EU-Datenschützer positionieren sich zu „Pay or Consent“-Modellen

Geschrieben am von Dr. Lukas Mezger

Besucht man eine Nachrichtenseite, wird man nicht selten vor die Wahl gestellt: „mit Werbung weiterlesen“ oder „kostenpflichtig ohne Werbung“? Diese „Pay or Consent“-Modelle (auch „Cookie-Walls“ oder „Pur-Lösung“ genannt) wurden nun vom Zusammenschluss der EU-Datenschutzaufsichtsbehörden, dem Europäischen Datenschutzausschuss (EDSA), unters Licht genommen. In seiner Stellungnahme äußerte der EDSA insbesondere Zweifel an der erforderlichen Freiwilligkeit einer von den Nutzern erteilten Einwilligung zur Verarbeitung ihrer personenbezogener Daten zu Werbezwecken.

Die Stellungnahme wurde auf Initiative der niederländischen, norwegischen und hamburgischen Datenschutzbehörden verabschiedet – jede EU-Aufsichtsbehörde kann beantragen, dass eine Angelegenheit mit allgemeiner Bedeutung vom EDSA geprüft wird.

Im Falle von „Pay or Consent“-Modellen willigen Nutzer in die Verarbeitung ihrer personenbezogenen Daten ein, wenn sie nicht eine kostenpflichtige Variante des Angebots nutzen. Diese personenbezogenen Daten nutzt der Anbieter wiederum, um personalisierte Werbung auf der Website zu schalten. Nach Ansicht des EDSA werden Nutzer auf diese Weise dazu gezwungen, Entscheidungen zu treffen, die sie sonst nicht treffen würden, da die meisten Nutzer der Verarbeitung ihrer personenbezogenen Daten zustimmen, um das Angebot kostenfrei nutzen zu können. Dabei würden sie mitunter nicht genau verstehen, wozu sie ihre Einwilligung erteilen, befürchtet der EDSA.

Genutzt werden „Pay or Consent“-Modelle auch und vor allem von so genannten „großen Online-Plattformen“ wie Facebook. Damit niemand von deren Nutzung ausgeschlossen wird, fordert der EDSA, dass diese großen Plattformen ihren Nutzern eine „echte“ Wahl geben müssen, die neben der Einwilligung in die Verarbeitung personenbezogener Daten und die kostenpflichtige Nutzung des Angebots auch noch die Möglichkeit eröffnet, das Angebot mit nicht-personalisierter Werbung zu nutzen. Nur auf diese Weise, so der EDSA, könne verhindert werden, dass Nutzer, die einer Verarbeitung ihrer personenbezogenen Daten nicht zustimmen, Angebote großer Online-Plattformen überhaupt nicht nutzen können.

Die Haltung des EDSA wurde vom Bundesverband Digitale Wirtschaft (BVDW) scharf kritisiert. Der BVDW hebt hervor, dass mit den „Pay or Consent“-Modellen etwa Online-Journalismus finanziert würde, indem Nutzer von Nachrichtenseiten entweder selbst eine Gebühr an den Anbieter zahlen oder aber der Anbieter Werbeflächen verkauft, die höhere Preise erzielen, wenn sie für personalisierte Werbung genutzt werden können. Dieses Geschäftsmodell entspreche der Idee der Marktwirtschaft, wäre aber nicht mehr tragfähig, müssten die Anbieter auch die Nutzung der Website ohne personalisierte Werbung ermöglichen. Das Grundrecht auf Datenschutz dürfe nicht in die unternehmerische Freiheit der Betreiber eingreifen.

Für Kritik sorgte auch die vom EDSA verwendete Terminologie. So bezieht sich die Stellungnahme dem Wortlaut nach nur auf so genannte Large Online Platforms, also Anbieter wie Google oder Facebook. Aus dem Zusammenhang des Texts ergibt sich jedoch, dass damit eigentlich doch alle Marktteilnehmer, also auch kleinere Anbieter, gemeint sein sollen. Laut dem BVDW entstehe durch die nicht trennscharfe Bezeichnung eine erhebliche Rechtsunsicherheit.

Damit Sie und Ihr Unternehmen Ihr Geschäftsmodell weiterhin DSGVO-konform und entsprechend den Anforderungen aus der Stellungnahme des EDSA nutzen können, stehen wir Ihnen gerne beratend zur Seite.

