In „Hintergrundinformationen“ erläutert das Bundeskartellamt (BKartA) seine heutige Facebook-Entscheidung (BKartA, „Bundeskartellamt untersagt Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen“, PM v. 7.2.2019). Die Entscheidung beruht auf einer ebenso eigenwilligen wie fragwürdigen Interpretation des neuen europäischen Datenschutzrechts. Dass ein deutsches Kartellamt bei der Anwendung der DSGVO vorprescht und die für den Datenschutz zuständigen Behörden links überholt, wird nicht allen Datenschützern gefallen.
Ansatz des BKartA
Bei der Umsetzung der Datenschutz-Grundverordnung (DSGVO) hat es Deutschland besonders schwer. Anders als in den anderen EU-Staaten, in denen es jeweils eine zentrale Datenschutzbehörde gibt, gibt es hierzulande 18 Aufsichtsbehörden, die sich auf gemeinsame Leitlinien verständigen müssen. Während sich die deutschen Datenschützer in zahlreichen Sitzungen um ein gemeinsames Verständnis des neuen Rechts bemühen, überholt das BKartA jetzt von links:
Die deutschen Wettbewerbshüter meinen, Facebook dürfe seine Dienste in der jetzigen Form nur noch betreiben, wenn die Nutzer einer Datensammlung „freiwillig“ zustimmen.
- Tatsächlicher Hintergrund:
In dem BKartA-Fall geht es um die Zusammenführung von Facebook-Daten mit anderen Daten, die beispielsweise über Instagram oder WhatsApp oder auch über den „Gefällt mir“-Button erhoben werden. Die Zusammenführung dieser Daten ist laut den Facebook-Datenschutzbestimmungen erforderlich, um den Dienst in der jetzigen Form anzubieten. Als Rechtsgrundlage kommen dafür die Vertragserfüllung (Art. 6 Abs. 1 Satz 1 lit. b DSGVO), aber auch berechtigte Interessen (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) in Betracht. Auf Einwilligungen verzichtet Facebook, seitdem die DSGVO wirksam geworden ist.
- Freiwilligkeit einer Einwilligung:
Der Verzicht auf Einwilligungen entspricht einer verbreiteten Lesart der DSGVO. Die DSGVO erkennt Einwilligungen in vielen Fällen nicht mehr an. Bei einem „klaren Ungleichgewicht“ zwischen Anbieter und Nutzer ist die Einwilligung laut Erwägungsgrund 43 im Zweifel nicht als „freiwillig“ anzusehen und damit unwirksam. Ob sich darüber hinaus aus diesem Erwägungsgrund und aus Art. 7 Abs. 4 DSGVO ein striktes „Kopplungsverbot“ ableiten lässt, ist unter Datenschutzrechtlern höchst umstritten (vgl. nur den frühen Ãœberblick von Härting, „Kopplungsverbot nach der DSGVO“, ITRB 2017, 42).
- Folge eines Kopplungsverbots:
Ein „Kopplungsverbot“ würde bedeuten, dass jede Einwilligung, die bei Vertragsschluss abgegeben wird, unwirksam ist, wenn sie sich auf Daten erstreckt, die für den jeweiligen Dienst nicht „erforderlich“ sind. Zugleich verlangt die DSGVO für „erforderliche“ Daten keine Einwilligung, da diese Daten auf der Grundlage des Art. 6 Abs. 1 Satz 1 lit. b DSGVO verarbeitet werden dürfen.
- Tendenz in datenschutzrechtlicher Beratung:
Seit dem Inkrafttreten der DSGVO empfehlen viele Berater, im Zweifel auf Einwilligungen zu verzichten, um keine rechtlichen Risiken einzugehen. Diese Sichtweise vertritt beispielsweise auch die britische Datenschutzbehörde vertreten, die dazu rät, die Einholung von Einwilligungen nur in Erwägung zu ziehen, wenn keine andere Rechtsgrundlage („no other lawful basis“) in Betracht kommt (ICO, „When is consent appropriate?“).
In die lebhafte Debatte um DSGVO-Einwilligungen mischt sich jetzt das deutsche Kartellamt ein, das von einem datenschutzrechtlichen Kopplungsverbot anscheinend nichts wissen möchte. Eine höchst eigenwillige Interpretation der DSGVO, die vielen deutschen Datenschützern nicht gefallen wird.
