Anlässlich der aktuellen EuGH-Entscheidung zum sogenannten Safe-Harbor-Abkommen analysiert JOACHIM FASCHING die Meilensteine im Datenschutzrecht. Diese fünf Entscheidungen (Lindqvist, Markkinapörssi, Vorratsdatenspeicherung, Google Spain, Safe Harbor-Abkommen) muss jeder Datenschutz- und IT-Experte kennen, da sie grundlegend für die geplante Datenschutz-Grund-Verordnung (voraussichtlich im zweiten Quartal 2016 fertiggestellt) sind.

Im Fall Lindqvist (C-101/01) hatte Frau Lindqvist aus Schweden 1998 eine Homepage erstellt und dort über aktuelle Ereignisse aus der regionalen Kirchengruppe berichtet. Eines Tages stellte sie Informationen über den Krankheitsverlauf (Verletzung am Fuß) eines Mitgliedes dieser Kirchengemeinschaft online – hierbei stellt sich die Frage, ob sensible Informationen (Gesundheitsdaten einer bestimmten Person) unbeschränkt verbreitet werden dürfen. Fazit: die Verarbeitung/Verbreitung von personenbezogenen Daten unterliegt einigen Auflagen – die Vorgangsweise von Frau Lindqvist ist vereinfacht gesagt unzulässig, da eine weltweite Veröffentlichung an einen unbekannten Personenkreis erfolgte und die betroffene Person auf die Gestaltung und den Inhalt der Veröffentlichung keinen Einfluss hatte.[1]

Als nächsten Fall habe ich Markkinapörrsi (C-73/07) ausgewählt. Hierbei wurden im Jahr 2001 1,2 Millionen Datensätze mit finnischen Steuerinformationen (wie viel jemand Steuern auf Einkommen und Vermögen bezahlt, ist dort öffentlich verfügbar!) nach Alphabet (Vorname und Nachname, Beträge auf 100 Euro gerundet) und Gemeinde geordnet in Regionalzeitungen veröffentlicht. Zudem wurde ein Service angeboten, bei dem man via SMS die Steuerinformationen bestimmter Personen abfragen konnte (man bekam dann eine SMS mit STEUERSUMME VORNAME NACHNAME WOHNORT). Finnische Bürger sehen in der Regel das öffentliche Interesse bei der Weitergabe dieser Informationen als übergeordnet an, da es die Steuermoral stärke, wenn man wisse, dass die Nachbarn ähnlich viel bezahlen müssen (private Neugierde). Doch auch kommerzielle Interessen waren hierbei zu berücksichtigen: die Kenntnis über Einkommens- und Vermögensdaten lässt sich durchaus wirtschaftlich nutzen (Einschätzung der Bonität, zielgerichtete Werbung). Es stellte sich die Frage des Verhältnisses zwischen dem Schutz personenbezogener Daten und der Pressefreiheit („Medienprivileg“) – was wiegt mehr? Letztendlich hatte dies das finnische Gericht (welches den EuGH um eine Vorabentscheidung zur Auslegung der RL 95/46 EG, der immer noch zentralen Richtlinie im Datenschutzrecht, angefragt hat) zu entscheiden.[2]

Im Jahr 2006 wurde die Vorratsdatenspeicherung-Richtlinie (RL 2006/24) erlassen, kurz darauf trudelten bereits die ersten Klagen (hier: Irland und Österreich, C-293/12[3] und C-594/12) ein. Die zentrale Frage richtete sich auf die Verhältnismäßigkeit der umfassenden und anlasslosen Speicherung aller Kommunikationsdaten aller Bürger über einen Zeitraum von sechs Monaten hinweg. Dem standen sowohl der Schutz des Privatlebens und der Kommunikation, als auch die Freiheit der Meinungsäußerung entgegen (ich führe möglicherweise eine Selbstzensur durch, da ich nicht möchte, dass all meine Gedankengänge, die ich beispielsweise via E-Mail oder SMS an eine ganz bestimmte Person übermittle, letztendlich einer unüberschaubaren Personengruppe zur Verfügung stehen). Der EuGH erkannte in seinem Urteil zu Recht: „Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren.“[4] Die vorgeschobene Rechtfertigung der Terrorismusbekämpfung sei hier nicht wirksam, da diese Maßnahme die Kriterien notwendig, angemessen und verhältnismäßig sprengte. Somit wurde vergangenes Jahr die Vorratsdatenspeicherung-RL aufgehoben, die österreichische Folgeregelung wird als Staatschutzgesetz bezeichnet und ist ebenfalls heftig umstritten.

„Google Spain“ (C-131/12) ist auch unter dem Begriff „Recht auf Vergessen“ bekannt geworden: Herr Gonzáles aus Spanien hatte 2010 via Google Search entdeckt, dass bei Eingabe seines Namens als Ergebnis die spanische Tageszeitung La Vanguardia mit zwei Artikeln aus 1998 auftauchte, in denen auf die Versteigerung (Pfändung) seines Grundstückes zur Deckung nichtbezahlter Forderungen seiner Sozialversicherung hingewiesen wurde. Herr Gonzáles war der Ansicht, dass die Pfändung vollständig erledigt sei und keiner weiteren Erwähnung bedürfe, da diese ihn möglicherweise im privaten wie im beruflichen Umfeld benachteilige. Als Konsequenz daraus hat Google ein Beratungsgremium eingerichtet, die sich mit Löschungsanträgen beschäftigt – aktuell wurde die Löschung von 1,15 Millionen URLs beantragt, etwa 41,8% davon wurden tatsächlich entfernt. Detail am Rande: Google betrachtet die Schweiz als Teil der europäischen Union, bzw. wird das Urteil des EuGH auch für Schweizer angewendet – ebenso hat ein japanisches Gericht dem Antrag stattgegeben, eine frühere Verbindung zu einer kriminellen Vereinigung zu löschen. Die durchgeführten Löschungsvorgänge betrafen häufig Google-Dienste selbst (mehr als 10.000), Facebook (9.200), YouTube (5.000) und Twitter (3.400).[5] Eine tragische Randnotiz für Herrn Gonzáles: eigentlich wollte er, dass heute nicht mehr über die Pfändung aus 1998 berichtet werde bzw. keine Informationen darüber mehr im Internet verfügbar seien – erreicht hat er genau das Gegenteil, ohne diese Klage wäre er wohl nicht weltberühmt geworden ...[6]

Das Safe-Harbor-Abkommen wurde erst diese Woche für ungültig erklärt (C-362/14).[7] Der österreichische Jurist und Datenschutzaktivist Maximilian Schrems hat sich damit gegen die irische Datenschutzbehörde durchgesetzt, die der Auffassung war, an dieses Abkommen gebunden zu sein. Doch worum ging es bei dieser seit 2000 gültigen Übereinkunft? Die EU-Kommission war und ist sich bewusst, dass mit dem Aufkommen des Internets auch Daten ins Ausland übertragen werden (beispielsweise Patienten-, Finanz- oder berufliche Daten) und hat daher festgelegt, in welche Länder außerhalb der Europäischen Union diese Daten problemlos übertragen werden können, da dort entsprechende Datenschutzstandards gegeben seien. Seit den Aktivitäten von Edward Snowden ist allerdings auch bekannt, dass die USA nicht mehr als „sicherer Hafen“ angesehen werden kann, wenn deren interner Geheimdienst NSA eine flächendeckende Überwachung (wie gerade oben bei der Vorratsdatenspeicherung-RL kritisiert) durchführt. Der EuGH urteilte auf Grundrechtsebene, das bedeutet: die USA kann generell keinen genügend hohen Datenschutzstandard bieten, also werden auch die parallel ausgehandelten Abkommen und Gesetze wie Domino-Steine kippen. Aber keine Sorge: die EU-Kommission feilt gerade an dem Nachfolgeabkommen, mit denen umfassende Datentransfers in die USA wieder zulässig werden – ändern wird sich in der Praxis also wenig.[8]