Kitabı oku: «DSGVO - BDSG - TTDSG», sayfa 74
5. Rechtspflicht zur Löschung (lit. e)
63
Der betroffenen Person steht ferner ein Löschanspruch zu, wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist, Art. 17 Abs. 1 lit. e DSGVO. Aus der Systematik der Norm ergibt sich, dass die rechtliche Verpflichtung aus dem Unionsrecht ihren Ursprung außerhalb der DSGVO haben muss. Erforderlich ist in jedem Fall, dass es sich um eine objektive Rechtspflicht handelt, vertragliche Vereinbarungen sind nicht ausreichend.96
64
Unklar ist, ob lit. e eine (echte) Öffnungsklausel darstellt, die es den Mitgliedstaaten erlaubt, weitere Löschverpflichtungen zu schaffen. Besonders fraglich ist dies für solche Löschpflichten, die einem originär datenschutzrechtlichen Zweck dienen. Teilweise wird das Vorliegen einer echten Öffnungsklausel bejaht, wobei einschränkend gefordert wird, dass die mitgliedstaatliche Regelung nicht zu einer Aushöhlung der DSGVO führt.97 Nicht deutlich wird dabei aber, welche Gründe diese Annahme tragen sollen. Insbesondere der Vergleich des Wortlauts des Art. 17 Abs. 1 lit. e DSGVO mit anderen, anerkannten Öffnungsklauseln (z.B. Art. 6 Abs. 2 DSGVO) spricht dafür, dass lit. e nur verhindern sollte, dass Konflikte zwischen den Verpflichtungen nach der DSGVO und sonstigen Regelungen entstehen. Art. 17 Abs. 1 lit. e DSGVO stellt damit das Gegenstück zu Art. 6 Abs. 1 lit. c DSGVO dar. Gegen die Annahme einer (echten) Öffnungsklausel spricht zudem die Zielsetzung der DSGVO, einen vollharmonisierten Datenschutzstandard zu schaffen. Einfallstore können vor diesem Hintergrund nicht leichtfertig angenommen werden.98
6. Besonderer Schutz von Kindern (lit. f)
65
Lit. f gewährt schließlich dann einen Löschanspruch, wenn die personenbezogenen Daten in Bezug auf Dienste der Informationsgesellschaft gem. Art. 8 Abs. 1 DSGVO erhoben wurden. Art. 8 Abs. 1 DSGVO stellt besondere Anforderungen an die Einwilligung eines Kindes in die Datenverarbeitung (siehe Art. 8 Rn. 13ff.). Diese letzte Variante des Art. 17 Abs. 1 DSGVO weist damit eine deutlich andere Struktur als die anderen Litera auf: Es kommt im Rahmen des lit. f nicht auf die Rechtmäßigkeit der Verarbeitung der gem. Art. 8 Abs. 1 DSGVO erhobenen und verarbeiteten Daten an. Grund für diesen Systembruch99 ist die Überzeugung des Gesetzgebers, dass Kinder besonderen Schutz verdienen, insbesondere da sie die Folgen einer Einwilligung in eine Datenverarbeitung gegebenenfalls nicht vollumfänglich begreifen und bewerten können.100
66
Dass die rechtmäßigkeitsunabhängige Regelung in lit. f notwendig ist, wird dennoch bezweifelt. Peuker weist zutreffend darauf hin, dass Kinder unter 16 Jahren gem. Art. 8 Abs. 1 DSGVO ohnehin nicht selbst in die Datenverarbeitung einwilligen können; für die Rechtmäßigkeit kommt es vielmehr auf die Einwilligung der Eltern an. Diese verfügen im Gegensatz zu ihren Kindern über die erforderliche Einsichtsfähigkeit, sodass, wenn diese für die Rechtmäßigkeit der Datenverarbeitung ausreichend ist, nicht im Nachhinein auf die eingeschränkte Einsichtsfähigkeit der Kinder zurückgegriffen werden könne.101 Aus diesem Grund sei der Anwendungsbereich der lit. f im Wege einer teleologischen Reduktion auf Fälle der Datenverarbeitung zu beschränken, die aufgrund einer Einwilligung eines mindestens 16 Jahre alten Minderjährigen erfolgten, oder in denen es an der erforderlichen Einwilligung der Eltern fehlt.102 Der Löschanspruch bestünde damit bei Kindern unter 16 Jahren doch noch nur bei rechtswidriger Datenverarbeitung.
