Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Meta (Facebook) & personalisierte Werbung – Das Urteil des EuGH für Nichtjuristen schnell erklärt (EuGH, Urteil vom 04.07.2023, C-252/21)

Gestern erschütterte, so schien es jedenfalls, kurz die Welt. Schließlich urteilte der EuGH in Sachen Meta Platforms (aka Facebook). Zusammenfassen ließe sich die Entscheidung (EuGH, Urteil vom 04.07.2023, C-252/21) wie folgt: Einerseits nichts Neues vom Kirchberg-Plateau in Luxemburg (dem Sitz des Europäischen Gerichtshofs). Andererseits klare Worte vom EuGH zur Auslegung der Rechtsgrundlagen der DSGVO im Bereich des personalisierten Online-Marketings. Und das macht das Urteil auch so spannend.

Hier nun im Einzelnen. Für Nichtjuristen. Schnell erklärt.

Worum geht es beim Fall „Bundeskartellamt versus Meta Platforms Inc., MetaPlatforms Ireland Ltd. und Facebook Deutschland GmbH“?

Das Bundeskartellamt hatte Anfang 2019 Meta (Facebook) mittels eines Beschlusses untersagt, „[…] die Nutzung des sozialen Netzwerks Facebook von der Verarbeitung der Off-Facebook-Daten der User [d.h. all solchen Daten, die via Websites und Apps Dritter durch FB mittels APIs oder „Gefällt mir“ uä. Integrationen erhoben werden] abhängig zu machen und diese Daten ohne ihre Einwilligung auf der Grundlage der damals geltenden Allgemeinen Nutzungsbedingungen zu verarbeiten. Außerdem verpflichtete das Bundeskartellamt diese Unternehmen, die Allgemeinen Nutzungsbedingungen so anzupassen, dass aus ihnen eindeutig hervorgeht, dass die fraglichen Daten nicht ohne Einwilligung des betreffenden Nutzers erfasst, mit den Facebook-Nutzerkonten verknüpft und verwendet werden. Das Bundeskartellamt stellte klar, dass eine solche Einwilligung ungültig sei, wenn sie eine Bedingung für die Nutzung des sozialen Netzwerks darstelle.“ (Vorstehendes: EuGH, C 252/21, Rn. 151). Dagegen legte Meta Einspruch vor dem OLG Düsseldorf ein. Dieses war sich hinsichtlich etlicher Rechtsfragen des europäischen Rechts nicht sicher und ersuchte deswegen den EuGH – wie man das in diesen Fällen so macht – um eine sogenannte Vorabentscheidung. D.h. um die Klärung der folgenden Fragen:

  1. Haben nationale Wettbewerbsbehörden, wie das Kartellamt, überhaupt das Recht zu prüfen, ob eine Verarbeitung personenbezogener Daten den Anforderungen der DSGVO entspricht oder dürfen das nur die Datenschutzaufsichtsbehörden?
  2. Gelten sensible Daten im Sinne des Art. 9 1 DSGVO (politische Interessen, Religionszugehörigkeit, Gesundheit, sexuelle Vorlieben) als durch den Nutzer „öffentlich-zugänglich“ gemacht, wenn der Nutzer bspw. irgendwo auf „Gefällt mir“ drückt (bspw. bei einer Facebook-Seite zur Depressionsforschung) und darf der Betreiber von sozialen Online-Netzen diese Daten deswegen nutzen?
  3. Welche Rechtsgrundlagen können die Betreiber sozialer Online-Netze für die Verarbeitung personenbezogener Daten der Nutzer heranziehen?
  4. Können Nutzer, insbesondere bei sensiblen Daten, überhaupt wirksam eine Einwilligung erteilen, wenn das Unternehmen, dass die Einwilligung einholt, eine marktbeherrschende Stellung inne hat?

Dazu im Einzelnen, aber in aller Kürze wie folgt:

Zu 1: Darf das Bundeskartellamt die DSGVO prüfen?

Ja, das Bundeskartellamt darf die DSGVO prüfen.

