EuGH
Urteil vom 04.07.2023
C-252/21
Meta Platforms Inc., vormals Facebook Inc., Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd, Facebook Deutschland GmbH
gegen
Bundeskartellamt,
Beteiligte:
Verbraucherzentrale Bundesverband e. V.,
(Allgemeine Nutzungsbedingungen eines sozialen Netzwerks)
Der EuGH hat entschieden, dass das Bundeskartellamt im Rahmen eines Missbrauchsverfahrens auch DSGVO-Verstöße feststellen darf, wobei das Bundeskartellamt etwaige Entscheidungen und Feststellungen der zuständigen Datenschutzbehörde berücksichtigen muss.
Die Pressemitteilung des EuGH:
Eine nationale Wettbewerbsbehörde kann im Rahmen der Prüfung, ob eine beherrschende Stellung missbraucht wird, einen Verstoß gegen die DSGVO feststellen
Aufgrund ihrer Bindung an den Grundsatz der loyalen Zusammenarbeit muss sie jedoch eine etwaige Entscheidung oder Untersuchung seitens der nach der DSGVO zuständigen Aufsichtsbehörde berücksichtigen.
Meta Platforms Ireland betreibt in der Union das soziale Online-Netzwerk Facebook. Durch die Anmeldung bei Facebook stimmen die Nutzer den von diesem Unternehmen festgelegten Allgemeinen Nutzungsbedingungen und damit auch den Richtlinien für die Verwendung von Daten und Cookies zu. Nach diesen Richtlinien erfasst Meta Platforms Ireland Daten über Nutzeraktivitäten innerhalb und außerhalb des sozialen Netzwerks und ordnet sie den Facebook-Konten der betroffenen Nutzer zu. Bei den Daten, die Aktivitäten außerhalb des sozialen Netzwerks betreffen (auch „Off-Facebook-Daten“ genannt), handelt es sich zum einen um Daten über den Aufruf dritter Websites und Apps und zum anderen um Daten über die Nutzung anderer zum Meta-Konzern gehörender OnlineDienste (darunter Instagram und WhatsApp). Die dementsprechend erhobenen Daten ermöglichen es insbesondere, die an die Facebook-Nutzer gerichteten Werbenachrichten zu personalisieren.
Das deutsche Bundeskartellamt verbot es insbesondere, in den Allgemeinen Nutzungsbedingungen die Nutzung des sozialen Netzwerks Facebook durch in Deutschland wohnhafte private Nutzer von der Verarbeitung ihrer OffFacebook-Daten abhängig zu machen und diese Daten ohne ihre Einwilligung zu verarbeiten. Es begründete seinen Beschluss damit, dass diese Verarbeitung, da sie nicht mit der Datenschutz-Grundverordnung (DSGVO)1 im Einklang stehe, eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms Ireland auf dem deutschen Markt für soziale Online-Netzwerke darstelle.
Das Oberlandesgericht Düsseldorf, bei dem eine Beschwerde gegen diesen Beschluss anhängig ist, fragt den Gerichtshof, ob die nationalen Wettbewerbsbehörden prüfen dürfen, ob eine Datenverarbeitung den Anforderungen der DSGVO entspricht. Außerdem fragt dieses Gericht, wie bestimmte Vorschriften der DSGVO auszulegen und auf eine Datenverarbeitung durch den Betreiber eines sozialen Online-Netzwerks anzuwenden sind.
In seinem heute verkündeten Urteil führt der Gerichtshof aus, dass es sich für die Wettbewerbsbehörde des betreffenden Mitgliedstaats im Rahmen der Prüfung, ob ein Unternehmen eine beherrschende Stellung missbraucht, als notwendig erweisen kann, auch zu prüfen, ob das Verhalten dieses Unternehmens mit anderen als den wettbewerbsrechtlichen Vorschriften, etwa mit den Vorschriften der DSGVO, vereinbar ist. Wenn die nationale Wettbewerbsbehörde einen Verstoß gegen die DSGVO feststellt, tritt sie allerdings nicht an die Stelle der durch diese Verordnung eingerichteten Aufsichtsbehörden. Die Prüfung, ob die DSGVO eingehalten wird, erfolgt nämlich ausschließlich, um den Missbrauch einer beherrschenden Stellung festzustellen und gemäß den wettbewerbsrechtlichen Vorschriften Maßnahmen zur Abstellung dieses Missbrauchs aufzuerlegen.
