Rs. C‑252/21, BKar­tA vs. Meta: Schluss­an­trä­ge des GA; Kogni­ti­on des BKar­tA; Begriff der beson­de­ren Kate­go­rien von Per­so­nen­da­ten; Öffentlichmachen

Das deut­sche Bun­des­kar­tell­amt (BKar­tA) hat­te Meta, damals Face­book, mit Beschluss vom 6. Febru­ar 2019 unter­sagt, Daten aus Dien­sten wie Whats­App und Insta­gram mit dem Nut­zer­kon­to bei Face­book zu ver­knüp­fen, wenn die Nut­zer dazu nicht frei­wil­lig ein­ge­wil­ligt haben. Auch eine Samm­lung und Zuord­nung von Daten von Dritt­web­sei­ten sei nur mit frei­wil­li­ger Ein­wil­li­gung zuläs­sig. In die­sem Zusam­men­hang wur­den dem EuGH Fra­gen vor­ge­legt, zu denen der Gene­ral­an­walt am 20. Sep­tem­ber 2022 Schluss­an­trä­ge gestellt hat (Rs. 252/21).

Das BKar­tA hat­te damals im Wesent­li­chen argumentiert,

  • Meta habe auf dem Markt für sozia­le Netz­wer­ke eine beherr­schen­de Stel­lung, und
  • die Zusam­men­füh­rung von Daten kön­ne Aus­beu­tungs­miss­brauch darstellen.
  • Mas­stab für einen sol­chen Miss­brauch war dabei nach Les­art des Bun­des­kar­tell­amts die Ein­hal­tung der DSGVO.

Dazu haben wir berich­tet.

Meta hat­te den Beschluss des BKar­tA vor dem Ober­lan­des­ge­richts Düs­sel­dorf (OLG Düs­sel­dorf) ange­foch­ten, und das OLG hat­te bei der Prü­fung des Antrags auf Ertei­lung der auf­schie­ben­den Wir­kung der Beschwer­de “ernst­li­che Zwei­fel an der Recht­mä­ßig­keit die­ser kar­tell­be­hörd­li­chen Anord­nun­gen” ange­mel­det (Beschluss vom 26.08.2019 – Kart 1/19 (V)). Ins­be­son­de­re sei die erfor­der­li­che Kau­sa­li­tät zwi­schen der frag­li­chen Daten­be­ar­bei­tung und der Markt­macht nicht an der DSGVO zu mes­sen, son­dern an kar­tell­recht­li­chen Grundsätzen:

… Face­book wird nicht nur ein Daten­schutz­rechts­ver­stoß, son­dern auch ein Kar­tell­rechts­ver­stoß zur Last gelegt […]. Uner­heb­lich ist – ent­ge­gen der Ansicht des Bun­des­kar­tell­amts – daher, ob (1.) die bei der Regi­strie­rung für das sozia­le Netz­werk von Face­book den Nut­zern abver­lang­te Zustim­mung die Anfor­de­run­gen an eine im Sin­ne von Artt. 4 Nr. 11, 6 Abs. 1 Satz 1 Buchst. a DSGVO frei­wil­li­ge Ein­wil­li­gung in die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten erfüllt, […].

Nicht zu fol­gen ist dem Bun­des­kar­tell­amt bei sei­ner Schluss­fol­ge­rung, dass der zur Beur­tei­lung ste­hen­de Daten­schutz­ver­stoß der Face­book von Wett­be­wer­bern ohne markt­be­herr­schen­de Stel­lung “so nicht” began­gen wer­den kön­ne […]. Die Betrach­tungs­wei­se greift zu kurz. Für die Ver­hal­tens­kau­sa­li­tät kann allein die Fra­ge maß­geb­lich sein, ob der den Miss­brauch ver­meint­lich impli­zie­ren­de Rechts­ver­stoß – hier: die in den zustim­mungs­pflich­ti­gen Nut­zungs­be­din­gun­gen vor­ge­se­he­ne Erfas­sung, Ver­knüp­fung und Ver­wen­dung der Mehr­da­ten – kau­sal auf Markt­be­herr­schung zurück­zu­füh­ren ist. […]

Im wei­te­ren Ver­fah­ren hat­te das OLG dem EuGH eini­ge Fragen

  • im Zusam­men­hang mit der Kogni­ti­on der mit­glied­staat­li­chen Kar­tell­be­hör­den, aber auch
  • den Begrif­fen der beson­de­ren Kate­go­rien von per­so­nen­be­zo­ge­nen Daten i.S.v. Art. 9 Abs. 1 DSGVO und
  • des “offen­sicht­li­ches Öffent­lich­ma­chen” nach Art. 9 Abs. 2 lit. e DSGVO und
  • dem berech­tig­ten Inter­es­se (Art. 6 Abs. 1 lit. f DSGVO)

vor­ge­legt.

