Am 4. Juli 2023 gab der Europäischen Gerichtshofs (EuGH) dem Bundeskartellamt recht. Dieses hatte im Jahr 2019 dem Facebook-Betreiber Meta Platforms Ireland verboten, nutzer- und gerätebezogene Daten ohne explizite Einwilligung der Nutzer:innen zu sammeln und in einem Nutzerprofil zusammenzuführen. Bisher hatte Meta personenbezogene Daten von Aktivitäten innerhalb und außerhalb des sozialen Netzwerks ohne eine Einwilligung der Nutzenden entsprechenden Facebook-Konten zugeordnet.
Klar wurde im Urteil auch: Die Einhaltung der Datenschutzgrundverordnung (DSGVO) überwachen federführend die Datenschutzaufsichtsbehörden. Die nationalen Wettbewerbsbehörden sind verpflichtet, sich abzustimmen und loyal mit dem Datenschutz zusammenzuarbeiten.
AGB kein Freifahrtschein für personalisierte Inhalte und Werbung
Personenbezogene Daten, so stellte der EuGH klar, dürfen nur dann verarbeitet werden, wenn sie benötigt werden, um die Vertragsleistung zu erfüllen. Telemediendienste und Soziale Netzwerke dürfen Daten also nur für die Bereitstellung des Netzwerks verarbeiten, nicht aber, um personalisierte Inhalte oder Werbung auszuspielen. Das gilt auch, wenn ein Soziales Netzwerk wie Facebook unentgeltlich ist.
Meta stützte sich bisher zur Verarbeitung auf die Allgemeinen Nutzungsbedingungen, denen Nutzer:innen pauschal zustimmen mussten, um den Registrierungsprozess bei Facebook abzuschließen. Das Bundeskartellamt sah hierin eine missbräuchliche Ausnutzung der marktbeherrschenden Stellung des Sozialen Netzwerks und einen Verstoß gegen die DSGVO – weshalb das Bundeskartellamt im Austausch mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit stand.
Sensible personenbezogene Daten dürfen nicht zusammengeführt werden
Personenbezogene Daten besonderer Kategorien (beispielsweise zur Ethnie, Religion, politischen Ausrichtung oder zur sexuellen Orientierung) dürfen nicht durch die bloße Nutzung verschiedener Dienste erhoben und in einem Nutzerprofil gebündelt werden. Eine Ausnahme besteht lediglich dann, wenn Nutzer:innen diese Informationen offensichtlich selbst öffentlich machen. Die Anforderungen an das Vorliegen dieser Ausnahme sind streng. Entsprechend hatte sich bereits der Europäische Datenschutzausschuss (EDSA) in seinen Targeting-Guidelines geäußert; diese Ansicht hat der EuGH nun bestätigt.
Pflicht zur loyalen Zusammenarbeit
Primär und vorrangig sind die Datenschutzaufsichtsbehörden für die Anwendung und Durchsetzung der DSGVO zuständig. Während in der Praxis immer mehr Berührungspunkte zwischen Marktregulierung und Datenschutz entstehen, gibt die benannte Pflicht der Wettbewerbsbehörden, sich vorab mit den zuständigen Datenschutzaufsichtsbehörden abzustimmen, Anbietern und User:innen die nötige Rechtssicherheit.
Umsetzung vs. Marktmonopol
Nutzer:innen sind gegenüber Anbietern, die de facto ein Monopol ausüben, kaum in der Lage, bestimmte Nutzungsbedingungen abzulehnen, wenn sie die eigentliche Dienstleistung nutzen wollen. Auf Vorschlag des HmbBfDI hat die Datenschutzkonferenz einen Beschluss zur Bewertung von Pur-Abo-Modellen auf Webseiten gefasst und veröffentlicht. Auch der EuGH fordert in seinem Urteil die Möglichkeit ein, die Verarbeitung bestimmter Daten ablehnen zu können und stattdessen ein angemessenes Entgelt zu zahlen, um die Dienstleistung dennoch nutzen zu können.
Weiterführende Informationen
Eine ausführliche Einordnung des Urteils durch den HmbBfDI finden Sie hier.
Das EuGH-Urteil vom 4. Juli 2023, Rs. C-252/ in voller Länge.
