche ich jetzt, weil Thomas gerade keine Zeit hat.

Vorab: Löschen und Entfernen

Der ganze Blog-Eintrag bei Netzpolitik basiert zunächst auf der Unterscheidung zwischen Löschen und Links entfernen. Der EuGH hätte doch gar nicht gesagt, Google müsse den Link löschen, sondern nur entfernen. Bei einer so feinen Unterscheidung verläßt mich mein Sprachgefühl und ich schaue in den Duden. Dort werden dem Verb löschen die Funktion Brandbekämpfung und die Funktion beseitigen/tilgen zugesprochen. Nun schauen wir auf entfernen im Duden und es gibt die Bedeutung weggehen/verschwinden und beseitigen/dafür sorgen, dass etwas nicht mehr da ist. Da in beiden Wörtern die Funktion beseitigen vom Duden angeführt wird, könnte man durchaus vertreten, dass löschen und entfernen synonym gebraucht werden können.

1. Die Seiten bleiben online

Aber Kirsten will uns etwas anderes sagen. Nur weil etwas nicht mehr im Google ist, ist es doch nicht nicht mehr da. Der EuGH hatte ja entschieden, dass die Suchmaschine eine eigene Verletzung des Schutzgutes Privatsphäre bewirkt. Die Seite hatte ja ein aus der Versteigerungsanordnung abgeleitetes Recht auf Veröffentlichung, das der EuGH gar nicht überprüfen konnte, weil es nicht Teil der Vorlage war. Insofern ist Kirsten hier nicht ganz sauber, wenn sie sagt, die Seite bleibe doch online. Sie ist online, weil die AEPD bei ihrer Aktion nur Google im Auge hatte und eine echte Lösung weder angestrebt noch gewollt war.

Mit Kirsten finde ich kurios, wie die Berichterstattung unkritisch den Lautsprechern aus dem Google-Eco-System folgt. Aber der Lärm war absehbar. Jimmy Wales halte ich allerdings eher für unverdächtig. Dennoch erhebt sie im Punkt 1 einen Unfall des Prozesses C-131/12 zum Prinzip. Die Seite blieb ja deswegen online weil die AEPD die Grundlage für die Veröffentlichung eines Archivs nach 12 Jahren immer noch in der Versteigerung sah. Das war grober Unfug. Daraus kann man kein Prinzip machen.

2. Die Suchergebnisse werden nicht gelöscht

In Aussage Nummer 2 kulminiert dann die ganze Sinnlosigkeit der Entscheidung C-131/12 und es zeigt sich, warum die Entscheidung darüber hinaus gefährlich ist. Der Link sei ja nicht gelöscht, denn Google habe das noch im Index. Er sei nur entfernt. Das wiederum kommt auf das Auge desjenigen Betrachters an, für den beseitigt wurde. Für uns, nicht für Google oder andere Datenbanken. Das hat Anja Seeliger im Perlentaucher als Recht für die herrschende (und zahlungskräftige) Klasse interpretiert. Wenn der EuGH weniger Google und mehr Suchmaschine gedacht hätte, hätte er bemerkt, dass alle anderen Suchmaschinen den Link noch haben. Der satirische Gipfel des Urteils liegt gerade darin, dass die Dynamik der so entstandenen Regeln völlig verkannt wird. Nun macht Kirsten den Deckel zu. Denn das Gericht hatte selbst die Existenz des Links bei Google als Verletzung des Schutzguts bezeichnet. Das System Google kann aber den Link nur unterdrücken, wenn das System noch weiß, was es unterdrücken muss. Das heißt Google braucht den Link um ihn nicht zu zeigen. Wo ist dann aber das Recht auf Vergessen? Im Urteil ging es doch darum, dass Google Daten nicht verarbeiten darf, wenn es keinen Grund für die Verarbeitung gibt. Der Datenschutz ist bekanntermaßen ein generelles Verbot mit Erlaubnisvorbehalt. Wenn Google kein Recht hat den Link auszuwerfen, wo kommt dann das Recht her, den Link weiter vorzuhalten und zum Zwecke der Unterdrückung der Anzeige in den Suchergebnissen weiter zu verarbeiten? Das hat weder der EuGH noch sonst jemand thematisiert. Das macht Google einfach so, weil es nicht anders geht. Aus dem Faktischen wird auf die Rechtmäßigkeit geschlossen. Die Aussage Nummer 2 ist also ein Ausdruck der völlig untauglichen Datenschutzgesetze, aber sicher kein Irrtum der Medien.

3. Die Seite bleibt auffindbar

Die Suche sei nur nach dem Namen nicht mehr möglich, wohl aber könne die Seite anhand anderer Kriterien gefunden werden. Das ist ein netter Vorschlag. Wenn Google hier mitliest, sollten die sich den Vorschlag genau ansehen. Mit dem Urteil und dem Recht ist er kaum vereinbar. Das Gericht sagt, die betreffenden Informationen und Links der Ergebnisliste müssen gelöscht werden. Das ist auch konsequent. Wie oben schon ausgeführt, hat Google ja gar kein Recht mehr, die Daten überhaupt zu verarbeiten. Denn selbst wenn nur mit Irish bank robberies gesucht wird, muss doch Gerry Hutch verarbeitet werden. Herr Costeja González sowie die spanische und die italienische Regierung vertreten die Auffassung, die betroffene Person könne der Indexierung der sie betreffenden personenbezogenen Daten durch eine Suchmaschine widersprechen. Das ist die Frage, die das Gericht mit Ja beantwortet hat. Herr Costeja González kann also nicht der Suche mit seinem Namen widersprechen, sondern nur der Indexierung bestimmter Informationen. Kirsten beschreibt schön, wie wir uns den Datenschutz in der Umsetzung schön reden. Wir wollen alle guten Datenschutz und Kirstens Vorschläge sind teilweise zielführend. Allerdings finden sie keine Stütze im Recht. Das Argument aus dem irrtümlichen Irrtum 3 kann auch nicht richtig sein, wenn man mit Lorena Jaume-Palasí der Meinung ist, es gäbe keine teilweise Öffentlichkeit. Die Grenzen der Öffentlichkeit ließen sich zwar gegenüber der Privatsphäre und dem Individuum definieren. Umgekehrt aber sei ihre Reichweite nicht bestimmbar. Man könne ihr keine maximale Grenze vorschreiben. Das ist mit der irrtümlichen Lösung aus Aussage 3 nicht vereinbar.