Der Gene­ral­an­walt hält dazu u.a. fol­gen­des fest bzw. ver­tritt fol­gen­de Haltung:

  • Das BKar­tA durf­te bei der Prü­fung des Miss­brauchs einer beherr­schen­den Stel­lung die Unver­ein­bar­keit des Ver­hal­tens mit der DSGVO in Betracht zie­hen. Das BKar­tA dürf­te nur nicht anstel­le einer daten­schutz­recht­li­chen Behör­de einen Ver­stoss gegen die DSGVO fest­stel­len oder ihn sank­tio­nie­ren, aber es darf inzi­dent berück­sich­ti­gen, ob ein Ver­stoss gegen die DSGVO vor­liegt. Die Wett­be­werbs­be­hör­de muss die zustän­di­ge Daten­schutz­be­hör­de aber infor­mie­ren, und wenn eine Daten­schutz­auf­sichts­be­hör­de eine Bestim­mung der DSGVO aus­ge­legt hat, dür­fe eine Wett­be­werbs­be­hör­de aber grund­sätz­lich nicht von die­ser Aus­le­gung abwei­chen. Bei Zwei­feln sol­le sie sich mit der zustän­di­gen bzw. der natio­na­len Auf­sichts­be­hör­de abstimmen.
  • Beim Begriff der beson­de­ren Kate­go­rien von Per­so­nen­da­ten sei kein Unter­schied zu machen zwi­schen per­so­nen­be­zo­ge­nen Daten, die sen­si­bel sind, weil aus ihnen eine bestimm­te Situa­ti­on “her­vor­geht”, und sol­chen, die ihrem Wesen nach sen­si­bel sind (trotz des “etwas obsku­ren Wort­lauts” von Art. 9 Abs. 1 lit. a DSGVO – das ist wohl die Reak­ti­on eines Lesers ausser­halb der Daten­schutz-Bub­ble). In die­se Rich­tung ging schon der EuGH in Rs. C‑184/20.
  • Beson­ders schüt­zens­wer­te Daten bear­bei­tet Meta nicht unbe­dingt schon dann, wenn Anga­ben über den Auf­ruf einer heik­len Web­site erho­ben wer­den. Meta hat­te denn auch ver­tre­ten, eine sol­che Bear­bei­tung lie­ge erst vor, wenn Nut­zer nach ent­spre­chen­den Kri­te­ri­en kate­go­ri­siert wer­den:

    Dies wäre nur dann der Fall, wenn die Nut­zer anhand die­ser Daten kate­go­ri­siert wür­den. Daher fie­len die Daten, die Gegen­stand der strei­ti­gen Pra­xis sei­en, nur dann unter den Schutz nach Art. 9 Abs. 1 DSGVO, wenn sie sich auf eine der von die­sem Schutz erfass­ten Kate­go­rien bezö­gen und sub­jek­tiv in Kennt­nis der Sach­la­ge und in der Absicht ver­ar­bei­tet wür­den, dar­aus die­se Infor­ma­ti­ons­ka­te­go­rien abzuleiten.

    Das BKar­tA hat­te dage­gen die Mei­nung ver­tre­ten, die Tat­sa­che des Auf­ru­fens einer bestimm­ten Inter­net­sei­te oder Nut­zung einer bestimm­ten App, deren Haupt­ge­gen­stand in einen Bereich nach Art. 9 Abs. 1 DSGVO fällt, sei bereits ein beson­ders schüt­zens­wer­tes Per­so­nen­da­ten. Der GA meint dage­gen, für Art. 9 DSGVO sei entscheidend,

    ob die ver­ar­bei­te­ten Daten es ermög­li­chen, [ein­zeln oder aggre­giert] ein Pro­fil des Nut­zers im Hin­blick auf die Kate­go­rien zu erstel­len, die sich aus der in die­ser Bestim­mung ent­hal­te­nen Auf­zäh­lung sen­si­bler per­so­nen­be­zo­ge­ner Daten ergeben.

    Dem­ge­gen­über sei es nicht erfor­der­lich, dass der Ver­ant­wort­li­che die­se Daten mit dem Ziel bear­bei­tet, beson­de­rer Kate­go­rien von Infor­ma­tio­nen abzu­lei­ten – es rei­che, wenn objek­tiv die ent­spre­chen­de Gefahr bestehe.