Der EDSA macht Druck auf die Affiliate-Branche: auch URL-Tracking soll einwilligungspflichtig werden

Geschrieben am von Dr. Lukas Mezger

Wann muss für Online-Tracking eine Einwilligung eingeholt werden? Die Antwort auf diese Frage ist ständig im Fluss – und hat auch mit dem Inkrafttreten des neuen deutschen „Cookie-Gesetzes“ TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) vor zwei Jahren keine definitive Antwort gefunden. Offen war dabei insbesondere, ob alternative, insbesondere „cookie-freie“ Tracking-Techniken wie das URL-Tracking auch vom Einwilligungserfordernis nach § 25 TTDSG (beziehungsweise der ePrivacy-Richtlinie, auf der das TTDSG beruht) erfasst werden oder eben nicht.

Der Europäische Datenschutzausschuss (EDSA) – der Zusammenschluss der Datenschutzaufsichtsbehörden innerhalb der EU – hat sich Ende 2023 in einem Entwurf für ein neues Positionspapier zu genau dieser Fragestellung geäußert. Zunächst findet sich darin das zu Grunde gelegte technische Verständnis und ein Verweis auf die Bedeutung von URL-Tracking in der Affiliate-Branche (zum besseren Verständnis sind die Zitate gekürzt): 

„[Bei] Tracking-Links [wird eine] Kennung […] an die Adresse der Website angehängt. […] E-Commerce-Websites können beispielsweise verfolgte Links an Partner weitergeben, die diese auf ihrer Domain verwenden, so dass die E-Commerce-Website weiß, welcher ihrer Partner für einen Verkauf verantwortlich ist und eine Provision zahlt; diese Praxis ist als Affiliate-Marketing bekannt.“

Anschließend macht sich der EDSA die Beantwortung der Frage nach dem Einwilligungserfordernis einfach. Aus Sicht des Entwurfs

„ist es klar, dass es sich [beim URL-Tracking] um eine Speicherung [von Daten] auf dem Endgerät des Nutzers […] handelt, zumindest [im Browser-Cache]. Als solches ist Artikel 5(3) ePD anwendbar.“

Diese Aussage ist wichtig, weil das „Speichern von Daten auf dem Endgerät des Nutzers“ die Formulierung ist, welche das Einwilligungserfordernis nach § 25 TTDSG (beziehungsweise der ePrivacy-Richtlinie) auslöst. Daraus zieht der EDSA dann auch direkt die folgende, für die Onlinemarketing-Branche relevante Schlussfolgerung:

„Die [Nutzung von] Tracking-Links […] stellt eine Anweisung an das Endgerät dar, die [Tracking-Information] zurückzusenden. […] Folglich kann davon ausgegangen werden, dass die Erfassung der von […] Tracking-URL[s] bereitgestellten Kennungen eine „Zugriffsgewährung“ im Sinne [der ePrivacy-Richtlinie] darstellt, so dass [sie auf das URL-Tracking] anwendbar ist.“

Diese Sichtweise hat große Bedeutung für die Onlinemarketing-Branche und insbesondere auf das Affiliate-Marketing. Denn hier werden noch häufig Klicks auf Werbe-Links auf der Basis von URL-Tracking verfolgt, um Affiliate-Vergütungen zu berechnen. Wenn hierfür eine Einwilligung erforderlich ist, würde das für betroffene Unternehmen signifikante Umsatzeinbußen bedeuten. Entsprechende Vergütungsmodelle müssten dann neu aufgestellt werden.

Bei dem vorliegenden Text des EDSA handelt es sich bislang freilich nur um einen Entwurf – es ist aber wahrscheinlich, dass die hier dargestellte Position sich so auch im finalen Dokument wieder findet. Auch wenn dies dann nur eine gemeinsame Position der Aufsichtsbehörden darstellt, müsste sich erst einmal ein Unternehmen finden, das bereit ist, sie in einem darauf fußenden Verfahren gerichtlich anzufechten. Wir beraten Sie daher gern, wie sich Ihr Unternehmen am besten verhalten sollte, um entsprechende Risiken zu reduzieren.

Parallel dazu ist außerdem zu beachten, dass das hier diskutierte Einwilligungserfordernis für URL-Tracking in bestimmten Fällen nicht nur unter das TTDSG, sondern auch in den Anwendungsbereich der DSGVO fällt und auf diese Weise ohnehin einwilligungspflichtig ist. Und nicht zuletzt gibt es auch noch den Branchenstandard TCF, den viele Unternehmen aus der Onlinemarketing-Branche zu beachten haben. Wenden Sie sich daher gern an uns, um hier nicht den Überblick zu verlieren.

