EU-Gerichtshof: Bundeskartellamt auch für Datenschutz zuständig

In einem Verfahren gegen Facebooks Mutterkonzern Meta hat der Europäische Gerichtshof (EuGH) die Zuständigkeit der nationalen Kartellbehörden für die Feststellung von Datenschutzverstößen bestätigt. Der EuGH deutete an, dass eine Einwilligung die einzige Rechtsgrundlage für die Datenverarbeitung des Unternehmens sein könnte.

Das oberste EU-Gericht erklärte in einem am Dienstag (4. Juli) veröffentlichten Urteil, dass die Wettbewerbsbehörden in der Lage sind, Verstöße gegen die EU-Datenschutzgrundverordnung (DSGVO) im Rahmen ihrer Ermittlungen zum Marktmissbrauch zu prüfen.

Die Entscheidung beruht auf einem Fall aus dem Jahr 2019, an dem das Bundeskartellamt, und Meta, die Muttergesellschaft von Facebook, beteiligt waren. Die Behörde hatte Meta untersagt, aggregierte Daten von Facebook-Nutzern, die von Seiten Dritter oder anderen Meta-Plattformen gesammelt wurden, zu verarbeiten, um personalisierte Werbung zu zeigen.

Meta legte gegen das Urteil Berufung ein, und der Fall wurde an den EU-Gerichtshof verwiesen. Dieser soll darüber entscheiden, ob sich die nationalen Wettbewerbsbehörden im Rahmen von Untersuchungen zum möglichen Missbrauch einer Marktposition mit Fragen der Einhaltung des Datenschutzes befassen dürfen.

„Der Zugang zu personenbezogenen Daten und ihre Verwendung sind in der digitalen Wirtschaft von großer Bedeutung „, heißt es in dem Urteil des Gerichtshofs. „Der Zugang zu personenbezogenen Daten und die Möglichkeit, diese Daten zu verarbeiten, sind zu einem wichtigen Wettbewerbsfaktor zwischen Unternehmen in der digitalen Wirtschaft geworden.“

„Daher würde der Ausschluss der Vorschriften zum Schutz personenbezogener Daten aus dem Rechtsrahmen, der von den Wettbewerbsbehörden bei der Prüfung des Missbrauchs einer marktbeherrschenden Stellung zu berücksichtigen ist, die Realität dieser wirtschaftlichen Entwicklung ignorieren. Dies könnte die Wirksamkeit des Wettbewerbsrechts in der Union beeinträchtigen.“

Die andere wichtige Konsequenz könnte jedoch die Rechtsgrundlage von Meta betreffen. Diese wurde bereits von den Datenschutzbehörden diskutiert.

Rechtsgrundlage

Wenn sich Nutzer bei Facebook registrieren, müssen sie die Geschäftsbedingungen akzeptieren, einschließlich einer Cookie-Richtlinie, die es erlaubt, Daten sowohl auf der Website als auch außerhalb der Website zu sammeln. Diese „Off-Facebook-Daten“ umfassen Daten, die von Websites und Apps von Drittanbietern und anderen Meta-Diensten wie Instagram und WhatsApp stammen.

Im Jahr 2019 leitete das Bundeskartellamt ein Verfahren gegen Meta ein. Darin wird dem Unternehmen untersagt, die von deutschen Nutzern erhobenen Off-Facebook-Daten ohne deren Zustimmung zu verarbeiten. Es forderte das Unternehmen außerdem auf, seine Geschäftsbedingungen zu ändern und klarzustellen, dass diese Daten nicht gesammelt werden.

Darüber hinaus stellte die deutsche Behörde fest, dass die Einwilligung der Nutzer ungültig ist, wenn sie als Bedingung für die Nutzung des sozialen Netzwerks dient. Dies ist die so genannte „vertragliche“ Rechtsgrundlage, die auch vom Europäischen Datenschutzausschuss für rechtswidrig befunden wurde.

Meta argumentierte, dass die Datenverarbeitung auf der Grundlage einer vertraglichen Vereinbarung mit der betroffenen Person erfolgt, die bei der Registrierung geschlossen wird.

