Mit Urteil vom 04.07.2023 (Az. C-252/21 – Volltext) hat der Europäische Gerichtshof („EuGH“) entschieden, dass eine Zusammenführung von Nutzerdaten aus verschiedenen sozialen Netzwerken durch eine Konzerngesellschaft zum Zweck der personalisierten Werbung einer Einwilligung bedarf. Weder die Vertragserfüllung noch eine Interessenabwägung können eine solche Verarbeitung rechtfertigen. Zugleich hat sich der EuGH erneut zum Anwendungsbereich von Art. 9 DSGVO zur Verarbeitung besonders schutzbedürftiger Daten geäußert und die Anforderungen an die Freiwilligkeit einer Einwilligung im Datenschutzrecht präzisiert.
Sachverhalt: Was sollte der EuGH entscheiden?
Das Tochterunternehmen der Meta Platforms Inc., die Meta Platforms Ireland Ltd. („Meta“), betreibt in der Europäischen Union („EU“) das soziale Netzwerk Facebook. Andere Tochterunternehmen der Meta Platforms Inc. betreiben weitere soziale Netzwerke, z.B. WhatsApp und Instagram. Meta platziert zur Finanzierung von Facebook Online-Werbung, die auf den individuellen Nutzer zugeschnitten ist („personalisierte Werbung“). Zu diesem Zweck verknüpft Meta in den jeweiligen Nutzerkonten alle Nutzerdaten, die bei der Nutzung von Facebook anfallen, mit den Nutzerdaten, die aus der Nutzung der weiteren sozialen Netzwerke im Meta-Konzern resultieren. Meta rechtfertigt dies mit dem Nutzungsvertrag zwischen Facebook und dessen Nutzern nebst den darin einbezogenen Allgemeinen Nutzungsbedingungen („ANB“).
Das Bundeskartellamt untersagte der Meta Platforms Inc., der Meta Platforms Ireland Ltd. sowie der Facebook Deutschland GmbH mit Beschluss vom 06.02.2019 die Zusammenführung und weitere Verarbeitung der Nutzerdaten für personalisierte Werbung, wenn nicht zuvor eine Einwilligung erteilt wird. Insbesondere seien die ANB missbräuchlich, weil die darin vorgesehene Verarbeitung der „Off-Facebook-Daten“ nicht mit den der DSGVO zugrunde liegenden Werten in Einklang stehe.
Gegen diesen Beschluss legte Meta beim Oberlandesgericht Düsseldorf Beschwerde ein. Das Oberlandesgericht Düsseldorf hatte insbesondere Zweifel daran, dass 1) das Bundeskartellamt über die Vereinbarkeit einer Verarbeitung mit der DSGVO entscheiden darf; sowie 2) die Verarbeitung durch Meta aufgrund der beherrschenden Stellung im Markt gemäß Art. 6 Abs. 1 DSGVO rechtmäßig sein kann. Das Oberlandesgericht Düsseldorf legte dem EuGH daher gleich sieben Vorlagefragen im Rahmen des Vorabentscheidungsersuchens vor (OLG Düsseldorf, Beschluss vom 24.03.2021 – Kart 2/19 (V), Volltext).
Kernaussagen des EuGH[1]
Das Urteil trifft folgende zentrale Aussagen:
Aussage 1: Bundeskartellamt durfte zum Datenschutz entscheiden (Rz. 36-63)
Der EuGH hält zunächst fest, dass eine mitgliedstaatliche Wettbewerbsbehörde vorbehaltlich der Erfüllung ihrer Pflicht zur loyalen Zusammenarbeit mit den Datenschutzaufsichtsbehörden feststellen kann, dass die ANB nicht mit der DSGVO vereinbar sind, wenn diese Feststellung erforderlich ist, um das Vorliegen eines Missbrauchs i.S.d. Wettbewerbsrechts zu belegen. Zwar nehmen die Aufsichtsbehörden im Datenschutz einerseits sowie die nationalen Wettbewerbsbehörden andererseits unterschiedliche Pflichten wahr und verfolgen jeweils eigene Ziele und Aufgaben. Auch bestehe die Gefahr divergierender Entscheidungen in Bezug auf die Auslegung der DSGVO.
