Bundeskartellamt erlasst Untersagungsverfügung gegen Facebook – Warum das Vorgehen der Behörde datenschutzrechtlich kritisch betrachtet werden muss

Ist der Umgang von Facebook Inc. u.a. mit personenbezogenen Daten ein Konditionsmissbrauch gemäß § 19 Abs. 1 GWB wegen unangemessener Datenverarbeitung? Dieser Frage ging das Bundeskartellamt in dem aktuell nun zunächst abgeschlossenen Verfahren nach. Am 7.2.2019 gab die Behörde bekannt, dass sie Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen untersagt.

Erwägungsgründe des Bundeskartellamts

Das Bundeskartellamt stützt sich im Rahmen seiner Entscheidung u.a. auf folgende Untersuchungsergebnisse:

  • Die Datenverarbeitungskonditionen für die Nutzung von Facebook stellen eine missbräuchliche Ausnutzung der marktbeherrschenden Stellung auf dem Markt für soziale Netzwerke für private Nutzer dar.
  • Die beabsichtigten Datenverarbeitungskonditionen verstoßen gegen die Wertungen des Datenschutzrechts, wie sie in der DSGVO zum Ausdruck kommen.

Nach Ansicht der Wettbewerbsbehörde liege ein Missbrauch im Sinne des § 19 Abs. 1 GWB (Konditionenmissbrauch) bereits dann vor, wenn als Ausfluss der Marktmacht die von einem Normadressaten verwendete Datenverarbeitungskonditionen gegen die Wertungen der DSGVO verstoßen. Oder auch, wenn die verwendeten allgemeinen Geschäftsbedingungen nach den gesetzlichen Wertungen der §§ 307 ff. BGB unzulässig sind.

Einen möglichen Konflikt zwischen den Anwendungsbereichen von Kartellrecht und Datenschutzrecht sieht das Bundeskartellamt hier überraschenderweise nicht.

Insbesondere sieht sich das Bundeskartellamt offensichtlich als zuständige Behörde an, die bei der Anwendung des § 19 Abs. 1 GWB auch auf Datenschutzwertungen Rückgriff nehmen und materiell-rechtliche Prüfungen vornehmen zu können. Sie sei an der Durchsetzung des Missbrauchsverbots von der Heranziehung datenschutzrechtlicher Wertungen nicht gehindert. Es würden lediglich die Wertungen des europäischen Datenschutzrechts als bedeutende Anhaltspunkte für die kartellrechtliche Beurteilung der Angemessenheit des Verhaltens eines marktbeherrschenden Unternehmens berücksichtigt. Die Datenverarbeitung sei ein unternehmerisches und in hohem Maße wettbewerbsrelevantes Verhalten. Die wirtschaftliche Nutzung von Kunden- und Nutzerdaten sowie Daten Dritter sei zudem ein wettbewerblich bedeutender Faktor.

Grundsätzlich fehle es zudem an der Rechtfertigung zur Datenverarbeitung (wohl nach Art. 6 oder Art. 9 DSGVO). Weder entspreche die derzeitige Einwilligung den Anforderungen nach Art. 6 Abs. 1 Satz 1 lit. a und Art. 9 Abs. 2 lit. b DSGVO, noch sei die Datenverarbeitung im Rahmen des Datenaustausch für die Vertragserfüllung nach Art. 6 Abs. 1 Satz 1 lit. b DSGVO erforderlich. Ein überwiegendes Interesse von Facebook oder den Drittanbietern im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DSGVO sei ebenfalls nicht gegeben.

Mehr Informationen findet sich in dem veröffentlichten Hintergrundpapier (pdf).