67
Peuker verkennt dabei allerdings, dass die Entscheidung, die Daten verarbeitenden Dienste, wie z.B. soziale Plattformen, in Anspruch nehmen zu wollen, regelmäßig nicht eine der Eltern, sondern vielmehr eine des Kindes sein wird. Zwar müssen die Eltern in einem solchen Fall für das Kind entscheiden, ob sie die Weitergabe personenbezogener Daten für vertretbar halten, allerdings ist diese Entscheidung stark von den persönlichen Einstellungen der entscheidenden Person abhängig.103 Das später erwachsene Kind könnte die Konsequenzen anders bewerten und die Entscheidung der Eltern für falsch halten. Begründet man die überragende Bedeutung des Datenschutzes104 damit, dass mangelnder Datenschutz gravierende Folgen für das Privatleben der betroffenen Person haben kann (siehe Rn. 19), muss die Entscheidung darüber, welche Daten nach Erreichen der Volljährigkeit öffentlich bleiben sollen, bei dem nun erwachsenen Kind liegen. Eine teleologische Reduktion ist daher nicht bloß nicht erforderlich, sie würde die Schutzwirkung des Art. 17 Abs. 1 lit. f DSGVO ungerechtfertigterweise in hohem Maße verkürzen.105
68
Aus dem Wortlaut der lit. f ergibt sich hingegen, dass die Verletzung der Nachprüfpflicht aus Art. 8 Abs. 2 DSGVO nicht zu einem Löschanspruch führt. Der Schutz des Kindes wird hierdurch nicht verkürzt, denn im Falle des Fehlens der Einwilligung der Erziehungsberechtigten i.S.v. Art. 8 Abs. 1 DSGVO – und nur dann wäre die unterlassene Nachforschung i.S.v. Art. 8 Abs. 2 DSGVO relevant – besteht keine Rechtsgrundlage für die Verarbeitung, sodass der Löschanspruch bereits nach Art. 17 Abs. 1 lit. d DSGVO besteht.
69
Die Annahme, Art. 17 Abs. 1 lit. f DSGVO sei in seiner Gesamtheit überflüssig, da alle geregelten Fälle bereits von lit. b (Einwilligungswiderruf, siehe Rn. 37ff.) umfasst seien,106 geht hingegen fehl. Zum einen unterscheiden sich lit. f und lit. b durch das im letzteren Fall hinzukommende Tatbestandsmerkmal des Fehlens einer anderweitigen Rechtsgrundlage, sodass lit. f lex specialis zu lit. b ist.107 Zum anderen kann lit. f nicht bloß aufgrund ihrer systematischen Stellung nach lit. b ihre vorrangige Anwendbarkeit abgesprochen werden.108 Mangels anderer entgegenstehender Argumente verbleibt lit. f durchaus ein eigenständiger Anwendungsbereich.109
70
Lit. f ist schließlich auch lex specialis zu lit. d für die Fälle, in denen die eingeholte Einwilligung fehlerhaft i.S.v. Art. 8 Abs. 1 DSGVO ist.110
7. Rechtsfolge – Löschung
71
Liegt einer der genannten Gründe vor, hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden.