Um eine kohärente Anwendung der DSGVO zu gewährleisten, sind die nationalen Wettbewerbsbehörden verpflichtet, sich abzustimmen und loyal mit den Behörden, die die Einhaltung dieser Verordnung überwachen, zusammenzuarbeiten. Hält es eine nationale Wettbewerbsbehörde für erforderlich, die Vereinbarkeit des Verhaltens eines Unternehmens mit der DSGVO zu prüfen, so muss sie insbesondere ermitteln, ob dieses oder ein ähnliches Verhalten bereits Gegenstand einer Entscheidung durch die zuständige Aufsichtsbehörde oder auch durch den Gerichtshof war. Ist dies der Fall, darf sie davon nicht abweichen, wobei es ihr aber freisteht, daraus eigene Schlussfolgerungen unter dem Gesichtspunkt der Anwendung des Wettbewerbsrechts zu ziehen.
Darüber hinaus weist der Gerichtshof darauf hin, dass die von Meta Platforms Ireland vorgenommene Datenverarbeitung offenbar auch besondere Kategorien von Daten betrifft, die u. a. die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder die sexuelle Orientierung offenbaren können und deren Verarbeitung nach der DSGVO grundsätzlich untersagt ist. Das nationale Gericht wird daher zu prüfen haben, ob bestimmte der erhobenen Daten tatsächlich die Offenlegung solcher Informationen ermöglichen, unabhängig davon, ob diese Informationen einen Nutzer des sozialen Netzwerks oder eine andere natürliche Person betreffen.
Was die Frage betrifft, ob die Verarbeitung solcher sogenannten „sensiblen Daten“ ausnahmsweise zulässig ist, weil die betroffene Person diese Daten offensichtlich öffentlich gemacht hat, stellt der Gerichtshof klar, dass die bloße Tatsache, dass ein Nutzer Websites oder Apps aufruft, die solche Informationen offenbaren können, keineswegs bedeutet, dass er seine Daten im Sinne der DSGVO offensichtlich öffentlich macht. Ebenso verhält es sich, wenn ein Nutzer Daten auf solchen Websites oder in solchen Apps eingibt oder darin eingebundene Schaltflächen betätigt, es sei denn, er hat zuvor explizit seine Entscheidung zum Ausdruck gebracht, die ihn betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen.
In Bezug auf die von Meta Platforms Ireland vorgenommene Verarbeitung in einem allgemeineren Sinne (einschließlich der Verarbeitung „nicht sensibler“ Daten) prüft der Gerichtshof sodann, ob diese unter die in der DSGVO genannten Rechtfertigungsgründe fällt, nach denen eine Datenverarbeitung rechtmäßig sein kann, ohne dass die betroffene Person ihre Einwilligung erteilt hat. Insoweit stellt der Gerichtshof fest, dass die Erforderlichkeit, den mit dieser Person geschlossenen Vertrag zu erfüllen, die streitige Praxis nur dann rechtfertigt, wenn die Datenverarbeitung insofern objektiv unerlässlich ist, als der Hauptgegenstand des Vertrags ohne sie nicht erfüllt werden könnte. Vorbehaltlich einer Überprüfung durch das nationale Gericht äußert der Gerichtshof Zweifel daran, dass die Personalisierung der Inhalte oder die durchgängige und nahtlose Nutzung der Dienste des Meta-Konzerns diese Kriterien erfüllen können. Zudem befindet der Gerichtshof, dass die Personalisierung der Werbung, mit der das soziale Netzwerk Facebook finanziert wird, nicht als berechtigtes Interesse von Meta Platforms Ireland die fragliche Datenverarbeitung rechtfertigen kann, sofern keine Einwilligung der betroffenen Person vorliegt.