Diese Gefahr könne aber vermieden werden, indem die nationale Wettbewerbsbehörde nicht von Entscheidungen der zuständigen nationalen Datenschutzaufsicht abweicht, sofern derartige Entscheidungen existieren. Zudem müsse die nationale Wettbewerbsbehörde bei Zweifeln an der Vereinbarkeit mit der DSGVO die Aufsichtsbehörde zwingend konsultieren und ihr eine angemessene Frist zur Reaktion setzen, bevor die Wettbewerbsbehörde ihre Untersuchungen fortsetzen darf.
Im vorliegenden Fall habe das Bundeskartellamt seine Pflicht zur loyalen Zusammenarbeit mit den zuständigen Aufsichtsbehörden erfüllt und durfte deshalb die Entscheidung treffen.
Aussage 2: Art. 9 DSGVO gilt auch für soziale Netzwerke (Rz. 64-73)
Eine Verarbeitung ist als „Verarbeitung besonderer Kategorien personenbezogener Daten“ i.S.d. Art. 9 Abs. 1 DSGVO anzusehen und verboten, wenn diese Verarbeitung die Offenlegung von Informationen ermöglicht, die in eine der in Art. 9 Abs. 1 DSGVO benannten Kategorien fallen. Hierfür genügen Ableitungen aus im Übrigen nicht unter Art. 9 Abs. 1 DSGVO fallenden Daten (sog. „hidden layer“), womit der EuGH seine frühere Entscheidung zu Art. 9 Abs. 1 DSGVO ausdrücklich bestätigt (siehe Urteil vom 01.08.2022 – C-184/20, Volltext). Nunmehr hat der EuGH klargestellt, dass es für die Anwendbarkeit von Art. 9 DSGVO nicht darauf ankomme, ob Informationen über einen Nutzer des sozialen Netzwerks oder eine andere natürliche Person (z.B. durch Erwähnung in einem Post) verarbeitet werden.
Hinweis: Diese Auslegung von Art. 9 DSGVO entspricht unserer bisherigen Beratungslinie (siehe unsere Mandanteninformation „Der EuGH zapft den „hidden layer“ an: Wenn aus „normalen“ Daten sensible Daten werden“ – Blogpost).
Aussage 3: Wann sind Daten „offensichtlich öffentlich gemacht“? (Rz. 74-85)
Art. 9 Abs. 2 Buchst. e DSGVO sieht eine Ausnahme vom in Art. 9 Abs. 1 DSGVO statuierten Verarbeitungsverbot für besonders schutzbedürftige Daten vor, wenn die betroffene Person die Daten „offensichtlich öffentlich gemacht“ hat.
Achtung: Diese Ausnahme kommt nie zur Anwendung, wenn andere Personen oder Stellen Daten über die betroffene Person öffentlich gemacht haben. Das „öffentlich Machen“ muss immer durch die betroffene Person erfolgen.
Der EuGH hebt hervor, dass die Anwendbarkeit des Art. 9 Abs. 2 Buchst. e DSGVO voraussetzt, dass die betroffene Person die Absicht hatte, die betroffenen Daten ausdrücklich und durch eine eindeutige bestätigende Handlung der breiten Öffentlichkeit zugänglich machen zu wollen.
Kein öffentlich Machen ist:
- das bloße Aufrufen von Websites oder Nutzen von Apps mit Bezug zu besonders schutzbedürftigen Daten (z.B. Gesundheitsdaten), was mittels Cookies oder ähnlichen Technologien durch den Anbieter von Website oder App getrackt wird;
- die Nutzung von Schaltflächen wie „Gefällt mir“ oder „Teilen“, sofern der Nutzer
- keine individuelle Einstellung in Bezug auf den Kreis der Öffentlichkeit treffen kann, oder
- nicht darauf hingewiesen wird, dass mit diesen Handlungen eine Interaktion zwischen dem Nutzer und der betreffenden Website/App und gegebenenfalls der Website des sozialen Netzwerks einhergeht.
In diesen Fällen kann sich der Verantwortliche nicht auf Art. 9 Abs. 2 Buchst. e DSGVO berufen und die Verarbeitung der besonders schutzbedürftigen Daten ist verboten.
Hinweis: Anders ist dies zu beurteilen, wenn a) individuelle Einstellungen in Bezug auf den Kreis der Öffentlichkeit möglich sind und der Nutzer in voller Kenntnis der Sachlage seine präferierte individuelle Einstellung frei wählen kann, oder b) ein Hinweis über die Tragweite der Interaktion erfolgt.
Aussage 4: Zusammenführen der Nutzerdaten nur mit Einwilligung (Rz. 97-126)
Meta versuchte, das Zusammenführen und weitere Verarbeiten der Nutzerdaten („Off-Facebook-Daten“, siehe oben) über Vertragserfüllung (Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO) oder eine Interessenabwägung (Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO) zu rechtfertigen. Dem erteilt der EuGH eine deutliche Absage.