OLG München: Kostenloser Account auf Online-Plattformen berechtigt zum Versenden von Werbe-E-Mails ohne separate Newsletter-Einwilligung

Geschrieben am von Dr. Frank Eickmeier

Das Verarbeiten personenbezogener Daten zu Werbe- und Marketingzwecken ist in vielen Fällen nur mit vorheriger Einwilligung des Betroffenen zulässig, was für Unternehmen ein nicht unerhebliches Hindernis für die Vermarktung Ihrer Produkte und Dienstleistungen darstellt. Insbesondere die hohen Anforderungen an das wirksame Einholen einer Einwilligung von Verbrauchern ist nicht selten eine große Herausforderung, denn Fehler können schlimmstenfalls zu ihrer Unwirksamkeit und damit zu einem bußgeldbehafteten Datenschutzverstoß führen.

Von dem beschriebenen Grundsatz gibt es im Bereich des E-Mail-Marketings die sogenannte „Bestandskundenausnahme“, die in § 7 Abs. 3 UWG geregelt ist. In den engen Grenzen dieser Sondervorschrift ist es Unternehmen erlaubt, Werbe-Emails an ihre Kunden auch ohne vorherige Einwilligung zu senden.

OLG München: „Bestandskundenausnahme“ greift auch beim Anlegen eines kostenlosen Accounts

Genau mit dieser Ausnahme musste sich das OLG München in einem schon älteren, jedoch nach wie vor relevanten Urteil beschäftigten und darüber entscheiden, ob das Anlegen eines kostenlosen Accounts auf einer Online-Plattform (hier: einer Partnerbörse) durch einen Internetnutzer dazu berechtigt, diesen Kunden ohne separate Einwilligung Werbe-E-Mails zu versenden (Urteil vom 15.02.2018, Az. 29 U 2799/17). Kern des Urteils war die Frage, ob das Anlegen des kostenlosen Accounts einen „Verkauf einer Ware oder Dienstleistung“ nach § 7 Abs. 3 Nr. 1 UWG darstellt, was eine wesentliche Voraussetzung der Ausnahmeregelung ist.

Das OLG bejahte dies mit der Begründung, dass mit „Verkauf“ nicht nur der klassische Kaufvertrag – wie es das Wort andeuten würde –, sondern jeder Austauschvertrag gemeint ist. Um dies am vorliegenden Fall zu verdeutlichen:

  • Der Kunde erhält mit der Registrierung vom Plattformbetreiber (zumindest) die Möglichkeit, auf der Partnerbörse die Bilder anderer Mitglieder zu sehen, die ebenfalls auf Partnersuche sind.
  • Im Gegenzug erhält der Plattformbetreiber die Daten des Kunden wie dessen E-Mail-Adresse und weitere mittelbare „Vorteile“ (höhere Plattformattraktivität wegen größerer Zahl an Mitgliedern; Möglichkeit des Sendens von Werbebotschaften, wenn sich der Kunde auf der Plattform aufhält).

Auch die übrigen Anforderungen des § 7 Abs. 3 UWG sah das OLG München als erfüllt an, sodass eine Einwilligung für die Werbe-E-Mails nicht erforderlich war.
 
Was bedeutet die Entscheidung für Unternehmen?

Das Urteil stellt im Bereich der Bestandskundenwerbung eine erhebliche Erleichterung für Unternehmen dar, die kostenlose „Austauschverhältnisse“ anbieten – vorausgesetzt, dass auch die übrigen Anforderungen des § 7 UWG erfüllt sind. Zudem sollten auch die weiteren gesetzlichen Vorschriften, insbesondere das Datenschutzrecht (und bei eHealth-Anwendungen die DiGA-Verordnung) nicht außer Acht gelassen werden.

Mit unserer langjährigen Erfahrung im Bereich des Onlinemarketingrechts beraten und unterstützen wir Sie gern.

Künstliche Intelligenz: rechtliche Grenzen und Risiken

Geschrieben am von Dr. Lukas Mezger

KI-gestützte Anwendungen finden immer mehr Einzug in den Arbeitsalltag. Bereits jetzt sind sie flexibel und vielseitig einsetzbar und können auch komplizierte und langwierige Aufgaben schnell und zuverlässig bearbeiten. Unternehmen sollten sich allerdings vor der Verwendung von KI-Anwendungen in ihrem Betrieb über die möglichen rechtlichen Grenzen und daraus folgenden Risiken dieser Technologie bewusst sein.