4. Die Ergebnisse werden nur in den europäischen Versionen entfernt

Was Kirsten hier als Errungenschaft feiert, ist in Wirklichkeit eine Verhöhnung des Gerichts durch Google. Der EuGH hatte festgestellt, dass die Verarbeitung personenbezogener Daten durch die Suchmaschine ein datenschutzrechtlich relevanter Vorgang ist. Der EuGH hat festgestellt, dass Google Inc. in Kalifornien verantwortlich ist, weil es eine Filiale zum Einsammeln von Werbegeld in Spanien und anderswo in der EU unterhält. Wo bitte kommt dann die Chuzpe her zu glauben, nur die Seite google.de oder google.fr seien betroffen? Der EuGH hat eine Verpflichtung gegenüber einer juristischen Person festgestellt, nicht gegenüber irgendwelchen Instantiierungen der Software die diese juristische Person unterhält. Und diese juristische Person darf in Europa erhobene Daten künftig nicht mehr verabreiten. Nirgendwo. Man darf auf die Vollstreckungsmaßnahmen des spanischen Gerichts gespannt sein. Normalerweise würde in einem solchen Fall ein Zwangsgeld im Tagessatz-Verfahren angewendet. Stay tuned.

5. Das Recht auf Vergessenwerden ist keine neue Erfindung

Natürlich. Jeder der einmal mit Strafrecht zu tun hatte, jeder der schon Punkte in Flensburg (oder in Paris, wo sie heruntergezählt werden) hatte, weiß, dass das Recht multiple Regeln des Vergessens kennt. Was aber soll die Apologetik hinsichtlich einer Entscheidung, die zutiefst datenschutz-feindlich ist, weil sie den Datenschutz in eine tiefe Krise stürzen wird? Es haben ja alle hurra gerufen als Google eins drauf bekam. Dieser Ausdruck kollektiver Genugtuung zeigt ja schon, wie unser Verhältnis zum Don’t be evil – Konzern ist. Das Gericht hat den kranken Datenschutz in einem von der AEPD bewusst krank gemachten Fall einfach 1 zu 1 angewendet. Und jetzt regnet es. Wen wundert das?

Natürlich wollen wir guten Datenschutz. Ich bin froh, dass es den Datenschutz gibt. Aber der Datenschutz wandelt sich gerade von der gütigen Fee zum Kafka-Monster. Das Urteil hat ein Hinterfragen dieser Entwicklung ausgelöst. Und das ist gut so. Wir sollten also positiv eine Suchmaschinen-Neutralität fordern. Und ein Prinzip, das gerade keine teilweise Öffentlichkeit kennt. Wir sollten uns mit den Auswirkungen von elektronischen Archiven beschäftigen, die ja verfügbar sind. Wie verfügbar sollen sie sein? Wir sollten Google schon sagen, dass sie sich an die Regeln des Marktes halten müssen, in dem sie agieren. Aber der spanische Versuch ein Exempel zu statuieren, war wohl eher ein Rohrkrepierer. Und Rohrkrepierer sind laut und schreien Zensur, aber das ist auch falsch. Insofern hat Kirsten wieder recht.

posted by Stadler at 18:19  

8.6.14

EuGH: Caching beeinträchtigt die Rechte des Urhebers nicht

Die lange schwelende Streitfrage, ob das Caching, als die technisch bedingte Zwischenspeicherung, eine Urheberrechtsverletzung darstellen kann, hat der EuGH nunmehr mit Urteil vom 05.06.2014 (Az.:C?360/13) dahingehend entschieden, dass sowohl das Caching als auch die Darstellung einer Website auf dem Bildschirm des Nutzers, die Rechte der Urheber nicht beeinträchtigt. Nach Ansicht des EuGH handelt es sich hierbei um Nutzungshandlungen, die nach Art. 5 der Infosoc-Richtlinie privilegiert sind. Nach dieser Vorschrift werden vorübergehende Vervielfältigungshandlungen, die flüchtig oder begleitend sind und einen integralen und wesentlichen Teil eines technischen Verfahrens darstellen, deren alleiniger Zweck es ist, eine Übertragung in einem Netz zwischen Dritten durch einen Vermittler oder eine rechtmäßige Nutzung eines Werks oder sonstigen Schutzgegenstands zu ermöglichen, und die keine eigenständige wirtschaftliche Bedeutung haben, vom Vervielfältigungsrecht ausgenommen.

Das bedeutet nach meinem Verständnis, dass das bloße Betrachten einer Website oder auch das Streaming von Musik- oder Filmdateien keine urheberrechtlich relevante Vervielfältigungshandlungen darstellen. Auf die Rechtmäßigkeit der Quelle kommt es  dabei nicht entscheidend an, da das Caching nach der Richtlinie bereits dann privilegiert wird, wenn es allein dem Zweck dient, eine Übertragung in einem Netz zu ermöglichen.

posted by Stadler at 22:18  

4.6.14

Google ändert Löschformular

Vor einigen Tagen habe ich hier über das von Google bereitgestellte Formular für einen “Antrag auf Entfernung aus den Suchergebnissen gemäß Europäischem Datenschutzrecht berichtet und darüber, dass die Forderung von Google, der Antragsteller müsse eine Ausweiskopie in digitaler Form übermitteln, nicht mit dem geltenden Recht vereinbar ist.