Vertragserfüllung (Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO)
Der EuGH führt zunächst aus, dass die Erforderlichkeit einer Verarbeitung zur Vertragserfüllung voraussetzt, dass die Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Vertrag ohne die betreffende Verarbeitung nicht erfüllt werden könnte. Nicht entscheidend sei dabei, ob die Verarbeitung im Vertrag erwähnt wird oder lediglich von Nutzen ist. Es komme nur darauf an, ob die Verarbeitung für die ordnungsgemäße Vertragserfüllung wesentlich ist und keine praktikablen und weniger einschneidenden Alternativen bestehen.
Hinweis: Die Erweiterung auf unbedeutende, vertragliche Haupt- oder Nebenleistungen, um Verarbeitungen auf Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO stützen zu können, ist nach dem EuGH nicht (mehr) möglich.
Im vorliegenden Fall stellt der EuGH fest, dass der Austausch der Nutzerdaten nicht zur Erbringung des Dienstes von Facebook erforderlich ist.
Interessenabwägung (Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO)
Daneben setzte sich der EuGH mit der Rechtfertigung der Verarbeitung gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO auseinander. Um eine Verarbeitung mittels einer Interessenabwägung zu rechtfertigen, bedarf es immer 1) eines berechtigten Interesses des Verantwortlichen oder eines Dritten, 2) der Erforderlichkeit der Verarbeitung zur Erreichung des Interesses, und 3) kein Überwiegen der schutzwürdigen Interessen betroffenen Personen.
Zwei von Meta genannte Interessen („Forschung und Innovation für soziale Zwecke“, „etwaige Minderjährigkeit des Nutzers“) verwarf der EuGH als nicht prüfbar. Mit den weiteren von Meta angeführten Interessen an der Verarbeitung setzte sich der EuGH wie folgt auseinander:
- „Personalisierte Werbung“: Auch wenn die Nutzung von Facebook unentgeltlich erfolge, rechne der Nutzer nicht damit, dass seine Daten ohne seine Einwilligung zum Zwecke der Personalisierung der Werbung verarbeitet werden. „Personalisierte Werbung“ ist vor diesem Hintergrund kein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO. Im Übrigen weist der EuGH darauf hin, dass die Verarbeitungen durch den Meta-Konzern unbegrenzte Daten betreffen und erhebliche Auswirkungen haben, sodass der Nutzer davon ausgehen müsse, dass sein Privatleben kontinuierlich überwacht werde.
- „Gewährleistung der Netzsicherheit“: Dieses Interesse ist bereits im Erwägungsgrund 49 zur DSGVO als mögliches, berechtigtes Interesse deklariert. Im vorliegenden Fall muss das Oberlandesgericht Düsseldorf nun prüfen, ob die Verarbeitung auch zur Erfüllung des Interesses erforderlich ist.
- „Produktverbesserung“: Die Produktverbesserung ist ein mögliches, berechtigtes Interesse im Sinne von Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO. Allerdings hält der EuGH es für zweifelhaft, dass die konkrete Verarbeitung durch Meta hierunter fällt: Hiergegen sprechen nach dem EuGH der Umfang der Verarbeitung, die erheblichen Auswirkungen auf den Nutzer sowie der Umstand, dass der Nutzer vernünftigerweise nicht damit rechnen könne, dass die Daten von Meta derartig verarbeitet werden. Das gelte nach dem EuGH insbesondere bei Daten minderjähriger Nutzer, die besonders schutzbedürftig seien.
- „Verhinderung von Straftaten, Strafverfolgungsinteresse“: Der EuGH hält diese Interessen nicht für mögliche berechtigte Interessen gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO. Das Interesse an der Information von Strafverfolgungsbehörden, um Straftaten zu verhindern, aufzudecken oder zu verfolgen, könne nur dann eine Verarbeitung eines privaten Wirtschaftsteilnehmers rechtfertigen, wenn diese Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, objektiv erforderlich ist, also über Art. 6 Abs. 1 Satz 1 Buchst. c DSGVO gerechtfertigt ist. Der Begriff „Strafverfolgungsinteresse“ deutet stark auf hoheitliche Befugnisse hin, die privaten Wirtschaftsteilnehmern nicht zustehen, da diese gerade kein Hilfspersonal der Staatsanwaltschaft sind. Nicht gemeint sein dürften hier Compliance-Maßnahmen des Verantwortlichen, die ggf. auch mit der Verhinderung von Straftaten einhergehen.
