Meta gegen Bundeskartellamt: Anforderungen an das Zusammenführen von Nutzer:innendaten
Soziale Netzwerke und Tech-Konzerne leben von großen Datenmengen, die sie auf den eigenen Internetseiten, Portalen und Plattformen und auch aus Quellen Dritter sammeln und verarbeiten. Der Europäische Gerichtshof (EuGH) hat Meta und Co. nunmehr Grenzen bei dem Sammeln und Zusammenführen von Daten für umfangreiche Nutzer:innenprofile gesetzt. Am 4. Juli 2023 fällte er ein Urteil über insgesamt sieben Vorlagefragen des Oberlandesgericht (OLG) Düsseldorf. Hintergrund der umfangreichen Entscheidung ist ein Rechtsstreit zwischen dem Bundeskartellamt und dem Tech-Giganten Meta. Die deutsche Wettbewerbsbehörde untersagte Meta (damals noch Facebook) im Jahre 2019, Off-Facebook-Daten zum Zweck der personalisierten Werbung zu nutzen. Dieser Rechtsauffassung gibt der EuGH nun Rückendeckung und schreibt eine strenge Auslegung der DSGVO vor. Wir erläutern die Hintergründe und Inhalte dieser Entscheidung und ordnen die Folgen des Urteils für die europäische Datenwirtschaft ein.
Hintergrund des Verfahrens am EuGH
Der Tech-Konzern Meta finanziert sich durch das Sammeln von Daten, anhand derer er detaillierte Profile der Nutzer:innen über ihr Verhalten, ihre Interessen, Kaufkraft und Lebenssituation erstellen kann. Da auf diese Datenverarbeitungen in den Nutzungsbedingungen der Dienste hingewiesen wird, wähnte sich Meta bisher rechtlich auf der sicheren Seite. Das deutsche Bundeskartellamt (BKartA) hatte dem Tech-Giganten allerdings das Zusammenführen und Verarbeiten von sogenannten Off-Facebook-Daten untersagt, also Daten aus Drittquellen wie beispielsweise von Cookies oder von in Apps integrierten Schnittstellen. Diese hat Meta verwendet, um Nutzer:innenprofile anzureichern. Die Datenverarbeitungen nur in die Nutzungsbedingungen der Dienste aufzunehmen, würde laut BKartA für eine Rechtmäßigkeit nach der DSGVO nicht ausreichen.
Meta klagte gegen das Verbot. Das für die Klage zuständige OLG Düsseldorf strengte schließlich ein Vorabentscheidungsverfahren beim EuGH nach Art. 267 AUEV an und legte dem Gericht im Wesentlichen vier Punkte zur Klärung vor. Dazu gehörte die Frage, ob das Bundeskartellamt als nationale Wettbewerbsbehörde neben den Datenschutzaufsichtsbehörden die Befugnis hat, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu prüfen. Weitergehend sollte der EuGH entscheiden, ob besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (wie Gesundheitsdaten oder Daten über die politische Gesinnung), die von Betreibern sozialer Netzwerke von Drittquellen erhoben werden, rechtmäßig genutzt werden dürfen. Nicht zuletzt musste der EuGH sich mit den Rechtsgrundlagen für die Verarbeitung von Off-Facebook-Daten durch Betreiber sozialer Online-Netzwerke auseinandersetzen und beurteilen, ob einem Unternehmen mit marktbeherrschender Stellung gegenüber überhaupt eine freiwillige Einwilligung abgegeben werden kann. In seinem Urteil vom 4. Juli 2023 fand das Gericht schließlich klare Worte für die Auslegung der DSGVO und entschied in vielen Punkten gegen die Rechtsauffassung von Meta. Gleichzeitig wirft das Urteil durch die strengen Voraussetzungen, die an die Rechtsgrundlagen für Datenverarbeitungen geknüpft werden, Fragen zur Umsetzbarkeit in der Praxis auf.
