EuGH, Urteil vom 4.7.2023 – C-252/21
Meta Platforms Ireland betreibt in der Union das soziale Online-Netzwerk Facebook. Durch die Anmeldung bei Facebook stimmen die Nutzer den von diesem Unternehmen festgelegten Allgemeinen Nutzungsbedingungen und damit auch den Richtlinien für die Verwendung von Daten und Cookies zu. Nach diesen Richtlinien erfasst Meta Platforms Ireland Daten über Nutzeraktivitäten innerhalb und außerhalb des sozialen Netzwerks und ordnet sie den Facebook-Konten der betroffenen Nutzer zu. Bei den Daten, die Aktivitäten außerhalb des sozialen Netzwerks betreffen (auch „Off-Facebook-Daten“ genannt), handelt es sich zum einen um Daten über den Aufruf dritter Websites und Apps und zum anderen um Daten über die Nutzung anderer zum Meta-Konzern gehörender Online- Dienste (darunter Instagram und WhatsApp). Die dementsprechend erhobenen Daten ermöglichen es insbesondere, die an die Facebook-Nutzer gerichteten Werbenachrichten zu personalisieren.
Das deutsche Bundeskartellamt verbot es insbesondere, in den Allgemeinen Nutzungsbedingungen die Nutzung des sozialen Netzwerks Facebook durch in Deutschland wohnhafte private Nutzer von der Verarbeitung ihrer Off- Facebook-Daten abhängig zu machen und diese Daten ohne ihre Einwilligung zu verarbeiten. Es begründete seinen Beschluss damit, dass diese Verarbeitung, da sie nicht mit der Datenschutz-Grundverordnung (DSGVO)1 im Einklang stehe, eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms Ireland auf dem deutschen Markt für soziale Online-Netzwerke darstelle.
Das Oberlandesgericht Düsseldorf, bei dem eine Beschwerde gegen diesen Beschluss anhängig ist, fragt den Gerichtshof, ob die nationalen Wettbewerbsbehörden prüfen dürfen, ob eine Datenverarbeitung den Anforderungen der DSGVO entspricht. Außerdem fragt dieses Gericht, wie bestimmte Vorschriften der DSGVO auszulegen und auf eine Datenverarbeitung durch den Betreiber eines sozialen Online-Netzwerks anzuwenden sind.
In seinem am 4.7.2023 verkündeten Urteil führt der Gerichtshof aus, dass es sich für die Wettbewerbsbehörde des betreffenden Mitgliedstaats im Rahmen der Prüfung, ob ein Unternehmen eine beherrschende Stellung missbraucht, als notwendig erweisen kann, auch zu prüfen, ob das Verhalten dieses Unternehmens mit anderen als den wettbewerbsrechtlichen Vorschriften, etwa mit den Vorschriften der DSGVO, vereinbar ist. Wenn die nationale Wettbewerbsbehörde einen Verstoß gegen die DSGVO feststellt, tritt sie allerdings nicht an die Stelle der durch diese Verordnung eingerichteten Aufsichtsbehörden. Die Prüfung, ob die DSGVO eingehalten wird, erfolgt nämlich ausschließlich, um den Missbrauch einer beherrschenden Stellung festzustellen und gemäß den wettbewerbsrechtlichen Vorschriften Maßnahmen zur Abstellung dieses Missbrauchs aufzuerlegen.
Um eine kohärente Anwendung der DSGVO zu gewährleisten, sind die nationalen Wettbewerbsbehörden verpflichtet, sich abzustimmen und loyal mit den Behörden, die die Einhaltung dieser Verordnung überwachen, zusammenzuarbeiten. Hält es eine nationale Wettbewerbsbehörde für erforderlich, die Vereinbarkeit des Verhaltens eines Unternehmens mit der DSGVO zu prüfen, so muss sie insbesondere ermitteln, ob dieses oder ein ähnliches Verhalten bereits Gegenstand einer Entscheidung durch die zuständige Aufsichtsbehörde oder auch durch den Gerichtshof war. Ist dies der Fall, darf sie davon nicht abweichen, wobei es ihr aber freisteht, daraus eigene Schlussfolgerungen unter dem Gesichtspunkt der Anwendung des Wettbewerbsrechts zu ziehen.
