Das Ende des Daten-Eldorados

Das Zeitalter des „Daten-Eldorados“ dürfte vorbei sein. Nach dem epochalen Urteil des Europäischen Gerichtshofs im Fall Meta (Rs. C-252/21, 4.7.2023) wird sich das Geschäftsmodell der Big-Data-Unternehmen grundlegend ändern müssen – zum Schutz ihrer Nutzer vor Missbrauch ihrer persönlichen Daten und der Öffentlichkeit vor Missbrauch der marktbeherrschenden Stellungen dieser Unternehmen.

Eine empfindliche Niederlage ist das EuGH-Urteil im konkreten Fall zunächst für den Facebook-Mutterkonzern Meta, und zwar in mehrfacher Hinsicht. So bestätigt der Luxemburger Gerichtshof erstens, dass Wettbewerbsbehörden im Rahmen ihrer kartellrechtlichen Untersuchungen auch Datenschutzverstöße feststellen und zum Gegenstand eines Missbrauchsverfahrens machen können. Nach Klärung dieser wichtigen Vorfrage weist der EuGH sodann zweitens das weit reichende Verständnis der Erforderlichkeit der Datenverarbeitungsprozesse durch Facebook zurück. Auch die berechtigten Interessen von Facebook an einer Datenverarbeitung schränkt der EuGH angesichts der Fülle der Datenverarbeitungsprozesse durch Facebook erheblich ein. Schließlich stellt der Gerichtshof strenge Anforderungen an die Wirksamkeit einer Einwilligung, die von einem marktbeherrschenden Unternehmen wie Facebook eingeholt wird. In der Sache geht es dabei um das Herzstück der Datenverarbeitung durch Facebook und zwar sowohl auf seiner Plattform selbst als auch von Daten außerhalb des sozialen Netzwerks (sog. „Off-Facebook-Daten) und schließlich deren Verknüpfung. Die „Off-Facebook-Daten“ umfassen zum einen Daten, die sich aus anderen dem Meta-Konzern zugehörigen Online-Diensten wie Instagram, WhatsApp und Oculus speisen, zum anderen aber auch jene, die beim Besuch dritter Websites und Apps erhoben werden, die über „Facebook Business Tools“ mit Facebook verbunden sind.

Zusammenspiel von Kartell- und Datenschutzrecht

Zu verdanken ist die Entscheidung des EuGH dem OLG Düsseldorf, das im Rahmen eines Beschwerdeverfahrens von Meta gegen das Bundeskartellamt (BKartA) eine Vielzahl von Fragen zur Vorabentscheidung vorgelegt hat. Der Kartellsenat des OLG Düsseldorf wollte vom EuGH im Wesentlichen wissen, inwiefern datenschutzrechtliche Belange bei der Anwendung des Kartellrechts Berücksichtigung finden können. Umstritten war konkret, ob der Vorwurf des Missbrauchs einer marktbeherrschenden Stellung auch oder sogar primär auf datenschutzwidrige Geschäftspraktiken gestützt werden kann. Der EuGH hat diese Frage nunmehr bejaht und zwar mit durchaus deutlichen Worten. Der Ausschluss des Datenschutzrechts aus der kartellrechtlichen Prüfung würde „die tatsächliche wirtschaftliche Entwicklung verkennen“ und mehr noch „die Wirksamkeit des Wettbewerbsrechts in der Union gefährden“.

Das Risiko, dass Kartell- und Datenschutzbehörden zu unterschiedlichen Ergebnissen kommen und so Konflikte entstehen, die im Übrigen ultimativ ohnehin vom EuGH aufgelöst werden müssen, reduziert der EuGH durch prozedurale Lösungen. Sicherzustellen ist laut EuGH, dass die Verpflichtungen und Ziele der DS-GVO beachtet werden und deren praktische Wirksamkeit gewahrt bleibt, wenn eine nationale Wettbewerbsbehörde wie das BKartA im Rahmen ihrer Zuständigkeit auch die Wahrung des Datenschutzrechts in den Blick nimmt. Die Wettbewerbsbehörde muss sich in einem solchen Fall mit den Datenschutzaufsichtsbehörden abstimmen und loyal mit diesen zusammenarbeiten. Aus datenschutzrechtlicher Perspektive, insbesondere auch der Datenschutzaufsichtsbehörden hierzulande, war das Verfahren des BKartA von Anfang an ein Verfahren im besten Sinne der DS-GVO gewesen. Vorbehaltlich anderweitiger Feststellungen durch das vorlegende Gericht skizziert auch der EuGH in seiner Entscheidung, dass und warum das BKartA bislang seine Pflicht zur loyalen Zusammenarbeit erfüllt hat.

