Der Generalanwalt am EuGH hat keine grundsätzlichen Einwände dagegen, dass eine Wettbewerbsbehörde bei der Anwendung des wettbewerbsrechtlichen Marktmachtmissbrauchsverbots Vorschriften der DSGVO inzident prüft. Dabei soll die Wettbewerbsbehörde eine etwa zuständige Datenschutzbehörde informieren, sich mit dieser abstimmen und ggf. vorhandene Entscheidungen zur Anwendung des Datenschutzrechts berücksichtigen. Dies betrifft die erste und siebte Vorlagefrage des OLG Düsseldorf. Sofern sich der EuGH dieser Einschätzung anschließen würde, wäre eine gewichtig gestellte Frage erledigt. Insbesondere besteht keinerlei Sperrwirkung durch die DSGVO, wie gelegentlich argumentiert wird. Der Generalanwalt sieht im Übrigen auch die Abstimmung des BKartA mit den Datenschutzbehörden in tatsächlicher Hinsicht ausreichend erfüllt.
Eine Verarbeitung sensibler personenbezogener Daten liege schon bei bloßer Eingabe von Daten durch einen Nutzer vor, wenn diese Daten mit dem Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, sofern diese Daten entweder einzeln oder aggregiert betrachtet die Erstellung eines Nutzerprofils mit Kategorien ermöglichen, die sich aus sensiblen personenbezogenen Daten ergeben. Die bloße Eingabe der Daten oder das Hinterlassen dieser auf Internetseiten oder Apps durch den Nutzer stelle kein offensichtliches öffentlich Machen dar. Dies betrifft die zweite Vorlagefrage.
Hinsichtlich der weitergehenden Einzelfragen zur Auslegung der DSGVO äußert der Generalanwalt Zweifel daran, ob es sich um statthafte Vorlagefragen handelt, da sie nicht die Auslegung, sondern die Anwendung auf den konkreten Fall betreffen. Er fasst hierbei die dritte und fünfte Vorlagefrage zusammen. Jedenfalls müssten die jeweiligen Ausnahmen für jede Datenverarbeitungsmodalität im Einzelnen durch das vorlegende Gericht geprüft werden.
Schließlich ist der Generalanwalt der Meinung, dass der bloße Umstand einer beherrschenden Stellung eines Unternehmens nicht gegen die Wirksamkeit einer ihm gegenüber abgegebenen Einwilligung spricht. Allerdings müsse das beherrschende Unternehmen nachweisen, dass die Einwilligung freiwillig erfolgte. Dabei müsse ein offensichtliches Machtungleichgewicht berücksichtigt werden. Dies betrifft die sechste Vorlagefrage.
Der Volltext der Schlussanträge ist hier online verfügbar. Disclaimer: Ich vertrete den Beteiligten Verbraucherzentrale Bundesverband e.V. in diesem Verfahren auch vor dem EuGH.
Detaillierte Analyse
Zur ersten Vorlagefrage
Die erste Vorlagefrage bezieht sich auf die grundlegende Zuständigkeit der Wettbewerbsbehörde und ob diese in der konkreten Situation ausgeschlossen sein könne.
Der Generalanwalt liest die Vorlagefrage so, dass sie sich auf eine unmittelbare Entscheidung über einen Verstoß gegen Datenverarbeitungsvorschriften der DSGVO beziehen. In dem streitigen Beschluss des BKartA werde jedoch kein Verstoß gegen die DSGVO geahndet, sondern allein ein Marktmachtmissbrauch. Es erfolgt also allein eine kartellrechtliche Prüfung, bei der die Behörde unter anderem die Unvereinbarkeit des Verhaltens des Unternehmens mit den Bestimmungen der DSGVO herangezogen hat. Eine Zuständigkeitsfrage könne sich bereits deshalb nicht stellen, da die DSGVO einen harmonisierten Durchsetzungsmechanismus vorsehe, aufgrund dessen nur die Datenschutzbehörden zuständig seien. Eine Entscheidung einer Wettbewerbsbehörde mit inzidenter Prüfung kann in diese Zuständigkeit nicht eingreifen.