Im Folgenden möchten wir Ihnen einen allgemeinen Überblick über die Funktionsweise und die hieraus nach aktuellem Stand resultierenden rechtlichen Risiken geben und Strategien beschreiben, mit denen Sie letztere minimieren können.

Wie funktionieren KI-Anwendungen?

Allgemein werden KI-Anwendungen durch die Eingaben von Nutzern (so genannte „Prompts“) gesteuert. Ein Prompt kann beispielsweise darin bestehen, die KI-Anwendung aufzufordern, ein Bild mit bestimmten Charakteristiken zu erstellen:

„Erstelle ein Bild einer Blumenvase im Stil von Andy Warhol.“

Möglich ist aber auch, dass eine KI-Anwendungen aufgefordert wird, Texte zu erstellen oder bestehende Texte zu überarbeiten:

„Bitte prüfe den folgenden Text und verbessere Fehler in der Grammatik und der Kommasetzung.“

Die KI-Anwendung verarbeitet diese Prompts und liefert dann das fertige Ergebnis in der Ausgabe aus.

Woher beziehen KI-Anwendungen ihr „Wissen“?

Der hinter KI-Anwendungen stehende Algorithmus wird im ersten Schritt durch die Vernetzung von Datenmaterial aus verschiedenen Quellen („Crawling“) und im zweiten Schritt häufig auch durch jeden späteren Prompt von Nutzern und jede hochgeladene Datei weiter angelernt („trainiert“). Die zumeist öffentlich zugänglichen Quellen sind etwa Websites und die dortigen Inhalte Dritter und können Texte, Bilder, Musikdateien und vieles mehr umfassen. KI-Anwendungen steht somit ein potenziell endloser Datenschatz zur Verfügung, auf dessen Grundlage sie Nutzern antworten können.

Welche Risiken muss ich beim Einsatz von KI-Anwendungen beachten?

Die Funktionsweise von KI-Anwendungen begegnet aufgrund der beschriebenen Funktionsweise Risiken, die durch das nutzende Unternehmen identifiziert und mitigiert werden sollten. Diese Risiken lassen sich im Wesentlichen wie folgt zusammenfassen:

  • Schutz von Geschäftsgeheimnissen: Durch die Eingabe unbedachter Prompts besteht das Risiko, das Geschäftsgeheimnisse (beispielsweise der Name oder die Spezifikationen von unveröffentlichten Produkten) in den Algorithmus eingespeist und dauerhaft in ihm gespeichert und so anderen Nutzern preisgegeben werden.
  • Datenschutz: Im Bereich des Datenschutzes ist insbesondere die Einspeisung von personenbezogenen Daten über Prompts oder Trainingsmaterial ein Risikofaktor. Wie bei Geschäftsgeheimnissen können dann personenbezogene Daten (z.B. das Bildnis oder der Name einer Person) in der Ausgabe auftauchen. Für solch eine Nutzung dieser Daten, aber auch für ihre Weiternutzung aus der Ausgabe der KI-Anwendung heraus fehlt es in der Regel an einer wirksamen Rechtsgrundlage, konkret der Einwilligung des Betroffenen. Sowohl Hersteller von KI-Anwendungen als auch ihre Nutzer können hierdurch Datenschutzverstöße begehen.

Es sei erwähnt, dass auch eine vorherige „Anonymisierung“ von Daten in der Regel nicht weiterhilft. So sind die Anforderungen an eine wirksame Anonymisierung nach der DSGVO sehr hoch und werden im Regelfall nicht erfüllt.

  • Urheberrecht und Markenrecht: Urheberrechtlich geschützte Werke können über Trainingsmaterial, aber auch über Prompts dem Algorithmus zugeführt werden (z.B. urheberrechtlich geschützte Texte und Bilder), die abermals in den Ausgaben von Nutzern landen können. Gleiches gilt für markenrechtlich geschützte Begriffe und Zeichen. Auch hier laufen Hersteller und Nutzer Gefahr, Rechtsverletzungen zu begehen.

