Der heutige 25. Mai könnte einen rechtlichen Meilenstein markieren – die Rede ist vom formellen Inkrafttreten der neuen EU-Datenschutzgrundverordnung. Das Problem: Betroffene müssen sich in Geduld üben, bis die Bestimmungen 2018 für die gesamte EU gelten. Um die Übergangsfrist zu nutzen, habe ich einen besonders interessanten Regelungsgegenstand der Verordnung herausgegriffen und möchte dessen Hintergrund (als datenschutzrechtlicher Laie) näher erläutern.
Es handelt sich um das sog. “Right to be forgotten”, den medienwirksam erstrittenen Löschungsanspruch gegen Suchmaschinenanbieter im Internet. Damit passt sich die Rechtsordnung in der für sie typischen Behäbigkeit an die Terminologie der Realität (“Das Internet vergisst nichts”) an und sagt ihr den Kampf an. Ein einfach zu erreichendes Regelungsziel ist das vollständige Entfernen von Daten im Zeitalter von Big Data und globaler Netzwerke nicht gerade. Hinzu kommt, dass die juristische Neuschöpfung “Right to be forgotten” keineswegs vom Himmel fiel, sondern sich graduell herausgebildet hat.
I. Die höchstrichterliche Rechtsprechung in Deutschland hat einige Zeit verstreichen lassen, bis sie den Datenschutz im Internet für sich entdeckt hat. 2008 – von “Neuland” konnte man schon damals nicht mehr sprechen – entschied das Bundesverfassungsgericht in einem wegweisenden Urteil: Der Persönlichkeitsschutz, wie er aus der Verfassung in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG hervorgeht, beinhaltet ein neues Grundrecht – sperrig auf den Namen “Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme” getauft. Selbiges Computer-grundrecht hob die Debatte um Datenschutz im Internet zwar auf ein verfassungsrechtliches Niveau, dem Urteil lagen jedoch staatliche Online-Durchsuchungen durch einen Landesverfassungsschutz zugrunde. Für die Löschung (= negative Dimension der Datenverarbeitung) zwischen Privaten lassen sich daraus kaum Erkenntnisse gewinnen, sieht man von der mittelbaren Drittwirkung des Grundrechts im Privatrechtsverkehr ab.
II. 2010 unternahm der Gesetzgeber einen weiteren Schritt, indem er eine Löschungspflicht in § 35 Abs. 2 S.2 Bundesdatenschutzgesetz (BDSG) verankerte. Dort finden sich vier Löschungstatbestände, unter deren Voraussetzungen eine weitere Datenspeicherung unzulässig ist. Erwähnenswert sind. § 35 Abs. 2 S.2 Nrn. 2 und 4 BDSG: Zu löschen sind belastende und höchstpersönliche Daten über den Betroffenen (z.B. Begehung von Straftaten, Gesundheitszustand), deren Richtigkeit von der “verantwortlichen Stelle” nachträglich nicht bewiesen werden können (non liquet) sowie nach 3 Jahren und entsprechender Prüfung die besonders praxisrelevanten vermarktungsfähigen Daten (also für Werbezwecke) . Klar ist, dass all dem eine ordnungsgemäße Datenerhebung vorausgegangen sein muss (!), was etwa ein Widerspruch nach § 35 VI BDSG ausschließt. Zum Kreis der Verantwortlichen zählen nach der Regelung auch private Informationsdienstleister im Internet, ergo sind Suchmaschinenbetreiber erfasst (Gola/Schomerus, Bundesdaten-schutzgesetz, 12. Aufl. 2015, § 35 Rn. 2 ff.; Nolte, NJW 2014, 2238, 2241).
III. Doch genug mit normtheoretischen Ausführungen: Wenden wir uns einem konkreten Fall zu, der die Löschung von Sucheinträgen durch Google betraf und 2013 bis vor den Bundesgerichtshof (BGH) ging. Die sog. Autocomplete-Entscheidung betraf einen Hersteller von Kosmetika und Nahrungsergänzungsmitteln. Gab man den Namen des Unternehmensgründers ein, schlug Google die Ergänzungen “Betrug” und “Scientology” vor. Wirtschaftlich gesehen extrem geschäftsschädigend, rechtlich betrachtet u.a. ein Eingriff in das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG). Der BGH zog hierfür Google nach §§ 1004 Abs. 1, 823 Abs. 1 BGB nach umfassender Abwägung zur Rechenschaft, da der Konzern seinen Prüfpflichten wiederholt nicht nachgekommen war. Dies bedeutet zivilrechtlich, dass Google die Suchvorschläge beseitigen (= löschen), diese künftig unterlassen und angemessenen Schadensersatz leisten musste.
IV. Den Stein ins Rollen brachte schließlich ein Urteil des Europäischen Gerichtshofes (EuGH) vom 13.5.2014, das die Bezeichnung als leading case vollauf verdient. Im Lichte der noch geltenden EU-Datenschutz-Richtlinie (= Vorgänger der Datenschutzgrundverordnung und europarechtliche Vorgabe für § 35 BDSG) hat der EuGH hier nämlich das “Right to be forgotten” kreiert, ohne es explizit als solches zu benennen. Zum Sachverhalt: Der spanische Rechtsanwalt Mario Costeja González ging gegen die Google-Tochter Google Spain vor, wobei es um ein personenbezogenes Suchergebnis ging. Google verlinkte im Einzelnen eine Zeitungsmeldung, welche die Zwangsversteigerung eines Grundstücks im Jahre 1998 mit Herrn Costeja González in Verbindung brachte.
