Schlagwort: Vorabentscheidungsverfahren
13. Dezember 2022
Der Europäische Gerichtshof (EuGH) entschied am 8 Dezember 2022, dass Suchmaschinenbetreiber nachweislich unrichtige Informationen auslisten müssen.
Der Sachverhalt
Hintergrund der Entscheidung war die Vorlage des Bundesgerichtshofs (BGH) im Rahmen des Vorabentscheidungsverfahrens.
Der Geschäftsführer mehrerer Finanzdienstleistungsunternehmen und die Prokuristin eines dieser Unternehmen hatten gegen Google geklagt. Der Suchmaschinenbetreiber hatte sich geweigert, kritische Artikel auf der Seite eines New Yorker Unternehmens aus seinen Suchergebnissen und Vorschaubildern auszulisten. Dieses Unternehmen stand laut verschiedener Veröffentlichungen unter dem Verdacht, Unternehmen mit negativen Berichten zu erpressen, die es nur gegen Geldzahlung löschte.
Zudem hatte Google Fotos als Vorschaubilder (sogenannte Thumbnails) in der Suchergebnisliste angezeigt, ohne den ursprünglichen Kontext der Veröffentlichung zu benennen. Diese Fotos zeigten die Kläger mit Luxusfahrzeugen, im Innenraum eines Hubschraubers und vor einem Flugzeug.
Datenschutz vs. Informationsrecht
Der EuGH betonte, dass das Recht auf Schutz personenbezogener Daten stets unter Wahrung des Verhältnismäßigkeitsprinzips mit anderen Grundrechten abgewogen werden müsse. So stünde es insbesondere im Spannungsverhältnis mit dem berechtigten Interesse der Internetnutzer am Zugang zu Informationen. Ausdruck finde dieses Spannungsverhältnis auch in Art. 17 Abs. 3 DSGVO, der das Recht auf Löschung ausschließe, wenn die Verarbeitung erforderlich zur Ausübung des Rechts auf freie Information sei. Privatsphäre und Datenschutz seien besonders schützenswert und könnten durch Suchmaschinen erheblich beeinträchtigt werden. Daher überwögen diese Rechte im Allgemeinen gegenüber Informations- und Meinungsäußerungsrechten. Doch gerade eine Person des öffentlichen Lebens müsse „ein höheres Maß an Toleranz aufbringen, da sie zwangsläufig und bewusst im Blick der Öffentlichkeit steht“.
Allerdings zog der EuGH eine klare Grenze bei unwahren Tatsachenbehauptungen. Diese seien keineswegs geschützt und in diesem Falle trete das Recht auf freie Information hinter dem Datenschutzrecht zurück. Voraussetzung sei, dass „zumindest ein für den gesamten Inhalt nicht unbedeutender Teil der Information, um die es in dem Auslistungsantrag geht, unrichtig“ sei.
Beweislast liegt bei betroffener Person – Keine Nachforschungspflicht der Suchmaschinenbetreiber
Um eine Auslistung zu erreichen, sei es laut EuGH erforderlich, dass die betroffene Person die Unrichtigkeit eines aufgelisteten Inhalts beweise. Sie dürfe jedoch nicht übermäßig belastet werden. Darum habe sie „lediglich die Nachweise beizubringen, die unter Berücksichtigung der Umstände des Einzelfalls von ihr vernünftigerweise verlangt werden können, um diese offensichtliche Unrichtigkeit festzustellen.“ Insbesondere könne der Suchmaschinenbetreiber nicht von ihr erwarten, eine gerichtliche Entscheidung als Beweis vorzulegen. Sollte sie jedoch eine solche vorlegen können, genüge dies den Nachweispflichten. Im Gegenzug müsse sich bei Nichtvorliegen einer gerichtlichen Entscheidung die Unrichtigkeit aus den gewählten Nachweisen offensichtlich ergeben. Sofern dem Suchmaschinenbetreiber ein Verfahren bekannt ist, das die Richtigkeit der Information anzweifelt, müsse dieser Internetnutzer in den Suchergebnissen darüber informieren.
