Language of document : ECLI:EU:C:2013:424

SCHLUSSANTRÄGE DES GENERALANWALTS

NIILO JÄÄSKINEN

vom 25. Juni 2013(1)

Rechtssache C‑131/12

Google Spain SL,

Google Inc.

gegen

Agencia Española de Protección de Datos (AEPD),

Mario Costeja González

(Vorabentscheidungsersuchen der Audiencia Nacional [Spanien])

„World Wide Web – Personenbezogene Daten – Internetsuchmaschine – Datenschutzrichtlinie 95/46 – Auslegung von Art. 2 Buchst. b und d, Art. 4 Abs. 1 Buchst. a und c, Art. 12 Buchst. b und Art. 14 Buchst. a – Räumlicher Anwendungsbereich – Begriff der Niederlassung im Hoheitsgebiet eines Mitgliedstaats – Sachlicher Anwendungsbereich – Begriff der Verarbeitung personenbezogener Daten – Begriff des für die Verarbeitung personenbezogener Daten Verantwortlichen – Recht auf Löschung und Sperrung von Daten – ‚Recht auf Vergessenwerden‘ – Charta der Grundrechte der Europäischen Union – Art. 7, 8, 11 und 16“





I –  Einführung

1.        In ihrem 1890 in der Harvard Law Review erschienenen richtungweisenden Artikel „The Right to Privacy“(2) beklagen Samuel D. Warren und Louis D. Brandeis, dass „die neuesten Erfindungen und Geschäftsmethoden“ wie „fotografische Momentaufnahmen und Zeitungsunternehmen in die heiligen Gefilde unseres privaten und häuslichen Lebens eingedrungen sind“. In dem Artikel verweisen sie „auf den nächsten Schritt, der zum Schutz der Person unternommen werden muss“.

2.        Heutzutage gewinnt der Schutz personenbezogener Daten und der Privatsphäre des Einzelnen zunehmend an Bedeutung. Alle in Textform oder audiovisuell gestalteten Inhalte, die personenbezogene Daten umfassen, können in Digitalformat sofort und auf Dauer weltweit zugänglich gemacht werden. Das Internet hat unser Leben durch Beseitigung der technischen und institutionellen Schranken für Verbreitung und Empfang von Informationen revolutioniert und eine Plattform für verschiedene Dienste der Informationsgesellschaft geschaffen. Davon profitieren Verbraucher, Unternehmen und die Gesellschaft als Ganzes. Dabei ist es zu bisher unbekannten Situationen gekommen, in deren Rahmen verschiedene Grundrechte wie die Freiheit der Meinungsäußerung, die Informationsfreiheit und die unternehmerische Freiheit auf der einen Seite und der Schutz personenbezogener Daten sowie der Privatsphäre des Einzelnen auf der anderen Seite in ein Gleichgewicht gebracht werden müssen.

3.        Bezogen auf das Internet sind bei personenbezogenen Daten drei Fallkonstellationen zu unterscheiden. Bei der ersten geht es um die Veröffentlichung von Bestandteilen personenbezogener Daten auf einer Webseite im Internet(3) (im Folgenden: Quellenwebseite)(4). Bei der zweiten liefert eine Internetsuchmaschine Suchergebnisse, die den Internetnutzer zu der Quellenwebseite führen. Die dritte Konstellation betrifft den eher unmerklichen Vorgang, der sich vollzieht, wenn ein Internetnutzer eine Suche mit einer Internetsuchmaschine durchführt und ein Teil seiner personenbezogenen Daten, z. B. die IP-Adresse des Computers, mit dem er die Suche vornimmt, automatisiert an den Internetsuchmaschinen-Diensteanbieter übermittelt wird(5).

4.        Im Urteil Lindqvist hat der Gerichtshof bereits entschieden, dass auf die erste Fallkonstellation die Richtlinie 95/46/EG(6) (im Folgenden: Datenschutzrichtlinie oder Richtlinie) Anwendung findet. Die dritte Fallkonstellation ist in der vorliegenden Rechtssache nicht gegeben; im Übrigen sind von den nationalen Datenschutzstellen eingeleitete Verwaltungsverfahren anhängig, in denen der Umfang des Geltungsbereichs der unionsrechtlichen Datenschutzvorschriften für Nutzer von Internetsuchmaschinen geklärt werden soll(7).

5.        Die Vorlageentscheidung in der vorliegenden Rechtssache betrifft die zweite Fallkonstellation. Das Vorabentscheidungsersuchen wird von der Audiencia Nacional (dem spanischen nationalen Obergericht) in einem Verfahren zwischen der Google Spain SL und der Google Inc. (einzeln oder zusammen im Folgenden: Google) einerseits und der Agencia Española de Protección de Datos (AEPD) und Herrn Mario Costeja González (im Folgenden: betroffene Person) andererseits gestellt. Im Verfahren geht es um die Anwendung der Datenschutzrichtlinie auf eine Internetsuchmaschine, die von Google als Diensteanbieter betrieben wird. Im Ausgangsverfahren ist unstreitig, dass einige personenbezogene Daten der betroffenen Person von einer spanischen Zeitung im Jahr 1998 in zwei Druckausgaben veröffentlicht wurden, die beide zu einem späteren Zeitpunkt in elektronischer Form erneut aufgelegt und ins Internet gestellt wurden. Die betroffene Person ist der Ansicht, dass diese Informationen bei einer Suchanfrage nach ihrem Vornamen und ihren Nachnamen in den Suchergebnissen der von Google betriebenen Internetsuchmaschine nicht mehr angezeigt werden sollten.

6.        Die dem Gerichtshof vorgelegten Fragen sind in drei Gruppen untergliedert(8). Gegenstand der ersten Fragengruppe ist der räumliche Anwendungsbereich der Datenschutzvorschriften der Union. Die zweite Gruppe bezieht sich auf die Rechtsstellung des Internetsuchmaschinen-Diensteanbieters(9) im Rahmen der Richtlinie, insbesondere im Hinblick auf deren sachlichen Anwendungsbereich. Die dritte Frage schließlich betrifft das sogenannte „Recht auf Vergessenwerden“ sowie die Problematik, ob betroffene Personen verlangen können, dass einige oder alle sie berührenden Suchergebnisse nicht mehr über die Suchmaschine angezeigt werden. Bisher hat sich der Gerichtshof mit keiner dieser Fragen befasst, die im Übrigen auch wichtige Gesichtspunkte des Grundrechtsschutzes ansprechen.

7.        Anscheinend hat sich der Gerichtshof hier zum ersten Mal mit der Auslegung der Richtlinie im Kontext von Internetsuchmaschinen auseinanderzusetzen – einem für die nationalen Datenschutzstellen und die Gerichte der Mitgliedstaaten offenbar aktuellen Thema. Das vorlegende Gericht gibt sogar an, dass bei ihm mehrere ähnliche Sachen anhängig seien.

8.        Der wichtigste Rechtsstreit, in dem sich der Gerichtshof mit Datenschutzfragen und dem Internet beschäftigt hat, ist bisher die Rechtssache Lindqvist(10). In jenem Fall ging es jedoch nicht um Internetsuchmaschinen. Zur Auslegung der Richtlinie selbst liegen mehrere Entscheidungen vor, unter denen die Urteile Österreichischer Rundfunk u. a.(11), Satakunnan Markkinapörssi und Satamedia(12) sowie Volker und Markus Schecke und Eifert(13) besonders relevant sind. Die Auswirkung von Internetsuchmaschinen auf Rechte des geistigen Eigentums und die Zuständigkeit der Gerichte hat der Gerichtshof in seiner Rechtsprechung ebenfalls untersucht, und zwar in den Urteilen Google France und Google, Portakabin, L’Oréal u. a., Interflora und Interflora British Unit sowie Wintersteiger(14).

9.        Seit dem Erlass der Richtlinie wurde in Art. 16 AEUV und in Art. 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) eine Bestimmung über den Schutz personenbezogener Daten aufgenommen. Außerdem hat die Kommission im Jahr 2012 einen Vorschlag für eine Datenschutz-Grundverordnung(15) vorgelegt, die die Richtlinie ersetzen soll. Die vorliegende Rechtssache ist allerdings anhand des geltenden Rechts zu entscheiden.

10.      Bei dem anhängigen Vorabentscheidungsverfahren ist zu berücksichtigen, dass zu der Zeit, als die Kommission 1990 ihren Vorschlag für die Richtlinie unterbreitete, weder das Internet im Sinne des heutigen World Wide Web noch Suchmaschinen existierten. Im Jahr 1995, als die Richtlinie erlassen wurde, steckte das Internet noch in den Kinderschuhen, und die ersten rudimentären Suchmaschinen traten gerade erst in Erscheinung – niemand konnte jedoch vorhersehen, wie sehr diese Entwicklungen die Welt revolutionieren würden. Heutzutage könnte nahezu jeder, der ein Smartphone oder einen Computer besitzt, als jemand gelten, auf dessen Tätigkeiten im Internet die Richtlinie potenziell Anwendung findet.

II –  Rechtlicher Rahmen

A –    Datenschutzrichtlinie

11.      Nach Art. 1 der Richtlinie gewährleisten die Mitgliedstaaten nach den Bestimmungen der Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.

12.      In Art. 2 sind u. a. die Begriffe „personenbezogene Daten“, „betroffene Person“, Verarbeitung personenbezogener Daten“, „für die Verarbeitung Verantwortlicher“ und „Dritter“ definiert.

13.      Gemäß Art. 3 gilt die Richtlinie für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie in bestimmten Fällen für die nicht automatisierte Verarbeitung personenbezogener Daten.

14.      Nach Art. 4 Abs. 1 wendet ein Mitgliedstaat die Vorschriften, die er zur Umsetzung der Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, wenn der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet des Mitgliedstaats besitzt, oder in Fällen, in denen der für die Verarbeitung Verantwortliche nicht in der Union niedergelassen ist, wenn dieser zum Zweck der Verarbeitung personenbezogener Daten auf Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind.

15.      Die betroffenen Personen haben nach Art. 12 der Richtlinie ein „Auskunftsrecht“ hinsichtlich der vom für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten und nach Art. 14 ein „Widerspruchsrecht“ gegen die Verarbeitung personenbezogener Daten in bestimmten Fällen.

16.      Durch Art. 29 der Richtlinie wird eine unabhängige Gruppe mit beratender Funktion eingerichtet, der u. a. die Datenschutzbehörden der Mitgliedstaaten angehören (im Folgenden: Artikel-29-Datenschutzgruppe).

B –    Nationales Recht

17.      Die Ley Orgánica 15/1999 zum Datenschutz setzt die Richtlinie in spanisches Recht um(16).

III –  Sachverhalt und Vorlagefragen

18.      Anfang 1998 veröffentlichte eine Zeitung mit hohem Verbreitungsgrad in Spanien in ihrer Druckausgabe zwei Bekanntmachungen über eine Immobilienversteigerung wegen einer Pfändung, die infolge bei der Sozialversicherung bestehender Schulden betrieben wurde. Die betroffene Person wurde als Eigentümer genannt. Später stellte der Verleger eine elektronische Ausgabe der Zeitung online.

19.      Im November 2009 wandte sich die betroffene Person an den Verleger der Zeitung und beanstandete, dass bei Eingabe des Vornamens und der Nachnamen der betroffenen Person in die Suchmaschine von Google ein Link auf Seiten der Zeitung mit den Bekanntmachungen der Immobilienversteigerung erscheine. Die Pfändung wegen der Schulden bei der Sozialversicherung sei seit Jahren erledigt und derzeit ohne Relevanz. Der Verleger antwortete, eine Löschung der Daten komme nicht in Betracht, da die Veröffentlichung auf Anordnung des Ministeriums für Arbeit und Sozialordnung erfolgt sei.

20.      Im Februar 2010 wandte sich die betroffene Person an Google Spain und verlangte, dass bei der Eingabe des Vornamens und der Nachnamen der betroffenen Person in die Internetsuchmaschine von Google in den Suchergebnissen nicht die Links zu der Zeitung erscheinen. Google Spain leitete das Ersuchen der betroffenen Person an Google Inc. mit Sitz in Kalifornien (USA) weiter, da die Internet-Suchdienste von diesem Unternehmen erbracht würden.

21.      Daraufhin legte die betroffene Person bei der AEPD eine Beschwerde ein und beantragte, den Verleger aufzufordern, die Veröffentlichung zu löschen oder zu ändern, damit ihre personenbezogenen Daten nicht erscheinen, oder unter Verwendung der von den Suchmaschinen zur Verfügung gestellten Werkzeuge ihre personenbezogenen Daten zu schützen. Die betroffene Person beantragte ferner, Google Spain oder Google aufzufordern, die Daten der betroffenen Person zu löschen oder zu verbergen, damit sie nicht weiter in ihren Suchergebnissen erscheinen und dazu führen, dass Links zu der Zeitung angezeigt werden.

22.      Mit Entscheidung vom 30. Juli 2010 gab der Leiter der AEPD der Beschwerde der betroffenen Person gegen Google Spain und Google Inc. statt und forderte die Unternehmen auf, die erforderlichen Maßnahmen zur Löschung der Daten der betroffenen Person von ihrem Index zu ergreifen und einen künftigen Zugriff auf diese Daten unmöglich zu machen, wies jedoch die Beschwerde gegen den Verleger zurück. Die Veröffentlichung der Daten in der Presse sei auf einer rechtlichen Grundlage erfolgt. Google Spain und Google Inc. erhoben jeweils Klage beim vorlegenden Gericht, mit der sie Aufhebung der Entscheidung der AEPD beantragen.

23.      Das nationale Gericht hat das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

1.      In Bezug auf den räumlichen Anwendungsbereich der Richtlinie und demzufolge der spanischen Datenschutzbestimmungen:

1.1.      Besteht eine „Niederlassung“ im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie, wenn eine oder mehrere der nachstehenden Fallgestaltungen vorliegen:

–        wenn ein Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit auf die Einwohner dieses Staats ausgerichtet ist,

oder

–        wenn das Mutterunternehmen als seine Vertreterin und Verantwortliche für die Verarbeitung zweier konkreter Dateien, die mit den Daten von Kunden, die mit diesem Unternehmen Werbeverträge abgeschlossen haben, in Zusammenhang stehen, eine in diesem Mitgliedstaat ansässige Tochtergesellschaft benennt

oder

–        wenn die in einem Mitgliedstaat angesiedelte Niederlassung oder Tochtergesellschaft die an sie gerichteten Anträge und Ersuchen der Betroffenen und der für den Datenschutz zuständigen Behörden an das Mutterunternehmen, das seinen Sitz außerhalb der Europäischen Union hat, weiterleitet, auch wenn diese Zusammenarbeit freiwillig erfolgt?

1.2.      Ist Art. 4 Abs. 1 Buchst. c der Richtlinie dahin auszulegen, dass ein „Rückgriff“ auf „Mittel, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind“, gegeben ist,

–        wenn eine Suchmaschine Spider oder Robots einsetzt, um Informationen auf Webseiten, die auf Servern in diesem Mitgliedstaat gehostet werden, zu lokalisieren und zu indexieren,

oder

–        eine länderspezifische Domain eines Mitgliedstaats benutzt und die Suchvorgänge und die Ergebnisse anhand der Sprache dieses Mitgliedstaats steuert?

1.3.      Kann die vorübergehende Speicherung der durch die Internetsuchmaschinen indexierten Informationen als Rückgriff auf Mittel im Sinne von Art. 4 Abs. 1 Buchst. c der Richtlinie betrachtet werden? Sollte die letzte Frage bejaht werden: Kann davon ausgegangen werden, dass dieses Anknüpfungskriterium erfüllt ist, wenn sich das Unternehmen unter Berufung auf Wettbewerbsgründe weigert, den Ort offenzulegen, an dem es diese Indexe speichert?

1.4.      Unabhängig von der Antwort auf die vorstehenden Fragen und insbesondere für den Fall, dass der Gerichtshof der Auffassung ist, dass die in Art. 4 der Richtlinie vorgesehenen Anknüpfungskriterien nicht vorliegen:

Ist im Licht des Art. 8 der Charta die Datenschutzrichtlinie in dem Mitgliedstaat anzuwenden, in dem der Schwerpunkt des Konflikts angesiedelt ist und ein wirksamer Schutz der Rechte der Bürger der Europäischen Union möglich ist?

2.      In Bezug auf die Tätigkeit der Suchmaschinen als Provider von Inhalten in Verbindung mit der Datenschutzrichtlinie:

2.1.      Im Zusammenhang mit der Tätigkeit der Suchmaschine des Unternehmens „Google“ im Internet als Provider von Inhalten, die darin besteht, nach Informationen zu suchen, die Dritte im Internet veröffentlicht oder gespeichert haben, sie automatisch zu indexieren, vorübergehend zu speichern und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung zu stellen, wenn diese Informationen personenbezogene Daten Dritter enthalten:

Fällt eine derartige Tätigkeit unter den Begriff „Datenverarbeitung“ in Art. 2 Buchst. b der Richtlinie?

