Takeaways (AI):
- Der EuGH erlaubt nationalen Kartellbehörden, AGB-DSGVO Verstöße zu prüfen, um Marktmissbrauch festzustellen.
- Die marktbeherrschende Stellung einer Plattform beeinflusst die Einwilligung der Nutzer, bleibt aber nicht deren Ursache.
- Facebook verarbeitet besondere Kategorien von Personendaten, dies muss vom OLG Düsseldorf geprüft werden.
- Die Rechtsgrundlage des Vertrags erfordert, dass Cookie-Daten für die Vertragsleistung unerlässlich sind, sonst ist die Verarbeitung nicht legitim.
Der EuGH hat bereits am 4. Juli 2023 in der Rs. C‑252/21 im Verfahren des deutschen BKartA gegen Meta (Facebook) entschieden (hier zu den Schlussanträgen des GA, dem sich der EuGH weitgehend anschliesst), dass
- mitgliedstaatliche Kartellbehörden bei der Prüfung des Missbrauchs einer marktbeherrschenden Stellung prüfen bzw. feststellen dürfen, dass die AGB des betreffenden Unternehmens gegen die DSGVO verstossen – dies, soweit diese Feststellung das Vorliegen des Marktmissbrauchs belegen kann. Dabei darf die Behörde allerdings nicht von einschlägigen Entscheidungen der Datenschutzbehörden abweichen, und im Zweifel muss sie die Aufsichtsbehörden zur Klärung konsultieren oder nachfragen, ob eine solche Entscheidung bevorsteht; sie darf dann die eigene Untersuchung nur fortsetzen, wenn die Aufsichtsbehörden keinen Einwand erheben oder sich damit nicht befassen;
- diue marktbeherrschende Stellung einer Plattform eine wirksame Einwilligung noch nicht ausschliesst, aber sie ist ein “wichtiger Aspekt für die Prüfung”, ob die Einwilligung freiwillig ist.
Zum Datenschutz hält der EuGH u.a. fest, dass
- Facebook besondere Kategorien von Personendaten bearbeitet, wenn Facebook via Cookies o.dgl. registriert, dass ein Nutzer eine Website oder App mit Bezug auf den Gegenstand besonderer Personendaten nutzt, sich dort registriert, Bestellungen aufgibt usw., und diese Daten mit dem Nutzerkonto verbindet. Ob dies hier der Fall ist, muss das vorlegende OLG Düsseldorf prüfen;
- der Nutzer durch das entsprechende Aufrufen einer Website oder App seine Surfdaten nicht “offensichtlich öffentlich” (Art. 9 Abs. 2 lit. e DSGVO) macht – das täte er nur, wenn er zuvor, in Kenntnis der Sachlage, explizit zum Ausdruck bringt, dass er die entsprechenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich machen will. Das kann auch durch ein “Like” o.dgl. erfolgen, sofern dem Nutzer klar ist, was er tut;
- die Rechtsgrundlage des Vertrags nur greift , wenn die Cookie (usw.)-Daten objektiv unerlässlich sind für einen “notwendigen Bestandteil der Vertragsleistung”. Es reicht nicht, dass der Vertrag die fragliche Verarbeitung erwähnt oder diese für die Vertragserfüllung lediglich hilfreich ist. Die Personalisierung von Werbung ist wohl nicht erforderlich; auch dies muss das OLG Düsseldorf aber prüfen;
- berechtigte Interessen von Facebook würden nur vorliegen, wenn die bearbeiteten Nutzungsdaten für das berechtigte Interesse – dazu gehören Marketing, Sicherheit und die Produktverbesserung, nicht aber die Prävention von Straftaten; dies habe mit der wirtschaftlichen Tätigkeit von Meta nichts zu tun (?) – “absolut notwendig” sind, diese Interessen also anders nicht gewahrt werden können, und die Interessen der Betroffenen nicht überwiegen. Dabei spielt die Nutzererwartung eine wesentliche Rolle:
[…] auch wenn die Dienste eines sozialen Online-Netzwerks wie Facebook unentgeltlich sind, [kann] der Nutzer dieses Netzwerks vernünftigerweise nicht damit rechnen […], dass der Betreiber dieses sozialen Netzwerks seine personenbezogenen Daten ohne seine Einwilligung zum Zweck der Personalisierung der Werbung verarbeitet.
Allerdings müssen die Nutzer die Freiheit haben, die Einwilligung in Datenverarbeitungsvorgänge zu verweigern, die für die Erfüllung des Vertrags nicht erforderlich sind, und zwar einzeln,
was bedingt, dass ihnen, gegebenenfalls gegen ein angemessenes Entgelt, eine gleichwertige Alternative angeboten wird, die nicht mit solchen Datenverarbeitungsvorgängen einhergeht.