EuGH schränkt Facebooks Datennutzung massiv ein

Wenn der Datenschützer Max Schrems wieder gegen Facebook vorgeht, verheißt das meist nichts Gutes für den Konzern: Schon zweimal hat der Österreicher Facebook verklagt und vor dem Gerichtshof der Europäischen Union (EuGH) Recht bekommen. Zwei internationale Datenschutzabkommen zwischen der EU und den USA hat der EuGH daraufhin bereits gekippt (Urt. v. 6.10.2015, Az. C-362/14 – Safe Harbour, Schrems I und Urt. v. 16.7.2019, Az. C-311/18 – Privacy Shield, Schrems II).

Im Verfahren Schrems III (Az. C-446/21) ging es nun insbesondere um die Frage, auf welcher rechtlichen Grundlage Facebook die – teils sensiblen – personenbezogenen Daten seiner Nutzer für personalisierte Werbung verarbeiten darf. Das Urteil dürfte immense Wirkung zeigen, denn das gesamte Geschäftsmodell des Konzerns wurde nun mehr oder minder auf den Kopf gestellt. Facebook muss einerseits nun die Nutzung personenbezogener Daten für Online-Werbung massiv einschränken. Zudem ist die Nutzung öffentlich zugänglicher personenbezogener Daten auf die ursprünglich beabsichtigten Zwecke der Veröffentlichung zu beschränken.

Schrems hatte sich deswegen mit seiner Organisation noyb (steht für „My privacy is None of Your Business“) schon bis zum Obersten Gerichtshof Österreichs durchgeklagt. Das Gericht hatte daraufhin dem EuGH vier Vorlagefragen gestellt.

Am 25. April 2024 hatte bereits der Generalanwalt – dem der EuGH häufig folgt – seine Schlussanträge veröffentlicht und Schrems weitestgehend Recht gegeben: Danach darf Facebook keinesfalls sensible Daten wie die eigene sexuelle Orientierung zu Zwecken der personalisierten Werbung nutzen. Das gilt nach Ansicht des Generalanwalts selbst dann nicht, wenn man diese Informationen selbst „offensichtlich öffentlich“ gemacht hat. Dieser Auffassung ist der EuGH nun in seinem Urteil gefolgt (Rechtssache C 446/21).

Doch warum geht es in dem Verfahren genau? Und was hat der Generalanwalt noch gesagt?

Datensammeln für personalisierte Werbung – auf welcher Grundlage?

Facebook kostet zwar kein Geld. Aber jeder, der dort ein Konto hat, bezahlt dies mit seinen Daten. Das soziale Netzwerk sammelt und analysiert sie – insbesondere, damit Dritte auf dem Netzwerk gezielte, personalisierte Werbung ausspielen können. Bei all diesen Informationen handelt es sich aber um personenbezogene Daten. Deswegen muss auch Facebook das Datenschutzrecht beachten. Das Unternehmen braucht also eine gesetzliche Erlaubnis, damit es diese Daten überhaupt verarbeiten darf. Und hier liegt der Knackpunkt des Falles:

Früher hat es sich Facebook leicht gemacht und sich einfach auf die „Einwilligungen“ der Nutzer berufen. Die gaben sie, indem sie sich bei Facebook anmeldeten und das endlos lange Kleingedruckte einfach akzeptierten. Seit dem 25. Mai 2018 gilt nun aber europaweit die Datenschutzgrundverordnung (DSGVO). Die stellt sehr viel höhere Anforderungen an die Einwilligungen als das vorherige Datenschutzrecht (Art. 6 Abs. 1 lit. a, Art. 7 DSGVO). User müssen sehr viel besser über die immense Datenverarbeitung informiert werden, bevor sie ihre Einwilligungen abgeben können. Außerdem können sie diese auch verweigern bzw. eine einmal abgegebene Einwilligung jederzeit widerrufen. Müsste sich Facebook für all seine Aktivitäten solche Einwilligungen einholen, wäre wohl plötzlich das Geschäftsmodell des „kostenlosen“ sozialen Netzwerks gefährdet.

Deshalb ging der US-Konzern einen anderen Weg: Es berief sich seit dem 25. Mai 2018 einfach auf eine andere „Erlaubnisnorm“ der DSGVO und behauptete, die Datensammlung sei „zur Erfüllung eines Vertrags erforderlich“ (Art. 6 Abs. 1 lit. b DSGVO). Mit der Begründung, dass das Wesen des Vertrags mit Facebook im Wesentlichen so aussehe: Kostenlose Nutzung gegen Preisgabe der persönlichen Daten zu Zwecken personalisierter Werbung. Die Nutzer bestellten diese Werbung ja gerade, deshalb sei die Datensammlung zur Vertragserfüllung erforderlich. Diese Erlaubnisnorm ist sehr komfortabel für den Konzern. Denn hier haben die Nutzer keine Möglichkeit, dem zu widersprechen.

Hier versucht Facebook, den Nutzern ihre DSGVO-Rechte zu nehmen, indem es die Einwilligung einfach in einen zivilrechtlichen Vertrag ‚uminterpretiert‘. Dies ist nichts anderes als ein Versuch, die DSGVO mit einem Trick zu umgehen.“ Der Oberste Gerichtshof Österreichs scheint diese Auffassung zu teilen, schreibt er doch in seinem Vorlagebeschluss an den EuGH: „Eine Kernfrage des vorliegenden Verfahrens ist, ob die Willenserklärung zur Verarbeitung von der Beklagten unter das Rechtskonzept nach Art 6 Abs 1 lit b DSGVO verschoben werden kann, um damit den deutlich höheren Schutz, den die Rechtsgrundlage „Einwilligung“ für den Kläger bietet, ‚auszuhebeln‘.“ Möglicherweise sei die Preisgabe der Daten eben nicht erforderlich, um den Dienst nutzen zu können. Ob dem so ist, soll nun der EuGH in der ursprünglich ersten Vorlagefrage klären.

Allerdings zog der OGH diese Frage letztlich für das hier vorliegende Verfahren zurück, weil der EuGH sie bereits am 4. Juli 2023 in einem anderen Verfahren beantwortet hatte (C‑252/21). Damals sagte der EuGH: Der Ausnahmetatbestand „zur Erfüllung eines Vertrags“ (Art. 6 Abs. 1 b DSGVO) sei nur einschlägig, wenn der Hauptgegenstand des Vertrags ohne die Datenverarbeitung nicht erfüllt werden könne. Ob ein solcher Fall vorliegt, muss nun das nationale Gericht (hier: OLG Düsseldorf) beurteilen. Der Gerichtshof äußerte aber bereits ernsthafte Zweifel daran, dass Personalisierung der Werbung diese Kriterien erfüllen könnten. Im Hinblick auf den Rechtfertigungsgrund des „berechtigten Interesses“ (Art. 6 Abs. 1 f DSGVO) wurde der EuGH übrigens noch klarer: Die Personalisierung der Werbung, mit der Facebook finanziert wird, könne nicht als berechtigtes Interesse die Datenverarbeitung rechtfertigen, sofern keine Einwilligung der betroffenen Person vorliege.

Facebook sammelt auch sensible Daten – ist das legal?

In zwei weiteren ursprünglichen Vorlagefragen an den EuGH geht es um die sogenannten sensiblen personenbezogenen Daten. Das sind laut Artikel 9 DSGVO zum Beispiel Informationen über die Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten, Daten über das Sexualleben oder die sexuelle Orientierung einer Person. Facebook sammelt diese genauso wie alle anderen Daten auch – das Netzwerk differenziert nicht, ob die gesammelten Daten nun sensibel sind oder nicht. Allerdings gibt es die Daten an Dritte weiter. Und die können die Daten durchaus daraufhin filtern, welche Partei jemand wählt oder auf welches Geschlecht er oder sie steht. Besonders Werbetreibende können ihre Produkte deshalb auch gezielt zum Beispiel an schwule Männer oder SPD-Wähler ausspielen lassen, wenn sie dafür bezahlen.

Hier schließt sich eine weitere von OGH ursprünglich gestellte Frage an den EuGH an, die im Wesentlichen lautete: Ist Art. 9 Abs. 1 überhaupt auf eine Situation anzuwenden, in der die gezielte Filterung nach sensiblen personenbezogenen Daten zu Zwecken personalisierter Werbung erlaubt ist? Facebook redet sich bislang damit heraus, als Verantwortlicher für diese Datenerhebung nicht zwischen „normalen“ und „sensiblen“ Daten zu differenzieren. Auch diese Frage ist im oben genannten EuGH-Urteil von Juli 2023 beantwortet worden, sodass der OGH sie hier nun zurückzog. Damals wies der EuGH zunächst darauf hin, dass Facebook offenbar tatsächlich sensible Daten wie solche über die ethnische Herkunft oder sexuelle Orientierung (gem. Art. 9 DSGVO) verarbeitet. Deren Verarbeitung ist nach der DSGVO grundsätzlich untersagt. Diese Verarbeitung sensibler Daten bedürfe auch einer Rechtfertigung nach Art. 9 Abs. 2 DSGVO.