Abschließend stellt der Gerichtshof fest, dass der Umstand, dass der Betreiber eines sozialen Online-Netzwerks als für die Verarbeitung Verantwortlicher eine beherrschende Stellung auf dem Markt für soziale Netzwerke einnimmt, für sich genommen nicht ausschließt, dass die Nutzer dieses Netzwerks im Sinne der DSGVO wirksam in die Verarbeitung ihrer Daten durch diesen Betreiber einwilligen können. Da eine solche Stellung aber geeignet ist, die Wahlfreiheit der Nutzer zu beeinträchtigen und ein klares Ungleichgewicht zwischen den Nutzern und dem Verantwortlichen zu schaffen, ist sie ein wichtiger Aspekt für die Prüfung, ob die Einwilligung tatsächlich wirksam, insbesondere freiwillig, erteilt wurde, wofür der betreffende Betreiber die Beweislast trägt.
Tenor der Entscheidung:
1. Die Art.
51 ff. der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sowie Art.
4 Abs. 3 EUV
sind dahin auszulegen, dass
eine mitgliedstaatliche Wettbewerbsbehörde im Rahmen der Prüfung, ob ein Missbrauch einer beherrschenden Stellung durch ein Unternehmen im Sinne von Art.
102 AEUV vorliegt, vorbehaltlich der Erfüllung ihrer Pflicht zur loyalen Zusammenarbeit mit den Aufsichtsbehörden feststellen kann, dass die Allgemeinen Nutzungsbedingungen dieses Unternehmens, soweit sie sich auf die Verarbeitung personenbezogener Daten beziehen, und die Durchführung dieser Nutzungsbedingungen nicht mit der Verordnung 2016/679 vereinbar sind, wenn diese Feststellung erforderlich ist, um das Vorliegen eines solchen Missbrauchs zu belegen.
Angesichts dieser Pflicht zur loyalen Zusammenarbeit darf die nationale Wettbewerbsbehörde von einer Entscheidung der zuständigen nationalen Aufsichtsbehörde oder der zuständigen federführenden Aufsichtsbehörde in Bezug auf diese Allgemeinen Nutzungsbedingungen oder ähnliche allgemeine Bedingungen nicht abweichen. Wenn sie Zweifel hinsichtlich der Tragweite einer solchen Entscheidung hat, wenn die fraglichen Bedingungen oder ähnliche Bedingungen gleichzeitig Gegenstand einer Prüfung durch diese Behörden sind oder wenn sie bei Nichtvorliegen einer Untersuchung oder Entscheidung dieser Behörden der Auffassung ist, dass die fraglichen Bedingungen nicht mit der Verordnung 2016/679 vereinbar sind, muss die Wettbewerbsbehörde diese Aufsichtsbehörden konsultieren und um deren Mitarbeit bitten, um ihre Zweifel auszuräumen oder zu klären, ob sie eine Entscheidung der Aufsichtsbehörden abwarten muss, bevor sie mit ihrer eigenen Beurteilung beginnt. Wird von den Aufsichtsbehörden innerhalb einer angemessenen Frist kein Einwand erhoben oder keine Antwort erteilt, so kann die nationale Wettbewerbsbehörde ihre eigene Untersuchung fortsetzen.
2. Art.
9 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
in dem Fall, dass ein Nutzer eines sozialen Online-Netzwerks Websites oder Apps mit Bezug zu einer oder mehreren der in dieser Bestimmung genannten Kategorien aufruft und dort gegebenenfalls Daten eingibt, indem er sich registriert oder Online-Bestellungen aufgibt, die Verarbeitung personenbezogener Daten durch den Betreiber dieses sozialen Online-Netzwerks, die darin besteht, dass dieser Betreiber die aus dem Aufruf dieser Websites und Apps stammenden Daten sowie die vom Nutzer eingegebenen Daten über integrierte Schnittstellen, Cookies oder ähnliche Speichertechnologien erhebt, die Gesamtheit dieser Daten mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und diese Daten verwendet, als eine „Verarbeitung besonderer Kategorien personenbezogener Daten“ im Sinne dieser Bestimmung anzusehen ist, die vorbehaltlich der in Art.
9 Abs. 2 der Verordnung 2016/679 vorgesehenen Ausnahmen grundsätzlich untersagt ist, wenn diese Datenverarbeitung die Offenlegung von Informationen ermöglicht, die in eine dieser Kategorien fallen, unabhängig davon, ob diese Informationen einen Nutzer dieses Netzwerks oder eine andere natürliche Person betreffen.
