Zum Inhalt springen Zur Navigation springen
EuGH: Kartellamt darf auch Datenschutz prüfen

EuGH: Kartellamt darf auch Datenschutz prüfen

Facebook wehrt sich aktuell gerichtlich gegen eine Untersagung des Bundeskartellamts, wonach bestimmte Allgemeine Nutzungsbedingungen nicht mehr genutzt und sogenannte Off-Facebook-Daten nicht mehr ohne Einwilligung verarbeitet werden dürfen. Das zuständige OLG Düsseldorf hatte dem EuGH mehrere Fragen zur Vorabentscheidung vorgelegt. Darf das Bundeskartellamt Datenschutzrecht prüfen und mittelbar Verstöße sanktionieren? Und auf welche Rechtsgrundlagen können sich soziale Netzwerke bei der Datenverarbeitung berufen? Viele Fragen, auf die ein ausführliches EuGH-Urteil (C-252/21) Antworten gibt.

Bundeskartellamt gegen Facebook – Was war passiert?

Das Bundeskartellamt verdächtigt Facebook, seine marktbeherrschende Stellung zu missbrauchen und hat bereits im Jahr 2016 ein Verfahren gegen Facebook eingeleitet. Im Jahr 2019 erließ das Bundeskartellamt einen Beschluss, wonach Facebook untersagt wurde, in seinen Allgemeinen Nutzungsbedingungen die Nutzung von der Verarbeitung ihrer Off-Facebook-Daten abhängig zu machen. Außerdem wurde Facebook verboten, die Off-Facebook-Daten ohne Einwilligung der Nutzer auf der Grundlage der damals geltenden Allgemeinen Nutzungsbedingungen zu verarbeiten.

Das Bundeskartellamt begründete seinen Beschluss damit, dass die in den Nutzungsbedingungen vorgesehene Verarbeitung der Daten der betroffenen Nutzer eine missbräuchliche Ausnutzung der beherrschenden Stellung von Facebook auf dem Markt für soziale Online-Netzwerke für private Nutzer darstellt. Insbesondere die Verarbeitung der Off-Facebook-Daten ist nach Auffassung des Bundeskartellamts nicht mit den der DSGVO zugrunde liegenden Werten in Einklang zu bringen.

Facebook legte gegen den Beschluss beim OLG Düsseldorf Beschwerde ein. Das OLG hatte – anders als zuvor der BGH – Zweifel, ob das Kartellamt überhaupt Datenschutzrecht prüfen darf. (Für die wettbewerbsrechtlichen Dimensionen empfehlen wir den Antitrust Blog des Instituts für Kartellrecht der Uni Düsseldorf, der dem Fall einen eigenen Menüpunkt widmet.) Überraschend legte das OLG dann aber auch eine Reihe von datenschutzrechtlichen Fragen dem EuGH zur Vorabentscheidung vor:

  • Darf das Bundeskartellamt prüfen, ob eine Verarbeitung personenbezogener Daten den Anforderungen der DSGVO entspricht?
  • Ist die Eingabe von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) und die Nutzung dieser Daten durch ein soziales Netzwerk eine Verarbeitung besonderer Kategorien personenbezogener Daten?
  • Kann die Verarbeitung personenbezogener Daten durch ein soziales Netzwerk auf Art. 6 Abs. 1 lit. b oder lit. f gestützt werden?
  • Wie wirkt es sich auf die Freiwilligkeit der Einwilligung aus, wenn das soziale Netzwerk eine beherrschende Stellung auf dem nationalen Markt hat?

Darf das Kartellamt Datenschutzrecht prüfen?

Zunächst stellte das OLG Düsseldorf die Frage, ob das Bundeskartellamt überhaupt datenschutzrechtliche Fragestellungen prüfen und über Verbote bestimmte Geschäftsbedingungen und Verarbeitungen sanktionieren darf. Schließlich handelt es sich beim Bundeskartellamt um eine Behörde, die das deutsche und europäische Wettbewerbsrecht vollzieht. An dem Vorgehen des Bundeskartellamts wurde daher durchaus auch aus der Datenschutzecke Kritik geübt. So wurde etwa argumentiert, dass andere Behördn neben der federführenden Datenschutzbehörde nach der DSGVO zur Ahndung datenschutzrechtlicher Verstöße nicht zuständig sind. Auch wurde angemerkt, dass die DSGVO ein eigenes Regelungsregime geschaffen hat, wie Verstöße gegen die DSGVO sanktioniert werden sollen. Wenn nationale Behörden ebenfalls datenschutzrechtliche Bestimmungen prüfen und Verstöße sanktionieren könnten, könnte dieses Regime – so die Befürchtung – umgangen werden.