Die Aufsichtsbehehörden und die Kartellbehörden verfolgen vollkommen unterschiedliche Ziele. Den Aufsichtsbehörden obliegt die Überwachung und Durchsetzung der DSGVO (vgl. Art. 51 ff. DSGVO). Den Kartellbehörden obliegt der Schutz des Marktes und damit auch auch der Verbraucher, in dem sie prüft, ob ggf. marktbeherrschende und damit missbräuchliche Stellungen von einzelnen Unternehmen gegeben sind und hat die Verpflichtung gegen solche Unternehmensstellungen vorzugehen (vgl. Art. 5 Wettbewerbs-Verordnung Nr. 1/2003). Dabei kann es sich (selbstverständlich) als notwendig erweisen, auch zu prüfen, ob das Verhalten dieses Unternehmens mit anderen als den wettbewerbsrechtlichen Vorschriften, etwa mit den Vorschriften der DSGVO über den Schutz personenbezogener Daten, vereinbar ist (EuGH, C 252/21, Rn. 191). Weiter führt der EuGH zu Recht wörtlich aus: Der Zugang zu personenbezogenen Daten und die Möglichkeit ihrer Verarbeitung ist zu einem bedeutenden Parameter des Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft geworden. Daher würde der Ausschluss der Vorschriften über den Schutz personenbezogener Daten aus dem rechtlichen Rahmen, den die Wettbewerbsbehörden bei der Prüfung des Missbrauchs einer beherrschenden Stellung zu berücksichtigen haben, die tatsächliche wirtschaftliche Entwicklung verkennen und die Wirksamkeit des Wettbewerbsrechts in der Union gefährden (EuGH, C 252/21, Rn. 193).

Die Kartellbehörden sind allerdings gehalten, sich mit den Aufsichtsbehörden abzustimmen und etwaige ergangene aufsichtsbehördliche Entscheidungen zu berücksichtigen. Existieren solche nicht, hat die Kartellbehörde bei der Aufsichtsbehörde unter Fristsetzung eine solche anzufordern. Ergeht keine Entscheidung oder erklärt die Behörde, dass keine ergehen wird, kann die Kartellbehörde selbst diese Entscheidung vornehmen. So verhielt es sich im vorliegenden Fall.

Zu 2: Gelten (sensible) Daten durch Nutzung des sozialen Netwerks als durch den Nutzer „öffentlich-zugänglich“ gemacht?

Nein. Diese Daten gelten grundsätzlich nicht als öffentlich-zugänglich. Wenn ein Nutzer etwa auf einer App mit einem Depressions-Test Daten eingibt und diese App über eine API zu Facebook verfügt oder aber er den „Gefällt mir“-Button oder Teilen drückt, dann gelten diese Daten nicht als öffentlich-zugänglich gemacht im Sinne von Art. 9 Abs. 2 e) DSGVO und dürften somit nicht durch den Betreiber des sozialen Netzwerks weiter verwendet werden.  Etwas anderes gilt nur dann, wenn der Nutzer die Möglichkeit hat, zum Ausdruck zu bringen, dass er die Verwendung dieser Daten zu bestimmten Zwecken verstanden hat und der Verwendung dieser Daten durch den Online-Betreiber zustimmt. (EuGH, C 252/21, Rn. 210 und 219 ff)

Zu 3: Welche Rechtsgrundlagen können die Betreiber sozialer Online-Netze für die Verarbeitung personenbezogener Daten der Nutzer heranziehen?

Hier mache ich es wirklich sehr, sehr kurz, denn sonst wird das hier ein Buddenbrock-Roman. Einzelheiten können Sie im Urteil selbst nachlesen.

Rechtsgrundlage Vertragserfüllung, Art. 6 I b) DSGVO

Selbstverständlich werden personenbezogene Daten benötigt, um ein soziales Netzwerken zu betreiben und die gewünschten Funktionalitäten bieten zu können. Derartige Daten sind also zur Vertragserfüllung erforderlich. Sie sind „objektiv unerlässlich“. Eine Personalisierung ist dafür aber grundsätzlich eben nicht erforderlich. Denn eine Personalisierung mag für den User nützlich sein, um ihm einen Inhalt anzuzeigen, der möglicherweise seinen Interessen entspricht, erforderlich im Sinne von „objektiv unerlässlich“ sind sie aber in der Regel nicht. Eine Personalisierung von (Werbe-) Inhalten kann also in der Regel nicht auf die Vertragserfüllung nach Art. 6 I b) DSGVO gestützt werden. (EuGH, C 252/21, Rn. 246 ff)

Rechtsgrundlage berechtigtes Interesse, Art. 6 I f) DSGVO

Für eine Verarbeitung nach Art. 6 I f) DSGVO müssen drei Voraussetzungen kumulativ erfüllt sein: Erstens muss von dem für die Verarbeitung Verantwortlichen oder
von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (EuGH, C 252/21, Rn. 255). Dazu muss der Betroffene gem. Art. 12, 13 DSGVO über die berechtigten Zwecke informiert werden. Soweit so bekannt.