3. Art.
9 Abs. 2 Buchst. e der Verordnung 2016/679
ist dahin auszulegen, dass
ein Nutzer eines sozialen Online-Netzwerks, wenn er Websites oder Apps mit Bezug zu einer oder mehreren der in Art. 9 Abs. 1 dieser Verordnung genannten Kategorien aufruft, die diesen Aufruf betreffenden Daten, die der Betreiber dieses sozialen Online-Netzwerks über Cookies oder ähnliche Speichertechnologien erhebt, nicht im Sinne der erstgenannten Bestimmung offensichtlich öffentlich macht.
Gibt ein solcher Nutzer Daten auf solchen Websites oder in solchen Apps ein oder betätigt er darin eingebundene Schaltflächen – wie etwa „Gefällt mir“ oder „Teilen“ oder Schaltflächen, die es dem Nutzer ermöglichen, sich auf diesen Websites oder in diesen Apps unter Verwendung der Anmeldedaten, die mit seinem Konto als Nutzer des sozialen Netzwerks, seiner Telefonnummer oder seiner E‑Mail-Adresse verknüpft sind, zu identifizieren –, so macht er die eingegebenen oder sich aus der Betätigung dieser Schaltflächen ergebenden Daten nur dann im Sinne von Art.
9 Abs. 2 Buchst. e der Verordnung 2016/679 offensichtlich öffentlich, wenn er zuvor, gegebenenfalls durch in voller Kenntnis der Sachlage vorgenommene individuelle Einstellungen, explizit seine Entscheidung zum Ausdruck gebracht hat, die ihn betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen.
4. Art.
6 Abs. 1 Unterabs. 1 Buchst. b der Verordnung 2016/679
ist dahin auszulegen, dass
die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nur dann als im Sinne dieser Vorschrift für die Erfüllung eines Vertrags, dessen Vertragsparteien die betroffenen Personen sind, erforderlich angesehen werden kann, wenn diese Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für diese Nutzer bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden könnte.
5. Art.
6 Abs. 1 Unterabs. 1 Buchst. f der Verordnung 2016/679
ist dahin auszulegen, dass
die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich im Sinne dieser Vorschrift angesehen werden kann, wenn der fragliche Betreiber den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses absolut notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten dieser Nutzer gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
6. Art.
6 Abs. 1 Unterabs. 1 Buchst. c der Verordnung 2016/679
ist dahin auszulegen, dass
die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nach dieser Vorschrift gerechtfertigt ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche gemäß einer Vorschrift des Unionsrechts oder des Rechts des betreffenden Mitgliedstaats unterliegt, tatsächlich erforderlich ist, diese Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgt und in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel steht und diese Verarbeitung in den Grenzen des absolut Notwendigen erfolgt.
7. Art.
6 Abs. 1 Unterabs. 1 Buchst. d und e der Verordnung 2016/679
ist dahin auszulegen, dass
die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, grundsätzlich – vorbehaltlich einer Überprüfung durch das vorlegende Gericht – nicht als im Sinne von Buchst. d erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder als im Sinne von Buchst. e für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, angesehen werden kann.
8. Art. 6 Abs. 1 Unterabs. 1 Buchst. a und Art.
9 Abs. 2 Buchst. a der Verordnung 2016/679
sind dahin auszulegen, dass
der Umstand, dass der Betreiber eines sozialen Online-Netzwerks eine beherrschende Stellung auf dem Markt für soziale Online-Netzwerke einnimmt, für sich genommen nicht ausschließt, dass die Nutzer eines solchen Netzwerks im Sinne von Art. 4 Nr. 11 dieser Verordnung wirksam in die Verarbeitung ihrer personenbezogenen Daten durch diesen Betreiber einwilligen können. Gleichwohl ist dieser Umstand ein wichtiger Aspekt für die Prüfung, ob die Einwilligung tatsächlich wirksam, insbesondere freiwillig, erteilt wurde, wofür der betreffende Betreiber die Beweislast trägt.
Den Volltext der Entscheidung finden Sie
hier:
