JUDIKATUR. DATENSCHUTZRECHT geleitet von Gregor König



Ähnliche Dokumente
Nutzung dieser Internetseite

Entscheidung der Kommission vom zur Feststellung, daß die Einfuhrabgaben in einem bestimmten Fall nachzuerheben sind

DELEGIERTE VERORDNUNG (EU) Nr.../.. DER KOMMISSION. vom

Die grenzüberschreitende Durchsetzung von Datenschutz in Europa - der Blick aus Europa

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

6. Fall Geschäftsführung ohne Auftrag???

D i e n s t e D r i t t e r a u f We b s i t e s

Befristung Inkrafttreten des TzBfG BeschFG Abs. 1; TzBfG 14 Abs. 2 Satz 1 und 2

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

DNotI. Fax - Abfrage. GrEStG 1 Abs. 3 Anteilsvereinigung bei Treuhandverhältnissen. I. Sachverhalt:

Newsletter Immobilienrecht Nr. 10 September 2012

Telearbeit - Geltungsbereich des BetrVG

DIGITALE PRIVATSPHAERE

Häufig gestellte Fragen zum Thema Migration

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Elternzeit Was ist das?

Antrag'auf'Hilfeleistungen'aus'dem'Fonds'Sexueller'' Missbrauch'im'familiären'Bereich' '' A)'Zweck'des'Fonds'Sexueller'Missbrauch'

2 Grundsätze der Datenbeschaffung im Bewerbungsverfahren

Befragung zum Migrationshintergrund

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft

Datenschutzerklärung der Gütermann GmbH

Fragen Übung 14,

Monatstreff für Menschen ab 50 Temporäre Dateien / Browserverlauf löschen / Cookies

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Bestandskauf und Datenschutz?

Der Vollstreckungsbescheid. 12 Fragen und Antworten

GPA-Mitteilung Bau 5/2002

Gewinnspiel-Bedingungen

GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

Nutzungsbedingungen und Datenschutzrichtlinie der Website

BUCHHALTUNG BUCHFÜHRUNG WO IST ER EIGENTLICH? - DER UNTERSCHIED?

Drei Fragen zum Datenschutz im. Nico Reiners

.WIEN-Richtlinie zur Beilegung von Streitigkeiten betreffend Registrierungsvoraussetzungen (Eligibility Requirements Dispute Resolution Policy/ERDRP)


DATENSCHUTZBESTIMMUNGEN vom des Onlineshops LOVEITSHOP 1 Allgemeine Bestimmungen Die Datenschutzbestimmungen legen die Regeln für den

(Text von Bedeutung für den EWR)

nic.at - Salzamt im (österreichischen) Internet?

Schriftliche Opfererklärung und Rederecht

Schweizerischer Bankenombudsman

Einwilligungserklärung

1 Geltungsbereich, Begriffsbestimmungen

312a Allgemeine Pflichten und Grundsätze bei Verbraucherverträgen; Grenzen der Vereinbarung von Entgelten

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Inhalt. Einführung in das Gesellschaftsrecht

Die außerordentliche Revision wird gemäß 508a Abs 2 ZPO mangels der Voraussetzungen des 502 Abs 1 ZPO zurückgewiesen ( 510 Abs 3 ZPO).

Brandenburgisches Oberlandesgericht. Beschluss

Was taugt der Wertpapierprospekt für die Anlegerinformation?

Eingangsseite Umwelt-online

Angaben gemäß 5 TMG: zone 80 Agentur für textile Werbung Markus Sonnenberg u. Ellen Friehe GbR Hauptstrasse Sehnde/Rethmar

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

Änderung des IFRS 2 Anteilsbasierte Vergütung

Außerdem verwenden wir Cookies für andere Zwecke, wie zum Beispiel:

Registrierung von Abschlussprüfern aus Drittländern Formular A (DE)

Angenommen am 14. April 2005

Vorschlag für eine DURCHFÜHRUNGSVERORDNUNG DES RATES

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Die beiden Seiten der Medaille beim -Marketing

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Internationaler Datenschutz / Europäischer Datenschutz - Schutzgefälle. IT-Anwaltskonferenz , Berlin RA Thomas Zerdick, LL.M.

Das digitale Klassenund Notizbuch

Verbundene Rechtssachen C-180/98 bis C-184/98. Pavel Pavlov u. a. gegen Stichting Pensioenfonds Medische Specialisten

Kürzung des (anteiligen) Pflegegeldes

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

GEMA Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte Berlin

Rechtliche Betrachtung des URL-Hijacking

Charakteristikum des Gutachtenstils: Es wird mit einer Frage begonnen, sodann werden die Voraussetzungen Schritt für Schritt aufgezeigt und erörtert.

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

Der Schutz Ihrer personenbezogenen Daten ist für die NFON AG ein zentrales Anliegen.

BUNDESVERWALTUNGSGERICHT BESCHLUSS

BUNDESGERICHTSHOF BESCHLUSS. vom. 17. Oktober in der Patentnichtigkeitssache

Hinweise zur Erbengemeinschaft Stand: 1. Januar 2009

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

BUNDESGERICHTSHOF BESCHLUSS. vom. 17. April in dem Rechtsstreit

Artikel 1 Änderung des Telemediengesetzes

Pädagogik. Melanie Schewtschenko. Eingewöhnung und Übergang in die Kinderkrippe. Warum ist die Beteiligung der Eltern so wichtig?

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Herrn Dr. Theodor Windhorst Präsident der Ärztekammer Westfalen-Lippe Gartenstraße Münster

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Lösung Fall 23. Anspruch des G gegen S auf Duldung der Zwangsvollstreckung aus 1147, 1192 Abs.1 BGB

Die Statistiken von SiMedia

Datenschutz - Ein Grundrecht

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Fachanwältin für Familienrecht. Mietverhältnis

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Haftung des Domain-Registrars in AT? Domain Pulse 2010 Luzern,

Windows. Workshop Internet-Explorer: Arbeiten mit Favoriten, Teil 1

Kurzanleitung RACE APP

Copyright 1997 Kammer der Wirtschaftstreuhänder All rights reserved

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Erläuterung zur Anordnung über das kirchliche Meldewesen Kirchenmeldewesenanordnung (KMAO) - Neufassung

a) Name und Vorname:...

Allgemeine Geschäftsbedingungen (mit gesetzlichen Kundeninformationen)

Kann K von V die Übertragung des Eigentums am Grundstück verlangen?