Hierunter kann die Personalisierung von Werbung fallen. Dies ergibt sich schon aus Erwägungsgrund 47 DSGVO, wonach die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung als eine einem berechtigten Interesse des Verantwortlichen dienende Verarbeitung betrachtet werden kann. Wenn ein soziales Netzwerk jedoch – in großem Umfang – die personenbezogenen Daten seiner Nutzer zum Zwecke der Personalisierung verarbeitet, so kann dies nicht mehr unter Art. 6 I f) DSGVO fallen. Der User muss – laut EuGH – selbst bei einer unentgeltlichen Nutzung des Dienstes – nicht damit rechnen, dass seine Daten samt und sonders ohne Einwirkungsmöglichkeit hierfür genutzt werden. Aus dem Umfang der Datenverarbeitung und dem Erwartungshorizont des Users ergibt sich hier nach dem EuGH, dass die schutzwürdigen Interessen des Users überwiegen. (EuGH, C 252/21, Rn. 260 ff).

Ebenso kann die Gewährleistung der Netzwerksicherheit ein berechtigtes Interesse zur Datenverarbeitung darstellen. Hier muss der Verantwortliche jedoch im Rahmen seiner Nachweispflichten nachweisen können, welche Daten aus welchen Gründen eben zur Gewährleistung der Datensicherheit erforderlich sind. Genauso kann auch eine Produktverbesserung ein berechtigtes Interesse im Sinne des Art. 6 I f) darstellen, also das Interesse des Verantwortlichen sein Produkt leistungsstärker und damit attraktiver zu machen. Doch auch hier gilt, dass Verantwortliche dies nachweisen können müssen. In beiden Fällen sprechen umfassende Datenverarbeitungen, insbesondere solche die auch noch außerhalb von Facebook erhoben werden, gegen eine Rechtfertigungsmöglichkeit im Rahmen des berechtigten Interesses. (EuGH, C 252/21, Rn. 268 ff).

Rechtsgrundlage rechtliche Verpflichungen , Art. 6 I c) DSGVO

Theroetisch können anderweitige rechtliche Verpflichtungen, Daten verarbeiten zu müssen (jeder kennt hier das Beispiel der Aufbewahrungspflichten nach der Abgabenordnung) eine Rechtsgrundlage zur Verarbeitung auch im Rahmen von sozialen Netzen darstellen. Allerdings muss für die konkreten Datenkategorien auch eine konkrete Rechtspflicht bestehen. Das kann wohl für die allermeisten Datenkategorien, die Facebook verarbeitet, bezweifelt werden.

Rechtsgrundlage zum Schutz lebenswichtiger Interessen, Art. 6 I d) DSGVO, und Erfüllung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt liegt, Art. 6 I e) DSGVO

Hier hört man den EuGH beinahe lachen. Denn Meta als privatwirtschaftliches Unternehmen übernimmt natürlich keine Aufgaben, die im öffentlichen Interessen liegen oder in der Ausübung öffentlicher Gewalt bestehen. Vorgetragen wurde hierzu ebenfalls nichts. (EuGH, C 252/21, Rn. 285 ff).

Ebenso wenig verarbeitet Meta irgendwelche Daten zum Schutz lebenswichtiger Interessen. In Erwägungsgrund 46 heißt es schließlich beispielhaft für „humanitäre Zwecke wie die Überwachung von Epidemien und deren Ausbreitung sowie humanitäre Notfälle wie Naturkatastrophen oder vom Menschen verursachte Katastrophen„. Der EuGH erklärt hier sehr deutlich, dass aus der gebotenen engen Auslegung von Art. 6 Abs. 1 d) DSGVO folgt, dass der Betreiber eines sozialen Online-Netzwerks, dessen Tätigkeit im Wesentlichen wirtschaftlicher und kommerzieller Natur ist, in Anbetracht der Art der von ihm erbrachten Dienste nicht den Schutz eines lebenswichtigen Interesses seiner Nutzer […] machen kann, um die Rechtmäßigkeit einer Datenverarbeitung […] pauschal in abstrakter und präventiver Weise zu rechtfertigen. (EuGH, C 252/21, Rn. 285 ff).

Zwischenfazit

Nichts Neues. Art. 6 I b), Art. 6 I f) und Art. 6 I c) DSGVO können valide Rechtsgrundlagen für soziale Netzwerke und personalisierte Inhalte bzw. Werbung sein. Sie müssen aber auch durch den Verantwortlichen ausgefüllt sein und müssen die Erfüllung der Anforderungen auch im Rahmen der Rechenschaftspflicht nachweisen können. Die Rechtsgrundlagen Art. 6 I d) und e) sind nahezu abwegig.

