Am 4. Juli 2023 hat der EuGH entschieden, dass eine nationale Wettbewerbsbehörde im Rahmen der Prüfung, ob eine beherrschende Stellung missbraucht wird, einen Verstoß gegen die DSGVO feststellen kann (EuGH, Urt. v. 04.07.2023 – Az. C-252/21). Auch scheint die Frage geklärt zu sein, ob eine alternative rechtliche Grundlage für die Datenverarbeitung herangezogen werden kann, wenn die ursprünglich angegebene Grundlage unwirksam war.
Zum Hintergrund
Das Bundeskartellamt (BKartA) sah in der Praxis von Meta Platforms Ireland und Facebook Deutschland (Meta), Daten seiner Nutzer nicht nur auf Facebook selbst, sondern auch über seine Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und diese zu detaillierten Nutzerprofilen zu verknüpfen, einen Missbrauch der marktbeherrschenden Stellung von Meta. Daher erließ das BKartA 2019 einen Beschluss gegen Meta und untersagte, sich durch Zustimmung zu den Allgemeinen Nutzungsbedingungen zur Nutzung von Facebook auch die Erhebung und Verarbeitung von sogenannten “Off-Facebook-Daten” (Informationen, die außerhalb von Facebook, Instagram oder WhatsApp gesammelt wurden) genehmigen zu lassen. Gegen diesen Beschluss des BKartA legte Meta gerichtlichen Widerspruch ein. Das Oberlandesgericht (OLG) Düsseldorf wandte sich im Verfahren in einem sogenannten Vorlageverfahren an den EuGH.
Das Vorlageverfahren
Der EuGH hat nunmehr zu den spezifischen Fragen des OLG Düsseldorf Stellung genommen: Die Tatsache, dass ein soziales Netzwerk kostenlos ist, bedeutet nicht automatisch, dass die Daten des Nutzers ohne dessen Einwilligung zur Personalisierung von Werbung verarbeitet werden können. Daher kann das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO keine rechtliche Grundlage dafür sein. Zwar hat der EuGH wiederholt betont, dass Marketing auch weiterhin auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, sofern die Nutzungsbedingungen von Meta transparent und für den Nutzer verständlich geändert werden.
Alternative Rechtsgrundlage
Der EuGH hat damit wohl die Frage geklärt, ob eine alternative rechtliche Grundlage für die Datenverarbeitung herangezogen werden kann, wenn die ursprünglich angegebene Grundlage unwirksam war. Der EuGH betont jedoch, dass alternativen Rechtsgrundlagen eng auszulegen sind.
Zusammenarbeit zwischen Datenschutz- und Kartellbehörden
Der EuGH klärte im Vorlageverfahren auch, dass Verstöße gegen die DSGVO vorrangig von Aufsichtsbehörden für den Datenschutz festgestellt werden sollten. Damit muss das Bundeskartellamt die zuständige Aufsichtsbehörde in datenschutzrechtliche Fragen einbeziehen, bevor es eigene Entscheidungen trifft.
Neuer Datenschutzrahmen „Data Privacy Framework“ zwischen EU und USA
Am 10. Juli 2023 hat die Europäische Kommission den neuen Angemessenheitsbeschluss für die USA auf Grundlage des „Data Privacy Framework“ erlassen. Damit ist eine rechtssichere Datenübertragung in die USA wieder möglich geworden.
Sollten Sie auf Ihren Webseiten Tracking-, Marketing- und Analyse-Tools von US-Unternehmen verwenden oder Dienste wie Google, Microsoft oder Amazon benutzen, dürfte dies eine Erleichterung sein.
Um als US-Unternehmen als sicherer Datenempfänger zu gelten und die Grundsätze des Data Privacy Frameworks einzuhalten, muss es ein Selbstzertifizierungsverfahren des US-Handelsministeriums (Department of Commerce, DOC) durchlaufen. Dieser Zertifizierung ist jährlich zu wiederholen.
Vorgehen für Unternehmen mit Sitz in der EU
Europäische Unternehmen, die personenbezogene Daten im Rahmen des Angemessenheitsbeschlusses der Datenschutzbehörde in die USA übermitteln möchten, müssen nunmehr prüfen, ob der US-Datenempfänger vom DOC zertifiziert wurde und ob die betreffende Datenübermittlung von dieser Zertifizierung abgedeckt ist. Hierfür steht eine Datenbank unter https://www.dataprivacyframework.gov/s/ zur Verfügung.
Sie sollten zudem die Datenschutzhinweise und den Text des Cookie Banners aktualisieren. Die Einholung einer Einwilligung mittels Cookie Consent Tool ist hiervon nicht betroffen, denn es geht um die Entscheidung des Users, ob Daten übermittelt werden dürfen oder nicht.
Sofern Sie bereits Standardvertragsklauseln mit einem US-Unternehmen geschlossen haben, können Sie diese behalten. Nach wie vor können diese als Instrument zur rechtssicheren Datenübermittlung genutzt werden. Sofern keine Zertifizierung vorliegt, ist dies nach wie vor das Mittel der Wahl zur Absicherung der Datenübermittlung, mit ergänzender Anfertigung eines Transfer Impact Assessment (TIA).