2.2.      Sollte die vorstehende Frage – immer im Zusammenhang mit einer Tätigkeit wie der zuvor beschriebenen – bejaht werden: Ist Art. 2 Buchst. d der Richtlinie dahin auszulegen, dass das Unternehmen, das die Suchmaschine „Google“ betreibt, als „für die Verarbeitung Verantwortlicher“ hinsichtlich der personenbezogenen Daten auf den Webseiten, die es indexiert, betrachtet werden kann?

2.3.      Sollte die vorstehende Frage bejaht werden: Kann die nationale Kontrollstelle (im vorliegenden Fall die AEPD) zum Schutz der durch Art. 12 Buchst. b und Art. 14 Buchst. a der Richtlinie gewährleisteten Rechte den Betreiber der Suchmaschine des Unternehmens „Google“ unmittelbar auffordern, von Dritten veröffentlichte Informationen aus seinen Indexen zu entfernen, ohne sich zuvor oder gleichzeitig an den Betreiber der Webseite, die diese Informationen enthält, wenden zu müssen?

2.4.      Sollte die letzte Frage bejaht werden: Entfällt die Verpflichtung der Suchmaschinenbetreiber zum Schutz dieser Rechte, wenn die Informationen, die personenbezogene Daten enthalten, von Dritten rechtmäßig veröffentlicht wurden und in der Ursprungswebseite weiterhin enthalten sind?

3.      Zur Reichweite des Rechts auf Löschung und/oder Widerspruch in Verbindung mit dem Recht auf Vergessenwerden stellt sich folgende Frage:

3.1.      Kann davon ausgegangen werden, dass das in Art. 12 Buchst. b der Richtlinie geregelte Recht auf Löschung und Sperrung der Daten sowie das in Art. 14 Buchst. a der Richtlinie vorgesehene Widerspruchsrecht beinhalten, dass sich die betroffene Person an die Suchmaschinenbetreiber wenden kann, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten veröffentlicht sind, und sie sich hierzu auf ihren Willen berufen kann, dass sie den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass sie ihr schaden könnten, oder sie sich wünscht, dass sie vergessen werden, selbst wenn es sich um Informationen handelt, die von Dritten rechtmäßig veröffentlicht wurden?

24.      Google, die Regierungen Spaniens, Griechenlands, Italiens, Österreichs und Polens sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. Mit Ausnahme der polnischen Regierung haben die genannten Verfahrensbeteiligten sowie der Bevollmächtigte der betroffenen Person an der Sitzung vom 26. Februar 2013 teilgenommen und mündlich verhandelt.

IV –  Vorbemerkungen

A –    Einführung

25.      Im vorliegenden Fall geht es entscheidend um die Frage, wie die Stellung der Internetsuchmaschinen-Diensteanbieter im Licht der geltenden Unionsrechtsakte zum Datenschutz, insbesondere der Richtlinie, zu beurteilen ist. Daher sind vorab einige Bemerkungen zu der Herausbildung des Datenschutzes, des Internets und der Internetsuchmaschinen aufschlussreich.

26.      Als die Richtlinie 1995 beraten und erlassen wurde(17), erhielt sie einen weiten sachlichen Anwendungsbereich. Ziel war eine Anpassung an die technischen Entwicklungen von Datenverarbeitungen, die von den für die Verarbeitung Verantwortlichen vorgenommen wurden und inzwischen dezentralisierter erfolgten, als dies bei den Ablagesystemen der herkömmlichen zentralisierten Datenbanken der Fall war, so dass auch neue Arten personenbezogener Daten wie Bilder sowie Verarbeitungsverfahren wie Suchanfragen nach beliebigem Text erfasst wurden(18).

27.      1995 war der allgemeine Zugang zum Internet noch ein neues Phänomen. Heute, nach knapp 20 Jahren, hat sich die Menge der online verfügbaren digitalisierten Inhalte explosionsartig vervielfältigt. Die Inhalte lassen sich durch die sozialen Medien ohne Weiteres aufrufen, einsehen und verbreiten und auf verschiedene Geräte wie Tablets, Smartphones und Laptops herunterladen. Ganz offensichtlich hat jedoch der Gemeinschaftsgesetzgeber die Entwicklung des Internets als umfassenden weltweiten Datenbestand, der überall zugänglich und durchsuchbar ist, nicht vorhergesehen.

28.      Im Mittelpunkt des vorliegenden Vorabentscheidungsverfahrens steht die Tatsache, dass das Internet die Verbreitung von Informationen in bisher unbekannter Weise amplifiziert und erleichtert(19). Ähnlich wie die Erfindung des Buchdrucks im 15. Jahrhundert die Vervielfältigung von Exemplaren, die früher per Hand geschrieben werden mussten, in unbegrenzter Zahl ermöglichte, eröffnet das Einstellen von Material in das Internet den Massenzugang zu Informationen, die zuvor womöglich nur nach mühevoller Recherche und an nur wenigen Orten zu finden waren. Der universelle Zugang zu Informationen im Internet ist überall möglich, außer in Ländern, in denen die Behörden den Zugang zum Internet durch Einsatz verschiedener technischer Mittel (wie etwa einer elektronischen Firewall) einschränken oder in denen der Zugang zu Telekommunikationsmitteln kontrolliert wird oder knapp ist.

29.      Aufgrund dieser Entwicklungen ist der potenzielle Anwendungsbereich der Richtlinie in der modernen Welt überraschend weit geworden. Zu denken ist etwa an einen Professor für Europarecht, der von der Website des Gerichtshofs die wesentliche Rechtsprechung des Gerichtshofs auf seinen Laptop herunterlädt. Nach der Richtlinie lässt sich dieser Professor als ein „für die Verarbeitung Verantwortlicher“ im Hinblick auf personenbezogene Daten bezeichnen, die von einem Dritten stammen. Der Professor besitzt Dateien mit personenbezogenen Daten, die bei der Suche und Abfrage im Rahmen von nicht ausschließlich persönlichen oder familiären Tätigkeiten automatisiert verarbeitet werden. Tatsächlich dürfte heutzutage wohl jeder, der eine Zeitung auf einem Tablet liest oder soziale Medien auf einem Smartphone verfolgt, eine Verarbeitung personenbezogener Daten mit Hilfe automatisierter Verfahren vornehmen und könnte in den Anwendungsbereich der Richtlinie fallen, soweit dieser Vorgang in nicht ausschließlich privater Eigenschaft ausgeführt wird(20). Auch die weite Auslegung, die das Grundrecht auf Achtung des Privatlebens unter Datenschutzgesichtspunkten durch den Gerichtshof erfährt, dürfte dazu führen, dass jede menschliche Kommunikation mit elektronischen Mitteln nach dem Maßstab dieses Grundrechts zu überprüfen ist.

30.      Bei den derzeitigen Gegebenheiten werden die weiten Definitionen der Begriffe „personenbezogene Daten“, „Verarbeitung“ und „für die Verarbeitung Verantwortlicher“ aufgrund der technischen Entwicklung wahrscheinlich ein beispiellos breites Spektrum von Sachverhalten erfassen. Viele, wenn nicht gar die meisten Websites und die darüber zugänglichen Dateien enthalten nämlich personenbezogene Daten wie Namen lebender natürlicher Personen. Somit ist der Gerichtshof gehalten, bei der Auslegung des Anwendungsbereichs der Richtlinie Vernunft walten zu lassen, mit anderen Worten den Grundsatz der Verhältnismäßigkeit anzuwenden, um unangemessene und übermäßige Rechtsfolgen zu vermeiden. Dieses gemäßigte Vorgehen hat der Gerichtshof bereits im Urteil Lindqvist gewählt, in dem er eine Auslegung verworfen hat, die zu einem unangemessen weiten Anwendungsbereich von Art. 25 der Richtlinie über die Übermittlung personenbezogener Daten in Drittländer im Kontext des Internets geführt hätte(21).

31.      Im vorliegenden Fall muss daher ein richtiges, angemessenes und dem Grundsatz der Verhältnismäßigkeit entsprechendes Gleichgewicht zwischen dem Schutz personenbezogener Daten, einer kohärenten Auslegung der Anliegen der Informationsgesellschaft und den berechtigten Interessen der Wirtschaftsteilnehmer und der Internetnutzer in ihrer Gesamtheit gefunden werden. Obwohl die Richtlinie seit ihrem Erlass im Jahr 1995 nicht geändert worden ist, ist ihre Anwendung auf neuartige Sachverhalte nicht zu umgehen. Es handelt sich um einen komplexen Bereich, in dem Recht und neue Technologie aufeinandertreffen. Die von der Artikel-29-Datenschutzgruppe angenommenen Stellungnahmen enthalten insoweit äußerst sachdienliche Ausführungen(22).

B –    Internetsuchmaschinen und Datenschutz

32.      Bei der Prüfung der rechtlichen Einordnung von Internetsuchmaschinen im Rahmen der Datenschutzvorschriften ist Folgendes zu beachten(23).

33.      Erstens, eine Internetsuchmaschine in ihrer Grundform erstellt grundsätzlich keine neuen eigenständigen Inhalte. In ihrer einfachsten Ausgestaltung zeigt sie lediglich an, wo Inhalte, die Dritte bereits ins Internet gestellt haben, zu finden sind, indem sie einen Hyperlink zu der Webseite anzeigt, die die Suchbegriffe enthält. 

34.      Zweitens, die von einer Internetsuchmaschine angezeigten Suchergebnisse beruhen nicht auf einer in Echtzeit durchgeführten Durchsuchung des gesamten World Wide Web, sondern sie werden aus Inhalten zusammengestellt, die die Internetsuchmaschine bereits zu einem früheren Zeitpunkt verarbeitet hat. Die Internetsuchmaschine hat nämlich Inhalte aus vorhandenen Webseiten ausgelesen, auf ihre eigenen Vorrichtungen kopiert und dort analysiert und indexiert. Diese ausgelesenen Inhalte auf den eigenen Vorrichtungen enthalten personenbezogene Daten, sofern diese in der Quellenwebseite vorhanden sind.

35.      Drittens, um die Ergebnisse benutzerfreundlicher zu gestalten, werden von der Internetsuchmaschine häufig neben dem Link zu der Quellenwebseite noch weitere Inhalte angezeigt. Möglich sind Textauszüge, audiovisuelle Inhalte oder sogar Momentaufnahmen der Quellenwebseiten. Diese Vorschauen werden aus den Vorrichtungen des Internetsuchmaschinen-Diensteanbieters ausgelesen, nicht in Echtzeit aus der Quellenwebseite. Der Diensteanbieter befindet sich also tatsächlich im Besitz der auf diese Weise angezeigten Informationen.

C –    Regelung der Internetsuchmaschinen

36.      Die Union misst der Entwicklung der Informationsgesellschaft große Bedeutung zu. In diesem Zusammenhang wurde auch die Funktion der Vermittler in der Informationsgesellschaft berücksichtigt. Diese Vermittler sind das Bindeglied zwischen den Anbietern von Inhalten und den Internetnutzern. Die besondere Aufgabe der Vermittler wird z. B. in der Richtlinie (47. Erwägungsgrund), in der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr(24) (Art. 21 Abs. 2 und 18. Erwägungsgrund) sowie in der Stellungnahme 1/2008 der Artikel-29-Datenschutzgruppe anerkannt. Die Funktion der Internetdiensteanbieter gilt als unerlässlich für die Informationsgesellschaft, und dementsprechend ist ihre Verantwortlichkeit für die von ihnen übermittelten und/oder gespeicherten Inhalte Dritter eingeschränkt, um ihre legitimen Tätigkeiten zu erleichtern.

37.      Die Funktion und die Rechtsstellung der Internetsuchmaschinen-Diensteanbieter sind in den Unionsvorschriften nicht ausdrücklich geregelt. Bei „Instrumenten zur Lokalisierung von Informationen“ handelt es sich eigentlich um eine „elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“; diese stellt einen Dienst der Informationsgesellschaft dar, der Instrumente zur Datensuche, zum Zugang zu Daten und zur Datenabfrage bereitstellt. Internetsuchmaschinen-Diensteanbieter wie Google, die ihre Dienste nicht gegen ein von den Internetnutzern zu entrichtendes Entgelt erbringen, fallen in dieser Eigenschaft jedoch wohl nicht in den Anwendungsbereich der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr(25).

38.      Trotzdem ist ihre Stellung anhand der Rechtsgrundsätze zu prüfen, die für die eingeschränkte Verantwortlichkeit der Internetdiensteanbieter gelten. Es stellt sich mit anderen Worten die Frage, inwieweit die Tätigkeiten eines Internetsuchmaschinen-Diensteanbieters unter Verantwortlichkeitsgesichtspunkten den in der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr aufgezählten Diensten (reine Durchleitung, Caching, Hosting) oder dem im 47. Erwägungsgrund der Richtlinie genannten Übermittlungsdienst entsprechen und inwieweit der Internetsuchmaschinen-Diensteanbieter selbst als Anbieter von Inhalten auftritt.

D –    Funktion und Verantwortlichkeit des Quellenwebseitenurhebers

39.      Im Urteil Lindqvist hat der Gerichtshof entschieden, dass „[d]er Vorgang, der darin besteht, personenbezogene Daten auf eine Internetseite zu stellen, … als eine [Verarbeitung personenbezogener Daten] anzusehen [ist]“(26). Außerdem „[bedarf] es zur Wiedergabe von Informationen auf einer Internetseite nach den gegenwärtig angewandten technischen und EDV-Verfahren eines Hochladens dieser Seite auf einen Server sowie der erforderlichen Vorgänge …, um diese Seite den mit dem Internet verbundenen Personen zugänglich zu machen. Diese Vorgänge erfolgen zumindest teilweise in automatisierter Form.“ Der Gerichtshof ist zu dem Ergebnis gelangt, dass „die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise … erkennbar zu machen, eine ‚ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten‘ im Sinne von Artikel 3 Absatz 1 der Richtlinie … darstellt“.

40.      Aus den vorstehenden Feststellungen im Urteil Lindqvist ergibt sich, dass der Urheber von Quellenwebseiten, die personenbezogene Daten enthalten, ein für die Verarbeitung personenbezogener Daten Verantwortlicher im Sinne der Richtlinie ist. Damit unterliegt er sämtlichen Pflichten, die die Richtlinie für die für die Verarbeitung Verantwortlichen vorsieht.

41.      Die Quellenwebseiten werden auf mit dem Internet verbundenen Servern gehostet. Der Urheber von Quellenwebseiten kann sogenannte „exclusion codes“(27) für die Operation der Internetsuchmaschinen verwenden. Damit wird den Suchmaschinen der Befehl erteilt, eine Quellenwebseite nicht zu indexieren, zu speichern oder im Rahmen ihrer Suchergebnisse anzuzeigen(28). Die Verwendung solcher Codes besagt, dass der Urheber bestimmte auf der Quellenwebseite befindliche Informationen nicht von Suchmaschinen auslesen und verbreiten lassen will.

42.      Der Urheber hat daher theoretisch die Möglichkeit, in seine Webseiten exclusion codes einzubetten, die das Indexieren und Archivieren der Seite beschränken und auf diese Weise den Schutz personenbezogener Daten verstärken. Im Extremfall kann der Urheber die Seite auf dem Hosting-Server löschen, sie ohne die beanstandeten personenbezogenen Daten erneut einstellen und die Aktualisierung der Seite im Cache der Suchmaschinen verlangen.

43.      Eine Person, die Inhalte auf der Quellenwebseite veröffentlicht, hat daher in ihrer Eigenschaft als für die Verarbeitung Verantwortlicher für die auf der Seite veröffentlichten personenbezogenen Daten einzustehen und hat verschiedene Möglichkeiten, den damit verbundenen Pflichten nachzukommen. Diese Bündelung der rechtlichen Haftpflicht steht im Einklang mit den hergebrachten Grundsätzen der Verlegerhaftung im Bereich der traditionellen Medien(29).

44.      Diese Verantwortlichkeit des Urhebers garantiert jedoch nicht, dass sich Datenschutzprobleme durch den Rückgriff auf den für die Verarbeitung der Quellenwebseite Verantwortlichen abschließend ausräumen lassen. Wie das vorlegende Gericht ausgeführt hat, können nämlich dieselben personenbezogenen Daten auf unzähligen Seiten veröffentlicht worden sein, so dass das Auffinden und Ansprechen aller betreffenden Urheber schwierig oder gar unmöglich ist. Außerdem ist denkbar, dass der Urheber in einem Drittland ansässig ist und dass die in Rede stehenden Webseiten nicht in den Anwendungsbereich der Datenschutzvorschriften der Union fallen. Es mögen auch – wie im vorliegenden Fall – rechtliche Hindernisse bestehen, wenn der Fortbestand der ursprünglichen Veröffentlichung im Internet als rechtmäßig angesehen wird.

