EuGH, Schlussanträge des Generalsanwalts 25.4.2024 - C-446/21
Eingeschränkte Nutzung veröffentlichter Daten für personalisierte Werbung
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 06/2024
Aus: IT-Rechtsberater, Heft 06/2024
Nach Art. 5 Abs. 1 lit. c DSGVO ist eine Einschränkung nach Art und Speicherfrist bei der Verarbeitung von Daten für personalisierte Werbung erforderlich. Wenn sensible Daten i.S.v. Art. 9 Abs. 2 lit. e DSGVO offensichtlich öffentlich gemacht worden sind, erlaubt dies nicht per se eine Verarbeitung für die Aggregation und Datenanalyse zu Werbezwecken.
VO (EU) 2016/679 Art. 5 Abs. 1 lit. b und e, Art. 9 Abs. 1 und 2 lit. e
Diese hat auch ein bzgl. des EU-US Privacy Shields gerichtlich mehrfach erfolgreicher Aktivist erteilt. Er erhielt regelmäßig auf seine (bei einer Podiumsdiskussion von ihm selbst erwähnte) sexuelle Orientierung abzielende Werbung, die sich jedoch wie auch politische Werbung nicht auf explizit von ihm oder seinen Facebook-Freunden mitgeteilte Angaben stützte, sondern auf einer Analyse von deren Interessen, etwa eine Mustererkennung anhand von Personen, die den Like-Button betätigt hatten. Meta speichert sämtliche Daten des Aktivisten auf unbestimmte Zeit.
Verarbeitungsumfang: Jede Datenverarbeitung müsse den Grundsätzen i.S.v. Art. 5 DSGVO und zudem einer der Erlaubnisvoraussetzungen gem. Art. 6 DSGVO genügen. Der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO sehe i.S.d. Verhältnismäßigkeitsgrundsatzes vor, dass personenbezogene Daten erheblich, notwendig und angemessen für den Verarbeitungszweck sein müssten, so dass Eingriffe in Art. 7, 8 GRC minimiert würden (Rz. 19 f. m.w.N.).
Begrenzung des Speicherzeitraums: Bei Fehlen jeglicher Einschränkung der zu verarbeitenden Daten liege ein Verstoß gegen den Minimierungsgrundsatz auf der Hand. I.Ü. könne selbst eine ursprünglich zulässige Verarbeitung korrekter Daten im Laufe der Zeit mit Art. 5 Abs. 1 lit. c bis e DSGVO unvereinbar werden, wenn die Daten für Erhebungs- oder Verarbeitungszwecke nicht mehr erforderlich seien (vgl. EuGH [GK] v. 24.9.2019 – C-136/17, ECLI:EU:C:2019:773 – Auslistung sensibler Daten Rz. 74 m.w.N., K&R 2019, 710). So habe mangels entsprechender Normen der DSGVO das vorlegende Gericht unter Beachtung von Einzelfallumständen und Verhältnismäßigkeit die angemessene Speicherfrist zu beurteilen (Rz. 21 f., 28; Ls. 1).
Begrenzung der Datenmenge: Dies gelte entsprechend für die Festlegung der rechtmäßig zu verarbeitenden Datenarten. Die Bezugnahmen von Art. 5 Abs. 1 lit. c DSGVO auf sehr allgemeine Bedingungen, wie Angemessenheit, Erheblichkeit und Notwendigkeit, zeigten, dass bei seiner Anwendung ein weiter Beurteilungsspielraum eingeräumt werden sollte, da diese Bedingungen nur unter Berücksichtigung der Einzelfallumstände ausgelegt werden könnten (Rz. 23, 28; Ls. 1).
Eingriffsgewicht: Zu berücksichtigen sei dabei, dass der Eingriff i.d.R. intensiver sei bei verhaltensorientierten Daten statt statischen (z.B. Alter oder Geschlecht), bei passivem Verhalten (etwa Websitebesuch) im Gegensatz zu aktiverem (z.B. Like-Button-Klick) sowie der Verarbeitung von Daten, die von anderen Websites, Apps oder Nutzergeräten erhoben würden (Off-Facebook-Daten; vgl. „Meta Platforms“ Rz. 151). Die vernünftigen Erwartungen der Betroffenen i.S.v. Erwgrd. 47 der DSGVO seien hierbei zu berücksichtigen (Rz. 25 f.).
Restriktive Auslegung: I.Ü. sei bei der Verarbeitung von Off-Facebook-Daten die enge Auslegung des Art. 6 Abs. 1 lit. b DSGVO zu berücksichtigen, wonach die Verarbeitung für die Vertragserfüllung wesentlich sein müsse und daher keine praktikablen und weniger einschneidenden Alternativen bestehen dürften (vgl. „Meta Platforms“ Rz. 99). Insofern dürfe eine zu weite Auslegung des Grundsatzes der Datenminimierung nach Art. 5 DSGVO den Verantwortlichen nicht ermöglichen, die Kategorien der Daten zu erweitern, die zur Erfüllung eines Vertrags erforderlich seien (Rz. 27).
Verarbeitung veröffentlichter Daten: Nach dem Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b DSGVO dürften personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden. Nach Art. 9 Abs. 1 DSGVO sei grundsätzlich die Verarbeitung von sensiblen Daten, insb. zur sexuellen Orientierung, wegen der erheblichen Risiken der Grundrechtsausübung i.S.v. Erwgrd. 51 der DSGVO untersagt. Eine der Ausnahmen beziehe sich auf Daten, die der Betroffene gem. Art. 9 Abs. 2 lit. e DSGVO „offensichtlich öffentlich gemacht“ habe. Daher und wegen des Ausnahmecharakters sei eine enge Auslegung geboten, so dass vorauszusetzen sei, dass sich der Betroffene der Veröffentlichung vollständig bewusst sei (Rz. 34 f. m.w.N.).
Keine Veröffentlichung beim Tracking: Ein Nutzer eines sozialen Netzwerks mache, wenn er Websites oder Apps in Verbindung zu sensiblen Daten aufrufe oder dort eingebundene Schaltflächen (z.B. „Gefällt mir“ oder „Teilen“) betätige, die Daten durch den von Facebook protokollierten Aufruf nicht offensichtlich öffentlich, sofern keine ausreichend informierte Einwilligung vorliege (Rz. 37; vgl. „Meta Platforms“ Rz. 46).
Offensichtliches Öffentlichmachen: Das zumindest bewusste offensichtliche Öffentlichmachen dürfte bei einer selbst beiläufigen Äußerung auf einer live und dann per Streaming übertragenen Podiumsdiskussion mit erheblichem öffentlichem Interesse anzunehmen sein. Abzustellen sei auf die Beurteilung des Betroffenen, der am besten die nachteiligen Folgen (insb. Stigmatisierung und Diskriminierung) abzuschätzen vermöge, vor denen das grundsätzliche Verarbeitungsverbot gem. Art. 9 Abs. 1 DSGVO schützen solle (Rz. 40–44).
Allgemeine Voraussetzungen: Werde auf den Schutz sensibler Daten bewusst verzichtet gem. Art. 9 Abs. 2 lit. e DSGVO, so unterlägen diese Daten weiterhin den Voraussetzungen der Art. 5, 6, 7 DSGVO inkl. des Nachweises der Einhaltung der Zweckbindung gem. Art. 5 Abs. 2 DSGVO (vgl. Erwgrd. 51 der DSGVO; vgl. EuGH v. 21.12.2023 – C-667/21 – KV Nordrhein Rz. 78, ITRB 2024, 89 [Kartheuser/Faißt]). Daher könne die Offenbarung i.R.d. Podiumsdiskussion nicht per se die Verarbeitung, insb. zur Aggregation und Analyse für personalisierte Werbung, dieses Datums oder gar anderer, sich aus Drittangeboten ergebender Daten rechtfertigen (Rz. 46 f.; Ls. 2).