Entgegen der Ansicht des Generalanwalts lehnte der EuGH eine aktive Nachforschungspflicht des Suchmaschinenbetreibers ab. Eine solche Verpflichtung bringe die Gefahr mit sich, „dass Inhalte, die einem schutzwürdigen und überwiegenden Informationsbedürfnis der Öffentlichkeit dienen, ausgelistet würden und es somit schwierig würde, sie im Internet zu finden. Insoweit bestünde die reale Gefahr einer abschreckenden Wirkung für die Ausübung der Freiheit der Meinungsäußerung und der Informationsfreiheit, wenn der Betreiber der Suchmaschine eine solche Auslistung nahezu systematisch vornähme, um zu vermeiden, dass er die Last der Ermittlung der Tatsachen zu tragen hat, die für die Feststellung der Richtigkeit oder Unrichtigkeit des aufgelisteten Inhalts relevant sind.“
Fotos auf Thumbnails als besonders starker Eingriff in die Rechte der betroffenen Person
Zudem wies der EuGH darauf hin, dass die Thumbnails der Bildersuche einen schwerer wiegenden Grundrechtseingriff darstellen können als die Veröffentlichung durch den Herausgeber der Internetseite selbst. Dies gelte insbesondere bei der Anzeige von Fotos bei der namensbezogenen Suche. Das Bild einer Person sei „nämlich eines der Hauptmerkmale seiner Persönlichkeit, da es seine Einmaligkeit zum Ausdruck bringt und es erlaubt, ihn von anderen Personen zu unterscheiden.“ Daher müssten Personen Kontrolle über Bilder von sich haben. Dazu gehöre die Möglichkeit, die Verbreitung zu untersagen. Im Falle eines Auslistungsantrags müsse der Suchmaschinenbetreiber beachten, ob der Kontext, in dem die Suchmaschine das Bild anzeige, mit dem Kontext der ursprünglichen Veröffentlichung übereinstimme. Auch hier sei eine Abwägung der widerstreitenden Interessen erforderlich. Man müsse unabhängig vom Text prüfen, „ob die Anzeige der fraglichen Fotos erforderlich ist, um das Recht auf freie Information auszuüben“.
Auswirkungen auf die Praxis
Die Entscheidung des EuGH bekräftigt erneut das Recht auf Vergessenwerden. Er präzisiert sein Urteil von 2014, in dem er dieses Recht ausformuliert hatte, und konkretisiert die Pflichten sowohl des Suchmaschinenbetreibers als auch der betroffenen Person. In der Praxis wird sich zeigen, inwieweit Suchmaschinenbetreiber wie Google die Nachweispflicht der betroffenen Person auslegen werden, wenn diese keine gerichtliche Entscheidung vorlegen kann.
16. Februar 2022
Die Frage, ob Führungskräfte in Unternehmen schuldhaft handeln müssen oder ob ein objektiver Pflichtverstoß für die Verhängung eines Bußgeldes nach der DSGVO gegen das Unternehmen ausreicht, ist im Datenschutzrecht sehr umstritten. Das Kammergericht Berlin (Az. 3 Ws 250/21) hat dem EuGH hierzu Fragen zur Vorabentscheidung vorgelegt.
Rechtsträger- oder Funktionsträgerprinzip?
Stein des Anstoßes ist die Frage, ob §30 Ordnungswidrigkeitengesetz (OWiG) und damit das deutsche Haftungskonzept für Unternehmen (Rechtsträgerprinzip) anwendbar ist. Dem Unternehmen kann ein Bußgeld nur dann auferlegt werden, wenn eine Führungskraft eine (vorsätzliche oder fahrlässige) Tat begangen hat, die dem Unternehmen zurechenbar ist. Das LG Berlin vertritt diese Auffassung und hat ein Bußgeldverfahren gegen die Deutsche Wohnen SE eingestellt. Für die Verhängung eines Bußgeldes müsse ein der juristischen Person zurechenbarer Pflichtverstoß vorliegen, der durch die Datenschutz-Aufsichtsbehörde nachgewiesen werden muss. Eben dieser Nachweis sei nicht gelungen, der Bußgeld-Bescheid enthalte keine entsprechenden Angaben.