Da die erste Teilfrage jedoch eine unmittelbare Entscheidung der Wettbewerbsbehörde über die Anordnung der Abstellung eines DSGVO-Verstoßes betreffe, gehe sie ins Leere. Die zweite Teilfrage bezieht sich auf die Möglichkeiten zur Verfolgung etwaiger Datenschutzverstöße und gehe ebenso ins Leere.
Zur siebten Vorlagefrage
Die siebte Vorlagefrage bezieht sich auf die materiellrechtliche Möglichkeit zur inzidenten Feststellung von DSGVO-Verstößen bei der Verfolgung von Verstößen gegen das Wettbewerbsrecht. Gleichzeitig umfasst sie Fragen zur Rücksichtnahme auf Datenschutzbehörden, die sich mit den DSGVO-Verstößen unmittelbar befassen.
Grundsätzlich zulässige inzidente Prüfung der DSGVO
Hierzu stellt der Generalanwalt zunächst fest, dass die DSGVO der Wettbewerbsbehörde zwar keine Befugnis zur Feststellung eines Verstoßes zuspricht. Die DSGVO schließt aber auch eine inzidente Berücksichtigung bei der Prüfung des Missbrauchsverbotes nicht aus. Mit Inzident meint der Generalanwalt dabei eine mittelbare Prüfung im Rahmen der eigentlichen Anwendung der kartellrechtlichen Vorschriften. Diese dürfe nicht ausgeschlossen werden, da ansonsten die wirksame Anwendung des Wettbewerbsrechts in Frage gestellt würde. Und obwohl die Prüfung inzident erfolgt, könnte sie im Rahmen des regulären gerichtlichen Rechtsschutzes erneut zu Vorlagefragen über die Auslegung führen.
Unterschiedliche Schutzzwecke und Indizwirkung des DSGVO-Verstoßes
Die Unvereinbarkeit eines Verhaltens mit der DSGVO könne also ein wichtiges Indiz für die Feststellung sein, ob ein Verhalten noch den Einsatz von Mitteln eines normalen Wettbewerbs darstellt. Dies entspricht der Rechtsprechung des BGH, der auch schon von einer Indizwirkung, nicht aber einer Bedingung gesprochen hatte. Jedoch stellt der Generalanwalt deutlich klar, dass sich die Missbräuchlichkeit oder ihr Fehlen nicht aus der Vereinbarkeit oder Unvereinbarkeit mit der DSGVO oder anderen Vorschriften außerhalb des Wettbewerbsrechts ergebe. Konkreter wird er in Fußnote 18, wonach es auf der Hand liege, dass ein die Datenverarbeitung betreffendes Verhalten auch dann einen Verstoß gegen das Wettbewerbsrecht darstellen kann, wenn es mit der DSGVO vereinbar ist, und dass umgekehrt ein im Sinne der DSGVO rechtswidriges Verhalten nicht zwangsläufig darauf schließen lässt, dass es gegen das Wettbewerbsrecht verstößt. Es kommt also auf eine allein kartellrechtliche Prüfung an. Weiter heißt es in derselben Fußnote, dass eine ausschließliche Anknüpfung der Missbrauchsprüfung an einen DSGVO-Verstoß das Ziel des Wettbewerbsschutzes gefährden könnte. Diese Aussage ist sehr hilfreich, da sie die unterschiedlichen Schutzzwecke des Wettbewerbsrechts einerseits und des Datenschutzrechts andererseits verdeutlicht, wobei ersteres potenziell weiter gefasst ist. Dies verdeutlich der Generalanwalt erneut in Fußnote 21, wonach die Auslegung der DSGVO durch die Wettbewerbsbehörde allein für Zwecke der wettbewerbsrechtlichen Vorschrift erfolgt. Es handelt sich also um unterschiedliche Verstöße, die durch die jeweils zuständigen Behörden geprüft werden können. Erfreulich ist dabei die Klarstellung am Ende, dass es wegen dieser unterschiedlichen Gegenstände auch keinen Verstoß gegen den Grundsatz ne bis in idem geben kann.
