CR-online.de Blog

Angriff auf Internet und Meinungsfreiheit (Teil II)

avatar  Winfried Veil

– Eine Kurzanalyse der Datenschutz-Grundverordnung in drei Teilen –

In Teil I dieser Kurzanalyse mussten wir zur Kenntnis nehmen, dass jeder Internetnutzer, der online personenbezogene Daten verarbeitet, als verantwortliche Stelle im Sinne des letzten Entwurfs der Datenschutz-Grundverordnung (nachfolgend „DS-GVO-E“) anzusehen ist. Der DS-GVO-E enthält eine Vielzahl von Pflichten für die verantwortliche Stelle. Es ist gänzlich unrealistisch anzunehmen, dass der einfache Internetnutzer in der Lage ist, die Vielzahl dieser Pflichten zu erfüllen, weshalb sich die Frage nach der Sinnhaftigkeit eines solchen Rechtsregimes stellt.

In Teil II der Analyse (nachfolgend 6. bis 12.) geht es nunmehr um die Zulässigkeit der Verarbeitung personenbezogener Daten im Internet, um das Verhältnis des Datenschutzrechts zur Meinungs-, Presse- und Informationsfreiheit und um das Recht, vergessen zu werden:

6. Keine Erwähnung allgemein zugänglicher Daten

Das geltende Datenschutzrecht erleichtert die Verarbeitung allgemein zugänglicher personenbezogener Daten an vielen Stellen. So sind, wenn die zu verarbeitenden Daten allgemein zugänglich sind, unter erleichterten Voraussetzungen zulässig:

Für die Verarbeitung sensibler Daten (§ 3 Abs. 9 BDSG) gibt es Sondervorschriften, soweit es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat (§§ 13 Abs. 2 Nr. 4, 28 Abs. 6 Nr. 2 BDSG). Für Zwecke der Werbung für eigene Angebote gibt es Sonderregelungen, wenn die verantwortliche Stelle die Daten aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat (§ 28 Abs. 3 Satz 2 Nr. 1 BDSG).

Eine Pflicht des Datenverarbeiters zur Benachrichtigung des Betroffenen besteht bei allgemein zugänglichen Daten ebenfalls in vielen Fällen nicht (§ 33 Abs. 2 Nr. 7a), 8a), 9 BDSG). § 35 Abs. 6 S. 1 BDSG enthält für allgemein zugängliche Daten eine Ausnahme von der Pflicht zur Berichtigung, Sperrung oder Löschung. Die Einschränkungen für das automatisierte Abrufverfahren (§ 10 Abs. 1 bis 4 BDSG) gelten nicht für den Abruf allgemein zugänglicher Daten (§ 10 Abs. 5 S. 1 BDSG).

Man kann durchaus davon sprechen, dass das geltende Recht allgemein zugängliche Daten als eigene Kategorie personenbezogener Daten ansieht, deren Verarbeitung unter erleichterten Bedingungen möglich ist. Grund für diese Privilegierung ist das Grundrecht, sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten – also die Informationsfreiheit (Art. 5 Abs. 1 Satz 1 GG).

Diese Privilegierung entfällt in dem DS-GVO-E vollständig. Der Begriff der „allgemein zugänglichen Daten“ taucht an keiner relevanten Stelle auf. Nach Art. 14a Abs. 2 lit. g) DS-GVO-E muss, wer öffentlich zugängliche Daten verarbeitet, dies dem Betroffenen sogar mitteilen und ihm die Quelle nennen. Lediglich das Verbot der Verarbeitung sensibler Daten gilt nicht, wenn die Daten offenkundig vom Betroffenen öffentlich gemacht wurden (Art. 9 Abs. 2 lit. e) DS-GVO-E). Die Informationsfreiheit wird gerade einmal in Erwägungsgrund 3a erwähnt.

Wer zukünftig personenbezogene Daten im Internet (aber auch etwa in Pressepublikationen, öffentlichen Registern, Archiven, usw.)  findet, kann nicht davon ausgehen, dass er diese verwenden darf. Zwar mag die Tatsache der freien Zugänglichkeit im Rahmen der Interessenabwägung bei Art. 6 Abs. 1 lit. f) DS-GVO-E oder bei der Kompatibilitätsprüfung des Art. 6 Abs. 3a DS-GVO-E berücksichtigt werden können. Eine solche Privilegierung ist in der DS-GVO aber nicht angelegt und wird auch in den Erwägungsgründen nicht erwähnt. Die Zulässigkeit von Trend- und Meinungsforschung, Risikoprävention und Gefahrenabwehr sowie Vorfeld- und Erfolgsanalysen bürgerschaftlicher Partizipationsangebote durch Social Media-Analysen ist dadurch ebenso in Frage gestellt wie die Arbeit von Crowdsourcing-Plattformen – von allgemein üblichen Vorgängen wie Kopieren, Zitieren, Verändern, Remixen, Retweeten, Kommentieren ganz zu schweigen.