Das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) hält §30 OWiG für nicht anwendbar (Funktionsträgerprinzip). Das hätte zur Folge, dass das sog. supranationale Kartellsanktionsrecht greift. Dann reicht ein objektiver (Datenschutz-)Verstoß eines Unternehmens aus, um es mit einem Bußgeld zu belegen. Eine Anweisung zu oder auch nur Kenntnis der Leitungsorgane des Unternehmens von Datenschutzverstößen sind dann nicht erforderlich. Das datenschutzrechtliche Bußgeld finde seine Rechtsgrundlage vielmehr unmittelbar in Art. 83 DSGVO, so das LG Bonn. Dafür sprechen der Anwendungsvorrang der DSGVO im Allgemeinen sowie der Wirksamkeitsgrundsatz des Europarechts, der ausgehöhlt würde, wenn nationale Haftungsregeln die Sanktionsmöglichkeiten europarechtlicher Vorschriften einschränken würden. Dann wäre nicht mehr europaweit sichergestellt, dass dieselben Bußgeldregelungen gelten, was dem Verordnungscharakter der DSGVO zuwiderliefe.
Der EuGH hat die Chance zur Klarstellung
Somit bestehen Zweifel über die Auslegung des Art. 83 DSGVO und die Zuständigkeit des EuGH ist im Vorabentscheidungsverfahren (Art. 267 AUEV) eröffnet. Das KG erwartet vom EuGH eine Klarstellung, ob die (strengeren) Vorgaben des deutschen Ordnungswidrigkeitenrechts gelten oder ob ein objektiver Pflichtverstoß eines Unternehmens ausreicht, um ein Bußgeld zu verhängen. Das KG selbst scheint übrigens von einer direkten Unternehmenshaftung ohne Anwendung des §30 OWiG auszugehen.
8. Juli 2020
Am morgigen Donnerstag – den 09.07.2020 – entscheidet der EuGH in Luxemburg über ein Vorabentscheidungsersuchen des VG Wiesbaden (Rechtssache C-272/19). Dabei hat der EuGH zwei Vorlagefragen zu beantworten. Die erste Frage befasst sich mit dem Anwendungsbereich der DSGVO, konkret auf Petitionsausschüsse eines Landtags. Die zweite Vorlagefrage hat keinen expliziten datenschutzrechtlichen Hintergrund, ist aber auch für die Belange des Datenschutzes nicht ohne Belang. Das VG Wiesbaden stellt nämlich in Frage, ob es überhaupt als ein “Gericht” im europarechtlichen Sinne angesehen werden kann. Dabei geht es vor allem um die Frage, ob die deuschen Gerichte bzw. Richterinnen und Richter unabhängig genug sind, oder ob eine insitutionelle Abhängigkeit gegeben ist. Diese Entscheidung könnte für sämtliche Gerichte Deutschlands enorme Bedeutung haben.
Erste Vorlagefrage: Anwendbarkeit der DSGVO
Die erste Frage betrifft die Anwendbarkeit der DSGVO auf den Petitionsausschuss als Teil des Hessischen Landtags, und ob dieser als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO zu qualifizieren ist. Dabei ist der Hessische Landtag – vertreten durch seinen Präsidenten – der Auffassung, es handle sich beim Petitionsverfahren um eine parlamentarische Aufgabe, sodass der Ausschuss nicht in den (sachlichen) Geltungsbereich der DSGVO falle (Rn. 3). Dieser Ansicht folgend enthalten das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG, § 30 Abs. 1), die Geschäftsordnung des Hessischen Landtags (§ 112 Abs. 6) sowie deren Datenschutzordnung und weitere Richtlinien entsprechende Regelungen, welche die Anwendbarkeit der DSGVO unter anderem für den Petitionsausschuss verneinen bzw. wegen eines erforderlichen Geheimnisschutzes Auskunftsansprüchen wie Art. 15 DSGVO entgegenstehen. Diese Regelungen seien anzuwenden, wenn der Petitionsausschuss nicht unter die DSGVO fällt (Rn. 13).