Der EuGH sieht das jedoch anders. Die Wettbewerbsbehörde muss anhand aller Umstände des Einzelfalls überprüfen, ob das Verhalten des marktbeherrschenden Unternehmens den Wettbewerb durch Mittel behindert, die vom normalen Produkt- und Dienstleistungswettbewerb abweichen. Hierfür kann auch die Vereinbarkeit oder Unvereinbarkeit eines solchen Verhaltens mit der DSGVO ein wichtiges Indiz sein. Wenn eine Wettbewerbsbehörde die Vereinbarkeit und Unvereinbarkeit mit der DSGVO berücksichtigt, erfolgt dies ausschließlich, um den Missbrauch einer marktbeherrschenden Stellung festzustellen und um wettbewerbsrechtliche Maßnahmen zur Abstellung des Missbrauchs aufzuerlegen. Die Wettbewerbsbehörde tritt hierdurch nicht in unzulässiger Art und Weise an die Stelle Datenschutzaufsichtsbehörde. Von Befugnissen, die nach Art. 58 DSGVO der Aufsichtsbehörde vorbehalten sind, macht die Wettbewerbsbehörde keinen Gebrauch. Eine Sperrwirkung schafft die DSGVO daher nicht.

Allerdings sieht der EuGH auch das Risiko von Divergenzen, die bei der Prüfung der DSGVO durch Wettbewerbsbehörden und Datenschutzaufsichtsbehörden entstehen können. Die Wettbewerbsbehörden sind daher verpflichtet, sich bei datenschutzrechtlichen Prüfungen untereinander abzustimmen und loyal mit den Datenschutzbehörden zusammenzuarbeiten. Konkret folgt daraus, dass die Wettbewerbsbehörde prüfen muss, ob das in Rede stehende Verhalten bereits Gegenstand einer Entscheidung der Datenschutzbehörde oder des Gerichtshofs war. Ist das der Fall, darf sie von der datenschutzrechtlichen Bewertung nicht abweichen. Dabei gab es Lob für das Bundeskartellamt, denn das sei, soweit dem EuGH ersichtlich, seiner Pflicht zur loyalen Zusammenarbeit mit den betreffenden nationalen Datenschutzaufsichtsbehörden und der federführenden Aufsichtsbehörde nachgekommen.

Sensible Daten sind grundsätzlich tabu

Im Rahmen der zweiten Frage führt der EuGH aus, dass die Verarbeitung der in Art. 9 DSGVO genannten besonderen Kategorien personenbezogener Daten grundsätzlich untersagt ist. Hierbei handelt es sich u.a. um Daten, aus denen die ethnische Herkunft, politische Meinung, religiöse Überzeugung oder Gesundheitsdaten hervorgehen. Soziale Netzwerke haben daher die Pflicht zu prüfen, ob die erhobenen Daten (und dann meist zusammengeführten Datensätze) die Offenlegung von Informationen ermöglichen, die von Art. 9 Abs. 1 DSGVO erfasst sind. Dabei reicht ein sensibles Datum, dass bei der Erhebung nicht vom Rest des Datensatzes getrennt werden kann, dafür dass der komplette Datensatz dem Schutz von Art. 9 DSGVO unterfällt. Dies gilt unabhängig davon, ob der Verantwortliche mit dem Ziel handelt, derartige sensible Daten zu erhalten. Auf eine Auswertungsabsicht kommt es nicht an.

Der EuGH beschäftigt sich in diesem Zusammenhang auch mit Art. 9 Abs. 2 lit. e DSGVO. Danach gilt das Verbot des Art. 9 Abs. 1 DSGVO nicht, wenn die Verarbeitung sich auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat. Als Ausnahmevorschrift ist Art. 9 Abs. 2 DSGVO insgesamt eng auszulegen. Nutzer sozialer Netzwerke können allenfalls damit rechnen, dass der Betreiber der Website bzw. der App Zugang zu sensiblen Daten hat und sie bei Einwilligung des Nutzers bestimmten Dritten, vor allem anderen Nutzern des sozialen Netzwerks, zugänglich macht. Mit einer Zugänglichmachung an die breite Öffentlichkeit oder Werbetreibende rechnet der Nutzer nicht und muss damit auch nicht rechnen. Dies gilt umso mehr, wenn es sich bei den Daten um Off-Facebook-Daten handelt, also solche, die nicht durch unmittelbare Interaktion mit Facebook verarbeitet wurden.

Vorrang der Einwilligung?

Der EuGH prüft sodann, ob die Verarbeitung personenbezogener Daten im Allgemeinen auf Art. 6 Abs. 1 lit. b oder lit. f DSGVO gestützt werden kann. Hier wird zunächst konkret Rn. 93 des Urteils interessant:

In diesem Zusammenhang sind die in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO vorgesehenen Rechtfertigungsgründe eng auszulegen, da sie dazu führen können, dass eine Verarbeitung personenbezogener Daten trotz fehlender Einwilligung der betroffenen Person rechtmäßig ist (vgl. in diesem Sinne Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C‑175/20, EU:C:2022:124, Rn. 73 und die dort angeführte Rechtsprechung).