Weitere Risikofelder bei der Nutzung von KI-Anwendungen

  • Es ist an Fälle möglicher Diskriminierung durch KI-gestützte Entscheidungen (so genannter AI-Bias) zu denken, die Haftungsrisiken nach dem Allgemeinem Gleichbehandlungsgesetz (AGG) bedeuten können. Es sind zum Beispiel schon Fälle bekannt, in denen Unternehmen in der Folge des Einsatzes von KI-gestützten Systemen wegen rassistischer Geschäftspraktiken haftbar gemacht wurden. Grund dafür war, dass die eingesetzten KI-Dienste keine Vorkehrungen zum Schutz vor rassistischen Entscheidungen enthielten.
  • Auch beauftragte Drittdienstleister können sich entscheiden, für die Durchführung eines Auftrags ohne Wissen und Wollen des Auftraggebers auf KI-Anwendungen zurückzugreifen, sodass sich der Auftraggeber unbemerkt den oben geschilderten Risiken ausgesetzt sehen kann.
  • Nicht zuletzt bestehen auch die allgemeinen vertraglichen Haftungsrisiken gegenüber Vertragspartnern, die beispielsweise mangelhafte Produkte des Unternehmens abnehmen, die unter Zuhilfenahme von KI-Anwendungen erstellt wurden.

Was können Unternehmen tun, um diese Risiken zu verringern?

Zunächst ist festzuhalten, dass die Anbieter von KI-Diensten im Regelfall keine Maßnahmen zur Vermeidung der genannten Risiken treffen und in ihren AGB jegliche Haftung ausschließen. Deshalb müssen Unternehmer in diesem Bereich selbst aktiv werden:

  • Im Betrieb sollte der Arbeitgeber klare Regeln für die Nutzung von KI-Anwendungen aufstellen, beispielsweise in welchen Bereichen, für welche Arbeitsprozesse und mit welchen Daten sie eingesetzt werden dürfen.
  • Bei Geschäftsgeheimnissen besteht zurzeit nur die Möglichkeit, ihre Eingabe in KI-Anwendungen zu verhindern/zu untersagen. Im Idealfall könnte beim Hersteller der KI-Anwendung eine Vereinbarung erreicht werden, dass die Prompts nicht für das Training des Algorithmus verwendet werden – dies ist nach jetzigem Stand aber bei den verbreiteten Produkten nur in wenigen Einzelfällen der Fall.
  • Auch beim Datenschutz sowie beim Urheberrecht und Markenrecht bleibt – vorbehaltlich des (seltenen) Falls, dass hier in der Tat eine gesetzliche oder vertragliche Erlaubnis vorliegt – zurzeit ebenfalls nur die Option, entsprechende Eingaben in KI-Anwendungen zu verhindern/zu untersagen, um jedenfalls von eigener Seite die oben aufgezeigten Risiken zu verringern. Allerdings verbleibt hier das Restrisiko, dass Daten oder geschützte Werke oder Zeichen (bereits) über das Trainingsmaterial in den Algorithmus gelangt sind und entsprechend in Ausgaben auftauchen können.
  • Bei der Beauftragung von Drittdienstleistern (gemeint sind nicht die Hersteller der KI-Anwendungen) sollten Unternehmen außerdem vertraglich regeln, ob diese Drittdienstleister KI-Anwendungen überhaupt nutzen dürfen und welche Grenzen dafür bestehen (z.B. Offenlegungspflicht, welche Bestandteile des Produkts KI-generiert sind; Geschäftsgeheimnisschutz). Besonders wichtig ist sodann die Regelung der Haftung, etwa für den Fall, dass in dem Produkt des Dienstleisters KI-generierte Inhalte gegen Rechte Dritter verstößt.

Muss ein Unternehmen Dritte (z.B. Kunden) darüber aufklären, wenn KI-Anwendungen genutzt werden?

Eigentlich bestehen nach geltendem Recht keine Kennzeichnungspflichten für KI-generierte oder mit KI-Anwendungen bearbeitete Inhalte und Produkte.

Allerdings kann es Situationen geben, in denen eine Offenlegungspflicht besteht. Dies sind vor allem Fälle, in denen die berechtigte Erwartung späterer Nutzer besteht, dass ein Inhalt „menschlicher“ Herkunft ist. Dies ist insbesondere denkbar in folgenden Fällen:

  • Fotografie im Journalismus (für Zeitungen, Verlage, etc.): Hier besteht die berechtigte Erwartung, dass Fotografien die Realität so abbilden, wie sie ist.
  • Eine Offenlegungspflicht kann sich auch aus einer vertraglichen Nebenpflicht ergeben, zum Beispiel in einem Arbeitsverhältnis.