VO (EU) 2016/679 Art. 5 Abs. 1 lit. b und e, Art. 9 Abs. 1 und 2 lit. e
Das Problem
Von Meta Platforms Ireland Ltd. (Meta) verkaufte Werbung beruht auf der innerhalb von Facebook und auch außerhalb über Cookies oder Social-Plugins (z.B. Like-Button) erfolgten automatisierten Erstellung detaillierter Nutzerprofile insb. zu Konsumverhalten, Interessen, Kaufkraft und persönlicher Situation (z.B. Ort, Alter, Geschlecht). Die Meta-Business-Tools ermöglichen es, zielgerichtete und so kostengünstigere Werbeanzeigen zu erstellen und deren Effektivität mit Analysesystemen zu überprüfen. Nach Inkrafttreten der DSGVO wurde die Verarbeitung nicht mehr auf die Erforderlichkeit zur Vertragserfüllung, sondern auf mit den Nutzungsbedingungen eingeholte Einwilligung gestützt.Diese hat auch ein bzgl. des EU-US Privacy Shields gerichtlich mehrfach erfolgreicher Aktivist erteilt. Er erhielt regelmäßig auf seine (bei einer Podiumsdiskussion von ihm selbst erwähnte) sexuelle Orientierung abzielende Werbung, die sich jedoch wie auch politische Werbung nicht auf explizit von ihm oder seinen Facebook-Freunden mitgeteilte Angaben stützte, sondern auf einer Analyse von deren Interessen, etwa eine Mustererkennung anhand von Personen, die den Like-Button betätigt hatten. Meta speichert sämtliche Daten des Aktivisten auf unbestimmte Zeit.
Die Entscheidung des Gerichts
Nachdem im Nachgang zur Entscheidung der Großen Kammer zu Facebook-AGB (EuGH [GK] v. 4.7.2023 – C-252/21, ECLI:EU:C:2023:537 – Meta Platforms, CR 2023, 516 = ITRB 2023, 199 [Rössel]) die Vorlagefragen zur Einwilligung per AGB in die nicht zur Vertragserfüllung erforderliche Verarbeitung für personalisierte Werbung und zur nach Art. 9 Abs. 1 DSGVO zulässigen Filterung sensibler Daten zurückgenommen worden seien, sei über die verbliebenen Fragen zu entscheiden.Verarbeitungsumfang: Jede Datenverarbeitung müsse den Grundsätzen i.S.v. Art. 5 DSGVO und zudem einer der Erlaubnisvoraussetzungen gem. Art. 6 DSGVO genügen. Der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO sehe i.S.d. Verhältnismäßigkeitsgrundsatzes vor, dass personenbezogene Daten erheblich, notwendig und angemessen für den Verarbeitungszweck sein müssten, so dass Eingriffe in Art. 7, 8 GRC minimiert würden (Rz. 19 f. m.w.N.).
Begrenzung des Speicherzeitraums: Bei Fehlen jeglicher Einschränkung der zu verarbeitenden Daten liege ein Verstoß gegen den Minimierungsgrundsatz auf der Hand. I.Ü. könne selbst eine ursprünglich zulässige Verarbeitung korrekter Daten im Laufe der Zeit mit Art. 5 Abs. 1 lit. c bis e DSGVO unvereinbar werden, wenn die Daten für Erhebungs- oder Verarbeitungszwecke nicht mehr erforderlich seien (vgl. EuGH [GK] v. 24.9.2019 – C-136/17, ECLI:EU:C:2019:773 – Auslistung sensibler Daten Rz. 74 m.w.N., K&R 2019, 710). So habe mangels entsprechender Normen der DSGVO das vorlegende Gericht unter Beachtung von Einzelfallumständen und Verhältnismäßigkeit die angemessene Speicherfrist zu beurteilen (Rz. 21 f., 28; Ls. 1).
Begrenzung der Datenmenge: Dies gelte entsprechend für die Festlegung der rechtmäßig zu verarbeitenden Datenarten. Die Bezugnahmen von Art. 5 Abs. 1 lit. c DSGVO auf sehr allgemeine Bedingungen, wie Angemessenheit, Erheblichkeit und Notwendigkeit, zeigten, dass bei seiner Anwendung ein weiter Beurteilungsspielraum eingeräumt werden sollte, da diese Bedingungen nur unter Berücksichtigung der Einzelfallumstände ausgelegt werden könnten (Rz. 23, 28; Ls. 1).
