Drei aktuelle Entscheidungen zu datenschutzrechtlichen Fragen. EuGH 24.9.2019, C 136/17. EuGH 24.9.2019, C-507/17. EuGH 1.10.2019, C-673/17 (10. Oktober 2019)
Der Gerichtshof der Europäischen Union (EuGH) hat kürzlich wichtige Aussagen in datenschutzrechtlichen Fragen getätigt. Die ersten beiden Entscheidungen betreffen die Pflichten von Suchmaschinenbetreibern (konkret: Google), die dritte Entscheidung beschäftigt sich mit dem Setzen von Cookies.
In der Entscheidung vom 24. September 2019 in der Rechtssache C-136/17 behandelte der EuGH das Recht auf „Auslistung“ im Zusammenhang mit sensiblen und strafrechtsbezogenen Daten. Mit dem Begriff „Auslistung“ bezeichnet der EuGH die – auf Antrag einer betroffenen Person vorgenommene – Entfernung von Links zu Seiten, die personenbezogene Inhalte aufweisen, aus der Ergebnisliste einer Suche durch den Suchmaschinenbetreiber.
Der EuGH führte aus, dass die Tätigkeit einer Suchmaschine eine eigene Datenverarbeitungstätigkeit sei, die sich von der Verarbeitung durch die Herausgeber von Websites unterscheide und zusätzlich zu dieser vorgenommen werde. Verantwortlicher sei der Betreiber der Suchmaschine. Die Tätigkeit von Suchmaschinen habe maßgeblichen Anteil an der weltweiten Verbreitung personenbezogener Daten; durch sie können die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten erheblich beeinträchtigt werden – und zwar zusätzlich zur Tätigkeit der Herausgeber/innen von Websites.
Der Suchmaschinenbetreiber müsse im Rahmen seiner Befugnisse und Möglichkeiten dafür sorgen, dass die datenschutzrechtlichen Regelungen eingehalten werden. Dies gelte auch für das Verbot bzw. die Beschränkungen der Verarbeitung sensibler oder strafrechtsbezogener Daten, wenn eine betroffene Person die Auslistung entsprechender Treffer beantragt. Der Suchmaschinenbetreiber habe daher Anträgen auf Auslistung von Links zu Websites, auf denen sich sensible oder strafrechtsbezogene Daten befinden, grundsätzlich stattzugeben. Er dürfe dies nur dann ablehnen, wenn die Verarbeitung unter eine der Ausnahmebestimmungen der DSGVO (bzw. davor: der Datenschutzrichtlinie) fällt und alle Voraussetzungen für die Zulässigkeit der Verarbeitung erfüllt sind.
Vgl. zu diesem Verfahren die Pressemitteilung und den Volltext der Entscheidung.
Am 24. September 2019 entschied der EuGH in der Rechtssache C-507/17 über die Reichweite einer gebotenen „Auslistung“ von Suchergebnissen. Es stellte sich die Frage, ob Google bei der Stattgabe eines Auslistungsantrags die Auslistung nur auf der Domain für den Mitgliedstaat, in dem die Suche erfolgt ist, oder auf den Domains für sämtliche Mitgliedstaaten oder sogar auf sämtlichen Domains seiner Suchmaschine vornehmen muss. Der EuGH entschied, dass der Betreiber die Auslistung nicht in allen Versionen seiner Suchmaschine vorzunehmen habe, sondern nur in allen mitgliedstaatlichen Versionen. Dies begründete er damit, dass das Recht auf Datenschutz kein uneingeschränktes Recht sei, sondern unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden müsse. Diese Abwägung habe der Unionsgesetzgeber für die Union vorgenommen, aber nach derzeitigem Stand nicht in Bezug auf die Reichweite einer Auslistung über die Union hinaus.
Darüber hinaus habe der Suchmaschinenbetreiber erforderlichenfalls hinreichend wirksame Maßnahmen zum Grundrechtsschutz der betroffenen Person sicherzustellen. Diese müssen bewirken, dass die Internetnutzer/innen in den Mitgliedstaaten daran gehindert werden, auf die betreffenden Links in der Ergebnisliste zuzugreifen. Ob die von Google konkret getroffenen oder vorgeschlagenen Maßnahmen (wie die sogenannte „Geoblocking“-Technik) ausreichen, habe das nationale Gericht zu beurteilen.
Vgl. zu diesem Verfahren die Pressemitteilung und den Volltext der Entscheidung.
In seiner Entscheidung vom 1. Oktober 2019 in der Rechtssache C-673/17 behandelte der EuGH die Frage der Rechtmäßigkeit einer Einwilligung für das Setzen von Cookies. Er führte aus, dass im konkreten Fall die auf den Computern der Nutzer/innen gespeicherten Cookies mit Registrierungsdaten für ein Gewinnspiel verknüpft wurden und so ein Personenbezug entstanden ist. Eine Verarbeitung personenbezogener Daten liege daher unabhängig davon vor, ob die Cookies selbst personenbezogene Daten sind oder nicht.
Das Speichern bzw. der Zugriff auf solche personenbezogenen Informationen sei nur zulässig, wenn der/die Nutzer/in eine entsprechende Einwilligung erteilt hat. Sowohl nach der Datenschutzrichtlinie (die vor der DSGVO galt) als auch nach der DSGVO sei dafür eine aktive Einwilligung erforderlich. Ein mit einem gesetzten Häkchen voreingestelltes Ankreuzkästchen könne daher keine gültige Einwilligung bewirken, auch wenn das Häkchen von dem/der Nutzer/in entfernt werden kann.
Die Einwilligung müsse zudem auf der Grundlage von klaren und umfassenden Informationen erteilt werden, die dem/der Nutzer/in zur Verfügung zu stellen sind. Zu diesen erforderlichen Informationen zählen auch Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können.
Vgl. zu diesem Verfahren die Pressemitteilung und den Volltext der Entscheidung.