Gefahr der nicht einheitlichen Auslegung der DSGVO
Recht ausführlich widmet sich der Generalanwalt anschließend mit der hinter der Vorlagefrage stehenden Problematik, dass ausgerechnet eine – nicht für die Durchsetzung der DSGVO zuständige – Wettbewerbsbehörde bei ihrer inzidenten Prüfung die DSGVO-Vorschriften auslegt und damit die Gefahr einer nicht einheitlichen Auslegung besteht. Diese Gefahr sei jedem Bereich inhärent, der durch sektorspezifische Vorschriften geregelt werde, die die Wettbewerbsbehörde bei der Beurteilung der wettbewerbsrechtlichen Zulässigkeit eines bestimmten Verhaltens berücksichtigen muss oder kann. Eine eindeutige Regelung sei im Unionsrecht dazu nicht enthalten, weder in der DSGVO noch in der für das Wettbewerbsrecht einschlägigen Durchführungsverordnung. Deshalb komme es auf den Grundsatz der loyalen Zusammenarbeit nach Art. 4 Abs. 3 EUV an. Die Wettbewerbsbehörde sei bei der Anwendung des Unionsrechts an den Grundsatz der ordnungsgemäßen Verwaltung als allgemeinem Grundsatz gebunden. Hieraus ergebe sich eine umfassende Sorgfalts- und Fürsorgepflicht der nationalen Behörden. Daraus leitet der Generalanwalt Informations‑, Auskunfts- und Kooperationspflichten gegenüber zuständigen Behörden bei der Auslegung der DSGVO unter Beachtung von Äquivalenz und Effektivität ab. Dies könne sogar grundsätzlich analog zu den Verfahrensvorschriften der DSGVO laufen, wobei diese entsprechend angepasst werden müssten und kein Entscheidungsentwurf vorgelegt werden müsste.
Im Konkreten folgt für den Generalanwalt aus diesen Vorgaben, dass eine Wettbewerbsbehörde nicht von den Äußerungen der zuständigen federführenden Aufsichtsbehörde zur Anwendung bestimmter DSGVO-Vorschriften in Bezug auf gleiches oder ähnliches Verhalten abweichen darf und sich mit dieser abstimmen muss. Spielraum besteht hierbei noch bei der Bewertung, was gleiches oder ähnliches Verhalten ist. Denn nicht schon jeder gerügte Verstoß dürfte erfasst sein. Ansonsten wäre die Effektivität der Durchsetzung des Wettbewerbsrechts beeinträchtigt. Auf der anderen Seite kann eine Abstimmung gerade diesen Zweck erfüllen, nämlich Zweifel zwischen den Behörden darüber auszuräumen. Außerdem bedeuten die Aussagen des Generalanwalts nicht, dass die Wettbewerbsbehörde nicht tätig werden darf, sondern nur dass sie sich abstimmen muss. Nach Einschätzung des Generalanwalts reiche wegen des umfassenden Systems der Zusammenarbeit im Datenschutzrecht die Abstimmung mit der jeweils nationalen Aufsichtsbehörde aus.
Für das Ausgangsverfahren sieht der Generalanwalt die Sorgfaltspflichten des BKartA als erfüllt an. Es habe eine Abstimmung gemäß § 50f GWB mit der nationalen Datenschutzbehörde gegeben und zudem eine informelle Kontaktaufnahme mit der irischen Datenschutzbehörde. Zudem hätten diese bestätigt, derzeit kein Verfahren in Bezug auf den Gegenstand eingeleitet zu haben.
Zur zweiten Vorlagefrage
Die zweite Vorlagefrage betrifft erstens die Einordnung von Daten durch Aufruf von Internetseiten und Apps Dritter und ob es sich dabei schon um eine Verarbeitung sensibler personenbezogener Daten handelt. Als zweites werde gefragt, ob durch die bloße Eingabe schon ein öffentlich Machen vorliege.
Der Generalanwalt verweist hierzu zunächst auf den Erwägungsgrund 51 DSGVO, wonach die Verarbeitung sensibler personenbezogener Daten erhebliche Risiken für Grundrechte und Grundfreiheiten mit sich bringen kann. Es werde zudem nicht unterschieden zwischen Daten, die sensibel sind, weil aus ihnen eine bestimmte Situation hervorgeht, und ihrem Wesen nach sensiblen Daten. Auch sei es nicht möglich zu unterscheiden, ob eine Anfrage entweder aus bloßem Interesse an einer bestimmten Information erfolge oder aufgrund der eigenen Zugehörigkeit der betroffenen Person zu einer der erfassten Kategorien. Es komme deshalb stets auf die Umstände des Einzelfalls an.