Begrenzte Erforderlichkeit einer Datenverarbeitung gem. Art. 6 Abs. 1 lit. b DS-GVO

Für Meta bedeutet die Entscheidung des EuGH vor allem auch deshalb einen schweren Rückschlag, weil sich mit dieser Entscheidung weite Teile seiner Rechtfertigungsstrategie für eine äußerst weit reichende Verarbeitung von Nutzerdaten in Luft aufgelöst haben. Die bisherige Strategie stützte sich im Wesentlichen auf den an sich harmlosen Erlaubnistatbestand des Art. 6 Abs. 1 lit. b DS-GVO. Zulässig ist danach eine Verarbeitung personenbezogener Daten, soweit diese für die Erfüllung eines Vertrags erforderlich ist. Normiert ist damit also zunächst einmal eine bloße Selbstverständlichkeit. Dass eine Datenverarbeitung, die im Rahmen eines vertraglichen Schuldverhältnisses erforderlich ist, erlaubt sein muss, folgt schon aus der Natur der Sache. Stets muss eine Verarbeitung solcher Daten zulässig sein, ohne deren Kenntnis für die datenverarbeitende Stelle die Durchführung eines vertraglichen Schuldverhältnisses überhaupt nicht möglich wäre: Wer ist der Vertragspartner, wo ist die Lieferadresse, wie wird bezahlt usw.? Eine ganz neue Dimension hat dieser Erlaubnistatbestand dann aber im Datenkosmos von Meta erfahren. Nach dem Rechtsverständnis des Meta-Konzerns ist lit. b zu einer Art Allheilmittel mutiert, das im Ergebnis nahezu jeder vom Konzern gewünschten Variante einer Datenverarbeitung Legitimation verleihen soll.

Nach der bisherigen Privacy Policy von Meta ist schlichtweg alles erforderlich zur Vertragserfüllung im Sinne des Art. 6 Abs. 1 lit. b DS-GVO, was das Netzwerk für die bestmögliche Optimierung seiner Geschäftsprozesse gerne wissen würde. Das Unternehmen definiert für sich selbst ein bestimmtes Angebots- und Geschäftsmodell wie die „Personalisierung“ von Nutzererlebnissen oder die „durchgängige und nahtlose Nutzung“ verschiedener Meta-Dienste, um auf dieser Grundlage dann jede Variante der Datenverarbeitung als „erforderlich“ im Sinne des Art. 6 Abs. 1 lit. b DS-GVO zu präsentieren. Nach dem Motto: Weitestmöglich personalisiert und nahtlos können Metanutzer nur dann die Dienste konsumieren, wenn auch die Datenbasis dafür so weit wie möglich ausgedehnt wird.

Warum dieses Verständnis rechtlich nicht haltbar ist, hat das BKartA in seinem Verfahren gegen Meta bzw. Facebook bereits in seinem Beschluss vom Februar 2019 (B6-22/16, 6.2.2019) ausführlich begründet – und dafür nun vom EuGH höchstrichterliche Bestätigung erfahren. Zutreffend hat die Wettbewerbsbehörde herausgearbeitet, dass es mit Sinn und Zweck von Art. 6 Abs. 1 lit. b DS-GVO nicht vereinbar ist, „alle denkbaren mit dem Dienst zusammenhängenden Datenverarbeitungsprozesse im wirtschaftlichen Interesse eines selbstdefinierten datengetriebenen Geschäftsmodells“ als erforderlich im Sinne des Datenschutzrechts einzuordnen. Im Ergebnis würde das Tatbestandsmerkmal der Erforderlichkeit jegliche Begrenzungswirkung verlieren, würde man dieses Merkmal der Definitionshoheit datenverarbeitender Unternehmen überlassen, indem diese einseitig die Erforderlichkeit auf Grundlage der von ihnen selbst vorgegebenen Geschäftsmodelle und Vertragsinhalte bestimmen. Damit ganz auf der Linie liegt nun die aktuelle Entscheidung des EuGH, der für eine Erforderlichkeit iSv lit. b fordert, dass die anvisierte Datenverarbeitung „objektiv unerlässlich“ sein muss, „um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist“. Bei Zielsetzungen wie der Personalisierung oder der durchgängigen und nahtlosen Nutzung verschiedener Dienste sollen diese Anforderungen gerade nicht erfüllt sein. Diese mögen zwar irgendwie „von Nutzen“ sein, sind nach Überzeugung des EuGH aber gerade nicht „objektiv unerlässlich“, um die eigentlichen Kernbestandteile der von Meta offerierten Dienstleistungen erbringen zu können.