Eingriffsgewicht: Zu berücksichtigen sei dabei, dass der Eingriff i.d.R. intensiver sei bei verhaltensorientierten Daten statt statischen (z.B. Alter oder Geschlecht), bei passivem Verhalten (etwa Websitebesuch) im Gegensatz zu aktiverem (z.B. Like-Button-Klick) sowie der Verarbeitung von Daten, die von anderen Websites, Apps oder Nutzergeräten erhoben würden (Off-Facebook-Daten; vgl. „Meta Platforms“ Rz. 151). Die vernünftigen Erwartungen der Betroffenen i.S.v. Erwgrd. 47 der DSGVO seien hierbei zu berücksichtigen (Rz. 25 f.).
Restriktive Auslegung: I.Ü. sei bei der Verarbeitung von Off-Facebook-Daten die enge Auslegung des Art. 6 Abs. 1 lit. b DSGVO zu berücksichtigen, wonach die Verarbeitung für die Vertragserfüllung wesentlich sein müsse und daher keine praktikablen und weniger einschneidenden Alternativen bestehen dürften (vgl. „Meta Platforms“ Rz. 99). Insofern dürfe eine zu weite Auslegung des Grundsatzes der Datenminimierung nach Art. 5 DSGVO den Verantwortlichen nicht ermöglichen, die Kategorien der Daten zu erweitern, die zur Erfüllung eines Vertrags erforderlich seien (Rz. 27).
Verarbeitung veröffentlichter Daten: Nach dem Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b DSGVO dürften personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden. Nach Art. 9 Abs. 1 DSGVO sei grundsätzlich die Verarbeitung von sensiblen Daten, insb. zur sexuellen Orientierung, wegen der erheblichen Risiken der Grundrechtsausübung i.S.v. Erwgrd. 51 der DSGVO untersagt. Eine der Ausnahmen beziehe sich auf Daten, die der Betroffene gem. Art. 9 Abs. 2 lit. e DSGVO „offensichtlich öffentlich gemacht“ habe. Daher und wegen des Ausnahmecharakters sei eine enge Auslegung geboten, so dass vorauszusetzen sei, dass sich der Betroffene der Veröffentlichung vollständig bewusst sei (Rz. 34 f. m.w.N.).
Keine Veröffentlichung beim Tracking: Ein Nutzer eines sozialen Netzwerks mache, wenn er Websites oder Apps in Verbindung zu sensiblen Daten aufrufe oder dort eingebundene Schaltflächen (z.B. „Gefällt mir“ oder „Teilen“) betätige, die Daten durch den von Facebook protokollierten Aufruf nicht offensichtlich öffentlich, sofern keine ausreichend informierte Einwilligung vorliege (Rz. 37; vgl. „Meta Platforms“ Rz. 46).
Offensichtliches Öffentlichmachen: Das zumindest bewusste offensichtliche Öffentlichmachen dürfte bei einer selbst beiläufigen Äußerung auf einer live und dann per Streaming übertragenen Podiumsdiskussion mit erheblichem öffentlichem Interesse anzunehmen sein. Abzustellen sei auf die Beurteilung des Betroffenen, der am besten die nachteiligen Folgen (insb. Stigmatisierung und Diskriminierung) abzuschätzen vermöge, vor denen das grundsätzliche Verarbeitungsverbot gem. Art. 9 Abs. 1 DSGVO schützen solle (Rz. 40–44).
Allgemeine Voraussetzungen: Werde auf den Schutz sensibler Daten bewusst verzichtet gem. Art. 9 Abs. 2 lit. e DSGVO, so unterlägen diese Daten weiterhin den Voraussetzungen der Art. 5, 6, 7 DSGVO inkl. des Nachweises der Einhaltung der Zweckbindung gem. Art. 5 Abs. 2 DSGVO (vgl. Erwgrd. 51 der DSGVO; vgl. EuGH v. 21.12.2023 – C-667/21 – KV Nordrhein Rz. 78, ITRB 2024, 89 [Kartheuser/Faißt]). Daher könne die Offenbarung i.R.d. Podiumsdiskussion nicht per se die Verarbeitung, insb. zur Aggregation und Analyse für personalisierte Werbung, dieses Datums oder gar anderer, sich aus Drittangeboten ergebender Daten rechtfertigen (Rz. 46 f.; Ls. 2).