17. Juni 2014
Datenschutz
Die gesellschaftspolitischen Folgerungen aus der Rechtsprechung des EuGH zum Recht auf Vergessen
- Justitia | Bestimmte Rechte vorbehalten von michaelthurm
Vor mehr als einem Monat hat der EuGH in einem recht spektakulären Urteil (Rs. C-131/12) das Unternehmen Google verpflichtet, auf „Antrag“ Betroffener, die sie betreffenden Suchergebnisse zu bereinigen. Der EuGH meißelte damit etwas in die bisher recht blanken Rechtstafeln des Internets, was gemeinhin als das „Recht auf Vergessen“ bezeichnet wird. Medial waberte als erste Reaktion auf das Urteil – eventuell nicht ganz unberechtigt – eine diffuse Angst vor einer staatlichen Internetzensur und dem Ende des „freien Netzes“ durch die „klassischen“ und „neuen“ Medien. Nun hat sich der Rauch etwas verzogen und der Gefechtslärm wird leiser. Nach der ersten Euphorie und Hysterie kommt nunmehr die Zeit, das Urteil genau und kühl zu analysieren. Die Entscheidung ist wert nicht allein juristisch sondern vor allem gesellschaftspolitisch diskutiert zu werden, wie dies bereits Sigmar Gabriel in der FAZ begonnen hat.
Wie unter einem Brennglas adressiert der Gerichtshof drei diskussionswürdige Themen und legt die latent fehlende,gesellschaftliche und politische Auseinandersetzung mit den Folgen der Auswirkungen der gar nicht mehr so neuen, sich aber rasant fortentwickelnden Kommunikations- und Informationstechnologie offen.
1. Das Recht auf Vergessen als Kristallisationspunkt der Diskussion um den Ausgleich der Interessen bei der Informationsverarbeitung
Wie gehen wir mit dem Recht auf Vergessen im Internet um? Letzteres vergisst bekanntlich nicht. Im Prinzip ist der Umgang mit der Speicherung von Daten keine neue gesellschaftliche Herausforderung. Die Archivierung von Informationen auf Stein, Papyrus, Pergament, Papier oder Polyethylenterephthalat ist im Prinzip nichts anderes, als die Speicherung von Daten auf den magnetischen Speichermedien der Server des Internets.
Neu ist die Möglichkeit der Verbreitung der Informationen und die Möglichkeit jeder und jedes Einzelnen auf diese Informationen nicht nur zuzugreifen, sondern sie vor allem zu finden! So enthalten unsere Papierarchive dieselben oder sogar mehr Informationen als dessen digitale Schwester Internet. Bisher waren die informationellen Gatekeeper die Archivare. Sie entschieden, nach welchen Schlagworten man den angesammelten Informationswust erschließen konnte. Wurde ein Schlagwort nicht aufgenommen oder ein Sucherbgriff nicht erfasst, war der Zugang zu exakt dieser Information abhängig vom Gedächtnis eines Menschen oder vom Zufall. Wir kennen doch die Situation in den „alten“ Filmen, in denen der Protagonist durch Zufall bei der Recherche in mittels Microfiche – die Älteren unter uns erinnern sich – für die jüngeren ist zur Erläuterung dieses Begriffs dieser Link empfohlen)- archivierten Zeitungen den Schurken stößt. (Übrigens wurde das Archivierungs-Prinzip an den Anfängen des Internets beibehalten. Verzeichnisdienste wie Yahoo sortierten in den 90iger Jahren des vergangenen Jahrhunderts den Inhalt des Internets mittels Linkverzeichnissen.) Diese Abhängigkeit vom menschlichen Gedächtnis oder dem Freund Zufall haben Suchmaschinen, vor allem die von Google, beendet. Der Informationsschatz des Internets lässt sich nunmehr nach jedem beliebigen Begriff durchforsten und auswerten. Dazu zählen dann aber eben auch Namen, Bilder und andere identifizierende Angaben von Einzelpersonen.