Die erste Vorlagefrage bezieht sich daher darauf, ob die DSGVO auf Petitionsausschüsse als Teil des Parlaments eines Gliedstaates (Hessen) eines Mitgliedsstaats (Deutschland) Anwendung findet und insoweit als eine Behörde im Sinne des Art. 4 Nr. 7 DSGVO zu behandeln ist. Der Petitionsausschuss sei zwar eine Behörde im organisationsrechtlichen Sinne, fraglich sei aber ob ihre Aufgaben dem Bereich der öffentlichen Verwaltung unterliegen. Jedenfalls sei der Ausschuss weder der Judikative noch der Legislative zuzuordnen (Rn. 42ff). Für die Definition der “Behörde” im Sinne des Art. 4 Nr. 7 DSGVO sei von einem weiten Verständnis der Verwaltung und somit einem umfassenden Behördenbegriff auszugehen (Rn. 48). Auch erschließe sich nicht, warum Behörden – gegenüber denen nach hessischem Recht ebenfalls eine Petition eingereicht werden kann – der DSGVO unterliegen, diese auf den Petitionsausschuss hingegen keine Anwendung finden sollte; das VG Wiesbaden geht deshalb davon aus, dass der Petitionsausschuss unter Art. 4 Nr. 7 DSGVO zu subsumieren ist (Rn. 51).
Zweite Vorlagefrage: Unabhängikeit deutscher Gerichte
Die zweite Vorlagefrage des VG Wiesbaden befasst sich ebenfalls mit europarechtlichen Vorschriften, konkret mit Art. 267 Abs. 2 AEUV und der Frage, ob das VG Wiesbaden – und mittelbar sämtliche deutsche Gerichte – überhaupt als ein “Gericht” im Sinne dieser Norm zu qualifizieren und somit vorlagebefugt sind. Im Fokus steht hier insbesondere die institutionelle Unabhängigkeit der Gerichte.
In dem Vorabentscheidungsersuchen setzt sich das Gericht diesbezüglich zunächst ausführlicher mit den rechtlichen Grundlagen der richterlichen und gerichtlichen Unabhängigkeit auseinander (Rn. 17ff.). Das VG Wiesbaden kommt dabei zu dem Schluss, dass die deutsche Verfassungslage nur die funktionale richterliche Unabhängigkeit, aber keine institutionelle Unabhängigkeit der Gerichte gewährleiste (Rn. 59). Grund dafür sei, dass die Richterinnen und Richter durch den jeweiligen Justizminister der Länder ernannt, beurteilt und befördert werden und das Beamtenrecht auf die Richterinnen und Richter Anwendung findet. Erforderlich sei jedoch eine “völlige Unabhängigkeit”, wonach keinerlei Einflussnahme irgendeiner Art – mit Ausnahme von Kontrollstellen -, weder unmittelbar noch mittelbar, bestehen dürfe (Rn. 64). Es sei nun aber fraglich, ob Richterinnen und Richter von einer solchen Einflussnahme ausgenommen sind, jedenfalls in solchen Streitigkeiten, in denen das jeweilige Justizministerium beteiligt ist (Rn. 65). Aber auch grundsätzlich sieht das VG Wiesbaden eine äußere Einflussnahme durch das Justizministerium gegeben, indem es über Planstellen, Anzahl des nichtrichterlichen Personals und Ausstattung der Gerichte – und somit letztlich auch über die Verarbeitung personenbezogener Daten durch entsprechende EDV – entscheidet (Rn. 67). Auch durch die bloße Gefahr einer politischer Einflussnahme werde die institutionelle Unabhängigkeit beeinträchtigt (Rn. 73). Demgemäß sieht das VG Wiesbaden sich selbst nicht als unabhängig und unparteiisch im Sinne des Art. 47 Abs. GrCH (Rn. 74).