Da Artikel 9 DSGVO also nun eindeutig anwendbar ist, gilt folgendes: Die Möglichkeit, diese Daten „zur Erfüllung eines Vertrags“ zu nutzen, sieht Art. 9 DSGVO nicht vor. Allerdings ist die Verarbeitung erlaubt, wenn die betroffene Person die sensiblen Daten selbst offensichtlich öffentlich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO). Und darum geht es bei einer weiteren Frage an den EuGH: Wann darf Facebook sich auf diese Erlaubnisnorm berufen? Reicht es, wenn jemand – in diesem Fall Max Schrems selbst – Informationen über seine sexuelle Orientierung irgendwo im Internet preisgegeben hat, damit Facebook diese Information zu Werbezwecken nutzen kann? Oder hätte Schrems diese Information explizit auf Facebook selbst öffentlich mitteilen müssen – was er nicht getan hat? In dem Urteil von 2023 hatte der EuGH zu diesem Punkt bereits in einem anderen Kontext etwas gesagt: Es sei jedenfalls nicht ausreichend, dass der Nutzer Websites aufrufe oder seine Daten bei WhatsApp oder Instagram eingebe, Apps aufrufe, den „Like-Button“ oder auf „Teilen“ klicke. Eine Ausnahme bestehe lediglich dann, wenn der Nutzer vorher explizit zugestimmt habe, dass er die Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich machen wolle. 

In konkreten Fall hatte Schrems auf einer öffentlichen Podiumsdiskussion über seine Orientierung gesprochen. Hierzu vertritt der Generalanwalt eine differenzierte Ansicht: Zwar habe Schrems durch die öffentliche Äußerung diese Daten selbst „offensichtlich öffentlich gemacht“. Dadurch gelte zumindest kein Verarbeitungsverbot gem. Art. 9 DSGVO. Dennoch, so stellte der Generalanwalt klar, erlaube eine solche eigene öffentliche Stellungnahme für sich genommen nicht die Verarbeitung zum Zweck der personalisierten Werbung. Denn selbst wenn ein ursprünglich sensibles Datum unter eine der Ausnahmebestimmungen des Art. 9 Abs. 2 DSGVO falle, so habe dies lediglich zur Folge, dass der besondere Schutz für sensible Daten aufgehoben werde. Dadurch würden die sensiblen Daten aber nicht schutzlos, sondern nur zu „gewöhnlichen“ (d.h. nicht sensiblen) Daten. Diese seien dann immer noch an den allgemeinen Grundsätzen der Art. 6 und 7 DSGVO zu messen, außerdem an den Grundsätzen des Art. 5 DSGVO. Hier hob der Generalanwalt insbesondere den Grundsatz der Zweckbindung hervor. Dieser schreibt vor, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen, wofür Verantwortliche den Nachweis erbringen müssen. Im konkreten Fall reiche die öffentliche Äußerung auf der Podiumsdiskussion nicht aus, um eine entsprechende Verarbeitung durch Facebook für Zwecke der Aggregation und Analyse von Daten zum Zweck der personalisierten Werbung zu rechtfertigen.

Max Schrems war vor Bekanntwerden der Schlussanträge der Ansicht, dass auch diese beiden Fragen „extrem wichtig“ sind. Denn möglicherweise dürfte Facebook bald nicht mehr alle Daten für Werbung nutzen, sondern sensible Daten herausfiltern. Nach den Schlussanträgen hieß es von noyb:

„Zwar handelt es sich hier um eine sehr spezifische Situation, die Auslegung des Gesetzes ist aber auch im breiteren Kontext des „Web Scraping“ relevant. Hierbei werden öffentlich zugängliche Informationen einfach entnommen und für andere Zwecke verarbeitet. Herr Schrems argumentierte, dass der Grundsatz der „Zweckbindung“ in Artikel 5(1) der DSGVO hier parallel angewendet werden muss. Diese Ansicht wird nun auch vom Generalanwalt vertreten. Nur weil bestimmte Informationen öffentlich sind, heißt das nicht, dass sie für andere Zwecke verwendet werden können. Wenn man einen politischen Kommentar in den sozialen Medien abgibt, kann dieser nicht für gezielte politische Werbung verwendet werden. Wenn Nutzer:innen alle Rechte an veröffentlichten Informationen verlieren, hätte das eine enorme Abschreckungswirkung auf die freie Meinungsäußerung. (…) Diese Angelegenheit ist von großer Bedeutung für alle, die öffentliche Aussagen tätigen. Verzichtet man auch für völlig unzusammenhängende Informationen rückwirkend auf das Recht auf Privatsphäre? Oder kann nur die Aussage selbst für den von Verfasser:innen beabsichtigten Zweck verwendet werden? Wenn das Gericht dies als einen allgemeinen ‚Verzicht‘ auf die eigenen Rechte auslegt, würde dies jede Online-Rede auf Instagram, Facebook oder Twitter unterdrücken.“