Der EuGH sagt, etwas verknappt ausgedrückt: Speichern und Veröffentlichen kann man weiterhin entsprechend der geltenden Regeln und ohne neue Beschränkungen. Nur unter welchen Bedingungen man personenbezogene Informationen auch finden kann, unterliegt bestimmten Restriktionen. Die Antwort auf die Frage unter welchen Bedingungen diese Restriktionen eingreifen sagt der EuGH – zu Recht – nicht. Eng an der Fragestellung des konkreten Falls orientierte teilt er lapidar mit, dass 16 Jahre nach der Erstveröffentlichung von Informationen über eine Zwangsversteigerung eine Person, die nicht von öffentlichem Interesse ist, ein Recht auf „Nichtgefundenwerden“ hat. Daraus lässt sich im Prinzip nur eine Anforderung herauslesen: Ist es im Interesse der Öffentlichkeit bzw. der Gesellschaft, dass diese Information bekannt wird, dann darf sie die Suchmaschine verbreiten. Ist es das nicht, stirbt mit der Erinnerung an die Information auch die Zugänglichkeit zu der die Information beinhaltenden Quelle. Der vielzitierte Zeitablauf ist für den Anspruch auf Löschung letztlich kein Beweis sondern nur für den individuellen Fall ein Indiz für das Vergessen. Es mag durchaus Situationen geben, in denen temporale Faktoren keine Rolle spielen z.B. wenn die Information bereits in der Quelle faktisch falsch ist.
Hier soll nun aber nicht räsoniert werden, welche Faktoren eine Vermeidung des Verweises auf eine Informationsquelle rechtfertigen. Es geht vielmehr um die Frage wer darüber zu entscheiden hat. Der EuGH scheint die primäre Verantwortung dafür den Suchmaschinenbetreibern zuzuweisen. Das ist zwar praktikabel, gesellschaftspolitisch aber falsch. Denn die Suchmaschinenbetreiber werden dadurch in ihrer Rolle als Archivare des weltweiten Wissens und informatorische Gatekeeper gestärkt. Was, wer, wann und wie sucht und finden soll bzw. darf, kann nicht durch die rein kommerziell handelnden und letztlich an dem Ergebnis ihrer Tätigkeit wirtschaftlich interessierten Betreiber bestimmt werden. Eine derartige Entscheidung obliegt in einem demokratischen Rechtstaat dem durch den Souverän unmittelbar legitimierten Organen, mithin den Parlamenten. Dort muss die Entscheidung über die Bewertungsmaßstäbe für das Ausmaß des Rechts auf Vergessen als Ergebnis einer öffentlich geführten Diskussion getroffen werden.
Sozialdemokratische Politik für die digitale Gesellschaft muss diese Gesellschaftsdiskussion anstoßen und letztlich in die Parlamente tragen. Den Spielraum für Suchmaschinenbetreiber bei der Bereinigung der Suchergebnisse muss der Gesetzgeber festlegen. Denn damit wird auch entschieden, in welchem Umfang der Einzelne zugunsten gesellschaftlicher, wirtschaftlicher, kultureller oder politischer Interessen den Eingriff in seine Privatsphäre und Persönlichkeitsrechte dulden muss. Diesen Ausgleich und damit das informationelle Machtgleichgewicht bei der Informationsverarbeitung wieder herzustellen, ist Aufgabe des Souveräns. Eine wirkliche Debatte und ein strukturiertes „Erforschen“ was wir dem Einzelnen an Eingriffen in seine Persönlichkeitsrechte zumuten wollen und müssen, hat es bisher nicht gegeben. Das muss sich ändern!
2. Souveränität des Staates gegenüber Wirtschaftsunternehmen
In der öffentlichen Diskussion weniger beachtet und im Gewand einer recht komplexen rechtlichen Argumentation kommt ein weiteres gesellschaftspolitisches Thema daher. Nämlich die Frage, welchem Recht multinational organisierte und agierende Konzerne der Informationswirtschaft unterworfen sind. Paralleldiskussionen findet man z.B. auch im Bereich der Besteuerung dieser Unternehmen. Der EuGH machte juristisch, im Übrigen wie der Generalanwalt in seiner Stellungnahme auch, kurzen Prozess. Stark verkürzt lautet die Botschaft: Wer sich in einen nationalen Markt begibt, muss auch die nationalen Regeln, auch Datenschutzregeln, ebendieses Marktes beachten. Das klingt plausibel. Tatsächlich war es das aber nicht. Unternehmen wie Facebook oder Google bestritten immer wieder, sich zum Beispiel den europäisch harmonisierten deutschen Datenschutzregeln zu unterwerfen. In dieser Ansicht wurden sie teilweise sogar durch Gerichte bestärkt. Die Unternehmen agieren nach einem „pick-and-choose“ Prinzip. Sie suchten sich nach eigenem Ermessen aus, welchem Recht sie folgen. Die Grundargumentation (wir finden diese gleich nochmal in einem anderen Gewand wieder) basierte auf der Behauptung, dass es für diese Unternehmen eine unverhältnismäßige Belastung darstelle, sich den unterschiedlichen nationalen datenschutzrechtlichen Anforderungen zu unterwerfen. (Interessantes Detail am Rande ist, dass zum Beispiel Facebook, sich der einheitlichen Auffassung (Working Paper 192) der in der Art-29-Gruppe versammelten Aufsichtsbehörden bezüglich der Pflicht zu einer Einwilligung für die Durchführung der Gesichtserkennung nicht anerkennen wollte, sich auf die in diesem Fall weniger streng ausgelegte irische Rechtsetzung berief und sich damit gegen die herrschende europäische Rechtsauffassung in dieser Sache stellte.)