  • Zuläs­sig ist die Ver­ar­bei­tung beson­de­rer Kate­go­rien von Per­so­nen­da­ten u.a. dann, wenn die betrof­fe­ne Per­son sie offen­sicht­lich öffent­lich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO; Anm.: Eigent­lich ist das falsch, dann ist nur das Ver­bot von Abs. 1 auf­ge­ho­ben, die Rechts­grund­la­ge selbst liegt dann in Art. 6 Abs. 1 lit. f DSGVO). Das geschieht laut GA aber jeden­falls nicht schon dadurch, dass ein Nut­zer eine Web­site auf­ruft oder eine App nutzt. Selbst wenn ein Nut­zer via eine Web­site oder App heik­le Per­so­nen­da­ten mit Drit­ten teilt, gibt er sie nur einem defi­nier­ten Per­so­nen­kreis und nicht der All­ge­mein­heit bekannt.
  • Kei­ne Ein­wil­li­gung i.S.v. Art. 9 Abs. 2 lit. a DSGVO liegt sodann in der Zustim­mung zu Coo­kies. Hier wil­ligt der Nut­zer in ein Tracking ein, aber nicht die Ver­ar­bei­tung sen­si­bler Daten.
  • Eine Recht­fer­ti­gung durch Ver­trags­not­wen­dig­keit i.S.v. Art. 6 Abs. 2 lit. b DSGVO kann sodann nicht schon dadurch erreicht wer­den, dass ent­spre­chen­de Bestim­mun­gen in AGB auf­ge­nom­men wer­den. Um eine Umge­hung der Ein­wil­li­gung zu ver­hin­dern, müs­se man hier streng sein. Erfor­der­lich wäre eine objek­ti­ve Ver­trags­not­wen­dig­keit. Eine Per­so­na­li­sie­rung von Inhal­ten kön­ne wei­ter durch­aus auch im Inter­es­se der Nut­zer lie­gen, aber nur, soweit sie erfor­der­lich ist und im Rah­men der Nut­zer­er­war­tun­gen liegt. Das sei frag­lich, wenn auch Daten aus exter­nen Quel­len für die Per­so­na­li­sie­rung ver­wen­det werden.
  • Ein berech­tig­tes Inter­es­se von Meta – ausser­halb der sen­si­blen Daten – wäre im Ein­zel­fall zu prü­fen. Auch hier sei frag­lich, ob ein sol­ches Inter­es­se vor­lie­gen kann, wenn Daten aus Dritt­quel­len ver­wen­det wer­den. Jeden­falls müss­te sich die Ver­ar­bei­tung für das berech­tig­te Interesse

    auf das abso­lut Not­wen­di­ge beschrän­ken. Daher muss eine enge Ver­bin­dung zwi­schen der Ver­ar­bei­tung und dem wahr­ge­nom­me­nen Inter­es­se bestehen, wenn es kei­ne den Schutz per­so­nen­be­zo­ge­ner Daten weni­ger beein­träch­ti­gen­den Alter­na­ti­ven gibt, weil es nicht aus­reicht, dass die Ver­ar­bei­tung für den für die Ver­ar­bei­tung Ver­ant­wort­li­chen ledig­lich von Nut­zen ist.

    Bei der Per­so­na­li­sie­rung stel­le sich die Fra­ge, ob die Ver­wen­dung von Dritt­quel­len wirk­lich not­wen­dig ist und “wel­cher ‘Grad der Per­so­na­li­sie­rung’ der Wer­bung in die­ser Hin­sicht objek­tiv erfor­der­lich ist”. Auch beim Inter­es­se der Netz­si­cher­heit sei frag­lich, ob es Dritt­da­ten brau­che, und bei der Pro­dukt­ver­bes­se­rung sei erst recht frag­lich, dass sie ein berech­tig­tes Inter­es­se darstelle.

  • Bei der Frei­wil­lig­keit der Ein­wil­li­gung schliess­lich sei die Markt­macht von Meta zu berück­sich­ti­gen – also eigent­lich das umge­kehr­te Vor­ge­hen des BKartA:

    … bin ich der Auf­fas­sung, dass eine etwai­ge markt­be­herr­schen­de Stel­lung des für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten Ver­ant­wort­li­chen, der ein sozia­les Netz­werk betreibt, eine Rol­le bei der Beur­tei­lung der Fra­ge spielt, ob eine frei­wil­li­ge Ein­wil­li­gung des Nut­zers die­ses Netz­werks vor­liegt. Die Exi­stenz einer Markt­macht des für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten Ver­ant­wort­li­chen kann näm­lich zu einem offen­sicht­li­chen Ungleich­ge­wicht der Macht­ver­hält­nis­se in dem in Nr. 74 der vor­lie­gen­den Schluss­an­trä­ge beschrie­be­nen Sin­ne füh­ren. Es ist jedoch klar­zu­stel­len, dass zum einen sol­che Markt­macht, um für die Anwen­dung der DSGVO rele­vant zu sein, nicht not­wen­di­ger­wei­se die Schwel­le einer beherr­schen­den Stel­lung im Sin­ne von Art. 102 AEUV zu errei­chen braucht, und zum ande­ren, dass die­ser Umstand allein einer Ein­wil­li­gung nicht grund­sätz­lich jede Gül­tig­keit ent­zie­hen kann.