Im Übrigen müssen nach der DSGVO Betroffene – z.B. in der Datenschutzerklärung – über das Bestehen einer „automatisierten Entscheidungsfindung“ informiert werden. Klassisches Beispiel ist das Kredit-Scoring.

Ausblick

Dedizierte regulatorische Leitplanken für den Einsatz von KI-Anwendungen, welche sich unter anderem mit zulässigen oder unzulässigen Einsatzfeldern von KI beschäftigen, sind zurzeit noch nicht vorhanden. Der sich noch im Gesetzgebungsprozess befindende Entwurf einer KI-Verordnung der EU-Kommission dürfte allerdings in Zukunft mehr Aufschluss bringen. Interessant ist hier insbesondere die Einteilung von KI-Anwendungen nach Risikoklassen. Mit einem Inkrafttreten der Verordnung ist aber erst 2024 zu rechnen, Änderungen am Entwurf (auch wesentlicher Art) sind bis dahin noch sehr wahrscheinlich.

Stand jetzt sollten Unternehmen die oben aufgezeigten rechtlichen Risiken berücksichtigen, wenn sie KI-gestützte Anwendungen in ihrem Betrieb verwenden wollen. Dies macht eine konkrete Prüfung erforderlich, welche Risiken besonderer Beachtung bedürfen, und welche Strategien angewendet werden, um diese zu minimieren.

Gern unterstützen und beraten wir Sie, wenn Sie KI-gestützte Anwendungen in Ihrem Betrieb verwenden bzw. verwenden möchten.

EuGH: Meta (Facebook) muss für die Nutzung von Daten zu Werbezwecken eine separate Einwilligung einholen

Geschrieben am von Dr. Lukas Mezger

Dass die datenschutzrechtlichen Praktiken von Meta das Tech- und Social-Media-Unternehmen bereits mehrfach in der Vergangenheit mit Aufsichtsbehörden und Gerichten in Konflikt brachte, dürfte mittlerweile bekannt sein. Erst im Mai dieses Jahres wurde von der irischen Datenschutzbehörde ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen das Unternehmen wegen der rechtswidrigen Übermittlung von Nutzerdaten in die USA verhängt (wir berichteten).

Nun musste das Unternehmen sich vor dem EuGH erneut aufgrund seiner Verarbeitung von Facebook-Nutzerdaten behaupten (Urteil vom 04.07.2023, Az. C-252/21).

Versteckte „Nutzereinwilligung“ in die Nutzung von „Off-Facebook-Daten“

Der Sachverhalt: Im Rahmen der Anmeldung beim von Meta betriebenen sozialen Netzwerk Facebook müssen Nutzer die AGB und die Datenschutzerklärung akzeptieren. Letztere führt aus, dass Meta Nutzeraktivitätsdaten nicht nur auf Facebook, sondern auch außerhalb des sozialen Netzwerks erfassen und diese dem Facebook-Konto zuordnen kann (sog. Off-Facebook-Daten). Die Daten können von dritten Websites oder Apps stammen, die mit Facebook über eingebundene Programmschnittstellen wie den „Facebook Business Tools“ verbunden sind, aber auch von anderen von Meta angebotenen Diensten (z.B. Instagram und WhatsApp). Diese Daten werden von Meta insbesondere zu Werbezwecken genutzt.

Gegen diese Praxis ging das deutsche Bundeskartellamt vor und untersagte Meta insbesondere, die Nutzung von Facebook in den AGB von der Verarbeitung der Off-Facebook-Daten abhängig zu machen und sie ohne Einwilligung zu verarbeiten. Aufgrund dessen sah das Bundeskartellamt bei Meta eine missbräuchliche Ausnutzung seiner marktbeherrschenden Stellung auf dem deutschen Markt für soziale Netzwerke.

Bundeskartellamt durfte Einhaltung der DSGVO prüfen

In seinem Urteil bejahte der EuGH zunächst, dass das Bundeskartellamt als nationale Wettbewerbsbehörde die Einhaltung der DSGVO bei Meta prüfen durfte, allerdings nur in den Grenzen ihrer Befugnis, den Missbrauch einer marktbeherrschenden Stellung festzustellen. Nationale Wettbewerbsbehörden treten, so der EuGH, nicht an die Stelle der durch die DSGVO eingerichteten Aufsichtsbehörden. Sie sind insoweit zur Abstimmung und loyalen Zusammenarbeit mit den Aufsichtsbehörden verpflichtet.