Das Datensammeln von Meta verstößt laut EuGH gegen die DSGVO
Durch die inhaltlich und zahlenmäßig umfassenden Vorlagefragen aus Düsseldorf hatte der EuGH Gelegenheit, zu vielen datenschutzrechtlich relevanten Punkten Stellung zu beziehen. Sein Urteil ist daher in Hinblick auf die Auslegung der DSGVO und Datenschutzrecht in der EU von hoher Relevanz. Konkret kamen aus Straßburg auf die offenen Fragen folgende Antworten:
Nationale Kartellrechtsbehörden dürfen unter bestimmten Voraussetzungen Datenschutzrechtsverstöße prüfen.
- Wettbewerbsrecht, Verbraucherrecht und Datenschutzrecht sind aus Sicht des EuGH eng miteinander verbundene Themenbereiche. Die Erhebung und Verwertung personenbezogener Daten ist von hoher Relevanz in der heutigen Digitalwirtschaft und bildet die Geschäftsgrundlage vieler einflussreicher Entscheider und wichtiger Unternehmen in den entsprechenden Branchen.
- Für eine wirksame Wettbewerbsregulierung und den effektiven Schutz von Markt und Verbraucher:innen ist es daher nach Ansicht des EuGH erforderlich, dass nationale Wettbewerbsbehörden wie das BKartA bei der Prüfung des Missbrauchs von marktbeherrschender Stellungen auch die DSGVO in den rechtlichen Prüfrahmen einbeziehen (EU:C:2023:537 Rn. 51).
- Um eine kohärente Anwendung der DSGVO zu gewährleisten, ist es aber zusätzlich erforderlich, dass sich die nationale Wettbewerbsbehörde mit der für die Aufsicht über die DSGVO zuständigen Behörde abstimmt. Hierfür müssen vorherige Entscheidungen der Aufsichtsbehörde berücksichtigt werden oder, falls noch keine getroffen wurden, eine Entscheidung angefragt werden.
- Wenn eine Antwort der nationalen Datenaufsichtsbehörde ausbleibt, hat die Wettbewerbsbehörde jedoch die Erlaubnis, ohne eine weitere Abstimmung eine eigene Entscheidung über den DSGVO-Verstoß zu treffen (EU:C:2023:537 Rn. 61).
Besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO, die durch das Füttern von Schnittstellen entstehen, gelten nicht per se als öffentlich zugänglich gemacht und dürfen daher auch nicht von den Betreibern sozialer Netzwerke ohne Weiteres genutzt werden.
- Laut EuGH muss die Gesamtheit aller verarbeiteten Daten (inklusive der Daten aus Drittquellen) auf eine objektive Einstufung als Daten iSd Art 9 Abs. 1 DSGVO hin überprüft werden (EU:C:2023:537 Rn. 68). Das bedeutet, dass bereits ein Datensatz, der eine Information enthält, die nicht vom Rest der weiteren Daten getrennt wurde oder nicht getrennt werden kann, insgesamt nur unter den strengen Voraussetzungen des Art. 9 Abs. 2 DSGVO verarbeitet werden darf.
- Für den Rechtfertigungsgrund aus Art. 9 Abs. 2 lit. e DSGVO kommt es konkret darauf an, ob eine Person bestimmte Daten tatsächlich der Öffentlichkeit zugänglich machen wollte, während die Nutzung von Schnittstellen wie dem „Gefällt Mir“-Button, Sharing-Diensten oder Cookies allein nicht ausreicht (EU:C:2023:537 Rn. 75, 78). Grund dafür ist, dass Nutzer:innen lediglich damit rechnen müssen, dass der Webseitenbetreiber und – bei einer entsprechenden Einwilligung – auch Dritte auf diese Informationen zugreifen können. Mit einer Weiterleitung an eine breite Öffentlichkeit wird ein:e Nutzer:in bei einem Webseiten- oder App-Besuch nicht rechnen müssen (EU:C:2023:537 Rn. 78).
- Von einem „offensichtlichen öffentlich machen“ ist nur dann auszugehen, wenn die Nutzer:innen unter Kenntnis der Umstände individuelle Einstellungen vornehmen konnten und sich so tatsächlich für eine öffentliche Einsehbarkeit der Information entschieden haben, nicht aber, wenn sie die Information de facto nur einem begrenzten Personenkreis zugänglich gemacht haben (EU:C:2023:537 Rn. 80, 91). Erforderlich sind also explizite Handlungen der Nutzer:innen, die auf ein öffentlich machen hinwirken.