Generalanwalt: Facebook darf nicht zeitlich unbegrenzt massenhaft Daten zu Werbezwecken nutzen

Bislang nutzt Meta alle Daten, die es jemals gesammelt hat, für Werbung. Facebook-Nutzerdaten können zum Beispiel bis ins Jahr 2004 zurückreichen. Hierzu muss der EuGH in einer weiteren Frage entscheiden, ob die Verwendung aller Daten vom Netzwerk selbst sowie und aus unzähligen anderen Quellen wie fremden Websites oder Plugins mit dem DSGVO-Grundsatz der “Datenminimierung” (Art. 5 Abs. 1 c DSGVO) vereinbar ist. Oder ob es Einschränkungen nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung geben müsse.

Der Generalanwalt hat hierauf folgendes geantwortet: Die DSGVO stehe einer solch intensiven Verarbeitung tatsächlich entgegen. Facebook dürfte danach keineswegs personenbezogene Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach der Zeit verarbeiten. Wie lange genau Facebook die dort veröffentlichten Daten noch nutzen darf, müsse ein nationales Gericht entscheiden. Auch welche Menge an Daten verarbeitet werden dürfe, müsse ein nationales Gericht entscheiden. Dabei sei insbesondere der Grundsatz der Verhältnismäßigkeit zu beachten und außerdem, inwieweit Menge und Dauer der Datenspeicherung im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt sei.

In einer Pressemitteilung von noyb zu den Schlussanträgen heißt es:

„Folgt der Gerichtshof den Schlussanträgen, darf nur ein kleiner Teil dieses Pools für Werbung verwendet werden – auch wenn die Nutzer:innen der Werbung zugestimmt haben. (…) Für Meta würde das bedeuten, dass ein großer Teil der Informationen, die es in den letzten zehn Jahren gesammelt hat, für die Werbung tabu wird.“

Urteil des EuGH

Der EuGH urteilte nun wie folgt auf die Vorlagefragen: Erstens sei in der DSGVO der Grundsatz der „Datenminimierung“ festgelegt, dem
entgegenstehe, dass sämtliche personenbezogenen Daten, die Facebook von seinen Nutzern oder von Dritten erhalte und die sowohl auf
als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung verwende. Zweitens sei es nach Auffassung des EuGH nicht ausgeschlossen, dass Max Schrems durch seine
Aussage bei der Podiumsdiskussion seine sexuelle Orientierung offensichtlich öffentlich gemacht habe. Dies zu beurteilen sei aber Sache des österreichischen Obersten Gerichtshofs.

Der Umstand, dass Schrems Daten zu seiner sexuellen Orientierung offensichtlich öffentlich gemacht habe, führe dazu, dass diese Daten unter Einhaltung der Vorschriften der DSGVO verarbeitet werden könnten. Dies allein jedoch berechtige nicht, andere personenbezogene Daten zu verarbeiten, die sich auf die sexuelle Orientierung Schrems beziehen würden.

Dass sich Schrems öffentlich zu seiner sexuellen Orientierung geäußert habe, gestatte Facebook allerdings keinesfalls dazu, auch andere Daten über seine sexuelle Orientierung zu verarbeiten, um ihm personalisierte Werbung anzubieten.

Urteil des EuGH könnte Grundlage für Schadensersatzansprüche der Nutzer werden

Das Urteil hat nun enorme Auswirkungen – sowohl für Facebook als auch für Nutzer. Gewisse sensible Daten, etwa zur sexuellen Orientierung oder politischen Überzeugung darf das Netzwerk nun überhaupt nicht mehr zu Werbezwecken verwenden. Zudem dürfte Facebook nun Milliarden alter Daten löschen müssen (Art. 17 DSGVO). Für die in der Vergangenheit zu Unrecht erhobenen bzw. genutzten Daten kann das Urteil folgendes bedeuten: Nutzer haben in jedem Fall ein Auskunftsrecht, welche Daten Facebook über einen speichert und verwendet. Zudem haben Nutzer einen Anspruch auf Löschung aller Daten, bei denen keine rechtswirksame Einwilligung vorliegt. Und: Nutzer können aller Wahrscheinlichkeit nach Schadensersatz verlangen (Art. 82 DSGVO). Möglicherweise könnten sich Verbraucher hier auch mit der neuen Möglichkeit der EU-Verbandsklage oder in einer Musterfeststellungsklage nach deutschem Recht zusammenschließen. Facebook nach eigenen Angaben aktuell etwa 307 Millionen täglich aktive User allein in Europa – das kann also noch ziemlich teuer werden.

ahe