Transkript:

58 JUDIKATUR ZIR 2014/1 JUDIKATUR DATENSCHUTZRECHT geleitet von Gregor König Eingeschränkte datenschutzrechtliche Haftung von Internet- Suchmaschinenbetreibern für Daten auf verlinkten Websites 1. Verarbeitungen personenbezogener Daten werden im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung Verantwortlichen isd Art 4 Abs 1 lit der [Datenschutz-] Richtlinie 95/46/EG ausgeführt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet. 2. Ein Internetsuchmaschinen-Diensteanbieter, dessen Suchmaschine nach Informationen sucht, die Dritte im Internet veröffentlicht oder gespeichert haben, diese Informationen automatisch indexiert, vorübergehend speichert und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung stellt, verarbeitet personenbezogene Daten im Sinne von Art 2 lit b der Richtlinie 95/46/EG, wenn die Informationen personenbezogene Daten enthalten. 3. Der Internetsuchmaschinen-Diensteanbieter kann jedoch hinsichtlich dieser personenbezogenen Daten außer in Bezug auf den Inhalt des Indexes seiner Suchmaschine nicht als der für die Verarbeitung Verantwortliche isd Art 2 lit d der Richtlinie 95/46/EG angesehen werden, es sei denn, er indexiert oder archiviert personenbezogene Daten entgegen den Weisungen oder Aufforderungen des Webseitenurhebers. 4. Das in Art 12 lit b der Richtlinie 95/46/EG geregelte Recht auf Löschung und Sperrung von Daten sowie das in Art 14 lit a der Richtlinie vorgesehene Widerspruchsrecht verleihen der betroffenen Person nicht das Recht, sich an den Suchmaschinenbetreiber zu wenden, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten rechtmäßig veröffentlicht sind, und sich hierzu auf ihren Willen zu berufen, dass diese Informationen den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass die Informationen ihr schaden könnten, oder sie sich wünscht, dass die Informationen vergessen werden. EuGH, SchlA des GA Niilo Jääskinen, 25.6. 2013, C-131/12 Google Spain SL ua / Agencia Española de Protección de Datos (AEPD) ua Deskriptoren: Google Spain, Internetsuchmaschine, personenbezogene Daten, räumlicher/sachlicher Anwendungsbereich, Recht auf Löschung, Recht auf Vergessenwerden Normen: Art 2, Art 4, Art 12, Art 14 der Richtlinie 95/46/EG (Datenschutzrichtlinie); Art 7, Art 8, Art 11 und Art 16 GRC Aus den Entscheidungsgründen I Einführung 3. Bezogen auf das Internet sind bei personenbezogenen Daten drei Fallkonstellationen zu unterscheiden. Bei der ersten geht es um die Veröffentlichung von Bestandteilen personenbezogener Daten auf einer Webseite im Internet (im Folgenden: Quellenwebseite). Bei der zweiten liefert eine Internetsuchmaschine Suchergebnisse, die

ZIR 2014/1 DATENSCHUTZRECHT 59 den Internetnutzer zu[r] Quellenwebseite führen. Die dritte Konstellation betrifft den eher unmerklichen Vorgang, der sich vollzieht, wenn ein Internetnutzer eine Suche mit einer Internetsuchmaschine durchführt und ein Teil seiner personenbezogenen Daten, z. B. die IP- Adresse des Computers, mit dem er die Suche vornimmt, automatisiert an den Internetsuchmaschinen-Diensteanbieter übermittelt wird. 5. Die Vorlageentscheidung in der vorliegenden Rechtssache betrifft die zweite Fallkonstellation. Das Vorabentscheidungsersuchen wird von der Audiencia Nacional (dem spanischen nationalen Obergericht) in einem Verfahren zwischen der Google Spain SL und der Google Inc. (einzeln oder zusammen im Folgenden: Google) einerseits und der Agencia Española de Protección de Datos (AEPD) und Herrn Mario Costeja González (im Folgenden: betroffene Person) andererseits gestellt. Im Verfahren geht es um die Anwendung der Datenschutzrichtlinie auf eine Internetsuchmaschine, die von Google als Diensteanbieter betrieben wird. Im Ausgangsverfahren ist unstreitig, dass einige personenbezogene Daten der betroffenen Person von einer spanischen Zeitung im Jahr 1998 in zwei Druckausgaben veröffentlicht wurden, die beide zu einem späteren Zeitpunkt in elektronischer Form erneut aufgelegt und ins Internet gestellt wurden. Die betroffene Person ist der Ansicht, dass diese Informationen bei einer Suchanfrage nach ihrem Vornamen und ihren Nachnamen in den Suchergebnissen der von Google betriebenen Internetsuchmaschine nicht mehr angezeigt werden sollten. 6. Die dem Gerichtshof vorgelegten Fragen sind in drei Gruppen untergliedert. Gegenstand der ersten Fragengruppe ist der räumliche Anwendungsbereich der Datenschutzvorschriften der Union. Die zweite Gruppe bezieht sich auf die Rechtsstellung des Internetsuchmaschinen-Diensteanbieters im Rahmen der Richtlinie, insbesondere im Hinblick auf deren sachlichen Anwendungsbereich. Die dritte Frage schließlich betrifft das sogenannte Recht auf Vergessenwerden sowie die Problematik, ob betroffene Personen verlangen können, dass einige oder alle sie berührenden Suchergebnisse nicht mehr über die Suchmaschine angezeigt werden. Bisher hat sich der Gerichtshof mit keiner dieser Fragen befasst, die im Übrigen auch wichtige Gesichtspunkte des Grundrechtsschutzes ansprechen. II Rechtlicher Rahmen A Datenschutzrichtlinie 11. Nach Art. 1 der Richtlinie gewährleisten die Mitgliedstaaten nach den Bestimmungen der Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. 13. Gemäß Art. 3 gilt die Richtlinie für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie in bestimmten Fällen für die nicht automatisierte Verarbeitung personenbezogener Daten. 14. Nach Art. 4 Abs. 1 wendet ein Mitgliedstaat die Vorschriften, die er zur Umsetzung der Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, wenn der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet des Mitgliedstaats besitzt, oder in Fällen, in denen der für die Verarbeitung Verantwortliche nicht in der Union niedergelassen ist, wenn dieser zum Zweck der Verarbeitung personenbezogener Daten auf Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind. III Sachverhalt und Vorlagefragen 18. Anfang 1998 veröffentlichte eine Zeitung mit hohem Verbreitungsgrad in Spanien in ihrer Druckausgabe zwei Bekanntmachungen über eine Immobilienversteigerung wegen einer Pfändung, die infolge bei der Sozialversicherung bestehender Schulden betrieben wurde. Die betroffene Person wurde als Eigentümer genannt. Später stellte der Verleger eine elektronische Ausgabe der Zeitung online. 19. Im November 2009 wandte sich die betroffene Person an den Verleger der Zeitung und beanstandete, dass bei Eingabe des Vornamens und der Nachnamen der betroffenen Person in die Suchmaschine von Google ein Link auf Seiten der Zeitung mit den Bekanntmachungen der Immobilienversteigerung erscheine. Die Pfändung wegen der Schulden bei der Sozialversicherung sei seit Jahren erledigt und derzeit ohne Relevanz. Der Verleger antwortete, eine Löschung der Daten komme nicht in Betracht, da die Veröffentlichung auf Anordnung des Ministeriums für Arbeit und Sozialordnung erfolgt sei. 20. Im Februar 2010 wandte sich die betroffene Person an Google Spain und verlangte, dass bei der Eingabe des Vornamens und der Nachnamen der betroffenen Person in die Internetsuchmaschine von Google in den Suchergebnissen nicht die Links zu der Zeitung erscheinen. Google Spain leitete das Ersuchen der betroffenen Person an Google Inc. mit Sitz in Kalifornien (USA) weiter, da die Internet-Suchdienste von diesem Unternehmen erbracht würden. 21. Daraufhin legte die betroffene Person bei der AEPD eine Beschwerde ein und beantragte, den Verleger aufzu