Möglichkeit zur Profilerstellung
Das entscheidende Kriterium zur Anwendung des Art. 9 Abs. 1 DSGVO sei, ob die verarbeiteten Daten die Erstellung eines Nutzerprofils im Hinblick auf die Kategorien ermöglichen, die sich aus der Aufzählung sensibler personenbezogener Daten ergeben.
Maßgeblich ist dabei für den Generalanwalt die Erwägung, dass ein Unternehmen wie Meta es selbst in der Hand habe, durch die Art seiner Verarbeitung die Einordnung als sensible personenbezogene Daten zu verhindern und damit nicht den strengeren Vorschriften unterworfen zu werden. Damit ließe sich die Situation vermeiden, die auch Meta befürchtet, dass nämlich das Unternehmen standardmäßig gegen die DSGVO verstöße, weil es nicht verhindern könne, durch automatisierte Mittel Informationen zu erlangen, die einen solchen indirekten Bezug herzustellen geeignet sind. Mit anderen Worten kommt also die Kategorisierung durch den Verantwortlichen zustande. Sie muss nicht wahr sein, da schon die überhaupt vorgenommene Einordnung Gefahren für Grundrechte und Grundfreiheiten birgt. Ebenso sei nicht das Wissen oder die Absicht zur Verarbeitung durch den Verantwortlichen erforderlich.
Kein offensichtliches öffentlich Machen bei bloßer Eingabe
Die zweite Teilfrage bezieht sich auf einen Ausnahmetatbestand. Wenn nämlich sensible personenbezogene Daten bereits der Öffentlichkeit bekannt sind, besteht kein Bedarf mehr an einem besonderen Schutz der betroffenen Person. Da es sich um eine Ausnahme zu den strengen Verbotsvorschriften handelt, verlangt der Generalanwalt eine besonders strikte Auslegung. Der Nutzer müsse ein volles Bewusstsein über die Preisgabe der Informationen haben und eine ausdrückliche Handlung vornehmen, was einer Einwilligung schon sehr nahe komme.
Ein bloßer Aufruf reiche hierfür noch nicht. Die bloße Seitenabfrage gebe die Daten allein an den Betreiber, nicht an die Öffentlichkeit. Ein Wille zur Preisgabe an die Allgemeinheit lasse sich hieraus nicht entnehmen. Zudem weist der Generalanwalt auf Art. 5 abs. 2 DSGVO hin und die hieraus für den Verantwortlichen sich ergebende Beweislast hinsichtlich der die Rechtmäßigkeit der Datenverarbeitung begründenden Umstände. Schließlich sei auch keine Einwilligung auf der Grundlage der Cookie-Richtlinie ausreichend, da diese einen spezifischen Zweck verfolge und nicht die Verarbeitung sensibler personenbezogener Daten betreffe. Eine Gleichsetzung mit dem Willen zum öffentlich Machen könne aus einer solchen Einwilligung nicht entnommen werden.
Zur dritten, vierten und fünften Vorlagefrage
Einige Fragen betreffen konkrete Verarbeitungssituationen durch den Meta-Konzern. Der Generalanwalt sieht hier schon die Voraussetzungen an eine Vorlagefrage nicht als erfüllt, da sie sich lediglich auf die Anwendung und nicht die Auslegung beziehen und zudem die Zweifel hinsichtlich der Auslegung für den konkreten Fall durch das vorlegende Gericht nicht dargelegt worden seien. Dennoch gibt der Generalanwalt auch hier Antworten.
Zunächst weist er auch hier auf Art. 5 Abs. 2 DSGVO und die daraus folgende Beweislast des Verantwortlichen hin. Gemäß Art. 13 Abs. 1 lit. c DSGVO muss der Verantwortliche die verfolgten berechtigten Interessen angeben. Das umfasse auch die Angabe, welcher Verarbeitungsvorgang auf welches berechtigte Interesse gestützt werde.
