EuGH: Google kann zur Löschung rechtsverletzender Links aus Suchergebnissen verpflichtet sein

Heute wurde die mit Spannung erwartete Entscheidung des EuGH zur Anwendbarkeit der EU-Richtlinie 95/46/EG („Datenschutzrichtlinie“) auf die von der Google Inc. mit Sitz in den USA betriebene Suchmaschine verkündet (Rechtssache C-131/12). Abweichend von den Schlussanträgen des Generalanwalts, und damit durchaus überraschend, postuliert der EuGH eine umfassende Verantwortlichkeit des Suchmaschinenbetreibers für die Verarbeitung jeglicher personenbezogener Daten, die er auf Internetseiten Dritter ausliest, organisiert und in seinen Suchergebnissen verlinkt. Das Gericht hält darüber hinaus  – insoweit im Einklang mit dem Generalanwalt – nationales Datenschutzrecht bereits dann für anwendbar, wenn ein Suchmaschinenbetreiber in einem Land eine Niederlassung besitzt, die (ausschließlich) mit der Vermarktung von Werbeflächen der Suchmaschine betraut ist. Von Verena Grentzenberg & Jana Semrau

Vor diesem Hintergrund gelangt das Gericht zu der Auffassung, dass Suchmaschinenbetreiber dazu verpflichtet sein können, Links zu Seiten Dritter in den Ergebnislisten zu entfernen, sofern hiermit eine Beeinträchtigung deren Rechts auf Achtung des Privatlebens bzw. auf Schutz personenbezogener Daten verbunden ist. Dies könne, so das Gericht weiter, sogar der Fall sein, wenn die Veröffentlichung auf der verlinkten Seite selbst ursprünglich rechtmäßig war oder sogar noch immer ist. Die Richter begründen die Löschungspflicht unter anderem damit, dass eine Suchmaschine ein detailliertes und strukturiertes Profil einer Person liefere. Die Wirkung des Eingriffs würde durch die bedeutende Rolle des Internets und der Suchmaschinen in der modernen Gesellschaft noch weiter gesteigert.

Das Recht Betroffener auf Löschung von Links besteht allerdings nicht uneingeschränkt: Nach Ansicht des Gerichtshofes muss ein angemessener Ausgleich zwischen dem Interesse der Betroffenen einerseits und dem Informationsrecht anderer Internetnutzer andererseits gefunden werden. Im Regelfall käme den Rechten der Betroffenen höheres Gewicht zu. Abhängig von der Art der Information, deren Sensibilität und dem öffentlichen Interesse daran könne in besonders gelagerten Fällen aber auch das Informationsinteresse überwiegen (etwa wenn der Betroffene eine besondere Rolle im öffentlichen Leben spiele).

Weiterhin stellt der EuGH fest, dass in einem gewissen Umfang auch ein „Recht auf Vergessenwerden“ jedenfalls durch den Suchmaschinenanbieter bestehen könne: Die Veröffentlichung ursprünglich rechtmäßig verlinkter und sachlich richtiger Informationen könne nämlich im Einzelfall durch Zeitablauf rechtswidrig werden. Links müssten dann allein aus diesem Grund aus der Ergebnisliste entfernt werden. Zu den Kriterien, die hierbei eine Rolle spielen, äußerte sich das Gericht allerdings nicht; insbesondere wird es auch zukünftig kein konkretes „Verfallsdatum“ für Informationen geben.