60 JUDIKATUR ZIR 2014/1 fordern, die Veröffentlichung zu löschen oder zu ändern, damit ihre personenbezogenen Daten nicht erscheinen, oder unter Verwendung der von den Suchmaschinen zur Verfügung gestellten Werkzeuge ihre personenbezogenen Daten zu schützen. Die betroffene Person beantragte ferner, Google Spain oder Google aufzufordern, die Daten der betroffenen Person zu löschen oder zu verbergen, damit sie nicht weiter in ihren Suchergebnissen erscheinen und dazu führen, dass Links zu der Zeitung angezeigt werden. 22. Mit Entscheidung vom 30. Juli 2010 gab der Leiter der AEPD der Beschwerde der betroffenen Person gegen Google Spain und Google Inc. statt und forderte die Unternehmen auf, die erforderlichen Maßnahmen zur Löschung der Daten der betroffenen Person von ihrem Index zu ergreifen und einen künftigen Zugriff auf diese Daten unmöglich zu machen, wies jedoch die Beschwerde gegen den Verleger zurück. Die Veröffentlichung der Daten in der Presse sei auf einer rechtlichen Grundlage erfolgt. Google Spain und Google Inc. erhoben jeweils Klage beim vorlegenden Gericht, mit der sie Aufhebung der Entscheidung der AEPD beantragen. 23. Das nationale Gericht hat das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt [gekürzt]: 1. In Bezug auf den räumlichen Anwendungsbereich der Richtlinie und demzufolge der spanischen Datenschutzbestimmungen: 1.1. Besteht eine Niederlassung im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie, wenn eine oder mehrere der nachstehenden Fallgestaltungen vorliegen: wenn ein Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit auf die Einwohner dieses Staats ausgerichtet ist, 1.2. Ist Art. 4 Abs. 1 Buchst. c der Richtlinie dahin auszulegen, dass ein Rückgriff auf Mittel, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, gegeben ist, wenn eine Suchmaschine Spider oder Robots einsetzt, um Informationen auf Webseiten, die auf Servern in diesem Mitgliedstaat gehostet werden, zu lokalisieren und zu indexieren, 1.3. Kann die vorübergehende Speicherung der durch die Internetsuchmaschinen indexierten Informationen als Rückgriff auf Mittel im Sinne von Art. 4 Abs. 1 Buchst. c der Richtlinie betrachtet werden? 2. In Bezug auf die Tätigkeit der Suchmaschinen als Provider von Inhalten in Verbindung mit der Datenschutzrichtlinie: 2.1. Im Zusammenhang mit der Tätigkeit der Suchmaschine des Unternehmens Google im Internet als Provider von Inhalten, die darin besteht, nach Informationen zu suchen, die Dritte im Internet veröffentlicht oder gespeichert haben, sie automatisch zu indexieren, vor übergehend zu speichern und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung zu stellen, wenn diese Informationen personenbezogene Daten Dritter enthalten: Fällt eine derartige Tätigkeit unter den Begriff Datenverarbeitung in Art. 2 Buchst. b der Richtlinie? 2.2. Sollte die vorstehende Frage immer im Zusammenhang mit einer Tätigkeit wie der zuvor beschriebenen bejaht werden: Ist Art. 2 Buchst. d der Richtlinie dahin auszulegen, dass das Unternehmen, das die Suchmaschine Google betreibt, als für die Verarbeitung Verantwortlicher hinsichtlich der personenbezogenen Daten auf den Webseiten, die es indexiert, betrachtet werden kann? 2.4. Sollte die letzte Frage bejaht werden: Entfällt die Verpflichtung der Suchmaschinenbetreiber zum Schutz dieser Rechte, wenn die Informationen, die personenbezogene Daten enthalten, von Dritten rechtmäßig veröffentlicht wurden und in der Ursprungswebseite weiterhin enthalten sind? 3. Zur Reichweite des Rechts auf Löschung und/oder Widerspruch in Verbindung mit dem Recht auf Vergessenwerden stellt sich folgende Frage: 3.1 Kann davon ausgegangen werden, dass das in Art. 12 Buchst. b der Richtlinie geregelte Recht auf Löschung und Sperrung der Daten sowie das in Art. 14 Buchst. a der Richtlinie vorgesehene Widerspruchsrecht beinhalten, dass sich die betroffene Person an die Suchmaschinenbetreiber wenden kann, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten veröffentlicht sind, und sie sich hierzu auf ihren Willen berufen kann, dass sie den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass sie ihr schaden könnten, oder sie sich wünscht, dass sie vergessen werden, selbst wenn es sich um Informationen handelt, die von Dritten rechtmäßig veröffentlicht wurden?

