Reuschlaw

EuGH-Entscheidung im Kar­tell­ver­fah­ren gegen Meta

Betei­ligt ist einer, betrof­fen sind alle!

Die Pres­se spricht von einer „Nie­der­la­ge für Face­book“. Der EuGH hat mit Urteil vom 04.07.2023 (Rs. C‑252/21) ent­schie­den, dass natio­na­le Wett­be­werbs­be­hör­den Ver­stö­ße gegen das Daten­schutz­recht fest­stel­len und ahn­den dür­fen. Doch die Ent­schei­dung geht weit über das Kar­tell­recht hin­aus: Die Ent­schei­dung hat erheb­li­che Aus­wir­kun­gen auf das Daten­schutz­recht und betrifft Unter­neh­men weit über Meta hin­aus. Ob Ihr Unter­neh­men betrof­fen ist und wel­che Schrit­te jetzt not­wen­dig sind, erfah­ren Sie in die­sem Artikel.

Die unter­neh­me­ri­sche Frei­heit im Faden­kreuz des EuGH

Die Ent­schei­dung des EuGH lässt die gebo­te­ne Abwä­gung zwi­schen dem Grund­recht auf Daten­schutz und der eben­falls durch die EU-Grundrechtecharta geschütz­ten unter­neh­me­ri­schen Frei­heit ver­mis­sen. Statt­des­sen nimmt der EuGH eine sehr restrik­ti­ve Aus­le­gung vor, die bei kon­se­quen­ter Anwen­dung die wirt­schaft­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten nahe­zu unmög­lich macht. Unter­neh­men sind durch die Ent­schei­dung gezwun­gen, die Inhal­te ihrer Ange­bo­te stär­ker an daten­schutz­recht­li­chen Rege­lun­gen aus­zu­rich­ten und dabei fol­gen­de Anfor­de­run­gen zu beachten:

  1. Eine Ver­ar­bei­tung zur Ver­trags­er­fül­lung (Art. 6 Abs. 1 lit. b DSGVO) ist nach Auf­fas­sung des EuGH nur dann zuläs­sig, wenn die Ver­ar­bei­tung objek­tiv uner­läss­lich ist, um den Haupt­zweck der ver­trag­li­chen Leis­tung zu erfül­len. In allen ande­ren Fäl­len kann auch eine ein­deu­ti­ge ver­trag­li­che Ver­ein­ba­rung die Ver­ar­bei­tung nicht legi­ti­mie­ren. Bei kon­se­quen­ter Anwen­dung des Urteils schei­det damit für vie­le inno­va­ti­ve Geschäfts­mo­del­le die Ver­trags­er­fül­lung als Rechts­grund­la­ge aus.
  2. Auch hin­sicht­lich des berech­tig­ten Inter­es­ses an der Ver­ar­bei­tung (Art. 6 Abs. 1 lit. f DSGVO) lässt der EuGH eine kla­re Ten­denz erken­nen. Ein berech­tig­tes Inter­es­se an der wirt­schaft­li­chen Nut­zung von per­so­nen­be­zo­ge­nen Daten schließt der EuGH zwar nicht gänz­lich aus, es soll aber nur dann vor­lie­gen, wenn der Nut­zer mit dem kon­kre­ten Umfang der Daten­ver­ar­bei­tung rech­nen muss­te. Glei­che Maß­stä­be gel­ten für ein berech­tig­tes Inter­es­se an der Gewähr­leis­tung der Netz­si­cher­heit oder an der Durch­füh­rung von Pro­dukt­ver­bes­se­run­gen. Das Inter­es­se des Betrof­fe­nen ist deut­lich stär­ker zu berück­sich­ti­gen als bisher.
  3. Auch die Mög­lich­keit einer Ein­wil­li­gung (Art. 6 Abs. 1 lit. a DSGVO) in die wirt­schaft­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten schließt der EuGH nicht kate­go­risch aus, ver­langt aber, dass die Betrof­fe­nen ein­zel­ne Ver­ar­bei­tungs­vor­gän­ge ableh­nen kön­nen müs­sen und dass ihnen eine (auch kos­ten­mä­ßig) gleich­wer­ti­ge Alter­na­ti­ve ange­bo­ten wird. Die ohne­hin schon hohen und in der Pra­xis in vie­len Fäl­len kaum sinn­voll umsetz­ba­ren Anfor­de­run­gen an eine Ein­wil­li­gung wer­den damit wei­ter verschärft.