45.      Tatsächlich wäre eine universelle Zugänglichkeit der Informationen im Internet ohne Internetsuchmaschinen nicht möglich, da ohne sie das Auffinden der relevanten Informationen zu kompliziert und schwierig wäre und nur wenige Ergebnisse zutage treten würden. Wie das vorlegende Gericht zutreffend hervorhebt, wäre, um sich über Bekanntmachungen der Zwangsversteigerung der Immobilie der betroffenen Person zu informieren, früher ein Besuch in den Archiven der Zeitung notwendig gewesen. Heute können diese Informationen durch Eingabe des Namens in eine Internetsuchmaschine aufgerufen werden, was die Verbreitung der Daten erheblich effektiver macht, gleichzeitig aber auch mit einem stärkeren Eingriff in die Sphäre der betroffenen Person verbunden ist. Internetsuchmaschinen können zur Erstellung recht umfassender Profile von natürlichen Personen durch Suche nach deren personenbezogenen Daten und Erfassung dieser Daten verwendet werden. Die Befürchtung, dass individuelle Profile erstellt werden, war aber gerade Anlass für die Entwicklung der modernen Datenschutzvorschriften(30).

46.      Deshalb muss die Verantwortlichkeit der Internetsuchmaschinen-Diensteanbieter für personenbezogene Daten untersucht werden, die auf Quellenwebseiten Dritter veröffentlicht werden und durch die Suchmaschinen der Anbieter zugänglich sind. Mit anderen Worten, der Gerichtshof ist hier mit der Frage der „sekundären Verantwortlichkeit“ dieser Gruppe der Anbieter von Diensten der Informationsgesellschaft konfrontiert; dies entspricht der Problematik, mit der er sich in seiner Rechtsprechung zu Marken und elektronischen Marktplätzen befasst hat(31).

E –    Tätigkeiten eines Internetsuchmaschinen-Diensteanbieters

47.      Internetsuchmaschinen-Diensteanbieter üben verschiedene Arten von Tätigkeiten aus. Diese einzelnen Tätigkeiten können unter dem Gesichtspunkt des Datenschutzes jeweils unterschiedlich einzustufen sein.

48.      Der Internetsuchmaschinen-Diensteanbieter kann die personenbezogenen Daten seiner Nutzer, d. h. der Personen, die Suchbegriffe in die Suchmaschine eingeben, automatisiert erfassen(32). Diese automatisiert übermittelten Daten umfassen möglicherweise die IP-Adresse, Nutzerpräferenzen (Sprache usw.) und natürlich die Suchbegriffe selbst, was im Fall des sogenannten Egosurfing (also wenn der Nutzer seinen eigenen Namen als Suchbegriff eingibt) ohne Weiteres die Identität des Nutzers preisgibt. Zudem gelangen bei Personen, die Nutzerkonten angelegt und sich auf diese Weise registriert haben, deren personenbezogene Daten wie Namen, E-Mail-Adressen und Telefonnummern fast ausnahmslos in die Hände des Internetsuchmaschinen-Diensteanbieters.

49.      Internetsuchmaschinen-Diensteanbieter erzielen ihre Einnahmen nicht durch Entgelte der Nutzer, die Suchbegriffe in die Suchmaschinen eingeben, sondern durch Entgelte der Werbenden, die Suchbegriffe als Schlüsselwörter kaufen, damit bei Eingabe eines solchen Schlüsselworts ihre Werbung zusammen mit den Suchergebnissen angezeigt wird(33). Es liegt auf der Hand, dass personenbezogene Daten über die Werbekunden in den Besitz des Diensteanbieters kommen.

50.      Das vorliegende Vorabentscheidungsverfahren betrifft jedoch die Tätigkeit von Google als reiner Internetsuchmaschinen-Diensteanbieter in Bezug auf Daten, einschließlich personenbezogener Daten, die auf den Quellenwebseiten Dritter im Internet veröffentlicht sind und von der Google-Suchmaschine verarbeitet und indexiert werden. Daher sind die Probleme der Nutzer und Werbekunden, auf deren Daten die Richtlinie in Bezug auf deren Verhältnis zu Google zweifellos Anwendung findet, nicht Gegenstand der Prüfung der zweiten Gruppe der Vorlagefragen. Was jedoch die mit der ersten Gruppe der Vorlagefragen angesprochene Gerichtsbarkeitsproblematik betrifft, könnten diese Kundenkreise von Belang sein.

V –  Erste Fragengruppe betreffend den räumlichen Anwendungsbereich der Richtlinie

A –    Einführung

51.      Die erste Gruppe der Vorlagefragen betrifft die Auslegung von Art. 4 der Richtlinie im Hinblick auf die Kriterien, anhand deren der räumliche Anwendungsbereich der nationalen Umsetzungsvorschriften zu bestimmen ist.

52.      Das vorlegende Gericht hat seine Vorlagefragen nach dem räumlichen Anwendungsbereich der spanischen Datenschutzbestimmungen in vier Unterfragen gegliedert. Die erste Unterfrage bezieht sich auf den Begriff „Niederlassung“ im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie, während mit der zweiten geklärt werden soll, wann im Sinne von Art. 4 Abs. 1 Buchst. c der Richtlinie ein „Rückgriff“ auf „Mittel, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind“, gegeben ist. Die dritte Unterfrage lautet, ob die vorübergehende Speicherung der durch die Internetsuchmaschinen indexierten Informationen als Rückgriff auf Mittel betrachtet werden kann und, falls dies zu bejahen ist, ob davon ausgegangen werden kann, dass dieses Anknüpfungskriterium erfüllt ist, wenn sich das Unternehmen weigert, den Ort offenzulegen, an dem es diese Indexe speichert. Gegenstand der vierten Unterfrage ist, ob die Vorschriften zur Umsetzung der Richtlinie im Licht von Art. 8 der Charta in dem Mitgliedstaat anzuwenden sind, in dem der Schwerpunkt des Konflikts angesiedelt ist und in dem ein wirksamer Schutz der Rechte der Unionsbürger möglich ist.

53.      Ich werde zuerst die letzte Unterfrage behandeln, die das nationale Gericht unabhängig von der Antwort auf die vorstehenden Fragen und insbesondere für den Fall stellt, dass der Gerichtshof der Auffassung ist, dass die in Art. 4 Abs. 1 der Richtlinie vorgesehenen Anknüpfungskriterien nicht vorliegen.

B –    Geografischer Schwerpunkt des Konflikts allein kein hinreichendes Kriterium für die Anwendbarkeit der Richtlinie

54.      Die Charta dehnt nach ihrem Art. 51 Abs. 2 den Geltungsbereich des Unionsrechts nicht über die Zuständigkeiten der Union hinaus aus und begründet weder neue Zuständigkeiten noch neue Aufgaben für die Union, noch ändert sie die in den Verträgen festgelegten Zuständigkeiten und Aufgaben(34). Dieser Grundsatz gilt auch für Art. 8 der Charta über den Schutz personenbezogener Daten. Daher kann der Einfluss, den die Charta auf die Auslegung der Richtlinie hat, nicht zu neuen Erkenntnissen für den räumlichen Anwendungsbereich der nationalen Vorschriften zur Umsetzung der Richtlinie führen, die über Art. 4 Abs. 1 der Richtlinie hinausgingen. Selbstverständlich ist Art. 8 der Charta bei der Auslegung der in Art. 4 Abs. 1 der Richtlinie verwendeten Begriffe zu berücksichtigen, aber die vom Unionsgesetzgeber festgelegten Anknüpfungspunkte können nicht unter Hinweis auf das in Art. 8 verankerte Grundrecht um ein völlig neues Kriterium erweitert werden(35).

55.      Die Artikel-29-Datenschutzgruppe weist zu Recht darauf hin, dass sich der Anwendungsbereich der Richtlinie und der nationalen Umsetzungsvorschriften entweder nach dem Ort der Niederlassung des für die Verarbeitung Verantwortlichen oder, wenn Letzterer außerhalb des EWR niedergelassen ist, nach dem Ort bestimmt, an dem die für die Verarbeitung verwendeten Ausrüstungsgegenstände bzw. Mittel belegen sind. Weder die Staatsangehörigkeit noch der gewöhnliche Aufenthalt der betroffenen Personen, noch der Ort, an dem sich die personenbezogenen Daten befinden, sind ausschlaggebend(36).

56.      Die Artikel-29-Datenschutzgruppe schlägt vor, in künftigen Gesetzgebungsakten bei nicht in der Union ansässigen für die Verarbeitung Verantwortlichen auf das Anvisieren von Einzelpersonen abzustellen(37). Nach dem 2012 vorgelegten Vorschlag der Kommission für eine Datenschutz-Grundverordnung(38) soll das Datenschutzrecht der Union auf für die Verarbeitung Verantwortliche in Drittländern anwendbar sein, wenn Personen in der Union Waren oder Dienstleistungen angeboten werden. Dieser Lösungsansatz – nämlich Anknüpfen des räumlichen Anwendungsbereichs der Unionsvorschriften an das Publikum, auf das die Tätigkeit ausgerichtet ist – steht im Einklang mit der Rechtsprechung des Gerichtshofs zur Anwendbarkeit der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr(39), der Verordnung Nr. 44/2001(40) und der Richtlinie 2001/29(41) auf grenzüberschreitende Sachverhalte.

57.      Demgegenüber scheint das Kriterium des anvisierten Publikums, im vorliegenden Fall also der spanischen Nutzer der Internetsuchmaschine von Google, in deren Wahrnehmung der Ruf der betroffenen Person wegen der in Rede stehenden Bekanntmachungen Schaden genommen haben könnte, kein zulässiges Anknüpfungskriterium für die Anwendbarkeit der Richtlinie und der nationalen Vorschriften zu ihrer Umsetzung zu sein.

58.      Dass der Schwerpunkt des Konflikts in Spanien liegt, ist daher kein Kriterium, das über die in Art. 4 Abs. 1 der Richtlinie aufgeführten hinaus anerkannt werden kann, denn meines Erachtens wird durch die genannte Bestimmung der räumliche Anwendungsbereich der mitgliedstaatlichen Datenschutzbestimmungen umfassend harmonisiert. Dies gilt unabhängig davon, ob der Schwerpunkt in der Staatsangehörigkeit oder dem Aufenthaltsort der betroffenen Person, in dem Ort, an dem sich die personenbezogenen Daten auf der Website der Zeitung befinden, oder in der Tatsache zu sehen ist, dass die spanische Website von Google speziell auf das spanische Publikum ausgerichtet ist(42).

59.      Deshalb schlage ich dem Gerichtshof vor, die vierte Unterfrage, falls sie seiner Ansicht nach beantwortet werden muss, zu verneinen.

C –    Anwendbarkeit des Kriteriums „Niederlassung in der Union“ auf einen Internetsuchmaschinen-Diensteanbieter in einem Drittland

60.      Nach Art. 4 Abs. 1 der Richtlinie sind Hauptanknüpfungskriterium für die räumliche Anwendbarkeit der nationalen Datenschutzbestimmungen die Verarbeitungen personenbezogener Daten, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des betreffenden Mitgliedstaats besitzt. Die Vorschriften dieses Mitgliedstaats finden ferner dann Anwendung, wenn der für die Verarbeitung Verantwortliche nicht im Gebiet der Union niedergelassen ist, aber auf Mittel(43) zurückgreift, die im Hoheitsgebiet des Mitgliedstaats belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Union verwendet werden.

61.      Wie oben dargelegt, wurden die Richtlinie und ihr Art. 4 erlassen, bevor die Bereitstellung von Onlinediensten im Internet in großem Stil begonnen hatte. Außerdem ist der Wortlaut in dieser Hinsicht weder kohärent noch vollständig(44). So ist es nicht verwunderlich, dass Datenschutzfachleute erhebliche Schwierigkeiten bei der Auslegung der Bestimmung im Hinblick auf das Internet haben. Der Sachverhalt der vorliegenden Rechtssache verdeutlicht die Probleme.

62.      Die Google Inc. ist ein kalifornisches Unternehmen mit Tochtergesellschaften in verschiedenen Mitgliedstaaten der Union. Ihr europäischer Betrieb wird in gewissem Umfang von ihrer irischen Tochtergesellschaft koordiniert. Sie verfügt derzeit über Datenzentren zumindest in Belgien und Finnland. Informationen über den genauen Standort der suchmaschinenbezogenen Funktionen werden nicht bekannt gemacht. Google macht geltend, dass in Spanien keine mit seiner Suchmaschine in Zusammenhang stehende Verarbeitung personenbezogener Daten stattfinde. Google Spain handelt als Vertreterin von Google im Rahmen der Werbefunktionen. In dieser Eigenschaft hat Google Spain die Aufgabe der Verarbeitung personenbezogener Daten ihrer spanischen Werbekunden übernommen. Nach Angaben von Google nimmt ihre Suchmaschine weder Operationen auf den Servern vor, auf denen die Quellenwebseiten gehostet werden, noch erfasst sie mit Hilfe von Cookies Informationen über nicht registrierte Nutzer der Suchmaschine.

63.      Bei diesem Sachverhalt hilft der Wortlaut von Art. 4 Abs. 1 der Richtlinie kaum weiter. Google besitzt mehrere Niederlassungen im Gebiet der Union. Dieser Umstand würde bei einer Auslegung rein nach dem Wortlaut die Anwendung der in Art. 4 Abs. 1 Buchst. c der Richtlinie vorgesehenen Variante, die auf einen Rückgriff von Mitteln abstellt, ausschließen. Andererseits ist unklar, inwieweit und wo im Rahmen ihrer Tochtergesellschaften in der Union eine Verarbeitung personenbezogener Daten der in der Union ansässigen betroffenen Personen stattfindet.

64.      Meines Erachtens sollte der Gerichtshof die Frage des räumlichen Anwendungsbereichs unter dem Gesichtspunkt des Geschäftsmodells der Internetsuchmaschinen-Diensteanbieter prüfen. Dieses Modell beruht, wie ich bereits erwähnt habe, in der Regel auf der Schlüsselwörterwerbung, die die Finanzierungsquelle darstellt und als solche den wirtschaftlichen Grund für die unentgeltliche Bereitstellung eines Instruments zur Lokalisierung von Informationen in Form einer Suchmaschine bildet. Das die Schlüsselwörterwerbung anbietende Unternehmen (in der Rechtsprechung des Gerichtshofs als „Referenzierungsdienstanbieter“ bezeichnet(45)) ist mit der Internetsuchmaschine verbunden. Dieses Unternehmen benötigt eine Präsenz auf nationalen Werbemärkten. Deshalb hat Google Tochtergesellschaften in zahlreichen Mitgliedstaaten gegründet, bei denen es sich eindeutig um Niederlassungen im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie handelt. Google hat außerdem nationale Webdomänen wie google.es und google.fi eingerichtet. Die Funktionen der Suchmaschinen sind auf solche nationalen Eigenheiten bei der Anzeige der Suchergebnisse auf verschiedenste Weise abgestimmt, da das Finanzierungsmodell der Schlüsselwörterwerbung auf dem „Pay-per-Click“-Verfahren beruht(46).

65.      Daher möchte ich mich dem Ergebnis der Artikel-29-Datenschutzgruppe anschließen, dass das Geschäftsmodell eines Internetsuchmaschinen-Diensteanbieters insoweit zu berücksichtigen ist, als davon auszugehen ist, dass seine Niederlassung eine bedeutende Rolle bei der Verarbeitung personenbezogener Daten spielt, wenn sie in einem Zusammenhang mit einem Dienst steht, der auf den Verkauf zielgruppenspezifischer Werbeanzeigen an die Einwohner des Mitgliedstaats ausgerichtet ist(47).

66.      Außerdem bin ich der Meinung, dass, auch wenn Art. 4 der Richtlinie in Bezug auf die materiell-rechtlichen Regelungen auf einem einheitlichen Begriff des für die Verarbeitung Verantwortlichen beruht, ein Wirtschaftsteilnehmer bei der Entscheidung der Vorlagefrage des räumlichen Anwendungsbereichs als eine Einheit anzusehen ist und dass somit in diesem Stadium der Prüfung nicht nach seinen einzelnen Tätigkeiten bei der Verarbeitung personenbezogener Daten oder nach verschiedenen Gruppen betroffener Personen, auf die sich seine Tätigkeiten beziehen, differenziert werden kann.

67.      Im Ergebnis ist also festzuhalten, dass die Verarbeitung personenbezogener Daten im Rahmen einer Niederlassung des für die Verarbeitung Verantwortlichen stattfindet, wenn diese Niederlassung als Bindeglied zwischen dem Referenzierungsdienst und dem Werbemarkt des betreffenden Mitgliedstaats fungiert, selbst wenn der technische Datenverarbeitungsvorgang in anderen Mitgliedstaaten oder in Drittländern erfolgt.

68.      Daher schlage ich dem Gerichtshof vor, die erste Gruppe der Vorlagefragen in dem Sinne zu beantworten, dass Verarbeitungen personenbezogener Daten im Rahmen der Tätigkeiten einer „Niederlassung“ des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie ausgeführt werden, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Bewohner dieses Staats richtet.