Darüber hinaus weist der Gerichtshof darauf hin, dass die von Meta Platforms Ireland vorgenommene Datenverarbeitung offenbar auch besondere Kategorien von Daten betrifft, die u. a. die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder die sexuelle Orientierung offenbaren können und deren Verarbeitung nach der DSGVO grundsätzlich untersagt ist. Das nationale Gericht wird daher zu prüfen haben, ob bestimmte der erhobenen Daten tatsächlich die Offenlegung solcher Informationen ermöglichen, unabhängig davon, ob diese Informationen einen Nutzer des sozialen Netzwerks oder eine andere natürliche Person betreffen.
Was die Frage betrifft, ob die Verarbeitung solcher sogenannten „sensiblen Daten“ ausnahmsweise zulässig ist, weil die betroffene Person diese Daten offensichtlich öffentlich gemacht hat, stellt der Gerichtshof klar, dass die bloße Tatsache, dass ein Nutzer Websites oder Apps aufruft, die solche Informationen offenbaren können, keineswegs bedeutet, dass er seine Daten im Sinne der DSGVO offensichtlich öffentlich macht. Ebenso verhält es sich, wenn ein Nutzer Daten auf solchen Websites oder in solchen Apps eingibt oder darin eingebundene Schaltflächen betätigt, es sei denn, er hat zuvor explizit seine Entscheidung zum Ausdruck gebracht, die ihn betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen.
In Bezug auf die von Meta Platforms Ireland vorgenommene Verarbeitung in einem allgemeineren Sinne (einschließlich der Verarbeitung „nicht sensibler“ Daten) prüft der Gerichtshof sodann, ob diese unter die in der DSGVO genannten Rechtfertigungsgründe fällt, nach denen eine Datenverarbeitung rechtmäßig sein kann, ohne dass die betroffene Person ihre Einwilligung erteilt hat. Insoweit stellt der Gerichtshof fest, dass die Erforderlichkeit, den mit dieser Person geschlossenen Vertrag zu erfüllen, die streitige Praxis nur dann rechtfertigt, wenn die Datenverarbeitung insofern objektiv unerlässlich ist, als der Hauptgegenstand des Vertrags ohne sie nicht erfüllt werden könnte. Vorbehaltlich einer Überprüfung durch das nationale Gericht äußert der Gerichtshof Zweifel daran, dass die Personalisierung der Inhalte oder die durchgängige und nahtlose Nutzung der Dienste des Meta-Konzerns diese Kriterien erfüllen können. Zudem befindet der Gerichtshof, dass die Personalisierung der Werbung, mit der das soziale Netzwerk Facebook finanziert wird, nicht als berechtigtes Interesse von Meta Platforms Ireland die fragliche Datenverarbeitung rechtfertigen kann, sofern keine Einwilligung der betroffenen Person vorliegt.
Abschließend stellt der Gerichtshof fest, dass der Umstand, dass der Betreiber eines sozialen Online-Netzwerks als für die Verarbeitung Verantwortlicher eine beherrschende Stellung auf dem Markt für soziale Netzwerke einnimmt, für sich genommen nicht ausschließt, dass die Nutzer dieses Netzwerks im Sinne der DSGVO wirksam in die Verarbeitung ihrer Daten durch diesen Betreiber einwilligen können. Da eine solche Stellung aber geeignet ist, die Wahlfreiheit der Nutzer zu beeinträchtigen und ein klares Ungleichgewicht zwischen den Nutzern und dem Verantwortlichen zu schaffen, ist sie ein wichtiger Aspekt für die Prüfung, ob die Einwilligung tatsächlich wirksam, insbesondere freiwillig, erteilt wurde, wofür der betreffende Betreiber die Beweislast trägt.
(PM EuGH Nr. 113/23 vom 4.7.2023)