In der Tat ist es natürlich von wirtschaftlichem Vorteil und eine der Besonderheiten des europäischen Wirtschaftsraums, dass Markteilnehmer sich in der Regel darauf verlassen können, dass ihre Produkte und Dienste, wenn sie in einem Mitgliedsland zugelassen sind, auch in den anderen Ländern rechtmäßig angeboten werden dürfen. Dieses Prinzip sollte auch für die Durchsetzung des Datenschutzrechts gelten. Das setzt aber voraus, dass tatsächlich ein einheitliches Datenschutzniveau im gesamten EU-Raum gilt und effektiv wirkt. Die Realität sieht anders aus.
Was das BGB für den Zivilrechtsverkehr ist, ist das Bundesdatenschutzgesetz und Telemediengesetz für die Informationswirtschaft. Beide Gesetze beinhalten die rechtlichen Rahmenbedingungen der (wirtschaftlichen) Verwendung personenbezogener Daten und sind seit 2 Jahrzehnten konzeptionell nicht maßgeblich geändert worden. M.a.W. der gesetzliche Regulierungsstand in diesem Bereich ist unzulänglich. Das BDSG „kennt“ das Internet überhaupt nicht. Auch wenn beide Gesetze natürlich mit der Europäischen Datenschutzrichtlinie und E-Privacy Richtlinie harmonisiert sind, sind sie für die Umsetzung der Zielvorgaben der Gesetze, nämlich den Schutz der Rechte natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, unzureichend.
Die dadurch verursachte Rechtsunsicherheit nutzt lediglich den großen Internetkonzernen. Sie setzten mit ihren Nutzungsbedingungen und „Privacy Policies“ faktisch Recht. Dabei kommen im Übrigen nicht nur die Rechte der Nutzerinnen und Nutzer unter die Räder. Auch kleine und mittelständische Unternehmen haben Schwierigkeit sich den Marktverzerrungen zu entziehen, die durch die geschickte Gestaltung der Dienste und regulatorischen Rahmenbedingungen erzeugten „lock in“ Effekte hervorgerufen werden.
Sozialdemokratische Politik für die Digitale Gesellschaft muss das Funktionieren des Marktes und einen fairen Kampf um den besten Dienst (bei dem auch die Rechte der Betroffenen in die Wahlentscheidung einfließen müssen) sicherstellen. Geht es auf europäischer Ebene nicht voran, muss dieser Prozess aktiv gefördert und mit Hochdruck betrieben werden. Denn von heute bis zum Inkrafttreten einer neuen europäischen Datenschutzordnung wird sicherlich ein halbes Jahrzehnt vergehen und der derzeitige unregulierte Zustand wird weiter zementiert. Das derzeit existierende Regulationsvakuum darf nicht durch Unternehmen sondern durch den Staat als Garant für eine unparteiische und die Interessen ausgleichende Institution ausgefüllt werden.
3. Kontrolle der Datenverarbeitung
Obwohl es nicht für die Entscheidung des Falles relevant war, sah sich der EuGH außerdem gezwungen, etwas zur Umsetzung der (spärlichen) Vorgaben des Datenschutzrechts zu sagen. Einerseits sollen die Suchmaschinenbetreiber selbst die Bereinigung der Ergebnisse vornehmen. Andererseits obliegt es aber staatlichen Kontrollstellen, die korrekte Umsetzung dieser Vorgaben zu überwachen (Ziffer 78):
„In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann.“
Das Gericht hätte nichts zu diesem Thema schreiben müssen. das spanische Gericht hatte danach gar nicht gefragt. Es hat es dennoch getan. Die Implikationen für die politische Diskussion sind daher eindeutig. Nicht die Unternehmen sondern letztlich der Staat muss die unabhängige und unparteiische Kontrolle gewährleisten. Die vor allem von konservativen Politikern in Spiel gebrachte Idee einer „Schieds- oder Schlichtungsstelle“ im Sinne einer regulierten (oder unregulierten) Selbstregulierung ist abzulehnen. Sie hat sich als nicht wirksam erwiesen. Außerdem würde sich der Staat dadurch entweder seiner Kontrollfunktion entziehen oder die eigentlich den Unternehmen obliegende Aufgabe übernehmen und dann zum Zensor werden. Beides kann nicht richtig sein. Vielmehr fordert der EuGH die Staaten auf, ihre Kontrollstellen mit den normativen, personellen und materiellen Ressourcen derart auszustatten, dass diese in der Lage sind, effektiv ihre Aufgabe wahrzunehmen. Dabei muss sichergestellt bleiben, dass die Betroffenen einen niedrigschwelligen Zugang zu „ihrer Behörde“ haben. Das stärkt im Übrigen auch das Vertrauen des Bürgers in „seinen“ Staat.
Eine europäische Superbehörde, die fernab der Betroffenen reguliert erscheint daher nicht als richtige Antwort. Denn diese ist wiederum getrieben durch das Prinzips des „one-stop-shop“. Danach ist es vor allem im Interesse der großen Internetkonzerne, nur mit einer Regulierungsbehörde „sprechen“ zu müssen. Das Ergebnis ist und wird in der Zukunft – blieben wir bei diesem Dogma – sein, dass die Unternehmen sich dann die vermeintlich schwächste oder ihren eigene Interessen am ehesten entsprechenden Behörden auswählen. Effektive und unabhängige Kontrolle sieht anders aus.
Effektive Durchsetzung bedeutet vielmehr, inhaltliche Schwerpunkte bei einzelnen Aufsichtsbehörden zu bündeln und in föderaler Vielfalt aber inhaltlich geschlossen international agierenden Unternehmen zu begegnen. Mit Unternehmen wie Facebook, Google, Apple oder Microsoft wird dies sehr erfolgreich in Deutschland praktiziert. Die Aufsichtsbehörden in Hamburg und Ansbach (Bayern) stimmen sich bei ihrem Vorgehen mit den anderen Aufsichtsbehörden der Länder ab und erreichen dadurch konsensfähige und allgemein akzeptierte Vorgehensweisen. Gerade der Umstand, dass nicht eine Behörde allein einem Unternehmen gegenüber tritt, sondern hinter sich mehrere Regulierer versammelt, stärkt ihre Durchsetzungsmacht und vermeidet einen Paria-Effekt.
In der gesellschaftlichen Diskussion muss daher die Effektivität staatlicher Regulierung unter normativen Aspekten aber auch dem Blickwinkel der personellen und materiellen Ausstattung diskutiert werden. So muss die Frage gestellt werden, was uns die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben wert ist. Es sind kaum ein halbes Dutzend Mitarbeiter der staatlichen Datenschutz-Aufsichtsbehörden, die die gesetzlich vorgesehene Kontrolle über die Unternehmen Microsoft, Apple, Google und Facebook gewährleisten. Effektive Kontrolle sieht anders aus.
Sozialdemokratische Politik muss das Primat der staatlichen Kontrolle durchsetzen und sicherstellen, dass die Durchsetzung geltender Regeln nicht dem freien Spiel der Kräfte überlassen bleibt.
Das Urteil des EuGH hält uns den Spiegel unserer Versäumnisse vor. Die Debatte um den Umgang mit der Kommunikations- und Informationstechnologie muss endlich beginnen und aus der vermeintlichen Nische der Netzpolitik herausgenommen werden. So wie die Bildungsoffensive, die Energiewende und die Bewahrung der sozialen Sicherungssysteme ist auch das Thema „Digitale Gesellschaft“ eine Querschnittsmaterie und sollte als solche auch beachtet und behandelt werden.