Hintergrund

Dem Verfahren lagen zwei Meldungen in der Druckausgabe einer spanischen Zeitung aus dem Jahr 1998 zugrunde, in denen Zwangsvollstreckungsmaßnahmen gegen einen spanischen Staatsbürger bekannt gemacht wurden. Bei Eingabe des Vor- und Nachnamens des Betroffenen in die Google-Internetsuchmaschine wurde ein Link zu den elektronischen Ausgaben der Zeitung in den Suchergebnissen angezeigt. Nachdem sich der Betroffene beim Verleger erfolglos um Löschung der betreffenden Online-Ausgaben bemüht hatte, verlangte er im Februar 2010 von der Google Inc. mit Sitz in Kalifornien (USA) als Betreiber der Internet-Suchmaschine bzw. von der Google Spain SL, einer spanischen Vermarktungsagentur der Google Inc., in den Google-Suchergebnissen künftig keine Verknüpfungen zwischen seinem Vor- und Nachnamen und der besagten Online-Zeitung mehr anzuzeigen. Als Google dieser Forderung nicht entsprach, legte der Betroffene bei der Spanischen Datenschutzagentur (AEPD) Beschwerde gegen den Verleger und gegen Google ein. Er argumentierte, dass die Zwangsvollstreckungsmaßnahmen seit Jahren vollständig erledigt seien und deshalb keine Erwähnung mehr verdienten.Die AEPD wies die Beschwerde gegen den Verleger zurück, da dieser die Informationen rechtmäßig veröffentlicht habe. Der Beschwerde gegen Google gab die AEPD hingegen statt und forderte die beiden Gesellschaften auf, die Daten aus ihrem Index zu entfernen und einen zukünftigen Zugang zu diesen Links zu unterbinden. Gegen diese Entscheidung der AEPD erhob Google Klage. Das spanische Gericht legte dem EuGH in diesem Zusammenhang eine Reihe von Fragen zur Vorabentscheidung vor. Diese betrafen den sachlichen und räumlichen Anwendungsbereich der Datenschutzrichtlinie und der spanischen Datenschutzbestimmungen, den Umfang der Verantwortlichkeit des Suchmaschinenbetreibers nach der Datenschutzrichtlinie einerseits sowie die Reichweite der durch die Datenschutzrichtlinie garantierten Rechte der betroffenen Person andererseits.

Erste datenschutzrechtliche Bewertung des Urteils

Das Urteil dürfte erhebliche Auswirkungen speziell für Anbieter von Suchmaschinen, aber auch generell für Anbieter von Online-Diensten, die sich an EU-Bürger richten, haben:

Nicht nur Google, auch andere Anbieter von Online-Diensten betreiben ihre Services aus Drittstaaten wie den USA heraus. Gleichzeitig haben sie oftmals Tochtergesellschaften in verschiedenen Ländern der EU gegründet und mit der Vermarktung von Werbeflächen sowie sonstigen Dienstleistungen beauftragt. Da dies für die Anwendbarkeit nationalen Datenschutzrechts ausreichen soll, sehen sich diese Anbieter nunmehr mit zahlreichen unterschiedlichen Datenschutzbestimmungen und Behörden konfrontiert.

Ob dies allerdings auch für Anbieter gilt, die ihre Dienste aus einzelnen, ausgewählten EU-Staaten heraus anbieten (wie z.B. Facebook aus Irland) ist fraglich. Denn der EuGH begründet seine Entscheidung zur Anwendbarkeit spanischen Datenschutzrechts explizit damit, dass bei Anbietern, die wie die Google Inc. aus einem Drittstaat heraus agieren, der gemäß der Datenschutzrichtlinie gewährleistete Schutz umgangen werden könne. Dies ist bei Anbietern mit Sitz in einem EU-Staat jedoch nicht der Fall: Nach dem sogenannten Sitzlandprinzip gilt hier jeweils das Recht des EU-Staates, in dem die Betreibergesellschaft ihren Sitz hat. Die Geltung der Datenschutzrichtlinie ist damit gewährleistet. Entsprechend dürfte der Beschluss des OVG Schleswig vom 23.04.2013, der eine Anwendbarkeit deutschen Datenschutzrechts auf Facebook verneinte, nach dieser Entscheidung des EuGH weiterhin Bestand haben (siehe hierzu auch unseren Beitrag).