VI –  Zweite Fragengruppe betreffend den sachlichen Anwendungsbereich der Richtlinie

69.      Die zweite Fragengruppe betrifft die Rechtsstellung, die nach den Bestimmungen der Richtlinie ein Internetsuchmaschinen-Diensteanbieter einnimmt, der Zugang zu einer Internetsuchmaschine zur Verfügung stellt. Das nationale Gericht formuliert seine Fragen in Bezug auf die Begriffe „Verarbeitung“ personenbezogener Daten (Frage 2.1) und „für die Verarbeitung Verantwortlicher“ (Frage 2.2), die Befugnisse der nationalen Datenschutzbehörde für unmittelbare Anordnungen an den Internetsuchmaschinen-Diensteanbieter (Frage 2.3) und das eventuelle Entfallen der Verpflichtung des Internetsuchmaschinen-Diensteanbieters zum Schutz der personenbezogenen Daten, wenn diese Informationen von Dritten rechtmäßig im Internet veröffentlicht wurden (Frage 2.4). Die beiden letzten Unterfragen sind nur dann von Bedeutung, wenn der Internetsuchmaschinen-Diensteanbieter bei der Verarbeitung der personenbezogenen Daten, die sich auf Quellenwebseiten Dritter befinden, als für die Verarbeitung Verantwortlicher angesehen werden kann.

A –    Verarbeitung personenbezogener Daten durch eine Internetsuchmaschine

70.      Die erste Unterfrage dieser Gruppe betrifft die Anwendbarkeit der Begriffe „personenbezogene Daten“ und ihrer „Verarbeitung“ auf einen Internetsuchmaschinen-Diensteanbieter wie Google unter der Voraussetzung, dass es nicht um personenbezogene Daten von Nutzern oder Werbenden geht, sondern um personenbezogene Daten, die auf Quellenwebseiten Dritter veröffentlicht sind und von der vom Diensteanbieter betriebenen Internetsuchmaschine verarbeitet werden. Nach der Formulierung des nationalen Gerichts besteht diese Verarbeitung darin, nach Informationen zu suchen, die Dritte im Internet veröffentlicht oder gespeichert haben, sie automatisch zu indexieren, vorübergehend zu speichern und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung zu stellen.

71.      Meines Erachtens bedarf es keiner ausgiebigen Erörterung, um diese Unterfrage zu bejahen. Der Begriff „personenbezogene Daten“ ist in der Richtlinie weit definiert, und diese weite Definition ist von der Artikel-29-Datenschutzgruppe angewandt und vom Gerichtshof bestätigt worden(48).

72.      Was die „Verarbeitung“ angeht, ist es möglich und kommt auch häufig vor, dass Quellenwebseiten Namen, Bilder, Anschriften, Telefonnummern, Beschreibungen und sonstige Angaben enthalten, mittels deren eine natürliche Person identifiziert werden kann. Insoweit spielt es keine Rolle, dass dem Internetsuchmaschinen-Diensteanbieter die Eigenschaft der Daten als personenbezogene Daten „unbekannt“ bleibt, weil seine Suchmaschine bei der Datenerfassung, ‑indexierung und ‑anzeige ohne menschliches Zutun funktioniert(49). Unerheblich ist dabei auch, dass das Vorhandensein personenbezogener Daten auf Quellenwebseiten für den Internetsuchmaschinen-Diensteanbieter gewissermaßen zufällig ist, weil für den Diensteanbieter oder genauer gesagt für die Durchsuchungs-, Analyse- und Indexierungsfunktion der Suchmaschine, die auf sämtliche im Internet zugänglichen Webseiten zugreift, möglicherweise keine technischen oder operativen Unterschiede bestehen zwischen Quellenwebseiten, die personenbezogene Daten enthalten, und solchen, bei denen dies nicht der Fall ist(50). Wohl aber wirken sich diese Faktoren meines Erachtens auf die Auslegung des Begriffs „für die Verarbeitung Verantwortlicher“ aus.

73.      Mit der „googlebot“ genannten Durchsuchungsfunktion der Google-Suchmaschine wird das Internet ständig und systematisch durchsucht, wobei der Spider aufgrund der zwischen den Quellenwebseiten bestehenden Hyperlinks von einer Seite zur nächsten vordringt und bei den besuchten Websites die Übermittlung einer Kopie der gefundenen Seite anfordert(51). Die Kopien dieser Quellenwebseiten werden von der Google-Indexierungsfunktion analysiert. Die auf den Seiten gefundenen Zeichenabfolgen (Schlüsselwörter, Suchbegriffe) werden im Index der Suchmaschine gespeichert(52). Der aufwendige Suchalgorithmus von Google bewertet außerdem die Relevanz der Suchergebnisse. Diese Schlüsselwörter in Verbindung mit den URL-Adressen, soweit diese auffindbar sind, bilden den Index der Suchmaschine. Die von den Nutzern eingeleiteten Suchanfragen werden innerhalb des Indexes durchgeführt. Um die Indexierung vornehmen und die Suchergebnisse anzeigen zu können, wird jeweils eine Kopie der Seite im Cache der Suchmaschine gespeichert(53).

74.      Hat der Nutzer eine Suchanfrage gestartet, kann eine Kopie der gesuchten Quellenwebseite, die im Cache gespeichert ist, angezeigt werden. Der Nutzer gelangt jedoch zu der Originalseite, wenn er sich z. B. die auf der Quellenwebseite befindlichen Bilder anzeigen lässt. Der Cache wird häufig aktualisiert, jedoch kann es vorkommen, dass es zu der von der Suchmaschine angezeigten Seite keine Entsprechung auf dem Hosting-Server mehr gibt, weil die Quellenwebseite dort geändert oder gelöscht wurde(54).

75.      Es versteht sich von selbst, dass die in den vorstehenden Nummern dargestellten Vorgänge als Verarbeitungen der personenbezogenen Daten gelten, die sich auf den von der Suchmaschine kopierten, indexierten, gespeicherten und angezeigten Quellenwebseiten befinden. Insbesondere umfassen sie das Erheben, das Speichern, die Organisation und die Aufbewahrung solcher personenbezogenen Daten, und sie können die Benutzung, die Weitergabe durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung und die Verknüpfung der Daten im Sinne von Art. 2 Buchst. b der Richtlinie umfassen.

B –    Begriff „für die Verarbeitung Verantwortlicher“

76.      Der Ausdruck „für die Verarbeitung Verantwortlicher“(55) bezeichnet nach Art. 2 Buchst. d der Richtlinie „die natürliche oder juristische Person …, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Meines Erachtens geht es im vorliegenden Fall im Kern um die Frage, ob und in welchem Umfang ein Internetsuchmaschinen-Diensteanbieter unter diesen Begriff fällt.

77.      Alle Verfahrensbeteiligten mit Ausnahme von Google und der griechischen Regierung schlagen vor, diese Frage zu bejahen, was sich ohne Weiteres als logische Konsequenz einer grammatischen und vielleicht sogar teleologischen Auslegung der Richtlinie rechtfertigen lasse, da die Definitionen der Grundbegriffe der Richtlinie weit formuliert worden seien, um neuen Entwicklungen Rechnung zu tragen. Meiner Meinung nach würde bei einem solchen Ansatz jedoch völlig außer Acht gelassen, dass bei der Abfassung der Richtlinie die Herausbildung des Internets und der damit verbundenen neuen Phänomene noch gar nicht absehbar war.

78.      Bei Erlass der Richtlinie war das World Wide Web gerade erst Realität geworden, Suchmaschinen befanden sich noch in den Anfängen. Die Bestimmungen der Richtlinie fassen schlichtweg nicht ins Auge, dass enorme Mengen dezentralisiert gehosteter elektronischer Dokumente und Dateien an jedem beliebigen Ort der Welt zugänglich sind und dass ihr Inhalt von Personen kopiert, analysiert und verbreitet werden kann, die in keinerlei Beziehung zu den Urhebern oder denjenigen Personen stehen, die die Dokumente und Dateien auf einen mit dem Internet verbundenen Hosting-Server hochgeladen haben.

79.      Ich erinnere daran, dass der Gerichtshof im Urteil Lindqvist nicht der großen Lösung gefolgt ist, die die Kommission für die Auslegung des Begriffs der Übermittlung von Daten in Drittländer vorgeschlagen hatte. Er hat ausgeführt, dass „[a]ngesichts des Entwicklungsstands des Internets zur Zeit der Ausarbeitung der Richtlinie … und des Fehlens von Kriterien für die Internetbenutzung in Kapitel IV dieser Richtlinie … nicht angenommen werden [kann], dass der Gemeinschaftsgesetzgeber unter den Begriff ‚Übermittlung von Daten in ein Drittland‘ im Vorgriff auch den Vorgang fassen wollte, dass eine Person in der Lage von Frau Lindqvist Daten in eine Internetseite aufnimmt, auch wenn diese Daten dadurch Personen aus Drittländern zugänglich gemacht werden, die über die technischen Mittel für diesen Zugang verfügen“(56). Dies impliziert meiner Ansicht nach, dass bei der Auslegung der Richtlinie im Hinblick auf neue technologische Phänomene der Grundsatz der Verhältnismäßigkeit, die Ziele der Richtlinie und die in ihr vorgesehenen Mittel zur Erreichung dieser Ziele berücksichtigt werden müssen, um zu einem ausgewogenen und angemessenen Ergebnis zu gelangen.

80.      Meiner Meinung nach ist als eine der hier entscheidenden Fragen zu klären, ob es darauf ankommt, dass mit der in der Richtlinie festgelegten Definition der „für die Verarbeitung Verantwortliche“ als die Person charakterisiert wird, die „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Hervorhebung nur hier). Die Verfahrensbeteiligten, die Google als den für die Verarbeitung Verantwortlichen ansehen, stützen diese Einstufung auf die unbestreitbare Tatsache, dass der Diensteanbieter, der eine Suchmaschine betreibt, über die Zwecke und Mittel der Verarbeitung von Daten für seine eigenen Zwecke entscheidet.

81.      Ich bezweifle, dass dies zu einer zutreffenden Auslegung der Richtlinie in Fällen führt, in denen der Gegenstand der Verarbeitung aus Dateien besteht, die in ungeordneter, unterschiedsloser und zufälliger Weise personenbezogene und sonstige Daten enthalten. Entscheidet der in meinem obigen Beispiel in Nr. 29 genannte Professor für Europarecht über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten, die in den auf seinen Laptop heruntergeladenen Urteilen des Gerichtshofs enthalten sind? Die Feststellung der Artikel-29-Datenschutzgruppe, der zufolge „[s]treng genommen … die Benutzer des Suchmaschinendienstes ebenfalls als für die Verarbeitung Verantwortliche angesehen werden [könnten]“, zeigt, zu welch unsinnigen Ergebnissen eine nicht hinterfragte wortwörtliche Auslegung der Richtlinie im Kontext des Internets führen kann(57). Der Gerichtshof darf keiner Auslegung folgen, die praktisch jede Person, die ein Smartphone, ein Tablet oder einen Laptop besitzt, zu einem für die Verarbeitung von im Internet veröffentlichten personenbezogenen Daten Verantwortlichen macht.

82.      Meines Erachtens liegt der Systematik der Richtlinie, den meisten Sprachfassungen und auch der Ausgestaltung der einzelnen Pflichten, die die Richtlinie dem für die Verarbeitung Verantwortlichen auferlegt, die Vorstellung zugrunde, dass dieser die Verantwortung für die verarbeiteten personenbezogenen Daten trägt, und dass dies dahin zu verstehen ist, dass dem für die Verarbeitung Verantwortlichen die Existenz einer bestimmten definierten Kategorie von Informationen, die personenbezogene Daten darstellen, bekannt ist und dass er diese Daten in ihrer Eigenschaft als personenbezogene Daten verarbeiten will(58).

83.      Die Artikel-29-Datenschutzgruppe weist zutreffend darauf hin, dass „[d]er Begriff ‚für die Verarbeitung Verantwortlicher‘ … ein funktionelles Konzept [ist], das die Zuweisung der Verantwortlichkeiten anhand des tatsächlichen Einflusses und damit auf der Grundlage einer Analyse der Fakten und nicht einer formellen Analyse ermöglichen soll“(59). Im Weiteren heißt es, dass der für die Verarbeitung Verantwortliche entscheiden müsse, welche Daten für den/die vorgesehenen Zweck(e) zu verarbeiten seien(60). Die materiell-rechtlichen Bestimmungen der Richtlinie, insbesondere die Art. 6, 7 und 8, gehen meiner Meinung nach davon aus, dass dem für die Verarbeitung Verantwortlichen klar ist, wie er mit den betreffenden personenbezogenen Daten verfährt, d. h., dass ihm bekannt ist, welche Arten von personenbezogenen Daten er verarbeitet und weshalb er dies tut. Mit anderen Worten, die Datenverarbeitung muss sich ihm als Verarbeitung von personenbezogen Daten, also von „Informationen über eine bestimmte oder bestimmbare natürliche Person“, in einer semantisch bedeutsamen Weise und nicht nur als Computercode darstellen(61).

C –    Internetsuchmaschinen-Diensteanbieter ist hinsichtlich personenbezogener Daten auf Quellenwebseiten Dritter kein „für die Verarbeitung Verantwortlicher“

84.      Ein Internetsuchmaschinen-Diensteanbieter, der lediglich ein Instrument zur Lokalisierung von Informationen bereitstellt, übt keine Kontrolle über die auf Webseiten Dritter vorhandenen personenbezogenen Daten aus. Dem Diensteanbieter ist die Existenz personenbezogener Daten lediglich in dem Sinne „bekannt“, als Webseiten mit statistischer Wahrscheinlichkeit personenbezogene Daten enthalten. Bei der Verarbeitung von Quellenwebseiten zum Zwecke des Durchsuchens, Analysierens und Indexierens stechen personenbezogene Daten nicht in besonderer Weise hervor.

85.      Deshalb halte ich den von der Artikel-29-Datenschutzgruppe verfolgten Ansatz für angemessen, da damit die völlig passiven Vermittlungsfunktionen von Suchmaschinen von Sachverhalten abgegrenzt werden sollen, bei denen die von den Suchmaschinen ausgeführten Handlungen der Ausübung einer tatsächlichen Kontrolle über die verarbeiteten personenbezogenen Daten entsprechen(62). Der Vollständigkeit halber ist hinzuzufügen, dass die Frage, ob personenbezogene Daten öffentlich bekannt geworden(63) oder auf Quellenwebseiten Dritter rechtmäßig offengelegt worden sind, für die Anwendung der Richtlinie ohne Belang ist(64).

86.      Der Internetsuchmaschinen-Diensteanbieter hat keinen Bezug zu den Inhalten einer Quellenwebseite eines Dritten im Internet, auf der personenbezogene Daten vorhanden sein mögen. Da die Suchmaschine mit Kopien der Quellenwebseiten arbeitet, die ihr Spider ausgelesen und kopiert hat, hat der Diensteanbieter außerdem keine Möglichkeit zur Änderung der Informationen, die sich auf den Hosting-Servern befinden. Die Bereitstellung eines Instruments zur Lokalisierung von Informationen impliziert keine Kontrolle über die Inhalte. Der Internetsuchmaschinen-Diensteanbieter ist noch nicht einmal in der Lage, zwischen personenbezogenen Daten im Sinne der Richtlinie, d. h. Informationen über eine bestimmbare lebende natürliche Person, und anderen Daten zu unterscheiden.

87.      Insoweit möchte ich auf den im 47. Erwägungsgrund der Richtlinie zum Ausdruck gebrachten Grundsatz zurückgreifen. Dort heißt es, dass bei einer Nachricht, die personenbezogene Daten enthält und die über Telekommunikationsdienste oder durch elektronische Post übermittelt wird, die Person, von der die Nachricht stammt, und nicht die Person, die den Übermittlungsdienst anbietet, als Verantwortlicher für die Verarbeitung der in der Nachricht enthaltenen personenbezogenen Daten gilt. Dieser Erwägungsgrund beruht ebenso wie die in der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr vorgesehenen Ausnahmen von der Verantwortlichkeit (Art. 12, 13 und 14) auf dem Rechtsgrundsatz, wonach ein automatisierter, technischer und passiver Bezug zu elektronisch gespeicherten oder übermittelten Inhalten keine Kontrolle über und keine Verantwortlichkeit für die Inhalte begründet.

