EuGH (Große Kammer), Urt. 4.7.2023 - C-252/21

DSGVO-Kompetenz des BKartA für Off-Facebook-Daten bei Marktbeherrschung

Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 08/2023
Eine mitgliedstaatliche Wettbewerbsbehörde kann bei der Prüfung des Missbrauchs einer beherrschenden Stellung i.S.v. Art. 102 AEUV vorbehaltlich loyaler Zusammenarbeit mit den Datenschutzbehörden feststellen, dass Nutzungsbedingungen eines Unternehmens nicht mit der DSGVO vereinbar sind.

EUV Art. 4 Abs. 3; VO (EU) 2016/679 Artt. 4 Nr. 11, 6 Abs. 1 Unterabs. 1 lit. a bis f, 9 Abs. 1 und 2; GWB §§ 19 Abs. 1, 32 Abs. 1

Das Problem

Facebook stellt seinen Werbekunden für zielgerichtete Werbung auch außerhalb des sozialen Netzwerks erhobene nutzer- und gerätebezogene Daten zu Nutzeraktivitäten (Off-Facebook-Daten) zur Verfügung, die etwa zu Konsumverhalten, Interessen, Kaufkraft und Lebenssituation detaillierte Rückschlüsse erlauben. Diese Daten werden über konzerneigene Dienste (insb. WhatsApp, Instagram und Oculus) oder fremde Webseiten oder Apps über Social Plugins („Gefällt mir“ oder „Teilen“) bzw. „Facebook Login“ erhoben. Wegen Konditionenmissbrauchs nach der Generalklausel des § 19 Abs. 1 GWB im beherrschten Markt sozialer Netzwerke wurde 2019 mit 14-monatiger Umsetzungsfrist dem jetzigen Meta Konzern gem. § 32 GWB u.a. untersagt, die Daten mit Konten privater Nutzer aus Deutschland ohne deren Einwilligung zu verknüpfen (BKartA v. 6.2.2019 – B6-22/16, Rz. 1–967, ITRB 2019, 112 [Kartheuser]).

Die Entscheidung des Gerichts

Datenschutzkompetenz des BKartA: Die nationalen Wettbewerbsbehörden seien nach Art. 5 VO (EG) Nr. 1/2003 u.a. für die Feststellung eines Marktmachtmissbrauchs i.S.v. Art. 102 AEUV auch unter Berücksichtigung der Folgen für Verbraucher zuständig. Ein DSGVO-Verstoß könne ein wichtiges Indiz für eine Wettbewerbsbehinderung sein. Der Zugang zu Nutzerprofilen sei für die digitale Wirtschaft von erheblicher kommerzieller Bedeutung. Daher würde der Ausschluss von Datenschutzvorschriften bei der Missbrauchsprüfung die Wirksamkeit des Wettbewerbsrechts in der EU gefährden (Ls. 1; Rz. 46 ff., 50 f., 62).

Grundsatz loyaler Zusammenarbeit: Wegen Art. 4 Abs. 3 EUV seien die Wettbewerbsbehörden verpflichtet, treu mit den Datenschutzbehörden zusammenzuarbeiten (vgl. zur federführenden Behörde bei grenzüberschreitender Verarbeitung Art. 56 Abs. 1 DSGVO), um Auslegungsdivergenzen zu vermeiden. Bei der Prüfung des Unternehmensverhaltens anhand der DSGVO dürfe die Wettbewerbsbehörde ggf. von einer Entscheidung einer Datenschutzbehörde oder des EuGH über ein derartiges Verhalten nicht abweichen, könne daraus aber eigene Schlüsse für das Wettbewerbsrecht ziehen (Ls. 1 Abs. 2; Rz. 52–56, 63).

Voraussetzungen eigener Untersuchung: Bei Zweifeln an Entscheidungstragweite, zeitgleicher Prüfung oder Annahme einer DSGVO-Verletzung müsse die Datenschutzbehörde um Auskunft bzw. Zusammenarbeit gebeten werden, um Zweifel auszuräumen oder das Abwarten einer Entscheidung der Datenschutzbehörden zu klären. Bleibe in angemessener Frist eine Antwort ggf. auch zur Ingangsetzung der Artt. 60 ff. DSGVO aus oder würden keine Einwände erhoben, könne die Wettbewerbsbehörde die eigene Untersuchung fortsetzen. Dies sei wohl der Fall gewesen, als BfDI, der für Facebook Deutschland zuständige HmbBfDI sowie DPC aus Irland Ende 2018 informiert worden seien, keine vergleichbaren eigenen Ermittlungen durchgeführt und ausdrücklich keine Einwände erhoben hätten (Ls. 1 Abs. 2; Rz. 57–63).