Folgefragen
Die heutige Entscheidung des Bundeskartellamts wirft auch darüber hinaus zahlreiche Fragen auf:
- Wie kann es sein, dass europäische Datenschutzbehörden vereint das neue Datenschutzrecht durchsetzen sollen und sich jetzt links von deutschen Wettbewerbshütern überholen lassen?
- Warum gilt die Entscheidung nur für deutsche Nutzer, nicht jedoch für die Nutzer aus anderen Staaten der EU?
- Weshalb stimmen sich europäische Behörden bei Entscheidungen zum neuen Datenschutzrecht nicht besser ab?
Es sei einmal unterstellt, dass das deutsche Kartellamt Facebook zurecht Marktbeherrschung unterstellt hat. Es sei des Weiteren unterstellt, dass das Kartellamt das sperrige neue Datenschutzrecht mit all seinen schwierigen, streitigen und unergründeten Auslegungsfragen fehlerfrei angewendet hat. Und es sei unterstellt, dass die Datenverarbeitungspraktiken, die die Kartellhüter anprangern, tatsächlich gegen die DSGVO verstoßen. Selbst dann bleibt genügend Raum für Kritik:
- Einschätzung des BKartA:
Das Bundeskartellamt meint, für die (vermeintlichen) Datenschutzverstöße sei eine missbräuchliche Ausnutzung der marktbeherrschenden Stellung von Facebook verantwortlich. Facebook habe den Nutzern, die nicht ohne weiteres zu einer Konkurrenzplattform wechseln können, datenschutzwidrige „Konditionen“ aufoktroyiert (vgl. § 19 GWB).
- Kritik:
Pflichtinformationen:
Dies bereits geht an den tatsächlichen und rechtlichen Gegebenheiten vorbei. Die DSGVO schreibt Facebook – wie jedem anderen Datenverarbeiter – vor, Datenschutzinformationen zu veröffentlichen. Es handelt sich nicht um Kleingedrucktes, dem der Nutzer – „friss oder stirb“ – zustimmen muss. Vielmehr schreiben Art. 13 und 14 DSGVO dem Datenverarbeiter umfangreiche Informationen vor, ohne dass der Nutzer diesen Informationen in irgendeiner Weise zustimmt. Soweit das Kartellamt die gesetzlich vorgeschriebenen Informationen in „Konditionen“ (=Geschäftsbedingungen) umdeutet und als datenschutzwidrig anprangert, unterliegen die Wettbewerbshüter einem schwerwiegenden Missverständnis zentraler Anforderungen der DSGVO.
Kompetenz der Datenschutzaufsicht:
Würden zudem die von Facebook veröffentlichten Datenschutzrichtlinien – wie das Kartellamt meint – mannigfaltige Datenschutzverstöße dokumentieren, hätten die europäischen Datenschutzbehörden seit Jahren geschlafen. Spätestens seit dem Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) am 25.5.2018 hätte man von den gut gerüsteten Datenschützern Maßnahmen gegen Facebook und saftige Bußgelder erwartet. Der Bußgeldrahmen der DSGVO reicht bis zu 4 % des Jahresumsatzes eines Unternehmens. Warum wurden nicht längst schon Bußgelder in Millionenhöhe verhängt?
Untätigkeit der Datenschutzaufsicht statt Marktmacht:
Wäre es richtig, dass Facebooks angeprangerte Praktiken gegen die DSGVO verstoßen, läge dies nicht an der Marktmacht des amerikanischen Unternehmens, sondern am fehlenden Handeln der Datenschutzbehörden, deren Aufgabe es ist, gegen Datenschutzverstöße vorzugehen. Hätten die Kartellhüter mit ihrer datenschutzrechtlichen Einschätzung recht, wären nicht Facebooks Marktanteile das Problem, sondern die Untätigkeit der für den Datenschutz zuständigen Behörden.
Logikfehler:
Dass eine Marktdominanz Facebook Datenschutzverstöße ermöglicht, ist das zentrale Argument des Kartellamts. Ein Argument, das auf einem kardinalen Logikfehler beruht. Die Durchsetzung der DSGVO ist Aufgabe der Datenschutzbehörden. Schützenhilfe durch nationale Wettbewerbsbehörden ist weder nötig noch vorgesehen. Auf dem Weg zu einem einheitlichen europäischen Datenschutzrecht sind Querschüsse nationaler Behörden kontraproduktiv. Dies gilt auch für das deutsche Kartellamt.