Google hat mittlerweile auf die, nicht nur von mir geäußerte Kritik reagiert und das Löschformular insoweit abgeändert. Das Formular verlangt nunmehr keine Ausweiskopie mehr, sondern nur noch “eine lesbare Kopie eines Sie identifizierenden Dokuments“. Damit will man offenbar die explizite Forderung nach einer Ausweiskopie vermeiden. Welche indentifizierenden Dokumente Google meint und ausreichen lässt, ergibt sich daraus freilich nicht.

posted by Stadler at 17:18  

30.5.14

Google stellt Formular für “Antrag auf Entfernung aus den Suchergebnissen gemäß Europäischem Datenschutzrecht” online

Google hat auf das umstrittene Urteil des EuGH, nach dem Google unter bestimmten Voraussetzungen verpflichtet sein kann, Suchergebnisse, die auf personenbezogene Daten verweisen zu löschen, reagiert und ein Formular für einen Löschantrag ins Netz gestellt.

Google gibt hierzu an, dass es jede Anfrage individuell prüfen und zwischen den Datenschutzrechten des Einzelnen und dem Recht der Öffentlichkeit auf Auskunft und Informationsweitergabe abwägen wird.

Google verlangt zur Authentifizierung die Übersendung einer Ausweiskopie des Betroffenen. Das ist bereits deshalb problematisch, weil nach dem Personalausweisgesetz Ausweiskopien nicht verlangt werden können. Insoweit hat das Verwaltungsgericht Hannover im letzten Jahr entschieden, dass eine Datenerhebung durch ein Einscannen und Speichern von Personalausweisen unzulässig ist, weil nach § 14 PAuswG die Erhebung und Verwendung personenbezogener Daten aus dem Ausweis oder mithilfe des Ausweises ausschließlich erfolgen darf durch zur Identitätsfeststellung berechtigte Personen nach Maßgabe der §§ 15 bis 17 oder  öffentliche Stellen und nicht-öffentliche Stellen nach Maßgabe der §§ 18 bis 20 des PAuswG. Der Ausweis darf nach § 20 Abs. 2 PAuswG zwar zum (elektronischen) Idetitätsnachweis verwendet werden, er darf aber bei Google nicht gespeichert werden. Letzteres passiert freilich nach Übersendung einer Datei zwangsläufig.

Dieses Verfahren soll offenbar auch gegenüber Anwälten praktiziert werden. Der Anwalt legitimiert sich allerdings durch Vorlage einer von seinem Mandanten unterschriebenen Vollmacht und nicht durch Vorlage einer Ausweiskopie.

Ergänzend muss auch noch erwähnt werden, dass Google natürlich nicht berechtigt ist, einen Formularzwang einzuführen. Es ist also niemand verpflichtet, dieses Formular zu benutzen. Man kann sich als Betroffener auch direkt an Google Deutschland wenden, das nach der Entscheidung des EuGH als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist.

posted by Stadler at 10:17  

27.5.14

Google: Schlichtungsstelle soll EuGH-Urteil umsetzen

Die Süddeutsche berichtet unter Berufung auf das Handelsblatt darüber, dass die Bundesregierung mit Google über die Einrichtung einer Schlichtungsstelle verhandelt, die das Urteil des EuGH umsetzen soll, nach dem Google unter gewissen Voraussetzungen zur Löschung datenschutzwidriger Suchtreffer verpflichtet werden kann.

Google kann sich im Rahmen einer Maßnahme der freiwilligen Selbstkontrolle natürlich dazu verpflichten, an der Einrichtung einer Schlichtungsstelle mitzuwirken und den Schiedsspruch der Stelle zu befolgen, sollte dort auf eine Löschpflicht erkannt werden. Andererseits kann der Betroffene aber nicht darauf verwiesen werden, diese Schlichtungsstelle auch anzurufen. Es steht ihm grundsätzlich frei, sich direkt an Google zu wenden und dort seine Ansprüche durchzusetzen. An die Entscheidung der Gütestelle wäre der Betroffene außerdem nicht gebunden. Der Rechtsweg kann nicht versperrt werden. Es bleibt also abzuwarten, wie dieses Modell konkret ausgestaltet werden soll.

Staatssekretär Ole Schröder hatte dem Handelsblatt gesagt, es müsse verhindert werden, dass Suchmaschinen beim Löschen von Meinungen und Informationen willkürlich vorgehen. Es scheint also nach der fragwürdigen Entscheidung des EuGH durchaus die Befürchtung zu bestehen, dass Anbieter wie Google den Weg des geringsten Widerstandes wählen und im Zweifel löschen werden. Das könnte dann allerdings dazu führen, dass u.U. sogar massenhaft legale Informationen aus dem Suchindex getilgt werden und damit für eine breite Öffentlichkeit nicht mehr oder nur noch sehr schwer auffindbar sind.

Wie diese Schlichtungsstelle personell besetzt wird, wie hoch ihre Akzeptanz sein wird und wieviele Löschaufforderungen von ihr tatsächlich zu prüfen sind, muss vorab eingeschätzt werden. Vor allen Dingen stellt sich aber die Frage, nach welchen Kriterien eine solche Schlichtungsstelle prüfen soll. Denn die Vorgaben des EuGH sind eher vage und auch nicht unbedingt deckungsgleich mit der Rechtsprechung des BVerfG und des EGMR zum Spannungsverhältnis von Persönlichkeitsrecht und Meinungsfreiheit.

posted by Stadler at 10:25  

20.5.14

Kommentare und Anmerkungen zum Google-Urteil des EuGH

Für netzpolitik.org habe ich meine Kritik an der Entscheidung des EuGH zu Löschpflichten von Google gerade etwas ausführlicher ausformuliert.

Zahlreiche Juristenkollegen haben sich in den vergangenen Tagen kritisch mit dem Urteil des höchsten europäischen Gerichts auseinandergesetzt.