a) Löschung
72
Der Begriff der Löschung wird in der DSGVO, anders als noch im BDSG a.F.,111 nicht legaldefiniert. Als unionsrechtlicher Begriff ist er unionsautonom auszulegen, weshalb ein Rückgriff auf nationale Regelungen und Rechtsprechung nur bedingt möglich ist. Anhaltspunkt für die Auslegung ist zunächst Art. 4 Nr. 2 DSGVO, welcher zwischen Löschung und Vernichtung unterscheidet, dabei ist semantisch unter der Vernichtung ein im Vergleich zur Löschung weitergehender Schritt zu verstehen.112 Vernichtung meint wohl die Zerstörung des Datenträgers, Löschung hingegen die Behandlung der Daten dahingehend, dass sie danach nicht mehr ausgelesen werden können.113
73
Gleichzeitig muss die Löschung ein im Vergleich zur bloßen Einschränkung der Verarbeitung i.S.v. Art. 18 DSGVO weitergehender Schritt sein. Das Kennzeichnen der betroffenen Daten, sodass diese von künftigen Verarbeitungsschritten unberührt bleiben, ist daher nicht ausreichend.114 Dies erklärt sich auch vor dem Hintergrund, dass die Speicherung selbst eine Form der Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO darstellt, die Löschung aber gerade jede Art der Verarbeitung beenden soll.
74
Erforderlich ist nach dem allgemeinen Sprachverständnis eine irreversible Handlung, z.B. mehrfaches Überschreiben, Unleserlichmachen, Löschen von Verknüpfungen oder Entschlüsselungsmethoden.115 Die Anwendung der einfachen Löschfunktion am Computer ist demnach mangels Irreversibilität nicht ausreichend.116 Gerade im Verhältnis zu verantwortlichen Privaten muss der Löschanspruch aber durch den Grundsatz der Verhältnismäßigkeit beschränkt sein (vgl. dazu oben Rn. 49). Irreversibilität darf daher nicht absolut, sondern muss relativ unter Beachtung des für die Löschung zu erbringenden Aufwandes verstanden werden.117
75
Da die DSGVO keine Anwendung auf anonymisierte Daten findet,118 ist davon auszugehen, dass der Löschpflicht auch durch entsprechende Anonymisierung der Daten entsprochen werden kann119 (vgl. hierzu schon Rn. 19). Eine Anonymisierung liegt allerdings nicht vor, wenn die Verknüpfung der Daten mit einer bestimmten Person z.B. durch Verbindung mit weiteren Daten wiederhergestellt werden kann.120 In einem solchen Fall handelt es sich um eine bloße Pseudonymisierung der Daten,121 sodass die DSGVO anwendbar bleibt und der Löschpflicht nicht entsprochen wird.
76
Um dem Schutzzweck zu genügen, müssen außerdem alle Kopien oder Replikationen der betreffenden Daten gelöscht werden.122
77
Aus demselben Grund ist schließlich nicht ausreichend, dass die Daten für den Verantwortlichen unzugänglich werden,123 vielmehr müssen solche Schritte eingeleitet werden, die die Daten auch vor Kenntnisnahme durch Dritte schützen.124
78
Hingewiesen werden soll außerdem auf die Maßnahmenkataloge des Bundesamtes für Sicherheit in der Informationstechnik, wie z.B. M 2.167 „Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten“.125
b) Unverzüglichkeit
79
Die Löschung muss gem. Art. 17 Abs. 1 DSGVO unverzüglich erfolgen. Auch dieser Begriff wird nicht definiert, allerdings zeigt der Vergleich zu anderen Sprachfassungen („without undue delay“; „senza ingiustificato ritardo“; „sin dilación indebida“), dass der Begriff, wie auch im deutschen Recht üblich, dahingehend zu verstehen ist, dass die Löschung ohne unangemessene, oder eben schuldhafte Verzögerung126 vorzunehmen ist.127 Dem Verantwortlichen ist jedenfalls die Zeitspanne zuzugestehen, die für die Feststellung der Identität des Antragstellers und die Prüfung der Begründetheit des Löschverlangens erforderlich ist.128 Da der Umfang dieser Zeitspanne maßgeblich von den organisatorischen und finanziellen Möglichkeiten des Verantwortlichen abhängig sein wird, ist der Begriff der Unverzüglichkeit grundsätzlich subjektiv zu bestimmen.
80
Gem. Art. 12 Abs. 3 Satz 1 DSGVO ist der Verantwortliche zudem dazu verpflichtet, der betroffenen Person Informationen über die Löschmaßnahme unverzüglich, spätestens einen Monat nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann gem. Satz 2 um weitere zwei Monate verlängert werden. Teilweise wird geschlussfolgert, dass diese Regelung eine Höchstfrist darstelle, wenngleich das Merkmal der Unverzüglichkeit an sich unberührt bleibe.129 Denkbar sind aber auch Fälle, in denen sich die mitzuteilende Information darin erschöpft, dass der Vorgang noch nicht abgeschlossen werden konnte. Art. 12 Abs. 3 DSGVO regelt ausschließlich die Fristen der Informationspflicht, ausweislich des Wortlautes nicht die der Maßnahmen, über die zu informieren ist.
8. Spezialfälle
a) Blockchain
81
Besonders problematisch im Zusammenhang mit dem Recht auf Löschung aus Art. 17 Abs. 1 DSGVO ist die sog. Blockchain-Technologie. Hierbei handelt es sich um eine v.a. für die Gestaltung von Smart Contracts relevante Technologie, die es ermöglicht, Informationen derart abzuspeichern, dass die Integrität, d.h. die Richtigkeit i.S.d. Unverändertheit, gewährleistet wird.130 Da Blockchains aber gerade auf Unveränderbarkeit angelegt sind, stehen Löschbegehren nicht nur im diametralen Gegensatz zum Zweck der Technologie, sondern sind nur schwerlich (bis gar nicht) umsetzbar.131
b) Big Data
82
Vor Herausforderungen wird über das Recht auf Löschung gem. Art. 17 Abs. 1 DSGVO hinausgehend der gesamte Datenschutz durch sog. Big-Data-Datenverarbeitungsprozesse gestellt. Hierbei werden immense Mengen von – personenbezogenen wie nicht personenbezogenen – Daten mithilfe komplexer Algorithmen verarbeitet.132 Der Begriff wird oftmals im Zusammenhang mit künstlicher Intelligenz verwendet, die Datenverarbeitung muss aber nicht zwangsweise auf intelligenten Systemen beruhen. Trotz der weiten Verbreitung dieser Art der Datenverarbeitung nimmt die DSGVO an keiner Stelle ausdrücklich auf sie Bezug und modifiziert dementsprechend ihre Anforderungen mit Blick auf Big-Data-Verarbeitungsprozesse nicht. Das Recht auf Löschung aus Art. 17 Abs. 1 DSGVO greift damit grundsätzlich auch im Zusammenhang mit Fällen von Big Data.133 Um die Umsetzbarkeit der Löschpflicht gewährleisten zu können, sind entsprechende technische Vorkehrungen zu treffen (privacy by design).
c) De-listing-Anspruch
83
Siehe hierzu Rn. 100ff.
III. Verpflichtung zur Löschung personenbezogener Daten (Abs. 1)
84
Nach allgemeiner Auffassung beinhaltet Art. 17 Abs. 1 DSGVO neben dem subjektiven Recht des Betroffenen, die Löschung zu verlangen, auch eine antragsunabhängige objektive Pflicht des Verantwortlichen, die personenbezogenen Daten bei Vorliegen eines Löschgrundes zu löschen.134
85
Die Zweckmäßigkeit der Antragsunabhängigkeit wird dabei insb. von Herbst bezweifelt.135 Tatsächlich erscheint diese Auslegung jedenfalls unglücklich: Dem Betroffenen stehen neben dem Löschanspruch aus Art. 17 DSGVO auch andere Rechte zu, wie zum Beispiel die bloße Einschränkung der Verarbeitung gem. Art. 18 DSGVO. Die Löschung der Daten durch den Verantwortlichen ohne entsprechenden Antrag könnte daher als Verstoß gegen die Pflicht des Verantwortlichen aus Art. 12 Abs. 2 Satz 1 DSGVO, der betroffenen Person die Ausübung ihrer Rechte zu erleichtern, aufgefasst werden. Dennoch ist eine Vielzahl an Fällen denkbar, in denen erkennbar kein Interesse der betroffenen Person an der fortgesetzten Verarbeitung besteht, beispielsweise wenn die Einwilligung in die Datenverarbeitung ausdrücklich nur für einen bestimmten Zeitraum gegeben wurde. Würde in solchen Fällen die Löschung erst auf Antrag erfolgen müssen, bliebe die zeitliche Einschränkung der Einwilligung letztlich wirkungslos. Damit ist die Antragsunabhängigkeit im Ergebnis geeignet, die Interessen der von der Datenverarbeitung betroffenen Personen zu wahren.
86
Problematisch ist weiterhin, dass eine antragsunabhängige Ausgestaltung der Löschpflicht im Ergebnis mit einer Prüfpflicht gleichzusetzen ist. Aus ErwG 36 Satz 10 geht jedoch hervor, dass eine solche Prüfpflicht durchaus beabsichtigt war.136 Ausweislich des Erwägungsgrundes kann dieser Pflicht sowohl durch die automatische Löschung nach einer von vornherein festgelegten Frist, als auch durch die Überprüfung der Rechtmäßigkeit in regelmäßigen Abständen genügt werden.
87
Bemerkenswert ist in diesem Zusammenhang die jüngste Rechtsprechung des BGH, wonach von einem Suchmaschinenbetreiber nicht erwartet werden könne, dass er sich vergewissert, ob die von den Suchprogrammen aufgefundenen Inhalte rechtmäßig ins Internet eingestellt worden sind.137 Hierin zeigt sich, wenngleich sich das Urteil noch nicht auf die DSGVO stützen konnte, der Grundsatz der Verhältnismäßigkeit, der jeder in der DSGVO enthaltenen Pflicht zugrunde liegt. Dieser Rechtsprechungslinie hat sich jüngst das BVerfG angeschlossen, nachdem auch der EuGH seine eigene entsprechende Position gefestigt hatte: Suchmaschinenbetreiber sind erst nach Aufforderung unter den Voraussetzungen des Art. 17 DSGVO zur Auslistung von Suchanfrageergebnissen verpflichtet (sog. de-listing, siehe hierzu Rn. 100ff.).
88
Die im ErwG angesprochenen Löschfristen waren im Kommissionsentwurf der DSGVO noch in Art. 17 DSGVO genannt. Gem. Art. 17 Abs. 7 DSGVO-E (KOM) wäre der Verantwortliche dazu verpflichtet gewesen, Vorkehrungen zu treffen, um sicherzustellen, dass die Fristen für die Löschung personenbezogener Daten und/oder die regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung eingehalten werden. Trotz Entfallen dieses Absatzes ergeben sich dieselben Pflichten nun aus Art. 17 Abs. 1 DSGVO.
89
Aufgrund der Antragsunabhängigkeit der Löschpflicht muss auch der Begriff der Unverzüglichkeit anders verstanden werden, als noch im Rahmen des subjektiven Rechts auf Löschung (siehe Rn. 79). Während dort die Löschung unverzüglich nach Eingang des Antrags auf Löschung zu erfolgen hat, bezieht sich das Merkmal der Unverzüglichkeit in diesem Fall auf die Zeitspanne zwischen der objektiven Entstehung der Löschpflicht und der anschließenden Löschung.138 Für die Überprüfung der Rechtmäßigkeit der weiteren Verarbeitung in regelmäßigen Abständen bedeutet dies, dass der Zyklus engmaschig genug gestaltet sein muss, um Veränderungen bzgl. der Rechtmäßigkeit zeitnah zu erfassen. Gleichzeitig muss auch in diesem Rahmen der Grundsatz der Verhältnismäßigkeit gewahrt bleiben, sodass eine ständige Überprüfung, insb. bei Verantwortlichen, die eine große Datenmenge verarbeiten, nicht verlangt werden kann.
IV. Informationspflicht (Abs. 2)
90
Die echte Neuerung des Art. 17 DSGVO ist wohl die in Abs. 2 verortete Informationspflicht.139 Danach trifft den Verantwortlichen, der personenbezogene Daten öffentlich gemacht hat und gem. Abs. 1 zu deren Löschung verpflichtet ist, die Pflicht, Dritte Verantwortliche darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen Daten oder von Kopien oder Replikationen verlangt hat.