ZIR 2014/1 DATENSCHUTZRECHT 61 IV Vorbemerkungen B Internetsuchmaschinen und Datenschutz 32. Bei der Prüfung der rechtlichen Einordnung von Internetsuchmaschinen im Rahmen der Datenschutzvorschriften ist Folgendes zu beachten. 33. Erstens, eine Internetsuchmaschine in ihrer Grundform erstellt grundsätzlich keine neuen eigenständigen Inhalte. In ihrer einfachsten Ausgestaltung zeigt sie lediglich an, wo Inhalte, die Dritte bereits ins Internet gestellt haben, zu finden sind, indem sie einen Hyperlink zu der Webseite anzeigt, die die Suchbegriffe enthält. 34. Zweitens, die von einer Internetsuchmaschine angezeigten Suchergebnisse beruhen nicht auf einer in Echtzeit durchgeführten Durchsuchung des gesamten World Wide Web, sondern sie werden aus Inhalten zusammengestellt, die die Internetsuchmaschine bereits zu einem früheren Zeitpunkt verarbeitet hat. Die Internetsuchmaschine hat nämlich Inhalte aus vorhandenen Webseiten ausgelesen, auf ihre eigenen Vorrichtungen kopiert und dort analysiert und indexiert. C Regelung der Internetsuchmaschinen 36. Die Union misst der Entwicklung der Informationsgesellschaft große Bedeutung zu. In diesem Zusammenhang wurde auch die Funktion der Vermittler in der Informationsgesellschaft berücksichtigt. 37. Die Funktion und die Rechtsstellung der Internetsuchmaschinen-Diensteanbieter sind in den Unionsvorschriften nicht ausdrücklich geregelt. Bei Instrumenten zur Lokalisierung von Informationen handelt es sich eigentlich um eine elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Internetsuchmaschinen-Diensteanbieter wie Google, die ihre Dienste nicht gegen ein von den Internetnutzern zu entrichtendes Entgelt erbringen, fallen in dieser Eigenschaft jedoch wohl nicht in den Anwendungsbereich der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr. 38. Trotzdem ist ihre Stellung anhand der Rechtsgrundsätze zu prüfen, die für die eingeschränkte Verantwortlichkeit der Internetdiensteanbieter gelten. Es stellt sich mit anderen Worten die Frage, inwieweit die Tätigkeiten eines Internetsuchmaschinen-Diensteanbieters unter Verantwortlichkeitsgesichtspunkten den in der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr aufgezählten Diensten (reine Durchleitung, Caching, Hosting) oder dem im 47. Erwägungsgrund der Richtlinie genannten Übermittlungsdienst entsprechen und inwieweit der Internetsuchmaschinen-Diensteanbieter selbst als Anbieter von Inhalten auftritt. V Erste Fragengruppe betreffend den räumlichen Anwendungsbereich der Richtlinie C Anwendbarkeit des Kriteriums Niederlassung in der Union auf einen Internetsuchmaschinen-Diensteanbieter in einem Drittland 60. Nach Art. 4 Abs. 1 der Richtlinie sind Hauptanknüpfungskriterium für die räumliche Anwendbarkeit der nationalen Datenschutzbestimmungen die Verarbeitungen personenbezogener Daten, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des betreffenden Mitgliedstaats besitzt. Die Vorschriften dieses Mitgliedstaats finden ferner dann Anwendung, wenn der für die Verarbeitung Verantwortliche nicht im Gebiet der Union niedergelassen ist, aber auf Mittel zurückgreift, die im Hoheitsgebiet des Mitgliedstaats belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Union verwendet werden. 62. Die Google Inc. ist ein kalifornisches Unternehmen mit Tochtergesellschaften in verschiedenen Mitgliedstaaten der Union. Google macht geltend, dass in Spanien keine mit seiner Suchmaschine in Zusammenhang stehende Verarbeitung personenbezogener Daten stattfinde. Google Spain handelt als Vertreterin von Google im Rahmen der Werbefunktionen. In dieser Eigenschaft hat Google Spain die Aufgabe der Verarbeitung personenbezogener Daten ihrer spanischen Werbekunden übernommen. Nach Angaben von Google nimmt ihre Suchmaschine weder Operationen auf den Servern vor, auf denen die Quellenwebseiten gehostet werden, noch erfasst sie mit Hilfe von Cookies Informationen über nicht registrierte Nutzer der Suchmaschine. 64. Meines Erachtens sollte der Gerichtshof die Frage des räumlichen Anwendungsbereichs unter dem Gesichtspunkt des Geschäftsmodells der Internetsuchmaschinen-Diensteanbieter prüfen. Dieses Modell beruht, wie ich bereits erwähnt habe, in der Regel auf der Schlüsselwörterwerbung, die die Finanzierungsquelle darstellt und als solche den wirtschaftlichen Grund für die unentgeltliche Bereitstellung eines Instruments zur Lokalisierung von Informationen in Form einer Suchmaschine bildet. Die Funktionen der Suchmaschinen sind auf solche nationalen Eigenheiten bei der An

