Europäischer Gerichtshof: Bundeskartellamt darf DSGVO-Verstöße von Meta prüfen

Hintergrund – Was ist das Bundeskartellamt?

Das Bundeskartellamt ist die deutsche Wettbewerbsbehörde, die für die Durchsetzung des Kartellrechts und den Schutz des Wettbewerbs in Deutschland zuständig ist. Es handelt sich um eine unabhängige Bundesbehörde, die dem Bundesministerium für Wirtschaft und Energie nachgeordnet ist. Die Hauptaufgabe besteht darin, Kartellabsprachen, wettbewerbsbeschränkende Vereinbarungen und den Missbrauch von Marktmacht zu bekämpfen.

Sachverhalt

Um sich bei Facebook anzumelden, müssen Nutzer den Allgemeinen Nutzungsbedingungen und den Richtlinien für die Verwendung von Daten und Cookies zustimmen. Diese gestatten es Meta, Daten über die Aktivitäten innerhalb und außerhalb der Plattform zu erfassen und sie den Facebook-Konten der User zuzuordnen. Wenn Nutzer also zeitgleich auf anderen Websites surfen, verwendet Meta diese Daten, um Werbung, die die Nutzer auf Facebook angezeigt bekommen, auf deren Präferenzen zuzuschneiden. Auch die Nutzungsdaten anderer Plattformen des Meta-Konzerns, wie etwa Instagram und WhatsApp, werden auf diese Weise verarbeitet. Das Bundeskartellamt (BKartA) schätzt diese Vorgehensweise 2019 als Ausnutzung einer marktbeherrschenden Stellung und untersagte Meta, in den Allgemeinen Nutzungsbedingungen den Zugang zu Facebook von der Einwilligung in die Datenverarbeitung abhängig zu machen. Zugleich verbot es dem Unternehmen, die Daten ohne Einwilligung der Nutzer zu verarbeiten. Als Grundlage für das Verbot zog das BKartA die Datenschutzgrundverordnung (DSGVO) heran. Das Unternehmen wehrte sich dagegen vor dem OLG Düsseldorf und störte sich vor allem daran, dass nicht ein Datenschutzbeauftragter Auflagen machte, sondern die Behörde die eigentlich für freien Wettbewerb sorgen soll. Das OLG setzte das Verfahren aus und legte dem EuGH diese Frage vor – Dürfen nationale Wettbewerbsbehörden DSGVO-Verstöße überhaupt prüfen?

BKartA darf Vereinbarkeit der Datenverarbeitung mit DSGVO prüfen

Die Luxemburger Richter bejahten dies (EuGH Entscheidung am 4.07.2023 – C-252/21) und gaben dabei bekannt, dass für die Kontrolle der Datensammelei nicht nur Datenschützer zuständig seien. Gemäß dem Urteil könne sich für die Wettbewerbsbehörde des betreffenden Mitgliedsstaats im Rahmen der Prüfung, ob ein Unternehmen eine beherrschende Stellung missbrauche, als notwendig erweisen, auch zu prüfen, ob das Verhalten dieses Unternehmens mit anderen als den wettbewerbsrechtlichen Vorschriften, etwa den Vorschriften der DSGVO, vereinbar sei. Wenn die nationale Wettbewerbsbehörde einen Verstoß gegen die DSGVO feststelle, trete sie nicht an die Stelle der durch diese Verordnung eingerichtete Aufsichtsbehörden. Schließlich erfolge die Prüfung, ob die DSGVO eingehalten werde, ausschließlich, um den Missbrauch einer beherrschenden Stellung festzustellen und gemäß den wettbewerbsrechtlichen Vorschriften, Maßnahmen zur Abstellung dieses Missbrauchs aufzuerlegen. Gegebenenfalls müsse sich die eine Behörde mit der anderen abstimmen. Habe eine Datenschutzbehörde bereits eine bestimmte Praxis auf DSGVO-Konformität geprüft, dürfe sich das Bundeskartellamt über diese Entscheidung nicht hinwegsetzen.

OLG muss mögliche Offenlegung sensibler persönlicher Informationen prüfen

Darüber hinaus beklagte das Gericht, dass die von Meta vorgenommene Datenverarbeitung offenbar auch besondere Kategorien von Daten betreffe, die unter anderem die rassische und ethnische Herkunft, politische Meinung, religiöse Überzeugung oder Sexualisierung offenbaren könnten und deren Verarbeitung nach der DSGVO grundsätzlich untersagt sei. Das nationale Gericht müsse daher prüfen, ob bestimmte der erhobenen Daten tatsächlich die Offenlegung solcher Informationen ermöglichen, unabhängig davon, ob diese Informationen einen Nutzer des sozialen Netzwerks oder eine andere natürliche Person betreffen.

Weiter entschied der EuGH: Wer eine Webseite aufruft, gibt damit nicht automatisch seine Einwilligung, dass das die ganze Welt wissen dürfe. Nach der DSGVO hänge viel davon ab, was der Nutzer erlaubt habe. Sensible Daten dürfen nur gesammelt werden, wenn der Nutzer das genehmigt habe. Meta dürfe nur dann auf Webseiten außerhalb von Facebook und Co. zugreifen, wenn die Nutzer das vorher klar freigegeben haben. Das bedeutet: Die Nutzung des Netzwerks dürfe nicht davon abhängen, dass man bestimmte Häkchen setzt. Notfalls müsse Meta beweisen, dass die Nutzer tatsächlich eine Wahl hatten.

Streit geht zurück an deutsches Gericht

Nach der Positionierung der europäischen Richter geht der Streit an die deutschen Gerichte zurück. Nun muss das OLG Düsseldorf entscheiden, ob die Untersagungsentscheidung des BKartA rechtmäßig war. Dabei wird es unter anderem zu prüfen haben, ob die Praxis von Meta unter einen in der DSGVO genannten Rechtfertigungsgrund fallen könnte. Hierüber entschied der EuGH nicht abschließend, äußerte jedoch Zweifel. Allein der Umstand, dass Meta sich mit personalisierter Werbung finanziere, reicht nach Ansicht des EuGHs jedenfalls nicht aus, um die fragliche Datenverarbeitung zu legitimieren.

Sie haben Fragen zu dem Thema? Unsere erfahrenen und kompetenten Rechtsanwältinnen und Rechtsanwälte im Datenschutzrecht beraten und unterstützen Sie gerne. Melden Sie sich und vereinbaren Sie einen Termin.