Wenn es in der Folge im die Auslegung des Merkmals „Erforderlichkeit“ gehe, so sei darunter eine objektive Notwendigkeit zu verstehen. Nicht ausreichend sei, dass die Datenverarbeitung lediglich bei Erfüllung des Vertrages erfolgt, im Vertrag erwähnt wird oder lediglich nützlich für die Erfüllung ist. Es müsse stattdessen keine realistischen und weniger einschneidenden Lösungen geben. Die Verarbeitung müsse integraler Bestandteil des vertraglichen Dienstes sein und die angemessene Sicht der betroffenen Person würdigen. Handele es sich um mehrere Dienste, müssten alle isoliert auf ihre Erforderlichkeit überprüft werden. Das bedeutet etwa für die plattformmäßige Verbindung mehrerer Nutzergruppen, dass hinsichtlich jeder Gruppe eine eigenständige Erforderlichkeitsprüfung zu erfolgen hat.
Erforderlichkeit zur Personalisierung
Metas Hauptargument für eine Zusammenlegung der Daten war stets, dass dies einem personalisierten Nutzererlebnis diente. In rechtlicher Hinsicht ist dieses Argument nun mit der Voraussetzung überein zu bringen, ob dieses Dienen auch die Erforderlichkeit begründen kann. Der Generalanwalt stellt hierzu die rhetorische Frage, welchen Grad an Personalisierung der Nutzer erwarten kann. Denn mit diesem Argument könnte nicht allein irgendeine Verbesserung begründet werden. Jede Zusammenlegung mit einer irgendwie gesteigerten Personalisierung wäre dann erfasst. Dann könnte eine Plattform allein schon mit diesem Argument jede andere Rechtsgrundlage aushebeln, allein weil sie ihr Geschäftsmodell entsprechend widmet.
Dieselbe Richtung geht auch der Generalanwalt, der für die Verbindung von außerhalb der Plattform liegenden Daten die Einwilligung für notwendig hält. Dann sei diese aber auch vorrangig und könne nicht unterlaufen werden. Zudem müsse in unterschiedliche Verarbeitungen jeweils gesondert eingewilligt werden. Zudem sieht der Generalanwalt in der nicht personalisierten, chronologischen Anzeige des Newsfeeds eine ausreichende Alternative, sodass die Personalisierung nicht notwendig ist.
Erforderlichkeit zur durchgängigen und nahtlosen Nutzung der konzerneigenen Dienste
Grundsätzlich sieht auch der Generalanwalt die Verbindung von Dienstleistungen als nützlich oder manchmal sogar erwünscht an. Allerdings bestehe hinsichtlich jeder Dienstleistung ein eigener Vertrag, zu dessen Zweck die Datenverarbeitung erfolge. Eine eigenständige Erforderlichkeit könne sich daraus nicht ableiten lassen und es sei zweckmäßiger, dem Nutzer hier die Wahl zu überlassen. Da es nicht ausreichend ist, dass eine Verarbeitung lediglich von Nutzen für den Verantwortlichen ist, könne keine Notwendigkeit gesehen werden. Produktverbesserung liege zudem eher im Interesse des Nutzers als beim Verantwortlichen und stelle deshalb nicht sein legitimes Interesse dar.
In jedem Fall müsse das vorlegende Gericht die einzelnen Rechtmäßigkeitsgrundlagen prüfen.
Zur sechsten Vorlagefrage
Die zuletzt behandelte Frage betrifft die Auswirkungen einer kartellrechtlichen Untersuchung auf die datenschutzrechtliche Bewertung einer Einwilligung. Eine solche muss freiwillig erfolgen. Dies wird teilweise pauschal mit dem Verweis auf die Marktmacht eines Unternehmens abgelehnt. Kriterien für die Unfreiwilligkeit einer Einwilligung sind nach Erwägungsgrund 42 DSGVO, dass der Betroffene keine echte oder freie Wahl hat oder seine Einwilligung nicht verweigern oder zurückziehen kann. Der Verantwortliche muss hierbei den Nachweis über die Rechtmäßigkeit der Einwilligung erbringen.
Nach Einschätzung des Generalanwalts schließt Marktmacht allein nicht schon die Gültigkeit einer Einwilligung aus. Sie kann jedoch ein ungleiches Machtverhältnis zwischen Verantwortlichem und betroffener Person beschreiben. Ist dieses offensichtlich, so kann die Freiwilligkeit einer Einwilligung im konkreten Fall fraglich sein. Der Verantwortliche kann jedoch auch beweisen, dass er die Einwilligung auf freiwilliger Basis erlangt hat.