88.      Die Artikel-29-Datenschutzgruppe hat betont, dass der Begriff „für die Verarbeitung Verantwortlicher“ in erster Linie dazu dient, zu bestimmen, wer für die Einhaltung der Datenschutzbestimmungen verantwortlich ist, und diese Verantwortlichkeit anhand des Ortes des tatsächlichen Einflusses zuzuweisen(65). Der Datenschutzgruppe zufolge „[ist n]ach dem Grundsatz der Verhältnismäßigkeit … ein Suchmaschinenbetreiber, der ausschließlich als Vermittler handelt, nicht als der Hauptverantwortliche für die inhaltliche Verarbeitung von personenbezogenen Daten anzusehen. In diesem Fall liegt die Hauptverantwortung für die Verarbeitung von personenbezogenen Daten beim Informationsanbieter.“(66)

89.      Meines Erachtens kann der Internetsuchmaschinen-Diensteanbieter hinsichtlich personenbezogener Daten auf Quellenwebseiten, die auf dem Server eines Dritten gehostet werden, weder rechtlich noch tatsächlich die in den Art. 6, 7 und 8 der Richtlinie vorgesehenen Pflichten eines für die Verarbeitung Verantwortlichen erfüllen. Eine angemessene Auslegung der Richtlinie gebietet deshalb, den Diensteanbieter nicht generell als für die Verarbeitung Verantwortlichen anzusehen(67).

90.      Bei Zugrundelegung der entgegensetzten Auffassung müsste man Internetsuchmaschinen nämlich als mit dem Unionsrecht unvereinbar erklären, was ich für ein abwegiges Ergebnis halte. Insbesondere würde, falls Internetsuchmaschinen-Diensteanbieter hinsichtlich personenbezogener Daten, die sich auf Quellenwebseiten Dritter befinden, als für die Verarbeitung Verantwortliche anzusehen wären und falls eine dieser Seiten besondere Kategorien personenbezogener Daten im Sinne von Art. 8 der Richtlinie enthielte (z. B. personenbezogene Daten, aus denen politische Meinungen oder religiöse Überzeugungen hervorgehen, oder Daten über die Gesundheit oder das Sexualleben von Personen), die Tätigkeit des Internetsuchmaschinen-Diensteanbieters automatisch rechtswidrig, sofern nicht die in der genannten Bestimmung festgelegten strengen Voraussetzungen für die Verarbeitung solcher Daten erfüllt sind.

D –    Sachverhalte, bei denen der Internetsuchmaschinen-Diensteanbieter ein „für die Verarbeitung Verantwortlicher“ ist

91.      Der Internetsuchmaschinen-Diensteanbieter ist offenkundig für den Index ihrer Suchmaschinen verantwortlich, in dem Schlüsselwörter mit den entsprechenden URL-Adressen verknüpft sind. Er entscheidet, wie dieser Index aufgebaut ist, und kann durch technische Mittel bestimmte Suchergebnisse sperren, indem er etwa bei den Suchergebnissen URL-Adressen aus bestimmten Ländern oder Domänen nicht anzeigt(68). Zudem hat der Internetsuchmaschinen-Diensteanbieter insofern Verantwortung für seinen Index, als er entscheidet, ob er exclusion codes(69) in den Quellenwebseiten beachtet oder nicht.

92.      Hingegen lässt sich nicht sagen, dass der Inhalt des Cache der Internetsuchmaschine in der Verantwortung des Diensteanbieters unterliegt, da der Cache das Ergebnis eines vollkommen technischen und automatisierten Vorgangs ist, bei dem ein genaues Abbild der Textdaten der durchsuchten Webseiten mit Ausnahme der von der Indexierung und Archivierung ausgeschlossenen Daten hergestellt wird. Interessanterweise sehen einige Mitgliedstaaten hinsichtlich der Verantwortlichkeit von Suchmaschinenbetreibern offenbar besondere horizontale Ausnahmen vor, die der Ausnahme in der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr für bestimmte Anbieter von Diensten der Informationsgesellschaft entsprechen(70).

93.      Was den Inhalt des Cache betrifft, so begründet eine Entscheidung, die exclusion codes(71) auf einer Webseite nicht zu beachten, meiner Meinung nach jedoch eine Verantwortlichkeit für diese personenbezogenen Daten im Sinne der Richtlinie. Das Gleiche gilt in Fällen, in denen der Internetsuchmaschinen-Diensteanbieter eine Webseite in seinem Cache trotz entsprechender Aufforderung seitens des Websitebetreibers nicht aktualisiert.

E –    Pflichten des Internetsuchmaschinen-Diensteanbieters als „für die Verarbeitung Verantwortlicher“

94.      Es liegt auf der Hand, dass der Internetsuchmaschinen-Diensteanbieter, falls und soweit er als „für die Verarbeitung Verantwortlicher“ angesehen werden kann, den in der Richtlinie vorgesehenen Verpflichtungen nachkommen muss.

95.      Was die Voraussetzungen angeht, unter denen die Datenverarbeitung ohne Einwilligung einer betroffenen Person (Art. 7 Buchst. a der Richtlinie) zulässig wird, dürfte wohl auf der Hand liegen, dass die Erbringung von Internetsuchmaschinen-Diensten als solche einem berechtigten Interesse dient, nämlich i) den Internetnutzern Informationen einfacher zugänglich zu machen, ii) die Verbreitung der ins Internet gestellten Informationen effektiver zu gestalten und iii) verschiedene Dienste der Informationsgesellschaft zu ermöglichen, die der Internetsuchmaschinen-Diensteanbieter ergänzend zur Internetsuchmaschine anbietet, etwa die Schlüsselwörterwerbung. Diesen drei Zielen entsprechen jeweils drei durch die Charta geschützte Grundrechte, nämlich die Informationsfreiheit und die Freiheit der Meinungsäußerung (beide nach Art. 11) und die unternehmerische Freiheit (Art. 16). Ein Internetsuchmaschinen-Diensteanbieter nimmt daher ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie wahr, wenn er im Internet zugängliche Daten, einschließlich personenbezogener Daten, verarbeitet.

96.      Als für die Verarbeitung Verantwortlicher hat der Internetsuchmaschinen-Diensteanbieter die in Art. 6 der Richtlinie aufgeführten Anforderungen zu erfüllen. Insbesondere müssen die personenbezogenen Daten den Zwecken entsprechen, für die sie erhoben werden, sie müssen dafür erheblich sein und dürfen nicht darüber hinausgehen, sie müssen sich auf dem neuesten Stand befinden und dürfen für die Zwecke, für die sie erhoben wurden, nicht überholt sein. Außerdem sind die Interessen des „für die Verarbeitung Verantwortlichen“ oder eines Dritten, für den die Verarbeitung erfolgt, und die Interessen der betroffenen Person abzuwägen.

97.      Im Ausgangsverfahren begehrt die betroffene Person Löschung der Verknüpfung von Vor- und Nachnamen im Google-Index mit den URL-Adressen der Zeitungsseiten, die die personenbezogenen Daten enthalten, deren Veröffentlichung die betroffene Person unterbinden will. Personennamen können in der Tat als Suchbegriffe verwendet werden, und sie werden als Schlüsselwörter in Suchmaschinenindexe aufgenommen. Allerdings genügt ein Name allein in der Regel noch nicht zur direkten Identifizierung einer natürlichen Person im Internet, da es weltweit mehrere, sogar Tausende oder Millionen von Personen mit demselben Namen oder einer Kombination aus Vornamen und Nachnamen gibt(72). Dennoch gehe ich davon aus, dass in den meisten Fällen die Kombination eines Vor- und Nachnamens als Suchbegriff die indirekte Identifizierung einer natürlichen Person im Sinne von Art. 2 Buchst. a der Richtlinie ermöglicht, da das Suchergebnis im Suchmaschinenindex nur eine begrenzte Anzahl von Verknüpfungen umfassen wird, so dass der Internetnutzer zwischen Personen desselben Namens zu unterscheiden vermag.

98.      Im Suchmaschinenindex werden die als Suchbegriff verwendeten Namen und sonstigen Kennungen mit einem oder mehreren Links zu Webseiten verknüpft. Soweit der Link adäquat ist, d. h., soweit die dem Suchbegriff entsprechenden Daten tatsächlich auf der verknüpften Webseite vorhanden sind oder waren, genügt der Index meines Erachtens den Erfordernissen der Zweckentsprechung, Erheblichkeit, Verhältnismäßigkeit, sachlichen Richtigkeit und Vollständigkeit nach Art. 6 Buchst. c und d der Richtlinie. Was die in Art. 6 Buchst. d und e geregelten zeitlichen Kriterien betrifft (personenbezogene Daten müssen sich auf dem neuesten Stand befinden und dürfen nicht länger als erforderlich aufbewahrt werden), so sind diese Aspekte aus dem Blickwinkel des in Rede stehenden Verarbeitungsvorgangs, also der Bereitstellung eines Dienstes zur Lokalisierung von Informationen, und nicht unter dem Gesichtspunkt des Inhalts der Quellenwebseiten zu klären(73).

F –    Ergebnis zur zweiten Fragengruppe

99.      Deshalb bin ich der Ansicht, dass eine nationale Datenschutzbehörde einen Internetsuchmaschinen-Diensteanbieter nicht zur Entfernung von Informationen aus seinem Index verpflichten kann, es sei denn, der Diensteanbieter hat exclusion codes(74) nicht beachtet oder ist einer Aufforderung seitens des Websitebetreibers zur Aktualisierung des Cache nicht nachgekommen. Ein solcher Fall scheint hier nicht vorzuliegen. Ob ein Verfahren zur Meldung und Entfernung(75) von Links zu Quellenwebseiten mit illegalen oder anstößigen Inhalten möglich ist, bestimmt sich nach der nach dem nationalen Recht bestehenden zivilrechtlichen Verantwortlichkeit, die auf anderen Gründen als dem Schutz personenbezogener Daten beruht(76).

100. Daher schlage ich dem Gerichtshof vor, auf die zweite Fragengruppe in dem Sinne zu antworten, dass unter den in der Vorlageentscheidung dargestellten Umständen ein Internetsuchmaschinen-Diensteanbieter personenbezogene Daten im Sinne von Art. 2 Buchst. b „verarbeitet“. Er kann jedoch außer in den vorstehend beschriebenen Ausnahmefällen nicht als „für die Verarbeitung“ dieser personenbezogenen Daten „Verantwortlicher“ im Sinne von Art. 2 Buchst. d angesehen werden.

VII –  Dritte Frage bezüglich eines der betroffenen Person zustehenden „Rechts auf Vergessenwerden“

A –    Vorbemerkungen

101. Die dritte Vorlagefrage stellt sich nur, falls der Gerichtshof entweder das vorstehende Ergebnis, wonach Google im Allgemeinen nicht als „für die Verarbeitung Verantwortlicher“ nach Art. 2 Buchst. d der Richtlinie anzusehen ist, verwirft oder soweit er meiner Auffassung folgt, dass es Situationen geben kann, bei denen einem Internetsuchmaschinen-Diensteanbieter wie Google die Stellung eines für die Verarbeitung Verantwortlichen zugewiesen werden kann. Für alle anderen Fälle sind die nachstehenden Ausführungen entbehrlich.

102. Das nationale Gericht möchte mit seiner dritten Frage jedenfalls wissen, ob das in Art. 12 Buchst. b der Richtlinie geregelte Recht auf Löschung und Sperrung von Daten sowie das in Art. 14 Buchst. a der Richtlinie vorgesehene Widerspruchsrecht beinhalten, dass sich die betroffene Person an den Internetsuchmaschinen-Diensteanbieter wenden kann, um die Indexierung auf sie bezogener Informationen zu unterbinden, die auf Webseiten von Dritten veröffentlicht sind. Damit möchte die betroffene Person verhindern, dass den Internetnutzern Informationen bekannt werden, die ihr schaden könnten, oder sie wünscht sich, dass die Informationen vergessen werden, selbst wenn es sich um Informationen handelt, die von Dritten rechtmäßig veröffentlicht wurden. Das nationale Gericht fragt also im Wesentlichen, ob aus den Art. 12 Buchst. b und 14 Buchst. a der Richtlinie ein „Recht auf Vergessenwerden“ hergeleitet werden kann. Dies ist der Problemkreis, der in der nachstehenden Würdigung zuerst zu untersuchen ist, die auf der Grundlage von Wortlaut und Zielen der genannten Bestimmungen erfolgt.

103. Sollte ich zu dem Ergebnis gelangen, dass die Art. 12 Buchst. b und 14 Buchst. a diesen Schutz selbst nicht gewähren, werde ich anschließend prüfen, ob eine solche Auslegung mit der Charta vereinbar ist(77). In diesem Rahmen sind das Recht auf Schutz personenbezogener Daten nach Art. 8, das Recht auf Achtung des Privat- und Familienlebens nach Art. 7, die Freiheit der Meinungsäußerung und die Informationsfreiheit nach Art. 11 (und beide im Hinblick auf die Meinungsäußerungsfreiheit der Webseitenurheber und auf die Informationsempfangsfreiheit der Internetnutzer) sowie die unternehmerische Freiheit nach Art. 16 zu untersuchen. Tatsächlich sind die den betroffenen Personen garantierten Rechte aus den Art. 7 und 8 den durch die Art. 11 und 16 geschützten Rechten derjenigen Personen gegenüberzustellen, die Daten verbreiten oder auf diese zugreifen wollen.

B –    Zur Frage, ob das Recht auf Berichtigung, Löschung oder Sperrung und das Widerspruchsrecht gemäß der Richtlinie ein der betroffenen Person zustehendes Recht „auf Vergessenwerden“ beinhalten

104. Das in Art. 12 Buchst. b der Richtlinie vorgesehene Recht auf Berichtigung, Löschung oder Sperrung bezieht sich auf Daten, deren Verarbeitung nicht den Bestimmungen der Richtlinie entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind (Hervorhebung nur hier).

105. In der Vorlageentscheidung wird davon ausgegangen, dass die Informationen auf den betreffenden Webseiten nicht unvollständig oder unrichtig sind. Es wird erst recht nicht behauptet, dass der Index und der Cache von Google, wo diese Daten gespeichert sind, als unvollständig oder unrichtig bezeichnet werden können. Ein Recht auf Berichtigung, Löschung oder Sperrung nach Art. 12 Buchst. b der Richtlinie besteht also nur dann, wenn die von Google vorgenommene Verarbeitung personenbezogener Daten, die aus Quellenwebseiten eines Dritten stammen, aus anderen Gründen nicht richtlinienkonform ist.

106. Nach Art. 14 Buchst. a erkennen die Mitgliedstaaten das Recht der betroffenen Person an, jederzeit aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen dagegen Widerspruch einlegen zu können, dass sie betreffende Daten verarbeitet werden, sofern keine im einzelstaatlichen Recht vorgesehene Bestimmung dem entgegensteht. Diese Regelung findet insbesondere in den Fällen von Art. 7 Buchst. e und f der Richtlinie Anwendung, d. h., wenn die Verarbeitung im öffentlichen Interesse oder zur Verwirklichung des berechtigten Interesses des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist. Außerdem bestimmt Art. 14 Buchst. a, dass sich im Fall eines berechtigten Widerspruchs „die vom für die Verarbeitung Verantwortlichen vorgenommene Verarbeitung“ nicht mehr auf diese Daten beziehen kann.

107. In Fällen, in denen die Internetsuchmaschinen-Diensteanbieter als für die Verarbeitung personenbezogener Daten Verantwortliche anzusehen sind, sind sie nach Art. 6 Abs. 2 der Richtlinie verpflichtet, ihre Interessen bzw. die Interessen eines Dritten, für den die Verarbeitung erfolgt, gegen die Interessen der betroffenen Person abzuwägen. Dabei spielt es, wie der Gerichtshof im Urteil ASNEF und FECEMD ausgeführt hat, für die Abwägung eine Rolle, ob die Daten bereits in öffentlich zugänglichen Quellen enthalten sind(78).

108. Ebenso wie fast alle Verfahrensbeteiligten, die in der vorliegenden Rechtssache schriftliche Erklärungen eingereicht haben, bin ich jedoch der Meinung, dass die Richtlinie kein allgemeines Recht auf Vergessenwerden in dem Sinne gewährt, dass eine betroffene Person berechtigt wäre, die Verbreitung personenbezogener Daten zu beschränken oder zu unterbinden, die sie für abträglich oder ihren Interessen zuwiderlaufend hält. Werden Daten ohne Einwilligung der betroffenen Person verarbeitet, kommt es auf die mit der Verarbeitung verfolgten Zwecke und Interessen in Abwägung mit denjenigen der betroffenen Person an und nicht auf die subjektiven Präferenzen dieser Person. Eine subjektive Präferenz stellt noch keinen überwiegenden, schutzwürdigen Grund im Sinne von Art. 14 Buchst. a der Richtlinie dar.