Die Formulierung, gerade die hervorgehobene Passage, könnte auf den ersten Blick auf einen Vorrang der Einwilligung gegenüber den anderen Rechtsgrundlagen nach Art. 6 Abs. 1 lit. b bis f DSGVO hindeuten. Der Kollege Peter Hense weist in diesem Zusammenhang aber darauf hin, dass es sich auch um eine unglückliche Formulierung handeln und vielmehr gemeint sein könnte, dass die Rechtfertigungsgründe des Art. 6 Abs. 1 lit. b bis f DSGVO nicht eng, sondern zweckgebunden auszulegen sind. Es wäre aber auch denkbar, dass sich dieser Absatz auf die vorherige Randnummer bezieht und daher nur bei einer gescheiterten Einwilligung greift.

Wie man sieht, gibt es hier, wie an viele weiteren Stellen, viel Einordnungs- und Interpretationsspielraum des Urteils durch Literatur, Aufsichtsbehörden oder Gerichte. Aus dem Wortlaut von Art. 6 Abs. 1 DSGVO lässt sich ein Vorrang der Einwilligung jedenfalls nicht herleiten.

Welche Rechtsgrundlage gilt bei Werbung in sozialen Netzwerken?

Nun aber zu Art. 6 Abs. 1 lit. b und lit. f DSGVO. Um eine Datenverarbeitung auf Art. 6 Abs. 1 lit. b DSGVO stützen zu können, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Vertragsleistung ist. Wird eine Verarbeitung im Vertrag erwähnt oder ist für die Erfüllung des Vertrags von Nutzen, ist das für sich genommen unerheblich. Denn für die Anwendung des Art. 6 Abs. 1 lit. b DSGVO ist entscheidend, dass der Hauptgegenstand des Vertrags ohne die Datenverarbeitung nicht erfüllt werden kann. Die Personalisierung ist für den Nutzer von Facebook zwar von Nutzen, weil ihm seinen Interessen entsprechende Inhalte angezeigt werden. Gleichwohl ist eine derartige Personalisierung für die Nutzung eines sozialen Netzwerks nicht erforderlich, da der Dienst gegebenenfalls  auch in Form einer gleichwertigen Alternative erbracht werden könne, die nicht mit einer solchen Personalisierung verbunden ist.

Hinsichtlich einer Datenverarbeitung aufgrund des Art. 6 Abs. 1 lit. f DSGVO stellte der EuGH fest, dass die Personalisierung der Werbung, mit dem Facebook finanziert wird, die Datenverarbeitung nicht rechtfertigen kann. Nach Erwägungsgrund 47 kann die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung zwar als eine einem berechtigten Interesse des Verantwortlichen dienende Verarbeitung betrachtet werden. Erwägungsgrund 47 betont aber auch, dass die Grundfreiheiten der Betroffenen dem Interesse des Verantwortlichen insbesondere dann überwiegen, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen der Betroffene vernünftigerweise nicht mit einer solchen Verarbeitung rechnet. Zudem sei bei der Frage nach einem möglichen überwiegenden Interesse der Betroffenen, ein ganz besonderes Augenmerk auf die Fälle zu richten, in denen Kinder betroffen sind (vgl. Erwägungsgrund 38).

So kommt der EuGH zu dem Schluss, dass Betroffene (anders als vielleicht häufig landläufig vermutet wird) auch bei unentgeltlichen Diensten eines sozialen Netzwerks wie Facebook nicht damit rechnen müssen, dass dessen Betreiber ihre personenbezogenen Daten ohne ihre Einwilligung zum Zweck der Personalisierung der Werbung verarbeitet.

Freiwilligkeit der Einwilligung bei marktbeherrschenden Unternehmen

Schließlich befasst sich der EuGH mit der Frage der Freiwilligkeit von Einwilligungen, wenn diese gegenüber sozialen Netzwerken mit beherrschender Stellung abgegeben werden. Dem EuGH zufolge führt allein der Umstand, dass der Verantwortliche eine beherrschende Stellung auf dem Markt hat, nicht zur Unfreiwilligkeit der Einwilligung. Andererseits kann gegenüber dem beherrschenden Unternehmen als Nutzer ein Machtgefälle bestehen, das bei der Prüfung der Einwilligung und insbesondere ihrer Freiwilligkeit zu berücksichtigen ist.

Allgemein gültig oder Sonderfall Facebook?

Einige Aussagen des EuGH sind in jedem Fall generalisierbar, wie etwa die datenschutzrechtliche Prüfkompetenz von Wettbewerbsbehörden. Bei der Interessenabwägung von Kindern ist ebenfalls in jedem Fall deren besondere Schutzbedürftigkeit zu beachten. Unternehmen könnten hier Altersnachweissysteme einführen und den Zugang auf Erwachsene beschränken, um die Interessenabwägung zugunsten des Verantwortlichen ausfallen zu lassen. Bei den im Rahmen der Interessenabwägung auch zu berücksichtigenden berechtigten Erwartungen stellt der EuGH dagegen ausdrücklich auf soziale Netzwerke ab. Hier kann man sich die Frage stellen, ob bei anderen Online-Diensten eher mit einer Personalisierung zu Werbezwecken gerechnet werden muss.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.