- Zunächst hat der EuGH gezeigt, dass Google für die Meldung verantwortlich ist. Obwohl der Suchmaschinengigant seinen Hauptsitz in den USA hat, wird mit der Aufrufmöglichkeit in Spanien dessen nationales Datenschutzrecht berührt (sog. Marktortprinzip). Suchmaschinen treten zudem durch ihre eigenständige Dienstleistung in der Datenverarbeitung auf (Holznagel/Hartmann, MMR 2016, 228, 230).
- Im Kern wägt die Entscheidung das öffentliche Interesse an den personenbezogenen Daten mit den Persönlichkeitsrechten des Rechtsanwaltes (aus Art. 7, 8 der Grundrechte-Charta der EU) ab. Sie kommt in weiter Auslegung der Datenschutzrichtlinie (insb. Art. 12 lit. b, 14 Abs. 1 lit. a) zu dem Ergebnis, dass eine Deindexierung = Löschung hier von Google Spain vorgenommen werden muss. Der Individualschutz soll im Zweifel also vorrangig sein (Nolte, NJW 2014, 2238, 2240).
- An Kritikern der Entscheidung fehlt es wahrlich nicht. Nicht ausreichend berücksichtigt worden seien die Kommunikationsgrundrechte Google Spains und von Dritten, insb. der Presse, was einer Zensur gleichkäme. Gerade der amerikanische Rechtskreis blickt mit Unverständnis auf die Ergebnisse des EuGH. Die Forderung nach einer Anhörung Dritter wurde zusätzlich erhoben, um eine ganzheitliche Abwägung sicherzustellen (Holznagel/Hartmann, MMR 2016, 228, 231 f.).
V. Angesichts dieser Kontroverse ist es verwunderlich, dass das Right to be forgotten nunmehr derart weit ausgreifend konzipiert wurde. Der neue Art. 17 der Datenschutzgrundverordnung (DS-GVO) sieht in Abs. 1 einen umfangreichen Katalog vor, wann die Daten zum Betroffenen “vergessen werden” müssen. Die Löschung ist u.a. durchzuführen bei: Zweckfortfall bez. der Datenverarbeitung, unrechtmäßiger Datenverarbeitung, beim Widerruf einer erteilten Einwil-ligung bzw. dem Widerspruch des Betroffenen. Daneben weist Art. 17 Abs. 1 lit. e) wohl den Weg ins nationale Datenschutzrecht. Art. 17 Abs. 2 DS-GVO erlegt dem “Datenverarbeiter” die Folgeverpflichtung auf, andere über die Löschungspflicht zu informieren und diese technisch effektiv zu realisieren. Auf die Kritik wurde eingegangen, denn Art. 17 Abs. 3 DS-GVO unterstreicht klar die Bedeutung von Meinungs-, Presse- und Informationsfreiheit, von öffentlichen Interessen (etwa an Personen des öffentlichen Lebens) sowie der Verwirklichung von Ansprüchen gegen den Betroffenen.
VI. Soweit die positive Seite des Art. 17 DS-GVO: Negativ fällt auf, wie sehr die EU-Kommision doch in ihren konservativen Vorstellungen vom Löschen verhaftet ist. Die eingangs erwähnte Unübersichtlichkeit des World Wide Web ist nicht vereinbar mit einem Medienbild, bei entsprechender technischer Ausrüstung Daten für immer aus der Welt zu schaffen zu können. Es gilt die Binsenweisheit: Wer mit besonderem (kriminellen) Antrieb eine einmal ins Internet gelangte Information sucht, wird i.d.R. bei entsprechendem Zeitaufwand fündig – und sei es in entlegenen Winkeln des Dark Web. Außerdem steht das Right to be forgotten wegen der globalen Dimensionen seines “räumlichen Geltungsbereichs WWW” bislang nur innerhalb der EU auf wackligen Beinen und läuft deshalb Gefahr, sich als stumpfes Schwert der Rechtsordnung zu entpuppen. Gegen den Versuch seiner weltweiten Ausdehnung bläst darüber hinaus gegenwärtig etwa der französischen Netzagentur CNIL Gegenwind in Gestalt von Google entgegen. Abschließend tritt zu den tatsächlichen Bedenken auch die rechtliche Einschränkbarkeit des Right to be forgotten gem. Art. 17 Abs. 3 lit. b DS-GVO nach wachsweichen Kriterien der “Erforderlichkeit” im Wege nationaler Rechtssetzung.
Insgesamt bin ich deshalb der Meinung, dass das an sich wohlklingende Right to be forgotten nicht als Meilenstein des Datenschutzrechts gefeiert werden kann. Vielmehr muss eine Lösung gefunden werden, die die Augen nicht vor den Eigenarten des Internet verschließt und den Betroffenen realistische rechtliche Abhilfe offeriert. Wie eine solche Lösung aussehen könnte? Keine Ahnung, aber ich bin mir sicher, es geht besser!