62 JUDIKATUR ZIR 2014/1 zeige der Suchergebnisse auf verschiedenste Weise abgestimmt, da das Finanzierungsmodell der Schlüsselwörterwerbung auf dem Pay-per-Click -Verfahren beruht. 68. Daher schlage ich dem Gerichtshof vor, die erste Gruppe der Vorlagefragen in dem Sinne zu beantworten, dass Verarbeitungen personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie ausgeführt werden, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Bewohner dieses Staats richtet. VI Zweite Fragengruppe betreffend den sachlichen Anwendungsbereich der Richtlinie 69. Die zweite Fragengruppe betrifft die Rechtsstellung, die nach den Bestimmungen der Richtlinie ein Internetsuchmaschinen-Diensteanbieter einnimmt, der Zugang zu einer Internetsuchmaschine zur Verfügung stellt. Das nationale Gericht formuliert seine Fragen in Bezug auf die Begriffe Verarbeitung personenbezogener Daten (Frage 2.1) und für die Verarbeitung Verantwortlicher (Frage 2.2), und das eventuelle Entfallen der Verpflichtung des Internetsuchmaschinen-Diensteanbieters zum Schutz der personenbezogenen Daten, wenn diese Informationen von Dritten rechtmäßig im Internet veröffentlicht wurden (Frage 2.4). Die beiden letzten Unterfragen sind nur dann von Bedeutung, wenn der Internetsuchmaschinen-Diensteanbieter bei der Verarbeitung der personenbezogenen Daten, die sich auf Quellenwebseiten Dritter befinden, als für die Verarbeitung Verantwortlicher angesehen werden kann. A Verarbeitung personenbezogener Daten durch eine Internetsuchmaschine 70. Die erste Unterfrage dieser Gruppe betrifft die Anwendbarkeit der Begriffe personenbezogene Daten und ihrer Verarbeitung auf einen Internetsuchmaschinen-Diensteanbieter wie Google unter der Voraussetzung, dass es nicht um personenbezogene Daten von Nutzern oder Werbenden geht, sondern um personenbezogene Daten, die auf Quellenwebseiten Dritter veröffentlicht sind und von der vom Diensteanbieter betriebenen Internetsuchmaschine verarbeitet werden. Nach der Formulierung des nationalen Gerichts besteht diese Verarbeitung darin, nach Informationen zu suchen, die Dritte im Internet veröffentlicht oder gespeichert haben, sie automatisch zu indexieren, vorübergehend zu speichern und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung zu stellen. 71. Meines Erachtens bedarf es keiner ausgiebigen Erörterung, um diese Unterfrage zu bejahen. Der Begriff personenbezogene Daten ist in der Richtlinie weit definiert, und diese weite Definition ist von der Artikel- 29-Datenschutzgruppe angewandt und vom Gerichtshof bestätigt worden. 72. Was die Verarbeitung angeht, ist es möglich und kommt auch häufig vor, dass Quellenwebseiten Namen, Bilder, Anschriften, Telefonnummern, Beschreibungen und sonstige Angaben enthalten, mittels deren eine natürliche Person identifiziert werden kann. B Begriff für die Verarbeitung Verantwortlicher 76. Der Ausdruck für die Verarbeitung Verantwortlicher bezeichnet nach Art. 2 Buchst. d der Richtlinie die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Meines Erachtens geht es im vorliegenden Fall im Kern um die Frage, ob und in welchem Umfang ein Internetsuchmaschinen-Diensteanbieter unter diesen Begriff fällt. 80. Meiner Meinung nach ist als eine der hier entscheidenden Fragen zu klären, ob es darauf ankommt, dass mit der in der Richtlinie festgelegten Definition der für die Verarbeitung Verantwortliche als die Person charakterisiert wird, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Hervorhebung nur hier). 82. Meines Erachtens liegt der Systematik der Richtlinie, den meisten Sprachfassungen und auch der Ausgestaltung der einzelnen Pflichten, die die Richtlinie dem für die Verarbeitung Verantwortlichen auferlegt, die Vorstellung zugrunde, dass dieser die Verantwortung für die verarbeiteten personenbezogenen Daten trägt, und dass dies dahin zu verstehen ist, dass dem für die Verarbeitung Verantwortlichen die Existenz einer bestimmten definierten Kategorie von Informationen, die personenbezogene Daten darstellen, bekannt ist und dass er diese Daten in ihrer Eigenschaft als personenbezogene Daten verarbeiten will. 83. Die materiell-rechtlichen Bestimmungen der Richtlinie, insbesondere die Art. 6, 7 und 8, gehen meiner Meinung nach davon aus, dass dem für die Verarbeitung Verantwortlichen klar ist, wie er mit den betreffenden personenbezogenen Daten verfährt, d.h., dass ihm bekannt ist, welche Arten von personenbezogenen Da

ZIR 2014/1 DATENSCHUTZRECHT 63 ten er verarbeitet und weshalb er dies tut. Mit anderen Worten, die Datenverarbeitung muss sich ihm als Verarbeitung von personenbezogen Daten, also von Informationen über eine bestimmte oder bestimmbare natürliche Person, in einer semantisch bedeutsamen Weise und nicht nur als Computercode darstellen. C Internetsuchmaschinen-Diensteanbieter ist hinsichtlich personenbezogener Daten auf Quellenwebseiten Dritter kein für die Verarbeitung Verantwortlicher 84. Ein Internetsuchmaschinen-Diensteanbieter, der lediglich ein Instrument zur Lokalisierung von Informationen bereitstellt, übt keine Kontrolle über die auf Webseiten Dritter vorhandenen personenbezogenen Daten aus. Dem Diensteanbieter ist die Existenz personenbezogener Daten lediglich in dem Sinne bekannt, als Webseiten mit statistischer Wahrscheinlichkeit personenbezogene Daten enthalten. Bei der Verarbeitung von Quellenwebseiten zum Zwecke des Durchsuchens, Analysierens und Indexierens stechen personenbezogene Daten nicht in besonderer Weise hervor. 89. Meines Erachtens kann der Internetsuchmaschinen- Diensteanbieter hinsichtlich personenbezogener Daten auf Quellenwebseiten, die auf dem Server eines Dritten gehostet werden, weder rechtlich noch tatsächlich die in den Art. 6, 7 und 8 der Richtlinie vorgesehenen Pflichten eines für die Verarbeitung Verantwortlichen erfüllen. Eine angemessene Auslegung der Richtlinie gebietet deshalb, den Diensteanbieter nicht generell als für die Verarbeitung Verantwortlichen anzusehen. 90. Bei Zugrundelegung der entgegensetzten Auffassung müsste man Internetsuchmaschinen nämlich als mit dem Unionsrecht unvereinbar erklären, was ich für ein abwegiges Ergebnis halte. E Pflichten des Internetsuchmaschinen-Diensteanbieters als für die Verarbeitung Verantwortlicher 94. Es liegt auf der Hand, dass der Internetsuchmaschinen-Diensteanbieter, falls und soweit er als für die Verarbeitung Verantwortlicher angesehen werden kann, den in der Richtlinie vorgesehenen Verpflichtungen nachkommen muss. 95. Was die Voraussetzungen angeht, unter denen die Datenverarbeitung ohne Einwilligung einer betroffenen Person (Art. 7 Buchst. a der Richtlinie) zulässig wird, dürfte wohl auf der Hand liegen, dass die Erbringung von Internetsuchmaschinen-Diensten als solche einem berechtigten Interesse dient, nämlich i) den Internetnutzern Informationen einfacher zugänglich zu machen, ii) die Verbreitung der ins Internet gestellten Informationen effektiver zu gestalten und iii) verschiedene Dienste der Informationsgesellschaft zu ermöglichen, die der Internetsuchmaschinen-Diensteanbieter ergänzend zur Internetsuchmaschine anbietet, etwa die Schlüsselwörterwerbung. Diesen drei Zielen entsprechen jeweils drei durch die Charta geschützte Grundrechte. 96. Außerdem sind die Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten, für den die Verarbeitung erfolgt, und die Interessen der betroffenen Person abzuwägen. 98. Im Suchmaschinenindex werden die als Suchbegriff verwendeten Namen und sonstigen Kennungen mit einem oder mehreren Links zu Webseiten verknüpft. Soweit der Link adäquat ist, d.h., soweit die dem Suchbegriff entsprechenden Daten tatsächlich auf der verknüpften Webseite vorhanden sind oder waren, genügt der Index meines Erachtens den Erfordernissen der Zweckentsprechung, Erheblichkeit, Verhältnismäßigkeit, sachlichen Richtigkeit und Vollständigkeit nach Art. 6 Buchst. c und d der Richtlinie. F Ergebnis zur zweiten Fragengruppe 99. Deshalb bin ich der Ansicht, dass eine nationale Datenschutzbehörde einen Internetsuchmaschinen-Diensteanbieter nicht zur Entfernung von Informationen aus seinem Index verpflichten kann, es sei denn, der Diensteanbieter hat exclusion codes nicht beachtet oder ist einer Aufforderung seitens des Websitebetreibers zur Aktualisierung des Cache nicht nachgekommen. 100. Daher schlage ich dem Gerichtshof vor, auf die zweite Fragengruppe in dem Sinne zu antworten, dass unter den in der Vorlageentscheidung dargestellten Umständen ein Internetsuchmaschinen-Diensteanbieter personenbezogene Daten im Sinne von Art. 2 Buchst. b verarbeitet. Er kann jedoch außer in den vorstehend beschriebenen Ausnahmefällen nicht als für die Verarbeitung dieser personenbezogenen Daten Verantwortlicher im Sinne von Art. 2 Buchst. d angesehen werden. VII Dritte Frage bezüglich eines der betroffenen Person zustehenden Rechts auf Vergessenwerden B Zur Frage, ob das Recht auf Berichtigung, Löschung oder Sperrung und das Widerspruchsrecht gemäß der Richtlinie ein der betroffenen Person zustehendes Recht auf Vergessenwerden beinhalten 104. Das in Art. 12 Buchst. b der Richtlinie vorgesehene Recht auf Berichtigung, Löschung oder Sperrung be