Hier ist eine Auswahl der Kommentare und Anmerkungen, die mir lesenswert erscheinen (Stand: 14.08.2014):

Vorläufige Einschätzung der „Google-Entscheidung“ des EuGH (Johannes Masing)

EuGH: Google muss doch vergessen – das Supergrundrecht auf Datenschutz und die Bowdlerisierung des Internets (Hans Peter Lehofer)

Einfach löschen ist auch bequem (Niko Härting)

EuGH: Suchmaschinen und Datenschutz (Adrian Schneider)

Das Google-Urteil des EuGH – übers Ziel hinaus geschossen? (Carlo Piltz)

Kommentar zum EuGH-Urteil: Zuviel des Guten – Privatisierte Rechtsdurchsetzung auf dem Vormarsch (Leonhard Dobusch)

Hat sich der EuGH mit seinem Google-Urteil selbst abgeschossen? (Oliver Garcia)

The ECJ is right, the result is wrong (Rigo Wenning)

Recht auf Vergessen bei Suchmaschinen: EuGH-Urteil billigt Zensur durch Datenschutzrecht (Viola Lachenmann)

Öffentlichkeit kennt keine beschränkte Teilnehmerzahl (Lorena Jaume-Palasí)

„Recht auf Vergessen“: Technik und Recht müssen zusammenarbeiten (Jan Schallaböck)

Wer gegen Netzsperren ist, muss auch das EuGH-Urteil zu Löschpflichten von Google ablehnen (Thomas Stadler)

Ein gordischer Knoten aus Datenschutz und Meinungsfreiheit (Feldmann/Koreng/Piltz)

Löschansprüche: Das Problem zuerst dort angehen, wo es entsteht (Till Kreutzer)

posted by Stadler at 11:53  

20.5.14

Google hat doch auch bisher schon gelöscht

Google hat doch auch bislang schon persönlichkeitsrechtsverletzende Treffergebnisse und/oder unwahre Tatsachenbehauptungen gelöscht und auch Ergänzungsvorschläge im Rahmen der Autocomplete-Funktion. Argumente dieser Art höre ich immer wieder von Kollegen, mit denen ich über die Entscheidung des EuGH zu Löschpflichten von Google spreche. Der Kollege Lampmann betont dies beispielsweise in seinem Blog und sieht keine weitreichenden Auswirkungen des EuGH-Urteils.

Ja, Google hat auch bisher schon gelöscht. Ich habe in den letzten Monaten mehrfach für Mandanten eine Löschung von Suchergebnissen erreicht. Diesen Fällen lag aber immer ein Sachverhalt zugrunde, der eine aus meiner Sicht klare und schwerwiegende Persönlichkeitsrechtsverletzung bzw. unwahre Tatsachenbehauptung enthielt.

Das Urteil des EuGH verschiebt aber nunmehr den Maßstab und zwar ganz erheblich. Nach dem Urteil des EuGH muss Google u.U. auch solche Suchergebnisse löschen, die auf wahre Tatsachenbehauptungen verweisen, die zudem aus amtlichen Mitteilungen stammen. Denn der EuGH fordert keine (schwerwiegende) Rechtsverletzung als Voraussetzung dafür, dass Google löscht. Grundsätzlich führt nach der Logik des EuGH jede beliebige Nennung einer Person oder sogar nur die Ermittelbarkeit einer Person auf einer Website dazu, dass Google personenbezogene Daten verarbeitet, sobald es eine solche Website indiziert. Und diese Verarbeitung personenbezogener Daten verstößt nach der Entscheidung des EuGH im Regelfall gegen die Rechte der betroffenen Person. Nur in Ausnahmefällen ist diese Datenverarbeitung durch Google also erlaubt. Das geht weit über die bisherige Löschpraxis von Google hinaus.

Wenn Google diesen Blogbeitrag indiziert, dann verarbeitet es u.a. personenbezogene Daten des Kollegen Lampmann, dessen Namen ich genannnt habe. Und das ist im Regelfall bereits unzulässig. Nur in besonders gelagerten Fällen – so der EuGH ausdrücklich – kann eine solche Datenverarbeitung zulässig sein. Im konkreten Fall wird man das Interesse an einer öffentlichen Diskussion, an der der Kollege Lampmann selbst teilgenommen hat, als überwiegend betrachten. In den meisten Fällen wird man es aber bei der vom EuGH aufgestellten Regel belassen müssen, sonst wäre es keine Regel mehr. Das bedeutet dann aber auch, dass Google im Regelfall keine Websites mehr indizieren darf, die personenbezogene Daten enthalten. Und das dürfte die ganz überwiegende Mehrzahl der Sites sein. Es mag sein, dass der EuGH das so nicht postulieren wollte. Es bleibt dennoch die einzig konsequente Schlussfolgerung aus der Entscheidung des EuGH.

posted by Stadler at 09:48  

13.5.14

Wer gegen Netzsperren ist, muss auch das EuGH-Urteil zu Löschpflichten von Google ablehnen

Nach dem heutigen Urteil des EuGH zu Löschpflichten eines Suchmaschinenbetreibers, das nicht nur von mir kritisch besprochen wurde, fand ich die Zustimmung der Politik, von Teilen der netzpolitischen Szene und Teilen der Berichterstattung doch bemerkenswert.

Bei netzpolitik.org sucht man vergeblich nach einer kritischen Anmerkung, vielmehr findet man es dort gut, dass ein “Zusammenhang zwischen Verantwortung und Werbeanzeigen-Verkaufsniederlassung” hergestellt wird. Justizminister Heiko Maas meint, das Urteil würde die Datenschutzrechte von Verbraucherinnen und Verbrauchern im Internet stärken, der grüne Europaabgeordnete Jan Philipp Albrecht begrüßt das Urteil ebenfalls. Peter Schaar spricht von einem Etappensieg für den Datenschutz. Im Deutschlandfunk ist gar von einer “schallenden Ohrfeige für Google” die Rede und davon, dass das Gericht das digitale Selbstbestimmungsrecht der Bürger gestärkt habe.