Hinweis: Die Durchführung der Interessenabwägung ist vom Verantwortlichen zu dokumentieren (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Hierfür stellen wir ein Legal Tech Tool bereit (siehe unsere Mandanteninformation „Jetzt neu: Die Legal-Tech-Tools von KREMER RECHTSANWÄLTE!“ – Blogpost).
Aussage: marktbeherrschende Stellung schließt freiwillige Einwilligung nicht aus (Rz. 140-154)
Die marktbeherrschende Stellung eines sozialen Netzwerks schließt nach dem EuGH für sich genommen nicht aus, dass Nutzer in die Verarbeitung ihrer personenbezogenen Daten wirksam einwilligen. Allerdings muss die Stellung des sozialen Netzwerks im Markt bei der Prüfung der Wirksamkeit der Einwilligung, insbesondere der Freiwilligkeit der Einwilligung, berücksichtigt werden.
Prüfungsmaßstab ist für den EuGH, ob Nutzer die Freiheit haben, unter dem Nutzungsvertrag die Einwilligung in bestimmte, für die Vertragserfüllung nicht erforderliche Verarbeitungen einzeln zu verweigern, ohne dadurch vom sozialen Netzwerk insgesamt ausgeschlossen zu werden. Dies bedinge, dass den Nutzern, gegebenenfalls gegen ein angemessenes Entgelt, eine gleichwertige Alternative angeboten wird, die nicht mit den einwilligungsbedürftigen Verarbeitungen einhergeht.
Hinweis: Der Verantwortliche trägt die Beweislast dafür, dass die betroffene Person wirksam eingewilligt hat (Art. 7 Abs. 1 DSGVO als Konkretisierung von Art. 5 Abs. 2 DSGVO). Verantwortliche müssen daher den Prozess der Einwilligungserteilung, den Text der Einwilligung sowie die zugehörige Datenschutzinformation gemäß Art. 13, 14 DSGVO dokumentieren. Zudem sollte zusätzlich geprüft werden, ob die Nutzer ihre Einwilligung verweigern können, ohne vom jeweiligen Dienst vollständig ausgeschlossen zu werden, und wie sich dies auf die Freiwilligkeit der Einwilligung auswirkt.
Wer sind Ihre Ansprechpartner?
Wenn Sie von uns im Datenschutz bereits beraten werden, wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:
- Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV), kremer@kremer-recht.de
- Julia Christmann-Thoma, LL.M., Rechtsanwältin,
julia-christmann-thoma@kremer-recht.de - Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV),
kamm@kremer-recht.de - Patrick Koetsier, LL.M., Rechtsanwalt,
koetsier@kremer-recht.de - Jana Lenzen, LL.M., Rechtsanwältin, Datenschutzbeauftragte (TÜV),
lenzen@kremer-recht.de - Michael Matejek, LLM., Wirtschaftsjurist,
matejek@kremer-recht.de - Malte Mennemann, Rechtsanwalt,
mennemann@kremer-recht.de - Judith Nink, Rechtsanwältin,
Judith.nink@kremer-recht.de - Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV), schneider@kremer-recht.de
Alle Ansprechpartner/innen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt) oder in der Kölner Stra0e 78, 41812 Erkelenz.
Wer sind KREMER RECHTSANWÄLTE?
KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät berät regelmäßig in auch internationalen Großprojekten, begleitet IT-, Datenschutz- sowie HR-Projekte und erstellt passende Standardvertragswerke für ihre Mandanten.
Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Jurist:innen sowie Referendar:innen und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 und 2021 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden, ebenso vom FOCUS 2021 als TOP Wirtschaftskanzlei Datenschutzrecht. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene, führende Kanzlei im IT- und Datenschutzrecht geführt.
[1] Die fünfte Vorlagefrage (Rz. 127-139 des Urteils) befasst sich mit der Berufung nichtöffentlicher Stellen wie Meta auf Art. 6 Abs. 1 Satz Buchst. d, Buchst. e DSGVO als Rechtsgrundlage einer Verarbeitung, insbesondere mit der Frage, ob auch nichtöffentliche Stellen sich auf die Wahrnehmung öffentlicher Aufgaben berufen dürfen. Diese Vorlagefrage hat für diese Mandanteninformation keine Relevanz, sodass wir nicht weiter auf sie eingehen.