109. Selbst wenn der Gerichtshof feststellen sollte, dass es sich bei dem Internetsuchmaschinen-Diensteanbieter hinsichtlich personenbezogener Daten auf Quellenwebseiten Dritter um den für die Verarbeitung Verantwortlichen handelt, was meiner Meinung nach nicht der Fall ist, steht der betroffenen Person trotzdem kein absolutes „Recht auf Vergessenwerden“ zu, das sie dem Diensteanbieter entgegenhalten könnte. Der Diensteanbieter müsste sich dann jedoch in die Lage des Urhebers der Quellenwebseite versetzen und prüfen, ob die Verbreitung der in der Seite enthaltenen personenbezogenen Daten aktuell als rechtmäßig und legitim im Sinne der Richtlinie angesehen werden kann. Der Diensteanbieter müsste also seine Funktion als Vermittler zwischen den Nutzern und dem Urheber aufgeben und die Verantwortung für den Inhalt der Quellenwebseite übernehmen und erforderlichenfalls diesen Inhalt zensieren, indem er den Zugriff darauf verhindert oder beschränkt.

110. Der Vollständigkeit halber sei daran erinnert, dass der Vorschlag der Kommission für eine Datenschutz-Grundverordnung in Art. 17 ein Recht auf Vergessenwerden vorsieht. Der Vorschlag scheint jedoch auf erheblichen Widerstand gestoßen zu sein und versteht sich im Übrigen auch nicht als Kodifizierung des geltenden Rechts, sondern als wichtige rechtliche Neuerung. Auf die Beantwortung der Vorlagefrage dürfte er daher wohl keinen Einfluss haben. Dennoch ist interessant, dass es in Art. 17 Abs. 2 des Vorschlags heißt: „Hat der … für die Verarbeitung Verantwortliche die personenbezogenen Daten öffentlich gemacht, unternimmt er in Bezug auf die Daten, für deren Veröffentlichung er verantwortlich zeichnet, alle vertretbaren Schritte …, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt.“ Nach dieser Formulierung scheinen Internetsuchmaschinen-Diensteanbieter eher Vermittler als für die Verarbeitung Verantwortliche zu sein.

111. Ich gelange daher zu dem Ergebnis, dass die Art. 12 Buchst. b und 14 Buchst. a der Richtlinie kein Recht auf Vergessenwerden verleihen. Ich werde nunmehr prüfen, ob diese Auslegung der Bestimmungen mit der Charta vereinbar ist.

C –    Die in Rede stehenden Grundrechte

112. Art. 8 der Charta garantiert jeder Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

113. Meiner Meinung nach betont diese Grundrechtsnorm als erneute Klarstellung des Besitzstands der Europäischen Union und des Europarats auf diesem Gebiet die Bedeutung des Schutzes personenbezogener Daten, liefert als solche jedoch keine wesentlichen neuen Gesichtspunkte für die Auslegung der Richtlinie.

114. Gemäß Art. 7 der Charta hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation. Diese Bestimmung, die im Wesentlichen mit Art. 8 der am 4. November 1950 in Rom unterzeichneten Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK) identisch ist, muss bei der Auslegung der einschlägigen Vorschriften der Richtlinie gebührend berücksichtigt werden, denn die Richtlinie verpflichtet die Mitgliedstaaten insbesondere, den Schutz der Privatsphäre zu gewährleisten.

115. Es sei daran erinnert, dass im Kontext der EMRK deren Art. 8 auch den Bereich des Schutzes personenbezogener Daten abdeckt. Deshalb – und in Übereinstimmung mit Art. 52 Abs. 3 der Charta – ist die Rechtsprechung des EGMR zu Art. 8 EMRK sowohl für die Auslegung von Art. 7 der Charta als auch für eine im Einklang mit Art. 8 der Charta stehende Anwendung der Richtlinie maßgeblich. 

116. Der EGMR hat im Urteil Niemietz/Deutschland entschieden, dass die berufliche und geschäftliche Tätigkeit einer natürlichen Person in den durch Art. 8 EMRK geschützten Bereich des Privatlebens fallen kann(79). In seiner weiteren Rechtsprechung ist der EGMR von diesem Grundsatz ausgegangen.

117. Ferner hat der Gerichtshof der Europäischen Union in seinem Urteil Volker und Markus Schecke und Eifert(80) ausgeführt, dass „sich die in den Art. 7 und 8 der Charta anerkannte Achtung des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten auf jede Information erstreckt, die eine bestimmte oder bestimmbare natürliche Person betrifft …, und … dass Einschränkungen des Rechts auf Schutz der personenbezogenen Daten gerechtfertigt sein können, wenn sie denen entsprechen, die im Rahmen von Art. 8 EMRK geduldet werden“ (Hervorhebung nur hier).

118. Aufgrund des Urteils Volker und Markus Schecke und Eifert gelange ich zu dem Ergebnis, dass sich der Schutz des Privatlebens nach Maßgabe der Charta unter dem Gesichtspunkt der Verarbeitung personenbezogener Daten auf alle Informationen über eine natürliche Person erstreckt, und zwar unabhängig davon, ob die Person ausschließlich in der Privatsphäre oder als Wirtschaftsteilnehmer oder beispielsweise als Politiker handelt. Angesichts der im Unionsrecht weit gefassten Begriffe „personenbezogene Daten“ und „Verarbeitung“ solcher Daten dürfte sich aus der vorstehend angeführten Rechtsprechung ergeben, dass jeder auf automatisierte Verfahren gestützte Kommunikationsvorgang, etwa per Telekommunikation, E-Mail oder in den sozialen Medien, der eine natürliche Person betrifft, an sich schon einen mutmaßlichen Eingriff in das Grundrecht darstellt, der der Rechtfertigung bedarf(81).

119. Oben in Nr. 75 bin ich zu der Einschätzung gelangt, dass ein Internetsuchmaschinen-Diensteanbieter eine Verarbeitung der personenbezogenen Daten vornimmt, die auf Quellenwebseiten von Dritten dargestellt werden. Aus dem Urteil des Gerichtshofs in der Rechtssache Volker und Markus Schecke und Eifert folgt somit, dass unabhängig davon, wie man die Stellung des Diensteanbieters nach der Richtlinie einordnet, ein Eingriff in das durch Art. 7 der Charta garantierte Recht der betroffenen Person auf Privatsphäre vorliegt. Gemäß der EMRK und der Charta ist ein Eingriff in Schutzrechte nur zulässig, wenn er auf Gesetz beruht und in einer demokratischen Gesellschaft erforderlich ist. Im vorliegenden Fall liegt kein Eingriff seitens einer Behörde vor, der der Rechtfertigung bedarf, sondern es stellt sich die Frage, inwieweit Eingriffe seitens Privater hingenommen werden können. Die diesbezüglichen Grenzen sind in der Richtlinie festgelegt, d. h., sie beruhen auf Gesetz, wie dies die EMRK und die Charta verlangen. Daher geht es bei der Auslegung der Richtlinie konkret um die Festlegung der Grenzen, die die Charta einem Privaten bei der Datenverarbeitung setzt. Hieraus ergibt sich die Frage, ob eine Handlungspflicht der Union und der Mitgliedstaaten dahin besteht, gegenüber Internetsuchmaschinen-Diensteanbietern, bei denen es sich um Private handelt, ein Recht auf Vergessenwerden durchzusetzen(82). Dies wiederum führt zur Problematik der Rechtfertigung von Eingriffen in die durch die Art. 7 und 8 der Charta geschützten Rechte sowie deren Konkurrenzverhältnisses zu der Freiheit der Meinungsäußerung und der Informationsfreiheit und unternehmerischen Freiheit.

D –    Freiheit der Meinungsäußerung und Informationsfreiheit; unternehmerische Freiheit

120. Die vorliegende Rechtssache tangiert aus vielen verschiedenen Blickwinkeln die Freiheit der Meinungsäußerung und die Informationsfreiheit, die beide in Art. 11 der Charta verankert sind, der wiederum Art. 10 EMRK entspricht. Nach Art. 11 Abs. 1 der Charta „[hat j]ede Person … das Recht auf freie Meinungsäußerung. Dieses Recht schließt die Meinungsfreiheit und die Freiheit ein, Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben.“(83)

121. Art. 11 der Charta schützt das Recht der Internetnutzer, im Internet verfügbare Informationen zu suchen und zu empfangen(84). Dies gilt sowohl für Informationen auf den Quellenwebseiten als auch für Informationen, die von Internetsuchmaschinen zur Verfügung gestellt werden. Wie bereits dargelegt, hat das Internet den Zugang zu Informationen verschiedenster Art und ihre Verbreitung revolutioniert sowie neue Formen der Kommunikation und der sozialen Interaktion von Einzelpersonen ermöglicht. Meines Erachtens ist das Grundrecht auf Information im Unionsrecht besonders schützenswert, vor allem angesichts der anderenorts immer ausgeprägteren Neigung autoritärer Regimes, den Zugang zum Internet zu beschränken oder die im Internet zugänglichen Inhalte zu zensieren(85).

122. Auch Webseitenurheber genießen den durch Art. 11 der Charta gewährten Schutz. Wer Inhalte ins Internet stellt, macht von der Freiheit der Meinungsäußerung Gebrauch(86); dies gilt umso mehr, wenn der Urheber seine Seite mit anderen Seiten verknüpft, das Indexieren und Archivieren durch Suchmaschinen nicht einschränkt und damit zu erkennen gibt, dass er eine weite Verbreitung der Inhalte anstrebt. Eine Webveröffentlichung ermöglicht den Einzelnen die Teilnahme an der Diskussion sowie die Verbreitung eigener Inhalte oder der Inhalte, die andere ins Internet gestellt haben(87).

123. Im vorliegenden Vorabentscheidungsverfahren geht es konkret um personenbezogene Daten, die in den Archiven einer Zeitung veröffentlicht sind. Im Urteil Times Newspapers Ltd/Vereinigtes Königreich (Nrn. 1 und 2) hat der EGMR ausgeführt, dass Internetarchive einen erheblichen Beitrag zur Bewahrung und Zurverfügungstellung von Nachrichten und Informationen leisten. „Solche Archive sind eine wichtige Quelle für den Unterricht und die historische Forschung, vor allem weil sie für das Publikum ohne Weiteres und in der Regel unentgeltlich zugänglich sind … Allerdings dürfte der Ermessensspielraum der Staaten bei der Herstellung eines Gleichgewichts zwischen den widerstreitenden Rechten größer sein, wenn es um Nachrichtenarchive für zurückliegende Ereignisse im Gegensatz zur Berichterstattung über aktuelle Angelegenheiten geht. Insbesondere dürfte die Pflicht der Presse, nach den Grundsätzen des verantwortlichen Journalismus zu handeln und auf die Richtigkeit historischer, nicht vorübergehender Informationen zu achten, strenger ausgeprägt sein, wenn bei der Veröffentlichung des Materials keine Eile besteht“(88) (Hervorhebung nur hier).

124. Gewerbliche Internetsuchmaschinen-Diensteanbieter stellen ihre Dienstleistungen zur Lokalisierung von Informationen im Rahmen einer unternehmerischen Tätigkeit zur Verfügung, um Einnahmen aus der Schlüsselwörterwerbung zu erzielen. Sie machen daher von der unternehmerischen Freiheit Gebrauch, die durch Art. 16 der Charta sowie im Unionsrecht und im nationalen Recht anerkannt ist(89).

125. Ferner ist zu beachten, dass keines der hier in Rede stehenden Grundrechte absolut gilt. Sie dürfen eingeschränkt werden, sofern dies unter Beachtung der hierfür in Art. 52 Abs. 1 der Charta festgelegten Voraussetzungen gerechtfertigt ist(90).

E –    Zur Frage, ob für die betroffene Person ein „Recht auf Vergessenwerden“ aus Art. 7 der Charta hergeleitet werden kann

126. Abschließend ist zu untersuchen, ob die Auslegung der Art. 12 Buchst. b und 14 Buchst. a der Richtlinie im Licht der Charta, insbesondere von deren Art. 7, zur Anerkennung eines „Rechts auf Vergessenwerden“ in dem vom nationalen Gericht verstandenen Sinne führen könnte. Zunächst ist festzuhalten, dass ein solches Ergebnis nicht mit Art. 51 Abs. 2 der Charta kollidieren würde, da damit der Umfang des in der Richtlinie bereits geregelten Auskunftsrechts und des Widerspruchsrechts der betroffenen Person präzisiert und weder ein neues Recht geschaffen noch der Anwendungsbereich des Unionsrechts erweitert würde.

127. In seinem Urteil Aleksey Ovchinnikov/Russland(91) hat der EGMR ausgeführt, dass „eine Beschränkung der Wiedergabe von Informationen, die bereits in die öffentliche Sphäre gelangt sind, unter bestimmten Umständen gerechtfertigt sein kann, beispielsweise um zu verhindern, dass Einzelheiten des Privatlebens einer natürlichen Person, die nicht in den Bereich der politischen oder öffentlichen Diskussion über Fragen von allgemeiner Bedeutung fallen, in weiterem Umfang bekannt werden“. Das Grundrecht auf Achtung des Familienlebens kann daher grundsätzlich auch dann geltend gemacht werden, wenn sich die betreffenden Informationen bereits in der öffentlichen Sphäre befinden.

128. Das einer betroffenen Person zustehende Recht auf Achtung ihres Privatlebens muss jedoch gegen andere Grundrechte abgewogen werden, insbesondere gegen die Freiheit der Meinungsäußerung und die Informationsfreiheit.

129. Die Informationsfreiheit eines Zeitungsverlegers schützt dessen Recht, die Druckausgaben seiner Zeitung im Internet digital erneut zu veröffentlichen. Meines Erachtens dürfen die Behörden – Datenschutzbehörden einbegriffen – eine solche Veröffentlichung nicht zensieren. Dem Urteil des EGMR in der Rechtssache Times Newspapers Ltd/Vereinigtes Königreich (Nrn. 1 und 2)(92) lässt sich entnehmen, dass der Verleger für die Richtigkeit historischer Veröffentlichungen gegebenenfalls strenger haftet als bei der Veröffentlichung aktueller Nachrichten und möglicherweise geeignete Vorbehalte in Ergänzung zu den umstrittenen Inhalten anbringen muss. Meiner Meinung nach kann es jedoch keine Rechtfertigung dafür geben, bei der digitalen Neuveröffentlichung einer Zeitungsausgabe zu verlangen, dass der Inhalt gegenüber der ursprünglich herausgegebenen Druckausgabe verändert wird. Dies käme einer Geschichtsfälschung gleich.

130. Das im Mittelpunkt des vorliegenden Rechtsstreits stehende Datenschutzproblem tritt nur auf, wenn ein Internetnutzer den Vor- und die Nachnamen der betroffenen Person in die Suchmaschine eingibt und ihm daraufhin ein Link zu den Webseiten der Zeitung angezeigt wird, die die beanstandeten Bekanntmachungen enthalten. In einem solchen Fall macht der Internetnutzer aktiv von seinem Recht auf Empfang von Informationen über die betroffene Person aus öffentlichen Quellen Gebrauch, und zwar aus Gründen, die nur ihm bekannt sind(93).

131. In der heutigen Informationsgesellschaft gehört die mittels einer Suchmaschine betriebene Suche nach im Internet veröffentlichten Informationen zu den wichtigsten Formen der Ausübung dieses Grundrechts. Dieses Recht umfasst zweifellos das Recht, sich um Informationen über andere natürliche Personen, die grundsätzlich durch das Recht auf Privatleben geschützt sind, also etwa um im Internet vorhandene Informationen über die Tätigkeit einer natürlichen Person als Geschäftsmann/-frau oder Politiker/in, zu bemühen. Das Recht des Internetnutzers auf Informationen wird beeinträchtigt, wenn bei seiner Suche nach Informationen über eine natürliche Person Ergebnisse angezeigt werden, die die einschlägigen Webseiten nicht in ihrer wahren Form wiedergeben, sondern in einer „Bowdler“-Version(94).

132. Ein Internetsuchmaschinen-Diensteanbieter, der auf eine Suchmaschine gestützte Instrumente zur Lokalisierung von Informationen im Internet bereitstellt, macht rechtmäßigen Gebrauch von seiner unternehmerischen Freiheit und von der Freiheit der Meinungsäußerung.

133. Angesichts der besonders komplexen und schwierigen Grundrechtskonstellation im vorliegenden Fall lässt es sich nicht rechtfertigen, die nach Maßgabe der Richtlinie bestehende Rechtsstellung der betroffenen Personen zu verstärken und um ein Recht auf Vergessenwerden zu ergänzen. Andernfalls würden entscheidende Rechte wie die Freiheit der Meinungsäußerung und die Informationsfreiheit geopfert. Ich möchte dem Gerichtshof auch abraten, in seinem Urteil zu dem Ergebnis zu gelangen, dass diese einander widerstreitenden Interessen im jeweiligen Einzelfall auf zufriedenstellende Weise in ein Gleichgewicht gebracht werden können und dass die Entscheidung dem Internetsuchmaschinen-Diensteanbieter überlassen bleibt. Derartige Verfahren zur Meldung und Entfernung, sollte der Gerichtshof sie vorschreiben, werden wahrscheinlich entweder zu einer automatischen Löschung von Links zu beanstandeten Inhalten oder zu einer von den beliebtesten und wichtigsten Internetsuchmaschinen-Diensteanbietern nicht zu bewältigenden Anzahl von entsprechenden Anträgen führen(95). In diesem Zusammenhang ist darauf hinzuweisen, dass sich die in der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr vorgesehenen Verfahren zur Meldung und Entfernung auf rechtswidrige Inhalte beziehen, während es hier um ein Ersuchen geht, in die öffentliche Sphäre gelangte legitime und rechtmäßige Informationen zu unterdrücken.