Besonders sensible Daten: Wenn die Dateneingabe in Websites bzw. Apps oder deren bloßer Aufruf mit Informationen i.S.v. Art. 9 Abs. 1 DSGVO verbunden sei, fielen Erhebung, Kontoverknüpfung und Verwendung der Daten unter dessen ausnahmefähiges Verarbeitungsverbot (Erwgrd. 51 DSGVO), wenn die Datenverarbeitung die Offenlegung dieser Informationen des Nutzers oder anderer Betroffener ermögliche. Dies gelte auch unabhängig von der Richtigkeit der Information, Absicht der Informationserlangung und Verarbeitungszweck (Ls. 2; Rz. 66–73).

Veröffentlichung: Wegen enger Auslegung des Art. 9 Abs. 2 lit. e DSGVO müsse der Betroffene seine Daten durch eindeutig bestätigende Handlung der Öffentlichkeit zugänglich gemacht haben. Dies treffe beim bloßen Aufruf von Websites oder Apps nicht zu. Eine offensichtliche Veröffentlichung von eingegebenen Daten oder Betätigung von Schaltflächen setze voraus, dass informiert und durch individuelle Nutzereinstellungen klar die Entscheidung einer Veröffentlichung zum Ausdruck gebracht werde. Ansonsten komme eine Veröffentlichung nur in Betracht, wenn aufgrund vorheriger expliziter Information ausdrücklich in die Zugänglichmachung für andere Nutzer eingewilligt worden sei (Ls. 3; Rz. 75–85).

Erforderlichkeit zur Vertragserfüllung: Erhebung, Kontoverknüpfung und Verwendung der Off-Facebook-Daten seien nur dann i.S.d. Art. 6 Abs. 1 Unterabs. 1 lit. b DSGVO gerechtfertigt, wenn diese Verarbeitung für einen für die Vertragsleistung notwendigen Zweck objektiv unerlässlich sei. Vertragliche Erwähnung oder bloßer Nutzen seien unerheblich. Die Verarbeitung müsse wesentlich für den Vertrag sein und es dürften keine praktikablen milderen Alternativen bestehen. Bei unabhängig erbringbaren Dienstleistungen müsse jede einzeln gerechtfertigt sein (Ls. 4; Rz. 98 ff., 125).

Unnötige Personalisierung und nahtlose Nutzung: Personalisierung sei für den Nutzer zwar insofern von Nutzen, als sie u.a. die Anzeige seinen Interessen entsprechender Inhalte ermögliche, aber für das Angebot der Netzwerkdienste wohl nicht erforderlich. Die verschiedenen Dienste des Meta-Konzerns könnten auf unterschiedlicher Vertragsbasis unabhängig voneinander genutzt werden, so dass eine dienstübergreifende Verarbeitung wohl nicht notwendig sei (Rz. 102 ff.).

Berechtigte Interessen: Die Verarbeitung könne nur dann nach Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO gerechtfertigt sein, wenn den Nutzern das berechtigte Interesse nach Art. 13 Abs. 1 lit. d DSGVO mitgeteilt worden sei, die Verarbeitung dafür absolut notwendig sei und kein entgegenstehendes überwiegendes Nutzerinteresse bestehe (Ls. 5; Rz. 106, 126; EuGH v. 17.6.2021 – C-597/19 – M.I.C.M. Rz. 106, CR 2021, 550 = ITRB 2021, 200 [Rössel]).

Interessenabwägung: Für die Erforderlichkeit dürften keine weniger einschneidende Mittel insb. in Artt. 7, 8 GRC in Betracht kommen. Zusätzlich sei der Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO zu prüfen (vgl. EuGH v. 11.12.2019 – C-708/18 – Asociația de Proprietari Rz. 48, CR 2020, 94 = ITRB 2020, 79 [Vogt]). I.R.d. spezifischen Grundrechtsabwägung verdienten (weniger einsichtsfähige) Kinder, insb. bei Werbezwecken, Persönlichkeitsprofilen oder auf sie bezogenen Diensten, und nicht mit einer Verarbeitung rechnende Betroffene besonderen Schutz (Rz. 107–112; Erwgrd. 38, 47 DSGVO).

Forschung und Minderjährigkeit: Mangels Information sei nicht zu prüfen, ob Innovation für soziale Zwecke oder Minderjährigkeit des Nutzers berechtigte Interessen begründen könnten (Rz. 114).

Direktwerbung: Nach Erwgrd. 47 DSGVO könne Datenverarbeitung für Direktwerbung ein berechtigtes Interesse sein. Bei der Interessenabwägung seien insb. Betroffenenerwartungen, Verarbeitungsumfang und -auswirkungen zu berücksichtigen. Auch bei unentgeltlichen Diensten könne nicht mit der einwilligungslosen Datenverarbeitung für personalisierte Werbung gerechnet werden. Datenverarbeitung von Nutzeraktivitäten könne das Gefühl kontinuierlicher Überwachung auslösen (Rz. 115–118).