Außerdem bedeutet die vom EuGH postulierte umfassende datenschutzrechtliche Verantwortlichkeit des Suchmaschinenbetreibers für die indexierten Inhalte der Suchergebnisse, dass die Verlinkung von Seiten, die besondere Arten von Daten im Sinne des Art. 8 der Richtlinie enthalten (z. B. Daten über politische Meinungen, religiöse Überzeugungen oder Gesundheitsdaten), automatisch rechtswidrig ist, sofern die strengen Voraussetzungen für die Verarbeitung solcher Daten nicht ausnahmsweise erfüllt sind. Auf diese Problematik hatte bereits der Generalanwalt hingewiesen. So müsste etwa nach deutschem Recht eine informierte, ausdrückliche Einwilligung der Betroffenen speziell in die weltweite Indexierung und Verlinkung ihrer besonderen Arten von Daten durch einen Suchmaschinenbetreiber vorliegen – dies aber wird offensichtlich nahezu niemals der Fall sein. Insbesondere die Verlinkung auf Presseinhalte kann damit für Suchmaschinenbetreiber zukünftig mit erheblichen Risiken verbunden sein. Denn im Gegensatz zu Websitebetreibern können sich Suchmaschinenbetreiber nicht auf nationale Ausnahmeregelungen für journalistische Veröffentlichungen (vgl. Art. 9 Datenschutzrichtlinie) berufen.

Insoweit stellen sich die Fragen, inwieweit Google und andere Suchmaschinenbetreiber überhaupt technisch in der Lage sein werden, die vom EuGH für anwendbar erklärten Datenschutzbestimmungen zu erfüllen, und, sofern dies nicht der Fall sein sollte, diese EuGH-Entscheidung im Einklang mit dem grundgesetzlich garantierten Recht auf Informationsfreiheit (Art. 5 GG) steht. Nicht unproblematisch wäre es auch, wenn Google als Konsequenz aus dem Urteil dazu übergehen würde, unliebsame Links auf Antrag Betroffener ungeprüft zu entfernen. Schließlich könnte dies zu einer massiven Verfälschung der Suchergebnisse führen.

Erste äußerungsrechtliche Bewertung des Urteils

Obgleich die Entscheidung des EuGH vordergründig dem Datenschutzrecht zuzuordnen ist, ist sie auch in persönlichkeitsrechtlicher Hinsicht interessant. Denn der EuGH sieht Google (über den Rückgriff auf den Begriff des „Verantwortlichen“ i. S. v. Art. 2 Buchst. d der Datenschutzrichtlinie) nicht bloß als „technischen Verbreiter“ an, der allenfalls als „Störer“ für rechtswidrige Äußerungen eines Dritten haftet. Der Gerichtshof befürwortet vielmehr – für den Fall eines überwiegenden Interesses des Betroffenen – eine eigene und unmittelbare (datenschutzrechtliche) Verantwortung des Suchmaschinenbetreibers – und zwar selbst dann, wenn sich der Betroffene nicht zuvor an den Betreiber der Website gewandt hat, auf der die rechtsverletzende Äußerung enthalten ist.