64 JUDIKATUR ZIR 2014/1 zieht sich auf Daten, deren Verarbeitung nicht den Bestimmungen der Richtlinie entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind (Hervorhebung nur hier). 107. In Fällen, in denen die Internetsuchmaschinen- Diensteanbieter als für die Verarbeitung personenbezogener Daten Verantwortliche anzusehen sind, sind sie nach Art. 6 Abs. 2 der Richtlinie verpflichtet, ihre Interessen bzw. die Interessen eines Dritten, für den die Verarbeitung erfolgt, gegen die Interessen der betroffenen Person abzuwägen. Dabei spielt es, wie der Gerichtshof im Urteil ASNEF und FECEMD ausgeführt hat, für die Abwägung eine Rolle, ob die Daten bereits in öffentlich zugänglichen Quellen enthalten sind. 108. Ebenso wie fast alle Verfahrensbeteiligten, die in der vorliegenden Rechtssache schriftliche Erklärungen eingereicht haben, bin ich jedoch der Meinung, dass die Richtlinie kein allgemeines Recht auf Vergessenwerden in dem Sinne gewährt, dass eine betroffene Person berechtigt wäre, die Verbreitung personenbezogener Daten zu beschränken oder zu unterbinden, die sie für abträglich oder ihren Interessen zuwiderlaufend hält. 110. Der Vollständigkeit halber sei daran erinnert, dass der Vorschlag der Kommission für eine Datenschutz- Grundverordnung in Art. 17 ein Recht auf Vergessenwerden vorsieht. Der Vorschlag scheint jedoch auf erheblichen Widerstand gestoßen zu sein und versteht sich im Übrigen auch nicht als Kodifizierung des geltenden Rechts, sondern als wichtige rechtliche Neuerung. Auf die Beantwortung der Vorlagefrage dürfte er daher wohl keinen Einfluss haben. Dennoch ist interessant, dass es in Art. 17 Abs. 2 des Vorschlags heißt: Hat der für die Verarbeitung Verantwortliche die personenbezogenen Daten öffentlich gemacht, unternimmt er in Bezug auf die Daten, für deren Veröffentlichung er verantwortlich zeichnet, alle vertretbaren Schritte, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt. Nach dieser Formulierung scheinen Internetsuchmaschinen-Diensteanbieter eher Vermittler als für die Verarbeitung Verantwortliche zu sein. 111. Ich gelange daher zu dem Ergebnis, dass die Art. 12 Buchst. b und 14 Buchst. a der Richtlinie kein Recht auf Vergessenwerden verleihen. C Die in Rede stehenden Grundrechte 118. Aufgrund des Urteils Volker und Markus Schecke und Eifert gelange ich zu dem Ergebnis, dass sich der Schutz des Privatlebens nach Maßgabe der Charta unter dem Gesichtspunkt der Verarbeitung personenbezogener Daten auf alle Informationen über eine natürliche Person erstreckt, und zwar unabhängig davon, ob die Person ausschließlich in der Privatsphäre oder als Wirtschaftsteilnehmer oder beispielsweise als Politiker handelt. 119. Aus dem [erwähnten] Urteil folgt somit, dass unabhängig davon, wie man die Stellung des Diensteanbieters nach der Richtlinie einordnet, ein Eingriff in das durch Art. 7 der Charta garantierte Recht der betroffenen Person auf Privatsphäre vorliegt. [E]s stellt sich die Frage, inwieweit Eingriffe seitens Privater hingenommen werden können. Die diesbezüglichen Grenzen sind in der Richtlinie festgelegt, d.h., sie beruhen auf Gesetz, wie dies die EMRK und die Charta verlangen. Daher geht es bei der Auslegung der Richtlinie konkret um die Festlegung der Grenzen, die die Charta einem Privaten bei der Datenverarbeitung setzt. E Zur Frage, ob für die betroffene Person ein Recht auf Vergessenwerden aus Art. 7 der Charta hergeleitet werden kann 133. Angesichts der besonders komplexen und schwierigen Grundrechtskonstellation im vorliegenden Fall lässt es sich nicht rechtfertigen, die nach Maßgabe der Richtlinie bestehende Rechtsstellung der betroffenen Personen zu verstärken und um ein Recht auf Vergessenwerden zu ergänzen. 136. Dagegen kann diesen Diensteanbietern aufgrund der Richtlinie auch in ihrer Auslegung im Einklang mit der Charta kein allgemeines Recht auf Vergessenwerden entgegengehalten werden. 137. Deshalb schlage ich dem Gerichtshof vor, die dritte Vorlagefrage in dem Sinne zu beantworten, dass das in Art. 12 Buchst. b der Richtlinie geregelte Recht auf Löschung und Sperrung der Daten und das in Art. 14 Buchst. a vorgesehene Widerspruchsrecht kein Recht auf Vergessenwerden beinhalten, wie es in der Vorlageentscheidung beschrieben wird.