Netzsicherheit: Die Gewährleistung der Sicherheit könne i.S.v. Erwgrd. 49 DSGVO ein berechtigtes Interesse sein. Zweifelhaft sei, ob und inwieweit hierfür die Verarbeitung von Off-Facebook-Daten erforderlich sei. Mildere Mittel und Datenminimierung seien zu prüfen (Rz. 119 ff.; vgl. Rz. 108 f.).

Fragliches Verbesserungsinteresse: Es erscheine angesichts von Verarbeitungsumfang, -auswirkungen und Nutzererwartungen zweifelhaft, ob das Interesse an Produktverbesserungen gegenüber Nutzerinteressen, insb. von Kindern, überwiege (Rz. 122 f.).

Unzureichendes Strafverfolgungsinteresse: Die Information von Strafverfolgungsbehörden habe mit der kommerziellen Tätigkeit eines privaten Wirtschaftsteilnehmers nichts zu tun, sofern keine rechtliche Verpflichtung bestehe (Rz. 124).

Rechtspflicht: Die Verarbeitung von Off-Daten sei nach Art. 6 Abs. 1 Unterabs. 1 lit. c DSGVO gerechtfertigt, wenn sie wegen nationaler oder unionsrechtlicher Verpflichtung tatsächlich erforderlich sei, die Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolge und verhältnismäßig i.e.S. sei (vgl. Art. 6 Abs. 3 DSGVO) sowie die Verarbeitung absolut notwendig sei. Es komme also auf die Verpflichtung an, personenbezogene Daten präventiv zu erheben, um jegliche Behördenanfrage beantworten zu können (LS 6; Rz. 128, 132, 138).

Keine öffentliche Aufgabe: Angesichts der Art und des wirtschaftlichen Charakters der Tätigkeit des privaten Wirtschaftsteilnehmers erscheine wenig wahrscheinlich, dass ihm eine im öffentlichen Interesse liegende oder in Ausübung öffentlicher Gewalt erfolgte Aufgabe i.S.v. Art. 6 Abs. 1 Unterabs. 1 lit. e DSGVO, etwa bzgl. der Forschung zum Wohle der Gesellschaft oder die Förderung von Sicherheit, übertragen worden sei. Außerdem sei angesichts Umfangs und erheblicher Auswirkungen der Datenverarbeitung die Beachtung des unbedingt Notwendigen zweifelhaft (LS 7; Rz. 133 f., 139).

Lebenswichtige Interessen: Aus den Beispielen der humanitären Zwecke und Notfälle (Katastrophenbekämpfung) in Erwgrd. 46 DSGVO und aus der engen Auslegung folge, dass der im Wesentlichen wirtschaftlich tätige Netzwerkbetreiber wegen der Art seiner Dienste nicht abstrakt und präventiv den Schutz lebenswichtiger Interessen einer Person i.S.v. Art. 6 Abs. 1 Unterabs. 1 lit. d DSGVO geltend machen könne (LS 7; Rz. 136 f., 139).

Marktbeherrschung: Die Marktbeherrschung von Facebook schließe Einwilligungen gem. Artt. 4 Nr. 11, 6 Abs. 1 Unterabs. 1 lit. a, 9 Abs. 2 lit. a DSGVO nicht aus, könne aber zu fehlender Wahlfreiheit führen, wenn nicht ohne Nachteile verweigert oder widerrufen werden könne (Erwgrd. 42 DSGVO). Durch ein klares Ungleichgewicht i.S.v. Erwgrd. 43 DSGVO könne die Durchsetzung von für die Vertragsdurchführung nicht notwendigen Bedingungen i.S.v. Art. 7 Abs. 4 DSGVO erleichtert werden (LS 8; Rz. 141–149).

Keine Einwilligung bzgl. Off-Facebook-Daten: Mangels Erforderlichkeit für die Vertragsdurchführung (vgl. Rz. 102 ff.) müsse die Einwilligung verweigert werden dürfen, ohne auf die ggf. angemessen entgeltpflichtige Dienstenutzung vollständig verzichten zu müssen. Wegen des sich erheblich auswirkenden Verarbeitungsumfangs und der überraschenden Verwendung i.S.d. Erwgrd. 43 DSGVO sei eine separate Einwilligungserklärung für Off-Facebook-Daten erforderlich. Der Verantwortliche trage die Beweislast nach Art. 7 Abs. 1 DSGVO für die Einwilligung (Rz. 149–154).


Wussten Sie schon?

Werden Sie jetzt Teilnehmer beim Anwalt-Suchservice und Sie greifen jederzeit online auf die Zeitschrift „IT-Rechtsberater“ des renommierten juristischen Fachverlags Dr. Otto Schmidt, Köln, zu.

Die Zeitschrift ist speziell auf Praktiker zugeschnitten. Sie lesen aktuelle Urteilsbesprechungen inklusive speziellem Beraterhinweis sowie Fachaufsätze und Kurzbeiträge zum Thema IT-Recht und zwar 24/7, also wo und wann immer Sie wollen.

Infos zur Teilnahme