Die Rechtfertigungstatbestände des Art. 6 Abs. 1 S. 1 lit. b bis f DSGVO sind für die Verarbeitung und Verknüpfung von Daten dritter Webseiten und Apps durch Betreiber sozialer Netzwerke nicht einschlägig bzw. erfordern einen höheren Begründungsaufwand.
- Eine Erforderlichkeit für die Vertragserfüllung nach 6 Abs. 1 S. 1 lit. b DSGVO ist nach Ansicht des EuGH gegeben, wenn die Datenverarbeitung unerlässlich ist, um den Vertragszweck zu erreichen; der Hauptgegenstand des Vertrags dürfte ohne die Datenverarbeitung nicht erfüllt werden können (EU:C:2023:537 Rn. 98).
- Das Sammeln von Off-Facebook-Daten zum Zweck der Personalisierung von Werbung sieht der EuGH jedoch nicht als erforderlich an, um soziale Netzwerke zu betreiben und auch die Weitergabe der Daten an andere Unternehmen innerhalb des Meta-Konzerns ist nicht erforderlich nach Art. 6 Abs. 1 S. 1 lit. b DSGVO; insbesondere erlaubt es Meta seinen Nutzer:innen die verschiedenen Dienste des Konzerns einzeln und unabhängig voneinander zu nutzen, sodass sich keine Erforderlichkeit ergibt, Daten an einen weiteren Meta-Dienst weiterzugeben (EU:C:2023:537 Rn. 102).
- Für den Rechtfertigungstatbestand aus 6 Abs. 1 S. 1 lit. f DSGVO und das darin genannte berechtigte Interesse müssen kumulativ drei Voraussetzungen erfüllt werden: ein berechtigtes Interesse muss an sich bestehen, die konkrete Datenverarbeitung muss gerade zur Erfüllung des Interesses erforderlich sein und im Rahmen einer Gesamtabwägung dürfen die Interessen, Grundrechte und Grundfreiheiten derjenigen Person, die von der Datenverarbeitung betroffen ist, nicht überwiegen.
- Schließlich erteilt der EuGH einem pauschal überwiegenden berechtigten Interesse an Datenverarbeitungen zu Werbezwecken oder zur Produktverbesserung eine Absage; allein ob der Unentgeltlichkeit der sozialen Netzwerke von Meta können Nutzer:innen nicht damit rechnen, dass ihre Daten in unbegrenztem Ausmaß ohne Einwilligung verarbeitet werden (EU:C:2023:537 Rn. 117, 122).
- Der Rechtfertigungstatbestand aus 6 Abs. 1 S. 1 lit. c DSGVO, der sich auf die Erfüllung einer rechtlichen Verpflichtung stützt, kann zwar grundsätzlich einschlägig sein, es bedarf aber einer Konkretisierung bestehender Rechtspflichten für die jeweilige Datenverarbeitung. Daher spielt der EuGH den Ball hier an das vorlegende Gericht zurück, ohne in der Sache zu entscheiden (EU:C:2023:537 Rn. 130, 131).
- Für die Rechtsgrundlagen aus 6 Abs. 1 S. 1 lit. d und e DSGVO, die aus dem Schutz lebenswichtiger Interessen bzw. der Erfüllung von Aufgaben im öffentlichen Interesse erwachsen, sieht der EuGH im Fall keine Anknüpfungspunkte und geht über allgemeine Erwägungen nicht hinaus.
Die marktbeherrschende Stellung eines Unternehmens schließt die Freiwilligkeit einer Einwilligung in eine Datenverarbeitung nicht aus.
- Nach Erwägungsgrund 42 der DSGVO ist die Freiwilligkeit beeinträchtigt, wenn bei Verweigerung der Einwilligung mit Nachteilen gerechnet werden muss. Daher müssen Nutzer:innen die freie Wahl haben zwischen Datenverarbeitungen, die nicht erforderlich sind für die Nutzung des Dienstes und einer gleichwertigen Alternative. Das Gericht bezieht sich hier exemplarisch als mögliche Lösung auf die Zahlung eines angemessenen Entgelts, also einer „Pay-to-Play“-Lösung (EU:C:2023:537 Rn. 150).
- Dass aber im Einzelfall die marktbeherrschende Stellung Auswirkungen auf die Freiwilligkeit hat, schließt der EuGH nicht aus und stellt fest, dass die Darlegungslast an dieser Stelle bei den Unternehmen liegt (EU:C:2023:537 Rn. 152).
- Der Umstand allein, dass ein Konzern eine solche Position auf dem Markt innehat, kann der Einwilligung aber nicht die Gültigkeit entziehen; sonst könnten Nutzer:innen gegenüber Netzwerkbetreibern wie Meta und Co keine wirksamen Einwilligungen mehr erteilen.
Fazit
Die Entscheidung des EuGH betrifft lediglich die Auslegung der DSGVO. Wie der Fall konkret für Meta und das Bundeskartellamt ausgehen wird, entscheidet nun das OLG Düsseldorf unter Anwendung der Hinweise aus dem Urteil. Deutlich wird jedoch bereits jetzt, dass der EuGH von Unternehmen wie Meta einen höheren Begründungsaufwand und einen differenzierteren Umgang mit Nutzer:innendaten fordert. Der EuGH zeigt sich unbeeindruckt von bestehenden Praktiken der Data-Broker und bleibt dabei: Nutzer:innen brauchen mit einem massenhaften Sammeln und Verteilen ihrer Daten grundsätzlich nicht zu rechnen.
In Hinblick auf die enormen Einflussmöglichkeiten, die Unternehmen durch die Erstellung von Nutzer:innenprofilen entwickeln, ist es auf der einen Seite legitim, einen differenzierteren Umgang mit Daten zu fordern. Hierunter fällt beispielsweise auch die verstärkte Rücksicht auf den Schutz Minderjähriger, wie es der EuGH in Hinblick auf Daten von Kindern fordert. Neben Meta geraten dadurch auch Plattformen wie TikTok in den Fokus, die vielfach von Minderjährigen genutzt werden. Obgleich es für die Netzwerkbetreiber technisch herausfordernd sein dürfte, die Daten von Kindern herauszufiltern und gesondert zu prüfen, zeichnet sich ab, dass eine massenhafte und pauschale Datenverarbeitung den strengen Kriterien des EuGH nicht gerecht wird und daher höchstwahrscheinlich als rechtswidrig eingestuft wird.
Andererseits erschwert das Gerichtsurteil jedoch deutlich die praktische Umsetzung rechtskonformer Datenverarbeitungen jenseits von Einwilligungen, indem es konstatiert, dass die Rechtfertigungstatbestände des Art. 6 Abs. 1 S. 1 lit. b bis f DSGVO grundsätzlich eng auszulegen sind (EU:C:2023:537 Rn. 93). Ein Beispiel ist das berechtigte Interesse iSd Art. 6 Abs. 1 S. 1 lit. f DSGVO an einer Produktverbesserung im Rahmen von sogenannten Improvement of Services-Klauseln. Hier ordnet der EUGH an, dass stets im Einzelfall mit anderen Interessen und Rechtsgütern abgewogen werden müsste und Unternehmen beispielsweise für eine bestimmte Art von Daten nicht pauschal von einem Überwiegen ausgehen dürfen (exemplarisch EU:C:2023:537 Rn. 123). Dadurch werden für alle Unternehmen, nicht nur Tech-Giganten wie Meta und Co, in der Praxis große Hürden aufgestellt. Eine umfangreiche Abwägung für jeden einzelnen Datensatz ist insbesondere für weniger breit aufgestellte Unternehmen nur schwer umsetzbar.
Ihre Experten für Datenschutzrecht
Dr. Matthias Lachenmann, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 180, E-Mail: matthias.lachenmann@bho-legal.com
Gerhard Deiters, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 160, E-Mail: gerhard.deiters@bho-legal.com