7. Abwägung mit Meinungs-, Presse- und Informationsfreiheit

Völlig unklar ist, in welche Richtung sich die Abgrenzung zwischen dem Recht auf Datenschutz einerseits und der Meinungs-, Presse- und Informationsfreiheit andererseits entwickeln wird.

Zwar verpflichtet der DS-GVO-E die Mitgliedstaaten in Art. 80 Abs. 2 Ausnahmen vom Anwendungsbereich des DS-GVO-E für die Datenverarbeitung zu journalistischen oder künstlerischen Zwecken vorzusehen. Wie das BVerwG jüngst betont hat (Beschl. v. 29.10.2015 – 1 B 32.15, Rn. 5), enthält das Medienprivileg des § 41 BDSG zugunsten der Presse aber kein allgemeines Meinungsprivileg. Schon der Blogger ist damit mit einiger Wahrscheinlichkeit nicht wie ein „Unternehmen oder Hilfsunternehmen der Presse“ von der Geltung des Datenschutzrechts befreit. Die Meinungsfreiheit aber ist demnach erst recht weniger stark von den Bindungen des Datenschutzrechts befreit als die Pressefreiheit.

Auch Art. 80 DS-GVO-E trifft diese Unterscheidung zwischen Datenverarbeitung zu journalistischen und künstlerischen Zwecken (Abs. 2) und Datenverarbeitungen, durch die die Meinungs- und Informationsfreiheit in Anspruch genommen wird (Abs. 1). Während, wie gesagt, bei journalistischer/künstlerischer Tätigkeit die Mitgliedstaaten Ausnahmen vom Anwendungsbereich des Datenschutzrechts vorsehen müssen, muss bei Inanspruchnahme von Meinungs- oder Informationsfreiheit das nationale Recht eine Abwägung vornehmen („The national law of the Member State shall reconcile […]“.) Was aber gilt, wenn ein Mitgliedstaat kein solches Datenschutz-Meinungsfreiheit-Abwägungsgesetz erlassen hat? Soll die Inanspruchnahme der Meinungsfreiheit tatsächlich unter dem Vorbehalt eines Gesetzes stehen?

Und was gilt, wenn ein mitgliedsstaatliches Datenschutz-Meinungsfreiheit-Abwägungsgesetz nach Auffassung eines Betroffenen zu sehr in das Grundrecht auf Datenschutz eingreift? Und was gilt, wenn ein solches Gesetz zu sehr in die Meinungsfreiheit eingreift? Was gilt schließlich, wenn das britische Datenschutz-Meinungsfreiheit-Abwägungsgesetz eine gänzlich andere Abwägung vornimmt (etwa bei der Nennung des Namens von Straftätern) als das deutsche? Entscheidet in allen Fällen letztinstanzlich der EuGH? Art. 80 DS-GVO-E kann so zum Einfallstor für eine weitere Europäisierung des Meinungsäußerungsrechts werden.

8. Grundsätzlicher Vorrang des Persönlichkeitsschutzes

Und der Gerichtshof, der unter dem Gesichtspunkt von „effet utile“ einer Europäisierung gegenüber selten abgeneigt ist, hat im Google-Urteil zum „Recht auf Vergessen“ (Urt. v. 13.5.2014 – C‑131/12) von einem grundsätzlichen Vorrang des Persönlichkeitsschutzes gesprochen (Rn. 81):

„[…] ist in Situationen wie der des Ausgangsverfahrens ein angemessener Ausgleich u. a. zwischen diesem Interesse und den Grundrechten der betroffenen Person aus den Art. 7 und 8 der Charta zu finden. Zwar überwiegen die durch diese Artikel geschützten Rechte der betroffenen Person im Allgemeinen [im Englischen: „as a general rule“, der Verfasser] gegenüber dem Interesse der Internetnutzer; der Ausgleich kann in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren kann.“ (Hervorhebung durch Verfasser)

Von vielen wurde diese Formulierung vom Ãœberwiegen „im Allgemeinen“ später heruntergespielt, so zum Beispiel vom Vizepräsidenten des EuGH, Koen Lenaerts. Dass das höchste Gericht der Europäischen Union in einer Leitentscheidung gedankenlos den grundsätzlichen Vorrang eines Grundrechts gegenüber einem anderen Grundrecht postuliert, dies aber später nicht so gemeint haben will, ist jedoch kaum vorstellbar. Der Gedanke vom grundsätzlichen Vorrang des Persönlichkeitsrechts könnte aller Beteuerungen, es handele sich um eine Einzelfallentscheidung, zum Trotz zukünftig die Richtung vorzugeben.