Zu 4: Können Nutzer, insbesondere bei sensiblen Daten, überhaupt wirksam eine Einwilligung erteilen, wenn das Unternehmen, dass die Einwilligung einholt, eine marktbeherrschende Stellung inne hat?

Damit kommen wir zur letzten möglichen Rechtsgrundlage, um Daten zu verarbeiten – zur Einwilligung nach Art. 6 I a) DSGVO. Der EuGH ist auch an dieser Stelle ganz klar: Ja, das geht. Auch dann, wenn das Unternehmen eine marktbeherrschende Stellung innehat. Aber selbstverständlich müssen die Voraussetzungen des Art. 4 Nr. 11 und Art. 7 DSGVO erfüllt sein. Das heißt die Einwilligung muss freiwillig, für den bestimmten Fall in informierter Weise und unmissverständlich sowie ausdrücklich abgegeben werden. Bei einer marktbeherrschenden Stellung eines Vertragspartners ist bei der Prüfung dieser Voraussetzungen auch zu beachten, dass die Wahlfreiheit des Nutzers beeinträchtigt sein kann, da er möglicherweise nicht in der Lage ist, seine Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden. Hinzu kommt ein Machtungleichgewicht.

Daraus schließt der EuGH, dass eine Einwilligung in einem solchen Fall eigentlich nur wirksam sein kann, wenn eine hohe Granularität hinsichtlich der Einwilligungsmöglichkeiten besteht. So etwa, dass bei der Einwilligung zwischen Daten zur Personalisierung, die binnen des sozialen Netzwerkes und die die außerhalb (sog. Off-Facebook-Daten) erhoben und so dann verknüpft werden, unterschieden werden können muss.

Fazit

Wie eingangs schon geschrieben. An sich nichts Neues aus Luxemburg. Den oder die geneigten Datenschutzrechtler*innen überraschen die Inhalte dieses Urteils sicher nicht. Aus meiner Sicht ist das Urteil für Marketingverantwortliche grundsätzlich äußerst positiv. Es wird zum Beispiel – wie am liebsten so manche Datenschutzbehörde behauptet – klargestellt, dass der Erwägungsgrund 47 kein Versehen in der DSGVO ist, sondern dass Direktmarketing natürlich ein berechtigtes Interesse zur Datenverarbeitung darstellen kann. Gleiches gilt für Fragen der Produktverbesserung. Ebenso wird klargestellt, dass in all diesen Fällen kein „Freifahrtschein“ vorliegt, sondern die einschlägigen Normen bzw. deren Voraussetzungen ernsthaft, wie vom EuGH dargelegt auszufüllen sind. Diese Entscheidung wird jedoch zeitgleich die Metas dieser Welt, d.h. auch Google und andere große datenverarbeitende Unternehmen („Datenkraken“) beschränken. Denn uferlosen Auslegungen der Rechtsgrundlagen des Art. 6 DSGVO sind nun mehr nicht mehr möglich.

Mich persönlich freut, dass mit diesem Urteil der „Sperrwirkung der DSGVO gegenüber dem Wettbewerbsrecht“ eine klare Absage erteilt wurde. Ich kann nun sagen: Hab ich doch gesagt! 😉

Und praktisch?

Nun ja, praktisch bin ich – um ehrlich zu sein – nicht allzu euphorisch, dass hier eine schnelle Rechtsdurchsetzung erfolgt. Jedenfalls nicht gegenüber Facebook, Google & Co.. Es bleibt eher zu befürchten, dass gerade die Datenschutzbehörden dieses EuGH-Urteil wieder einmal so lesen, dass nur noch Einwilligungen möglich sein sollen. Und genau das steht dort überhaupt nicht.

Add On:

Während ich diesen Artikel schrieb, hat sich der hochgeschätzte Kollege Peter Hense von Spirit Legal zusammen mit seinem Kollegen Christian Däuble dieses Urteil ebenfalls genauer angesehen und um 14 Uhr eine Besprechung auf Youtube vorgenommen. Hier wurde es auch juristisch besehen detailreicher. Wer daran interessiert ist: Hört rein! (Auch wenn ich manchmal Veto rufen wollte. ;-))

In diesem Sinne,

das Leben geht weiter, auch das Online-Marketing. Ganz sicher.

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.