Man mag es begrüßen, dass der EuGH eine weitgehende Anwendbarkeit des europäischen Datenschutzrechts auf Google und seine Suchmaschine bejaht. Das sollte aber nicht den Blick auf die materielle Entscheidung des Gerichtshofs versperren.

Die offensichtliche Parallele zu den Netzsperren, die die Sachentscheidung des EuGH aufweist, wird kaum gezogen. Dabei geht es bei den Access-Sperren und den Löschpflichten von Google im Kern um dasselbe, nämlich darum, durch staatlichen Zwang den Zugang zu Inhalten im Internet zu erschweren. In beiden Fällen geschieht dies durch die Inpflichtnahme eines Netzdienstleisters, der dafür sorgen soll, dass die Mehrheit der Nutzer nicht mehr auf Inhalte zugreift, die als rechtlich problematisch angesehen werden. Bei Lichte betrachtet besteht zwischen beiden Phänomenen also kein relevanter Unterschied. Sowohl Suchmaschinenbetreiber als auch Access-Provider sind im Grunde Zugangsanbieter. Man wird an dieser Stelle sicher einwenden, dass sich Google bereits jetzt nicht neutral verhält und aus unterschiedlichen Gründen selbst immer wieder die Suchmaschinenergebnisse beeinflusst und Suchtreffer entfernt. Das erscheint mir aber kein tragfähiges Argument für die Forderung nach einer noch weiterreichenderen Manipulation von Suchergebnissen zu sein.

Der EuGH etabliert mit dieser Entscheidung nichts anderes als eine weitere Spielart der Netzsperren, durch die die Meinungs- und Informationsfreiheit im Netz beeinträchtigt wird. Das ist für die europäischen Bürger mit Sicherheit keine gute Nachricht. Wer gegen Netzsperren aufgestanden ist, muss diese Entscheidung des EuGH ebenfalls ablehnen. Woher kommt also die Zustimmung? Vermutlich daher, dass es gegen Google geht und vermeintlich dem Datenschutz gedient wird. Für diese Art des Datenschutzes werden wir Bürger vermutlich aber früher oder später einen sehr hohen Preis zu zahlen haben.

Der EuGH unternimmt auch erst gar nicht den Versuch einer ergebnisoffenen Abwägung zwischen dem Persönlichkeitsrecht einerseits und der Meinungs- und Informationsfreiheit andererseits, sondern postuliert einen regelmäßigen Vorrang des Datenschutzes. An dieser Stelle zeigt sich nebenbei auch eine dogmatisch fragwürdige Gleichsetzung von Datenschutz und Persönlichkeitsrecht.Die Entscheidung des EuGH  deutet insgesamt auf einen gefährlichen Paradigmenwechsel hin, der sich in dieser Form bisher weder in der Rechtsprechung des BVerfG noch der des EGMR findet.

Dass Google im Grunde ein Medienanbieter ist, dem man auch ein Medienprivileg zubilligen kann und muss, wird vom EuGH völlig ausgeblendet.

Wer wie ich die Meinungs- und Informationsfreiheit für das vielleicht höchste Gut einer freiheitlich-demokratischen Gesellschaft hält, kann gar nicht anders, als dieses Urteil entschieden abzulehnen.

posted by Stadler at 21:31  

13.5.14

Die Haftung von Google und das Recht auf Vergessenwerden im Internet

Der EuGH hat mit Urteil vom heutigen Tage (Az.: C – 131/12) entschieden, dass Google als Verantwortlicher personenbezogene Daten im Sinne der Datenschutzrichtlinie verarbeitet. Das stellt nach Ansicht des EuGH einen Eingriff in die Rechte der betroffenen Personen dar, der einer Rechtfertigung bedarf.

Deshalb kann der Suchmaschinenbetreiber unter bestimmten Voraussetzungen verpflichtet sein, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt wird, Links zu von Dritten veröffentlichten Internetseiten mit Informationen über diese Person zu entfernen. Eine solche Verpflichtung kann nach Ansicht des EuGH sogar dann bestehen, wenn die Veröffentlichung an der Quelle rechtmäßig ist.

Anschließend betont der EuGH allerdings, dass eine Abwägung mit der Informationsfreiheit der Internetnutzer vorzunehmen ist.

Der EuGH führt dann weiter aus, dass aufgrund von Zeitablauf auch ein “Recht auf Vergessenwerden” besteht. In der Pressemitteilung des EuGH heißt es hierzu:

Zu der Frage, ob die betroffene Person nach der Richtlinie verlangen kann, dass Links zu Internetseiten aus einer solchen Ergebnisliste gelöscht werden, weil sie wünscht, dass die darin über sie enthaltenen Informationen nach einer gewissen Zeit „vergessen“ werden, stellt der Gerichtshof fest, dass die in der Ergebnisliste enthaltenen Informationen und Links gelöscht werden müssen, wenn auf Antrag der betroffenen Person festgestellt wird, dass zum gegenwärtigen Zeitpunkt die Einbeziehung der Links in die Ergebnisliste nicht mit der Richtlinie vereinbar ist. Auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten kann im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen, wenn die Daten in Anbetracht aller Umstände des Einzelfalls, insbesondere der verstrichenen Zeit, den Zwecken, für die sie verarbeitet worden sind, nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Wendet sich die betroffene Person gegen die vom Suchmaschinenbetreiber vorgenommene Datenverarbeitung, ist u.a. zu prüfen, ob sie ein Recht darauf hat, dass die betreffenden Informationen über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird. Wenn dies der Fall ist, sind die Links zu Internetseiten, die diese Informationen enthalten, aus der Ergebnisliste zu löschen, es sei denn, es liegen besondere Gründe vor, z.B. die Rolle der betreffenden Person im öffentlichen Leben, die ein überwiegendes Interesse der breiten Öffentlichkeit am Zugang zu diesen Informationen über eine solche Suche rechtfertigen.