9. EuGH schwingt sich zum Verfassungsgericht auf

Kombiniert man dies mit der Tendenz des EuGH, sich selbst zum Verfassungsgericht der EU aufzuschwingen (siehe hierzu die Selbstkrönungsthese von Niko Härting: Geburtsstunde eines europäischen Verfassungsgerichts), dann dürfte es um die Zukunft der Meinungsfreiheit in Europa nicht gut bestellt sein. Immerhin beansprucht der EuGH für sich selbst das alleinige und ausschließliche Recht, über die Verfassungskonformität europäischer Rechtsakte zu entscheiden.

10. Suchmaschinen als private Schiedsinstanzen über die Kommunikation im Netz

Das genannte Urteil des EuGH zum „Recht auf Vergessen“ hat eine weitere für die Meinungs- und Informationsfreiheit ungute Konsequenz:

Suchmaschinen tragen die volle inhaltliche Verantwortung für Informationen auf Drittseiten. Sie müssen daher bei Anträgen auf De-listing selbst die anspruchsvolle Interessenabwägung treffen zwischen dem Recht des Betroffenen auf Privatsphäre, dem eigenen Recht auf Betrieb einer Suchmaschine, dem Recht der Allgemeinheit auf Information, der Meinungs- und Pressefreiheit aller Internetnutzer und dem Interesse aller Internetnutzer, in der Suchmaschine aufgefunden zu werden. Es ist zweifelhaft, ob Suchmaschinen als kommerzielle Anbieter diese Abwägung in jedem Einzelfall sachgerecht durchführen können und wollen.

Besonders problematisch daran ist, dass von jedem De-listing auch derjenige betroffen ist, der die nicht mehr angezeigte Information öffentlich gemacht hat. Das ist der Drittbetroffene. Drittbetroffene können Presseorgane, Portalbetreiber, Webseitenbetreiber, Hostprovider, Blogger und jede natürliche Person sein, die eine Meinung oder Tatsachenbehauptung von sich gegeben hat. Drittbetroffene haben aber keinen Sachwalter ihrer Interessen. Sie sind weder materiell noch verfahrensrechtlich gleichberechtigt in die Entscheidung über die Frage des De-listings eingebunden. Und das, obwohl sie die Information selbst rechtmäßig veröffentlicht haben. Rigo Wenning nennt dies „Drittfreiheitsliquidation“.

Durch den DS-GVO-E ändert sich daran nichts. Private Suchmaschinenbetreiber bleiben private Schiedsinstanz mit weitreichenden Entscheidungsbefugnissen über die Kommunikation im Netz. Die bereits erhebliche Macht von Suchmaschinenbetreibern (derzeit insbesondere Google) wird damit noch weiter gestärkt und verfestigt. Schließlich wird Google nach einigen Jahren des De-listings über eine der größten Erpressungsdatenbanken (Matthias Spielkamp) der Welt verfügen. Aktuell (Stand: 14. Dezember 2015) weist Google eine Gesamtzahl von 1.264.576 URLs aus, deren De-listing beantragt wurde. Ebenso viele URLs mit Informationen, die europäischen Bürgern unangenehm sind, „kennt“ somit Google. Und nur Google hat diese Information.

11. Kein Tatbestand für das De-listing

Fun-fact für penible juristische Feinschmecker: Der DS-GVO-E versäumt es, einen Tatbestand für das De-listing zu schaffen:

Der Anspruch auf Löschung personenbezogener Daten (Art. 17 DS-GVO-E) enthält nicht die richtige Rechtsfolge. Denn beim De-listing wird ja nicht der betreffende Link gelöscht, der nicht mehr angezeigt wird. Und man kann auch nicht davon sprechen, dass ein bestimmter Suchtreffer, der nicht mehr angezeigt werden soll, aus einer Trefferliste gelöscht würde. Denn die Trefferliste wird bei jeder Suchanfrage neu erstellt. Art. 17 DS-GVO-E gibt dem Betroffenen somit keinen Anspruch auf De-listing.

Die richtige Rechtsfolge enthielte vielmehr Art. 17a DS-GVO-E. Dieser gibt dem Betroffenen einen Anspruch auf Verarbeitungsbeschränkung. Art. 17a Abs. 1 DS-GVO-E gewährt ein solches Recht auf Verarbeitungsbeschränkung aber nur unter vier verschiedenen Voraussetzungen, die allesamt beim Antrag auf De-listing nicht einschlägig sind:

  • Die Verarbeitung muss bis zur Ãœberprüfung der Richtigkeit personenbezogener Daten beschränkt werden (Art. 17a Abs. 1 lit. a) DS-GVO-E). Um die Richtigkeit von Daten geht es beim De-listing aber gar nicht, sondern um die Tatsache des Erscheinens in der Trefferliste.
  • Die Verarbeitung ist unrechtmäßig, aber der Betroffene widerspricht der Löschung und verlangt stattdessen Verarbeitungsbeschränkung (Art. 17a Abs. 1 lit. ab) DS-GVO-E). Beim De-listing will der Betroffene aber nicht Verarbeitungsbeschränkung statt Löschung. Er will vielmehr nur Verarbeitungsbeschränkung.
  • Der Verantwortliche benötigt die Daten nicht mehr für seinen Verarbeitungszweck, wohl aber der Betroffene für die Durchsetzung seiner Rechte (Art. 17a Abs. 1 lit. b) DS-GVO-E). Dieser Tatbestand ist beim De-listing offensichtlich nicht einschlägig.
  • Die Verarbeitung muss bei einem Widerspruch des Betroffenen bis zur Ãœberprüfung der Frage, ob die Interessen des Datenverarbeiters ausnahmsweise überwiegen, beschränkt werden (Art. 17a Abs. 1 lit. c) DS-GVO-E). Dieser Tatbestand regelt nur den Zeitraum vom Eingang des Widerspruchs bis zu dem Zeitpunkt, in dem die verantwortliche Stelle die erforderliche Interessenabwägung vorgenommen hat.

Auch unter das Widerspruchsrecht des Art. 19 Abs. 1 DS-GVO-E lässt sich ein Anspruch auf De-listing nicht subsumieren. Rechtsfolge eines erfolgreichen Widerspruchs ist, dass die Daten nicht mehr verarbeitet werden dürfen. Beim De-listing müssen die Daten aber gerade weiterverarbeitet werden, nur eben in anderer, beschränkter Weise.

Der Anspruch auf De-listing ist somit auch im DS-GVO-E nicht geregelt – ein seltsames Ergebnis angesichts des Zeitpunkts des maßgeblichen EuGH-Urteils inmitten der Verhandlungen zur DS-GVO-E. Macht aber nichts: der EuGH wird sicherlich aus einer Zusammenschau der Ansprüche auf Löschung und Verarbeitungsbeschränkung sowie des Widerspruchsrechts einen Anspruch auf De-listing ableiten können. Hat er ja beim letzten Mal auch so gemacht…

12. Folgenbeseitigungsanspruch bei Veröffentlichung

Wer zukünftig personenbezogene Daten veröffentlicht, sollte auf der Hut sein. Art. 17 Abs. 2a DS-GVO-E enthält nämlich eine Art Folgenbeseitigungsanspruch, der eine zur Löschung gezwungene verantwortliche Stelle dazu verpflichtet, alle anderen Stellen, die die einmal veröffentlichten Daten weiterverarbeiten, über das erfolgreiche Löschungsbegehren zu informieren und dazu aufzufordern, etwaige Verlinkungen zu oder Kopien von diesen Daten ebenfalls zu löschen. Dies gilt selbst dann, wenn die Veröffentlichung durch die zur Löschung verpflichtete Stelle rechtmäßig war.

Wenn also ein Datum gelöscht werden muss, etwa weil der Betroffene seine Einwilligung zur Verarbeitung widerruft, muss der Erst-Datenverarbeiter alle weiteren Verarbeiter darüber informieren, selbst wenn die Einwilligung die Veröffentlichung der Daten ursprünglich rechtfertigte? Auch diese Vorschrift offenbart den Hang des DS-GVO-E personenbezogene Daten wie eigentumsähnliche Objekte zu behandeln, die jederzeit zurückgeholt werden können. Sie zeigt, dass der DS-GVO-E kein Verständnis für allgemein zugängliche Daten und deren Bedeutung für die menschlichen Kommunikation hat. Die Vorschrift wurde in den Ratsverhandlungen als die eigentliche „right to be forgotten“-Norm bezeichnet. Sie wirft allerdings so viele Fragen auf und erscheint in der Onlinewelt so wenig praktikabel, dass hiermit der zweite von drei Teilen dieser Kurzanalyse geschlossen werden soll.

Zwischenergebnis

Die Zulässigkeit der Verarbeitung öffentlich zugänglicher Daten wird durch den DS-GVO-E beschränkt. Im Verhältnis zwischen Datenschutz einerseits und Meinungs-, Presse- und Informationsfreiheit wird in den nächsten Jahren große Rechtsunsicherheit herrschen. Tendenziell droht ein vom EuGH propagierter grundsätzlicher Vorrang des Persönlichkeitsschutzes vor den Kommunikationsfreiheiten. An der mangelnden Einbeziehung der Rechte Dritter und der Interessen der Allgemeinheit in das zum De-listing führende Verfahren ändert sich durch das DS-GVO-E nichts.

In Teil III dieser Analyse wird es um die Haftung von Suchmaschinenbetreibern und anderen Intermediären, um die Anwendung des Datenschutzrechts auf diese Gruppe von Datenverarbeitern, um das Widerspruchsrecht und den Minderjährigenschutz gehen.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.