91
Während Abs. 1 der unmittelbaren Durchsetzung der Rechte und Interessen des Betroffenen dient, erleichtert Abs. 2 den Verantwortlichen die Einhaltung der sich aus Abs. 1 ergebenden Löschpflichten; gleichzeitig wird damit dem Betroffenen die Verwirklichung seiner Rechte erheblich vereinfacht.140
92
Vor diesem Hintergrund ist davon auszugehen, dass mit der objektiven Informationspflicht auch ein subjektives Recht des Betroffenen auf Information der anderen Verantwortlichen korrespondiert.141
93
Die Annahme mancher Autoren, bei Abs. 2 handle es sich um die Umsetzung des vom EuGH in seiner „Google Spain“-Entscheidung entwickelten Rechts auf Vergessenwerden in Form einer Informationspflicht,142 trifft indes nicht zu.143 Die Tatsache, dass in ErwG 66 die Einführung dieser Informationspflicht damit begründet wird, dass dem Recht auf Vergessenwerden im Netz mehr Geltung verschafft werden soll, ist bloße Konsequenz der gleichen Bezeichnung zweier unterschiedlicher Rechte (siehe hierzu schon Rn. 14).
1. Das Recht auf Vergessenwerden gegenüber Suchmaschinenbetreibern
a) Unterschied zwischen Recht auf Vergessenwerden i.S.d. DSGVO und i.S.d. „Google Spain“-Entscheidung des EuGH
94
Der EuGH entschied im Jahr 2014, dass Suchmaschinen dazu verpflichtet sein können, die Ergebnisliste, die auf eine anhand eines Namens durchgeführte Suche hin erstellt wurde, um bestimmte, das Persönlichkeitsrecht der betroffenen Person verletzende Einträge zu kürzen (sog. de-listing).144 Dieses Recht wurde aus Art. 12 lit. b und Art. 14 Abs. 1 lit. a der DSRl abgeleitet;145 Art. 12 lit. b DSRl stellt dabei die Vorgängerregelung zum neuen Art. 17 DSGVO dar.146 Zwar hat der EuGH selbst dieses Recht nie als „Recht auf Vergessenwerden“ bezeichnet, allerdings lautete die dritte Frage des vorlegenden (spanischen) Gerichts: „Zur Tragweite des Rechts auf Löschung und/oder auf Widerspruch gegen die Verarbeitung [...] in Verbindung mit dem Recht auf Vergessenwerden“. In der Folge wurde die vom EuGH vorgenommene Auslegung in der öffentlichen und fachlichen Diskussion weiterhin als Recht auf Vergessenwerden bezeichnet. Die Vorlagefrage zeigt dabei auch, dass das Konzept schon davor unter dieser Bezeichnung diskutiert wurde. Der Begriff wurde zudem jüngst vom BVerfG in zwei Entscheidungen wieder aufgegriffen: In seinem Beschluss Recht auf Vergessen I prüfte es die Vereinbarkeit eines Auslistungsanspruchs anhand der Grundrechte des GG, da sich der Sachverhalt über die Öffnungsklausel des Art. 85 Abs. 2 DSGVO im nicht vollharmonisierten Bereich befand. In der Entscheidung Recht auf Vergessen II kam es hingegen ausschließlich auf die Grundrechte der Europäischen Grundrechtecharta an.147 Siehe Rn. 103ff. für weitere Einzelheiten.