Der EuGH begründet die von ihm postulierten Löschpflichten von Google unmittelbar mit der Datenschutzrichtlinie. Diese Entscheidung bestätigt das, was von Datenschützern gerne in Abrede gestellt wird, nämlich dass das Datenschutzrecht in einem erheblichen Spannungsverhältnis zur Meinungs- und Informationsfreiheit steht. Die Entscheidung ist deshalb problematisch, weil sie zu weitreichenden Löschpflichten von Google führen wird und damit auch dazu, dass Google künftig mit einer Flut von entsprechenden Löschungsaufforderungen zu rechnen hat. Das Urteil hat das Potential, die Funktionsfähigkeit von Suchwerkzeugen erheblich einzuschränken und damit auch die Auffindbarkeit von Inhalten im Netz zu beeinträchtigen.

Update:
Das Urteil des EuGH liegt mittlerweile auch im Volltext vor. Der Volltext enthält noch einen bemerkenswerten Aspekt. Der EuGH spricht davon, dass Informationen erst durch Google einer allgemeinen Öffentlichkeit (“general public”) zugänglich gemacht werden, was bedeutet, dass sie ohne Google nur einer eingeschränkten Öffentlichkeit zugänglich sind. Google kann danach selbst bei Inhalten, die im Netz rechtmäßig veröffentlicht wurden, nicht länger davon ausgehen, dass auch die Indizierung für die Googlesuche stets rechtmäßig ist.

So manche Berichterstattung zu dem Urteil, erscheint mir nicht ganz zutreffend. Anders als SPON schreibt, geht es nicht nur um die Löschung sensibler persönlicher Daten, sondern um personenbezogene Daten ganz allgemein. Der EuGH postuliert einen grundsätzlichen Vorrang des Datenschutzrechts bzw. des Schutzes der Privatssphäre, worauf Carlo Piltz zu recht hinweist.

Auch der österreichische Medienrechtler Hans Peter Lehofer kritisiert das Urteil deutlich, ebenso wie der Berliner Kollege Niko Härting. Lehofer bringt das vom EuGH ausgelöste Dilemma mit einem Bonmot auf den Punkt:

Eine ketzerische Frage dazwischen: dürfte der Betroffene von Google auch verlangen, dass bei der Suche nach seiner Person ein Link auf dieses Urteil des EuGH aus den Ergebnlisten genommen wird (der Name des Betroffenen wurde vom EuGH nicht anonymisiert)?

Fürwahr, eine berechtigte Frage.

posted by Stadler at 10:48  

25.4.14

Acht Mythen zur Vorratsdatenspeicherung

Die Befürworter einer Vorratsdatenspeicherung führen seit Jahren, mit gewissen Modifikationen, immer dieselben Argumente ins Feld. Grund genug, die gängigsten Begründungsansätze einmal zusammenfassend unter die Lupe zu nehmen.

Mythos 1: Die Vorratsdatenspeicherung ist zur Aufklärung von Straftaten unverzichtbar

Befürworter der Vorratsdatenspeicherung behaupten seit Jahren, dass ohne dieses Instrument viele Straftaten unaufgeklärt bleiben, die man ansonsten aufklären könnte.

Tatsächlich gibt es in keinem einzigen EU-Mitgliedsstaat (empirische) Belege dafür, dass die Vorratsdatenspeicherung zu einer erhöhten Aufklärungsquote geführt hat, obwohl sie in den meisten EU-Staaten über viele Jahre hinweg praktiziert worden ist.

Eine Studie des renommierten Max Planck Instituts (MPI) für ausländisches und internationales Strafrecht weist auf diesen Umstand hin und bemängelt, dass eine zuverlässige Einschätzung des Nutzens einer Vorratsdatenspeicherung durch das Fehlen systematischer empirischer Untersuchungen erschwert würde. Gleichwohl deutet eine vom MPI durchgeführte rechtsvergleichende Betrachtung zwischen Deutschland und der Schweiz darauf hin, dass die in der Schweiz seit Jahren praktizierte Vorratsdatenspeicherung nicht zu einer systematisch höheren Aufklärungsquote geführt hat.

Der Europäische Gerichtshof (EuGH) hatte in dem Verfahren über die Rechtmäßigkeit der Vorratsdatenspeicherung den Verfahrensbeteiligten die Frage gestellt, aufgrund welcher Daten der Gesetzgeber den Nutzen der Vorratsspeicherung für die Feststellung und Verfolgung von schweren Straftaten einschätzen kann und ob es Statistiken gibt, die darauf schließen lassen, dass sich die Feststellung und Verfolgung von schweren Straftaten seit dem Erlass der Richtlinie verbessert hat. Die Kommission und die Mitgliedsstaaten waren nicht in der Lage, befriedigende Antworten auf diese Fragen zu liefern. Auch dieser Umstand dürfte dazu beigetragen haben, dass der EuGH die Richtlinie ohne jede Übergangsfrist rückwirkend für unwirksam erklärt hat, auch wenn das so nicht im Urteil steht.

Der Nutzen einer Vorratsdatenspeicherung ist also nicht belegt. Man darf annehmen, dass ein tatsächlich messbarer positiver Effekt auf die Aufklärung von Straftaten von den Polizeibehörden längst offensiv als Argument in die Debatte eingebracht worden wäre. Ganz augenscheinlich gibt es diesen messbaren Effekt aber nicht, sondern nur subjektive Eindrücke von Polizeibeamten und Sicherheitspolitikern.

Mythos 2: Die Vorratsdatenspeicherung dient nur der Bekämpfung schwerster Straftaten

Politiker und hochrangige Polizeibeamte argumentieren zur Rechtfertigung einer Vorratsdatenspeicherung regelmäßig mit der Bekämpfung von Terrorismus, organisierter Kriminalität oder Kinderpornographie. Innenminister de Maizière sprach unlängst von der Bekämpfung “schwerster Verbrechen”. Diese Rhetorik ist grob irreführend. Das deutsche Strafrecht unterscheidet Verbrechen und Vergehen. Die Vorratsdatenspeicherung soll zur Bekämpfung schwererer Straftaten eingesetzt werden, zu denen auch eine ganze Reihe von Vergehen zählen. Es geht also keineswegs nur um die Bekämpfung von Verbrechen und schon gar nicht um schwerste Verbrechen.