In seinem Urteil stellte der Gerichtshof jedoch fest, dass die Notwendigkeit, vertragliche Verpflichtungen zu erfüllen, als Rechtsgrundlage für die Datenverarbeitung nur dann gilt, wenn diese Verarbeitung für eine Dienstleistung unerlässlich ist.

Der EU-Gerichtshof kam zu dem Schluss, dass Facebooks Einsatz von personalisierter Werbung als Finanzierungskonzept die Datenverarbeitung ohne die Zustimmung der Betroffenen nicht rechtfertigen kann.

Der österreichische Datenschutzaktivist Max Schrems begrüßte das Urteil: „Es stellt klar, dass Meta die Datenschutz-Grundverordnung nicht einfach mit einigen Paragraphen in ihren Rechtsdokumenten umgehen kann. Das bedeutet, dass Meta eine ordnungsgemäße Einwilligung einholen muss und seine marktbeherrschende Stellung nicht dazu nutzen kann, Menschen zu zwingen, Dingen zuzustimmen, die sie nicht wollen.“

Das Bundeskartellamt stellte fest, dass diese Datenverarbeitung einen Missbrauch der marktbeherrschenden Stellung des Unternehmens darstellte.

Außerdem stellte es fest, dass die marktbeherrschende Stellung von Meta die Benutzer zwar nicht daran hindert, der Verarbeitung ihrer Daten rechtmäßig zuzustimmen, sie aber ein Ungleichgewicht zwischen dem Betreiber und dem Benutzer schafft. Daher bleibt die Frage, ob eine solche Zustimmung frei und fair erteilt wurde offen.

Umfang der Ermittlungen

In seinem Urteil vom Dienstag stellte der Gerichtshof fest, dass es für eine nationale Kartellbehörde im Rahmen solcher Untersuchungen notwendig sein kann, zu prüfen, ob die Akteure in anderen Bereichen als dem Wettbewerbsrecht, beispielsweise dem Datenschutz, die Vorschriften einhalten.

Die Wettbewerbsbehörden ersetzen weder die Datenschutzbehörden, noch sollten sie die Anwendung oder Einhaltung dieser Verordnung überwachen.

Der einzige Zweck ihrer Prüfung in diesem Bereich sollte die Feststellung eines Machtmissbrauchs sein. Alle Maßnahmen, die auf der Grundlage dieser Feststellungen verhängt werden, sollten im Kartellrecht verankert sein.

Der Gerichtshof rief auch zur Zusammenarbeit zwischen den beteiligten Behörden auf. Er wies darauf hin, dass die Wettbewerbsbehörden alle bestehenden Urteile über die Einhaltung der Datenschutzvorschriften durch das betreffende Unternehmen suchen und befolgen sollten. Es steht den Kartellbehörden jedoch frei, ihre eigenen Schlussfolgerungen aus wettbewerbsrechtlicher Sicht zu ziehen.

Der EuGH befasste sich auch mit der Verarbeitung „besonderer Kategorien“ von Daten durch Meta. Dabei handelt es sich um Daten, die sensible Informationen über die Betroffenen preisgeben könnten. Zum Beispiel ihre Herkunft, ihre politische Meinung oder ihre sexuelle Ausrichtung. Die Verarbeitung dieser Daten ist nach dem EU-Datenschutzrecht verboten.

Es obliegt den nationalen Behörden zu entscheiden, ob diese Informationen durch die erhobenen Daten aufgedeckt werden können, so die EU-Richter.

Die Richter fügten jedoch hinzu, dass der bloße Besuch von Webseiten oder Apps, die solche Informationen preisgeben, sowie die Eingabe von Informationen oder das Anklicken von Beiträgen nicht automatisch bedeuten, dass die Nutzer ihre Daten öffentlich gemacht haben und somit für die Verarbeitung durch Plattformen offen sind.

[Bearbeitet von Luca Bertuzzi/Zoran Radosavljevic/Kjeld Neubert]