Beson­ders sen­si­ble Daten sind neu­er­dings überall

Die Ent­schei­dung des EuGH hat auch erheb­li­che Aus­wir­kun­gen auf die Ver­ar­bei­tung beson­ders sen­si­bler Daten (Art. 9 DSGVO). Bereits der Auf­ruf einer Web­site oder App mit Bezug zu den in Art. 9 DSGVO genann­ten Daten­ka­te­go­rien soll nach Auf­fas­sung des EuGH einem beson­ders hohen Schutz unter­lie­gen. Wen­det man die Ent­schei­dung des EuGH kon­se­quent an, dürf­ten künf­tig deut­lich mehr per­so­nen­be­zo­ge­ne Daten als beson­ders sen­si­bel ein­zu­stu­fen sein. Eine Ver­ar­bei­tung die­ser Daten ist dann nur unter den zusätz­li­chen Vor­aus­set­zun­gen des Art. 9 DSGVO zuläs­sig. Wei­te­re Hür­den stellt der EuGH für die Ver­ar­bei­tung beson­ders sen­si­bler Daten auf, die der Betrof­fe­ne offen­sicht­lich öffent­lich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO). Die Ver­ar­bei­tung sol­cher Daten ist nur zuläs­sig, soweit der Betrof­fe­ne in Kennt­nis der Sach­la­ge auf der Grund­la­ge indi­vi­du­el­ler Ein­stel­lun­gen sei­ne Ent­schei­dung zur Ver­öf­fent­li­chung ein­deu­tig zum Aus­druck gebracht hat. Aus dem blo­ßen Auf­ruf einer Web­site mit beson­ders sen­si­blen Daten, z.B. einer Online-Apotheke, kann daher nach Auf­fas­sung des EuGH noch nicht auf einen ein­deu­ti­gen Ver­öf­fent­li­chungs­wil­len geschlos­sen wer­den. Der EuGH stellt wei­ter fest, dass ein Daten­satz, der beson­ders sen­si­ble und „gewöhn­li­che“ per­so­nen­be­zo­ge­ne Daten ent­hält, ins­ge­samt unter Art. 9 DSGVO fällt. Ist eine Tren­nung der Daten nicht mög­lich, müs­sen die Vor­aus­set­zun­gen des Art. 9 DSGVO für den gesam­ten Daten­satz erfüllt sein. Eine ein­zi­ge sen­si­ble Infor­ma­ti­on kann also einen gan­zen Daten­satz infi­zie­ren. Unklar ist, wie eine der­art exten­si­ve Aus­le­gung des Art. 9 DSGVO mit dem Ziel der DSGVO, auch den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten zu för­dern (Art. 1 Abs. 1 DSGVO), ver­ein­bar sein soll.

Fazit

Häme oder Scha­den­freu­de sind ange­sichts der Meta-Entscheidung fehl am Platz. Denn ins­ge­samt stellt der EuGH so hohe Anfor­de­run­gen an die Vor­aus­set­zun­gen der jewei­li­gen Rechts­grund­la­gen, dass die­se bei kon­se­quen­ter Anwen­dung nicht nur für Meta, son­dern auch für ande­re Unter­neh­men kaum zu erfül­len sind. Die Ent­schei­dung hat des­halb weit­rei­chen­de Bedeu­tung für alle Unter­neh­men, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, und muss ent­spre­chend berück­sich­tigt wer­den. Gleich­zei­tig unter­streicht die Ent­schei­dung, wie wich­tig neue Gesetz­ge­bungs­vor­ha­ben wie der Data Act oder der Euro­pean Health Data Space für die inno­va­ti­ve Nut­zung von per­so­nen­be­zo­ge­nen Daten sind.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.