Meta kann sich nicht auf Vertragserfüllung und berechtigte Interessen berufen

Ausführlich beschäftigte sich der EuGH mit der Frage, ob sich Meta bei der Datenverarbeitung auf eine andere Rechtsgrundlage als die Einwilligung berufen kann. Im Fokus standen hierbei besonders die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) und die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Hinsichtlich der Vertragserfüllung betonte der EuGH, dass eine Datenverarbeitung nur dann als für sie erforderlich anzusehen ist, wenn sie objektiv unerlässlich ist, der Vertrag also ohne sie nicht erfüllt werden kann. Doch sowohl bei den Argumenten der Personalisierung von Inhalten und der durchgängigen und nahtlosen Nutzung von Meta-Diensten, die die Datenverarbeitung rechtfertigen sollten, meldete der EuGH Zweifel an. So sei eine Personalisierung von Inhalten für Facebook-Nutzer zwar nützlich, jedoch nicht erforderlich, um ihnen die Dienste anbieten zu können, bestehe doch ggf. die gleichwertige Alternative, die Dienste auch ohne Personalisierung zu erbringen. Auch die nahtlose Nutzung von anderer Meta-Diensten sei laut EuGH nicht erforderlich, da ihre Nutzung nicht zwingend notwendig sei, um ein Facebook-Konto einzurichten.

Auch hinsichtlich der berechtigten Interessen zweifelte der EuGH, ob insbesondere das Interesse an der Personalisierung von Werbung gegenüber den Interessen und Grundrechten von Nutzern überwiegt. Zwar führte der EuGH aus, dass nach Erwägungsgrund 47 der DSGVO der Zweck der Direktwerbung als ein berechtigtes Interesse angesehen werden kann. Allerdings könne ein Nutzer, auch wenn ein soziales Netzwerk wie Facebook kostenlos ist, vernünftigerweise nicht damit rechnen, dass dessen Betreiber seine personenbezogenen Daten für personalisierte Werbung ohne seine Einwilligung verarbeitet. Es sei daher davon auszugehen, dass die Interessen des Nutzers gegenüber dem Interesse des Betreibers an der Personalisierung von Werbung zur Finanzierung seines Angebots überwiegen.

Der EuGH bewertete zudem negativ, dass die beschriebene Praxis von Meta eine sehr umfassende Datenverarbeitung mit potentiell unbegrenzten Daten bedeute. Nutzer könnten sich so kontinuierlich überwacht fühlen.

Facebook-Nutzerdaten können sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten

Der EuGH führte zudem aus, dass Facebook-Nutzerdaten unter Umständen sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, beispielsweise wenn ein Nutzer Websites aufruft oder dort Daten eingibt (z.B. bei einer Registrierung), die einen Bezug zu den Datenkategorien in Art. 9 DSGVO haben (z.B. politische Meinungen, sexuelle Orientierung), und auf dieser Website Facebook-Schnittstellen implementiert sind, die dann Daten mit dem entsprechenden Konto verknüpfen und verwenden. Der EuGH lehnt in diesem Zuge ab, dass diese Verarbeitung ausnahmsweise zulässig ist, weil der betroffene Nutzer die Daten hiermit offensichtlich öffentlich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO). Sowohl beim Aufrufen der Website als auch grundsätzlich bei der Eingabe von Daten oder dem Bedienen von Schaltflächen (z.B. einem „Like“-Button) sei hiervon nicht auszugehen.

Was bedeutet die Entscheidung für Unternehmen?

Das Urteil ist wenig überraschend, bestätigt es doch die seit längerem herrschende und spätestens mit der Entscheidung der belgischen Aufsichtsbehörde APD zum TCF 2.0. gefestigte Ansicht, dass Daten zu Werbezwecken grundsätzlich nur mit Einwilligung des Nutzers verarbeitet werden können.

Dies bedeutet für Unternehmer, dass sie in ihren Web-Anwendungen (Website & Apps) Programmierschnittstellen bereithalten müssen, um die Einwilligung von Nutzern rechtssicher einholen und speichern zu können, wie etwa über die bekannten Consent-Management-Plattformen („CMP“).

Gern unterstützen wir Sie bei der Einrichtung eines rechtssicheren Einwilligungsmanagements.