Beschränkte berechtigte Interessen von Facebook nach Art. 6 Abs. 1 lit. f DS-GVO

Ähnlich restriktiv hegt der EuGH das Interesse von Facebook an personalisierter Werbung als Rechtfertigungsgrund nach Art. 6 Abs. 1 lit. f DS-GVO ein. Zwar erkennt er ein solches Interesse an, sieht aber die gegenläufigen Schutzinteressen des Nutzers als gewichtiger an als die Finanzinteressen von Facebook. In diesem Zusammenhang greift der EuGH eine Argumentationsfigur aus seiner Entscheidung zur staatlich veranlassten Vorratsdatenspeicherung auf und sieht angesichts der Fülle der von Facebook aufgezeichneten Online-Aktivitäten, dass diese beim Nutzer „das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird“. Das Geschäftsmodell einer derartig weit reichenden Datenverarbeitung wie bei Facebook mit dem Ziel einer personalisierten Werbung lässt sich damit kaum über die gesetzlichen Zulässigkeitstatbestände rechtfertigen, was auch für andere Big-Data-Unternehmen wie Google empfindliche Auswirkungen haben kann. Hinsichtlich der weiteren Interessen des Meta-Konzerns – wie der Gewährleistung der Netzsicherheit und der Produktverbesserung – gibt der EuGH dem vorlegenden Gericht „Segelanweisungen“, die weitreichende Rechtfertigungen ebenfalls eher ausschließen.

Grenzen einer Einwilligung nach Art. 7 DS-GVO

Damit wird Meta und die zugehörigen Gesellschaften wie Facebook im Wesentlichen darauf zurückgeworfen, eine Einwilligung einholen zu müssen. Hier bereitet der EuGH den Weg für ein neues Modell der „Kommerzialisierungsfairness“. So kann Facebook nicht auf das Prinzip „friss oder stirb“ setzen, also eine Einwilligung in alle Datenverarbeitungsprozesse dadurch erzwingen, dass andernfalls eine Nutzung des Dienstes vollständig ausgeschlossen ist. Vielmehr wird Facebook feingranularere Einwilligungsoptionen anbieten müssen. So kann insbesondere nicht pauschal die Nutzung auch von „Off-Facebook-Daten“ in die Einwilligungen einbezogen werden. Vielmehr müssen Möglichkeiten geschaffen werden, einzelne Verarbeitungsarten auszuschließen. Da die Dienste von Facebook aber über die umfassende Verarbeitung von Daten vor allem mit dem Ziel der personalisierten Werbung finanziert werden, kann Facebook im Falle der Ablehnung von Einwilligungen stattdessen auf Geldzahlungen setzen. Allerdings darf Facebook als marktdominantes Unternehmen lediglich ein „angemessenes Entgelt“ verlangen. Es werden sich also, wie von uns schon seit geraumer Zeit angemahnt, „Zahlsysteme“ ausdifferenzieren müssen, die dauerhaft auch den Wert von Daten für die Nutzer von Diensten transparent machen werden. Um die Freiwilligkeit von Einwilligungen zu gewährleisten, müssen Ausweichalternativen geschaffen werden, die dann kostenpflichtig sein können. Das entspricht der Logik sogenannter „PUR“-Modelle von Inhalteanbietern wie Online-Zeitungen. Entweder zahle ich für die Dienste also mit meinen Daten oder mit Geld; denkbar sind ebenfalls Mischmodelle. Dabei müssen Facebook und andere marktdominante Anbieter auf die Angemessenheit von Leistung und Gegenleistung achten, dürfen die Nutzer also nicht missbräuchlich ausbeuten. Kartell- und datenschutzrechtliche Logik geben sich hier die Hand.

Epochale Auswirkungen auf Big-Data-Unternehmen

Auch wenn der EuGH dem nationalen Gericht Spielräume bei der Anwendungs- und Konkretisierungsarbeit der von ihm vorgegebenen großen Linien belässt, weisen diese doch den Weg für eine Neuvermessung der Datenverarbeitung durch Big-Data-Unternehmen. Facebook und Co. werden Teile ihrer Verarbeitungspraktiken einstellen bzw. einer feingranularen Einwilligungslogik öffnen müssen. Sie müssen mit entgeltfinanzierten Alternativen die digitale Souveränität der Nutzer stärker in den Blick nehmen. Insoweit zeichnen sich spannende Parallelentwicklungen diesseits und jenseits des Atlantiks ab. Denn just in Kalifornien, dem Mutterland von Meta und vielen anderen ^-Data-Unternehmen, ist ein modernes Datenschutzrecht geschaffen worden, das auf ähnliche Art eine Kommerzialisierungsfairness einfordert und sich der Logik eines „Zeitalters des Überwachungskapitalismus“¹⁾ entgegenstemmt. Insoweit könnte das – auch noch am US-amerikanischen Unabhängigkeitstag gefällte – Urteil des EuGH vom 4. Juli durchaus eine neue Ära der Datenkommerzialisierung einläuten, im positiven Sinne geprägt durch einen selbstbestimmten, transparenten und fairen Umgang mit personenbezogenen Daten als Währung des digitalen Zeitalters.

Die Autoren geben gemeinsamen einen datenschutzrechtlichen Kommentar heraus und forschen zum Thema „Kommerzialisierungsfairness“ im Rahmen eines DFG-Projektes, zuletzt auch an der University of California, Berkeley.