Kann Facebook die Datenerhebung von Off-Facebook-Daten auf berechtigte Interessen stützen?

Wichtige Entscheidung zur Datenschutzgrundverordnung

Der Europäische Gerichtshof hat heute zu einigen wichtigen Rechtsfragen zur Datenerhebung von Facebook Stellung genommen (EuGH, Urteil vom 04.7.2023 - C 252 / 21).

Worum geht's?

In einem Vorabentscheidungsverfahren zu Facebook hat der EuGH einige wichtige Auslegungsfragen zur Datenschutzgrundverordnung (DSGVO) entschieden. Diese Rechtsfragen betreffen nicht nur Social Media-Dienste wie Facebook sondern sind für gesamte Digitalwirtschaft bedeutsam.

1.Verarbeitung besonders schutzbedürftiger Daten (Art. 9 DSGVO)

Facebook erhebt auch Daten seiner Nutzer über deren Onlineverhalten außerhalb von Facebook. Dies geschieht etwa durch den "Gefällt mir"- oder den "Teilen"-Button von Facebook, den auch andere Webseitenbetreiber in ihre Webseiten einbinden. Nach der DSGVO ist es untersagt, besonders schutzbedürftige Daten zu erheben.

Dies sind alle Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung (Art. 9 Abs. 1 DSGVO).

Der EuGH hat entschieden, dass ein Nutzer der solche Daten auf einer Webseite offenbart, diese nicht offensichtlich öffentlich macht. Hierzu müsste der Nutzer vielmehr ausdrücklich zum Ausdruck bringen, die ihn betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen.

Daher handelt es sich bei der Weiterleitung dieser Daten an Facebook um eine grundsätzlich untersagte Verarbeitung dieser besonders schutzbedürftigen Datenkategorien.

2.Rechtsgrundlage für die Verarbeitung von Nutzerdaten aus anderen Diensten außerhalb Facebooks

Soweit von Facebook Daten des Nutzers aus anderen Diensten außerhalb Facebooks erhoben werden, ist hierzu nach der DSGVO eine Rechtsgrundlage erforderlich. In Art. 6 Abs. 1 DSGVO sind sechs verschiedene Fälle geregelt in denen eine Datenverarbeitung von Nutzerdaten möglich ist. Der EuGH hat sich zur Auslegung dieser Tatbestände positioniert.

Datenverarbeitung zur Erfüllung des Vertrags erforderlich (Art. 6 Abs.1 b) DSGVO)

Eine Datenverarbeitung zur Erfüllung eines Vertrags kann nur als erforderlich angesehen werden, wenn diese Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für diese Nutzer bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden könnte.

Es erscheint daher nun sehr zweifelhaft, ob sich Facebook noch auf diese Rechtsgrundlage stützen kann.

Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich (Art. 6 Abs.1 c) DSGVO)

Für diese Rechtsgrundlage, muss der Verantwortliche muss die Datenverarbeitung nach einer Rechtsvorschrift tatsächlich erforderlich sein, diese Rechtsvorschrift muss ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel steht und diese Datenverarbeitung in den Grenzen des absolut Notwendigen erfolgt.

Datenverarbeitung zur Erfüllung lebenswichtiger Interessen der betroffenen oder anderer Person oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich (Art. 6 Abs.1 d) und e) DSGVO)

Der EuGH sieht diese Tatbestände grundsätzlich im Fall von Facebook nicht als erfüllt an.

Betroffene Person hat in Datenvereinbarung eingewilligt (Art. 6 Abs. 1a) DSGVO)

Eine möglicherweise marktbeherrschende Stellung im Bereich Soziale Online-Netzwerke führt nicht dazu, dass der Nutzer per se nicht wirksam in eine Datenverarbeitung einwilligen könnte.

Dieser Umstand ist aber zu berücksichtigen bei der Prüfung, ob tatsächlich eine wirksame, freiwillige Einwilligungserklärung vorliegt.

Der Verantwortliche trägt die Beweislast, wenn er sich auf eine Einwilligung berufen möchte.

Einordnung der EuGH-Entscheidung

Der EuGH hat zu sehr zentralen Auslegungsfragen der DSGVO Stellung genommen. Diese Entscheidung wird daher in der Praxis nach unserer Einschätzung große Bedeutung haben.

Nach unserer Einschätzung wird es für Dienstbetreiber enger sich für die Datenverarbeitung auf die bislang verbreitet angenommenen Rechtsgrundlagen "zur Vertragserfüllung erforderlich" und "berechtigte Interessen" zu berufen.

Stattdessen dürfte der sicherste Weg für eine erlaubte Datenverarbeitung die Einholung einer wirksamen Einwilligung darstellen. Diese Anforderung ist allerdings aus Unternehmenssicht häufig nicht der bevorzugte Weg. Denn erstens kann der Nutzer eine einmal erteilte Einwilligung jederzeit für die Zukunft widerrufen, so dass die Verarbeitung ab dann nicht mehr möglich ist. Zweitens sind auch die rechtlichen Hürden, um eine wirksame Einwilligung einzuholen, nicht gering und können im Einzelfall schwierig sein. Denn der Nutzer muss freiwillig und ausreichend informiert ausdrücklich seine Einwilligung erteilen. An der Freiwilligkeit kann es schon scheitern, wenn keine andere Auswahlmöglichkeit außer derjenigen der Datenverarbeitung besteht. Der Umfang und die Verständlichkeit der Information damit der Nutzer eine ausreichend informierte Einwilligung erteilen kann, kann je nach Umfang der beabsichtigten Datenerhebung ebenfalls eine Herausforderung darstellen. Zuletzt muss der verantwortliche Dienst die Einwilligung des Nutzers in die Datenverarbeitung beweisbar dokumentieren.

Nach der Entscheidung ist auch klar: Der Verantwortliche darf die Verarbeitung auf mehrere Rechtsgrundlagen stützen. Also etwa neben der Einwilligung als Fallback ebenfalls auch auf berechtigte Interessen und die Vertragserfüllung.