Kritik an dem Vorgehen des Bundeskartellamts

Zuständigkeit nach Art. 51 Abs. 1, Art. 55 DSGVO

Besonders überraschend ist hier die selbstverständliche Haltung der Wettbewerbsbehörde zur doch fragwürdigen Zuständigkeit bei angeblich vorliegenden Verstößen gegen die DSGVO. Die Zulässigkeit zur datenschutzrechtlichen Ahndung von Verstößen als Befugnis nach Art. 58 DSGVO (insbesondere die Verhängung von Bußgeldern nach Art. 58 Abs. 2 lit. i) iVm Art. 83 ff. DSGVO) ist für die nach Art. 51 Abs. 1 DSGVO von den Mitgliedstaaten bestimmten und zuständigen Behörden vorgesehen. Das Bundeskartellamt ist jedoch keine weitere Instanz, die zur Einhaltung datenschutzrechtlicher Bestimmungen befähigt ist. Das Bundeskartellamt wurde von Deutschland auch nicht errichtet oder mit Befugnissen auf der Grundlage der DSGVO ausgestattet, um Verstöße gegen das Datenschutzrecht mit hoheitlichen Sanktionen zu ahnden. Unter Beachtung des Vorrangs des EU-weiten und einheitlichen Datenschutzrechts können meines Erachtens nicht einfach durch nationale Regelungen aus anderen Rechtsgebieten die Tatbestände für Sanktionen (wie Untersagungen) oder gar Bußgelder ausgeweitet und auch auf andere, nicht auf der Grundlage der DSGVO zuständige Behörden übertragen werden, wie es hier die Wettbewerbsbehörde durch § 19 Abs. 1 GWB versucht. Es gehört zu den grundlegenden Aufgaben der Datenschutzbehörde, DSGVO-relevante Untersuchungen durchzuführen (Art. 58 DSGVO) und gegebenenfalls durch Bußgelder oder Sanktionen zu ahnden (Art. 83 ff.). Im Grunde würde aus dem Vorgehen des Bundeskartellamts eine parallele Datenschutzaufsicht folgen. Dann müsste sich das Bundeskartellamt aber auch die Frage gefallen lassen, ob es alle Anforderungen an eine Aufsichtsbehörde nach der DSGVO erfüllt.

Das Bundeskartellamt kann sich vorliegend auch nicht auf die Argumentation zurückziehen, dass ja materielles Datenschutzrecht nicht geprüft werde, sondern nur Wertungen aus der DSGVO übernommen würden. Die Informationen im Hintergrundpapier zeigen deutlich, dass die Wettbewerbsbehörde klar eine detailreiche materiellrechtliche Prüfung der Vorgaben der DSGVO vornimmt.

Eine Parallelität von mehreren Datenschutzaufsichten für einen Verantwortlichen (was die Folge der Sichtweise des Bundeskartellamts wäre) ist in der DSGVO gerade nicht vorgesehen und sogar explizit nicht gewollt (dazu sogleich).

Zusammenarbeit und Kohärenzverfahren nach Art. 60 ff. DSGVO

Sind mehrere Datenschutz(!)behörden zuständig, sieht die DSGVO nun das sog. Kohärenzverfahren vor. Datenschutzbehörden (ob in Deutschland oder auch EU-Ebene) müssen sich im Zweifel untereinander abstimmen. Am Ende soll es für Unternehmen eine verbindliche, zwischen mehreren zuständigen Behörden abgestimmte, Entscheidung geben. Das Bundeskartellamt verweist zwar auf die Zusammenarbeit mit  Datenschutzbehörden, doch umgeht sie dabei die nach der DSGVO vorgeschriebene Zusammenarbeit der Behörden untereinander. Die federführende Behörde ist hinsichtlich Facebook nun einmal die irische Datenschutzbehörde, die hier wohl völlig übergangen wurde. Der Austausch mit der federführenden Aufsichtsbehörde soll insbesondere bei der Beurteilung von Verarbeitungsvorgängen, die Personen in mehreren Mitgliedstaaten betreffen, stattfinden. Nur so kann eine einheitliche Anwendung dieser Verordnung in der gesamten Union sichergestellt werden (ErwG 123 DSGVO). Im Grunde wird durch das Vorgehen des Bundeskartellamts das Kohärenzverfahren nach der DSGVO und, in Streitfällen zwischen Aufsichtsbehörden, die Entscheidungsbefugnis des Europäischen Datenschutzausschusses schlicht übergangen. Würde sich dieses Vorgehen durchsetzen, würde am Ende gerade nicht mehr ein einheitliches Vorgehen der fachlich zuständigen Behörden stehen.

Kartell- und Datenschutzrecht

Die anzuzweifelnde Zuständigkeit des Bundeskartellamts versucht es durch die Vereinbarkeit der Prüfung von Datenschutzrecht innerhalb des Kartellrechts zu widerlegen. Die Behörde geht davon aus, dass die Datenverarbeitung durch Unternehmen grundsätzlich ein wettbewerbsrelevantes Verhalten darstelle und folglich den wettbewerbsrechtlichen Vorschriften unterliege. Doch für eine Trennung von Kartell- und Datenschutzrecht haben sich bereits die Europäische Kommission und auch der EuGH ausgesprochen, die in Anbetracht der europarechtlichen Auslegung der DSGVO auch eingehalten werden sollte:

„Etwaige Fragen im Zusammenhang mit der Sensibilität personenbezogener Daten, sind als solche nicht wettbewerbsrechtlicher Natur sind, [sind] nach den einschlägigen Bestimmungen zum Schutz solcher Daten zu beantworten.“ (EuGH, Urteil vom 23.11.2006 – C238/05

Noch strikter trennt die Europäische Kommission, indem sie auf die jeweiligen geschützten Rechtsgüter der legislativen Vorgaben abstellt:

„COM said that both competition law and data protection concern economic values, whereas data protection protects values of the data subject.“ (Ratsdokument 17831/13, S. 226, Fn. 567). Das Kartellrecht verfolgt gerade nicht dieselben Ziele wie das Datenschutzrecht.

„For the purposes of this decision, the Commission notes that any privacy-related concerns flowing from the use of data within the control of the Parties do not fall within the scope of the EU competition law rules but within the scope of the EU data protection rules.“ (Entscheidung der Kommission vom 23/02/2016 zur Vereinbarkeit eines Zusammenschlusses mit dem Gemeinsamen Markt (Fall COMP/M.7813 – SANOFI / GOOGLE / DMI JV) gemäß der Verordnung (EG) Nr. 139/2004 des Rates; S. 11 Rn. 70)

Fazit

Das hochinteressante Verfahren, das einige diskussionswürdige Fragen aufwirft, wird sicherlich seinen Weg in den Instanzenzug der Gerichte finden. Eventuell muss am Ende der EuGH noch einmal zu der Frage entscheiden, wie sich das Kartell- und Datenschutzrecht zueinander und insbesondere die Zuständigkeit der Behörden verhalten.

Österreichische Datenschutzbehörde: Löschung von personenbezogenen Daten ist auch durch Anonymisierung möglich

Die Österreichische Datenschutzbehörde (DSB) hat mit Bescheid vom 5.12.2018 (DSB-D123.270/0009-DSB/2018) eine äußerst relevante Praxisfrage für die Anwendung der DSGVO entschieden. Genügt für eine Löschung von personenbezogenen Daten (und damit der Erfüllung des Löschungsanspruchs eines Betroffenen nach Art. 17 Abs. 1 DSGVO), dass diese Daten anonymisiert werden? Die Einschätzung der DSB: die Anonymisierung von personenbezogenen Daten kann grundsätzlich ein mögliches Mittel zur Löschung im Sinne der DSGVO sein.

Sachverhalt

In dem Verfahren ging es um die Beschwerde einer betroffenen Person, die gegenüber einem Unternehmen (mit dem ursprünglich auch vertragliche Beziehungen bestanden) einen Antrag auf Löschung all ihrer Daten gestellt hatte. Die Beschwerdegegnerin hat die vollständige Löschung seiner Daten jedoch verweigert. In dem Fall ging es zudem noch um eine zunächst nicht eindeutig durchführbare Identifizierung des Beschwerdeführers. Nachdem diese bei dem Unternehmen intern jedoch vollzogen war, hat es die dem Beschwerdeführer eindeutig zuordenbaren Daten entweder sofort gelöscht, oder „DSGVO-konform anonymisiert“.

Besonders relevant war vorliegend die durch das Unternehmen an die DSB übermittelte Information, wie es die Anonymisierung vornimmt. Diese erfolgte in Umsetzung folgender kombinierter Schritte aus Löschung und Anonymisierung:

  • Löschung des Vertragsangebots: Sowohl die Kundenanfrage als auch das Angebot, das aufgrund der Onlineangaben des Kunden vom Kundenmanagementsystem erstellt worden wären, wären gelöscht worden.
  • Löschung aller elektronischer Kontakte (E-Mail-Adresse, Telefonnummer, etc.) des Kunden.
  • Änderung der Person (Name, Vorname, Adresse): Sowohl Name, als auch Adresse seien durch eine anonyme, nicht zuordenbare Person (Max Mustermann) mit identem Geschlecht und Geburtsdatum unwiderruflich manuell überschrieben worden.
  • Die nun inhaltsleere Kundenverbindung sei nur mehr Max Mustermann zugeordnet.
  • Der mit einer Kundenverbindung automatisch gestartete interne Ablauf sei sofort gestoppt worden.
  • Zusammenlegung der zu löschenden Person auf die neue anonyme Person zur Sicherstellung, dass die Überschreibung auch technisch nachhaltig verankert sei.
  • Löschen des Kunden im Elektronischen Akt (Historie).