Wenn man mit Polizeibeamten über die Vorratsdatenspeicherung diskutiert, was ich mehrfach auch öffentlich getan habe, werden als Beispiele interessanterweise fast ausschließlich Fälle aus dem Betrugsbereich angeführt, insbesondere Fälle das Phishings. Es kann deshalb unterstellt werden, dass die Vorratsdatenspeicherung einen geringen Effekt im Bereich der Massenkriminalität haben könnte, aber wohl kaum im Bereich der Schwerstkriminalität. Das kann man den Bürgern in dieser Form natürlich nicht sagen, weil sich die Vorratsdatenspeicherung in der öffentlichen Diskussion nur mit der Notwendigkeit einer geringfügig verbesserten Bekämpfung von Massenkriminalität kaum mehr rechtfertigen ließe.

In diesem Zusammenhang muss man sich auch bewusst machen, dass laut der Polizeilichen Kriminalstatistik 2012 ca. 70 % der Internetdelikte auf Betrugsstraftaten entfielen.

Die Vorratsdatenspeicherung wird öffentlich mit der angeblichen Notwendigkeit der Bekämpfung von Terrorismus und organisierter Kriminalität begründet, obwohl man weiß, dass sie im Kern anderen Zwecken dient.

Mythos 3: Bei der Vorratsdatenspeicherung werden nur Verbindungsdaten gespeichert

Neben den Verbindungsdaten wurden bei der Vorratsdatenspeicherung auch sog. Standortdaten und Gerätekennungen (insbesondere die sog. IMEI bei Handys) gespeichert. Die unlängst vom EuGH für unwirksam erklärte Richtlinie zur Vorratsdatenspeicherung definierte die zu speichernden Daten folgendermaßen:

Verkehrsdaten und Standortdaten sowie alle damit in Zusammenhang stehende Daten, die zur Feststellung des Teilnehmers oder Benutzers erforderlich sind.

Die deutsche Regelung umfasste u.a. Anschlusskennungen, Beginn und Ende der Verbindung, die internationale Kennung des Anschlusses und die internationale Kennung des Endgeräts, die Angabe der Funkzellen des anrufenden und des angerufenen Mobilfunkanschlusses, IP-Adressen und E-Mail-Adressen.

Malte Spitz, Politiker der Grünen, hat 2011 seinen Mobilfunkprovider auf Herausgabe der zu seiner Person gespeicherten Verkehrsdaten in Anspruch genommen. Geliefert wurden ihm schließlich 35.000 (!) Datensätze, die ein fast lückenloses Bewegungsprofil ergeben. Für den Zeitraum von Ende August 2009 bis Ende Februar 2010 wurden diese Daten von ZEIT-Online umgesetzt und mit im Netz verfügbaren Informationen (aus Twitter oder seinem Blog) zur Person von Malte Spitz verknüpft. Man kann damit für einen Zeitraum von 6 Monaten praktisch minutiös nachvollziehen, wo Malte Spitz sich gerade aufgehalten hat.

Dass Verbindungsdaten umfangreiche Rückschlüsse auf die dahinter stehenden Personen und deren Aktivitäten erlauben, haben Wissenschaftler der Universität Stanford unlängst in einer Studie nachgewiesen. Aus der Kombination unterschiedlicher Daten lassen sich häufig umfassende Persönlichkeits- und Bewegungsprofile erstellen.

Mythos 4: In Norwegen hat die Vorratsdatenspeicherung zur schnellen Aufklärung der Morde von Anders Breivik beigetragen

Diese Behauptung hört man immer wieder, sie wurde sogar vom SPD-Vorsitzenden und Vizekanzler Sigmar Gabriel verbreitet. Richtig ist, dass Breivik unmittelbar nach der Tat noch vor Ort auf der Insel Utøya festgenommen wurde. In Norwegen gab es zu diesem Zeitpunkt außerdem überhaupt keine (umgesetzte) Vorratsdatenspeicherung, worauf Gabriel anschließend sogar von Netzpolitikern der SPD hingewiesen wurde.

Von ähnlicher Qualität ist die Behauptung, die Morde der NSU hätten durch eine Vorratsdatenspeicherung (früher) aufgeklärt werden können. Für diese eher abwegige These gibt es keinerlei Anhaltspunkte. Die Aufklärung der NSU-Morde ist vor allem durch ein Behördenversagen erschwert worden. Damit TK-Verkehrsdaten überhaupt zu Erkenntnissen hätten führen können, hätte man zumindest das Umfeld der Täter eingrenzen müssen, was den Behörden bekanntlich nicht gelungen war. Um nachträglich festzustellen, wer aus dem NSU-Umfeld unmittelbar vor oder nach den Taten mit wem telefoniert hat, hätte man die Daten mehr als 10 Jahre speichern müssen. Denn die Polizei hatte bis zum Selbstmord von Mundlos und Böhnhardt Ende 2011 noch nicht einmal den Hauch einer Ahnung, wer hinten den 10 Morden steckt und, dass es sich um dieselben Täter handelt. Und selbst dann hätte man zunächst feststellen müssen, mit welchen Mobilfunkverträgen die Mitglieder des NSU ab dem Jahr 2000 telefoniert haben. Ob sich hieraus aber überhaupt brauchbare Erkenntnisse hätten ergeben können, bleibt darüberhinaus zweifelhaft. Letztlich handelt es sich hierbei um eine wüste Spekulation, der es an jeglicher tatsächlichen Grundlage mangelt. Ausweislich einer Untersuchung des Max-Planck-Instituts gibt es europaweit keine Erkenntnisse über einen Nutzen der Vorratsdatenspeicherung im Bereich der Terrorbekämpfung.

