Eine Studie des DIW kommt zu dem Ergebnis, dass Facebook bis zu 52 % der besuchten Webseiten aller Internetnutzer nachvollziehen kann. Darüber berichtete vor einiger Zeit heise. Das Erschreckende an dieser Aussage: Sie bezieht sich nicht allein auf Facebook-Nutzer, sondern schließt Nicht-Mitglieder ein.
Bereits seit längerem gibt es Mutmaßungen darüber, dass Facebook Schattenprofile auch über Nicht-Mitglieder anlegt. Diese haben dann zwar kein eigenes Social-Media-Konto oder einen Account bei einem sonstigen Konzerndienst. Sie werden aber mit einer „eigenen Akte geführt“.
Schattenprofile in der digitalen Marktregulierung
Der Konzern rechtfertigt dies mit Sicherheitsgründen und statistischen Erwägungen. Ob dies nach der Entscheidung des EuGH vom 4.7.2023 (Rs. C‑252/21) noch aufrecht erhalten werden kann, ist äußerst fraglich.
Die datenschutzrechtlichen Erwägungen hierzu aber einmal beiseite gestellt lohnt sich auch ein Blick auf die Marktregulierung. So sind die Datensammelpraktiken des Unternehmens Facebook gegenüber seinen Nutzern Gegenstand einer Untersagungsverfügung des BKartA von 2019, die derzeit gerichtlich angefochten wird. Daneben könnte die Betrachtung nach den neuen Regelungen im Digital Markets Act (DMA) relevant werden. Denn auch dieser verbietet die Zusammenführung von Daten. Hierzu habe ich schon vor längerem im CR-Blog einen aktuellen Beitrag über Art. 5 Abs. 2 DMA geschrieben.
Die Vorschrift verbietet die Zusammenführung von Daten über verschiedene Dienste hinweg. Doch gerade da wird sich die Frage stellen, unter welchen Umständen es sich um Endnutzer im Sinne der Verordnung handelt. Dabei wirdscheint es zwei unterschiedliche Gruppen zu geben. Erstens die Nutzer, die bereits über ein eigenes Facebook-Konto oder einen anderen Account des Konzerns verfügen, mit dem das Schattenprofil lediglich verbunden wird. Zweitens betrifft es die Nutzergruppe, die sich bei keinem Dienst des Konzerns offiziell angemeldet haben.
Schattenprofile über Facebook-Kunden
Bei der ersten Gruppe nutzen die Endnutzer einen Dienst des Konzerns. Sobald er Torwächter nach dem DMA wird und dessen Pflichten gelten, darf er die Nutzer etwa nicht bei anderen Diensten automatisch anmelden, um die personenbezogenen Daten zusammenzuführen. Handelt es sich bei den Schattenprofilen aber um einen Dienst im Sinne des Art. 5 Abs. 2 lit. d DMA? Nicht erforderlich ist dabei, dass es sich um einen zentralen Plattformdienst gemäß Art. 2 Nr. 2 DMA handelt. Vielmehr dürfte nach dem Zweck der Vorschrift ein sehr weiter Dienstbegriff erfasst sein, sodass sich eher anders herum die Frage stellt, was kein Dienst mehr ist. Das wäre jedenfalls dann der Fall, wenn keine marktmäßige Verwertung mehr stattfindet. Bei Schattenprofilen dienen die Informationen aber auch einem Vermarktungszweck, etwa durch Quersubventionierung im Zusammenhang mit dem Verkauf von Werbung. Dieses Modell kann aber für einen Torwächter gemäß Art. 5 Abs. 2 lit. a DMA verboten sein. Auch wenn die Schattenprofile also für den jeweiligen Endnutzer verborgen sein werden, handelt es sich dabei doch um einen Dienst.
Schattenprofile über „Nicht-Facebook-Kunden“
Was aber ist mit den Personen, die bislang kein (offizieller) Kunde des Konzerns sind? Der Dienstbegriff des DMA verlangt nicht, dass sich die Endnutzer nach vertragsrechtlichen Grundsätzen registrieren oder sich überhaupt über ihre Inanspruchnahme des Dienstes bewusst werden. Dienst ist aus dieser Sicht schon ein Angebot, das faktisch im Wettbewerb in Anspruch genommen wird. Nach dem Heise-Bericht erfolgt die Anlage der Schattenprofile überwiegend über Tracker, die etwa über Like‑, Share- oder Login-Buttons automatisch geladen werden. Diese Buttons stellen Dienste dar, die durch ihre Einbindung auf der jeweiligen Webseite genutzt werden. Sie sind von den Online-Diensten sozialer Netzwerke gemäß Art. 2 Nr. 2 lit. c DMA erfasst (zusätzlich wahrscheinlich Art. 2 Nr. 2 lit. j DMA). Auch die Personen, über die ein Schattenprofil angelegt wird, sind damit also grundsätzlich Endnutzer des Torwächters.
Daran würde sich wenig ändern, wenn man die Buttons als Dienste oder Teil von Diensten anderer sehen würde. Hierfür greift dann zusätzlich Art. 5 Abs. 2 lit. b DMA, wonach auch keine Zusammenführung mit personenbezogenen Daten aus Diensten Dritter erfolgen dürfte. Damit werden ganz umfassend die wettbewerblichen Vorteile durch umfangreiche Datenverknüpfungen erfasst.
Kartellrechtliche Betroffenheit
Aber auch für die kartellrechtliche Bewertung sind diese Erkenntnisse anwendbar. Denn dort könnte sich der Einwand ergeben, dass zahlreiche Internet-Nutzer überhaupt keinen Vertrag mit Facebook haben, also nicht betroffen sein könnten. Das mag zwar hinsichtlich des „Hauptdienstes“ des Social-Media-Dienstes der Fall sein. Allerdings nehmen diese Nutzer – wenn auch aufgedrängt – die Dienste über den eingebetteten Button in Anspruch. Dieses Verhältnis nebst der dabei ohne Wahlfreiheit aufgedrängten umfassenden Datenverarbeitung ist ebenso Gegenstand des Missbrauchsverbots. Das bedeutet also, dass auch Internet-Nutzer von den Verhaltensweisen Facebooks kartellrechtlich betroffen sind, die keinen eigenen Vertrag nach zivilrechtlichen Grundsätzen mit dem Unternehmen abgeschlossen haben.