Nach dem Rekordbußgeld der irischen Datenschutzaufsichtsbehörde DPC im vergangenen Mai (wir berichteten) nun ein weiterer Rückschlag für Meta: Der Konzern unterlag vor dem Europäischen Gerichtshof (EuGH) aufgrund der nicht datenschutzkonformen Verarbeitung von Facebook-Nutzerdaten (Urteil vom 4.7.2023, Az. C-252/21).
Versteckte „Nutzereinwilligung“ in die Nutzung von „Off-Facebook-Daten“
Das Verfahren behandelte die Verarbeitung sogenannter „Off-Facebook-Daten“: Dies sind Daten, die Meta außerhalb seines sozialen Netzwerks Facebook über seine weiteren Dienste (z.B. Instagram) oder über Dritt-Websites und Apps über Einbindungen seiner „Business Tools“ (z.B. das Facebook-Plugin für Unternehmenswebsites) sammelt und den jeweiligen Facebook-Konten zuordnet. Nutzer „akzeptierten“ diese Datenverarbeitung über die verpflichtende Zustimmung zur AGB und damit auch der Datenschutzrichtlinie des Konzerns, wenn sie sich für Facebook anmeldeten. Meta verwendete diese Daten insbesondere zu Werbezwecken.
Meta kann sich nicht auf Vertragserfüllung und berechtigte Interessen berufen
Der EuGH schob dieser Praxis nun einen Riegel vor.
- Meta kann sich laut EuGH nicht auf Erfüllung des Facebook-Nutzungsvereinbarung (Art. 6 Abs. 1 lit. b DSGVO) als Rechtsgrundlage für die Verarbeitung von Nutzerdaten zu Werbezwecken berufen. Der Gerichtshof betonte insoweit, dass eine Datenverarbeitung nur dann als für die Vertragserfüllung erforderlich anzusehen ist, wenn sie objektiv unerlässlich ist, der Vertrag also ohne sie nicht erfüllt werden kann. Dies zweifelte der EuGH im vorliegenden Fall an: So sei eine Personalisierung von (Werbe-)Inhalten für Facebook-Nutzer zwar nützlich, jedoch nicht erforderlich, um ihnen die Dienste anbieten zu können, bestehe doch gegebenenfalls die gleichwertige Alternative, die Dienste auch ohne Personalisierung zu erbringen. Auch die nahtlose Nutzung von anderer Meta-Diensten, ein weiteres, von Meta vorgebrachtes Argument, erschien dem EuGH für den Vertrag nicht erforderlich, da ihre Nutzung nicht zwingend notwendig sei, um ein Facebook-Konto einzurichten.
- Auch zweifelte der EuGH das berechtigte Interesse von Meta an der Verarbeitung von Nutzerdaten für personalisierte Werbung (Art. 6 Abs. 1 lit. f DSGVO) an. Zwar führte der EuGH aus, dass nach Erwägungsgrund 47 der DSGVO der Zweck der Direktwerbung als ein berechtigtes Interesse angesehen werden kann. Allerdings könne ein Nutzer, auch wenn ein soziales Netzwerk wie Facebook kostenlos ist, vernünftigerweise nicht damit rechnen, dass dessen Betreiber seine personenbezogenen Daten für personalisierte Werbung ohne seine Einwilligung verarbeitet. Es sei daher davon auszugehen, dass die Interessen des Nutzers gegenüber dem Interesse des Betreibers an der Personalisierung von Werbung zur Finanzierung seines Angebots überwiegen.
Der EuGH äußerte sich in dem Urteil außerdem zur möglichen Sensibilität der betroffenen Facebook-Nutzerdaten nach Art. 9 Abs. 1 DSGVO und der Klagebefugnis des Bundeskartellamts, welches das Verfahren gegen Meta angestoßen hatte.
Was bedeutet die Entscheidung für Unternehmen?
Das Urteil ist aus unserer Sicht wenig überraschend, bestätigt es doch die seit längerem herrschende und spätestens mit der Entscheidung der belgischen Aufsichtsbehörde APD zum TCF 2.0. gefestigte Ansicht, dass Daten zu Werbezwecken grundsätzlich nur mit Einwilligung des Nutzers verarbeitet werden können – von der engen Ausnahme der Direktwerbung abgesehen.
Meta hat mittlerweile gegengesteuert und angekündigt, für „verhaltensbasierte“ Werbung zukünftig eine Einwilligung einzuholen. Ob dies DSGVO-konform gelingen wird, ist jedoch fraglich.
Für Unternehmer bedeutet die Entscheidung, dass sie in ihren Web-Anwendungen (Website & Apps) Programmierschnittstellen bereithalten müssen, um die Einwilligung von Nutzern rechtssicher einholen und speichern zu können, wie etwa über die bekannten Consent-Management-Plattformen („CMP“).
Gern unterstützen wir Sie bei der Einrichtung eines rechtssicheren Einwilligungsmanagements.
(Dr. Lukas Mezger, UNVERZAGT Rechtsanwälte)