Mythos 5: Ohne Vorratsdatenspeicherung können Straftaten im Internet praktisch nicht mehr aufgeklärt werden

Dies wird von Vertretern der Polizeibehörden gerne als Argument angeführt.  Diese Aussage wird bereits durch einen Blick in die Polizeiliche Kriminalstatistik (PKS) widerlegt. Die Aufklärungsquote bei Straftaten mit dem Tatmittel Internet betrug im Jahre 2012 60,1 %. Die durchschnittliche Aufklärungsquote aller erfassten Straftaten lag nach der PKS im Jahre 2012 demgegenüber nur bei 54,4 %. Die Aufklärungsquote ist bei Internetstraftaten in Deutschland also auch ohne eine Vorratsdatenspeicherung überdurchschnittlich hoch.

Wer so argumentiert, erweckt außerdem den unzutreffenden Eindruck, die Telekommunikationsunternehmen würden derzeit überhaupt keine Verbindungs- und Standortdaten mehr speichern. Das Gegenteil ist richtig. Die Speicherpraxis ist allerdings von Anbieter zu Anbieter sehr unterschiedlich und unterscheidet sich auch danach, ob es sich um einen Festnetz-, Mobilfunk- oder Internetanschluss handelt. Es gibt zu diesem Themenkomplex Erhebungen der Bundesnetzagentur und einen nicht offiziell veröffentlichten Leitfaden der Generalstaatsanwaltschaft München. Speziell im Mobilfunkbereich werden danach Verkehrsdaten regelmäßig für einen längeren Zeitraum von mindestens 30 Tagen, bei manchen Anbietern sogar bis zu 180 Tagen gespeichert. Solange bei den TK-Anbietern gespeicherte Daten vorliegen, können diese grundsätzlich auch beauskunftet werden. Auch ohne eine gesetzliche Regelung einer Vorratsdatenspeicherung liegen damit also Verkehrsdaten für einen gewissen Zeitraum regelmäßig vor.

Mythos 6: Der Polizei müssen alle technisch möglichen Instrumentarien auch zur Verfügung gestellt werden

Nein. In einem Rechtsstaat gibt es keine Strafermittlung um jeden Preis. Darin besteht nämlich gerade der Unterschied zu Unrechtsstaaten wie der DDR, die jede Form der Überwachung und Kontrolle des Bürgers für legitim hielten. Der Rechtsstaat muss auf eine Totalüberwachung verzichten und damit evtl. einhergehende Defizite bei der Kriminalitätsbekämpfung in Kauf nehmen. Die aktuelle Diskussion um die Praktiken amerikanischer und britischer Geheimdienste, in der man auch den BND nicht aus den Augen verlieren sollte, wirft ohnehin die Frage auf, ob die Trennlinie zwischen Rechts- und Überwachungsstaat nicht längst überschritten ist.

In diesem Zusammenhang ist es auch notwendig, Instrumente wie die Vorratsdatenspeicherung nicht isoliert zu betrachten, sondern vielmehr eine Überwachungsgesamtbetrachtung anzustellen. Man erkennt dann, dass den Polizei- und Sicherheitsbehörden, eine ganze Fülle unterschiedlicher gesetzlicher Grundlagen für eine äußerst weitreichende Überwachung der Telekommunikation zur Verfügung stehen. Die Telekommunikationsüberwachung hat in Deutschland in ihrer Gesamtheit mittlerweile ein bedenkliches Ausmaß angenommen, das sich nur erfassen und bewerten lässt, wenn man sämtliche Befugnisse und Maßnahmen der TK-Überwachung in ihrer Gesamtheit betrachtet, was praktisch nie gemacht wird. Den meisten Bürgern ist das Ausmaß dessen, was der Staat tatsächlich darf und häufig auch über das gesetzlich zulässige Maß hinaus praktiziert, nicht ausreichend bewusst.

Mythos 7: Eine verfassungskonforme Neuregelung der Vorratsdatenspeicherung wäre problemlos möglich

Bereits die Umsetzung des Urteils des Bundesverfassungsgerichts hätte dem Gesetzgeber erhebliche Schwierigkeiten bereitet. Das BVerfG verlangt hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes.

Die Entscheidung des EuGH geht in entscheidenden Punkten aber noch über den Karlsruher Richterspruch hinaus. Anders als das BVerfG erläutert der EuGH auch nicht weiter, welche Anforderungen an eine grundrechtskonforme Regelung zu stellen sind, sondern beschränkt sich darauf zu begründen, warum die geltende Richtlinie unverhältnismäßig ist. Die Vorgaben des EuGH dürften kaum in rechtssicherer Art und Weise gesetzlich umsetzbar sein. Auch wenn der EuGH also eine Vorratsdatenspeicherung nicht per se für unzulässig hält, ist derzeit unklar, wie eine grundrechtskonforme gesetzliche Regelung aussehen müsste.

Mythos 8: Deutschland hat durch die Nichtumsetzung der Vorratsdatenspeicherung nach dem Urteil des BVerfG gegen Europarecht verstoßen

Nein. Der EuGH hat die Grundrechtsverstöße durch die Richtlinie über die Vorratsdatenspeicherung für so schwerwiegend erachtet, dass er die Richtlinie ohne Übergangsregelung rückwirkend für rechtsunwirksam erklärt hat. Es hat also zu keinem Zeitpunkt eine grundrechtskonforme und rechtswirksame europarechtliche Vorgabe für eine Vorratsdatenspeicherung gegeben. Durch das Urteil des EuGH hat sich vielmehr herausgestellt, dass Deutschland derzeit der einzige Mitgliedsstaat der EU ist, der die Vorratsdatenspeicherung korrekt umgesetzt hat, nämlich gar nicht.

posted by Stadler at 11:34  
Nächste Seite »