Einschätzung
Es wird spannend sein zu sehen, wie der EuGH mit den beiden Vorlagefragen umgehen wird. Die Frage der Auslegung des Art. 4 Nr. 7 DSGVO, konkret in Bezug auf “Behörde, Einrichtung oder andere Stelle”, dürfte für einige Insitutionen relevant sein, die sich nicht eindeutig der öffentlichen Verwaltung zuordnen lassen und somit davon ausgehen, nicht den Regelungen der DSGVO zu unterliegen.
Weitreichendere Bedeutung könnte aber die Vorlagefrage zur Unabhängigkeit deutscher Gerichte haben. Geht der EuGH hier ebenfalls davon aus, dass die institutionelle Unabhänigkeit deutscher Gerichte und ihrer Richterinnen und Richter nicht gegeben ist, wird sich die Frage stellen müssen, wie diese Unabhängigkeit künftig sichergestellt werden kann. Jedenfalls dürfte die Entscheidung des EuGH dazu dienen, der durch die Richtervereinigungen geführten Diskussion zur Selbstverwaltung der Justiz neue Aufmerksamkeit zu verschaffen.
13. Juli 2018
Der Europäische Gerichtshof (EuGH) hat auf ein Vorabentscheidungsersuchen aus Finnland am 10.07.2018 (Az.: C-25/17) entschieden, dasss die Zeugen Jehovas bei ihren Hausbesuchen die EU-Vorschriften hinsichtlich des Datenschutzes beachten müssen.
Wie wir bereits berichteten, hat das finnische Oberste Verwaltungsgericht den EuGH im Wege des Vorabentscheidungsverfahren um Klärung ersucht. Der finnische Datenschutzbeauftragte ist der Ansicht, dass es sich bei den Notizen der Zeugen Jehovas um eine Datenerhebung handelt, für die sowohl die einzelnen Mitglieder als auch die Gemeinschaft der Zeugen Jehovas als solche verantwortlich sind und die dem europäischen Datenschutzrecht unterfällt.
Dieser Ansicht wurde bereits von dem Generalanwalt, in seinem vorbereitenden, Schlussantrag, gefolgt. Diesem sind die Richter nun gefolgt: Die notierten Daten, wie etwa Name, Adresse und religiöse Orientierung unterfallen den EU-Vorschriften und sowohl die Mitglieder als auch die Gemeinschaft als solche sind verantwortlich für die Datenverarbeitung.
Der EuGH begründet die Entscheidung folgendermaßen: zunächst ist keine der normierten Ausnahmen einschlägig, was insbesondere damit zusammenhängt, dass es sich nicht um eine ausschließlich persönliche oder familiäre Tätigkeit handelt. Eine andere Sichtweise ergibt sich auch nicht daraus, dass die Verkündungstätigkeit unter Art. 10 Abs. 1 EU-Grundrechtecharta fällt, denn sie geht über die private Sphäre hinaus. Darüber hinaus wendet der EuGH einen weiten “Datei”-Begriff an, der nicht notwendigerweise ein Speichern im technischen Sinne vorsieht. Ausreichend ist, die strukturierte Sammlung personenbezogener Daten nach bestimmten Kriterien, damit sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Diese Voraussetzungen sah der EuGH als gegeben an.
Zu beachten ist, dass die Fragen sich auf die Datenschutzrichtlinie 95/46/EG bezogen, welche am 25.05.2018 von der Datenschutzgrundverordnung (DSGVO) abgelöst wurde. Nichts desto trotz ist davon auszugehen, dass dieses Urteil auch den Anforderungen der DSGVO genügt, denn die DSGVO ist in ihren Voraussetzungen strenger als die alte Richtlinie.