ZIR 2014/1 DATENSCHUTZRECHT 65 Anmerkung Von Arthur Stadler und Raphael Toman Erst kürzlich feierte die Google-Suche ihren 15. Geburtstag: Ende September 1998 ging die Google-Suche erstmals online. 1 Innerhalb kürzester Zeit konnte sie sich als Marktführer etablieren und diese Position bis heute beibehalten oder sogar ausbauen. Die hier gegenständliche Datenschutzrichtlinie 95/46/ EG ( Richtlinie ) datiert allerdings wesentlich weiter zurück. Die Richtlinie entstammt einem Vorschlag aus 1990, als weder das Internet im heutigen Sinne noch Suchmaschinen existierten. Dies betont auch der Generalanwalt ( GA ) in seinem SchlA wenn er zu bedenken gibt, dass bei weiter Auslegung der Begriffsbestimmungen die Richtlinie heute potenziell auf jeden, der ein Smartphone oder einen Computer besitzt, Anwendung finden könnte. 2 In der vorliegenden Rs geht es um fundamentale Rechtsfragen für die Nutzung des Internets, nämlich um die rechtliche Stellung eines Internetsuchmaschinen-Diensteanbieters und genauer um die umfassende oder bloß eingeschränkte Verantwortlichkeit für angezeigte Daten aus verknüpften Quellenwebsites. An dieser Stelle muss betont werden, dass die gegenständliche Rs nur Datenbearbeitungen zur Indexierung von Inhalten Dritter betrifft, dh ausschließlich um die Bearbeitung von Personendaten, welche auf den Quellenwebsites Dritter bereits veröffentlicht sind. Nicht (direkt) betroffen sind daher Bearbeitungen von Daten der Nutzer oder der Werbekunden. Zum räumlichen Anwendungsbereich Im vorliegenden Fall war fraglich, ob überhaupt europäisches bzw spanisches Recht anwendbar sei. Google machte geltend, dass die relevante Datenbearbeitung in den USA durchgeführt werde und in Spanien keine mit der Suchmaschine in Verbindung stehende Bearbeitung von Personendaten stattfinde. Der GA griff zur Interpretation der relevanten Niederlassung auf das Kriterium der Ausrichtung zurück. Dieses findet sich in der ständigen EuGH-Judikatur 3 sowie in vergleichbarer Form im Entwurf der EU-Datenschutz-Grundverordnung 4. Demnach müsse vielmehr das Geschäftsmodell des Suchmaschinenbetreibers berücksichtigt werden, wozu auch die Schlüsselwörterwerbung (z.b. Google AdWords) gehöre. 5 Letztere sei die relevante Finanzierungsquelle und der eigentliche Grund dafür, warum Betreiber ihre Suchmaschinen unentgeltlich zur Verfügung stellen. Google s Tochtergesellschaft Google Spain SL mit Präsenz auf dem nationalen Werbemarkt biete zwar bloß Keyword-Advertising an, bei einheitlicher Betrachtung der Tätigkeiten von Google (Bereitstellung des Suchdienstes UND der Werbeanzeigen) liege aber eine relevante Niederlassung in Spanien vor 6 : Die spanische Tochtergesellschaft bearbeite dann Personendaten, wenn sie eine Dienstleistung anbiete, die gezielt auf den Verkauf von Werbeanzeigen an die Einwohner eines EU-Mitgliedstaats ausgerichtet ist. Sofern daher Google in einem Mitgliedstaat (auch nur) eine Niederlassung für die Vermarktung und den Verkauf von Werbeanzeigen habe, richte sich die Geschäftstätigkeit gezielt auf die Einwohner dieses Mitgliedstaates aus. Somit sei europäisches bzw spanisches Recht anwendbar. Der Bezug auf die EuGH-Rechtsprechung zur Ausrichtung, die vorerst zur Begründung der internationalen gerichtlichen Zuständigkeit erging 7, schließlich vermehrt auch kolli 1 Vgl etwa Der Standard vom 28.9.2013, S 17. 2 EuGH SchlA GA Jääskinen, 25.6.2013, C-131/12, Google Spain SL et al, Rz 10. 3 EuGH 7.12.2010, C-585/08 und C-144/09, Pammer und Hotel Alpenhof; EuGH 19.4.2012, C-523/10, Wintersteiger; EuGH 21.6.2012, C-5/11, Donner; EuGH 25.10.2011, C-509/09 und C-161/10, edate Advertising und Martinez. 4 Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), 25.1.2012, KOM(2012) 11 endg, 2012/0011 (COD). 5 Vgl Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008, vom 4. April 2008, 11. 6 Vgl zur Niederlassung im datenschutzrechtlichen Sinne etwa auch: Geuer, ZIR 2013, 153. 7 Vgl etwa Mitterer, Begründung der gerichtlichen Zuständigkeit aufgrund einer Website, in: Jaksch-Ratajczak/Stadler (2011) 101 ff.