Durch die Umsetzung all dieser beschriebenen Schritte sei eine faktische Anonymisierung der ursprünglichen Kundenverbindung durch das Überschreiben mit einer „Dummy Kundenverbindung“ herbeigeführt worden.

Auf Nachfrage der DSB ergänzte das Unternehmen, dass des Weiteren keine personenbezogenen Daten in den Logdaten gespeichert werden, da die Identifikation ausschließlich über Kennzahlen („ID´s“) erfolge. Dort wäre die Verknüpfung aber irreversibel entfernt worden. Eine Wiederherstellung oder Rekonstruktion der Daten auch aus den Logdaten sei nicht möglich.

Entscheidung der DSB

Zutreffend verweist die DSB einleitend darauf, dass der verbindliche Teil der DSGVO den Begriff der „Anonymisierung“ nicht kennt. Nur in ErwG 26 DSGVO wird dieser erwähnt (jedoch nicht definiert) und festgehalten, dass die DSGVO keine Anwendung auf anonymisierte Daten findet, worunter Informationen verstanden werden, „die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.

Danach befasst sich die DSB mit der Definition des Begriffs der „Verarbeitung“ (Art. 4 Nr. 2 DSGVO), in dem jedoch keine Definition des Begriffs „Löschung von personenbezogenen Daten“ (wie er in Art. 17 Abs. 1 DSGVO) verwendet wird, zu finden ist.

Nach Art. 4 Nr. 2 DSGVO sind aber nach Ansicht der DSB das Löschen und die Vernichtung als alternative Formen der Verarbeitung angeführt („das Löschen oder die Vernichtung“), die nicht zwingend deckungsgleich sind.

Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt.

Diese Klarstellung der DSB ist bereits die erste wichtige Aussage des Bescheids. Löschung bedeutet nicht, dass Daten faktisch vernichtet werden müssen.

Nach Ansicht der DSB steht dem Verantwortlichen hinsichtlich der Mittel (also der vorgenommenen Art und Weise der Löschung) ein Auswahlermessen zu (hierzu verweist die DSB auch umfangreich auf Kommentarliteratur).

Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten kann somit grundsätzlich ein mögliches Mittel zur Löschung iSv Art. 4 Z 2 iVm Art. 17 Abs. 1 DSGVO sein.

Jedoch verlangt die DSB, meines Erachtens zurecht, dass sichergestellt sein muss, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Wann ein solcher unverhältnismäßiger Aufwand anzunehmen sein wird, ist natürlich am Ende stets eine Einzelfallfrage. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann nach Ansicht der DSB der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (hierzu verweist die DSB auch auf die Stellungnahme 5/2014 der ehemaligen Art. 29-Datenschutzgruppe).

Im vorliegenden Fall hat das Unternehmen die personenbezogenen Daten nach Ansicht der DSB

„teils vernichtet (also ohne „Hinterlassen“ von anonymisierten Daten), teils durch Entfernung des Personenbezugs zum Beschwerdeführer „gelöscht“.

Diese Kombination aus Vernichtung und Entfernung des Personenbezugs (auch durch Ersetzen mit Dummy Daten) ist nach Auffassung der DSB ausreichend, um eine Löschung iSd DSGVO annehmen zu können.

Die DSB verweist abschließend auf einen weiteren wichtigen Aspekt: hypothetische Verläufe, insbesondere die Weiterentwicklung der Technologie, müssen an dem Ergebnis nichts ändern. Der Beschwerdeführer führte an, dass „die Daten zu einem späteren Zeitpunkt „de-anonymisiert werden könnten“. Nach Ansicht der DSB liegt eine Löschung dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person nicht mehr möglich ist.

Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität ist daher – unabhängig vom verwendeten Mittel zur Löschung – nicht notwendig.

Die DSB beurteilt die Frage, wann Daten iSd DSGVO gelöscht sind, mithin aus dem Blickwinkel des zu erzielenden Ergebnisses. Die Verarbeitung personenbezogener Daten darf nicht mehr möglich sein. Auf welchem Wege und vor allem mit welchen Mitteln ein Verantwortlicher zu diesem Ergebnis gelangt, ist in der DSGVO gerade nicht vorgegeben und daher durch den Verantwortlichen individuell umsetzbar. Aus Sicht der Praxis dürfte diese Entscheidung zum Begriff des „Löschens“ in der DSGVO besondere Relevanz besitzen.