Der EuGH hat entschieden: Auch nationale Wettbewerbsbehörden dürfen Verstöße gegen die DSGVO prüfen, wenn diese wettbewerbsrechtlich relevant sind. Es liegt jetzt in der Hand des OLG Düsseldorf, zu entscheiden, ob das Bundeskartellamt Facebook zu Recht untersagt hat, die Nutzerdaten von Instagram, WhatsApp und anderen Seiten bzw. Apps mit Facebook-Konten zu verknüpfen.
Eine nationale Wettbewerbsbehörde wie das Bundeskartellamt kann im Rahmen der Prüfung, ob eine beherrschende Stellung missbraucht wird, auch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) feststellen, so der Europäische Gerichtshof (EuGH). Dabei müsse sie jedoch eine etwaige Entscheidung oder Untersuchung der Datenschutz-Aufsichtsbehörde berücksichtigen (Urt. v. 04.07.2023, Az. C‑252/21).
Hintergrund war ein Verfahren des Bundeskartellamts gegen Meta. 2019 hatte das Amt Facebook verboten, Daten von außerhalb des sozialen Netzwerks ohne explizite Einwilligung der Nutzer zu verarbeiten. Die Nutzungsbedingungen erlauben es dem Netzwerk nämlich, Daten über Nutzeraktivitäten u.a. von Instagram und WhatsApp sowie dritten Websites und Apps (auch „Off-Facebook-Daten“ genannt) zu sammeln, dem Facebook-Konto zuzuordnen und dadurch Werbeanzeigen zu personalisieren. Außerdem beanstandete das Bundeskartellamt, dass Facebook die Nutzung des Netzwerks davon abhängig machte, dass Nutzer der Verarbeitung ihrer Off-Facebook-Daten zustimmten. Diese Verarbeitung stehe nicht mit der DSGVO im Einklang. Außerdem liege eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta vor.
Gegen diesen Beschluss hatte Facebook im Februar 2019 Beschwerde beim Oberlandesgericht (OLG) Düsseldorf eingelegt. Um den Rechtsstreit klären zu können, ersuchte das OLG Düsseldorf den EuGH. Hauptfrage des OLG Düsseldorfs an den EuGH war: Darf das Bundeskartellamt überhaupt prüfen, ob eine Datenverarbeitung den Anforderung der DSGVO entspricht? Problematisch ist nämlich, dass grundsätzlich nicht das Bundeskartellamt, sondern die Datenschutz-Aufsichtsbehörde überprüft, ob die DSGVO eingehalten wird. Außerdem fragte das Gericht, wie bestimmte Vorschriften der DSGVO auszulegen und auf eine Datenverarbeitung durch den Betreiber eines sozialen Online-Netzwerks anzuwenden sind.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Bundeskartellamt darf Verstoß prüfen
Dazu bezog der EuGH nun Stellung. Die nationale Wettbewerbsbehörde dürfe grundsätzlich überprüfen, ob ein Unternehmen gegen die DSGVO verstoße. Die Prüfung dürfe allerdings nur erfolgen, um den Missbrauch einer beherrschenden Stellung festzustellen. Dabei könne ein DSGVO-Verstoß ein Indiz dafür sein, dass ein Unternehmen seine beherrschende Stellung missbrauche.
Die marktbeherrschende Stellung von Facebook sei umgekehrt allein nicht ausreichend, um einen Verstoß gegen die DSGVO zu begründen. Denn auch dann könne eine wirksame Einwilligung in die Datenverarbeitung möglich sein. Nichtsdestotrotz könne die Wahlfreiheit der Nutzer durch die beherrschende Stellung am Markt beeinträchtigt werden. Die beherrschende Stellung sei daher ein wichtiges Kriterium dafür, ob die Einwilligung in die Datenverarbeitung wirksam erfolgte. Die Beweislast für eine wirksame Einwilligung liege beim Betreiber des Online-Netzwerks, so der EuGH.
Weil die DSGVO grundsätzlich in den Zuständigkeitsbereich der Datenschutz-Aufsichtsbehörde falle, müsse das Bundeskartellamt aber einige Regeln beachten, so der EuGH: Die Feststellungen der Wettbewerbsbehörde ersetzten nicht die der Datenschutz-Aufsichtsbehörden. Auch sei das Bundeskartellamt zur Abstimmung mit der Datenschutz-Aufsichtsbehörde und zur Loyalität verpflichtet. Wenn ein ähnliches Verhalten schon einmal Gegenstand einer Entscheidung durch die nationale Aufsichtsbehörde oder den EuGH gewesen sei, dürfe die Wettbewerbsbehörde nicht davon abweichen. Eigene Schlussfolgerungen dürfe diese lediglich vor einem wettbewerbsrechtlichen Hintergrund treffen.
Anwendung der DSGVO: Weitere Vorgaben für das OLG Düsseldorf
Auch hinsichtlich der Prüfung, ob Facebook die Daten zulässigerweise verarbeitet hat, macht der EuGH Vorgaben. Zunächst weist er darauf hin, dass Facebook offenbar auch sensible Daten wie solche über die ethnische Herkunft oder sexuelle Orientierung (gem. Art. 9 DSGVO) verarbeitet. Deren Verarbeitung ist nach der DSGVO grundsätzlich untersagt. Hier müsse das OLG untersuchen, ob diese erhobenen Daten tatsächlich offengelegt würden.
Als nächstes stellt sich die Frage, ob die Verarbeitung sensibler Daten ausnahmsweise gerechtfertigt sein könnte, weil die Nutzer sie offensichtlich öffentlich gemacht haben (Art. 9 Abs. 2 f DSGVO). Dafür sei jedoch nicht ausreichend, dass der Nutzer Websites aufrufe oder seine Daten bei WhatsApp oder Instagram eingebe. Eine Ausnahme bestehe lediglich dann, wenn der Nutzer vorher explizit zugestimmt habe, dass er die Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich machen wolle. Weiterhin sei es an der Stelle des OLGs, zu prüfen, ob die Verarbeitung nicht sensibler Daten durch gerechtfertigt sei. Der Ausnahmetatbestand „zur Erfüllung eines Vertrags“ (Art. 6 Abs. 1 b DSGVO) sei hier nur einschlägig, wenn der Hauptgegenstand des Vertrags ohne die Datenverarbeitung nicht erfüllt werden könne. Ob ein solcher Fall vorliegt, müsse jetzt das OLG Düsseldorf beurteilen. Der Gerichtshof äußerte daran aber bereits ernsthafte Zweifel daran, dass Personalisierung der Werbung oder die durchgängige und nahtlose Nutzung der Dienste des Meta-Konzerns diese Kriterien erfüllen könnten. Im Hinblick auf den Rechtfertigungsgrund des „berechtigten Interesses“ (Art. 6 Abs. 1 f DSGVO) wird der EuGH noch klarer: Die Personalisierung der Werbung, mit der das soziale Netzwerk Facebook finanziert wird, könne nicht als berechtigtes Interesse die Datenverarbeitung rechtfertigen, sofern keine Einwilligung der betroffenen Person vorliege.
lyt