134. Vor allem sollten die Internetsuchmaschinen-Diensteanbieter nicht mit einer solchen Pflicht belastet werden. Es käme zu einem Eingriff in die Freiheit der Meinungsäußerung des Webseitenurhebers, der in einem solchen Fall ohne angemessenen Rechtsschutz bliebe, da ein ungeregeltes Verfahren zur Meldung und Entfernung eine privatrechtliche Angelegenheit zwischen der betroffenen Person und dem Suchmaschinen-Diensteanbieter wäre(96). Dies liefe auf eine Zensur der vom Urheber veröffentlichten Inhalte durch einen Privaten hinaus(97). Auf einem ganz anderen Blatt steht hingegen, dass den Staaten die Handlungspflicht obliegt, gegen einen das Recht auf Privatleben verletzenden Verleger einen wirksamen Rechtsbehelf vorzusehen, der im Kontext des Internets gegen den Webseitenurheber gerichtet wäre.

135. Wie die Artikel-29-Datenschutzgruppe ausgeführt hat, kann die in zweiter Linie bestehende Verantwortlichkeit der Internetsuchmaschinen-Diensteanbieter nach nationalem Recht zu Verpflichtungen führen, die auf eine Sperrung des Zugangs zu Websites Dritter hinauslaufen, auf denen sich illegale Inhalte befinden, etwa Webseiten, die Rechte des geistigen Eigentums verletzen oder verleumderische oder kriminelle Informationen enthalten(98).

136. Dagegen kann diesen Diensteanbietern aufgrund der Richtlinie – auch in ihrer Auslegung im Einklang mit der Charta – kein allgemeines Recht auf Vergessenwerden entgegengehalten werden.

137. Deshalb schlage ich dem Gerichtshof vor, die dritte Vorlagefrage in dem Sinne zu beantworten, dass das in Art. 12 Buchst. b der Richtlinie geregelte Recht auf Löschung und Sperrung der Daten und das in Art. 14 Buchst. a vorgesehene Widerspruchsrecht kein Recht auf Vergessenwerden beinhalten, wie es in der Vorlageentscheidung beschrieben wird.

VIII –  Ergebnis

138. Nach alledem bin ich der Meinung, dass der Gerichtshof auf die von der Audiencia Nacional vorgelegten Fragen wie folgt antworten sollte:

1.      Verarbeitungen personenbezogener Daten werden im Rahmen der Tätigkeiten einer „Niederlassung“ des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ausgeführt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet.

2.      Ein Internetsuchmaschinen-Diensteanbieter, dessen Suchmaschine nach Informationen sucht, die Dritte im Internet veröffentlicht oder gespeichert haben, diese Informationen automatisch indexiert, vorübergehend speichert und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung stellt, „verarbeitet“ personenbezogene Daten im Sinne von Art. 2 Buchst. b der Richtlinie 95/46, wenn die Informationen personenbezogene Daten enthalten.

Der Internetsuchmaschinen-Diensteanbieter kann jedoch hinsichtlich dieser personenbezogenen Daten außer in Bezug auf den Inhalt des Indexes seiner Suchmaschine nicht als der „für die Verarbeitung Verantwortliche“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden, es sei denn, er indexiert oder archiviert personenbezogene Daten entgegen den Weisungen oder Aufforderungen des Webseitenurhebers.

3.      Das in Art. 12 Buchst. b der Richtlinie 95/46 geregelte Recht auf Löschung und Sperrung von Daten sowie das in Art. 14 Buchst. a der Richtlinie vorgesehene Widerspruchsrecht verleihen der betroffenen Person nicht das Recht, sich an den Suchmaschinenbetreiber zu wenden, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten rechtmäßig veröffentlicht sind, und sich hierzu auf ihren Willen zu berufen, dass diese Informationen den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass die Informationen ihr schaden könnten, oder sie sich wünscht, dass die Informationen vergessen werden.


1 – Originalsprache: Englisch.


2 –      Harvard Law Review, Vol. IV, Nr. 5, 15. Dezember 1890.


3 –      Tatsächlich besteht das „Internet“ aus zwei Hauptdiensten, nämlich dem World-Wide-Web- und dem E-Mail-Dienst. Während das Internet als Netzwerk miteinander verbundener Rechner in unterschiedlicher Form und ausgehend vom Arpanet (USA) bereits seit einiger Zeit existiert, nahm das frei verfügbare offene Netz mit www-Adressen und einer gemeinsamen Codestruktur erst zu Beginn der 90er Jahre seinen Anfang. Historisch gesehen wäre wohl der Begriff World Wide Web korrekt. Angesichts des heutigen Sprachgebrauchs und der in der Rechtsprechung des Gerichtshofs gewählten Terminologie wird im Folgenden jedoch das Wort „Internet“ in erster Linie zur Bezeichnung des World Wide Web als Bestandteil des Netzes verwendet.


4 – Der Ort der einzelnen Webseiten wird mit einer individuellen Adresse, der URL (Uniform Resource Locator), angegeben; dieses System wurde 1994 geschaffen. Eine Webseite lässt sich durch Eingabe der URL im Webbrowser unmittelbar oder mit Hilfe eines Domänennamens aufrufen. Die Webseiten müssen in einer Auszeichnungssprache (Markup Language) geschrieben sein. Die wichtigste Auszeichnungssprache zur Erstellung von Webseiten und anderen Informationen, die mit einem Webbrowser dargestellt werden können, ist die Hypertext Markup Language (HTML).


5 –      Die Ausdehnung dieser drei Bereiche lässt sich an den nachstehenden Angaben ablesen (wenngleich keine genauen Zahlen zur Verfügung stehen). Erstens könnten schätzungsweise mehr als 600 Millionen Websites im Internet bestehen. Hinter diesen Websites scheint es mehr als 40 Milliarden Webseiten zu geben. Zweitens ist die Anzahl der Suchmaschinen deutlich geringer – offenbar existieren weniger als 100 bedeutsame Suchmaschinen, wobei in vielen Ländern ein gewaltiger Marktanteil auf Google zu entfallen scheint. Der Erfolg der Google-Suchmaschine wird äußerst leistungsfähigen Spidern zugeschrieben, bei denen es sich um effiziente Indexierverfahren und eine Technik handelt, die eine Sortierung der Suchergebnisse nach Relevanz für den Nutzer ermöglicht (u. a. der patentierte Algorithmus PageRank) – vgl. López-Tarruella, A., „Introduction: Google Pushing the Boundaries of Law“, in Google and the Law. Empirical Approaches to Legal Aspects of Knowledge‑Economy Business Models, Hrsg. Lopez‑Tarruella, A., T.M.C: Asser Press, Den Haag, 2012, S. 1 bis 8, S. 2. Drittens nutzen mehr als 75 % aller Menschen in Europa das Internet; soweit sie Suchmaschinen verwenden, können ihre personenbezogenen Daten als Internetsuchmaschinennutzer von der verwendeten Internetsuchmaschine erfasst und verarbeitet werden.


6 –      Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31).


7 – Vgl. hierzu allgemein Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen (00737/DE, WP 148). Die von Google verfolgten Grundsätze bezüglich der Privatsphäre der Nutzer ihrer Internetsuchmaschine werden von den Datenschutzstellen der Mitgliedstaaten überprüft. Federführend hierbei ist die französische Datenschutzbehörde CNIL. Die Entwicklungen in jüngerer Zeit lassen sich dem Schreiben der Artikel-29-Datenschutzgruppe an Google vom 16. Oktober 2012 (abrufbar auf der unten in Fn. 22 angeführten Website) entnehmen.


8 –      Siehe unten, Nr. 19.


9 – Im Folgenden dient der Begriff „Internetsuchmaschine“ zur Bezeichnung einer Software-Geräte-Kombination, mittels deren im Internet nach Text oder audiovisuellen Inhalten gesucht werden kann. Spezielle Fragen bezüglich Suchmaschinen, die nur innerhalb einer bestimmten Internetdomäne (oder Website) wie etwa http://curia.europa.eu funktionieren, werden in den vorliegenden Schlussanträgen nicht behandelt. Der Wirtschaftsteilnehmer, der eine Suchmaschine zugänglich macht, wird als „Internetsuchmaschinen-Diensteanbieter“ bezeichnet. Im vorliegenden Fall ist die Google Inc. offenbar die Diensteanbieterin, die die Google-Suchmaschine, aber auch zahlreiche weitere Suchfunktionen wie maps.google.com und news.google.com bereitstellt.


10 – Urteil vom 6. November 2003 (C‑101/01, Slg. 2003, I‑12971).


11 –      Urteil vom 20. Mai 2003 (C‑465/00, C‑138/01 und C‑139/01, Slg. 2003, I‑4989).


12 – Urteil vom 16. Dezember 2008 (C‑73/07, Slg. 2008, I‑9831).


13 –      Urteil vom 9. November 2010 (C‑92/09 und C‑93/09, Slg. 2010, I‑11063).


14 – Urteile vom 23. März 2010, Google France und Google (C‑236/08 bis C‑238/08, Slg. 2010, I‑2417), vom 8. Juli 2010, Portakabin (C‑558/08, Slg. 2010, I‑6963), vom 12. Juli 2011, L’Oréal u. a. (C‑324/09, Slg. 2011, I‑6011), vom 22. September 2011, Interflora und Interflora British Unit (C‑323/09, Slg. 2011, I‑8625), und vom 19. April 2012, Wintersteiger (C‑523/10).


15 –      Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) (KOM[2012] 11 endgültig).


16 –      BOE Nr. 298 vom 14. Dezember 1999, S. 43088.


17 –      Nach ihrem elften Erwägungsgrund „[konkretisieren und erweitern d]ie in dieser Richtlinie enthaltenen Grundsätze zum Schutz der Rechte und Freiheiten der Personen, insbesondere der Achtung der Privatsphäre, … die in dem Übereinkommen des Europarats vom 28. Januar 1981 zum Schutze der Personen bei der automatischen Verarbeitung personenbezogener Daten enthaltenen Grundsätze“.


18–      Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ (00264/10/DE, WP 169, S. 4 f.).


19 – Beispielsweise Urteil vom 25. Oktober 2011, eDate Advertising und Martinez (C‑509/09 und C‑161/10, Slg. 2011, I10269, Randnr. 45).


20 –      In der Regel enthält eine Zeitung personenbezogene Daten wie Namen natürlicher Personen. Diese personenbezogenen Daten werden verarbeitet, falls sie mit Hilfe automatisierter Verfahren abgefragt werden. Diese Verarbeitung fällt in den Anwendungsbereich der Richtlinie, sofern sie nicht von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird – vgl. Art. 2 Buchst. a und b und Art. 3 Abs. 2 der Richtlinie. Im Übrigen stellt auch die Lektüre von Schriftstücken in Papierform oder die Darstellung von Bildern, die personenbezogene Daten enthalten, eine Verarbeitung dar – vgl. Dammann, U., und Simitis, S., EG‑Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden‑Baden, 1997, S. 110.


21 – Urteil Lindqvist (Randnrn. 67 bis 70) zur Auslegung von Art. 25 der Richtlinie.


22 –      Die Stellungnahmen sind abrufbar auf der http://ec.europa.eu/justice/data-protection/index_en.htm.


23 – Internetsuchmaschinen entwickeln sich ständig weiter, so dass hier nur ein Überblick über die hervorstechendsten Merkmale gegeben werden soll, die für den vorliegenden Fall von Bedeutung sind.


24 –      Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) (ABl. L 178, S. 1).


25 – Vgl. 18. Erwägungsgrund und Art. 2 Buchst. a der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr in Verbindung mit Art. 1 Nr. 2 der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 204, S. 37) in der durch die Richtlinie 98/48/EG des Europäischen Parlaments und des Rates vom 20. Juli 1998 (ABl. L 217, S. 18) geänderten Fassung.


26 –      Urteil Lindqvist (Randnrn. 25 bis 27).


27 – Als typischer exclusion code (Robots-Exclusion-Standard-Protokoll) ist die Textdatei robots.txt gebräuchlich – vgl. http://de.wikipedia.org/wiki/Robots_Exclusion_Standard oder http://www.robotstxt.org/.


28 – Die exclusion codes bewirken allerdings keine technische Sperre der Indexierung oder Anzeige, so dass der die Suchmaschine betreibende Diensteanbieter die Befehle ignorieren kann. Die großen Internetsuchmaschinen-Diensteanbieter, einschließlich Google, behaupten, dass sie solche in der Quellenwebseite enthaltenen Codes beachten – vgl. die Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 16).


29 – Vgl. Urteil des EGMR vom 2. Dezember 2008, K. U./Finnland (Beschwerde Nr. 2872/02, Recueil des arrêts et décisions 2008, § 43 und § 48), mit einem Verweis auf die Handlungspflichten, die sich aus dem Gebot der wirksamen Achtung des Privat- und Familienlebens ergeben. Diese Pflichten können den Erlass von Maßnahmen umfassen, die auf die Gewährleistung der Achtung des Privatlebens sogar im Bereich der Beziehungen der Einzelnen untereinander abzielen. Im Urteil K. U./Finnland hat der EGMR eine Handlungspflicht des Staates festgestellt, dafür zu sorgen, dass gegen den Verleger mit einem wirksamen Rechtsbehelf vorgegangen werden kann.


30 –      Andererseits ist das Internet nicht eine einzige, von „Big Brother“ angelegte gewaltige Datenbank, sondern ein dezentralisiertes System von aus unzähligen eigenständigen Quellen stammenden Informationen, in dessen Rahmen die Zugänglichkeit und die Verbreitung von Informationen von Vermittlungsdiensten abhängig sind, die an sich mit den Inhalten nichts zu tun haben.


31 –      Vgl. hierzu meine Schlussanträge in der Rechtssache L’Oréal u. a. (Nrn. 54 ff.).


32 –      Dies entspricht der dritten der oben in Nr. 3 dargestellten Fallkonstellationen.


33 – Beispielhafte Darstellungen für das Werbeprogramm mit Schlüsselwörtern (das von Google angebotene Programm AdWords) finden sich in den Urteilen Google France und Google (Randnrn. 22 und 23), vom 25. März 2010, BergSpechte (C‑278/08, Slg. 2010, I‑2517, Randnrn. 5 bis 7), Portakabin (Randnrn. 8 bis 10) sowie Interflora und Interflora British Unit (Randnrn. 9 bis 13).


34 –      Urteile vom 5. Oktober 2010, McB. (C‑400/10 PPU, Slg. 2010, I‑8965, Randnrn. 51 und 59), vom 15. November 2011, Dereci u. a. (C‑256/11, Slg. 2011, I‑11315, Randnrn. 71 und 72), vom 8. November 2012, Iida (C‑40/11, Randnr. 78), und vom 26. Februar 2013, Åkerberg Fransson (C‑617/10, Randnr. 23).


35 –      So hat z. B. der Gerichtshof im Urteil McB. eine Auslegung verworfen, der zufolge gestützt auf Art. 7 der Charta der Begriff „Sorgerecht“ in Art. 2 Nr. 9 der Verordnung (EG) Nr. 2201/2003 des Rates vom 27. November 2003 über die Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Ehesachen und in Verfahren betreffend die elterliche Verantwortung und zur Aufhebung der Verordnung (EG) Nr. 1347/2000 (ABl. L 338, S. 1) ausgedehnt worden wäre. Andererseits ist natürlich eine Unionsvorschrift, die nicht im Einklang mit den unionsrechtlich geschützten Grundrechten ausgelegt werden kann, für ungültig zu erklären – vgl. Urteil vom 1. März 2011, Association belge des Consommateurs Test‑Achats u. a. (C‑236/09, Slg. 2011, I‑773, Randnrn. 30 bis 34).


36 –      Artikel-29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht (0836-02/10/DE, WP 179, S. 11).


37 – Artikel-29-Datenschutzgruppe, Stellungnahme 8/2010 (S. 30 und 31).


38 –      Art. 3 Abs. 2 Buchst. a des Kommissionsvorschlags.


39 – Urteil L’Oréal u. a. sowie Richtlinie 2000/31 über den elektronischen Geschäftsverkehr.


40 – Verordnung (EG) Nr. 44/2001 des Rates vom 22. Dezember 2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (ABl. 2001, L 12, S. 1), Urteile vom 7. Dezember 2010, Pammer und Hotel Alpenhof (C‑585/08 und C‑144/09, Slg. 2010, I‑12527), und Wintersteiger. Vgl. auch meine Schlussanträge in der Rechtssache Pinckney (C‑170/12, anhängig).


41 – Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft (ABl. L 167, S. 10) und Urteil vom 21. Juni 2012, Donner (C‑5/11).