95
Obwohl der EuGH in seiner „Google-Spain“-Entscheidung auch Art. 12 lit. b DSRl als dogmatische Grundlage wählte, handelt es sich bei der dem Verantwortlichen auferlegten Verpflichtung nach der hier vertretenen Auffassung bereits um eine Einschränkung der Verarbeitung und nicht erst um eine Löschpflicht.148 Im konkreten Fall wurde Google verpflichtet, bei der Erstellung der anzuzeigenden Suchergebnisliste solche Einträge zu vernachlässigen und daher nicht mitaufzunehmen, deren Auflistung die Rechte des Betroffenen beeinträchtigen würden. Suchmaschinen liefern die gewünschte Ergebnisliste innerhalb Bruchteilen von Sekunden; hierzu sind sie in der Lage, weil das Internet mittels sogenannter Webcrawlern ständig „untersucht“ und alle Inhalte indexiert werden.149 Diese Indexierung stellt bereits eine Verarbeitung dar150 und führt zu neuen, separat löschbaren personenbezogenen Daten, die bei der Suchmaschine gespeichert werden. Diese Indexierung war aber nicht Gegenstand der „Google Spain“-Entscheidung. Gerügt wurde stattdessen die anschließende Darstellung der indexierten Internetinhalte in der Ergebnisliste.151 Dass die einzelnen Links innerhalb der Ergebnisliste neue separat löschbare personenbezogene Daten sein sollen, erscheint jedenfalls fragwürdig. Das vom EuGH gewünschte Ergebnis wird vielmehr durch eine beschränkte Verarbeitung der indexierten Inhalte erreicht. Entsprechend weist der Europäische Datenschutzausschuss in seinen Leitlinien zu den Kriterien des Rechts auf Vergessenwerden in Fällen in Bezug auf Suchmaschinen darauf hin, dass neben Art. 17 DSGVO auch Art. 21 DSGVO als taugliche Anspruchsgrundlage dienen könnte.152
96
Diese dogmatische Ungereimtheit ergibt sich bei genauerem Hinsehen nicht erst aus der späteren medialen und fachlichen Diskussion,153 sondern bereits aus der EuGH-Entscheidung selbst. Der Gerichtshof zieht Art. 12 lit. b und Art. 14 Abs. 1 lit. a DSRl als Rechtsgrundlage heran. Im Unterschied zu Art. 17 Abs. 1 DSGVO regelte Art. 12 lit. b DSRl zwar nicht nur das Löschrecht, sondern, je nach Fall, ein Recht auf Berichtigung oder Sperrung der Daten. Der Entscheidung lässt sich nicht klar entnehmen, aus welcher dieser Varianten sich das Recht gegenüber den Suchmaschinenbetreibern ergibt. Der EuGH nimmt vielmehr eine Gesamtschau vor und leitet aus den Prinzipien der DSRl ab,154 dass die betroffene Person auch in Fällen, wie sie dieses Urteil zum Gegenstand hatte, nicht schutzlos gestellt sein darf.155 Trotzdem folgert der EuGH ausdrücklich, dass in bestimmten Fällen „die betreffenden Informationen und Links der Ergebnisliste gelöscht werden“156 müssen.
97
Abgesehen von diesen dogmatischen Bedenken, stimmt das Recht auf Vergessenwerden i.S.d. „Google Spain“-Entscheidung mit dem des Art. 17 Abs. 2 DSGVO auch deshalb nicht überein, weil Letzterer gerade keine Löschpflicht enthält, sondern eine reine Informationspflicht.
98
Auch richtet sich diese Informationspflicht regelmäßig nicht an Suchmaschinenbetreiber. Verlangt der Betroffene die Löschung personenbezogener Daten von einer Suchmaschine, ist diese gerade nicht zur Löschung der zugrunde liegenden Webinhalte, sondern der durch die Suchmaschine auf diese Inhalte verweisenden Links verpflichtet. Gem. Art. 17 Abs. 2 DSGVO wäre der Suchmaschinenbetreiber nun verpflichtet, alle anderen Verantwortlichen über das Löschbegehren zu informieren. Diese Pflicht bezieht sich aber nur auf solche Fälle, in denen Dritte das von dem Suchmaschinenbetreiber selbst öffentlich gemachte personenbezogene Datum weiterverarbeiten. Dies wird bei Suchmaschinen-Links auf bestimmte Inhalte selten der Fall sein.
99
Das Recht auf Vergessenwerden des EuGH wurde also gerade nicht positivrechtlich kodifiziert. Möglich wäre allerdings die Annahme, dass das Recht auf Vergessenwerden ein übergeordnetes Konzept darstellt, welches in verschiedenen Ausprägungen zu Tage tritt.157