Dazu beruft sich der EuGH auf Art. 12 Buchst. b der Datenschutzrichtlinie, wonach der Betroffene vom für die Verarbeitung Verantwortlichen „die Berichtigung, Löschung oder Sperrung von Daten“ verlangen kann, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie entspricht, „insbesondere wenn diese Daten unvollständig oder unrichtig sind“. Dieser unmittelbare gesetzliche Rückgriff auf den Suchmaschinenbetreiber könnte auch bei den für Persönlichkeitsrechtsverletzungen zuständigen Zivilgerichten Anklang finden und sie die bisherigen Grundsätzen der persönlichkeitsrechtsrechtlichen Haftung eines Suchmaschinenbetreibers als bloßer „Störer“ überdenken lassen. Bislang gingen Gerichte nämlich davon aus, dass dessen Haftung davon abhängig (und deshalb nachrangig) sei, dass der Betroffene zuvor „den Betreiber der genannten Internetseite zu einer Löschung veranlasst oder zumindest (…) alles ihm Mögliche unternimmt, um die Entfernung der Äußerung aus dem Netz zu bewirken“ (OLG Hamburg MMR 2010, 490, 491). Ein solcher Vorrang der Haftung des Äußernden soll jedoch nach Ansicht des EuGH dem „wirksame[n] und umfassende[n] Schutz“ des Betroffenen entgegenstehen, da „auf einer Website veröffentlichte Informationen leicht auf anderen Websites wiedergegeben werden können und die für die Veröffentlichung Verantwortlichen nicht immer dem Unionsrecht unterliegen“. Der Gerichtshof bejaht deshalb eine eigene unmittelbare (datenschutzrechtliche) Verantwortung des Suchmaschinenbetreibers, die ggf. sogar über die des Äußernden hinausgehen könne – allerdings unter ausdrücklichem Verweis auf die besondere Bedeutung von Internetsuchmaschinen, die die Zugänglichkeit von Informationen für Internetnutzer erheblich erleichterten und eine entscheidende Rolle bei deren Verbreitung spielten, was unter Umständen einen stärkeren Eingriff in das Persönlichkeitsrecht des Betroffenen begründen könne als die rechtsverletzende „Erstmitteilung“.

Die aktuelle Entscheidung begründet somit nicht das Ende des Instituts „Störerhaftung“ im Zivilrecht. Zudem dürfte die Entscheidung bei singulären Verlinkungen auf rechtsverletzende Beiträge Anderer, denen die beschriebene Bedeutung nicht zukommt, nicht übertragbar sein. Für Google und andere Suchmaschinenbetreiber dürfte sie jedoch ein harter Schlag sein. Google gab entsprechend bekannt, man benötige nun Zeit, um die Auswirkungen der Entscheidung zu analysieren.

Die abweichenden Schlussanträge des Generalanwalts

Auch Generalanwalt Jääskinen vertrat in seinen Schlussanträgen bereits die Ansicht, dass spanisches Datenschutzrecht auf die Tätigkeit von Google Anwendung finden sollte.

Anders als der EuGH, hatte er aber dafür plädiert, dass Suchmaschinen-Diensteanbieter für personenbezogene Daten auf von ihnen verarbeiteten Website nach der Datenschutzrichtlinie in der Regel weder rechtlich noch tatsächlich verantwortlich sein sollten. Internetsuchmaschinen-Betreiber seien nicht in der Lage, zwischen personenbezogenen Daten im Sinne der Datenschutzrichtlinie und anderen Daten zu unterscheiden. Eine nationale Datenschutzbehörde könne sie daher nicht generell zur Entfernung von Informationen aus ihrem Index verpflichten. Nur in besonderen Ausnahmefällen sei der Suchmaschinenbetreiber auch materiell-rechtlich verantwortlich, namentlich wenn er vom Websiteanbieter in den Quellcode der indexierten Seiten eingebaute Ausschlusscodes („exclusion codes“), die die Indexierung der Inhalte verhindern sollen, nicht beachte oder einer Aufforderung seitens des Websitebetreibers zur Aktualisierung seines Zwischenspeichers („Cache“) nicht nachkomme und das Suchergebnis daher veraltete Informationen liefere.

Außerdem hatte der Generalanwalt die Auffassung vertreten, dass aus der geltenden Datenschutzrichtlinie auch unter Berücksichtigung der Grundrechte der EU-Charta kein allgemeines „Recht auf Vergessenwerden“ hergeleitet werden könne, sodass auch unter diesem Aspekt keine Verpflichtung zur Bereinigung des Index seitens der Suchmaschinen-Diensteanbieter bestehe.

Kommentare sind geschlossen.