42 – Der Vorlageentscheidung lässt sich nicht entnehmen, was unter „Schwerpunkt“ zu verstehen ist, allerdings verwendet Generalanwalt Cruz Villalón diesen Begriff in seinen Schlussanträgen in den Rechtssachen eDate Advertising und Martinez (Nrn. 32 und 55).


43 –      Artikel-29-Datenschutzgruppe, Stellungnahme 8/2010 (S. 11 f.). Die Arbeitsgruppe weist außerdem darauf hin, dass der in der englischen Sprachfassung der Richtlinie verwendete Begriff „equipment“ zu eng ist, während in den anderen Sprachfassungen Ausdrücke benutzt werden, die dem Begriff „Mittel“ in der deutschen Fassung entsprechen, der auch unkörperliche Vorrichtungen wie Cookies umfasst (S. 20 f.).


44 –      Vgl. insbesondere Artikel-29-Datenschutzgruppe, Stellungnahme 8/2010 (S. 24), wo die Auffassung vertreten wird, dass Art. 4 Abs. 1 Buchst. c der Richtlinie entgegen seinem Wortlaut auch dann Anwendung finden sollte, wenn der für die Verarbeitung Verantwortliche Niederlassungen in der Union besitzt, deren Tätigkeiten in keinem Zusammenhang mit der betreffenden Verarbeitung personenbezogener Daten stehen.


45 – Vgl. Urteil Google France und Google (Randnr. 23).


46 –      Vgl. Urteil Google France und Google (Randnr. 25) und Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 6). Es lässt sich ohne Schwierigkeiten nachweisen, dass die Suche nach identischen Schlüsselwörtern auf den einzelnen nationalen Google-Domänen zu unterschiedlichen Suchergebnissen und Werbeanzeigen führt.


47 – Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 11).


48 – Vgl. Art. 2 Buchst. a der Richtlinie, wonach der Ausdruck „‚personenbezogene Daten‘ alle Informationen über eine bestimmte oder bestimmbare natürliche Person“ bezeichnet. Eine Vielfalt von Beispielen führt die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ (01248/07/DE, WP 136) an. Der Gerichtshof hat diese weite Auslegung im Urteil Lindqvist (Randnrn. 24 bis 27) übernommen. Vgl. auch Urteile Österreichischer Rundfunk u. a. (Randnr. 64), Satakunnan Markkinapörssi und Satamedia (Randnrn. 35 bis 37), vom 16. Dezember 2008, Huber (C‑524/06, Slg. 2008, I‑9705, Randnr. 43), vom 7. Mai 2009, Rijkeboer (C‑553/07, Slg. 2009, I‑3889, Randnr. 62), vom 19. April 2012, Bonnier Audio u. a. (C‑461/10, Randnr. 93), sowie Volker und Markus Schecke und Eifert (Randnrn. 23, 55 und 56).


49 – Die Artikel-29-Datenschutzgruppe weist darauf hin, dass „Informationen nicht unbedingt in einer strukturierten Datenbank oder Datei gespeichert zu sein [brauchen], um als personenbezogene Daten betrachtet zu werden. Auch im Freitext eines elektronischen Dokuments enthaltene Informationen können als personenbezogene Daten gelten …“ – vgl. Stellungnahme 4/2007 (S. 8 f.).


50 – Es gibt Suchmaschinen und Suchmaschinenfunktionen, die eigens auf personenbezogene Daten abzielen, da solche Daten aufgrund ihres Formats (z. B. Sozialversicherungsnummer) oder Zusammensetzung (Zeichenabfolgen, die Vor- und Nachnamen entsprechen) als personenbezogen erkennbar sind – vgl. die Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 6 und 16). Derartige Suchmaschinen mögen besondere Datenschutzfragen aufwerfen, die jedoch nicht in den Themenkreis der vorliegenden Schlussanträge fallen.


51 – Allerdings sind sogenannte verwaiste Seiten, die keine Links zu anderen Webseiten aufweisen, für die Suchmaschinen unzugänglich.


52 – Die Webseiten, die der Spider gefunden hat, werden in der Indexdatenbank von Google gespeichert; dort sind die Suchbegriffe alphabetisch sortiert, wobei unter jedem Indexeintrag eine Liste der Dokumente, die den Begriff enthalten, und die Stelle, an der der Begriff im Text vorkommt, vermerkt ist. Bestimmte Wörter wie Artikel, Pronomina und gewöhnliche Adverbien sowie einzelne Ziffern und Buchstaben werden nicht indexiert – vgl. http://www.googleguide.com/google_works.html.


53 –      Diese Kopien („Momentaufnahmen“) der im Google-Cache gespeicherten Webseiten bestehen ausschließlich aus HTML-Code; Bilder müssen vom ursprünglichen Ort hochgeladen werden – vgl. Peguera, M., „Copyright Issues Regarding Google Images and Google Cache“ in Google and the Law, S. 169, 174.


54 – In der Regel räumen die Internetsuchmaschinen-Diensteanbieter den Webmastern die Möglichkeit ein, eine Aktualisierung der im Cache gespeicherten Kopie zu beantragen. Eine Anleitung, wie dies zu bewerkstelligen ist, findet sich auf der Google-Seite für Webmaster Tools.


55 – In der englischen Sprachfassung der Richtlinie wird der Begriff „controller“ verwendet, während in anderen Sprachfassungen wie etwa in der französischen, der spanischen, der schwedischen und der niederländischen, ebenso wie in der deutschen, Sprachfassung von der für die Verarbeitung „verantwortlichen“ Person die Rede ist. Einige Texte, wie der finnische und der polnische, benutzen jeweils einen neutraleren Ausdruck („rekisterinpitäjä“ auf Finnisch, „administrator danych“ auf Polnisch).


56 – Vgl. Urteil Lindqvist (Randnr. 68).


57–      Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 15, Fn. 17). Dort wird die Auffassung vertreten, dass die Rolle der Benutzer als „ausschließlich persönliche Tätigkeit“ in der Regel außerhalb des Anwendungsbereichs der Richtlinie liege. Meiner Meinung nach ist diese Auffassung nicht haltbar. Typische Internetnutzer verwenden Suchmaschinen auch für Tätigkeiten, die nicht ausschließlich persönlich sind, so z. B. für arbeits-, studien- oder geschäftsbezogene Zwecke oder für Tätigkeiten im tertiären Sektor.


58 – Die Artikel-29-Datenschutzgruppe führt in ihrer Stellungnahme 4/2007 zahlreiche Beispiele für den Begriff „personenbezogene Daten“ und deren Verarbeitung u. a. durch den für die Verarbeitung Verantwortlichen auf, und mir scheint, dass in allen diesen Beispielen die hier aufgestellte Voraussetzung erfüllt ist.


59 – Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 (S. 12).


60 – Ebd., S. 17.


61 – Dammann und Simitis (S. 120) postulieren, dass die Verarbeitung mit automatisierten Verfahren nicht nur die Datenträger betreffen, sondern sich auch auf die Daten in ihrer semantischen oder substanziellen Dimension erstrecken müsse. Meines Erachtens ist es von entscheidender Bedeutung, dass es sich bei den personenbezogenen Daten entsprechend der Definition der Richtlinie um „Informationen“, d. h. um semantisch relevante Inhalte, handelt.


62 – Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 15 f.).


63 – Urteil Lindqvist (Randnr. 27).


64 –      Urteil Satakunnan Markkinapörssi und Satamedia (Randnr. 37).


65 – Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 (S. 6 und 12).


66 – Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 15).


67 – Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 15), wo jedoch hinzugefügt wird, dass der Umfang, in dem der Internetsuchmaschinen-Diensteanbieter zur Entfernung oder Sperrung von personenbezogenen Daten verpflichtet ist, womöglich vom allgemeinen Deliktrecht und von den Haftungsvorschriften des jeweiligen Mitgliedstaats abhängen kann. In einigen Mitgliedstaaten sieht das nationale Recht Verfahren zur Meldung und Entfernung vor, die der Internetsuchmaschinen-Diensteanbieter einzuhalten hat, um von der Haftung freigestellt zu bleiben.


68 –      Nach Angaben eines Autors nimmt Google eine solche Filterung in nahezu allen Ländern bei Verletzungen von Rechten des geistigen Eigentums vor. Darüber hinaus werden in den USA Informationen über Scientology gefiltert. In Frankreich und Deutschland filtert Google Suchergebnisse für „NS-Memorabilien, Holocaustleugner, weiße Herrenmenschen und Websites, die Propaganda gegen die demokratische Verfassungsordnung betreiben“. Weitere Beispiele nennt Friedmann, D., „Paradoxes, Google and China: How Censorship can Harm and Intellectual Property can Harness Innovation“ in Google and the Law (S. 303, 307).


69 – Siehe oben, Nr. 41.


70 – Erster Bericht über die Anwendung der Richtlinie 2000/31 [über den elektronischen Geschäftsverkehr] (KOM[2003] 702 endgültig vom 21. November 2003, S. 15, Fn. 69) und Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 15, Fn. 16).


71 – Siehe oben, Nr. 41.


72 – Ob ein Personenname zur Identifizierung einer natürlichen Person geeignet ist, hängt vom Kontext ab. Ein gewöhnlicher Name mag eine Person zwar nicht im Internet, wohl aber z. B. innerhalb einer Schulklasse, individualisieren. Bei der elektronischen Verarbeitung personenbezogener Daten wird einer Person in der Regel ein individuelles Kennzeichen zugewiesen, um eine Verwechslung zwischen zwei Personen auszuschließen. Ein typisches Beispiel für ein solches Kennzeichen ist die Sozialversicherungsnummer – vgl. hierzu Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007 (S. 15 f.) und Stellungnahme 1/2008 (S. 9, Fn. 11).


73 –      Interessanterweise hat der Europäische Gerichtshof für Menschenrechte (EGMR) jedoch zu von staatlichen Stellen gespeicherten Daten entschieden, dass „[d]as staatliche Recht … vor allem gewährleisten [muss], dass solche Daten für den Zweck, zu dem sie gespeichert werden, erheblich sind und im Umfang nicht über das Notwendige hinausgehen, und dass die Form ihrer Aufbewahrung eine Identifizierung des Betroffenen nur so lange gestattet, wie es der Zweck der Speicherung verlangt“ (vgl. Urteil vom 4. Dezember 2008, S. und Marper/Vereinigtes Königreich, Nrn. 30562/04 und 30566/04, ECHR 2008, § 103; vgl. z. B. auch Urteil vom 6. Juni 2006, Segerstedt‑Wiberg u. a./Schweden, Nr. 62332/00, ECHR 2006‑VII). Allerdings hat der EGMR zu Art. 10 EMRK (Freiheit der Meinungsäußerung) auch „den erheblichen Beitrag der Internetarchive zur Bewahrung und Zurverfügungstellung von Nachrichten und Informationen“ anerkannt (Urteil vom 10. März 2009, Times Newspapers Ltd/Vereinigtes Königreich [Nrn. 1 und 2], Nrn. 3002/03 und 23676/03, ECHR 2009, § 45).


74 – Siehe oben, Nr. 41.


75 – Vgl. Art. 14 der Richtlinie über den elektronischen Geschäftsverkehr.


76–      Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 15 f.).


77 – So ist der Gerichtshof im Urteil McB. (Randnrn. 44 und 49) vorgegangen.


78 – Urteil vom 24. November 2011, ASNEF und FECEMD (C‑468/10 und C‑469/10, Slg. 2011, I‑12181, Randnrn. 44 und 45). Der EGMR hat festgestellt, dass im Fall der anderswo erfolgten Veröffentlichung personenbezogener Daten das überwiegende Interesse an der Wahrung der Vertraulichkeit erlischt – vgl. Urteil vom 16. Dezember 2010, Aleksey Ovchinnikov/Russland, Nr. 24061/04, § 49.


79 – Urteile des EGMR vom 16. Dezember 1992, Niemietz/Deutschland (Serie A 251‑B, § 29), vom 16. Februar 2000, Amann/Schweiz (Nr. 27798/95, ECHR 2000‑II, § 65), und vom 4. Mai 2000, Rotaru/Rumänien (Nr. 28341/95, ECHR 2000-V, § 43).


80 –      Randnr. 52 des Urteils.


81 – Demgegenüber hat der EGMR es abgelehnt, den Begriff des Privatlebens positiv abzugrenzen. Der Begriff sei weit zu verstehen, so dass eine erschöpfende Definition nicht möglich sei (vgl. Urteil vom 25. März 1993, Costello‑Roberts/Vereinigtes Königreich, Serie A 247‑C, § 36).


82 – Zur Handlungspflicht des Staats zum Schutz der Privatsphäre, wenn diese durch Akteure des Privatsektors verletzt wird, und zum Erfordernis, eine solche Handlungspflicht mit dem Recht des Privaten auf freie Meinungsäußerung in ein Gleichgewicht zu bringen, vgl. z. B. Urteile des EGMR vom 24. Juni 2004, Von Hannover/Deutschland (Nr. 59320/00, ECHR 2004‑VI), und vom 13. April 2013, Ageyevy/Russland (Nr. 7075/10).


83 – Urteile des EGMR vom 7. Dezember 1976, Handyside/Vereinigtes Königreich (Serie A Nr. 24, § 49), vom 24. Mai 1988, Müller u. a./Schweiz (Serie A Nr. 133, § 33), vom 26. September 1995, Vogt/Deutschland (Beschwerde Nr. 17851/91, Serie A Nr. 323, § 52), und vom 12. Februar 2008, Guja/Republik Moldau [GC] (Nr. 14277/04, ECHR 2008, § 69). Vgl. auch Urteil des Gerichtshofs vom 6. März 2001, Connolly/Kommission (C‑274/99 P, Slg. 2001, I‑1611, Randnr. 39), und Schlussanträge der Generalanwältin Kokott in der Rechtssache Satakunnan Markkinapörssi und Satamedia (Nr. 38).


84 –      Urteil vom 16. Februar 2012, SABAM (C‑360/10, Randnr. 48).


85 – Vereinte Nationen, Menschenrechtsrat, Bericht des Sonderberichterstatters über die Förderung und den Schutz der Meinungsfreiheit und des Rechts der freien Meinungsäußerung, Frank La Rue, vom 16. Mai 2011 (Dokument A/HRC/17/27).


86 –      Urteil Satakunnan Markkinapörssi und Satamedia (Randnr. 60).


87 –      An dieser Stelle ist daran zu erinnern, dass die in Art. 9 der Richtlinie für den journalistischen Bereich vorgesehenen Ausnahmen „nicht nur für Medienunternehmen, sondern für jeden, der journalistisch tätig ist“, gelten – vgl. Urteil Satakunnan Markkinapörssi und Satamedia (Randnr. 58).


88 –      Urteil des EGMR in der Rechtssache Times Newspapers Ltd/Vereinigtes Königreich (Nrn. 1 und 2) (§ 45).


89 – Urteil vom 24. November 2011, Scarlet Extended (C‑70/10, Slg. 2011, I‑11959, Randnr. 46), und SABAM (Randnr. 44).


90 – Vgl. auch Urteil vom 18. März 2010, Alassini u. a. (C‑317/08 bis C‑320/08, Slg. 2010, I‑2213, Randnr. 63), wo es heißt, dass „nach ständiger Rechtsprechung die Grundrechte nicht schrankenlos gewährleistet [sind], sondern … Beschränkungen unterworfen werden [können], sofern diese tatsächlich dem Gemeinwohl dienenden Zielen entsprechen und nicht einen im Hinblick auf den verfolgten Zweck unverhältnismäßigen, nicht tragbaren Eingriff darstellen, der die so gewährleisteten Rechte in ihrem Wesensgehalt antastet (vgl. in diesem Sinne Urteil vom 15. Juni 2006, Dokter u. a., C‑28/05, Slg. 2006, I‑5431, Randnr. 75 und die dort angeführte Rechtsprechung, und Europäischer Gerichtshof für Menschenrechte, Urteil Fogarty/Vereinigtes Königreich vom 21. November 2001, Nr. 37112/97, Recueil des arrêts et décisions 2001-XI, § 33)“.


91 – § 50.


92 –      Oben in Fn. 73 angeführt.


93 –      Zum Recht auf Empfang von Informationen vgl. Urteile des EGMR vom 26. November 1991, Observer und Guardian/Vereinigtes Königreich (Serie A Nr. 216, § 60), und vom 27. November 2007, Timpul Info‑Magazin und Anghel/Republik Moldau (Nr. 42864/05, § 34).


94 – Thomas Bowdler (1754–1825) gab eine entschärfte Fassung der Werke von William Shakespeare heraus, die er für die Frauen und Kinder des 19. Jahrhunderts geeigneter als das Original hielt.


95 – Urteil SABAM (Randnrn. 45 bis 47).


96 –      Meine Schlussanträge in der Rechtssache L’Oréal u. a. (Nr. 155).


97 –      Urteil SABAM (Randnrn. 48 und 50).


98 –      Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 (S. 16).