66 JUDIKATUR ZIR 2014/1 sionsrechtliche Bedeutung erlangte 8, birgt allerdings einige Risiken für andere unentgeltliche Internet-Diensteanbieter: Das Geschäftsmodell von sozialen Netzwerken wie etwa Facebook, Twitter, LinkedIn finanziert sich nicht über User-Gebühren, sondern über Werbeanzeigen. Bei Übertragung der Argumentation des GA müssten daher etwa soziale Netzwerke sämtliche nationalen Vorschriften von EU-Mitgliedsstaaten beachten, in welchen das Unternehmen auch über eine Niederlassung zur Akquise von Werbe-Kunden verfügt 9 und dorthin seine (gesamte) Tätigkeit ausrichtet. Zum sachlichen Anwendungsbereich Wenig überraschend ist die Ansicht des GA, dass Google dann, wenn es wegen Suchanfragen das Internet durchforstet, Daten isd Art 2 der Richtlinie und eben auch personenbezogene Daten (wie etwa Telefonnummer, Name, Adresse) verarbeitet. Zur Frage, ob Google die für die Datenbearbeitung verantwortliche Person sei, findet der GA allerdings klare und einleuchtende Worte: Als verantwortliche Person gilt diejenige Person, welche über die Zwecke und Mittel der Datenbearbeitung entscheidet. Unter Berücksichtigung der Interessen der Informationsgesellschaft und des Grundsatzes der Verhältnismäßigkeit könne ein Datenbearbeiter laut GA zu nur dann als verantwortliche Person gelten, wenn ihr bewusst und bekannt ist, welche Arten von Personendaten sie verarbeitet und weshalb sie dies tut. 10 Die Datenverarbeitung müsse sich dem Anbieter als Bearbeitung von Personendaten in einer semantisch bedeutsamen Weise und nicht nur als Computercode darstellen. Demnach ist Google nicht generell die für die Bearbeitung von Personendaten auf den verarbeiteten Webseiten verantwortliche Person. Die Suchmaschine stelle lediglich ein Instrument zum Suchen von Informationen dar und impliziere keine Kontrolle über die auf Webseiten Dritter vorhandenen Inhalte, zumal Google gar nicht in der Lage wäre, zwischen Personendaten und anderen Daten zu unterscheiden. Google könne aus diesem Grund weder rechtlich noch tatsächlich die in der Richtlinie vorgesehenen Pflichten der verantwortlichen Person erfüllen. Dem ist ue zuzustimmen. Dieses Ergebnis stimmt auch mit der generellen Wertung des EU Sekundärrechts überein, zumal die E-Commerce- Richtlinie in ihren Art 12, 13 und 14 festlegt, dass der automatisierte, technische und passive Bezug zu elektronisch gespeicherten oder übermittelten Inhalten keine Kontrolle über und keine Verantwortlichkeit für die Inhalte begründet. Das Ergebnis ist auch in Anbetracht der in der Richtlinie normierten Pflichten nachvollziehbar diese kann ein reiner Suchmaschinen-Dienstanbieter sinnvollerweise nicht einhalten. Würde man Google als verantwortliche Person qualifizieren, wäre der Betrieb einer Suchmaschine kaum mehr mit dem EU- Datenschutzrecht in Einklang zu bringen. Ein solches Ergebnis erachtet der GA als abwegig. Vor diesem Hintergrund kann eine nationale [im vorliegenden Fall: die spanische] Datenschutzbehörde Google grundsätzlich nicht zur Entfernung von Informationen aus seinem Index verpflichten. Dies wäre nach Ansicht des GA nur dann möglich, wenn der Anbieter sog. Exclusion Codes nicht beachtet hat oder einer Aufforderung seitens des Websitebetreibers zur Aktualisierung des Cache nicht nachgekommen ist. Denn in diesem Fall, wie auch im Zusammenhang mit der Bearbeitung von Daten der Suchmaschinen- Nutzer und Werbekunden, wäre Google als verantwortliche Person zu betrachten. Ein solcher Fall lag in der gegenständlichen Rs allerdings nicht vor. Zum Recht auf Vergessenwerden In jenen Fällen, in welchen Google verantwortliche Person ist, ist der GA aber der Auffassung, dass die geltende Richtlinie kein allgemeines Recht auf Vergessenwerden enthalte. 11 Die Richtlinie sehe zwar ein Recht auf Berichtigung, Löschung oder Sperrung 8 Vgl etwa Brenn, ÖJZ 2012, 494 (498). 9 Vgl etwa Kritik von Bühlmann, unter http://br-news. ch (Abruf vom 29.9.2013) mit Verweis auf Facebook Germany GmbH in Deutschland. 10 Der GA leitet dies aus ErwGr 26, 46 der Datenschutz-Richtlinie ab. 11 Lit in Österreich zu Recht auf Vergessenwerden etwa: Lachmayer, ÖJZ 2012, 842; Leissler, ecolex 2012, 268.

ZIR 2014/1 DATENSCHUTZRECHT 67 der Daten vor. Dieses beziehe sich aber auf Daten, die in einer Weise bearbeitet werden, die den Vorgaben der Richtlinie widerspricht, zb in denjenigen Fällen, in denen Daten unvollständig oder unrichtig sind. Ein solcher Fall lag wiederum in der gegenständlichen Rs nicht vor. Neben dem Berichtigungs- und Löschungsrecht verleiht die Richtlinie betroffenen Personen das Recht, einer Datenbearbeitung jederzeit aus überwiegenden, schutzwürdigen und sich aus der besonderen Situation ergebenden Gründen zu widersprechen, sofern das nationale Recht nichts anderes vorsieht. Unseres Erachtens zutreffend und nach Ansicht des GA stellt allerdings die subjektive Bewertung der betroffenen Person ob die personenbezogenen Daten für diese Person abträglich sind oder ihren Interessen zuwiderläuft allein keinen solchen überwiegenden, schutzwürdigen Grund dar. Das gilt umso mehr, wenn Informationen bereits rechtmäßig an die Öffentlichkeit gelangt sind. Im Ergebnis würde dies zu einer Zensur der veröffentlichten Inhalte durch eine Privatperson führen, die sich aber nicht aus der Richtlinie ableiten lässt. Die Löschung von nicht rechtswidrigen Inhalten könne demnach nach Meinung des GA nicht gestützt auf ein solches Recht durchgesetzt werden. Der GA kommt in weiterer Folge zu dem Schluss, dass das Recht auf Vergessenwerden noch nicht im Unionsrecht verankert ist. Selbst wenn Art 17 der Datenschutz- Grundverordnung bzw ihre ErwGr 53, 54 das Recht auf Vergessenwerden nunmehr ausdrücklich nennen, lässt sich daraus kein absolutes Recht ableiten: die Regelung beinhaltet bloß die Möglichkeit der Löschung von Daten unter bestimmten Voraussetzungen und kombiniert ue damit im Ergebnis bloß die bisherigen Möglichkeiten. 12 Es darf mit Spannung der Entscheidung des EuGH entgegengeblickt werden, insb zur Adaption der EuGH-Rspr zur Ausrichtung und zur sachlichen Anwendbarkeit der Richtlinie. 12 Vgl Feiler, MR-Int 2011, 127 (128).

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback